Когда говорят об антифроде в банках, чаще всего вспоминают модели, скоринги, поведенческую аналитику и машинное обучение. Но чем больше усложняется техника, тем проще выглядит главный вектор атаки: разговор по телефону, письмо в почту, сообщение в мессенджер. Вместо эксплойта уязвимости в ядре ОС — эксплойт уязвимости в человеческой психике.
Социальная инженерия в финансовом секторе давно перестала быть дополнением к техническому фроду. Для многих групп это уже ключевой инструмент монетизации: дешевле, проще масштабируется и не требует редких технических компетенций. Vishing‑колл‑центры с десятками и сотнями операторов, тщательно прописанные скрипты, сегментация «клиентской базы», таргетированные pretexting‑атаки на сотрудников — всё это больше напоминает зрелую индустрию, чем кустарный криминал.
В этой главе разберём, как именно устроена социальная инженерия в банковском фроде: от массовых атак на клиентов до точечных атак на сотрудников. Посмотрим на скрипты, психологические техники, реальные кейсы и — главное — на то, что реально работает в защите, а что превратилось в «ритуальный комплаенс».
1. Ландшафт социальной инженерии в финансах
Социальная инженерия живёт на стыке психологии, маркетинга и криминала. Для банков это означает две неприятные вещи: такие атаки очень легко масштабировать и крайне сложно «запатчить обновлением».1.1. Статистика и тренды
Основной канал компрометации — голос и текст: телефонные звонки, мессенджеры, соцсети, электронная почта. Именно через них мошенники получают критический «кусок» цепочки: код подтверждения, согласие на перевод, установку вредоносного ПО или необходимую служебную информацию.Одновременно растёт доля целевых атак на сотрудников и корпоративных клиентов. Business Email Compromise, spear phishing, pretexting под видом регулятора, аудитора или головного офиса — это уже не экзотика, а вполне обычный фон работы для крупных банков.
Главный тренд последних лет — переход от единичных эпизодов к поточным схемам. По другую сторону линии у злоумышленников своя операционная машина: CRM, скрипты, обучение «операторов», контроль качества, статистика по конверсии. Иногда их внутренняя организация ничуть не уступает аутсорсинговому колл‑центру среднего банка.
1.2. Почему банки — главная цель
Причины выбора банков в качестве главной цели очевидны, но важно проговорить их именно с человеческой стороны. Деньги находятся очень близко к эмоциям. Любое сообщение о потенциальной потере средств мгновенно включает тревогу, страх и желание «немедленно что‑то сделать». Это идеальный эмоциональный фон для манипуляций.К этому добавляется традиционно высокий уровень доверия к банкам как к институту. Если голос в трубке или письмо в почте успешно имитирует атрибуты банка — номер, терминологию, знание операций и персональных данных, — доверие включается автоматически. Клиенту в принципе сложно поверить, что с ним говорит не «настоящий банк», если всё вокруг выглядит именно так.
Наконец, внутренние процессы банков действительно сложны. Для сотрудников многие регламенты, особенно связанные с безопасностью и регуляторами, выглядят запутанно и изменчиво. На этом удобно играть: «новая инструкция ЦБ», «внеплановая проверка», «особый порядок для этого клиента». Сотруднику проще подчиниться голосу «сверху», чем спорить и уточнять.
При этом банк не может просто «выключить» канал, как отключает уязвимый сервис. Телефон, почта, мессенджеры, личные встречи — обязательная часть бизнеса. Значит, вместе с ними в системе по умолчанию присутствует и постоянный вектор социальной инженерии.
За рамками банковского контекста сами техники социальной инженерии устроены примерно так же. В статье “Атаки социальной инженерии: методы и примеры” можно посмотреть более широкий обзор фишинга, вишинга, претекстинга и других приёмов с примерами.
