мошенники через телефон снимают деньги с карты

«Сняли все, сижу рыдаю». Как у россиян крадут деньги в «Сбербанк Онлайн»

Клиентка Сбербанка Виктория рассказала Bankiros.ru о том, как чуть не стала жертвой подобной мошеннической схемы. На ее сотовый поступил звонок с московского номера, а вежливый мужчина на другом конце провода представился операционистом банка, назвал свое имя, код сотрудника и сообщил, что беседа ведется по защищенной линии.

После этого мошенник предупредил, что содержание СМС, которые придут на телефон, нельзя никому сообщать. С кодами из сообщений он посоветовал сходить в ближайшее отделение банка на следующий день.

«Вот тут я чуть не поверила, все так правдоподобно звучит и выглядит в целом безопасно: приглашает в отделение банка, говорит, что коды называть никому, даже ему, нельзя. Да и разговаривал он очень профессионально. После того, как коды пришли, он сказал, что его работа выполнена, и он переводит меня на другого сотрудника службы безопасности».

Второй «сотрудник» повторил женщине все, что говорил первый. А потом заявил, что картой пользоваться нельзя, потому что с нее пытаются списать деньги. Он предложил обратиться в отделение банка на следующий день и получить новую карту.

«Скачайте приложение, а мы украдем ваши деньги»

Чтобы защитить свои деньги «здесь и сейчас», мужчина предложил скачать специальное приложение в Play Маркет. Оно якобы должно предотвратить списания.

Найти нужное приложение не сложно, уговаривали злоумышленники, достаточно ввести в поиске слово «поддержка».Тем самым приложением оказалась программа TeamViewer, позволяющая управлять смартфоном с другого устройства. Если дать к нему доступ мошенникам, они смогут беспрепятственно списать все деньги.

Нашей читательнице повезло. Она знала эту программу и не стала ничего устанавливать. Но, судя по отзывам в Play Маркет, многие люди после установки приложения лишились своих денег. Около половины всех негативных отзывов связаны с использованием TeamViewer мошенниками:

Как мошенники снимают деньги

Чтобы получить доступ к чужому мобильному банку, мало знать номер телефона. Преступнику понадобится код из СМС и реквизиты банковской картой. Как минимум – ее номер.

Опасность подобного рода мошенничества в том, что преступники не запрашивают личных данных у своих жертв – они у них уже есть. Базы данные клиентов банка может купить любой желающий, достаточно забить нужные слова в поиск. Особенно таких сделок много в социальных сетях. Цены доступные – от пяти до 40 рублей за одного человека, в зависимости от того, какие клиенты вам нужны. Спецкор Bankiros.ru написал сразу по двум объявлениям, и вот какие ответы получил.

Кто торгует данными россиян

По данным ФинЦЕНТРа Банка России, за первую половину 2019 года на просторах интернета было опубликовано 12 903 предложений о продаже баз клиентов, и только 12% из них относятся к данным кредитных организаций.

В качестве крупнейших продавцов личных данных клиентов (имен, фамилий, телефонов, номеров банковских карт) ФинЦЕНТР назвал многочисленные интернет-ресурсы и онлайн-магазины:

«При оформлении заказов клиенты таких ресурсов часто сообщают о себе данные в объеме, достаточном для их дальнейшей идентификации (ФИО, адрес, номера телефонов). А номера банковских карт, использованных для оплаты, иногда получают в результате скрытого встраивания в код ресурсов вредоносного кода, считывающего, сохраняющего и передающего их взломщикам. В некоторых случаях данные клиентов могут быть проданы самими владельцами или сотрудниками указанных ресурсов».

Как не стать жертвой

Никто не сбережет ваши деньги лучше вас. На кражи через специальные программы и списания после разговоров с преступниками не распространяется ни одна страховая программа банковских карт. Вот несколько правил, которые помогут вам не потерять деньги.

Если вы стали жертвой мошенника, немедленно обратитесь в полицию.

Обнаружили ошибку? Выделите ее и нажмите Ctrl + Enter.

Источник

Какими способами мошенники похищают деньги с карт. Как не стать жертвой

За первое полугодие 2020 года мошенники украли у банковских клиентов с их карт и счетов 4 млрд руб., совершив более 360 тыс. несанкционированных операций. Из этой суммы банки смогли вернуть пострадавшим только 12,1% (около 485 млн руб.), а общий объем похищенных средств больше показателей аналогичного периода прошлого года на 39%.

Какие схемы мошенничества получили наиболее широкое распространение и как не стать их жертвой — в обзоре РБК.

Способы хищения денег с банковских карт

Самым распространенным способом мошенничества является социальная инженерия — методы обмана и введения клиентов в заблуждение с целью кражи денежных средств. По данным ЦБ, в первом полугодии 2020 года на нее пришлось 83,8% случаев от общего числа атак. Традиционно мошенники звонят банковским клиентам под видом «службы безопасности банка» или «службы финансового мониторинга» и сообщают о том, что по карте якобы совершена подозрительная операция. Под предлогом спасения денежных средств они заставляют клиента совершить ряд действий, чтобы украсть деньги с его счета. Контактную и персональную информацию о клиентах злоумышленники получают, покупая «слитые» базы в даркнете (теневой сегмент интернета. — РБК) либо находя их там же в свободном доступе. Также для убедительности они могут звонить с подменных номеров банков и других структур. Далее схема мошенничества развивается по нескольким сценариям.

В последнее время стали появляться более сложные схемы: к звонкам от «банковских работников» добавились звонки от «правоохранительных органов», которые «подтверждают», что кто-то пытается украсть деньги клиента, поэтому их надо спасти путем перевода на «безопасный» счет. Также злоумышленники начали звонить от имени бюро кредитных историй и сообщать, что обнаружили попытки оформления кредитов с использованием паспорта жертвы.

Во время пандемии и перехода многих процессов в онлайн-формат киберпреступники также активизировались в интернете, предупреждал ЦБ. По данным регулятора, за первое полугодие 2020 года мошенникам удалось украсть в интернете свыше 2 млрд руб., то есть более 50% из общего объема похищенных за этот период средств.

По данным «Лаборатории Касперского», в 2020 году активно росли объемы телефонного мошенничества и скама. С января по ноябрь компания обнаружила почти 86 тыс. скам-ресурсов, из них 62,5 тыс. были заблокированы во втором полугодии. Особенно распространено такое явление в русскоязычном сегменте интернета. По подсчетам компании, потенциальный ущерб от мошенничества мог бы превысить 13 млрд руб., если бы каждая заблокированная попытка перехода пользователя на подобный ресурс повлекла за собой обман хотя бы одного человека.

В России в этом году среди всех входящих звонков с неизвестных номеров доля спама составила 63%, а доля звонков с подозрением на мошенничество — 5,9%. При этом злоумышленники активно пользовались технологией подмены номера. Чаще всего они указывали телефоны финансовых организаций, государственных учреждений или юридических лиц. «Люди проводят все больше времени с телефоном под рукой и чаще берут трубку. Но при этом возможность принять взвешенное решение в разговоре у них есть не всегда. Часто злоумышленники использовали актуальную новостную повестку, чтобы вызвать доверие у жертвы», — объясняет Голованов.

Как не стать жертвой мошенников

Однако вернуть деньги, которые были украдены с помощью социальной инженерии, сложно, так как потерпевший добровольно подтверждал операции по своему счету и у банка есть основания отказать в возврате средств, предупреждает юрист. Клиент может обратиться в банк с требованием заблокировать мошенническую операцию, но, как показывает практика, в подавляющем большинстве случаев в отсутствие документов, подтверждающих факт совершения мошеннических действий, банк, скорее всего, ответит отказом. «Этот отказ можно оспорить в суде, но опять же, как показывает практика, если вы подтвердили операцию списания сами в порядке, установленном банком, шансы минимальны», — добавляет Иккерт.

Источник

Как мошенники снимают деньги с карты: все способы

Согласно отчету Центробанка, в 2019 году с карт физических и юридических лиц было украдено 6426,5 млн рублей. В 2018 сумма была меньше в несколько раз — 1384,7 млн рублей, а в 2017 — 961,3 млн рублей.

Рассмотрим, как работают мошенники с банковскими картами, каких данных им хватает для несанкционированного списания средств и как можно себя обезопасить.

Как мошенники снимают деньги с карты

Условно все схемы снятия денег мошенниками с банковской карты сводятся к 2 способам:

Разберем каждую схему подробнее.

Звонок из банка

Это самая распространенная схема мошенничества. Про нее знают почти все, но тем не менее люди регулярно попадаются на эту уловку. Дело в том, что злоумышленники звонят с номеров, похожих на номера известных банков, и ведут разговор очень профессионально, так, что даже осведомленный человек может в какой-то момент потерять бдительность.

Обычно мошенники утверждают, что с карты зафиксирован подозрительный перевод на n-ую сумму. Перед звонком поступает даже соответствующее СМС о списании — фальшивое или реальное.

Целей может быть три:

Мошенники придумывают все новые схемы обмана, поэтому спрашивать, скорее всего, будут не напрямую, а завуалировано. Например, вас могут попросить назвать код отделения, в котором вы обслуживаетесь, и подсказать, что код пропечатан на обороте карты — те самые три цифры (CVV2/CVC2). Пароль из СМС тоже выманивают хитростью — сообщают, что придет смс с кодом, который никому нельзя называть, даже сотруднику. Далее вас переводят на автоматическую голосовую службу, где код будет запрашивать уже не человек, а робот, которому вы и доверитесь.

Справка: злоумышленники могут звонить не из банка, а из «крупной компании», а вместо угроз о несанкционированном списании, сообщать о том, что вы выиграли крупный приз и для его получения необходимо назвать номер карты или пароль.

Иногда «банковские сотрудники» утверждают, что их базы взломаны, и для сохранности средств просят вас срочно перевести все деньги на специальный счет, с которого вы потом с легкостью выведите деньги. Счет, естественно, вам принадлежать не будет, и деньги вы уже оттуда не выведете.

Единственное, что нужно делать, если звонят банковские мошенники — сбросить звонок. Если вы сомневаетесь, лучше сами перезвоните в банк по номеру телефона, который указан на официальном сайте или обороте карточки.

СМС с ошибочным переводом

Еще один вариант кражи денег с карты — смс с ошибочным зачислением средств.

Если вы получили подобное сообщение, сначала проверьте баланс и убедитесь, что сумма, действительно, зачислена.

Скимминг

Скимминг — это кража данных карты при помощи специальных устройств, которые обычно устанавливают на банкоматы. Внешне они не выделяются, поэтому заметить «лишнюю» деталь не всегда просто.

Используется три устройства:

Первая «деталь» позволяет сделать копию карты, а последние две — увидеть, какой пин-код набирает держатель. Имея на руках дубликат карточки и пин от нее, мошенник без труда снимет все деньги.

Важно: карты с чипом снижают риски, но не защищают на 100% от кражи.

Как обезопасить себя? Пользуйтесь банкоматами, которые расположены в людных местах, а лучше — в офисах банков. Если работаете с «новым» банкоматом, внимательно осмотрите его на наличие «лишних» деталей.

Авито

Самый распространенный вариант кражи денег через Авито — это, когда покупатель-мошенник собирается перевести предоплату на вашу карту, узнает ее данные и просит подтвердить получение средств кодом из СМС, якобы это запрашивает система. На самом же деле вы передаете все данные злоумышленникам, а кодом подтверждаете списание средств в их пользу.

Еще один вид мошенничества на Авито — относительно новый — это Авито Доставка или Защищенная сделка. Сам по себе сервис реальный и защищает как сторону продавца, так и покупателя. Однако злоумышленники используют поддельный сайт, который собирает только данные с карты.

Как все происходит? Лжепокупатель из другого города интересуется вашим товаром и предлагает оформить сделку через Авито Доставку. Предполагается, что он внесет деньги на сервис, вы подтвердите их получение и отправите товар.

Важно: на настоящем сервисе вы сможете получить деньги только после того, как покупатель подтвердит получение покупки.

Злоумышленник постарается перейти для общения в любой мессенджер — т. к. Авито блокирует ссылки на сторонние ресурсы — и скинет вам поддельную ссылку для получения перевода. Страница визуально будет похожа на реальный сайт Авито. Когда вы нажмете на кнопку «Получить средства», откроется форма, в которую нужно будет внести данные с карты, в том числе и CVC2/CVV2. Для завершения операции система потребует ввести код из СМС — так вы завершите процедуру списания средств с вашей карты.

Как не нарваться на мошенников? Не называйте полные данные карты — реальному покупателю хватит только ее номера. Общайтесь с покупателем только в чате Авито. Если пользуетесь «Безопасной сделкой», то переходите на сайт с той ссылки, которую дает сервис в приложении Авито, а не покупатель.

Вирусы

Сами по себе вирусы деньги с карты не воруют — они передают секретные данные третьим лицам, а иногда подменяют реальные сайты на фишинговые.

Некоторые программы могут не просто скопировать сохраненные коды и пароли, но и «показать» мошенникам, что происходит на экране смартфона или даже передать управление им. Последнее особенно опасно, так как вор сможет сам сделать перевод и увидеть код подтверждения.

Как вредоносная программа может попасть на телефон или компьютер? Вам могут позвонить из службы безопасности банка и сообщить, что ваши данные под угрозой и нужно срочно скачать антивирус, программу для удаленной помощи и т. д. Еще один вариант — фальшивая вакансия, например, тестировщик приложений. Суть такая же — вас убедят скачать вирусное ПО.

