Новый способ кражи денег с банковских карт
Мошенники имитировали звонок из банка
Известная ведущая Мария Командная написала в Facebook, что лишилась 90 тысяч рублей со счета в «Альфа-Банке», так как подумала, что разговаривает с настоящими сотрудниками банка.
Мошенническая схема похожа на многие другие: вам звонят якобы из банка, говорят о «подозрительных транзакциях». Для того чтобы защитить средства, предлагают подтвердить личность — попутно вымогают код из СМС. Обычно достаточно положить трубку и перезвонить в банк, чтобы сорваться с крючка мошенников.
Так подумала и Мария Командная: номер был незнакомый, не банковский, звонил некий «сотрудник службы безопасности». Мария перезвонила в контакт-центр «Альфа Банка». «Это был номер +7 495 78-888-78 (есть на сайте alfabank.ru — Ред.), — рассказала Командная Mail.Ru Hi-Tech. — Специалист контакт-центра подтвердил, что я только что говорила с сотрудником службы безопасности. Это сейчас подтверждает и сам ‘Альфа-Банк’».
Сомнения окончательно отпали, когда Марии, уже после разговора с контакт-центром, перезвонили с номера банка. «Это было двойное подтверждение», — отмечает она.
Плюс у мошенников было много данных о Командной: номера карт, суммы на счетах. Разговор с ней длился около трех часов, и в итоге воры вывели деньги через ее личный кабинет, так как Мария назвала коды из СМС так называемому «телефонному роботу». Это не вызвало подозрений. «Они просили сообщать коды, которые приходят на мой телефон, – поясняет Командная, – но настаивали, что я не могу сообщать их им, а могу только специальному роботу ‘Альфа-Банка’. ‘Назовите четыре цифры после двойного звукового сигнала’, – и вот это все. Конечно, если бы в ‘Альфе’ не подтвердили, что я говорю с сотрудником службы безопасности, ничего такого бы не случилось».
Вернуть деньги пока не выходит — получается, что девушка отдала их злоумышленникам добровольно. Однако она уже обратилась к юристу и намерена восстановить справедливость с помощью досудебной претензии. Командная готова пойти в суд, если банк не согласится на мировую.
Никогда не проговаривайте цифры, которые приходят в смс
В пресс-службе «Альфа-Банка» сообщили, что в данном случае произошло сложное многоэтапное мошенничество, основанное на социальной инженерии. Воры применили технические приемы, такие как подмена исходящего номера телефона.
«Все, что им требуется для начала операции: Ф.И.О. клиента и мобильный номер. Все прочее (номер карты, кодовое слово и СМС-коды) клиент рассказал мошеннику сам, будучи уверен, что разговаривает со службой безопасности банка, — говорят в банке. — При этом первая же операция, которую мошенники пытались совершить, была заблокирована системой антифрода.
Когда клиент попытался проверить, действительно ли ему звонят из службы безопасности, ему подтвердили это в контакт-центре. Потому что действительно в это время звонил наш сотрудник, пытаясь подтвердить первую, заблокированную операцию. Но не дозвонился, видимо потому, что клиент непрерывно разговаривал с мошенниками».
Так мошенники смогли подтвердить операцию и разблокировать карту, утверждают в банке. «Пока один мошенник общался с клиентом под видом сотрудника службы безопасности, другой мошенник (или тот же по другой линии) звонил в контакт-центр банка и выдавал себя за клиента. Вопросы оператора мошенники задавали клиенту, и передавали его ответы обратно оператору, таким образом мошенник полностью идентифицировался как клиент и разблокировал карту».
Ограбление удалось, так как Мария раскрыла звонящему конфиденциальные данные. «Когда сотрудники банка звонят клиенту, они никогда не просят назвать кодовое слово, номер карты и СМС-код. Это могут спросить лишь когда клиент сам звонит в контакт-центр, но цифры из СМС не спрашивают и в этом случае. Именно поэтому банк в каждом СМС-сообщении с одноразовым кодом просит никому его не сообщать».
Такие схемы банковского мошенничества работают примерно по одному сценарию, объясняет Артем Артемов, эксперт лаборатории компьютерной криминалистики Group-IB.
«Если телефон жертвы работает под управлением ОС Android, скорее всего, он был заражен трояном. Он мог перехватить звонок в банк и переадресовать его злоумышленникам — в реальный банк жертва так и не дозвонилась. Телефон, с которого ей потом перезвонили, был подделан под реальный телефон банка (такие сервисы есть, любые входящие звонки можно подделать)».
А вот использование «робота» в такого рода разводах — свежая тенденция, замечает эксперт. Сначала запускают его, потом переключают на «голос» мошенника, который выдаёт себя за сотрудника службы безопасности банка.
«Чтобы втереться в доверие к жертве, ей предложили сообщить смс-коды роботу, а не человеку. Но разницы нет — данные все равно оказались в руках мошенников. Если у пострадавшего телефон на iOS, заразить который немного сложнее, то вопрос со звонком в банк остается открытым.
По какому телефону она звонила? Если по номеру, который сообщили ей мошенники или она получила по смс, то путь понятен: она снова попала к ним. Второй вопрос: жертва пишет, что с ней общались три часа (!), а злоумышленник якобы был в ее личном кабинете вместо неё. Непонятно, о чем речь — взломан был мобильный банк или онлайн-кабинет. В ситуации нужно разбираться, не хватает вводных».
Впрочем, жертва могла забыть какие-то детали из-за стресса, замечает Артемов. И напоминает, что смс-коды, CVV и номера карт нельзя называть ни роботу, ни человеку.
Подмена номера телефона сейчас доступна любому, а не только гуру технологий. В этом уверен Мурад Салихов, советник председателя правления ассоциации «Финансовые инновации»
«Существует множество программ, которые позволяют подменять номера телефонов при звонках, — говорит эксперт. — Скачать их можно с лёгкостью в App Store и Play Маркет. Также найти информацию о таких программах и скачать их можно, введя запрос в поисковую строку. Поисковик выдаст вам всю информацию в первой же строке».
При использовании таких программ, человек, которому звонят, видит номер телефона банка. Фишка в том, что используется специальный SIP-протокол интернет-телефонии.
«Такие программы распространяются бесплатно, но за звонок надо заплатить, — отмечает Салихов. — Никакого наказания или другой ответственности за скачивание и использование этих программ нет. Наказать можно исключительно за мошеннические действия, которые совершались с использованием этих программ».
