Хакеры украли с карт россиян почти два миллиарда рублей

Хакеры украли с карт россиян почти два миллиарда рублей

Объем несанкционированных операций с использованием платежных карт россиян, по данным Банка России, сократился в 2017 году на 11% — до 960 миллионов рублей. Годом ранее хакеры украли с карт россиян 1,08 миллиарда, а в 2015-м — 1,15 миллиарда рублей. О том, как уберечь свои «электронные кошельки» от социальных хакеров, читатели «ЧП» узнают из этой статьи.

Охотники за чужими деньгами постоянно совершенствуют арсенал своих средств, умело используя возможности современных технологий: Интернета, мобильной связи, IP-телефонии. В конце прошлого года в России широко стала распространяться новая схема телефонного мошенничества, с помощью которой злоумышленники выведывают логины и пароли банковских карт.

Как на практике действуют эти методы, описали пользователи популярного антимошеннического сайта.

Один из них разместил на известном интернет-портале объявление о продаже автомобильных дисков. Вскоре ему позвонил потенциальный покупатель из другого города, подробно расспросил о товаре, затем заявил, что хочет приобрести его. Но прежде, чем он переведет деньги за диски, для верности попросил прислать фото паспорта продавца и его банковской карты: хочу, мол, удостовериться, что перевожу деньги реальному человеку.

Спустя некоторое время покупатель перезвонил и сообщил, что отправил деньги через мобильное приложение. Продавцу поступил звонок с номера одного из крупнейших коммерческих банков страны. Молодой человек вежливым голосом сообщил, что их клиент перевел некую сумму, но поскольку он является VIP-клиентом, получатель средств должен себя идентифицировать, то есть продиктовать данные своей банковской карты: ФИО, срок действия, трехзначный код на обороте карты, а также одноразовый пароль. После такой «идентификации» незадачливый продавец не только не увидел денег за продаваемые диски, но и лишился всех средств на счете, привязанном к его банковской карте.

«Где-то в глубине души я понимал, что это развод, но мне же звонили не с какого-то незнакомого номера, а со всем известного номера крупного банка, который размещен на сайте организации…» — написал обманутый мошенниками человек.

Его собрат по несчастью получил со знакомого многим картодержателям в нашей стране трехзначного сервисного номера банка сообщение на мобильный телефон о том, что с его счетом совершаются мошеннические действия и во избежание утери средств требуется позвонить по такому-то номеру. Но весь фокус-то в том, что был указан реальный номер контактного центра банка. Озадаченный владелец «пластика» позвонил. Его перевели на «специалиста службы безопасности», который подсказал, что нужно делать, а именно: отправить ответное SMS, в котором необходимо указать присланный одноразовый пароль (псевдосотрудник банка назвал его «кодом»), пробел и словосочетание «ОТМЕНА ПЕРЕВОДА». После этого деньги клиента банка бесследно исчезли. Вместе со «специалистом службы безопасности».

Третий абонент оказался более финансово подкованным. Ему позвонили с того же многоканального номера, представившись сотрудниками call-центра банка, и поинтересовались, является ли держатель карты участником бонусной программы. Получив положительный ответ, учтивая «сотрудница» банка предложила обменять накопившиеся бонусы на рубли, но для этого необходимо уточнить данные карты, куда будут зачислены деньги. Продиктовав первые четыре цифры платежной карты, которые у всех держателей карт данного банка одинаковые, барышня явно ожидала, что остальные цифры озвучит обрадованный обладатель живых денег вместо виртуальных бонусов. Далее наверняка последовала бы просьба продиктовать одноразовый пароль, чтобы «деньги поступили на счет». Но, к счастью, мужчина прекратил разговор.

Герои этих реальных историй обратились в службу безопасности банка, где им подтвердили, что злоумышленники действительно использовали номер, размещенный на сайте организации. Оказывается, технически сделать это нетрудно. Достаточно приобрести у сотового оператора виртуальную АТС, оформить ее на временную sim-карту, причем личное присутствие для этого не требуется. Расходов-то — всего 3 тысячи в месяц. Затем через веб-интерфейс аферисты меняют номер своей станции на реально существующий номер банка и под видом его сотрудников обзванивают клиентов кредитных организаций, выясняют данные карт и воруют с них деньги.

При этом лжесотрудники банков могут отбывать сроки в местах лишения свободы или снимать квартиру в небольшом провинциальном городке, а звонить потенциальным жертвам с московского номера. Номер сотового оператора при этом не высвечивается. Зафиксированы случаи, когда мошенники использовали сочетания цифр, совпадающие с телефонными номерами учреждений Банка России в Москве и в регионах.

Ущерб от новой мошеннической схемы уже превысил 30 миллионов рублей, а пострадавших — тысячи по стране. Причем среди попавших в сети IT-«продвинутых» аферистов могут оказаться люди любого возраста.

Даже если на экране вашего мобильного телефона отобразился реально существующий номер банка, сохраненный в памяти вашего устройства, помните: сотрудники кредитных организаций никогда не звонят и не говорят клиентам, что действие их карты приостановлено и для ее разблокировки необходимо провести какие-то действия. При дистанционном обслуживании эти данные работникам банка не требуются.

Такие звонки бывают только от мошенников. В том случае, если звонок поступил с номера, комбинация цифр которого совпадает с номером банка, не паникуйте, спросите фамилию сотрудника, позвоните в отделение, где была выдана ваша платежная карта, и уточните, работает ли там такой сотрудник и действительно ли ваша карта заблокирована. Также банк не рассылает SMS о блокировке карты и никогда не запрашивает пароли для отмены операций.

И тем более сотрудник банка не станет предлагать обменять бонусы на рубли, потому как их можно использовать только при покупке товаров в магазине.

Используя эту схему, мошенники с помощью подмены номера могут звонить от имени радиостанций, бюджетных организаций, сообщая о баснословных выигрышах в конкурсах или многотысячных компенсациях. Цель этих звонков — выведать данные карт, на которые должны поступить невесть откуда взявшиеся выигрыши. Призы, выгодные предложения, подарки, за которые нужно «доплатить», «внести залог» или еще каким-либо образом перечислить денежную сумму, — это признаки телефонного мошенничества.

Злоумышленники в преступных целях умело пользуются плодами современной инженерной мысли, сочетая их с навыками в области социальной инженерии.

Под понятием «социальная инженерия», иногда называемой искусством взлома человеческого сознания, подразумевается незаконный метод получения информации. Ее приемы и техники всегда направлены на рефлекторное и шаблонное поведение: они действуют в обход разума, интеллекта и осуществляются на уровне эмоций и подавлении внимания.

Махинаторы с пользой для себя эксплуатируют человеческие слабости: страх, лень, доверчивость, любопытство, желание получить что-то бесплатно. Телефонного мошенника очень просто распознать по манере общения. Главное его оружие — внезапность. «Срочно», «быстро», «немедленно», «потом объясню», «нужно быстрее» — частые слова и выражения из лексикона подобных охотников за чужими деньгами. Жулики, как правило, ведут себя очень уверенно, могут давить, настаивать или, напротив, пытаться любыми способами расположить к себе абонента. Главная задача при этом — застать врасплох, не дать обдумать ситуацию и проверить поступившую информацию, не позволить засомневаться будущей жертве обмана.

Синжер (сленговое слово, которым именуют себя социальные инженеры) прекрасно знает, на какие «кнопки» следует нажимать, чтобы получить желаемый ответ. Для опытных синжеров не составит труда обойти рациональное мышление человека, им понадобятся доли секунды, чтобы добиться преимущества и получить от жертвы необходимые данные. И даже если мошенник порою сам не знает этих научных терминов и понятий (особенно те, кто находятся в местах не столь отдаленных), многие их них на подсознательном уровне успешно используют навыки манипулирования, чтобы склонить человека к принятию «нужного» решения.

Следует помнить!

Не вводите данные своих платежных карт и другие идентификационные данные при входе на различные сайты, с большой долей вероятности это фейковые ресурсы. Для входа в мобильные приложения банков требуется лишь ввести логин и пароль, а затем разовый пароль, который приходит в SMS клиенту банка.

Светлана Завадская

Автор