Как мошенники выводят деньги, украденные с банковских карт?
В прошлом году с банковских карт соотечественников аферисты украли 1,38 миллиарда рублей. Объем мошеннических операций, по данным Центрального банка России, за год увеличился на 44% — злоумышленникам удалось обмануть граждан более 400 тысяч раз.
Как говорится в исследовании Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Центробанка, в 97% несанкционированных операциях мошенники используют социальную инженерию. Проще говоря, прикидываются теми, кем на самом деле не являются. Например, работниками службы безопасности банка, вводят человека в заблуждение, запугав его рассказами о чьих-то попытках обчистить счет, и вытягивают из гражданина конфиденциальную информацию — логин и пароль от мобильного банка, кодовое слово, CVC-код. Или настолько виртуозно обманывают соотечественников, что те сами переводят сбережения на мошеннические счета.
А как же злоумышленникам удается выводить украденные деньги со своих счетов, ведь не так сложно проследить, откуда и куда были переведены средства? Этот вопрос АиФ. ru задал коммерческому директору компании по информационной безопасности «Инфосекьюрити» ГК Softline Александру Дворянскому:
«Часто злоумышленники используют анонимные электронные кошельки или банковские счета, оформленные на подставных лиц. С этой целью нанимаются так называемые "заливщики": люди, готовые получить денежный перевод на свою карту и передать полученные деньги злоумышленникам за определенное вознаграждение.
Как правило, похищенные средства дробятся на мелкие суммы и выводятся на десятки, а порой и сотни банковских счетов. При этом с целью запутывания следов деньги могут несколько раз пересылаться по цепочке прежде чем будут обналичены.
Общение "заливщиков" с заказчиками, как правило, обезличено и осуществляется посредством анонимных каналов связи. Поэтому поимка "заливщиков" не поможет вернуть деньги или выйти на след организаторов преступного бизнеса».
Как не стать жертвой мошенников?
В первую очередь следует держать в голове тот факт, что больше всего мошенники любят звонить своим жертвам и под разными предлогами выманивать интересующую их информацию. Как правило, в ход идут запугивания и даже угрозы: «С вашего счета пытаются украсть деньги, если вы сейчас не назовете данные карты, банк ничем не сможет помочь, когда аферисты доберутся до вашего счета» или «Если вы сейчас же не переведете деньги на резервный счет, они будут украдены» и т. п. Техника эта очень простая — напугать человека, ввести его в ступор, убедить, что действовать нужно немедленно.
Запомните: если вам действительно позвонили из службы безопасности банка и поинтересовались, совершали ли вы ту или иную операцию, на том конце провода никогда не спросят CVC-код или одноразовый пароль для входа в мобильный банк. Это конфиденциальная информация, знать которую должен только владелец банковской карты. Карточка считается скомпрометированной, если ее данные известны третьему лицу, даже если это ваш супруг (если банк узнает об этом, он может отказать в компенсации денег, если они будут похищены).
Если же ваш собеседник настойчиво требует продиктовать конфиденциальную информацию («это последний шанс сохранить деньги»), повесьте трубку и перезвоните на горячую линию вашего банка. Не теряйте бдительность, если на том конце провода называют ваши инициалы, паспортные данные, остаток на карте — сейчас всю эту информацию можно за бесценок купить на черном рынке.
Важно. Не перезванивайте на тот номер, с которого вам позвонили из «банка», даже если он полностью совпадает с телефоном вашей финансовой организации. Вводить номер нужно вручную.
Разумеется, ни при каком раскладе нельзя устанавливать на свой смартфон программы для удаленного доступа «банковских сотрудников». И отправляться к банкомату, чтобы под диктовку собеседника провести какие-то манипуляции для «сохранения денег» тоже нельзя — аферисты запутывают доверчивых граждан, и те сами не замечают, как в череде телодвижений у банкомата переводят средства со своего счет на счет мошенников.
Что делать, если деньги украли?
В первую очередь в случае несанкционированной операции с картой следует связаться с банком. Объясните ситуацию и попросите заблокировать карточку. Финансовая организация потребует написать претензионное заявление для оспаривания операции и возврата списанных денег. Сделать это лучше в банковском отделении — попросите документ, подтверждающий принятие заявления, с печатью и подписью сотрудника.
