Как банкам защитить клиентов от фишинга

Атаки чаще начинаются в пространствах, которые формально не относятся к банковской инфраструктуре:

• мессенджеры
• мобильные приложения
• фишинговые сайты

Фактически клиент банка становится новой точкой атаки.

Банки продолжают укреплять свои системы безопасности и реагировать на уже известные схемы, но мошенники действуют иначе. Они постоянно ищут новые способы воздействия на пользователей. И парадокс в том, что не всегда эти схемы сложны с технической точки зрения. Многие из них существуют годами почти без изменений — просто потому, что продолжают работать.

Ведь если схема приносит «профит», зачем ее менять?

Какой бы ни была конкретная схема, в ее основе почти всегда лежит один и тот же фактор — доверие. Именно его мошенники пытаются получить в первые минуты общения. Можно предупреждать клиентов о популярных сценариях мошенничества и публиковать инструкции по безопасности. На практике атаки все равно продолжают приносить злоумышленникам прибыль. Причина проста: люди принимают решения быстро, не успевая критически оценить происходящее.

Мошенники играют на факторе срочности. «Срочно нужны документы», «необходимо подтвердить операцию», «нужно перевести деньги, пока транзакция не заблокирована». Создается ощущение, что действовать нужно немедленно, потом будет поздно. В такой ситуации человек реагирует эмоционально и помогает, даже если сообщение приходит не с официального канала банка, а, например, от «представителя службы поддержки» в мессенджере.

Особенно заметно это стало с ростом популярности мессенджеров. Для мошенников они оказались практически идеальной средой: коммуникация проходит быстро, пользователь воспринимает диалог как личное общение, а проверка источника сообщения часто остается на втором плане.

Telegram стал полноценной площадкой для мошеннических схем. Здесь легко создавать фейковые аккаунты «службы поддержки», распространять ссылки на фишинговые ресурсы и публиковать инструкции по установке якобы официальных банковских приложений. Для пользователя все выглядит привычно: стандартный интерфейс чата, быстрые ответы, ощущение личного диалога с представителем банка.

Опасность представляют поддельные мобильные приложения. Внешне они могут практически не отличаться от оригинальных, однако внутри содержат вредоносный код, который позволяет перехватывать логины, пароли, SMS-сообщения и одноразовые коды подтверждения. Такие APK-файлы распространяются через Telegram-каналы, сторонние сайты и социальные сети. Пользователям их предлагают как «альтернативную версию» или «обновление официального приложения».

Даже опытные пользователи могут попасться на такую схему. Основная ловушка — все те же доверие и фактор срочности. Сообщения сопровождаются призывами действовать немедленно: «подтвердите перевод», «операция будет отменена», «необходимо срочно обновить приложение». В такой ситуации человек реагирует быстро и эмоционально, не проверяя источник сообщения, и в итоге сам передает злоумышленникам доступ к своим финансам.

Показательный пример — кейс с одним из крупнейших банков России, входящих в топ-5 по популярности. Мошенники ежедневно создавали Telegram-каналы, маскируясь под официальные каналы банка, и распространяли через них APK-файл, который ничем не отличался от обычного приложения. Однако внутри находилось вредоносное ПО.

Схема была простой. Злоумышленники выкупали уже существующие Telegram-каналы с аудиторией. Такие каналы стоят недорого и быстро получают доверие пользователей.

Человек видел название банка, много подписчиков, и автоматически воспринимал канал как официальный источник. Проверять подлинность канала, как правило, никто не пытался.

Со своей стороны эксперты Infosecurity выстроили активную модель защиты клиентов банка. C помощью сервиса CYBERDEF удалось обеспечить проактивный мониторинг Telegram, выявить лжеканалы и инициировать их блокировку. Это значительно сократило распространение вредоносных приложений, защитило клиентов от прямого мошенничества и снизило репутационные риски для банка.

Активная фаза таких атак часто заканчивается тогда, когда появляется системное реагирование. После того как каналы начали оперативно выявляться и блокироваться, мошенники постепенно прекратили использовать эту схему в отношении банка.

Похожая ситуация наблюдалась и в другом кейсе Infosecurity — уже с использованием классического фишинга. Речь шла о другом крупном банке из топ-5 по популярности в России.

Мошенники ежедневно создавали фишинговые сайты, имитирующие страницу входа в личный кабинет банка. Визуально такие страницы практически полностью повторяли оригинальный интерфейс, поэтому отличить их от настоящего сайта было непросто.

