Как работают мошенники с банковскими картами если узнают ваш номер телефона

Обновлено: 27.04.2024

Цель мошенников – завладеть вашими деньгами. Для этого достаточно получить от вас полные данные карты (номер, дата окончания срока действия и CVV/CVC-код), создать с неё перевод и подтвердить его кодом из SMS, которое придет на ваш телефон.

Самый популярный способ сделать это – позвонить и представиться сотрудником банка. Повод может быть любой:

▪ агрессивный: ваша карта заблокирована;

▪ нейтральный: нам нужно уточнить ваши данные, подтвердите перевод с карты и т.д.;

▪ соблазняющим: вам пришел перевод на несколько тысяч, чтобы получить его, сообщите данные карты.

Количество вариантов зависит от фантазии организаторов схемы. Им выгодно менять формат, чтобы жертвы не привыкали.

Как мошенники узнают ваше имя и личные данные?

Мошенникам даже не надо знать номер вашей карты. Достаточно номера мобильного.

Часто по номеру мобильного можно узнать, как вас зовут. В мобильном приложении Сбербанк покажет имя, отчество и первую букву фамилии. Тинькофф – имя и первую букву фамилии.

Есть и другие способы узнать имя по номеру телефона. Да и в Гугле никого не банили.

Номер карты многие тоже часто сбрасывают в личку. Такое есть везде – от родительских чатов в WhatsApp до сборов денег в социальных сетях.

Дальше – дело техники. Если вам внезапно позвонит сотрудник банка, назовет вас по имени-отчеству, продиктует номер вашей карты, разве вы не поверите ему?

Откуда мошенники берут номера телефонов для обзвона

Сами понимаете, таким людям терять особо нечего. И времени свободного много.

Сейчас в игру вступили целые колл-центры. Данные массово парсят – телефоны берут на сайтах бесплатных объявлений, в соцсетях и т.п.

Работают и по купленным базам. Чаще всего их сливают сами сотрудники банков. Там есть ФИО, номер телефона и часть номера карты. Как минимум.

Наконец, мошенники используют дыры в ПО. Через них похищают либо данные клиентов, либо воруют деньги.

Есть информация, что один известный банк только недавно закрыл дыру, которая позволяла сделать перевод без согласия клиента. Не требовалось даже CVV – только номер карты, телефона и одноразовый код из SMS.

Сколько таких уязвимостей приносит (или будет приносить!) кому-то стабильный доход, никто не знает. И не узнает.

Как работают «чёрные» колл-центры мошенников

Набрать персонал в такой колл-центр несложно. Не нужно быть гениальным психологом, когда есть методичка и скрипты, отточенные на реальных жертвах.

Скорее всего, вы даже видели рекламу подобных вакансий. “Требуется сотрудник в новый колл-центр, работа в финансовой сфере, зарплата от $1000 + бонусы ” – знакомо? В объявлении могут писать всё, что угодно. Иногда даже колл-центр не упоминают.

Работать в колл-центры идут люди, которые хотят быстрых и легких денег. Правда, текучка огромная. Неэффективных сразу увольняют.

Кто-то не выдерживает. У кого-то не получается. Кто-то начинает тратить деньги на алкоголь и наркотики.

Новичков сажают “открывать сделки”. Их тренируют говорить по скриптам – заранее подготовленным сценариям.

Более опытные “закрывают сделки”. Они давят на клиентов, чтобы не ушли.

Люди из мест лишения свободы тоже порой работают на такие колл-центры. Особенно если уже имели опыт. Но их сравнительно мало.

Как делят доходы

Люди, работавшие в подобных схемах, анонимно сообщали, что прозвонщик получает до 20% от суммы, если работает один. Если один человек сделку открывает, второй – закрывает, то оба получают по 10% .

Остальные деньги – зарплата организаторов схем, оплата “крыши”, закупка оборудования, аренда офисов. Деньги нужны на покупку данных: уникальная база обойдется в пару тысяч долларов , доступ к общей вдвое дешевле.

Деньги выводят через карты, оформленные на случайных людей. “Дропы” снимают их в банкоматах.

Но в последнее время мошенники чаще используют криптовалюту . Она не имеет правового статуса в РФ и часто не позволяет отследить транзакции (особенно если это анонимная монета вроде Monero или ZCash либо используется сервис-миксер).

В крупном городе может быть несколько десятков фирм , которые занимаются такого рода мошенничеством. Обороты представьте себе сами.

Почему же так сложно понять, что с вами разговаривает мошенник

Потому что это подготовленные специалисты . А любитель почти всегда проиграет профессионалу.

Для создателей таких схем пробив клиентов банков – просто бизнес. Который не стоит на месте, а растет и развивается.

Совершенствуются скрипты. Оттачиваются приемы психологического давления. Покупаются все более подробные базы. Работают с наиболее уязвимыми людьми.

Часто колл-центры маскируют настоящие номера банков похожими комбинациями букв и цифр. В результате 900 превращается в 9ОО – 9 и две буквы “О”, например.

Раньше разводилы работали топорнее, давили авторитетом, угрожали. Теперь это “команда профессионалов”.

Каждый из них готов потратить на вас 10-20 минут времени или больше. Простая арифметика: разделите остаток на вашей карте на 5 (20% от суммы – доход сотрудника черного колл-центра). Практически наверняка вы столько за 10-20 минут не зарабатываете.

Что делать, если вам кажется, что звонок из банка был мошенническим?

Если вы хоть немного сомневаетесь в том, что вам звонит сотрудник банка, положите трубку . А затем перезвоните в банк сами – номер горячей линии указывается на самой карте. Также он есть на официальном сайте банка и в мобильном приложении.

1. Если у мошенников могут быть данные вашей карты, заблокируйте её по звонку в банк или в мобильном приложении. То же самое стоит сделать, если вы получили SMS от банка о странном списании средств или видите подозрительную покупку в истории транзакций мобильного приложения.

2. Сотрудник банка никогда не попросит номер карты и уж тем более CVV/CVC-код или PIN-код.

Специалист может только уточнить лишь последние четыре цифры карты, чтобы понять, с какой именно из ваших карт предстоит работать. Сотрудники крайне редко задают дополнительные вопросы – только если вы забыли ответ на секретный вопрос и хотите сменить пароль.

Да и вообще сотрудники банков нечасто звонят клиентам – это скорее исключение. Только если что-то случилось или если нужно предложить новую услугу.

3. Все решения, кроме блокировки карты, можно принять позднее. Поэтому пообещайте подумать, выдохните и положите трубку . А потом перезвоните сами по номеру, который указан на вашей карте.

4. Вы всегда можете обратиться в отделение банка. Там уж точно сотрудники настоящие.

Главное: если мошенники таким образом выудят ваши деньги, вернуть их будет практически невозможно. Так что будьте начеку.

В закладки

Ваша карта заблокирована. Вам поступил перевод, но для этого вам нужно назвать номер карты, срок её действия, CVV и PIN-код заодно. Нет, Иван Васильевич, я вас не обманываю, я сотрудник банка и всё про вас знаю. Вот доказательства…

Знакомая история? Казалось бы, подобным схемам сто лет в обед, но они до сих пор работают. И люди попадаются на удочку мошенников как раз потому, что те слишком много знают.

Но откуда у мошенников эти данные? Давайте разберемся.

Откуда у них появился ваш номер телефона

Базу телефонных номеров, пригодную для “работы”, собрать несложно. Можно написать простенький скрипт, который будет проходить по объявлениям с бесплатных сайтов и сохранять телефонные номера в подходящем формате.

Такие сайты пытаются внедрить защиту от подобных скриптов. Но практика показывает, что защита работает не слишком успешно.

В крайнем случае можно копировать номера и вручную. Понятное дело, что мошенники будут искать потенциально небедных людей. Например, тех, кто продает машины, квартиры, норковые шубы, предпоследние iPhone. Чаще всего вместе с номером телефона мошенники получают как минимум имя жертвы.

Лайфхак: если хотите знать, откуда у человека ваш номер, представляйтесь другим именем хотя бы на сайтах бесплатных объявлений. В результате если вам позвонят и спросят Ипполита вместо Ивана, вы сразу поймете, откуда “ноги растут”.

Каким образом они узнали ваше имя

Если в приложении Сбербанка ввести номер карты, можно узнать имя, отчество и первую букву фамилии.

В приложении Тинькофф Банка – имя и первую букву фамилии.