Вы и сами можете нечаянно наткнуться на вирус, если будете переходить по сомнительным ссылкам или скачивать приложения не с официальных ресурсов.

Могут ли мошенники снять деньги только по номеру карты

Нет, зная только номер карты, не могут. Для покупок в интернете помимо номера, нужно как минимум имя владельца и срок действия карточки — большинство сайтов запрашивает еще код с оборота и одноразовый пароль. Если имя держателя можно узнать в интернет-банке, сделав перевод по номеру карты, то срок действия придется подбирать, а пароли вообще найти нереально, если вы сами их не скажите.

Однако, зная номер карты и номер телефона, злоумышленник может позвонить вам, представившись сотрудником банка и ввести в заблуждение.

Могут ли украсть деньги с бесконтактной карты

Если бесконтактная карта окажется в руках мошенников, то да, могут. Точнее не украсть, а оплатить с нее несколько покупок до 1 тыс. рублей каждая в розничных магазинах. Также с бесконтактными картами работают все вышеописанные схемы мошенничества, кроме кражи данных через банкоматы, если не вставлять ее картоприемник.

В сети ходит слух, что с карт с технологией NFC можно украсть деньги, приложив терминал к сумке или карману, например, в общественном транспорте. Технически это очень сложно сделать, так как расстояние между картой и терминалом должно быть не более 4 см, а на саму процедуру списания у злоумышленника будет всего несколько секунд, пока аппарат активен.

Возможен ли возврат денег, снятых с карты мошенникам

Если с карты все-таки сняли деньги мошенники, первое, что вам нужно сделать — заблокировать ее. Далее необходимо написать заявление в банк о несогласии с последними операциями. Если сделать это в первые часы, то шансы на возврат увеличатся. Также необходимо написать заявление в полицию.

Вернет ли банк деньги, украденные с карты, зависит от того, как именно они были украдены. Если вы сами передали информацию третьим лицам, то вероятность крайне мала — в договоре на обслуживание прописано, что кредитная организация в таких случаях ответственности не несет. Вам остается только попробовать решить вопрос через суд и доказать, что вас ввели в заблуждение, например, позвонив с официального номера банка.

Справка: по информации с сайта ЦБ банки возместили за 2019 год 935 млн рублей — 15%, или каждый 7-й похищенный рубль.

Как обезопасить себя

Чтобы не нарваться на мошенников, придерживайтесь нескольких правил:

Если вводите персональные данные, например, логин и пароль от личного кабинета интернет-банка, убедитесь, что адрес сайта верный.

Источник

Успешный вход: как воруют деньги через мобильный банк

Хакеры и мошенники осваивают новые способы атаковать пользователей мобильного банкинга. Одни используют уязвимости банковских приложений. Другие — старую добрую социальную инженерию. К звонкам «службы безопасности» и просьбам вернуть переведенные «по ошибке» средства добавляются всё новые способы обмана. Насколько безопасны приложения банков, как защитить свой аккаунт, и можно ли вернуть деньги в случае их кражи, выясняли «Известия».

Слабое шифрование

Хотя на первый взгляд банковские приложения достаточно надежно защищены, багов в них всё равно достаточно. К ним, например, эксперты относят отсутствие проверки на получение прав привилегированного пользователя (root-прав) на самом устройстве, а также слабое шифрование данных при их передаче между сервером и устройством.

Как поясняет Александр Зубриков, руководитель направления информационной безопасности ITGLOBAL.COM, отсюда и популярность MitM-атак (когда злоумышленник тайно ретранслирует и при необходимости изменяет связь между двумя сторонами, которые считают, что непосредственно общаются друг с другом).

Одна из уязвимостей, которую наиболее часто эксплуатируют хакеры, — хранение аутентификационных данных в коде приложения в открытом виде.

— Слабые места банковских приложений связаны с окружением на устройстве и интеграцией с технологией Deep-links. Данная технология позволяет определить, как открывать ссылку: в браузере или приложении. Эксплуатация Deep-links со стороны хакеров позволяет им производить не предусмотренные приложением запросы и проникать в его защищенный контур, — поясняет Тимурбулат Султангалиев, директор практики информационной безопасности компании AT Consulting (входит в Лигу цифровой экономики).

Распространенная уязвимость на стороне банка — отсутствие строгой валидации запросов от мобильного приложения к серверам банка. В итоге злоумышленники могут установить фальшивый сертификат на устройство клиента и подделать в запросе счет получателя перевода, таким образом получая доступ к денежным средствам клиентов.