Распространение происходило сразу через несколько каналов. Ссылки отправлялись пользователям в мессенджерах, продвигались через рекламные позиции в поисковых системах, а также через таргетированную рекламу в социальных сетях, настроенную на клиентов банка. В результате потенциальная жертва могла столкнуться с фишинговым ресурсом в любой точке цифровой среды.

В ходе мониторинга ежедневно выявлялись десятки однотипных фейковых доменов. При этом злоумышленники действовали довольно шаблонно: многие сайты регистрировались по схожим принципам и часто даже на одного и того же пользователя.

После анализа инфраструктуры удалось выявить закономерности, по которым создавались такие ресурсы. Это помогло изменить подход к мониторингу: вместо реакции на уже обнаруженные сайты аналитики Infosecurity начали выявлять новые домены в момент их регистрации — еще до того, как они успевали попасть в рекламную выдачу или начать распространяться среди пользователей. Это позволило перейти от реактивной модели защиты к превентивной, когда мошеннический ресурс блокируется еще на этапе подготовки атаки, обеспечивая антифишинг для клиентов банка.

Оба кейса показывают одну и ту же тенденцию: атака на клиента начинается задолго до того, как она становится заметной для банковских систем.

Злоумышленники все реже пытаются взломать банки напрямую. Вместо этого они выстраивают собственную инфраструктуру — в мессенджерах, на фишинговых сайтах, в поддельных приложениях, работая с самым уязвимым элементом системы — пользователем.

Для банков это означает принципиально новую задачу: недостаточно защищать только собственные серверы и приложения. Все чаще атаки начинаются в среде, которая формально не относится к банковской инфраструктуре, но напрямую влияет на безопасность клиентов и контроль репутации. Речь идет о расширении зоны ответственности банка за пределы своего технологического контура.

Когда злоумышленники получают доступ к данным клиента или убеждают его перевести деньги, начинается следующий этап — вывод средств. Здесь ключевую роль играют так называемые дропы: люди, через чьи банковские счета проходят украденные деньги.

Сегодня это уже не случайные участники схемы, а целая инфраструктура. Дропов массово ищут через социальные сети, мессенджеры и объявления о «легком заработке». Управление такими сетями часто происходит через Telegram-каналы и ботов.

Средства могут проходить через несколько счетов подряд, дробиться на части и быстро распределяться между участниками схемы. Все это усложняет расследование и увеличивает скорость мошеннических операций.

В результате мошенничество превращается в масштабируемую модель, где фишинговые сайты, поддельные приложения, Telegram-каналы и сети дропов работают как элементы единой инфраструктуры.

Подробнее об этом читайте в статье от эксперта Infosecurity >>>

Если посмотреть на статистику последних лет: мошенничество все чаще смещается в сторону атак на клиентов. Значительная часть инцидентов связана не с прямым взломом банковских систем, а с социальной инженерией, фишингом и поддельными цифровыми сервисами.

Мессенджеры становятся одним из ключевых каналов распространения таких схем. Через них распространяются вредоносные ссылки, поддельные приложения и фейковые каналы поддержки банков.

При этом ресурсы появляются и исчезают очень быстро. Один мошеннический канал может существовать всего несколько дней, после чего его заменяют десятки новых. Это создает эффект «движущейся цели», где внешние угрозы банка постоянно меняются. Поэтому борьба с ними требует не только реагирования, но и постоянного мониторинга внешней цифровой среды.

В финансовой индустрии доверие всегда было фундаментом отношений между банком и клиентом. Но в цифровой среде оно становится еще более уязвимым ресурсом.

Каждый фейковый Telegram-канал, поддельное приложение или сообщение от «службы поддержки» — это попытка перехватить доверие пользователя. Иногда злоумышленникам достаточно нескольких минут диалога, чтобы убедить человека выполнить нужное действие. Поэтому защита от фишинга банком клиентов выходит за пределы традиционной информационной безопасности. Банкам приходится работать с угрозами там, где они только появляются: в мессенджерах, социальных сетях, мобильных приложениях и доменной инфраструктуре.

Чем раньше удается обнаружить такие угрозы и ограничить их распространение, тем меньше возможностей у мошенников превратить доверие клиента в инструмент атаки. И в этом смысле доверие действительно становится новой валютой.

Банк, который умеет защищать его не только внутри своей инфраструктуры, но и за ее пределами, в конечном итоге защищает самое ценное — уверенность клиентов в безопасности их финансов и данных.