В Facebook можно воспользоваться формой восстановления доступа к странице. По номеру система покажет Ф. И. О. пользователя и его фото. Можно потом найти этого человека в поиске по соцсети и узнать о нём ещё больше.

Можно также ввести номер телефона в Viber и попробовать добавить его в список контактов. Мессенджер покажет, кому принадлежит номер. Пользователи часто указывают свои данные и загружают фото.

Больше способов найдете здесь.

Что содержится в базах телефонных номеров

Чтобы не собирать номера самостоятельно, мошенники часто покупают готовые базы номеров телефонов. Оптом всегда дешевле.

Можно даже в даркнет не ходить. Такие базы продают и для “холодных звонков”. Продавец не уточняет, кто покупает файл: бизнесмен, который хочет поднять продажи, или мошенник.

Обычно в таких базах достаточно много информации:

■ Ф. И. О.
■ Пол
■ Возраст
■ Города проживания
■ Уровень доходов
■ Интересы или профессия
■ Семейное положение

Вот пример подобного сайта. Цена контакта – 59 копеек.

Вверху даже указано:

“Внимание! Все данные собраны из открытых источников и не противоречат ФЗ «О персональных данных» на основании п. 4 ч. 2 ст. 22 ФЗ. Мы оказываем услуги по сбору базы данных(лидов) из открытых источников!”

Вполне возможно, что информацию действительно собрали на сайтах объявлений, на форумах и в социальных сетях. В целом набор данных похож на базу для рассылки рекламы, ничего крамольного здесь нет. Но данных может быть и больше.

Как сотрудники банков сливают ваши данные

Утечки из банков обнаруживают регулярно. “Коммерсант” в октябре 2019 года писал о том, что данные 60 млн кредитных карт Сбербанка (действующих и закрытых) попали в открытый доступ. Это крупнейшая утечка в истории банковского сектора РФ.

Инсайдеры подтвердили, что базу именно выгрузили, а не украли, подкупив операторов. Сливал кто-то из сотрудников с административным доступом &- иначе номера карт были бы замаскированы.

Владелец базы продавал записи по 5 рублей за штуку. То есть стоимость всей базы составляла 300 млн рублей.

Позднее в банке заявили, что виновного нашли за считанные часы и слили данные всего 200 клиентов. Примечательно, что именно столько записей владелец базы представлял в качестве доказательства её подлинности. И отвертеться от слива этих записей точно не получилось бы.

Но были и другие случаи. Например, в 2017 году 21-летний сотрудник омского call-центра Сбербанка Илья Клименко продал данные около 20 клиентов банка: паспортные данные владельцев счетов, информацию об остатке денежных средств и даже кодовое слово. За каждый пробив он получал 20 тыс. рублей.

Сотрудник отдела взыскания нижегородского офиса Сбербанка Александр Чернышов продал данные как минимум 11 клиентов. Сколько он заработал неизвестно, но оштрафовали сотрудника на 10 тыс. рублей.

Откуда ещё берут базы контактов

Данные могут сливать и сотрудники кредитных организаций, мобильных операторов, МВД, ФНС и других госорганов. Предоставляют информацию и из систем “Российский паспорт”, “Розыск-Магистраль” и т.д.

Цены на пробив разные. Но это почти наверняка обеспечивает неплохую прибавку к зарплате. Пока не поймают.

Также получают данные из баз онлайн- и оффлайн-магазинов. Согласитесь, когда вы оформляете на кассе дисконтную карту, то как минимум указываете Ф. И. О., номер телефона и дату рождения. А при должном умении продавец и номер вашей карты может запомнить.

Системы безопасности защищают ИТ-инфраструктуру в основном от внешних угроз. С инсайдерами сложнее. Не все системы банков и госучреждений контролируют, не скопировали ли на флешку определенные файлы и не отправили ли их по e-mail.

Наконец, сотрудник может просто открыть базу данных и переписать информацию по старинке на листок. Система сохранит только то, что он открывал запись – это не запрещено.

Бывает, что хакеры воруют данные через бреши в системе безопасности. Способы разные: от письма с вирусом рядовому сотруднику банка до целенаправленной атаки на ИТ-инфраструктуру. Но подкупать сотрудников обычно проще и дешевле.

