Как мошенники снимают деньги с банковской карты без пин по телефону
Спустя более чем год, немного придя в себя, решил поделиться с Вами своей историей. Картинок не будет, да и не нужны они тут. История длинная и грустная, расскажу весь ход подробно. До сих пор никто не найден, деньги мне не вернули, так что, устраивайтесь поудобнее, потратите 10-15 минут на чтение, зато возможно мои рекомендации помогут Вам сохранить ваши средства, либо не надо будет платить по чужому кредиту. Если времени нет, переходите сразу к последнему абзацу, где резюмирую необходимые меры предосторожности.
Расскажу Вам, как в июля 2019 года я стал жертвой виртуальных мошенников, заполучивших доступ к моей SIM-карте Мегафон, после чего понес потери в крупном размере, путем вывода неустановленными третьими лицами средств с моих счетов в АльфаБанке и СберБанке. Причем средства вывели не те, что там были. А в одном банке взяли кредит от моего имени, во втором вычистили полностью кредитку.
Теперь подробнее расскажу, как, даже не доверяя никому, никаким звонкам банков и пр, я испытал шок и стресс…
По программе поиска телефона сам телефон был в сети последний раз примерно по моему маршруту следования в районе автозаправки ( Думал вдруг органы запросят видео с заправки. Т.к. позже стало очевидно, что тот кто нашел телефон, скорее всего пришел/остановился у автозаправки и там уже отключил его. Возможно, кто-то нашел телефон и продал таксисту, который там мог ожидать вызов). Но более чем уверен, что никто и не думал запрашивать там видео, да и долго его там не хранят наверное). Далее активность на телефонном номере началась спустя полтора-два часа, но СИМка была уже в другом телефоне (исходящие СМС).
После того, как увидел вышеуказанные входящие письма на электронную почту позвонил в Альфабанк и другие банки, где у меня открыты карты с целью выяснения обстоятельств и блокировки карт, что заняло продолжительное время дозвона и общения с каждым банком. Также в этот же день днем заблокировал Сим-карту у сотового оператора. После этого поехал в офис мегафон за новой СИМ-картой. Предполагаю, что злоумышленники вставили СИМ-карту в свой телефон, после чего каким-то образом смогли зайти (авторизоваться) вместо меня в Приложениях АльфаБанка и Сбербанка, а для этого предполагаю, что они узнали каким-то образом номера моих карт. Т.к. по детализации были видны входящие СМС от АльфаБанка в течение всей ночи.
Претензию в АльфаБанк конечно же написал. Очень подробно интересовались всем подробно. Но по итогу – признать недействительными операции – отказались. Остался я с кредитом наедине.
Также в детализации, которую я взял у оператора, есть исходящее СМС на номер 900 той же ночью и много входящих СМС от номера 900 в течение всей ночи и утра. Данные СМС я не видел. Телефона у меня не было. Звонил в поддержку Сбербанка. Для блокировки карт и доступа, мне сказали, что было осуществлено закрытие моего вклада, находящегося у них и эти деньги были переведены на мою дебетовую карту с телефона Хуавей, к счастью, хоть эти деньги остались на карте. Для справки, у меня были всегда телефоны марки Сони и после случая взял другой более старый телефон Сони. Я подумал, что деньги вывести не смогли или не успели и оставил обращение об аннулировании закрытия вклада, т.к. я этого не делал и не хотел терять проценты. Полиция сказала, что раз не вывели деньги со вклада, то этот случай не будет расследоваться. На следующий день заказал перевыпуск карт (дебетовой (на которую перевели сумму со вклада) и кредитной (была у меня еще кредитная карта с лимитом несколько сотен тысяч рублей) в отделении Сбербанка, спустя несколько дней я получил карты и восстановил доступ в сбербанк онлайн. Когда зашел с телефона в приложение Сбербанк увидел, что на кредитной карте осталось доступно для трат только 210 рублей. Сразу же позвонил по номеру 900 и сообщил об этом, где мне подтвердили, что той злополучной ночью с данной карты были совершены операции по выводу средств. Я сразу же заехал в отделение Сбербанка и написал соответствующее заявление. Данные операции по картам и счетам не проводил, никого не уполномочивал.
Самое удивительное во всей этой истории то, что сами банковские карты не терял, никому не передавал, их данные, цифры с обратной стороны (код безопасности CVV2 или CVC2) или ПИН-коды не сообщал. Эти карты до сих пор есть у меня. Специально не стал их выкидывать или уничтожать, чтобы можно было опровергнуть факт утраты. В итоге еще раз обратился в тоже самое отделение полиции, т.к. до этого не знал, что были выведены средства с кредитной карты Сбербанка (лимит карты был мной не тронут, я ей редко пользовался, была скорее как "на всякий случай" или иногда бронирование требуется именно по кредитной, а не дебетовой карте). В Отделении полиции сказали подождать, доп.бумаги не взяли, сказали дождаться, когда кто-то возьмет мое заявление/дело по первому обращению ( к тому времени прошло уже 5 дней) . Еще через 2 дня вечером со мной связался сотрудник правоохранительных органов (следователь), о том что необходимо подойти для предоставления дополнительных документов. На след день я явился в отделение полиции и предоставил собранные материалы по АльфаБанку, а также сообщил касаемо нового эпизода по Сбербанку, мне сказали, что будет рассматриваться отдельно, а не совместно и поэтому необходимо написать новое заявление, что я и сделал сразу же.
Спустя примерно дней 20 зашел около 20 часов в полицию, чтобы передать материалы (в т.ч. ответ от банка), но на проходной не пустили, сказали прийти в рабочее время с 9 до 18. На след день не получалось никак зайти, зашел через день утром. Ответ от сбербанка в отделение полиции предоставил Начальнику розыска. По информации от Сбербанка хронология была следующая: было установлено приложение на новое устройство, введен номер карты, введен СМС код подтверждения, создан новый пин-код, далее карта добавлена в Google Pay, через устройство самообслуживания (банкомат) были сняты средства без использования карты, бесконтактно, посредством телефона с NFC на всю доступную по кредитке сумму. Даже сказали номер и адрес Банкомата и пообещали сохранить с него видео. Но сказали, что все данные дадут только следствию
Судя по истории операций в Сбербанке, была попытка оплатить мобильную связь (МТС?), но оплата не прошла. Также, судя по выписке была оплату в пользу Авиакомпании Победа (4 оплаты на 7500, 7500, 6500, 9500 рублей) на общую сумму 31 000 рублей. Неофициально удалось выяснить, что билеты на такую сумму в тот день не покупались. Из всех четырех сумм, в тот день была только одна похожая сумма, но там мама купила билет по своей карте для ребенка.
Подал 4 обращения в сбербанке:
1ое по вкладу (что закрыли досрочно и перевели на карту);
2ое по кредитной карте (совершение расходов, переводов, снятий);
3-е и 4-е на оспаривание отказа по первым двум через Омбудсмена Сбербанка .
К слову, Сбербанк тоже отказал, но ответил более доброжелательно что ли.
Для любителей цифр, итого,в Альфе взят кредит примерно на 750 000 рублей (в т.ч. около 54 тысяч руб за страховку, которую позже, удалось полностью вернуть). Переводы с комиссией составили около 200 тысяч рублей. Гасить мне их пришлось уже с процентами. В Сбербанке от кредитного лимита чуть более 300 тысяч рублей, осталось доступно всего 210 рублей. С учетом процентов за переводы и снятие по кредитной карте я погасил сумму большую, чем был изначально лимит по кредитке. Итого весь ущерб от действий мошенников составил для меня более чем полмиллиона рублей рублей, а также неполученные проценты из-за досрочно закрытого вклада. Для меня это очень большие суммы и сам бы я не смог рассчитаться несколько лет точно. Гасить задолженности мне пришлось досрочно, чтобы не дожидаться дальнейшего роста задолженности (а по кредитной карте это около 25% годовых), а также не портить себе кредитную историю просрочками оплаты. Гасил денежными средствами (буквально незадолго до этого) полученными моей семьей по наследству от отца, эти денежные средства я своими не считал, а хотел передать своей матери (вдове отца), но т.к. прямо сейчас они были ей не нужны, хотели сберечь, я решил их сохранить, разместив на вкладе (на полгода) в сбербанке. Но мошенники закрыли данный вклад досрочно, через месяц после открытия, таким образом я потерял еще около 2500 рублей процентов за месяц, которые денежные средства находились на вкладе. Но так как вклад под 6% на 6 месяцев был закрыт досрочно, банк начислил около 5 рублей процентов только.
Предполагаю, что если бы я был родственник какого-то высокопоставленного главы южного региона России, возможно, всех нашли бы очень быстро и в течение пары дней принесли бы извинения. Нашлись бы сразу и записи с камер, и удалось бы выяснить на кого оформлялись покупки в АК Победа, можно было бы опросить этих людей, каким образом они купили билеты или доп.услуги, либо видео с аэропорта. Также есть место, где работал телефон последний раз (АЗС), наверняка бы что-то было бы и на видео с нее, например, таксист нашедший телефон, где его уже выключили и он перестал передавать данные о своем местонахождении.
Есть IMEI моего утерянного телефона Sony. IP адрес телефона мошенников (Телеграм показывал его при сеансе, а также что телефон мошенников - Samsung Galaxy A5 (2017), Android 8.0, с которого вошли в мессенджер с другого устройства (причем активны были в нем еще несколько дней, т.к. завершить их сеанс я не мог, т.к. с нового устройства при входе в мессенджер это сделать нельзя. Пришлось удалять полностью аккаунт. Хорошо никому не стали еще писатьот моего имени с просьбой перевода средств. Думаю, что наверняка можно как-то отследить с какого устройства заходили (ведь в него вставили мою СИМ-карту), IMEI этого телефона, какие сим-карты были в нем ранее или какие абонентские номера находились рядом с ним, на кого оформлены, кому принадлежит номер телефона на который пытались оплатить, где он находился, где находилась территориально моя сим-карта в новом телефоне. Но опять же, нашли бы, только если бы кому-то высокопоставленному это было бы надо. Мое же заявление просто несколько дней лежало в полиции, и по разговорам с сотрудниками я понял (а они это и не скрывали) шанса найти нет, они особо даже и не ищут, и даже данные от Альфабанка и Сбербанка им типа просто так не дают. Хотя казалось бы во всей этой истории столько было ниточек, за которые можно было бы подергать и попытаться распутать.
Да, кстати, оба банка отказали, сославшись, что со своей стороны они добросовестно выполняли свои обязательства, выдавая мне кредит и позволяя выводить деньги с моих счетов. Т.к. я подписал согласие на подключение к интернет/мобильному банку, по которому код из СМС – является моей простой электронной подписью. Типа банк не мог не провести операции, которые для него выполнял как бы я.
Помните, что давая свое согласие на подключение интернет-банка или мобильного банка, которое сейчас, как правило, стандартное при получении банковских карт вы позволяете проводить операции по вашим счетам только благодаря СМС-кам. Вряд ли кто-то отказывается сейчас от их использования, проводя все операции только через банкоматы или отделения банка.
А если я не согласен с отказом банков и данные выполнял не я – порекомендовал обращаться в полицию.
Кстати, были еще счета в не самых популярных банках, но их не тронули, может потому что денег там не было, либо отработана схема была только по крупным банкам.
Таким образом, резюмируя:
Вот такая вот нерадостная история. Когда за один день вся жизнь меняется. У меня правда это было два удара. Второй, когда при получении перевыпущенных карт у Сбербанка узнал, что кредитная карта полностью пустая. Череда совпадений. Ведь телефон не просто нашли, отключили и выбросили симку, да сдали аппарат в ломбард. А в течение ограничпенного времени, ночью провернули столько оперативных действий с СИМ-картой. Как будто либо телефон сразу нашел мошенник, либо кто-то быстро продал кому-то, кто уже знал что делать не только с телефоном, но и незаблокированной СИМкой, либо кому ее отдать..
Объем мошеннических операций с банковскими картами в прошлом году составил 1,38 миллиарда рублей, такие данные приводит Центробанк РФ. Как недавно заявил генпрокурор Юрий Чайка, за год число таких операций выросло на 44%.
Чаще всего злоумышленники крадут деньги с банковских карт россиян, даже не зная пин-кода. Как они это делают?
По словам начальника отдела по противодействию мошенничеству Центра прикладных систем безопасности «Инфосистемы Джет» Алексея Сизова, в банкомате снять деньги без пин-кода невозможно. Даже если пользователь случайно забудет в терминале карточку, мошенник не сможет ей воспользоваться. Во-первых, для снятия наличных будет запрошен повторный ввод пароля. Во-вторых, аппарат, скорее всего, вообще «проглотит» карту: такое случается, когда карта осталась в банкомате, а операции по ней не совершаются более 30 секунд.
Но злоумышленникам, чтобы поживиться чужими деньгами, и не надо пользоваться банкоматом и знать пин-код. Чаще всего аферисты связываются со своими жертвами, представившись работниками финансовой организации, и под разными предлогами вытягивают из доверчивых граждан данные их банковских карт, логин, пароль, одноразовые коды для входа в мобильный банк.
Вот недавняя история из Пензенской области, где мошенник «развел» 41-летнего мужчину на 60 тысяч рублей: аферист представился сотрудником службы безопасности банка и сообщил, что кто-то пытается украсть средства со счета пензенца, предотвратить это можно, назвав реквизиты банковской карты. Перепугавшийся мужчина назвал собеседнику конфиденциальную информацию, и с его счета тут же пропали деньги, как сообщает следственный отдел МО МВД РФ по ЗАТО Заречный.
«Если говорить о денежных переводах, то у мошенников существует достаточно много схем: от прямого С2C-перевода до пополнения виртуального кошелька и вывода денег через биржевые операции, онлайн-казино или абонентский счет оператора связи, в результате чего средства переводятся на другую карту, с которой и обналичиваются», — объясняет дальнейшую судьбу похищенных средств Алексей Сизов.
Как защититься от мошенников?
Хакеры и мошенники осваивают новые способы атаковать пользователей мобильного банкинга. Одни используют уязвимости банковских приложений. Другие — старую добрую социальную инженерию. К звонкам «службы безопасности» и просьбам вернуть переведенные «по ошибке» средства добавляются всё новые способы обмана. Насколько безопасны приложения банков, как защитить свой аккаунт, и можно ли вернуть деньги в случае их кражи, выясняли «Известия».
Слабое шифрование
Хотя на первый взгляд банковские приложения достаточно надежно защищены, багов в них всё равно достаточно. К ним, например, эксперты относят отсутствие проверки на получение прав привилегированного пользователя (root-прав) на самом устройстве, а также слабое шифрование данных при их передаче между сервером и устройством.
Одна из уязвимостей, которую наиболее часто эксплуатируют хакеры, — хранение аутентификационных данных в коде приложения в открытом виде.
— Слабые места банковских приложений связаны с окружением на устройстве и интеграцией с технологией Deep-links. Данная технология позволяет определить, как открывать ссылку: в браузере или приложении. Эксплуатация Deep-links со стороны хакеров позволяет им производить не предусмотренные приложением запросы и проникать в его защищенный контур, — поясняет Тимурбулат Султангалиев, директор практики информационной безопасности компании AT Consulting (входит в Лигу цифровой экономики).
Распространенная уязвимость на стороне банка — отсутствие строгой валидации запросов от мобильного приложения к серверам банка. В итоге злоумышленники могут установить фальшивый сертификат на устройство клиента и подделать в запросе счет получателя перевода, таким образом получая доступ к денежным средствам клиентов.
При этом, если отсутствует строгий запрет на сторонние сертификаты или их валидация, банк сочтет запрос легитимным и отправит деньги клиента мошенникам, поясняет руководитель службы информационной безопасности Servicepipе Никита Прохоренко. По его словам, чаще всего к взломам приводит отсутствие политики полного недоверия, когда устройство должно «доказать», что имеет права на такого рода запросы, и то, что запрос действительно отправлен клиентским приложением.
Аутентификация пользователя
Вопросы у специалистов по-прежнему вызывает и система верификации пользователя при входе в приложения. К основным рискам мобильных банковских приложений они относят незащищенную операционную систему и отсутствие двухфакторной аутентификации (отдельного ПИН-кода для запуска).
Как поясняет Евгений Суханов, директор департамента информационной безопасности компании Oberon, в открытых операционных системах Android есть возможность вносить изменения в мобильное приложение либо перехватить его соединение с банком вредоносным ПО. Оно впоследствии сможет осуществлять платежи через зараженное приложение, включая отправку подтверждающих СМС.
Более надежной специалисты считают двухфакторную аутентификацию с использованием разных устройств: когда мобильное приложение установлено на одно устройство (телефон, планшет), а подтверждение об операции приходит на другое устройство.
Пароли и сторонние приложения
Впрочем, взлом приложений для обмана клиентов кредитных организаций используется всё же не так часто — на первый план выходит по-прежнему социальная инженерия. Львиная доля мошенничеств реализуется при помощи получения кодов и паролей.
— Большинство взломов происходит, когда мошенники связываются с потенциальной жертвой под видом службы безопасности банка, под видом сотрудников банка и получают СМС-код, номер карты и защитный код, — указывает Роман Хорошев, основатель краудлендинговой платформы «Джетленд».
Нередко злоумышленники (используя, например, всё тот же звонок «из службы безопасности банка»), убеждают жертв установить на устройство специальное ПО, позволяющее «расшарить» происходящее на экране смартфона, например, TeamViewer или AnyDesk.
— После установки программы мошенники могут проводить операции от имени клиента, напрямую подключившись к его устройству. Отличить действия мошенника, выдающего себя за реального клиента, становится сложно, но по-прежнему возможно — например, используя поведенческий анализ, — отмечает Дмитрий Стуров, исполнительный директор, начальник управления информационной безопасности банка «Ренессанс Кредит».
Как рассказал Юрий Орлов, директор по информационной безопасности QBF, доля операций, так или иначе связанных с социальной инженерией, в 2020 году составила 64% от общего числа случаев мошенничества. Вырос и средний чек подобных «транзакций» — с 7,6 тыс. до 8,6 тыс. рублей. В большинстве случаев пользователи добровольно предоставляют свои данные третьим лицам.
Что делать
Чтобы минимизировать риск, эксперты советуют следовать базовым правилам, главное из которых — никогда не сообщать персональную и личную информацию звонящим из «колл-центров» и всегда перезванивать в сам банк. Не стоит хранить критичные данные (финансовую информацию, аутентификационные и персональные данные) непосредственно на мобильном устройстве. Не надо использовать слишком простые и повторяющиеся пароли.
Рискованным эксперты считают и повышение уровня привилегий в ОС устройства: установку джейлбрейка в iOS или root-прав для Android. И рекомендуют внимательно следить за тем, какому приложению открывается доступ к данным, и к каким именно.
Стоит помнить и том, что если деньги украдены по вине пользователя или по его оплошности (как и происходит чаще всего), то банк вряд ли вернет средства. Так, по закону банк обязан вернуть деньги, если клиент уведомил о подозрительной операции в течение суток с момента ее совершения. Но при этом он не должен нарушить правила безопасности — в частности, не сообщать никому данные карты и пароли.
— В арсенале банков сегодня большой комплекс средств и механизмов защиты от кибермошенников, но банки не могут отвечать за то, какое ПО загружает на свой телефон или другое устройство клиент, или как-то это контролировать, — указывает директор департамента информационной безопасности МКБ Вячеслав Касимов.
За первое полугодие 2020 года мошенники украли у банковских клиентов с их карт и счетов 4 млрд руб., совершив более 360 тыс. несанкционированных операций. Из этой суммы банки смогли вернуть пострадавшим только 12,1% (около 485 млн руб.), а общий объем похищенных средств больше показателей аналогичного периода прошлого года на 39%.
Какие схемы мошенничества получили наиболее широкое распространение и как не стать их жертвой — в обзоре РБК.
Способы хищения денег с банковских карт
Самым распространенным способом мошенничества является социальная инженерия — методы обмана и введения клиентов в заблуждение с целью кражи денежных средств. По данным ЦБ, в первом полугодии 2020 года на нее пришлось 83,8% случаев от общего числа атак. Традиционно мошенники звонят банковским клиентам под видом «службы безопасности банка» или «службы финансового мониторинга» и сообщают о том, что по карте якобы совершена подозрительная операция. Под предлогом спасения денежных средств они заставляют клиента совершить ряд действий, чтобы украсть деньги с его счета. Контактную и персональную информацию о клиентах злоумышленники получают, покупая «слитые» базы в даркнете (теневой сегмент интернета. — РБК) либо находя их там же в свободном доступе. Также для убедительности они могут звонить с подменных номеров банков и других структур. Далее схема мошенничества развивается по нескольким сценариям.
- Мошенники выманивают платежные данные карты (16-значный номер, имя владельца, срок действия и трехзначный код на обратной стороне, а также код из СМС от банка) либо обманом узнают данные для входа в личный кабинет.
- Иногда мошенники в процессе звонка просят установить на телефон специальное приложение якобы для лучшей защиты — им оказывается программа удаленного доступа и управления, с помощью которой можно зайти в личный кабинет онлайн-банка жертвы и перевести оттуда деньги на свой счет.
- Программы удаленного доступа помогают не только украсть все имеющиеся деньги, но и оформить в мобильном приложении предодобренный кредит, если такой продукт предлагается клиенту, а затем вывести и заемные средства.
- Также во время звонка мошенники убеждают своих жертв снять деньги в банкомате и зачислить их на специальный счет для «спасения средств». Некоторые злоумышленники, «заботясь» о клиенте, заказывали своим жертвам такси до ближайшего банкомата.
В последнее время стали появляться более сложные схемы: к звонкам от «банковских работников» добавились звонки от «правоохранительных органов», которые «подтверждают», что кто-то пытается украсть деньги клиента, поэтому их надо спасти путем перевода на «безопасный» счет. Также злоумышленники начали звонить от имени бюро кредитных историй и сообщать, что обнаружили попытки оформления кредитов с использованием паспорта жертвы.
- Злоумышленники могут перевыпускать сим-карты, воспользовавшись ошибкой или недобросовестностью сотрудников салонов связи: для этого достаточно знать Ф.И.О. и номер телефона потенциальной жертвы. «Злоумышленник приходит в салон сотовой связи и просит перевыпустить сим-карту, в качестве документа предъявляет подделанные копию паспорта или доверенность. Получив желаемое, он устанавливает карту в телефон и пытается привязать этот номер к мобильному банкингу. Обычно для этого необходимо ввести одноразовые коды несколько раз», — описал типичный сценарий ведущий эксперт «Лаборатории Касперского» Сергей Голованов.
Во время пандемии и перехода многих процессов в онлайн-формат киберпреступники также активизировались в интернете, предупреждал ЦБ. По данным регулятора, за первое полугодие 2020 года мошенникам удалось украсть в интернете свыше 2 млрд руб., то есть более 50% из общего объема похищенных за этот период средств.
По данным «Лаборатории Касперского», в 2020 году активно росли объемы телефонного мошенничества и скама. С января по ноябрь компания обнаружила почти 86 тыс. скам-ресурсов, из них 62,5 тыс. были заблокированы во втором полугодии. Особенно распространено такое явление в русскоязычном сегменте интернета. По подсчетам компании, потенциальный ущерб от мошенничества мог бы превысить 13 млрд руб., если бы каждая заблокированная попытка перехода пользователя на подобный ресурс повлекла за собой обман хотя бы одного человека.
В России в этом году среди всех входящих звонков с неизвестных номеров доля спама составила 63%, а доля звонков с подозрением на мошенничество — 5,9%. При этом злоумышленники активно пользовались технологией подмены номера. Чаще всего они указывали телефоны финансовых организаций, государственных учреждений или юридических лиц. «Люди проводят все больше времени с телефоном под рукой и чаще берут трубку. Но при этом возможность принять взвешенное решение в разговоре у них есть не всегда. Часто злоумышленники использовали актуальную новостную повестку, чтобы вызвать доверие у жертвы», — объясняет Голованов.
Как не стать жертвой мошенников
Однако вернуть деньги, которые были украдены с помощью социальной инженерии, сложно, так как потерпевший добровольно подтверждал операции по своему счету и у банка есть основания отказать в возврате средств, предупреждает юрист. Клиент может обратиться в банк с требованием заблокировать мошенническую операцию, но, как показывает практика, в подавляющем большинстве случаев в отсутствие документов, подтверждающих факт совершения мошеннических действий, банк, скорее всего, ответит отказом. «Этот отказ можно оспорить в суде, но опять же, как показывает практика, если вы подтвердили операцию списания сами в порядке, установленном банком, шансы минимальны», — добавляет Иккерт.
В июле эксперты НАФИ выяснили, что каждый четвертый держатель банковских карт в России может стать жертвой мошенников: 27% респондентов оказались в зоне риска, так как готовы сообщить посторонним CVV-код своей карты и срок ее действия. Чуть меньше трети владельцев карт в том или ином виде сталкивались с попытками мошенничества.
Мошенники продолжают совершенствовать свои методы, признала в конце июня глава ЦБ Эльвира Набиуллина. «Жулики во все времена были креативными. И технологии, к сожалению, только расширяют их возможности вводить граждан в заблуждение. Это и фишинговые сайты, и звонки из так называемых служб безопасности банков, фальшивые страницы банков и даже Банка России в соцсетях, где якобы разыгрываются призы или выплачиваются компенсации, и так далее», — перечисляла глава регулятора. По словам Набиуллиной, около 70% операций, которые делаются без согласия клиента, совершаются с использованием социальной инженерии. «И тогда банк ничего не нарушает, потому что человек сам передает пароли, все персональные данные мошенникам в руки», — сказала она.
Forbes рассказывает об 11 распространенных и актуальных схемах, которые используют мошенники для вывода денег с банковских карт и получения персональных данных.
Ложная помощь с возвратом средств за авиабилеты и гостиницы
«Мошенники активно используют любые информационные поводы и громкие события, — рассказывает замруководителя лаборатории компьютерной криминалистики и исследования вредоносного кода Group-IB Сергей Никитин. — В этом году активно используют тему коронавируса».
В частности, после закрытия границ мошенники начали звонить людям и предлагать свои услуги по возврату денег за купленные билеты и бронь отелей. О таком способе в мае предупреждал ВТБ. Мошенники используют в своих целях новый способ возврата денег за билеты с помощью ваучеров, которым уже пользуются многие авиакомпании. Пассажир оформляет ваучер, и деньги, потраченные на билет, зачисляются на специальный депозит в его личном кабинете на сайте авиаперевозчика или агрегатора. Мошенники звонят пассажирам, представляются сотрудниками авиакомпании и предлагают купить у них ваучер. Для этого они просят сообщить данные банковской карты для списания оговоренной суммы, а также код из полученного после этого СМС от банка.
«Ложные» льготы и пособия от государства или кредитные каникулы
Еще один «коронавирусный» способ мошенничества. Человеку могут позвонить якобы из банка и сообщить, что ему положена финансовая поддержка в связи с резкой потерей доходов, кредитные каникулы, рассрочки и т.д. Для их оформления звонящие просят сообщить данные банковских карт. Если владелец карты называет реквизиты банковской карты, срок ее действия и CVV-код, то мошенники уже могут совершать онлайн-покупки от его имени.
«Фальшивые» пособия на детей
В июне Почта-банк сообщил о способе мошенничества, связанном с выплатами «антикризисных» пособий на детей. Мошенники создают фейковые интернет-сайты, имитирующие портал госуслуг и якобы посвященные выплате пособий для семей с детьми. Внешне они либо полностью копируют официальный портал, либо очень на него похожи, говорилось в релизе банка. На таких сайтах мошенники просят ввести данные о номере банковского счета.
Мошенники связываются с владельцем карты и сообщают, что некто пытается привязать карту к другому номеру телефона. Для идентификации личности владельцу карты предлагается сообщить ее данные. После этого мошенники проводят с карты перевод, клиенту приходит код подтверждения от банка, который он тоже сообщает мошенникам — также для «идентификации». Узнав код, злоумышленники могут перевести деньги на другую карту.
Мошенничество с помощью сервиса для предпринимателей
Мошенники нашли лазейку в сервисе Сбербанка по дистанционному резервированию расчетного счета для индивидуальных предпринимателей. Злоумышленники представляются по телефону сотрудниками службы безопасности Сбербанка и сообщают клиенту о попытке несанкционированной операции по его счетам. Они предлагают открыть резервный счет в банке и пройти верификацию. Для этого просят предоставить данные карты. Когда клиент начинает сомневаться и отказывается раскрыть данные, мошенники заполняют анкету на сервисе по дистанционному резервированию расчетного счета, и тогда потенциальной жертве мошенника приходит реальная СМС с кодом подтверждения операции с номера Сбербанка 900.
На сайте Сбербанка перечислены и другие случаи мошенничества:
«Лотерея» от Сбербанка
Мошенники по телефону предлагают поучаствовать в лотерее от Сбербанка, для которой надо пройти опрос на сайте. Участникам «лотереи» обещают крупную сумму. Естественно, госбанк лотереи не проводит, а сайт фишинговый. На нем для подтверждения карты потенциальную жертву мошенников просят перечислить 150 рублей. «Вы отправляете деньги, а потом не можете связаться с мошенниками», — пишет банк.
«Брокерские или дилерские услуги»
Мошенники представляются сотрудниками брокерской или дилерской компании. Они предлагают инвестировать деньги с гарантией высокого дохода. Человек в итоге соглашается открыть счет и самостоятельно переводит деньги мошенникам. Еще один вариант, на который указывает Сбербанк, — мошенники предлагают зарегистрироваться на сайте бинарных опционов, после пополнения баланса человек получает уведомления о получении «бонусных» доходов. Чтобы их вывести, нужно внести на счет дополнительную сумму, в итоге эти деньги вернуть невозможно, пишет банк.
Звонки с похожих номеров
«Злоумышленники могут поменять одну цифру в номере, которую вы не заметите и подумаете, что это банковский номер», — предупреждает Сбербанк. Мошенники будут просить полные данные карты, CVV- или CVC-код, код из СМС или пароли от онлайн-банка, и объяснять это тем, что пытаются предотвратить подозрительную операцию.
«Перевод по ошибке»
Предложения установить программу удаленного доступа
Злоумышленники представляются сотрудниками банка и под разными предлогами могут предлагать установить на смартфон программу для удаленного управления. Например, мошенники могут говорить, что это спасет клиента от несанкционированного снятия денег. Далее человек скачивает по ссылке «специальный антивирус» или «программу для удаленной помощи». «Самое опасное заключается в том, что злоумышленник видит экран смартфона, — рассказывает Сергей Никитин из Group-IB. — Если это Android, то он может управлять этим смартфоном, если IOS, то просто видеть экран. Фишка здесь в том, что далее мошенники инициируют операцию по переводу средств со счета, и человеку приходит код, который сразу высвечивается на экране».
Об оригинальном применении этого способа в мае сообщал ВТБ. Весной из-за кризиса и пандемии резко выросло количество безработных, и тема вакансий стала особенно актуальной. Банк приводил пример вакансии тестировщика мобильных приложений для кандидатов без опыта работы. В процессе «тестирования» кандидата просили установить программы удаленного доступа к компьютеру или смартфону. В итоге мошенники получали доступ к банковским приложениям клиента.
Поход к банкомату для «спасения денег»
Этот вариант менее распространен, но хорошо действует на пожилых граждан. Злоумышленники уговаривают человека идти к банкомату и набирать в нем определенную последовательность команд. Обычно мошенники тревожным тоном сообщают, что деньги пытаются украсть и их нужно немедленно перевести на «страховой счет». Владельцу карты диктуют, какие кнопки нужно нажимать, и человек переводит деньги либо на номер телефона, либо на чужую карту.
Как себя защитить
Личные данные человека злоумышленники могут узнать через социальные сети и из утечек, в том числе клиентских баз банков. Часто в таких базах есть даже паспортные данные человека, информация о балансе, последних операциях и т.д. Также существует возможность узнать имя владельца чужой карты по ее номеру, попробовав выполнить платеж на нее, говорит Сергей Никитин из Group-IB .
Читайте также: