Как украсть деньги с карты
Какими способами мошенники похищают деньги с карт. Как не стать жертвой
За первое полугодие 2020 года мошенники украли у банковских клиентов с их карт и счетов 4 млрд руб., совершив более 360 тыс. несанкционированных операций. Из этой суммы банки смогли вернуть пострадавшим только 12,1% (около 485 млн руб.), а общий объем похищенных средств больше показателей аналогичного периода прошлого года на 39%.
Какие схемы мошенничества получили наиболее широкое распространение и как не стать их жертвой — в обзоре РБК.
Способы хищения денег с банковских карт
Самым распространенным способом мошенничества является социальная инженерия — методы обмана и введения клиентов в заблуждение с целью кражи денежных средств. По данным ЦБ, в первом полугодии 2020 года на нее пришлось 83,8% случаев от общего числа атак. Традиционно мошенники звонят банковским клиентам под видом «службы безопасности банка» или «службы финансового мониторинга» и сообщают о том, что по карте якобы совершена подозрительная операция. Под предлогом спасения денежных средств они заставляют клиента совершить ряд действий, чтобы украсть деньги с его счета. Контактную и персональную информацию о клиентах злоумышленники получают, покупая «слитые» базы в даркнете (теневой сегмент интернета. — РБК) либо находя их там же в свободном доступе. Также для убедительности они могут звонить с подменных номеров банков и других структур. Далее схема мошенничества развивается по нескольким сценариям.
В последнее время стали появляться более сложные схемы: к звонкам от «банковских работников» добавились звонки от «правоохранительных органов», которые «подтверждают», что кто-то пытается украсть деньги клиента, поэтому их надо спасти путем перевода на «безопасный» счет. Также злоумышленники начали звонить от имени бюро кредитных историй и сообщать, что обнаружили попытки оформления кредитов с использованием паспорта жертвы.
Во время пандемии и перехода многих процессов в онлайн-формат киберпреступники также активизировались в интернете, предупреждал ЦБ. По данным регулятора, за первое полугодие 2020 года мошенникам удалось украсть в интернете свыше 2 млрд руб., то есть более 50% из общего объема похищенных за этот период средств.
По данным «Лаборатории Касперского», в 2020 году активно росли объемы телефонного мошенничества и скама. С января по ноябрь компания обнаружила почти 86 тыс. скам-ресурсов, из них 62,5 тыс. были заблокированы во втором полугодии. Особенно распространено такое явление в русскоязычном сегменте интернета. По подсчетам компании, потенциальный ущерб от мошенничества мог бы превысить 13 млрд руб., если бы каждая заблокированная попытка перехода пользователя на подобный ресурс повлекла за собой обман хотя бы одного человека.
В России в этом году среди всех входящих звонков с неизвестных номеров доля спама составила 63%, а доля звонков с подозрением на мошенничество — 5,9%. При этом злоумышленники активно пользовались технологией подмены номера. Чаще всего они указывали телефоны финансовых организаций, государственных учреждений или юридических лиц. «Люди проводят все больше времени с телефоном под рукой и чаще берут трубку. Но при этом возможность принять взвешенное решение в разговоре у них есть не всегда. Часто злоумышленники использовали актуальную новостную повестку, чтобы вызвать доверие у жертвы», — объясняет Голованов.
Как не стать жертвой мошенников
Однако вернуть деньги, которые были украдены с помощью социальной инженерии, сложно, так как потерпевший добровольно подтверждал операции по своему счету и у банка есть основания отказать в возврате средств, предупреждает юрист. Клиент может обратиться в банк с требованием заблокировать мошенническую операцию, но, как показывает практика, в подавляющем большинстве случаев в отсутствие документов, подтверждающих факт совершения мошеннических действий, банк, скорее всего, ответит отказом. «Этот отказ можно оспорить в суде, но опять же, как показывает практика, если вы подтвердили операцию списания сами в порядке, установленном банком, шансы минимальны», — добавляет Иккерт.
9 способов украсть деньги с вашей карты
К сожалению, нет способов на сто процентов уберечь свои деньги. Даже если они лежат на банковском счету, а расплачиваетесь вы карточкой, которую можно в любой момент заблокировать. Мошенники давно придумали способы, как украсть деньги с пластиковой карты и счетов в онлайн-банкинге. Но не нужно отказываться от всего этого, чтобы не попасться на удочку. Если вы будете знать, как именно преступники это делают, то сможете уберечь финансы от их загребущих рук.
Итак, расскажем про 9 способов украсть деньги с вашей карты
Скимминг
Один из самых распространенных способов украсть деньги с банковской карты – скопировать ее. И для этого был придуман скимминг. С помощью этого метода воры копируют данные банковской карты (точнее, только магнитной ленты с нее) и потом могут сделать копию, чтобы затем снять с нее деньги.
Для копирования используется специальное устройство – скиммер. Он представляет собой небольшую накладку на картоприемник банкомата. Как правило, эта накладка практически незаметна. Часто к ней ещё добавляют накладную клавиатуру, которая должна «запомнить» вводимый пароль. Либо мошенники устанавливают маленькую камеру, направленную на клавиатуру. Выглядеть она может как угодно. К слову, скиммер можно установить куда угодно – на двери банка, если в него нужно входить по карточке, в терминалы оплаты услуг и товаров (например, в кафе) и так далее.
Есть несколько способов защититься от скимминга: внимательно осматривайте терминалы и банкоматы, в которые планируете засовывать карточку. Если в них есть что-то подозрительное – допустим, картоприемник подозрительно болтается, или клавиатура перекошена, или что-то лишнее торчит на корпусе – то лучше поищите другое устройство. Наиболее часто скиммеры устанавливают в уличные банкоматы и стоящие в помещениях без камер и охраны. Поэтому лучше дойти до ближайшего банка и снять деньги в местных терминалах. Кстати, за нахождение скиммеров некоторые банки награждают нашедших. Так что можно позвонить на горячую линию и обрисовать проблему.
Социальная инженерия
Как известно, человеческий фактор способен разрушить даже самую защищенную систему. И мошенники этим откровенно пользуются. Они часто наглым образом обманывают людей, пользуясь финансовой неграмотностью и доверчивостью человека.
Наиболее распространенный способ: обманщики звонят жертве и представляются сотрудниками банка, полицейскими, налоговой службой – да кем угодно, кого может заинтересовать банковская карта. И под благовидным предлогом требуют назвать ФИО, номер карты, CVV/CVC-коды, срок действия и так далее. И как только жертва называет информацию, то она может попрощаться с деньгами. Потому что «увести» их можно даже без SMS-пароля, если найти способ. К слову, в некоторых случаях таким могут промышлять и на торговых площадках – например, если вы что-то продаете, то может позвонить «покупатель» и попросить данные, чтобы скинуть деньги. В таком случае можно давать только номер карты. И то нежелательно. А ещё часто звонки подменяют SMS-сообщениями с просьбой перезвонить.
Чтобы не стать жертвой социальной инженерии, запомните: никогда нельзя называть данные банковской карты! Любые, даже ее номер. И не стоит перезванивать по номерам из SMS – либо снимут деньги с телефона, либо будут пытаться развести на указанную выше информацию. Работник банка не попросит эти данные – они ему не нужны. В редких случаях может попросить назвать последние четыре цифры номера карты и кодовое слово – не более! А прочие службы даже не имеют права требовать подобную информацию. Так что не нужно обманываться. Любой запрос данных карты – наглый обман, который приведет к воровству денег. А если вы что-то продаете, то лучше заведите отдельную карту для приема денег от покупателей (и сразу же их оттуда снимайте либо переводите) или привяжите ее к номеру телефона – по нему тоже можно отправлять деньги.
«Письма счастья» на почту и email
Ещё один способ, позволяющий обманщикам сыграть на человеческой доверчивости и невнимательности – присылать письма. В этом случае преступник может выдать себя за кого угодно – например, за представителя банка. Или за известный бренд, решивший прислать вам (и только вам) вкусную скидку на свои товары. Или ещё кем-нибудь.
Как это происходит? Мошенник присылает письмо потенциальной жертве. В ней он описывает, что ему вообще нужно. Например, если это какой-нибудь популярный магазин, то в письме будет расписано очень подробно и завлекательно то, какие выгоды получит покупатель. Если банк – то текст будет содержать угрозы заблокировать карту, счет, снять все деньги и натравить коллекторов. И так далее. А в конце будет стоять ссылка на мошеннический сайт, на котором нужно будет ввести данные банковской карты или (что ещё более нагло) логин и пароль от личного кабинета онлайн-банка.
Чтобы не стать жертвой «писем счастья», никогда не переходите по подозрительным ссылкам из писем и не вводите на странных сайтах никаких данных от карты, личного кабинета и так далее. Для получения скидок, подтверждения личности и так далее не нужны ни пароль от личного кабинета интернет-банкинга, ни данные пластиковой карты.
Фишинговые атаки
Подвид социальной инженерии, оформленный в самостоятельный способ обмана. Направлен на невнимательность пользователей, которые редко проверяют адресную строку сайта при введении данных.
При использовании этого способа мошенники будут любой ценой заставлять вас ввести данные карты на фальшивом сайте. Делаться это может различными способами. Например, вы наткнетесь на интернет-магазин с привлекательными ценами и решите там что-то купить. И в форме покупки попросят ввести все необходимые данные. Либо же в результате каких-то действий вместо странички своего банка вы попадете на точную её копию. И заметить отличие можно будет только по маленькой опечатке в адресе сайта или подмене доменной зоны (то есть вместо привычных ru или com на конце адреса будет стоять su, ua, pro и так далее). Например, адрес сайта будет выглядеть не online.sberbank.ru, а onliine.sberbank.ru, online.sberbank.su, online.sberbanl.ru и так далее. Сразу уточним, на AliExpress данные вводить можно. Но только если это действительно AliExpress, а не точная копия китайского интернет-магазина. Да, популярные интернет-магазины тоже могут подделывать с той же целью.
Как не стать жертвой фишинга? Всегда очень внимательно относитесь к тому сайту, на котором вы расплачиваетесь картой или где вводите данные от нее. При оплате заказа в интернет-магазине вас всегда будет перекидывать на сайты онлайн-касс – например, на «Яндекс.Касса» или ей подобным. Адреса сайтов этих касс внимательно проверяйте! В идеале лучше пользоваться виртуальной картой, на которую вы переводите деньги строго под осуществляемую покупку – даже если ее скомпрометируют, взять оттуда будет нечего.
Вирусное заражение
Электронные системы, к сожалению, небезопасны. И этим обманщики тоже пользуются, чтобы не дать вашим деньгам у вас остаться. Вирус может попасть на компьютер или смартфон как угодно: случайно перешли не на тот сайт, скачали приложение из стороннего источника, открыли зараженный файл… В общем, как угодно. Вирусы и шпионские программы могут попасться даже на внешне благонадежных сайтах – например, часто мошенники взламывают ресурсы и ставят на них зараженные ссылки, баннеры и перенаправления. И нередко вирусные ссылки приходят в SMS-сообщениях и по почте.
Чтобы не позволить вирусам пробраться на компьютер или смартфон, необходимо следовать нескольким правилам. Во-первых, обязательно пользуйтесь антивирусными программами. Желательно проверенными временем – Антивирус Касперского, Doctor Web и им подобными. Бесплатные обновляются редко и имеют много дыр в защите. Не забывайте обновлять антивирусы. А еще старайтесь не переходить на подозрительные ссылки из писем, сообщений и на сайтах в целом.
Кража банковской карты
В некоторых случаях злоумышленникам достаточно получить доступ к самой карте, чтобы снять с нее деньги. И никакие сложные пароли, блокировки и осторожность не помогут. Особенно остро эта проблема стоит с появлением карточек, имеющих возможность оплачивать деньги бесконтактно.
Как правило, мошенники воруют кошелек и используют банковские карты в магазинах, где есть терминалы бесконтактной оплаты. Причем покупают что-то недорогое – до тысячи рублей, чтобы не вводить пароль (именно такой лимит без ввода пин-кода стоит на большинстве карт).
Как действовать, чтобы не потерять деньги? Храните карту в недоступном месте, откуда ее сложно вытащить. Не носите кошелек в заднем кармане брюк или джинсов, во внешних карманах на плащах, куртках и рюкзаках. В общем, прячьте его поглубже. На картах с бесконтактной оплатой обязательно установите лимит поменьше. Да, вам постоянно придется вводить пароль при оплате, что сводит на нет удобство бесконтактной оплаты. Но зато украсть таким способом будет заметно сложнее.
Кража телефона
Наиболее простой способ получить доступ к вашей карте – украсть телефон. Но он будет работать не во всех случаях. Как минимум, мошенник должен быть уверен, что карта подключена к номеру украденного мобильника.
Чтобы получить доступ к банковской карте или даже личному кабинету в онлайн-банке, достаточно иметь актуальный номер телефона. Даже необязательно знать, к какому именно банку он привязан – можно использовать его везде, где-то да и выстрелит. Когда мошенник ворует телефон, то он получает доступ к SMS-сообщениям жертвы. И через них можно быстренько вывести все деньги на другую карту, если телефон привязан к карте. Или «восстановить» пароль на сайтах онлайн-банкинга и уже оттуда украсть все деньги.
Как защититься? К сожалению, на 100% нельзя быть уверенным, что телефон не украдут. Даже самые потаенные места – не преграда для профессионального вора. И даже из рук мобильник могут просто вырвать и сбежать с ним. Или попросту ограбить – тут уж сам отдашь все, что есть, жить-то охота. Но можно минимизировать риск потерять деньги. Например, не привязывайте телефон к мобильному банку – лучше пользуйтесь онлайн-приложениями. Они все под паролями, который взломать очень сложно. Обязательно поставьте пароль и на сам смартфон – его обойти очень трудно. А еще обязательно привяжите устройства на Android и iOS к аккаунтам Google и iCloud соответственно. Через них можно удаленно заблокировать гаджет, и никто не сможет им воспользоваться. И никогда не храните пароли от карты или личного кабинета на смартфоне в виде SMS, заметки и так далее – это облегчит мошенникам доступ к деньгам.
Порча банкомата
Способ, который позволяет украсть карту или деньги, которые владелец пытался снять через устройство. Как это выглядит? Владелец карты пытается снять деньги в банкомате. Но терминал ему их не выдает. То есть щель, откуда должны высунуться купюры, открывается и… ничего. Как правило, после этого человек огорчается, отходит от банкомата и начинает звонить в банк. А в это время хитрый мошенник подходит и забирает деньги, которые банкомат все-таки отсчитал, но не смог выдать из-за того, что щель была заблокирована, например, клейкой лентой или какой-нибудь палочкой. Иногда мошенники ломают банкомат так, что он не только не выдает денег, но и временно зажёвывает карточку.
Как не попасться на удочку? В случае, если банкомат не выдал деньги, обязательно проверьте, не заблокирован ли ход для купюр скотчем или чем-то ещё. Не зазорно будет наклониться и посветить в щель фонариком или хотя бы телефоном. В случае, если денег все-таки нет, не отходите от банкомата – заберите чек и позвоните в службу поддержки банка, подробно описав проблему. То же самое касается и невыдачи карты – не отходите, а подождите какое-то время и позвоните в банк. А если за вами очередь, то просто скажите, что банкомат сломался.
Бесконтактные ридеры
Довольно редко встречающийся способ, обросший мифами и легендами. Ходят слухи, что в крупных городах периодически по общественному транспорту, магазинам и просто по улицам ходят люди, имеющие в кармане устройство, способное считать данные карты по бесконтактному чипу. Достаточно приблизить такой ридер на 5-10 сантиметров к карте – и необходимая информация перейдет к мошенникам. А они потом изготовят копию карты и будут использовать в своих преступных целях. Либо же просто списывают какие-то небольшие суммы с высокой скоростью.
Такой способ действительно существует и применяется. Но, как правило, не к случайным жертвам, а к тем людям, у которых точно есть деньги на картах. Потому что собрать такой терминал довольно дорого – придется потратить на компоненты от 100$. А риски попасться с такой машинкой немалые. Поэтому воры действуют наверняка – отираются, например, в аэропортах в VIP-зонах (редко), дорогих магазинах и так далее.
Вообще такой вид воровства применяется редко. Но если вы хотите перестраховаться и точно защитить карту от бесконтактного считывания, то возьмите на вооружение. Для этого достаточно завернуть ее в кусочек фольги. Или же, если вы не хотите позориться, шурша фольгой в магазине, можно купить стильный чехол из металла для банковской карты. А ещё лучше использовать смартфон для бесконтактной оплаты или вообще отказаться от карт с такой технологией.
Мы искренне надеемся, что вы правильно воспользуетесь полученной информацией и сможете уберечь деньги от ушлых мошенников. Ведь многое зависит именно от вас – внимательность поможет помешать преступникам в краже ваших кровно заработанных.
Как мошенники крадут деньги с ваших банковских карт: 11 главных схем
В июле эксперты НАФИ выяснили, что каждый четвертый держатель банковских карт в России может стать жертвой мошенников: 27% респондентов оказались в зоне риска, так как готовы сообщить посторонним CVV-код своей карты и срок ее действия. Чуть меньше трети владельцев карт в том или ином виде сталкивались с попытками мошенничества.
Мошенники продолжают совершенствовать свои методы, признала в конце июня глава ЦБ Эльвира Набиуллина. «Жулики во все времена были креативными. И технологии, к сожалению, только расширяют их возможности вводить граждан в заблуждение. Это и фишинговые сайты, и звонки из так называемых служб безопасности банков, фальшивые страницы банков и даже Банка России в соцсетях, где якобы разыгрываются призы или выплачиваются компенсации, и так далее», — перечисляла глава регулятора. По словам Набиуллиной, около 70% операций, которые делаются без согласия клиента, совершаются с использованием социальной инженерии. «И тогда банк ничего не нарушает, потому что человек сам передает пароли, все персональные данные мошенникам в руки», — сказала она.
Forbes рассказывает об 11 распространенных и актуальных схемах, которые используют мошенники для вывода денег с банковских карт и получения персональных данных.
Ложная помощь с возвратом средств за авиабилеты и гостиницы
«Мошенники активно используют любые информационные поводы и громкие события, — рассказывает замруководителя лаборатории компьютерной криминалистики и исследования вредоносного кода Group-IB Сергей Никитин. — В этом году активно используют тему коронавируса».
В частности, после закрытия границ мошенники начали звонить людям и предлагать свои услуги по возврату денег за купленные билеты и бронь отелей. О таком способе в мае предупреждал ВТБ. Мошенники используют в своих целях новый способ возврата денег за билеты с помощью ваучеров, которым уже пользуются многие авиакомпании. Пассажир оформляет ваучер, и деньги, потраченные на билет, зачисляются на специальный депозит в его личном кабинете на сайте авиаперевозчика или агрегатора. Мошенники звонят пассажирам, представляются сотрудниками авиакомпании и предлагают купить у них ваучер. Для этого они просят сообщить данные банковской карты для списания оговоренной суммы, а также код из полученного после этого СМС от банка.
«Ложные» льготы и пособия от государства или кредитные каникулы
Еще один «коронавирусный» способ мошенничества. Человеку могут позвонить якобы из банка и сообщить, что ему положена финансовая поддержка в связи с резкой потерей доходов, кредитные каникулы, рассрочки и т.д. Для их оформления звонящие просят сообщить данные банковских карт. Если владелец карты называет реквизиты банковской карты, срок ее действия и CVV-код, то мошенники уже могут совершать онлайн-покупки от его имени.
«Фальшивые» пособия на детей
В июне Почта-банк сообщил о способе мошенничества, связанном с выплатами «антикризисных» пособий на детей. Мошенники создают фейковые интернет-сайты, имитирующие портал госуслуг и якобы посвященные выплате пособий для семей с детьми. Внешне они либо полностью копируют официальный портал, либо очень на него похожи, говорилось в релизе банка. На таких сайтах мошенники просят ввести данные о номере банковского счета.
Сообщения о попытке войти в мобильный банк и привязать к карте другой номер телефона
Мошенники связываются с владельцем карты и сообщают, что некто пытается привязать карту к другому номеру телефона. Для идентификации личности владельцу карты предлагается сообщить ее данные. После этого мошенники проводят с карты перевод, клиенту приходит код подтверждения от банка, который он тоже сообщает мошенникам — также для «идентификации». Узнав код, злоумышленники могут перевести деньги на другую карту.
Мошенничество с помощью сервиса для предпринимателей
Мошенники нашли лазейку в сервисе Сбербанка по дистанционному резервированию расчетного счета для индивидуальных предпринимателей. Злоумышленники представляются по телефону сотрудниками службы безопасности Сбербанка и сообщают клиенту о попытке несанкционированной операции по его счетам. Они предлагают открыть резервный счет в банке и пройти верификацию. Для этого просят предоставить данные карты. Когда клиент начинает сомневаться и отказывается раскрыть данные, мошенники заполняют анкету на сервисе по дистанционному резервированию расчетного счета, и тогда потенциальной жертве мошенника приходит реальная СМС с кодом подтверждения операции с номера Сбербанка 900.
На сайте Сбербанка перечислены и другие случаи мошенничества:
«Лотерея» от Сбербанка
Мошенники по телефону предлагают поучаствовать в лотерее от Сбербанка, для которой надо пройти опрос на сайте. Участникам «лотереи» обещают крупную сумму. Естественно, госбанк лотереи не проводит, а сайт фишинговый. На нем для подтверждения карты потенциальную жертву мошенников просят перечислить 150 рублей. «Вы отправляете деньги, а потом не можете связаться с мошенниками», — пишет банк.
«Брокерские или дилерские услуги»
Мошенники представляются сотрудниками брокерской или дилерской компании. Они предлагают инвестировать деньги с гарантией высокого дохода. Человек в итоге соглашается открыть счет и самостоятельно переводит деньги мошенникам. Еще один вариант, на который указывает Сбербанк, — мошенники предлагают зарегистрироваться на сайте бинарных опционов, после пополнения баланса человек получает уведомления о получении «бонусных» доходов. Чтобы их вывести, нужно внести на счет дополнительную сумму, в итоге эти деньги вернуть невозможно, пишет банк.
Звонки с похожих номеров
«Злоумышленники могут поменять одну цифру в номере, которую вы не заметите и подумаете, что это банковский номер», — предупреждает Сбербанк. Мошенники будут просить полные данные карты, CVV- или CVC-код, код из СМС или пароли от онлайн-банка, и объяснять это тем, что пытаются предотвратить подозрительную операцию.
«Перевод по ошибке»
Мошенники могут прислать СМС, подделанное под банковское сообщение об операции, затем с другого номера приходит сообщение с просьбой вернуть деньги, так как перевод якобы совершен по ошибке.
Предложения установить программу удаленного доступа
Злоумышленники представляются сотрудниками банка и под разными предлогами могут предлагать установить на смартфон программу для удаленного управления. Например, мошенники могут говорить, что это спасет клиента от несанкционированного снятия денег. Далее человек скачивает по ссылке «специальный антивирус» или «программу для удаленной помощи». «Самое опасное заключается в том, что злоумышленник видит экран смартфона, — рассказывает Сергей Никитин из Group-IB. — Если это Android, то он может управлять этим смартфоном, если IOS, то просто видеть экран. Фишка здесь в том, что далее мошенники инициируют операцию по переводу средств со счета, и человеку приходит код, который сразу высвечивается на экране».
Об оригинальном применении этого способа в мае сообщал ВТБ. Весной из-за кризиса и пандемии резко выросло количество безработных, и тема вакансий стала особенно актуальной. Банк приводил пример вакансии тестировщика мобильных приложений для кандидатов без опыта работы. В процессе «тестирования» кандидата просили установить программы удаленного доступа к компьютеру или смартфону. В итоге мошенники получали доступ к банковским приложениям клиента.
Поход к банкомату для «спасения денег»
Этот вариант менее распространен, но хорошо действует на пожилых граждан. Злоумышленники уговаривают человека идти к банкомату и набирать в нем определенную последовательность команд. Обычно мошенники тревожным тоном сообщают, что деньги пытаются украсть и их нужно немедленно перевести на «страховой счет». Владельцу карты диктуют, какие кнопки нужно нажимать, и человек переводит деньги либо на номер телефона, либо на чужую карту.