Кибербезопасность в условиях электронного банкинга. Практическое пособие
Шрифт:
В связи с этим потребитель должен не только обращать внимание на оформление и содержание ресурса страховой компании, но и проверять данную организацию в соответствующих справочниках и реестрах (Справочнике участников финансового рынка Банка России, перечне Российского союза автостраховщиков).
Отметим, что в соответствии с перечнем Российского союза автостраховщиков и информацией, размещенной на его официальном вебсайте, не все страховые организации уполномочены на оформление электронных полисов ОСАГО. Потребитель при переходе на веб-сайт страховой компании должен проверить следующее:
– наличие организации в Справочнике участников финансового рынка Банка России ;
– присутствие веб-адреса
На рис. 8-10 приведены примеры веб-сайтов фиктивных страховых компаний.
Рис. 8. Веб-сайт фиктивной страховой организации (1)
Рис. 9. Веб-сайт фиктивной страховой организации (2)
Рис. 10. Веб-сайт фиктивной страховой организации (3)
1.2.3. ПсевдоР2Р-переводы
Данная категория является одной из самых привлекательных для злоумышленников. Согласно статистике ФинЦЕРТ Банка России, за 20172018 гг. сняты с делегирования 209 веб-сайтов, которые выдавали себя за ресурсы, предоставляющие услуги по переводу денежных средств с карты на карту [24] .
Привлекательность этой категории обусловлена простотой оформления информационного ресурса для хищения денежных средств. Злоумышленники получают конфиденциальные данные как платежной карточки, так и самого потребителя.
24
Подробнее см.: Отчет центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Департамента информационной безопасности Банка России. URL: www.cbr.ru/fincert.
Простота оформления информационных ресурсов, предоставляющих услуги P2P-переводов, позволяет мошенникам достаточно легко их подделывать: оформляется изображение пластиковых карт, указываются эмблемы и наименования платежных систем или кредитной организации. Данные атрибуты позволяют сформировать у потребителя ложное представление, что он находится на веб-сайте реально действующей организации.
Интересным представляется тот факт, что пользователь передает злоумышленникам не только свои персональные данные, но и данные платежной карты третьего лица, которому он осуществляет перевод.
Данные ресурсы очень заманчивы для потребителей, поскольку предлагают услуги беспроцентного перевода или перевода с низким процентом между платежными картами разных банков или платежных систем.
Чтобы не допустить использование недобросовестных ресурсов, пользователь должен проанализировать следующие критерии применительно к веб-сайту:
– наличие на веб-сайте информации об операторе платежной системы;
– наличие организации в Реестре операторов платежных систем Банка России;
– использование защищенного соединения при осуществлении перевода [25] .
При этом если на ресурсе указано, что услуги предоставляются какой-либо кредитной организацией, то необходимо проверить ее наличие в соответствующем перечне Банка России.
Также можно убедиться в достоверности партнерских (договорных) отношений
25
Более подробно процедуру выявления фиктивных кредитных организаций мы рассматривали в разделе 1.2.1 «Лжебанки». Потребителю необходимо быть бдительным и проверять не только сам веб-сайт, но и информацию об организации, предоставляющей на нем платежные услуги.
Проверка ресурсов потребителем позволит обеспечить безопасность его персональных и платежных данных.
На рис. 11 и 12 приведены примеры веб-сайтов мошеннических организаций, которые предоставляют услуги по осуществлению псевдоР2Р-переводов.
Рис. 11. Веб-сайт мошеннической организации, осуществляющей фиктивные P2P-переводы (1)
Рис. 12. Веб-сайт мошеннической организации, осуществляющей фиктивные Р2Р-переводы (2)
1.2.4. Схемы с использованием страхового (закрепительного) платежа
В рамках этой категории мошенничества можно выделить два подвида:
– организация проводит псевдоопросы, за которые якобы полагается выплата денежных средств;
– организация предлагает выплату несуществующей компенсации.
В первом случае пользователь проходит опрос на веб-сайте. Как правило, опрос состоит из семи-десяти простых вопросов. После прохождения опроса ресурс якобы генерирует выигрыш и предлагает пользователю перевести денежные средства на его платежную карту. Вместе с тем с целью сохранения денежных средств и оформления их вывода ресурс предлагает пользователю заплатить закрепительный платеж. Сумма платежа обычно незначительна и составляет от 250 до 1000 руб. Пользователь, воодушевленный возможностью получить крупный выигрыш, соглашается на оплату небольшой, по его мнению, суммы и переходит на страницу оплаты.
Пользователь предоставляет злоумышленникам данные карт и персональные данные, что позволяет списать денежные средства с его платежной карты.
Вместе с тем мошенники развиваются и совершенствуются. Более изощренным является второй способ мошенничества: предоставление возможности получить якобы от государства неиспользованные страховые платежи за медицинские услуги. Как правило, на ресурсе размещается фальшивая документация Правительства Российской Федерации, якобы позволяющая осуществить возврат и выплатить компенсацию населению.
На данную категорию ресурсов пользователей активно завлекают за счет звонков и SMS-рассылок, в которых граждан убеждают в том, что компенсация предоставляется в рамках одной из федеральных программ и что она не подлежит огласке общественности, поскольку существует лимит по выплатам. Злоумышленникам необходимо привлечь потребителя и убедить его зайти на ресурс. На ресурсе предлагается заполнить специальную форму якобы для определения количества денежных средств и срока уплаты в соответствующий государственный фонд. В рамках данной формы пользователь передает мошенникам свои персональные данные, в том числе иногда скан паспорта. Веб-сайт якобы генерирует компенсацию, положенную пользователю, и так же, как в ситуации с опросами, предлагает оплатить страховой (закрепительный) платеж.