Как собирают данные с помощью фишинга

Возможно, вы получали письма о том, что ваш банк проводил лотерею среди клиентов. Соблазнительный приз вроде автомобиля или сотен тысяч рублей на депозите заставит многих потерять голову.

Обычно под такие лотереи маскируются мошенники. Они создают страницу с дизайном в духе банка и просят от вас как можно больше информации.

Потом могут даже позвонить и сказать, что выиграли именно вы. Но чтобы получить приз, нужно якобы сообщить все данные от вашей карты или провести какой-нибудь “закрепительный” платеж на небольшую сумму.

Фишинговые формы создают и непосредственно для банковских сайтов или приложений. Но там смысл другой: заставить вас ввести логин и пароль от аккаунта интернет-банкинга, а затем подтвердить платеж со своей карты на карту злоумышленников.

Как вас подставляют друзья и знакомые

Когда человек оформляет заявку на кредит, то часто указывает контакты людей, которые подтвердят его платежеспособность.

В обычных банках такие данные вряд ли сразу уйдут мошенникам. Но в микрофинансовых организациях и на сайтах онлайн-кредитов на мутных условиях – вполне.

Скажет ли вам заемщик, что указывал ваши данные? Скорее нет, чем да.

Как собирают данные из открытых источников

На сайте ФНС можно узнать ИНН по паспортным данным. Ввести нужно имя и фамилию, дату рождения, серию и номер паспорта, дату его выдачи.

Если вы ведете бизнес или раньше им занимались, данные о вас есть на сайте ФНС, достаточно указать ИНН.

В реестре исполнительных производств базы судебных приставов можно найти информацию о судебных производствах по Ф. И. О. и дате рождения. В каких ещё открытых базах можно поискать по Ф. И. О.:

Банковские мошенники редко пользуются этими данными. Но теоретически могут, и если узнают об открытых делах, наверняка поставят вас в неловкую ситуацию. И упростят себе задачу.

Как ещё разводят потенциальных жертв

Если мошенники поняли, что перед ними “теплый” клиент, у которого с большой долей вероятности можно украсть деньги, они могут пойти дальше. Например, найти его в социальных сетях, составить список друзей, значимых событий из жизни и т.д.

Много информации дают и фото. Дорогие покупки, путешествия, собаки элитных пород и другие атрибуты роскошной жизни определенно заинтересуют злоумышленников.

Не удивляйтесь, если после фото из путешествия с вами свяжется сотрудник турагентства и предложит, к примеру, вступить в закрытый VIP-клуб “только для тех, кто может себе это позволить”. В обмен на скидки на следующие поездки и другие спецпредложения от вас требуется немного: ответить на десяток вопросов.

Часть вопросов не будет касаться ваших личных данных: например, какое вино предпочитаете в это время суток, какие страны хотели бы посетить и т.п. Другие будут более конкретными: картами каких банков пользуетесь, сколько примерно зарабатываете, на каком автомобиле ездите.

Могут, к слову, и “в лоб” попросить номер карты – здесь уж как наглость позволит. А после сообщат: мол, если решим вас взять в клуб, перезвоним. Взнос сможете оплатить с указанной карты.

И даже перезванивают. Но вовсе не чтобы подтвердить членство в клубе.

Наконец, многое могут узнать непосредственно от вас. Вот пример разговора с телефонными мошенниками:

Скажите честно: если через какое-то время вам снова позвонили бы и сообщили бы эту информацию, каковая вероятность, что вы поверили бы “службе безопасности банка”?

Как защититься

1. Если вам звонят из банка, сразу кладите трубку. Перезванивайте по номеру службы поддержки, указанному на обратной стороне вашей карты или на официальном сайте . Например:

2. Предупреждайте, что записываете разговор. Разговоры с реальными сотрудниками банков и колл-центров и так обычно сохраняются – таковы правила.

3. Заведите для банковских аккаунтов отдельную SIM-карту. Не сообщайте её номер никому, не звоните с неё, не привязывайте к этому номеру мессенджеры и другие аккаунты.

4. Не сообщайте в интернете и по телефону личную информацию. Никогда не отвечайте на “социальные опросы”, большинство из них – банальный сбор данных с неизвестными целями.

5. Используйте сложные пароли, разные для каждого аккаунта.

6. По возможности платите на кассах смартфоном через Apple Pay, Google Pay или Samsung Pay.

А главное, забудьте об анонимности, её не существует в 2020 году. Вы не можете защититься от слива данных сотрудником банка или мобильного оператора. Но вы в силах заблокировать карту при любых подозрительных действиях и хотя бы не облегчать задачу злоумышленникам.

В закладки

Волна мошенничества с банковскими картами оставляет тысячи людей без копейки.

Казалось бы, схема стара, как мир. Но почему она до сих пор работает?

Как работает этот вид мошенничества

Самый популярный способ сделать это – позвонить и представиться сотрудником банка. Повод может быть любой:

▪ агрессивный: ваша карта заблокирована;

▪ нейтральный: нам нужно уточнить ваши данные, подтвердите перевод с карты и т.д.;

▪ соблазняющим: вам пришел перевод на несколько тысяч, чтобы получить его, сообщите данные карты.

Как мошенники узнают ваше имя и личные данные?

Мошенникам даже не надо знать номер вашей карты. Достаточно номера мобильного.

Есть и другие способы узнать имя по номеру телефона. Да и в Гугле никого не банили.

Дальше – дело техники. Если вам внезапно позвонит сотрудник банка, назовет вас по имени-отчеству, продиктует номер вашей карты, разве вы не поверите ему?

Откуда мошенники берут номера телефонов для обзвона

Сами понимаете, таким людям терять особо нечего. И времени свободного много.

Работают и по купленным базам. Чаще всего их сливают сами сотрудники банков. Там есть ФИО, номер телефона и часть номера карты. Как минимум.

Наконец, мошенники используют дыры в ПО. Через них похищают либо данные клиентов, либо воруют деньги.

Как работают «чёрные» колл-центры мошенников

Скорее всего, вы даже видели рекламу подобных вакансий. “Требуется сотрудник в новый колл-центр, работа в финансовой сфере, зарплата от $1000 + бонусы” – знакомо? В объявлении могут писать всё, что угодно. Иногда даже колл-центр не упоминают.

Кто-то не выдерживает. У кого-то не получается. Кто-то начинает тратить деньги на алкоголь и наркотики.

Новичков сажают “открывать сделки”. Их тренируют говорить по скриптам – заранее подготовленным сценариям.

Более опытные “закрывают сделки”. Они давят на клиентов, чтобы не ушли.

Как делят доходы

Остальные деньги – зарплата организаторов схем, оплата “крыши”, закупка оборудования, аренда офисов. Деньги нужны на покупку данных: уникальная база обойдется в пару тысяч долларов, доступ к общей вдвое дешевле.

Деньги выводят через карты, оформленные на случайных людей. “Дропы” снимают их в банкоматах.

Но в последнее время мошенники чаще используют криптовалюту. Она не имеет правового статуса в РФ и часто не позволяет отследить транзакции (особенно если это анонимная монета вроде Monero или ZCash либо используется сервис-миксер).

В крупном городе может быть несколько десятков фирм, которые занимаются такого рода мошенничеством. Обороты представьте себе сами.

Почему же так сложно понять, что с вами разговаривает мошенник

Потому что это подготовленные специалисты. А любитель почти всегда проиграет профессионалу.

К тому же не все читают эти ваши интернеты. Простой эксперимент: можно позвонить десяти пожилым знакомым, представиться сотрудником банка и попросить назвать данные карты. Можете в комментариях написать, сколько CVV/CVC-кодов вы получили.

Мошенники используют заранее записанные фрагменты, чтобы убедить вас в серьёзности системы. Вот пример:

Похожие примеры – здесь, здесь и здесь. Таких видео на YouTube тысячи.

Но это история не про высокие технологии. А про методы социальной инженерии. И про доверие к человеку, наделенному пусть маленькой, но властью. Тем более если он делает вид, что хочет помочь.

Раньше разводилы работали топорнее, давили авторитетом, угрожали. Теперь это “команда профессионалов”.

Что делать, если вам кажется, что звонок из банка был мошенническим?

Если вы хоть немного сомневаетесь в том, что вам звонит сотрудник банка, положите трубку. А затем перезвоните в банк сами – номер горячей линии указывается на самой карте. Также он есть на официальном сайте банка и в мобильном приложении.

▪ 900 (бесплатно с любого мобильного в России)

▪ 8 800 200 00 00 (для звонков с мобильных и стационарных телефонов в регионах)

▪ 8 800 555 22 44 (бесплатно с городских и мобильных в России)

▪ 8 (800) 100 24 24 (для звонков из регионов России)

Банк “Открытие”:

▪ 8 800 444 44 00 (бесплатный звонок по России)

Райффайзен банк:

▪ 8 800 700 17 17 (для звонков из регионов России)

▪ 8 (800) 200-07‑08 (для звонков по России)

2. Сотрудник банка никогда не попросит номер карты и уж тем более CVV/CVC-код или PIN-код.

3. Все решения, кроме блокировки карты, можно принять позднее. Поэтому пообещайте подумать, выдохните и положите трубку. А потом перезвоните сами по номеру, который указан на вашей карте.

4. Вы всегда можете обратиться в отделение банка. Там уж точно сотрудники настоящие.

В закладки

Летом 2021 года начал набирать обороты новый вид мошенничества с SIM-картами, который позволяет злоумышленникам списывать средства с банковских карт, к которым привязан номер телефона жертвы. Наши специалисты детально разобрались со схемой этого «развода» (который, к слову, довольно сложен и изощрен, так как сочетает в себе несколько ранее известных схем). Рассказываем, как это работает, и как защититься от подобных случаев.

Главное для мошенников — узнать ваш номер телефона

И здесь активно используются методы социальной инженерии.

Один из вариантов получения номера следующий:

Создание или покупка фейк-аккаунта в мессенджере или социальной сети. При этом создается видимость его принадлежности живому человеку.
Поиск жертвы. Этот вид мошенничества нацелен, как правило на предпринимателей и владельцев бизнеса, которые привлекают мошенников наличием денег и не избалованностью вниманием. Для их поиска активно используется Facebook и Instagram.
Выяснение номера телефона жертвы. «Обрабатываемому» субъекту пишут с того самого фейкового аккаунта. В зависимости от специфики жертвы мошенник может представиться, например, одинокой привлекательной девушкой или человеком со схожим хобби, либо окончившим тот же ВУЗ, что и субъект, на которого нацелена атака. На этом этапе цель мошенников — перевести общение в мессенджер, где можно увидеть номер мобильного телефона жертвы или получить его другим способом.

Номер узнали — теперь дело техники

После получения номера телефона жертвы злоумышленники изготавливают дубликат SIM-карты. Для этого используется поддельная доверенность от имени владельца симки. Дубликат, как правило, заказывается в каком-нибудь небольшом офисе мобильного оператора, географически расположенном как можно дальше от жертвы.

Сим-карта на руках, можно приступать к хищению денег

Дубликат симки нужен злоумышленникам для доступа к банковским счетам жертвы. С помощью неё злоумышленники запрашивают в банке восстановление пароля от банковского приложения, для которого очень часто нужна только аутентификация по номеру телефона.

Получив доступ к средствам, их незамедлительно переводят на другие счета. Иногда этого злоумышленникам мало. Они могут попросить у контактов жертвы в мессенджерах или социальных сетях сделать перевод (по знакомому номеру, на привычную карту). И эти деньги тоже благополучно утекают на «левые» счета.

Обращение в банк может ничего и не дать

Самое страшное, что обращение в банк для жертвы этого мошенничества может не дать положительного результата. Обозреватель ESET Станислав Жураковский отмечает, что с точки зрения банков такая ситуация не выглядит как мошенничество. Ведь двухфакторная авторизация в банковских приложениях с помощью SIM-карт является подтверждение личности. А это значит, что, если деньги списаны с помощью вашей симки, банк будет рассматривать ситуацию так, как будто это сделали вы. Получается, что потеря СИМ-карты или изготовление её дубликата третьими лицами равносильна (может даже и опаснее) потере паспорта. Ведь сейчас буквально всё завязано на личный номер телефона: аккаунты в социальных сетях, мессенджеры, банки, сервисы доставки, службы такси.

Так как же защититься от этой сложной схемы?

Не стать жертвой такого мошенничества вам помогут рекомендации экспертов ESET.

Итак, от вас потребуется:

1. Выпустить второй виртуальный номер

Сделать это можно прямо в приложении вашего мобильного оператора. Ну или в офисе. Для его использования не нужно покупать отдельный телефон — пользоваться номером вы будете на том же смартфоне, что и основным.

