ФБР повідомляє про різке збільшення кількості атак, під час яких шахраї видають себе за співробітників фінансових установ і намагаються захопити банківські та інші фінансові акаунти користувачів. Схема отримала назву Account Takeover (ATO) — «захоплення акаунтів».

За даними Центру скарг на інтернет-злочини (IC3), з початку року зафіксовано понад 5 000 випадків, а збитки вже перевищили 262 мільйони доларів.

Як працює схема ATO

Зловмисники контактуть із жертвою, видаючи себе за:

·         банківську підтримку,

·         служби безпеки,

·         IT-фахівців,

·         менеджерів фінансових установ.

Далі вони використовують:

·         фішинг (листи),

·         смішинг (SMS),

·         вішинг (дзвінки),

щоб виманити логін, пароль, одноразові коди, MFA або OTP.

Часто атаки здійснюються з використанням даних, які вже раніше були вкрадені й продаються на даркнеті.

Що відбувається після захоплення акаунта

Коли шахраї отримують доступ:

1.      входять у кабінет жертви;

2.      змінюють пароль;

3.      переказують гроші на підконтрольні рахунки чи криптогаманці;

4.      блокують будь-які можливості відновлення доступу.

У багатьох випадках зловмисники підлаштовують «підозрілу активність» і пересилають людині посилання на фішинговий сайт банку, де вона вводить свої справжні дані.

Як захиститися — поради FBI

ФБР радить:

·         не довіряти несподіваним дзвінкам від «банків»,

·         у разі сумніву — завжди передзвонювати самостійно на офіційний номер,

·         ніколи не повідомляти паролі, одноразові коди чи інші конфіденційні дані,

·         пам’ятати, що номер телефону легко підробити (spoofing).

Рекомендації від ГО «Кіберщит»

На основі власної практики, моніторингу звернень громадян та аналізу сучасних схем ми радимо:

1. Використовуйте окремий номер та електронну пошту для фінансів

Зменшіть ризик компрометації. Не варто прив’язувати фінансові акаунти до публічних чи робочих контактів.

2. Увімкніть найвищий рівень безпеки

·         MFA/2FA — обов’язково.

·         Якщо є можливість — використовуйте апаратні ключі (YubiKey, Google Titan).

·         Відмовтеся від SMS-кодів, де це можливо.

3. Ніколи не переходьте за посиланням із повідомлення або дзвінка

Натомість:

·         відкрийте застосунок банку вручну,

·         зайдіть на сайт через власну закладку або пошук,

·         не довіряйте «операторам», які кваплять або лякають.

4. Встановіть банківські ліміти на платежі

Це допоможе зупинити миттєвий вивід грошей у разі, якщо шахрай все ж таки отримає доступ.

5. Не розміщуйте персональних даних у відкритому доступі

Адреса, робоче місце, фото документів, номер телефону — усе це може бути використано в соціальній інженерії.

6. Якщо вас атакували — дійте негайно

·         заблокуйте картки та акаунти,

·         змініть усі паролі,

·         увімкніть перевипуск токенів/ключів,

·         повідомте банк і правоохоронні органи,

·         подайте заяву про злочин до Кіберполіції України.

7. Пам’ятайте: справжні банківські працівники НІКОЛИ не питають коди та паролі

Це ключове правило, на якому будуються 90% успішних атак.