2. Vishing‑атаки на клиентов
Vishing по сути является зеркалом привычного телемаркетинга: те же техники вовлечения и удержания внимания, та же работа с возражениями, только цель не продать продукт, а заставить человека добровольно передать деньги или доступ. Импровизации здесь всё меньше, всё остальное делают скрипты и тренинг.2.1. Типовые сценарии
В реальном поле крутится несколько устойчивых сюжетов.Самый узнаваемый сценарий — «подозрительные операции по счёту». Клиенту сообщают, что сейчас, «прямо в эту минуту», с его карты или счёта якобы проходит операция: оформление кредита, покупка в другом регионе, перевод на неизвестный счёт. Клиенту задают вопрос‑ловушку: он ли это делает. После отрицательного ответа запускается воронка страха и срочности.
Вторая линия — «ошибка или злоумышленник внутри банка». Голос в трубке рассказывает о неком «сотруднике, оформившем кредит на вас», или о допущенной ошибке, из‑за которой ваши деньги вот‑вот уйдут неизвестно куда. Здесь клиент уже как бы включается в борьбу с внутренним врагом и чувствует ответственность «не дать себя обмануть».
Третий сюжет — «служба безопасности банка / МВД / ЦБ». Мошенники любят комбинировать легенды: сначала звонит «банк», затем клиента якобы переводят на «следователя» или «сотрудника ЦБ». Авторитет усиливается, ощущение формальности и серьёзности происходящего тоже.
Финальным аккордом почти всегда становится предложение «перевести деньги на безопасный счёт», «отменить операцию с помощью кода» или «подтвердить аннулирование кредита». Формально клиент как бы защищает свои средства, а по факту — сам проводит мошенническую операцию.
Во всех этих сценариях ощущение «прямо сейчас» и «ещё чуть‑чуть — и вы всё потеряете» важнее деталей легенды. Психологический каркас один и тот же.
2.2. Скрипты мошенников: как они звучат
Если послушать реальные записи разговоров, поразит не агрессия, а наоборот, профессиональная «ежедневность» диалогов. Оператор приветствует по имени‑отчеству, уточняет пару деталей, вежливо извиняется за беспокойство и дальше ведёт разговор так, как это сделал бы сотрудник легального колл‑центра.Типичный ход: вначале создаётся ощущение контроля у клиента. «Вы сейчас совершаете покупку на сумму…?» — и пауза. Клиент говорит «нет», и в этот момент у него возникает внутреннее чувство, что именно он помогает банку обнаружить и остановить мошенничество. Оператор тут же усиливает это ощущение фразой «фиксирую, что операция вами не подтверждена» и переводит диалог в плоскость общей борьбы с злоумышленником.
Дальше он мягко, но настойчиво направляет клиента по заранее прописанному пути: подойти к банкомату, открыть мобильное приложение, продиктовать коды, следовать «инструкциям по защите счёта». В речи активно используются знакомые клиенту элементы реального банковского опыта: ссылки на «код авторизации», «службу безопасности», «отмену операции», «регламент ЦБ» и так далее. Важно, что в явном виде никто не просит «отдайте деньги». Человек «выполняет процедуру безопасности».
2.3. Spoofing caller ID как усилитель доверия
Технология подмены номера, которая позволяет выводить на экран телефона официальный номер банка, стала одним из ключевых усилителей таких сценариев. Для обычного клиента долгое время действовало простое правило: если на экране — номер банка, значит, звонит именно банк. Сейчас это правило по факту не работает, но в массовом сознании оно живёт до сих пор.С технической стороны злоумышленники используют IP‑телефонию с подстановкой номера, аренду или компрометацию легитимных АТС, иногда — альтернативные каналы вроде VoIP‑приложений и мессенджеров. Важно не столько, как именно реализована подмена, сколько результат: клиент уже до первого «алло» находится в рамке доверия и не ожидает обмана.
Для антифрод‑подразделений это создаёт принципиальную проблему. Банк годами укреплял ассоциацию «официальный номер — точка доверия», а теперь вынужден объяснять клиенту, что даже эта точка больше не надёжна. Такой сдвиг в головах происходит медленно и с большим сопротивлением.