2. Привязать к этому номеру все «чувствительные» сервисы

Привяжите к нему банковские приложения, службы доставки, такси, социальные сети и другие приложения, через которые можно получить доступ к вашим финансам.

3. Откажитесь от SMS-авторизации в банках

Ее лучше заменить на push в банковских приложениях.

4. Оформите «запрет передоверенности» у своего мобильного оператора

Это исключит возможность получения злоумышленниками дубликата вашей СИМ-карты. Запрет требуется периодически продлевать. Не забывайте об этом.

5. Проявляйте бдительность и давайте номер телефона только «избранным»

Не давайте свой номер телефона незнакомым лицам. И обязательно запретите его отображение во всех мессенджерах, где это возможно (например, в Телеграм есть такая опция) и в социальных сетях (в ВК и Фейсбуке его можно скрыть в контактах). А еще злоумышленников можно запутать: использовать псевдонимы в социальных сетях, добавлять в них ложные сведения, по которым вас сложно идентифицировать (например, неверную дату рождения) или оформить номер телефона на кого-то другого (на супругу, например), чтобы его было сложнее сопоставить с личностью жертвы.

Предупрежден, значит, вооружен, как говорится. Подумайте о безопасности своих денежных средств и примите превентивные меры. Ведь это несложно.

Всем привет! Многие наверняка слышали об этом виде мошенничества, кого-то возможно уже обманули, а кто-то с первых минут догадывался что происходит и клал трубку. Мой преподаватель по защите информации говорил: «чтобы защитить систему, нужно понять каким образом ее можно взломать», так что мне всегда было интересно пройти путь от первых минут разговора до момента, когда до потери средств остаются последние шаги и схема развода становится очевидна. Сегодня разберём самые актуальные методики на данный момент и надеюсь, что данная информация поможет вам вовремя остановиться при возникновении подобных ситуаций.

Для начала мошенники находят данные жертвы. Я не буду раскрывать способы добычи данной информации, дабы ни у кого не было соблазна перейти на «темную сторону», но в том же Сбере имя с отчеством и последние цифры карты можно узнать за пару минут, используя только номер телефона жертвы. Номера можно подбирать рандомно, но проще купить оптом в тематических форумах, куда их сливают создатели приложений «посмотри как ты записан в телефоне друга» или хакеры, ворующие базы данных слабозащищенных сайтов.

Ну а дальше звонит человек, представляется сотрудником банка и начинается «игра».
Раньше зачастую достаточно было обратиться по имени и отчеству человека, назвать последние цифры его текущей карты, чтобы он поверил, что с ним действительно общается кто-то из банка. Далее пользователю сообщали, что поступил запрос на перевод средств и если он не совершал данную операцию, срочно нужно ее отменить, назвав нужные сотруднику данные.

Со временем банки начали везде, где только можно, писать о том, что данные карты, а так же коды из смс нельзя никому диктовать, в том числе сотрудникам банка и мошенникам стало сложнее их выпытывать. Но они адаптировались и начали придумывать новые схемы «работы», которые поначалу даже у осторожного человека не вызывают опасения.

Недавно как раз получил такой звонок

— Мы вам позвонили, потому что была попытка перевода от вашего имени в другом регионе, из которого Вы обычно не совершаете платежи.

(еще могут сказать, что была попытка смены номера в мобильном банке/онлайн кабинете или запрос на крупный кредит)

Есть еще вариант, который рассчитан на пугливых и доверчивых людей

На этот тип обмана попадал мой знакомый. Начинается всё как и в первом примере(перевод в чужом регионе/смена номера телефона/заявка на выдачу кредита), но если во время наводящих вопросов отвечаете, что недавно посещали отделение, сообщают, что причастны сотрудники банка и будет возбуждено уголовное дело. Просят не идти в отделение, чтобы не спугнуть сотрудника, совершающего махинации и что они сейчас оформят заявление в полицию. В этом случае номер карты не просят, важно только наличие и количество средств на счету, что так же может ввести в заблуждение и отвести подозрение от настоящего мошенника.
Через минут 10-15 перезванивает другой человек, представляется майором ФСБ, называет свои фамилию, имя, отчество и сообщает, что они возбудили уголовное дело по 159 статье. Сейчас они производят активные действия с сотрудниками из службы безопасности банка для задержания злоумышленников и что эту информацию ни в коем случае нельзя никому разглашать.
Еще через 10 минут перезванивает сотрудник этой самой службы и говорит, что скоро будет задержание, но по вашему счету были множественные попытки перевода денежных средств, так что нужно их срочно перевести на безопасный счет пока мошенника не задержат. Единственное чего я не понял, это зачем они просят сначала снять наличные в одном банкомате, а потом перевести их на указанный номер счета в другом, возможно так сложнее отследить транзакции, ну или боятся, что жертва решит перевести деньги не на их счет, а, например, жене.