При этом, если отсутствует строгий запрет на сторонние сертификаты или их валидация, банк сочтет запрос легитимным и отправит деньги клиента мошенникам, поясняет руководитель службы информационной безопасности Servicepipе Никита Прохоренко. По его словам, чаще всего к взломам приводит отсутствие политики полного недоверия, когда устройство должно «доказать», что имеет права на такого рода запросы, и то, что запрос действительно отправлен клиентским приложением.

Аутентификация пользователя

Вопросы у специалистов по-прежнему вызывает и система верификации пользователя при входе в приложения. К основным рискам мобильных банковских приложений они относят незащищенную операционную систему и отсутствие двухфакторной аутентификации (отдельного ПИН-кода для запуска).

Как поясняет Евгений Суханов, директор департамента информационной безопасности компании Oberon, в открытых операционных системах Android есть возможность вносить изменения в мобильное приложение либо перехватить его соединение с банком вредоносным ПО. Оно впоследствии сможет осуществлять платежи через зараженное приложение, включая отправку подтверждающих СМС.

Вообще, верификация платежей и самого пользователя, по мнению многих экспертов, — наиболее уязвимое место банковских приложений, даже при наличии двухфакторной идентификации через СМС. Как отмечает Павел Катков, владелец IT-legal компании «Катков и партнеры», СМС-сообщение, как правило, приходит на тот же телефон, на котором стоит взламываемое банковское приложение.

Более надежной специалисты считают двухфакторную аутентификацию с использованием разных устройств: когда мобильное приложение установлено на одно устройство (телефон, планшет), а подтверждение об операции приходит на другое устройство.

Пароли и сторонние приложения

Впрочем, взлом приложений для обмана клиентов кредитных организаций используется всё же не так часто — на первый план выходит по-прежнему социальная инженерия. Львиная доля мошенничеств реализуется при помощи получения кодов и паролей.

— Большинство взломов происходит, когда мошенники связываются с потенциальной жертвой под видом службы безопасности банка, под видом сотрудников банка и получают СМС-код, номер карты и защитный код, — указывает Роман Хорошев, основатель краудлендинговой платформы «Джетленд».

Нередко злоумышленники (используя, например, всё тот же звонок «из службы безопасности банка»), убеждают жертв установить на устройство специальное ПО, позволяющее «расшарить» происходящее на экране смартфона, например, TeamViewer или AnyDesk.

— После установки программы мошенники могут проводить операции от имени клиента, напрямую подключившись к его устройству. Отличить действия мошенника, выдающего себя за реального клиента, становится сложно, но по-прежнему возможно — например, используя поведенческий анализ, — отмечает Дмитрий Стуров, исполнительный директор, начальник управления информационной безопасности банка «Ренессанс Кредит».

Как рассказал Юрий Орлов, директор по информационной безопасности QBF, доля операций, так или иначе связанных с социальной инженерией, в 2020 году составила 64% от общего числа случаев мошенничества. Вырос и средний чек подобных «транзакций» — с 7,6 тыс. до 8,6 тыс. рублей. В большинстве случаев пользователи добровольно предоставляют свои данные третьим лицам.

Что делать

Чтобы минимизировать риск, эксперты советуют следовать базовым правилам, главное из которых — никогда не сообщать персональную и личную информацию звонящим из «колл-центров» и всегда перезванивать в сам банк. Не стоит хранить критичные данные (финансовую информацию, аутентификационные и персональные данные) непосредственно на мобильном устройстве. Не надо использовать слишком простые и повторяющиеся пароли.

Рискованным эксперты считают и повышение уровня привилегий в ОС устройства: установку джейлбрейка в iOS или root-прав для Android. И рекомендуют внимательно следить за тем, какому приложению открывается доступ к данным, и к каким именно.

Стоит помнить и том, что если деньги украдены по вине пользователя или по его оплошности (как и происходит чаще всего), то банк вряд ли вернет средства. Так, по закону банк обязан вернуть деньги, если клиент уведомил о подозрительной операции в течение суток с момента ее совершения. Но при этом он не должен нарушить правила безопасности — в частности, не сообщать никому данные карты и пароли.

— В арсенале банков сегодня большой комплекс средств и механизмов защиты от кибермошенников, но банки не могут отвечать за то, какое ПО загружает на свой телефон или другое устройство клиент, или как-то это контролировать, — указывает директор департамента информационной безопасности МКБ Вячеслав Касимов.

Источник

• ← Бечева что это такое
• портовская больница в махачкале адрес и телефон →