Эксперты по информационной безопасности отмечают с начала 2024 года рост атак по мошеннической схеме FakeBoss (ложный начальник).
При этом если в 2023 году злоумышленники использовали преимущественно сообщения в мессенджерах от имени руководителя компании с фейковых аккаунтов, то в 2024 году наблюдается тренд на использование аудиодипфейков — то есть именно звонков по мессенджерам от имени руководителя компании с подменой его голоса.
При этом аудиодипфейк моделируется с помощью технологии искусственного интеллекта на основании фрагмента речи человека. Его можно получить, в том числе, и позвонив по номеру телефону руководителя компании от имени его фитнес клуба, банка или любой другой организации.
Многочисленные утечки персональных данных существенно облегчают задачу злоумышленников, предоставляя им массу данных о человеке, включая номер мобильного телефона.
На Западе аудиодипфейки при мошеннических схемах FakeBoss используются уже достаточно давно. Еще в 2019 году в Великобритании хакерам удалось похитить €220 тыс. у энергетической компании, выдав себя за ее гендиректора и убедив в телефонном разговоре сотрудника перевести деньги.
Защитить компании от подобных атак с использованием социальной инженерии вполне реально. В данном случае спасение утопающих — не дело рук исключительно самих утопающих. Безусловно, главбуху нужно быть бдительным и при поступлении подобного звонка от директора (или сообщения в мессенджере) стоит задать наводящие вопросы боссу, чтобы удостовериться, что это действительно он, а не переводить миллионы непонятно куда.
Но и кредитным организациям, где обслуживается компания, также необходимо озаботиться безопасностью средств своих корпоративных клиентов.
Банки не должны экономить на средствах подтверждения транзакций, в том числе юрлиц, а также на системах противодействия мошенническим вызовам — антифроде. Кроме того, защищенность компании от подобных атак повышается в разы, когда руководитель компании сам подтверждает платежи и при этом видит куда уходят деньги.
Если кредитная организация по старинке использует для подтверждения транзакций коды из СМС, то сделать это нереально. Мобильная цифровая подпись на смартфоне эту проблему решает.
Представим себе ту же ситуацию — звонок Марии Ивановне от шефа, но платежи в этой компании подтверждается мобильной цифровой подписью и заверяется директором. Как только главбухом будет создана платежка в пользу фейкового контрагента ООО «Ромашка», генеральному директору придет сообщение о созданном платежном поручении на смартфон, он увидит, что платеж контрагенту — «липа» и просто не подтвердит платеж. И хищения средств не будет.
И это не миф, а реальная практика. Многие банки, кто используют мобильную электронную подпись для подтверждения транзакций, разделяют формирующего платеж и подписанта, и таким образом отлавливают большого количество фрода (как внутреннего, со стороны недобросовестных сотрудников компании, так и различные атаки социальных инженеров).
Кстати, мобильная цифровая подпись используется и при обслуживании состоятельных клиентов банка (сегмент Private). Здесь мобильного или интернет-банка в целях безопасности в принципе нет, все платежи совершаются персональным менеджером по звонку клиента. Для защиты от ошибок, мошенничеств и внутреннего фрода банки при работе с состоятельными гражданами часто используют мобильную цифровую подпись.
В этом случае клиент сообщает менеджеру куда переводить его миллионы, далее ему приходит на смартфон в специальное приложение сообщение от банка о будущей транзакции, человек проверяет куда идет платеж и подтверждает его. Удобно и безопасно.
Но, к сожалению, пока банков, перешедших на подтверждение операций с помощью мобильной цифровой подписи, не так много. И потому хакеры продолжают атаковать компании через главбухов и многочисленные Марии Ивановны, услышав в трубке телефона разгневанный голос босса, спешат быстрее переводить миллионы непонятно кому.
Комментарии
1Хорошо когда директор сидит в соседнем кабинете, можно просто зайти уточнить с чего это он вдруг решил через Телеграмм звонить)
Оказывается, отсутствие удаленки может быть благом