3. Pretexting против сотрудников банков
Если с клиентами мошенники работают по массовой модели, то с сотрудниками предпочтительнее точечные операции. Один удачный контакт может открыть дорогу к системам, процессам и данным, монетизация которых намного масштабнее одной‑двух клиентских операций.3.1. Reconnaissance phase: подготовка атаки
Хороший pretext всегда начинается с разведки. Злоумышленники изучают профили сотрудников в соцсетях, профессиональных сообществах, на конференциях и вебинарах. Их интересует всё, что помогает собрать картину: должность, отдел, город, специализация, упоминания проектов, инструменты, с которыми человек работает.Дополнительно в ход идут утечки корпоративных адресов, старые фишинговые базы, открытые документы с упоминанием структурных подразделений. Иногда полезной оказывается даже «сердечная» активность в виде поздравлений в корпоративных чатах и открытых каналах: по ним можно вычислить руководителей, связки «начальник‑подчинённый», непрямые связи.
Цель всей этой подготовки проста: к моменту первого контакта легенда должна звучать органично. Сотрудник не должен слышать абстрактное «я из головного офиса», а нечто вроде: «я из дирекции операционных рисков, работаем с вашей региональной сетью по проекту оптимизации обработки кредитных заявок». Чем точнее попадает формулировка в реальный контекст, тем ниже критичность восприятия.
3.2. Сценарии атак
Дальше включаются знакомые для любого корпоративного человека сюжеты. Один из самых удобных — «внеплановая проверка или аудит». Злоумышленник представляется сотрудником внутреннего контроля, ревизии или регулятора и просит помочь «быстро проверить корректность прав доступа», «выгрузить выборку операций» или «сделать скриншоты интерфейса системы».Другой устойчивый мотив — «техническая поддержка или вендор». Здесь в легенду интегрируются настоящие названия систем: АБС, CRM, хранилище данных, система мониторинга. Собеседнику объясняют, что обнаружен «инцидент», «масштабный сбой» или «уязвимость», и теперь нужно убедиться, что на его стороне всё в порядке. И если сотрудник привык к тому, что ИТ‑поддержка действительно иногда что‑то просит, граница между реальностью и ложью размывается.
Третий тип — «коллега, который решает срочную проблему клиента, особенно VIP». Здесь активно эксплуатируется внутренний фокус на сервис и SLA. Сотруднику объясняют, что от его оперативности сейчас зависит или выполнение обязательств перед важным клиентом, или репутация отделения. Просьбы звучат вполне буднично: проверить статус заявки, открыть карточку клиента, уточнить параметры продукта.
В каждом сценарии критична именно «почти нормальность». От сотрудника не требуют сделать что‑то принципиально невозможное в нормальной жизни. Его просят чуть‑чуть выйти за рамки обычных полномочий «в исключительной ситуации».
3.3. Insider threat angle
Есть ещё один, более долгий и неприятный аспект — попытки сделать из сотрудника не жертву, а партнёра. Здесь social engineering пересекается с классическим инсайдерским риском.Начинается всё часто невинно: с контактов якобы от рекрутеров конкурирующих банков или ИТ‑компаний, которые задают общие вопросы о том, как устроены процессы. Или с предложения подработки в виде «консультаций» по рынку и технологиям. Со временем в эти разговоры начинают аккуратно вплетаться более чувствительные темы: как именно устроена идентификация клиента, какие проверки проводит антифрод, как выглядят внутренние регламенты.
Апеллируют, как правило, к неудовлетворённости и чувству недооценённости: «у вас отличный опыт, а вы получаете не те деньги, которые могли бы». Это длинная игра, но она даёт злоумышленникам доступ к знаниям и возможностям, которых невозможно получить из открытых источников.
Для банка это означает одно: работу с риском социальной инженерии против сотрудников невозможно вести в отрыве от HR и службы безопасности. Нужна целостная картина, где лояльность, мотивация и культура безопасности рассматриваются совместно.
4. Психологические техники: из чего сделаны атаки
У хороших «социальщиков» нет никакой магии. Есть набор приёмов, давно описанных в поведенческой психологии, маркетинге и продажах. В банковском контексте лучше всего работают четыре опоры.- Срочность и страх.
- Авторитет.
- Социальное доказательство.
- Иллюзия упущенной выгоды или последней надежды.
4.1. Urgency and fear
Срочность и страх — базовая связка в большинстве vishing‑сценариев. Звонящий постоянно подчёркивает, что времени почти нет: операция уже проходит, у банка есть всего несколько минут, чтобы её остановить, а любые промедления будут расценены как отказ от помощи. Параллельно формируется страх последствий: «в случае вашей пассивности ответственность за потерю средств будет на вас», «при отказе от процедуры банк может отказать в компенсации».Человек в таком состоянии перестаёт взвешивать риски, он действует из мотива «спасти деньги любой ценой». В спокойной обстановке большинство жертв признали бы абсурдность собственных действий. Но в режиме паники и цейтнота когнитивные фильтры отключаются один за другим.
4.2. Эксплуатация авторитета
Второй мощный рычаг — авторитет. Для клиентов это, прежде всего, авторитет банка и государственных структур. Титулы вроде «служба безопасности», «старший специалист», «следователь МВД», «представитель ЦБ» создают ощущение, что по другую сторону линии находятся люди, которые «знают лучше» и «имеют право требовать».Авторитет усиливается за счёт деталей: знание ФИО, последних операций, кредитного лимита, нюансов продуктов. Источником зачастую служат утечки, но клиент этого не видит — он видит подтверждение: «они знают про меня то, что посторонний знать не должен». Дополнительную роль играет профессиональный жаргон, напоминающий язык реальных сотрудников банка.
Для сотрудников банков авторитет проявляется в другом виде — это внутренние и внешние контролёры. «Дирекция по рискам», «служба внутреннего аудита», «IT‑безопасность», «ЦБ» и «Росфинмониторинг» звучат в их ушах как организации, с которыми лучше не спорить. И чем меньше человек уверен в тонкостях регламентов и проверок, тем легче он поддаётся давлению.
4.3. Social proof: «все так делают»
Третий столп — социальное доказательство. Его задача — снять ощущение странности и изоляции. Если клиент слышит, что «сейчас по всей стране идёт волна атак, и все клиенты проходят такую проверку», он воспринимает ситуацию не как личный абсурд, а как общую норму. Сотрудник, которому говорят, что «ваши коллеги из соседнего отделения уже отправили отчёты», меньше склонен сомневаться и отказываться.Фактически социальное доказательство превращает индивидуальное решение в «движение в потоке». «Все так делают» — одна из самых сильных установок, особенно в условиях неопределённости.
5. Реальные кейсы: как это выглядит вживую
Теория становится по‑настоящему понятной только тогда, когда её накладываешь на реальные истории. В банковской практике их, к сожалению, достаточно.5.1. Массовая vishing‑кампания
Представим типичную историю крупного банка, который сталкивается с волной звонков клиентам. В какой‑то момент в даркнете или на полуоткрытых ресурсах всплывает база с частичными данными клиентов: ФИО, телефоны, регион, иногда маски карт и примерные остатки. Эту базу покупает группа, у которой уже есть готовая инфраструктура колл‑центра.Дальше запускается маркетинговая кампания. Клиентам звонят с подменённых номеров, им крутят автоинформатор с тревожной фразой про списание или оформление кредита, после чего переводят на «оператора». Оператор, следуя скрипту, за несколько минут проводит человека через все стадии — от шока до псевдочувства контроля — и заканчивает всё подтверждением перевода на «безопасный счёт» или диктовкой кода «для отмены операции».
Для банка внешняя картина выглядит почти как нормальная активность. Клиент входит в приложение с привычного устройства, подтверждает операцию с помощью легитимного SMS‑кода, часто даже не меняет привычный шаблон поведения по суммам и получателям (мошенники заранее подстраиваются под лимиты). Антифрод‑модели в такой ситуации видят не вторжение, а согласованное действие клиента.
5.2. Targeted‑атака на сотрудника
Другой пример относится уже к внутреннему контуру. Допустим, злоумышленники находят в публичном профиле сотрудника банка указание на должность «специалист операционного офиса» и город. Подозревая, что у него есть доступ к ряду внутренних систем, они проводят небольшую разведку: сверяют структуру филиальной сети, находят примерные названия подразделений, выясняют, какие системы чаще всего используются на подобных позициях.Спустя несколько недель этому сотруднику звонят. В трубке звучит вежливый, уверенный голос: «Добрый день, это служба внутреннего аудита из головного офиса. Мы проводим точечную проверку операций по кредитованию в вашем регионе». Далее собеседнику предлагают «уделить 10–15 минут» и начинают в деталях описывать его типичные процессы, создавая ощущение, что «там» действительно знают, чем он занимается.
