Массовые запросы и HLR-проверки: как выследить мошенников раньше, чем они начнут атаковать
Эксперты компании «ЕСА ПРО» зафиксировали ранние признаки готовящихся массовых фишинговых и SMS-атак - рост спроса в даркнете на решения для HLR-проверок и массового «пробива» контактов через СБП.
Эксперты компании предлагают подход, который помог бы банкам и телеком-операторам на ранних этапах выявлять и блокировать атаки, а также предупреждать клиентов.
Перед рассылками и фишинговыми операциями мошенники проверяют номера телефонов потенциальных жертв – чтобы отфильтровать недействительные контакты и проработать точечные и, к сожалению, более эффективные сценарии атаки:
- HLR-проверка показывает, действителен ли номер телефона и в каком он регионе.
- «Пробив» через СБП позволяет понять, в каких банках у потенциальной жертвы есть счета.
Также, по информации «ЕСА ПРО», злоумышленники активно используют личные кабинеты банков и финтех-платформ, где по номеру телефона можно проверить наличие или привязку счета.
Обычно для отслеживания волн подобных запросов выбирают только один «сигнал» – например, запросы HLR. Для предотвращения современных атак этого мало: анализ активности в даркнете показывает, что необходимо отслеживать совокупность сигналов:
- Массовые HLR-запросы по близким диапазонам номеров телефонов, т.е. номеров из одного региона. Как правило, это признак, что мошенники используют базу, «утекшую» у конкретного сервиса/компании, например, ритейлера косметики в Новосибирске.
- Массовые проверки через СБП и банковские онлайн-формы.
- Пересечения с утечками данных.
