vaspvort
Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💰️
Всё начинается с данных
Цифровая гигиена – известное понятие. Но если раньше оно ограничивалось фразами типа «не используйте простые/одинаковые пароли», «не вводите данные банковских карт на подозрительных сайтах» и подобным, то в последние несколько лет всё стало куда интереснее.Внешность и голос, то есть те вещи, которые ещё недавно служили бы доказательством того, что перевести денег до зарплаты просит именно ваша лучшая подруга, больше не являются гарантом её аутентичности. Угнав аккаунт с массой голосовых сообщений, а то и просто взяв десяток-другой фотографий и видео с её открытой странички в соцсети, мошенник без труда сможет с помощью ИИ сгенерировать убедительный кружок в Telegram, которому вы просто не сможете не поверить.
И если несколько лет назад использование технологии deepfake считалось делом сложным и встречалось разве что в крупных аферах корпоративного масштаба, то сегодня это стало трендом – Open AI уже год назад хвастались, что им достаточно записи , чтобы качественно клонировать голос, а всё тот же ЦБ недавно выпустил предостережение о том, что жертвой дипфейка сегодня .
На прошедшем в декабре форуме «Антифрод 2024» этой теме было уделено огромное количество внимания: взрывное развитие ИИ очевидно приведёт к росту нового класса мошенничества. Но, если говорить про сегодняшний день, сколько людей из вашего окружения за прошедший год сталкивались с дипфейками? А сколько человек сталкивались с истекающим сроком действия номера? Пока что куда вероятнее, что Ваш сын получит входящий от замдиректора школы, который для регистрации в новой учебной системе попросит лишь назвать код из СМС.
Вбейте прямо сейчас свой номер телефона в поисковую строку браузера. Что получилось? А если электронную почту? Однажды автор этой статьи нашёл подобным образом в открытом доступе все данные о его транспортных средствах, начиная с купленного в 2007 году первого мотоцикла. Поэтому даже если вы никогда, заходя в интернет, не снимали шапочку из фольги, будьте уверены – .
Полученная из разных источников, информация о вас, покупается на профильных форумах, консолидируется, и вот уже помимо ФИО и номера телефона в мошеннической базе появляются домашний адрес (от курьерской службы), место работы с именами коллег (из давно забытого резюме или с актуальной странички на LinkedIn), а то и полные паспортные данные (из заявки на кредит в каком-нибудь банке). Фотографии из отпуска и список друзей в соцсетях – вишенка на торте из данных, который мы сами и приготовили.
А дальше специально обученные люди начинают с этим работать.
Просто бизнес
Нет, они не будут пытаться продать вам билеты в театр
В конце 2022 года Сбер выпустил о деятельности одного из мошеннических колл-центров. Если раньше существовало мнение, что все эти звонки идут преимущественно из тюрем (сейчас схемы выглядят иначе), то сегодня мы видим, что подобным занимаются из обычных офисов, порой расположенных прямо в столице – буквально в декабре сотрудники ФСБ такой.
И организовано все внутри таких колл-центров как в полноценной большой компании: и HR, и IT-отдел (который поможет жертве установить нужное для заработка на трейдинге ПО), и, конечно, подразделения, которые занимаются непосредственно общением с клиентами. Аналитика, базы данных и лучшие психологические практики – всё, чтобы Вы поверили, что вложиться в крипту, переведя деньги на вот этот счёт – лучшее решение в вашей жизни.
Но если это целые организации с огромным штатом сотрудников, то почему они могут спокойно функционировать годами? Если обратить внимание на отчёты и новости о таких колл-центрах, то видно, что их деятельность обычно направлена за пределы государства, в котором они физически располагаются. А в остальном – при соблюдении базовых правил конфиденциальности, вы никогда не узнаете, что прямо сейчас из соседнего офиса кто-то уговаривает вашу маму заложить квартиру, чтобы взять кредит и сделать 300% годовых на инвестициях.
И вот в очередной свой рабочий день сотрудник такого колл-центра просто придёт на работу, сядет за стол и через удобное приложение на компьютере найдёт в базе ваши данные. А дальше его звонок проделает достаточно тернистый путь, прежде чем вы увидите входящий на своём телефоне.
Найду тебя по IP
Примерно так выглядят мошеннические звонки на карте (вымышленные данные, все совпадения случайны). Причём локации постоянно меняются.
До запуска мошенники вполне могли позвонить вам с небезызвестного номера 900 или +7800*, указанного на сайте вашего банка. Сейчас же, благодаря ей, подобные ситуации на 99% исключены. То есть сейчас входящий номер на экране вашего телефона прямо реальный и настоящий, чаще всего существующий на физической SIM-карте, вставленной в устройство. Особенно, если это номер российского формата (+7*).