Возврат незаконно списанных денег может затянуться на полгода: для платежных систем установлен срок возврата в 180 дней. Вернет ли банк потерянные средства сразу или будет ждать ответа от платежной системы —этот вопрос остается на усмотрение банка.
Адвокат Владимир Постанюк подчеркивает, что финансовое учреждение не несет ответственности, когда владелец банковской карты сам предоставляет данные карточки третьим лицам. Этот пункт прописывает каждый банк в каждом договоре с клиентом.
«По закону банк не обязан возмещать суммы несанкционированных операций в случае нарушения клиентом порядка использования банковской карты и интернет-банка. Такое нарушение возможно в следующих случаях:
— сообщение третьим лицам реквизитов вашей банковской карты, пин-кода, логина, пароля и (или) средств подтверждения операций в интернет-банке, а также небрежное хранение карты и информации о ПИН-коде, в результате чего к ним получили доступ третьи лица;
— оплата покупки в интернет-магазине с компьютера, зараженного вирусом, передающим мошенникам реквизиты банковских карт», — резюмирует эксперт.
Как мошенники воруют деньги с карт и банковских счетов
Титаническую работу провели эксперты Тинькофф-банка. На основе данных более 400 тыс. банковских клиентов, ставших объектами интереса со стороны мошенников в топ-30 российских банков, они выявили наиболее распространенные схемы обмана.
Вот что выяснилось. Основная доля хищений (70%) приходится на так называемую социальную инженерию — то есть жертвы самостоятельно переводят мошенникам деньги (41% случаев) или предоставляют злоумышленникам данные своих карт и коды из СМС-сообщений (29% случаев). За последние два года доля таких мошенничеств выросла почти в два раза.
Люди стали более доверчивыми? Скорее мошенники стали более хитрыми и используют все новые схемы психологического давления, отмечает Алексей Бакланов, руководитель управления противодействия мошенничеству и претензионной работы Тинькофф. Но банки, в свою очередь, постоянно внедряют новые технологии и учатся быстро реагировать на новые схемы. Именно поэтому средняя сумма мошенничества по сравнению с прошлым годом хоть немного, но сократилась — на 13%, и составила 9300 рублей.
Как еще воруют? Друзья или родственники, пользуясь доверием, могут получить данные карты будущей жертвы или доступ к смартфонам, где у многих хранится вся информация о счетах, и есть возможность оперативно вывести деньги. Таких — 12%. Получив доступ к смартфону, кстати, можно заплатить теперь и за покупку в магазине. Таких случаев мошенничества тоже достаточно — 11%.
Где мошенники находят жертв
Очень легко — звонят по телефону, такая схема используется в 83% случаев. Удивительное дело, но люди, в глаза не видя мошенника, сообщают ему данные своих карт и СМС-коды. Менее распространенная история, когда таких простаков находят в мессенджерах, через письма на электронную почту, соцсети и прочие каналы для продвинутых — таких случаев 13% от всех.
Телефонное мошенничество более прибыльное — средний чек при такой схеме составляет 34 тыс. руб. У тех же, кто облапошивает в интернете, куш поменьше — в среднем 16 тыс. рублей.
Да, прямо в лоб у интернет-пользователей номер карты и пришедший на телефон код не выведать. Зато они очень легко верят в обещания работы, непыльного бизнеса или небывалых инвестиций.
Что говорят мошенники своим жертвам
Очень распространенная легенда — якобы звонят из службы безопасности банка. Говорят, что зафиксирована попытка списания денег со счета, выясняют данные карты и коды подтверждения и списывают деньги со счета доверчивой жертвы. Сумеют подстроиться под тот банк, где у жертвы хранятся деньги, — повезло. Нет — тоже не беда, выкрутятся: представятся сотрудниками другого известного банка. Причем такая схема является более рабочей — в 2019 году она использовалась в 42% случаев. Звонят, мол, в рамках взаимодействия или еще что-то выдумают.
