Обережно: шахраї на зв’язку

В Украине участились случаи, когда для краж денег с банковских карт используют методы так называемой социальной инженерии. В России эти приемы получили распространение еще в 2011 году, а в Украину стали активно просачиваться с лета минувшего года.

На прошлой неделе правоохранительные органы сообщили о задержании в городе Сумы группы из трех человек, подозреваемых в мошенничестве с платежными картами. Злоумышленники действовали по следующему сценарию. Звонили владельцам карточек и, представившись работником банка, предлагали услугу кредита по карточке, например увеличить существующий кредитный лимит (или открыть кредит, если он не был открыт). Действовали, как в стандартных телефонных продажах, — уговаривали клиента, пока он не соглашался. Чтобы активировать кредитную линию, «естественно», нужно идентифицировать клиента, и под этим поводом звонившие выуживали у жертвы все необходимые карточные и паспортные данные. Ничего не подозревающие граждане отвечали на вопросы липового банковского клерка. Позднее мошенники, используя полученные данные, обчищали карточные счета доверчивых граждан.

Другой случай в тех же Сумах произошел еще осенью прошлого года. Неизвестный позвонил женщине, которая собирала деньги на лечение онкобольного ребенка, и предложил помощь, сказав, что может перевести деньги на ее счет. Кстати, он тоже представился работником банка и уточнил некоторые персональные данные. Женщина указала ему реквизиты карты, на которой ей уже удалось собрать около 10 тыс. грн. В ответ мошенник пообещал перевести 800 грн и посоветовал ждать СМС с уведомлением о зачислении средств. СМС так и не пришло. А когда владелица карты проверила свой счет, то он оказался заблокированным и на нем осталось всего 700 грн.

Приблизительно полгода назад сотрудники Сумского УБОП пресекли деятельность группы еще более изобретательных кардеров, от которых пострадали граждане Сумской, Луганской, Хмельницкой областей, городов Харькова и Киева. Известно, что некоторые банки для защиты от несанкционированных операций по картам клиента ввели так называемую двухфакторную авторизацию (англ. one time password, ОТП) с использованием одноразовых паролей для каждой трансакции в сети интернет. Этот одноразовый пароль приходит на мобильный телефон клиента, и, чтобы деньги были списаны с карты, владелец счета должен подтвердить операцию вводом этого пароля. Мошенники изобрели простой способ обойти такую защиту.

На первом этапе сценарий их действий в общих чертах напоминал уже описанные выше приемы. То есть они старались под любым предлогом заполучить реквизиты платежной карты. Как они действовали? По объявлению в газетах находили продавцов какого-либо товара, которым звонил псевдопокупатель и, согласившись с ценой, предлагал перевести деньги на карту продавца. Продавец называл номер карты и сумму. Итак, реквизиты карты получены, теперь необходимо завладеть номером мобильного телефона жертвы. Злоумышленники несколько раз звонили на номер покупателя, пополняли счет телефона на небольшую сумму, а после этого обращались в службу поддержки данного мобильного оператора с заявлением, что SIM-карта утеряна, и с просьбой заблокировать ее и выдать взамен новую с таким же номером. Оператор для идентификации клиента требовал назвать номера нескольких последних звонков и последнюю сумму пополнения мобильного счета. Так как все эти манипуляции и были совершены мошенниками, они без труда отвечали на вопросы оператора и получали новую SIM-карту.

Оставался последний этап — снять деньги, имея только номер банковской карты и SIM-карту с номером телефона настоящего клиента. Нужно подчеркнуть, что вся атака была нацелена на услугу «экстренные деньги», предлагаемую одним из банков Украины. Она заключается в том, что наличные в банкомате можно получить без карты. Для этого остаточно ввести ее номер, и подтвердить операцию вводом одноразового пароля, пришедшего на мобильный телефон. Максимальная сумма такой услуги ограничена 2000 грн. Именно столько и старались снимать злоумышленники со счетов своих жертв. Кстати, организатор данной схемы руководил своими двумя подельниками, находясь в тюрьме, где отбывал трехлетний срок. Подельники ранее уже были осуждены за кражи. Теперь каждому из удалой тройки светит от 7 до 12 лет.

Защититься от такого рода социальных приемов выманивания конфиденциальной информации несложно. Если вы сами звоните в контакт-центр банка по телефонам, указанным на карточке, — это одно дело. В этом случае вы должны назвать себя, ответить на вопросы оператора. Если же кто-то звонит на ваш телефон, то ни в коем случае нельзя сообщать информацию. При желании всегда можно самому перезвонить в банк и уточнить, действительно ли проводится такая-то акция или какие-либо действия с карточкой.