Но, погодите, если мы знаем, что симка физическая и находится в телефоне, почему бы оператору просто не передать местонахождение устройства кому следует? Ведь тогда уже через десять минут этот колл-центр накроют вежливые люди в масках!
Откуда оператор знает, где я нахожусь?
Если вы не знали эту страшную тайну, то раскрываем её: операторы узнают ваше местоположение не по GPS, установленному в телефоне, а по вышкам сотовой связи, к которым ваше устройство подключается.
Поэтому, сюрприз-сюрприз, купив Nokia 3310 вы не перестанете получать СМС «С приездом во Владимирскую область!» сразу после пересечения её административной границы. Современные технологии и законы физики позволяют получать местоположение абонента с точностью до нескольких десятков метров без использования GPS.
Дело в том, что, приехав на место, сотрудники спецслужб скорее всего найдут не офис, а коробочку небольшого размера, в которую воткнуто несколько десятков SIM-карт и сетевой кабель.
Знакомьтесь – SIM-бокс
SIM-боксы, они же SIM-фермы/SIM-банки/gsm-шлюзы – один из самых популярных способов доставить мошеннический звонок до вашего телефона. Это похожие между собой устройства, которые помимо прочего позволяют «перенаправлять» голосовой трафик, приходящий по интернету, в сотовую сеть.
Мошенник может звонить через интернет из любой точки мира – хоть из Африки, хоть из соседнего офиса. Оператор сотовой связи увидит только выход его звонка из SIM-бокса.
Безусловно, функционал этих устройств не ограничен фрод-телефонией. Они могут использоваться и для каких-то более легальных дел:
- Накручивание трафика и продвижение товаров/услуг в сети
- Спам-активности
- Полезные обзвоны / SMS-рассылки (в локальных службах такси, например)
- Мини-АТС в небольших компаниях
- Маршрутизация трафика, прокси
- Одноразовый номер для регистрации аккаунта на каких-то ресурсах
- Десятки других опций
Описание SIM-бокса с сайта производителя
Однако, подмена IMEI (уникальный международный идентификатор мобильного оборудования) и различные возможности маскировки под простые мобильные телефоны как бы намекают нам, что часто с этими устройствами не всё чисто. Законодатели тоже это понимают и активно разрабатывают меры и введению ответственности за их использование без лицензии, о чём также много говорили на «Антифроде» в декабре.
По данным мониторинга обратной связи мы видим, что мошенники звонят не только с номеров «большой четвёрки», но также c небольших и виртуальных – так называемых MVNO – операторов. Иногда преступники через подставных лиц используют сервисы маленьких локальных телекомов, предоставляющих услуги виртуальных АТС. Часто информационная безопасность здесь оставляет желать лучшего – нам известен случай, когда мошенники заполучили доступ к номерам телефонов одной микрофинансовой организации, и начали звонить со своими предложениями с совершенно легальных номеров этой компании, открыто размещённых на её сайте. А сотрудники МФО наблюдали за этим и никак не могли дозвониться до своего провайдера.
Не всякий мошеннический звонок долетит до
У Вас входящий
«…Код спрашивают только мошенники, поэтому мне его не говорите, я сейчас Вас переключу на робота, вот ему нужно будет назвать…»
Мошеннических схем, которыми будут вас обрабатывать, десятки, если не сотни. Самая популярная в этом году у наших абонентов - «сотовый оператор», когда вам звонят и сообщают, что заканчивается срок действия договора, а для его продления придётся назвать код из SMS. Описывать все схемы бесполезно: за время написания этой статьи наверняка появилась пара новых, поэтому укажем лишь очевидные красные флаги:
- Срочность: «ваш номер телефона будет заблокирован завтра, если мы его сейчас не продлим»
- Давление на эмоции: «вы не боитесь ответственности, которая наступит, если вы сейчас не назовёте код»
- Ограничение общения: «ситуация очень серьёзная, поэтому никому не говорите об этом разговоре, чтобы не подвергать их опасности»
- Использование непонятной терминологии: «ваши действия попадают под 115 ФЗ Центробанка, ограничивающий спред на кредитном плече вашего торгового счёта»
- Манипуляции боязнью упустить выгоду: «вы же согласны, что 10 000 рублей для инвестиций, которые вы уже перевели – это мало, серьёзные люди инвестируют от 100 000»
- Переход в мессенджеры: «для того, чтобы нас не могли прослушивать, нужно перейти в безопасный мессенджер. Вы же пользуетесь вотсапом?»
- Фамильярное, небрежное обращение: «ну мы же с вами взрослые люди, давайте не будем заниматься фигнёй и перейдём к трейдингу»
- Назвать код из SMS / push-уведомления: как бы банально это не звучало, но если кто-то у вас его спрашивает по телефону – это мошенник!
- Ввести USSD-команду: может включить переадресацию с вашего номера на номер мошенника, и он сможет читать ваши SMS уже без вашего участия
- Сообщить конфиденциальные данные: номер паспорта, СНИЛС, адрес регистрации и названия банков, которыми вы пользуетесь, номера банковских карт. С их помощью на вас легче будет оформить кредит или обмануть в будущем. Никому их не называйте, даже если вам пообещали за их уточнение проиндексировать пенсию.
- Перейти по ссылке: куда угодно, там вы скорее всего подцепите что-то плохое или введёте какой-нибудь пароль
- Установить приложение: смотрите предыдущий пункт
- Показать экран / транслировать экран: схема «собеседование», где вы транслируете будущему работодателю экран, показывая своё умение работать в google-документах, а он в это время читает всплывающие СМС / пуш-уведмоления
- Перевести деньги: ведь чтобы вывести заработанные на трейдинге 100 000, нужно оплатить 5000 за регистрацию аккаунта
Если Вы, или Ваш родственник не распознали мошенника, перевели деньги или сделали ещё какое-то действие из списка выше: опять же сообщите об этом в банк и своему оператору, чем быстрее – тем лучше. Для популярной схемы с Госуслугами рекомендуют , если восстановить доступ стандартным способом не удаётся. Обращайтесь в полицию, даже если у вас похитили всего 3-5-10 тысяч рублей: заявления позволяют блокировать счета дропов и привлекать их к ответственности, но об этом позже.
Помните, что человека, обманутого однажды, могут обмануть ещё не раз. Автор этой статьи лично знаком с ситуацией, когда жертва, отдавшая мошенникам несколько миллионов кредитных рублей, через год эту историю повторила. Кроме того, человек, находящийся под влиянием мошенников, будет убеждать близких, банк, и кого угодно ещё, что всё в порядке и её никто не обманывает – на наших отраслевых мероприятиях коллеги постоянно рассказывают о таких случаях.
Cоциальная инженерия
В упомянутом выше отчёте ЦБ типичной жертвой телефонных мошенников является проживающая в городе женщина среднего возраста, со средним доходом и средним образованием – в среднем, это всё тот же портрет жертвы от 2023 года. А ещё это портрет среднестатистического россиянина – у нас преобладает и городское население, и прекрасный пол, и люди со средним образованием.
Целевая аудитория мошенников сегодня и на полгода раньше (внутренние данные Т2)
Если раньше самой «рисковой» категорией считались пенсионеры, то сейчас мы видим смещение вектора атаки на молодёжь и детей. Первые в поисках своего начального заработка могут заинтересоваться арбитражом крипты, оставить свои данные где не следует и попасть на одну обманную схему, а вторые, попав на другую, столкнуться и переведут крупную сумму другу-геймеру. Откуда у ребёнка большие деньги? А у вас в качестве пароля на телефоне точно не стоит его год рождения? А паспорт и банковская карта точно лежат в недоступном для ребёнка месте? Вот и друг-геймер это понимает.
Аффинити-индекс – категории и интересы – попавших под влияние мошенников людей (декабрь 2024 - январь 2025)
Но обмануть можно всех – наверняка и у вас найдутся истории как про доверчивых пенсионеров, так и про образованных бизнес-аналитиков, которых полковник ФСБ или генеральный директор компании убедил в реальности заведённого уголовного дела. Среднестатистическая жертва в 2025 году вряд ли будет обманута через дипфейк, а вот состоятельный директор или бухгалтер крупной фирмы, имеющий проблемы с цифровой гигиеной, вполне себе может с этим столкнуться.
Видя назревший в обществе запрос, в прошлом году мы разработали несколько ИИ-моделей, направленных на борьбу с социальной инженерией. Почему несколько? Лучше всегда работают модели, обученные на конкретных кейсах. В качестве примера можно привести кредитную модель – мошенники заставляют людей брать кредиты, а мы с ROC-AUC > 0,7 можем отличить обычного заёмщика от находящегося под влиянием. Сотрудничество банков и телекомов действительно стало последнего года, и мы продолжаем развиваться в этом направлении.
В начале статьи говорилось, что здесь будет минимум технической информации, а потому добавим историю из жизни, наделавшую много шума у нас в Big Data совсем недавно. Проведя уйму тестов, мы поняли, что наша быстрая модель социнженерии работает и отправились проводить пилот с одним из самых крупных в России банков. На очередной неделе теста к нам приходит коллега, занятый в этом проекте, и рассказывает, что член его семьи прошлым вечером чуть не перевёл деньги мошенникам, но банк вовремя заблокировал транзакцию. И главной причиной этой блокировки послужил именно ответ нашей модели. Одно дело получать недельную статистику, видя, что количество «спасённых» людей переваливает за первую тысячу, а совсем другое – понимать, что один из этих людей – вот он, совсем рядом, буквально в соседнем кабинете. Гордость, которую мы испытали тогда за команду, трудно описать.