Знакомый отказался, сославшись на отсутствие банкоматов поблизости, после чего предложили второй вариант, который включает в себя передачу номера карты со сроком действия и кода сотрудника, выдавшего карту, который находится на обратной стороне(CVV код), т.к. именно этот сотрудник может быть причастен к мошенническим действиям, ну а дальше по первой схеме. Человек уже проговорил по телефону около часа, в банке шайка мошенников, никому верить нельзя, из ФСБ звонят, многие начинают паниковать и делают всё что от них просят не особо задумываясь.

Ну и третий вариант, который тоже довольно популярен у мошенников

Звонит сотрудник банка, сообщает о подозрительном переводе из другого региона, задает классический набор вопросов, потом цепляется за ответ о том, что есть приложение банка, просит подождать для уточнения информации и сообщает, что в приложении авторизованы два устройства, одно на базе Android, второе на iOS.

Переключают на старшего сотрудника(который работает по этой схеме). Снова немного вопросов о том какие приложения качались, не вбивали ли данные в подозрительных сайтах, не было ли передачи третьим лицам и если все ответы отрицательны, значит достаточно всего лишь деактивировать чужое устройство и проверить телефон на уровень угроз. Ни номер карты не спрашивают, ни коды из смс, ещё и напоминают, что их никому-никому нельзя сообщать, тем самым пытаясь вызвать доверие к себе.
Пользователю делать почти ничего не нужно, только скачать приложение техподдержки банка и они сами всё починят. Никаких опасных сайтов, всё качается легально в маркете или аппстор. «Приложение называется „поддержка QC“, такой синенький значок со стрелочками». Думаю кто-то уже понял о чем речь, для остальных обвел красным.

Я давно не использовал данное ПО, но некоторые аналоги поддерживают блокировку ввода от пользователя и затемнение экрана, чтобы они не мешали сисадмину работать. В этом случае для предотвращения действий останется только разбить телефон, т.к. выключить его через меню или отключиться от сети уже не получится. Так же при желании можно накидать в телефон дополнительных руткитов в виде безобидных на первый взгляд приложений, например, калькулятора и периодически тащить данные, которые вводит владелец, что открывает возможности для будущих атак.

Итоги

В общем, ничего кардинально нового не появилось и всё сводится к тому, что человек сам отдает конфиденциальные данные мошенникам. Изменился лишь подход, злоумышленники сейчас сами делают упор на то, что им называть ничего не нужно, т.к. это небезопасно и запрещено правилами банка. А вот голосовому меню можно доверять, даже если отчётливо слышно, что это запись, при чем иногда не самого лучшего качества.

Вообще, во время первого подобного звонка возникли опасения, что мошенники научились манипулировать биометрическими данными, использование которых так активно продвигают банки, но на все запросы я всегда отвечал отрицательно и такой способ в теории не должен был сработать. Да и если вместо номера продиктовать голосовой системе грубое послание, она обижается и сбрасывает вызов.

Так же нельзя устанавливать приложения, ни из маркета, ни тем более по ссылкам из СМС, которые прислал «сотрудник банка».

Помните, из банка вам могут позвонить только чтобы рассказать о новых продуктах или пригласить в офис для решения каких-то проблем, данные карт для них абсолютно бесполезны, а коды в СМС приходят исключительно для вас.

Ну и напоследок, если у меня нет времени или настроения издеваться над звонящим, просто говорю, что такой перевод совершать не мог, т.к. таких денег(там обычно называют не очень большие суммы) я на своей карте уже с полгода не видел. После чего собеседник обычно терял ко мне всяческий интерес, а количество звонков на время уменьшалось.

Автор статьи

Куприянов Денис Юрьевич

Юрист частного права

Страница автора

Читайте также: