Тренды безопасности: почему злоумышленники атакуют нефинансовые учетные записи для кражи денег

^[1]

Хакеры становятся всё более изобретательными в попытках завладеть чужой финансовой информацией. Согласно последнему исследованию ^[2] компании Javelin Strategy & Research около 16,7 миллионов человек подверглось мошенническим атакам и краже личной информации с целью финансовых махинаций в 2017 году, а общая сумма похищенного составила более $16,8 миллиардов.

При этом, по мнению аналитиков, поведение злоумышленников в последнее время изменилось, и теперь для кражи денег интернет-пользователей они атакуют аккаунты в сервисах, на первый взгляд не связанных с финансами.

Изменения в действиях хакеров

По словам Аль Паскуаля, старшего вице-президента ИБ-компании Javelin, популярность тех или иных атак со временем меняется и зависит от того, насколько выгодными они оказываются для взломщиков. «Например, появление карт с чипами вызвало всплеск мошеннических манипуляций с кредитными картами в онлайн-пространстве, а нелегальные операции в обычных магазинах пошли на спад».

Одной из потенциально опасных тенденций считается «мошенничество с помощью новой учетной записи». В рамках этой схемы воры используют номера социального страхования и другие добытые ими данные жертвы, чтобы взломать нефинансовые учетные записи или открыть новые аккаунты. Затем хакеры используют подставные аккаунты, чтобы получить доступ к существующим финансовым счетам жертвы. Число таких атак за последний год увеличилось втрое:

Как это работает

В рамках данной атаки злоумышленники собирают максимально возможное количество данных о жертве. Может использоваться информация, перехваченная при работе с незащищенным Wi-Fi подключением, утекшие в результате взломов крупных сервисов пароли и т.д.

Затем вместо того, чтобы пытаться атаковать банковский счет жертвы, хакеры регистрируют новые аккаунты на ее имя в популярных онлайн-сервисах и подключают к ним в качестве средства оплаты скомпрометированный финансовый аккаунт.

Данная тактика, несмотря на свою трудоемкость, имеет ряд преимуществ для мошенников. К примеру, транзакции, совершенные в некоторых онлайн-сервисах не сразу отображаются в банковских выписках. Кроме того, у таких сервисов обычно не столь продвинутые антифрод-системы. Это позволяет и усыпить бдительность банка — ведь когда хакер инициирует денежный перевод в таком формате, для системы безопасности это выглядит как если бы пользователь переводил самому себе.

В результате все чаще для атак типа new account fraud используются учетные записи на ресурсах вроде Amazon или PayPal.

Как защититься

Чтобы избежать подобных неприятностей, пользователям стоит самостоятельно заботиться о собственной безопасности в интернете. Использовать разные и сильные пароли в каждом из сервисов, предлагающих платные услуги, а также с осторожностью совершать транзакции и делиться личной информацией в интернете — эти данные могут быть использованы злоумышленниками для проведения атак.

Защитить свои данные можно с помощью двухфакторной аутентификации: ее стоит применять не только к финансовым счетам, но и к другим личным аккаунтам, так как мошенники заинтересованы в сборе всей возможной информации о своей потенциальной жертве.

Джеймс Чессен, исполнительный вице-президент Американского центра банковских услуг по платежам и кибербезопасности, также рекомендует регулярно проверять свои учетные записи и подключить уведомления о любых новых действиях с ними, чтобы заранее суметь отследить потенциальные мошеннические действия или кражу личных данных.

Другие материалы по теме финансов и фондового рынка от ITI Capital ^[3]:

• Образовательные ресурсы ITI Capital ^[4]
• Аналитика и обзоры рынка ^[5]
• Как использование слова «блокчейн» позволяет компаниям увеличивать капитализацию ^[6]
• Как будет организована торговля фьючерсами на биткоин на Чикагской бирже ^[7]
• Чем заняться на каникулах: пишем роботов для торговли на бирже на скриптовом языке TradeScript ^[8]
• Где выгоднее покупать валюту: банки vs биржа ^[9]

Автор: itinvest

Источник ^[10]