Но давайте представим, что Вас всё-таки обманули и вы твёрдо решили, что все свои деньги нужно перевести на безопасный счёт. Что происходит дальше? В игру вступают дропы.
Хорошего человека дропом не назовут
Как деньги переходят от жертвы к мошеннику и причём здесь дроп
Деньги, которые удалось похитить, теперь действительно нужно перевести на безопасный (для мошенника) счёт. Жертвы стали обращаться в полицию, а потому очевидно, что перевод по СБП на свой номер телефона злоумышленник просить не будет.
Существует множество схем вывода денег, и на текущий момент большинство из них проходит через дропа — так называют соучастника различного рода мошенничеств с использованием банковских счетов, который, по сути, позволяет пользоваться своим ресурсом (мобильным телефоном, банковскими счетами) для осуществления преступной деятельности. По сути – это низшее звено в пищевой цепочке мошенников. Информации об этом в сети много, но давайте разберём ситуацию на грубом примере. Сразу заметим, что история выдуманная и все упомянутые люди – актёры.
Хорошо, что любимый Telegram-канал всегда готов помочь, есть же ещё карта бабушки!
Что ж, вы много заработали: помимо денег – отрицательную репутацию в банках, судимость и проблемы с трудоустройством в будущем. Стоило оно того?
Часто за какими-то на первый взгляд безобидными операциями скрываются мошеннические действия. Если вам рассказывают, насколько тот или иной арбитраж прост, легален и безопасен, но при этом параллельно объясняют, как прогревать карту, чтобы её не заблокировали – нужно строить причинно-следственные связи.
Некоторые дропы понимают, на что идут, некоторых используют «в тёмную». В любом случае, если вас просят дать реквизиты карты или перегнать через неё какую-то сумму, так как «у меня закончился лимит на бесплатные переводы» - лучше подумать.
Одна из самых популярных сегодня схем, в которой дроп не нужен - треугольник
Иногда случаются ситуации, когда мошенник, используя обменники криптовалюты, делает операции «без дропа»:
- Вы хотите продать честно полученные за работу в стартапе биткойны и размещаете предложение на интернет площадке «продам BTC на 500 000 RUR на карту Х-Банка»
- Мошенник объясняет жертве, что ей нужно будет перевести свои накопления в размере 500 000 на безопасный счёт в некий банк (Ваш!)
- Жертва переводит деньги, вы их получаете, подтверждаете перевод BTC
- Мошенник получает биткойны, прогоняет их через несколько кошельков, и они растворяются
- Жертва через неделю идёт в полицию, где пишет в заявлении, что под влиянием мошенника перевела деньги Вам! Дальше, думаю, можно не объяснять.
Отметим, что в рамках взаимодействия с банками нами была разработана модель выявления дропа, которая по обезличенным признаком с ROC-AUC > 0,8 позволяет по поведению абонента понимать, что он планирует заниматься / занимается дроперской деятельностью. Но об этом мы как-нибудь расскажем отдельно.
Будущее мошенничества
В ближайшие годы развитие ИИ-технологий кардинально изменит ландшафт киберугроз. Почти наверняка дипфейки станут для нас чем-то вроде сегодняшних «звонков из службы безопасности», а каждый пятиклассник будет знать, как совершить безопасную p2p-транзакцию своими цифровыми рублями. И что не стоит называть никому цифры из SMS на отцовском телефоне. А мошеннические коммуникации целиком переедут из телекома в соцсети и мессенджеры.А пока мы попробуем предположить, о чём следует позаботиться сейчас, чтобы эффективно противостоять киберугрозам будущего.
- Запретите звонки / сообщения от людей не из списка контактов в мессенджерах
- Если кто-то из знакомых совершил нетипичное действие – просит «проголосовать за ребёнка по ссылке» или «перевести 5000 до зарплаты» – сразу перезвоните ему
- Придумайте кодовые слова для близких, которые вы не использовали прежде нигде: в случае подозрений на дипфейк под видом близкого человека, просто спрашивайте их. Ну или спросите что-то такое, о чём знаете только Вы с этим человеком – чем я рисовал на стенах квартиры, когда мне было два года?
- Ограничивайте публикацию информации о себе в интернете – сегодня на ваших голосовых и кружочках из Telegram можно сделать кривоватый дипфейк, а через год – 4k HDR видео, а если ещё и LLM на переписках обучить…
- Используйте сложные пароли, двухфакторную аутентификацию, и не переходите по подозрительным ссылкам ;-)