Не первый год успехом пользуется подмена известных сайтов сайтами-двойниками. Для усиления доверия жертвам приходит бланк, очень похожий на настоящий. Бланк вызывает больше доверия. А деньги уходят по ложному электронному шлюзу в карманы мошенников. На этот способ приходится более половины случаев добровольных платежей мошенникам.
В ходу и рассказы о том, что на человека свалилась удача: он выиграл в лотерею или во что-то еще. Приз вам уже везут, но нужно срочно заплатить комиссию. Люди верят.
Жулики по-прежнему наживаются на стремлении наших людей к взаимопомощи. Взломав чей-то аккаунт, они пишут от имени жертвы слезные письма его друзьям: «Спасите, попал в беду». Всегда лучше перезвонить жертве и удостовериться, а если не отвечает или придумывает обстоятельства — то повременить с переводом.
Используются и не такие распространенные сценарии — например, вознаграждение за участие в соцопросе. Заполняешь данные о себе, в том числе номер карты, и мошенники получают доступ, если не к деньгам, то к данным и смогут предпринять попытки обмануть еще раз. Выглядит это вполне правдоподобно.
Нетипичные схемы
Злоумышленники, представляющиеся сотрудниками службы безопасности банка, могут сообщить, что на устройстве клиента обнаружен вирус, и попросить скачать антивирус. Так, во время скачивания мошенники могут получить доступ к мобильному банкингу и вывести средства клиента.
Еще один сценарий развода от «службы безопасности». Внезапно происходит утечка данных, вам звонят из банка и советуют снять деньги через безопасный банкомат и перевести их на специальный страховочный счет. На самом деле никакой утечки нет, а денежки пропали.
Или такая схема. Звонок из «банка»: был зафиксирован вход в личный кабинет из другого города или страны. Для идентификации клиента необходимо назвать номер карты (казалось бы, зачем банку номер карты, ведь она у них есть?). А потом включается голосовая служба. Клиент доверяет голосу робота и вводит код в тональном режиме. Мошенники меняют пароль и логин в его личном кабинете и выводят деньги.
Как не стать жертвой
Нужно всегда держать в тайне коды из СМС и пуш-уведомлений, ПИН-код карты, контрольные вопросы, данные карты, включая срок действия и трехзначный код. Нельзя также раскрывать персональные данные: отчество, место и год рождения, данные паспорта.
• Спросите у звонящего «сотрудника» фамилию и сами перезвоните в банк. Телефон есть на карте или найдите его в интернете — не спрашивайте у звонящего.
• Не скачивайте никакие программы на смартфон по просьбе незнакомцев и не предоставляйте им доступ к ним.
• Не носите бумажку с ПИН-кодом рядом с картой в портмоне. Вытащат все вместе.
• Для быстрой связи с банком заранее сохраните его номера в телефоне.
• Если пропала карта, деньги со счета или телефон — сразу свяжитесь с банком, опишите ситуацию, заблокируйте карту и счета.
«Бывает, что по указке мошенников клиент обманывает сотрудников банка, а свою ошибку понимает, когда уже ничего не исправить»
— Тинькофф внедряет новейшие технологии и адаптируется к агрессивной преступной среде, — сказал «КП» руководитель управления противодействия мошенничеству и претензионной работы Тинькофф Алексей Бакланов. — Но у банков до сих пор недостаточно инструментов, чтобы помешать обманутым клиентам перевести деньги преступникам. Мошенники используют приемы психологического давления, из-за чего обманутый клиент самостоятельно переводит им деньги. Бывают случаи, что сотрудники банка посчитают операции подозрительными и свяжутся с клиентом для подтверждения, но он может ввести их в заблуждение, действуя по указаниям мошенников. Клиент понимает свою ошибку, лишь когда деньги вернуть уже нельзя.
СТАТИСТИКА ОБМАНА
* Мужчины становятся жертвами мошенников чаще, чем женщины.
* Женатые попадаются на уловки почти вдвое реже, чем холостые.
* Больше всего подвержены мошенничеству люди 18 — 22 лет, следом за ними — те, кто старше 68.
* Клиенты банков с высшим образованием становятся жертвой мошенников так же часто, как и обладатели начального и среднего. А обладатели ученой степени — в 2,3 раза чаще.
Читайте также
Возрастная категория сайта 18 +
Сетевое издание (сайт) зарегистрировано Роскомнадзором, свидетельство Эл № ФС77-80505 от 15 марта 2021 г.
ГЛАВНЫЙ РЕДАКТОР — НОСОВА ОЛЕСЯ ВЯЧЕСЛАВОВНА.
ШЕФ-РЕДАКТОР САЙТА — КАНСКИЙ ВИКТОР ФЕДОРОВИЧ.
АВТОР СОВРЕМЕННОЙ ВЕРСИИ ИЗДАНИЯ — СУНГОРКИН ВЛАДИМИР НИКОЛАЕВИЧ.
Сообщения и комментарии читателей сайта размещаются без предварительного редактирования. Редакция оставляет за собой право удалить их с сайта или отредактировать, если указанные сообщения и комментарии являются злоупотреблением свободой массовой информации или нарушением иных требований закона.
АО "ИД "Комсомольская правда". ИНН: 7714037217 ОГРН: 1027739295781 127015, Москва, Новодмитровская д. 2Б, Тел. +7 (495) 777-02-82.
Как воруют деньги с банковских карт
У мошенников много приемов, чтобы запустить руку в наши виртуальные карманы.
Они используют краденые персональные данные, взламывают личные кабинеты на сайтах банков, привязывают карту к другому номеру телефона. К счастью, зачастую нам удается защитить свои деньги. Читатели Тинькофф Журнала рассказали, как столкнулись с кражей с банковских карт и чем это закончилось.
Это комментарии читателей из Сообщества. Собраны в один материал, бережно отредактированы и оформлены по стандартам редакции
Когда привязали карту к чужому телефону
вовремя заметила взлом
Было дело — банковский сотрудник слил мои данные, решив, что будущая мамочка не побежит и не позвонит в банк, если вдруг что-то случится. А мне на телефон пришла смс, что мою карту перепривязали на другой номер телефона, просьба подтвердить эту операцию. Я сразу связалась с банком, отменила это, заблокировала вход с любого другого финансового номера. Выяснилось, что и правда был взлом. А этого сотрудника местного отделения после слива уволили. Правда, банк так и не признал, что это было в результате слива.
Когда украли кошелек и списали деньги с кредитной карты
обратилась в полицию
31 декабря 2017 года вытащили кошелек, пока я говорила по телефону, и быстро сняли деньги с кредитной карты в магазине — подряд семь покупок до 1000 ₽. В итоге 6578 ₽ с карты ушло.
По приходе домой карту заблокировала, но деньги ушли. Заявление в полиции 31 декабря у меня приняли, но на том все и закончилось. Еще пару раз ходила в полицию. В результате тишина. Так и не нашли вора.
Когда попытались взломать личный кабинет на сайте банка
Всегда думал, что это у каких-то других людей крадут, меня не коснется. Пока совершенно неожиданно не пришло сообщение, что в мой личный кабинет в банке была совершена попытка входа, а я не заходил. Сразу же , как и рекомендовалось в смс, позвонил в банк и сообщил об этом — мне сбросили пароль и логин, все обошлось. После этого стал внимательнее относиться к безопасности.
Когда украли паспортные данные и попытались взломать интернет-банк
теперь ставит двухфакторную аутентификацию
Недавно столкнулся с ситуацией — кто-то поменял кодовое слово и номер телефона звонком в банк. Но из банка никто не позвонил по старому телефону и не уточнил. В итоге случайно заметил это сам, когда по смс не пришел код доступа, так как был указан другой номер.
Интересно, что в этот же день звонили и моему сотовому оператору, заблокировав мою сим-карту , — якобы телефон был потерян. Всему этому предшествовал взлом профиля «Вконтакте», где я пересылал фото паспорта маме, вследствие чего паспортные данные попали к мошенникам. Теперь у меня абсолютно везде стоит двухфакторная аутентификация.
Когда списали деньги под видом подписки на фильмы
не получила важное смс
Мошенники украли с карты 2000 ₽ — якобы за подписку на «Кинопоиск». Каждый месяц плачу за смс-оповещения , смс приходят через раз — именно когда сняли деньги, никаких оповещений не было! Говорят, страхуйте карту! А что, без страховки любой хакер может списать деньги с карты, нет никакой защиты?
Когда узнали пароль от карты после покупки авиабилета
Украли деньги с карты, и при этом банк ничего не сделал. Оплатила во Франкфурте авиабилет через интернет, иной возможности не было. Сайт реальный, билет действительный. Спустя три месяца, в субботу, я была на даче в Подмосковье. Приходит смс об оплате 1576 € ( 129 846 ₽) через интернет в Германии, в Бремене, — ни разу не была там. В течение трех минут дозвонилась в банк, заблокировала карту, объяснила, что это не я, просила ничего не переводить. В понедельник написала претензию.
Дошло до суда. Выяснилось, что некая Дорис Робинсон в Бремене оплатила через интернет моими деньгами плазменный телевизор за 1576 € ( 129 846 ₽). Доставили ей его во вторник, даже адрес в банке дали. При этом с этой карты в течение полугода проводились оплаты в размере не более 5—7 € ( 412 — 577 ₽) в день, все позже было подтверждено банковскими аналитиками.
В результате виновата я. Якобы дала третьему лицу CVC-код и номер карты. Деньги, естественно, не вернули. Чудеса банковские. С тех пор с тем банком на одно поле не хожу.
Когда номера карты хватило для взлома интернет-банка
Пытались украсть деньги на сайтах «Авито» и «Юла», когда мы выставляли на продажу вещи. Мошенники мониторят сразу. Звонили и предлагали сделку: типа товар понравился и покупают не глядя — особенно свадебное платье. Сразу прокололись. Решили им подыграть на их предложения.
Сказали, что пришлют курьера и заберут платье, но часть денег переведут сразу на карту, чтобы забомбить товар. Остальное передаст курьер при получении. Детский лепет, но дальше еще смешнее. Дома были две карты с почти истекшим сроком годности, около 100 ₽ на одной и 50 ₽ на другой. Продиктовала номер одной из них без трехзначного кода и надеялась, что ничего у них не получится.
Они через какое-то время перезванивают и, извиняясь, просят другую карту. Прежняя не понравилась тем, что там всего 50 ₽, а деньги у них якобы корпоративные и они пересылают за товар только на карты с лимитом от 1000 ₽. То же самое проделали со второй картой, но тоже без навара остались. Мы пригрозили им позвонить куда следует и заявить на мошеннические действия — они бросили трубку, и номер сразу стал недоступен.
Просто по номеру карты входят в личный кабинет клиента и внаглую могут снять деньги со счета. У нас ничего не сняли, но в личный кабинет вошли без проблем — без кода, без сообщений от банка.
Когда пообещали финансовую защиту и украли все деньги
Думая, что это государственный сайт уполномоченного подразделения по финансовой защите граждан, попала в руки мошенников, которые сняли с карты все мои деньги и ничего в итоге не выплатили. Причем за услугу их юриста мне пришлось заплатить дважды, но самой услуги не получила. Пришлось блокировать карту, звонить в банк. Раньше такими мошенниками занимались госструктуры. Страшно жить в стране, где нет предела беззаконию.
Когда попытались выманить номер карты, представившись сотрудником банка
Звонили под видом службы безопасности банка — типа я совершила покупку в интернет-магазине , но оплата не прошла, и они сами исправят ситуацию. Я действительно оплатила накануне покупку. Просили назвать реквизиты карты. Голос мужской, очень уверенный, даже требовательный. Я как-то всполошилась, поверила, но, как только заговорили о реквизитах карты, я возмутилась — с какой это стати просите данные карты? — и выключила телефон.
Дочка сразу позвонила в банк уточнить, они звонили или нет. Служба безопасности банка ответила, что не звонили.
Когда украли телефон и быстро списали деньги
не успел заблокировать карту
Украли телефон в переполненном общественном транспорте и за 26 минут, в течение которых я искал, с какого другого телефона позвонить в банк и заблокировать счет, успели списать деньги пятью разными суммами с интервалом в одну минуту. Самые крупные переводы были отклонены, но, даже несмотря на нетипичное поведение, банк не запросил кодовое слово на втором подозрительном транше.
Как воры в такой короткий промежуток времени получили доступ, обойдя систему запароленного доступа, банк не объяснил, сославшись на якобы введенный номер карты и смену пароля через смс-восстановление . При этом банк не признал, что смена пароля — это смена личных данных, после которой он был обязан запросить кодовое слово, известное только настоящему владельцу счета, а не тому, в чьих руках оказался телефон с логично связанной с ним симкой и банковской картой.
Это в кабинет какого банка смогли зайти по номеру карты? Назовите этого героя, раз уж обвиняете его в таком на весь интернет
Много раз звонили из всех структур, но последний звонок самый хорошо отработанный был
На Вацап с аватаром следственного комитета РФ следователь по особым делам, Голосом вояки из кино отбивая слова уверенно мне сообщили что дело не требует отлагательств и сейчас был зафиксирован перевод с моего счета денег в поддержку ВСУ за что мне грозит 15 лет лишения свободы. И конечно же я должна в панике дать все реквизиты чтобы они меня спали.
Аделина, в случаях таких звонков сразу спрашиваю: «свинина, будешь желудь?». Обижаются и трубку бросают…
Аделина, мне тоже так звонили
Пока банки считают смс достаточным вторым фактором убирая при этом первый, этот карнавал будет продолжаться.
От того что это защищает от 99% инцидентов, оставшемуся одному проценту как-то знаете не легче.
Банку даже напрямую выгодны такие дырища: вывод средств как правило идёт с максимальными комиссиями.
Дайте мне возможность настроить настройку "подтверждать переводы больше N заявлением с ЭЦП/госключём даже уровня УКЭП/УНЭП и никак иначе" чтобы я сам себя обезопасил от результатов работы некоторых не_будем_показывать_пальцем некомпетентных банковских безопасников. И банку хорошо — УКЭП имеет намного большую неотрекаемость и мне.
точнее плохо, комиссии за обнал на чужом горе сами себя не заработают.
Я бы даже конкретный сертификат прибивал бы гвоздями по заявлению и менял бы его раз в год при перевыпуске.
Сейчас многие банки позволяют войти в интернет-банк, зная лишь номер карты и одноразовый пароль из СМС. Если у вас украдут (или вы потеряете) сумку с телефоном и банковской картой, мошенники получают полный доступ ко всем средствам на всех счетах. Блокировка телефона скорее всего не поможет, так как мало кто заморачивается включением PIN кода на SIM карте, и мошенник может просто вынуть её из вашего телефона и поставить в свой.
Обязательно используйте блокировку своего телефона, отключайте показ содержимого SMS сообщений на заблокированном экране и включите запрос PIN кода на симке (поменяв его с дефолтного на свой).
Спасибо, что делитесь опытом!
В очередной раз убеждаюсь, что никому верить нельзя
Почему нельзя как то использовать секретное слово которое знаю только я и банк? Я бы тоже хотел звонки из банка как то верифицировать. 🙂
" мой личный кабинет в банке была совершена попытка входа, а я не заходил. Сразу же, как и рекомендовалось в смс, позвонил в банк и сообщил об этом — мне сбросили пароль и логин"
А зачем менять пароль?
Системный, возможно, там стоит защита от N предыдущих паролей. Если этот утек, владелец даже при сильном желании не поставит такой же пароль на эту учетку еще раз. Знаю пару банков, где есть такое ограничение
ОльгаAK, я так понимаю, если "попытка входа", значит, она не удалась, то есть пароль злоумышленнику не известен.
Ну и если пароль истёк, то нет смысла его же и ставить.
Системный, двухфактор у человека стоит, скорее всего. Пароль и логин ввели, а с кодом смс обломались.
Вот Lola Ivanova написала, что ей позвонили с государственного сайта уполномоченного подразделения по финансовой защите граждан, попала в руки мошенников, которые сняли с карты все мои деньги. все это от финансовой безграмотности. Никакого такого сайта не существует, также как и Центральный банк РФ никогда не звонит никаким физическим лицам и не существует никакого "специального" счета. Думайте о своих финансах сами. Мне тоже и следователи звонят, и Банк России, и еще там кто-то, но надо быть настороже, хотя это не всегда у кого-то получается
У меня украли телефон, но я заблокировала его сразу же, чтобы грабитель не смог получить мои данные. Однако они вытащили сим карту и каким-то образом вывели все деньги. Кто-нибудь хоть может объяснить как, если кроме номера телефона у них ничего не было?
Как мошенники крадут деньги с ваших банковских карт: 11 главных схем
В июле эксперты НАФИ выяснили, что каждый четвертый держатель банковских карт в России может стать жертвой мошенников: 27% респондентов оказались в зоне риска, так как готовы сообщить посторонним CVV-код своей карты и срок ее действия. Чуть меньше трети владельцев карт в том или ином виде сталкивались с попытками мошенничества.
Мошенники продолжают совершенствовать свои методы, признала в конце июня глава ЦБ Эльвира Набиуллина. «Жулики во все времена были креативными. И технологии, к сожалению, только расширяют их возможности вводить граждан в заблуждение. Это и фишинговые сайты, и звонки из так называемых служб безопасности банков, фальшивые страницы банков и даже Банка России в соцсетях, где якобы разыгрываются призы или выплачиваются компенсации, и так далее», — перечисляла глава регулятора. По словам Набиуллиной, около 70% операций, которые делаются без согласия клиента, совершаются с использованием социальной инженерии. «И тогда банк ничего не нарушает, потому что человек сам передает пароли, все персональные данные мошенникам в руки», — сказала она.
Forbes рассказывает об 11 распространенных и актуальных схемах, которые используют мошенники для вывода денег с банковских карт и получения персональных данных.
Ложная помощь с возвратом средств за авиабилеты и гостиницы
«Мошенники активно используют любые информационные поводы и громкие события, — рассказывает замруководителя лаборатории компьютерной криминалистики и исследования вредоносного кода Group-IB Сергей Никитин. — В этом году активно используют тему коронавируса».
В частности, после закрытия границ мошенники начали звонить людям и предлагать свои услуги по возврату денег за купленные билеты и бронь отелей. О таком способе в мае предупреждал ВТБ. Мошенники используют в своих целях новый способ возврата денег за билеты с помощью ваучеров, которым уже пользуются многие авиакомпании. Пассажир оформляет ваучер, и деньги, потраченные на билет, зачисляются на специальный депозит в его личном кабинете на сайте авиаперевозчика или агрегатора. Мошенники звонят пассажирам, представляются сотрудниками авиакомпании и предлагают купить у них ваучер. Для этого они просят сообщить данные банковской карты для списания оговоренной суммы, а также код из полученного после этого СМС от банка.
«Ложные» льготы и пособия от государства или кредитные каникулы
Еще один «коронавирусный» способ мошенничества. Человеку могут позвонить якобы из банка и сообщить, что ему положена финансовая поддержка в связи с резкой потерей доходов, кредитные каникулы, рассрочки и т.д. Для их оформления звонящие просят сообщить данные банковских карт. Если владелец карты называет реквизиты банковской карты, срок ее действия и CVV-код, то мошенники уже могут совершать онлайн-покупки от его имени.
«Фальшивые» пособия на детей
В июне Почта-банк сообщил о способе мошенничества, связанном с выплатами «антикризисных» пособий на детей. Мошенники создают фейковые интернет-сайты, имитирующие портал госуслуг и якобы посвященные выплате пособий для семей с детьми. Внешне они либо полностью копируют официальный портал, либо очень на него похожи, говорилось в релизе банка. На таких сайтах мошенники просят ввести данные о номере банковского счета.
Сообщения о попытке войти в мобильный банк и привязать к карте другой номер телефона
Мошенники связываются с владельцем карты и сообщают, что некто пытается привязать карту к другому номеру телефона. Для идентификации личности владельцу карты предлагается сообщить ее данные. После этого мошенники проводят с карты перевод, клиенту приходит код подтверждения от банка, который он тоже сообщает мошенникам — также для «идентификации». Узнав код, злоумышленники могут перевести деньги на другую карту.
Мошенничество с помощью сервиса для предпринимателей
Мошенники нашли лазейку в сервисе Сбербанка по дистанционному резервированию расчетного счета для индивидуальных предпринимателей. Злоумышленники представляются по телефону сотрудниками службы безопасности Сбербанка и сообщают клиенту о попытке несанкционированной операции по его счетам. Они предлагают открыть резервный счет в банке и пройти верификацию. Для этого просят предоставить данные карты. Когда клиент начинает сомневаться и отказывается раскрыть данные, мошенники заполняют анкету на сервисе по дистанционному резервированию расчетного счета, и тогда потенциальной жертве мошенника приходит реальная СМС с кодом подтверждения операции с номера Сбербанка 900.
На сайте Сбербанка перечислены и другие случаи мошенничества:
«Лотерея» от Сбербанка
Мошенники по телефону предлагают поучаствовать в лотерее от Сбербанка, для которой надо пройти опрос на сайте. Участникам «лотереи» обещают крупную сумму. Естественно, госбанк лотереи не проводит, а сайт фишинговый. На нем для подтверждения карты потенциальную жертву мошенников просят перечислить 150 рублей. «Вы отправляете деньги, а потом не можете связаться с мошенниками», — пишет банк.
«Брокерские или дилерские услуги»
Мошенники представляются сотрудниками брокерской или дилерской компании. Они предлагают инвестировать деньги с гарантией высокого дохода. Человек в итоге соглашается открыть счет и самостоятельно переводит деньги мошенникам. Еще один вариант, на который указывает Сбербанк, — мошенники предлагают зарегистрироваться на сайте бинарных опционов, после пополнения баланса человек получает уведомления о получении «бонусных» доходов. Чтобы их вывести, нужно внести на счет дополнительную сумму, в итоге эти деньги вернуть невозможно, пишет банк.
Звонки с похожих номеров
«Злоумышленники могут поменять одну цифру в номере, которую вы не заметите и подумаете, что это банковский номер», — предупреждает Сбербанк. Мошенники будут просить полные данные карты, CVV- или CVC-код, код из СМС или пароли от онлайн-банка, и объяснять это тем, что пытаются предотвратить подозрительную операцию.
«Перевод по ошибке»
Мошенники могут прислать СМС, подделанное под банковское сообщение об операции, затем с другого номера приходит сообщение с просьбой вернуть деньги, так как перевод якобы совершен по ошибке.
Предложения установить программу удаленного доступа
Злоумышленники представляются сотрудниками банка и под разными предлогами могут предлагать установить на смартфон программу для удаленного управления. Например, мошенники могут говорить, что это спасет клиента от несанкционированного снятия денег. Далее человек скачивает по ссылке «специальный антивирус» или «программу для удаленной помощи». «Самое опасное заключается в том, что злоумышленник видит экран смартфона, — рассказывает Сергей Никитин из Group-IB. — Если это Android, то он может управлять этим смартфоном, если IOS, то просто видеть экран. Фишка здесь в том, что далее мошенники инициируют операцию по переводу средств со счета, и человеку приходит код, который сразу высвечивается на экране».
Об оригинальном применении этого способа в мае сообщал ВТБ. Весной из-за кризиса и пандемии резко выросло количество безработных, и тема вакансий стала особенно актуальной. Банк приводил пример вакансии тестировщика мобильных приложений для кандидатов без опыта работы. В процессе «тестирования» кандидата просили установить программы удаленного доступа к компьютеру или смартфону. В итоге мошенники получали доступ к банковским приложениям клиента.
Поход к банкомату для «спасения денег»
Этот вариант менее распространен, но хорошо действует на пожилых граждан. Злоумышленники уговаривают человека идти к банкомату и набирать в нем определенную последовательность команд. Обычно мошенники тревожным тоном сообщают, что деньги пытаются украсть и их нужно немедленно перевести на «страховой счет». Владельцу карты диктуют, какие кнопки нужно нажимать, и человек переводит деньги либо на номер телефона, либо на чужую карту.
Как себя защитить
Личные данные человека злоумышленники могут узнать через социальные сети и из утечек, в том числе клиентских баз банков. Часто в таких базах есть даже паспортные данные человека, информация о балансе, последних операциях и т.д. Также существует возможность узнать имя владельца чужой карты по ее номеру, попробовав выполнить платеж на нее, говорит Сергей Никитин из Group-IB .