После установления доверия следует просьба: открыть определённую систему, проверить доступ, назвать некоторые параметры или сделать скриншот экрана. В более жёстких сценариях сотрудника подводят к установке «временного программного обеспечения» для удалённой проверки. Если защита процессов и культуры в банке слаба, один такой звонок может обернуться серьёзной утечкой справочной информации о системах и процедурах, которая потом будет использована в других атаках.
6. Защита клиентов: что реально работает
Работа с клиентами традиционно начинается с информационных кампаний. Проблема в том, что классический подход — плакаты в отделениях и формальные предупреждения в приложении — плохо попадает в момент, когда человек действительно нуждается в подсказке.6.1. Awareness‑программы: от плаката к сценарию
Эффективное обучение клиентов строится не вокруг лозунгов, а вокруг узнаваемых сценариев. Фраза «никому не сообщайте коды из SMS» слишком абстрактна. Гораздо полезнее описывать конкретную сцену: «Если вам звонят с якобы номера банка, говорят, что на вас оформлен кредит, и просят продиктовать код из SMS для его отмены, — это мошенники». Клиент, который прочитал такой пример заранее, с большей вероятностью узнает его вживую.Важна и подача. Сухие юридические формулировки мало что меняют в поведении. Гораздо сильнее работают «живые» истории — пусть и анонимные, но реальные, с эмоциями, с описанием того, что чувствовал человек и как именно его убедили. Тут банки могут многому научиться у маркетинга и сторителлинга.
Наконец, обучение должно быть регулярным и встроенным в контекст. Короткие сообщения при входе в приложение, напоминания на экране подтверждения перевода, редкие, но яркие сюжеты в e‑mail‑рассылках дают больше эффекта, чем один длинный текст раз в год, который никто не читает.
6.2. Transaction confirmation как подстраховка
Второй рубеж защиты — момент подтверждения операции. Это единственная точка, где у банка есть технический контроль и возможность вмешаться в навязанный сценарий.Важно, каким языком написан текст в SMS или push‑уведомлении. Сухая строка «Код 123456, никому не сообщайте» мало помогает человеку, который уже находится под контролем мошенника. А вот явная формулировка типа: «Вы подтверждаете перевод 45 800 ₽ на счёт ***1234. Если вам позвонили и просят использовать код для отмены мошеннической операции — это мошенники» возвращает клиенту шанс задуматься прямо в критический момент.
Дополнительные проверки стоит включать в случаях, когда параметры операции явно выбиваются из привычного профиля: перевод всего остатка счёта, крупная сумма на новый счёт, нетипичный получатель. Здесь можно позволить себе дополнительный экран с подтверждением, отложенное исполнение или даже обратный звонок от банка — при разумном балансе с UX.
Задача не в том, чтобы полностью исключить ошибки клиента, а в том, чтобы хотя бы раз дать ему возможность переспросить себя: «Я точно делаю это по собственной воле, а не потому, что меня ведут за руку по телефону?»
7. Защита сотрудников: процедуры, культура, тренинги
Сотрудники банков ничуть не менее уязвимы, чем клиенты, но цена их ошибки выше. Поэтому здесь защита должна строиться не только на документах, но и на живой культуре.Ключевым элементом выступают понятные процедуры верификации входящих запросов. Любой звонок или письмо, пришедшие «из головного офиса», «от регулятора» или «от вендора», не должны обслуживаться «с голоса». У сотрудника должен быть простой и неформально одобряемый способ проверить легитимность: перезвонить по номеру из корпоративного справочника, проверить тикет в официальной системе, уточнить у руководителя. Если такой способ не только описан на бумаге, но и реально поддерживается менеджментом, вероятность успешной атаки резко падает.
Не менее важна чётко очерченная зона запретов. Сотрудник должен без раздумий знать, что он никогда и ни при каких обстоятельствах не:
- передаёт свои логины и пароли;
- сообщает коды двухфакторной аутентификации;
- устанавливает сторонний софт по просьбе «по телефону»;
- высылает скриншоты с чувствительными полями во внешние неконтролируемые каналы.
Тренинги по безопасности тоже стоит переводить из формата лекций в формат практики. Имитационные фишинговые письма, тестовые звонки, разбор свежих кейсов с обсуждением «где сработало» и «что насторожило бы» формируют нужный рефлекс: при любом сочетании «срочно» и «необычно» сначала проверять, а уже потом действовать.
И, наконец, атмосфера. Если сотрудник боится наказания за ошибку, он будет тянуть до последнего и пытаться скрыть инцидент. Намного полезнее поощрять открытые сообщения о подозрительных контактах, даже если человек уже успел сделать шаг в неверном направлении. Чем раньше банк узнаёт о попытке социальной инженерии, тем больше шансов локализовать последствия.
8. Технические меры: когда психология встречается с технологией
Хотя корень социальной инженерии — в человеческой психике, технологии могут сильно сузить поле для манёвра злоумышленников.Один из направлений — совместная работа банков и операторов связи по проверке и маркировке звонков. Анти‑spoofing‑механизмы, выделенные диапазоны для исходящих звонков банка, пометки «подозрительный вызов» на уровне оператора не решают проблему полностью, но уменьшают количество «идеально похожих» на банк звонков.
Другой инструмент — голосовая биометрия и поведенческий анализ в колл‑центре. Если система способна пассивно распознавать постоянных клиентов по голосу и манере речи, злоумышленнику сложнее выдать себя за клиента, даже имея его персональные данные. Это не защита от всех схем, но ещё один барьер.
С другой стороны, антифрод‑модели можно учить замечать именно контекст социальной инженерии: последовательность «подозрительный входящий вызов — быстрое открытие приложения — нетипичный перевод» даёт больше информации, чем анализ самой операции в отрыве от предыстории. Здесь перспективен обмен обезличенными данными между операторами и банками, хотя он и упирается в регуляторные ограничения.
Внутри банка технические средства вроде DLP, UEBA и мониторинга аномальной активности помогают отслеживать последствия успешной социальной инженерии против сотрудников. Если человек внезапно начинает массово выгружать данные, получать доступ к непривычным системам, изменять настройки безопасности, это повод для автоматического сигнала и проверки, даже если формально он действует со своей учётной записи.
Критично, чтобы за любой технической мерой стоял понятный процесс реагирования. Выявить «подозрение на SE» недостаточно; нужно быстро вывести ситуацию из сценария злоумышленника в сценарий банка — через прозвон, блокировку, дополнительную проверку.
Тем, кто смотрит на проблему шире и думает о карьере в антифроде, будет полезна статья “Антифрод-аналитика: почему этот дефицитный специалист на стыке ИБ и данных стоит от 150 000 рублей” с разбором задач, зарплат и требований к специалистам.
Заключение
Социальная инженерия в банковском фроде — это не случайный сбой человеческого фактора, а системная деятельность по другую сторону линии. У злоумышленников есть свои скрипты, обучение персонала, аналитика и постоянный A/B‑тестинг легенд. Они так же аккуратно строят воронки, как маркетологи и продуктовые команды.Поэтому и ответ банков не может быть одноплоскостным. Антифрод‑аналитики, ИБ‑подразделения, комплаенс и HR должны смотреть на социальную инженерию как на общий риск, который проходит сквозь всю организацию: от SMS клиенту с кодом подтверждения до звонка сотруднику от «внутреннего аудита». Где‑то уместны новые алгоритмы, где‑то достаточно переписать текст уведомления, а где‑то придётся менять культурные установки и управленческие практики.
В идеале каждая попытка социальной инженерии должна становиться для банка не уникальной драмой, а отработанным сценарием: известно, как это выглядит, какие сигналы вспыхивают в системах, кто и что делает в ответ. Тогда и клиенты, и сотрудники перестанут чувствовать себя «глупыми жертвами» и начнут ощущать себя частью защищённой системы, которая умеет ошибаться, но ещё лучше умеет эти ошибки исправлять.
Вложения
Последнее редактирование:
