Мы привыкли думать, что украсть деньги с банковской карты могут, только если мы сами скажем мошенникам код с обратной стороны карточки. И действительно, большая часть мошенничеств и краж совершается именно так. Однако сейчас есть и более изощренные способы, для которых секретные данные не нужны. Главный эксперт «Лаборатории Касперского» Сергей Голованов раскрыл эти схемы и способы защиты.
Подбор кода
— Номер карты, фамилию владельца и номер телефона можно получить из открытых источников. Например, если человек что-то продавал в интернете и его попросили скинуть данные, чтобы перевести деньги за покупку. Когда есть номер карты и фамилия владельца, мошенников останавливают несколько цифр: CVV и срок действия карты. Есть огромное количество интернет-магазинов, куда вводят эту информацию и пробуют совершить покупку. Мошенники подбирают номер CVV от 001 до 999: как только прошла оплата, это значит, что номер CVV верный, — объяснил один из вариантов схемы Сергей.
По его словам, подбор проходит в автоматическом режиме с помощью программных средств и специальных скриптов. При этом СМС о покупке может и вовсе не прийти — существуют интернет-магазины, где для покупки не требуется вводить одноразовый пароль из СМС и списание происходит сразу. Если же преступникам нужны приходящие сообщения с паролями, то они могут попытаться сделать дубликат сим-карты.
Дубликат сим-карты и лжероуминг
— Это история про не очень добросовестных сотрудников сотовых операторов. Приходит человек в салон сотовой связи с доверенностью на перевыпуск сим-карты. Сотрудник смотрит на человека и верит ему, что сим-карта была утеряна. Он видит, что человек пришел, показал паспорт и он не похож на того, кому принадлежит сим-карта, но у него есть доверенность. Поэтому сотрудник и принимает решение выпустить дубликат, не обязательно со злым умыслом. После этого в сети появляются две карты. Причем первая может заблокироваться не сразу, всё зависит от оператора: они могут работать и вместе какой-то промежуток времени. Также могут взломать личный кабинет на сайте сотового оператора и прочитать в браузере все СМС, если доступен такой сервис. Злоумышленники знают, как это делается, — рассказал эксперт.
Некоторые сотовые компании для борьбы с таким мошенничеством начали блокировать возможность приема и отправки сообщений на сутки после смены сим-карты. Но схема по-прежнему популярна, в том числе и чтобы «угонять» известные аккаунты. Так, с помощью подмены сим-карт, украли аккаунт у директора Сети городских порталов Рината Низамова.
Технической возможности копировать сим-карты с помощью компьютерных средств, как копируют телефонные номера с помощью IP-телефонии, к счастью, пока нет.
— На текущий момент этого никто сделать не может. Единственный вариант — это ломать не саму симку, а сотового оператора. Есть такие атаки, когда трафик перенаправляют через другую страну, как если бы абонент был в роуминге. Появляется новый сотовый оператор, которому домашний сотовый оператор, ничего не подозревая, передает звонки и сообщения. Это называется атака на протокол SS7, — объяснил Сергей Голованов.
Он рекомендует руководителям не экономить на обучении сотрудников компаний, а гражданам — не забывать о защите мобильных устройств.
Если вам пришло СМС-сообщение, что с карты списали деньги, но вы ничего не покупали, переводы не делали и наличные не снимали, вероятно, карта или ее данные попали к мошенникам. Ваши действия:
немедленно заблокировать карту;
сообщить в банк по горячей линии о краже денег и написать в отделении банка заявление о несогласии с операцией;
сделать всё это необходимо не позднее следующего дня после того, как банк уведомил вас об операции, которую вы не совершали.
Чтобы стать жертвой подобных схем, не обязательно раздавать направо и налево свой номер телефона или данные банковской карты. Криминальный бизнес по торговле личными данными с каждым годом набирает обороты.
Торговля личными данными
По словам эксперта по кибербезопасности Дмитрия Галова, полный комплект документов со сканом паспорта, ИНН, СНИЛС и даже селфи с паспортом можно приобрести в даркнете от 300 рублей за комплект. Данные банковских карт обойдутся дороже — от 500 до 1500 (в пересчете на рубли). Помимо этого активно продают пароли, логины и другие данные от различных сервисов.
В даркнет эта информация попадает после взлома сайтов и баз данных благодаря нечестным сотрудникам и некоторым вредоносным программам. Также преступники часто присылают ссылки, ведущие на фейковые копии известных сайтов, требующие от вас подтвердить свою личность: все эти данные уходят мошенникам. Кроме того, некоторые люди сами размещают о себе информацию в соцсетях, в том числе даже фотографии с документами. Собранные данные продаются затем на специальных форумах.
Помимо мошенничества, личные данные людей злоумышленники могут потом использовать для шантажа, подделки документов и набирающей популярность услуги «пробива» информации по человеку. Стоимость одного «пробива», в зависимости от запрашиваемых данных, составляет примерно от 1,5 до 50 тысяч. Владея нужной информацией, можно совершить кражу цифровой личности.
— Уже фиксируются много случаев, когда по чужим документам регистрировались в каршеринге и на криптобиржах, а у людей, чьи данные использовали, потом были проблемы. Например, когда от их имени машину разбивали или махинации проводили. На самом деле всё новое — это хорошо забытое старое.
«Раньше можно было по фото и ксероксу паспорта пойти и взять быстрозаем, а сейчас уже нет»
— Мошенники видоизменяются в плане своих тактик и использования технологий, — пояснил Дмитрий.
Подводя итог, можно сказать, что на 100% обезопасить себя и свои финансы невозможно. Всегда есть вероятность, что данные могут попасть не в те руки. Но исходя из практики, если вины самого человека нет, банки обычно возмещают финансовые потери.
Однако большинство потерь происходит как раз из-за пресловутого человеческого фактора, и в этом случае вернуть себе деньги у банка будет крайне сложно.
— Банки не компенсируют потери, если человек добровольно перевел деньги мошенникам или сообщил им свои конфиденциальные данные. Если поступает тревожный сигнал от «банка» или из какого-либо ведомства, нужно положить трубку, самостоятельно перезвонить по телефону горячей линии своего банка и прояснить ситуацию. Сотрудники банков никогда не просят полные реквизиты карт, ведь все необходимые данные у них уже есть. Ни в коем случае нельзя выполнять инструкции незнакомцев, особенно когда они касаются банковских счетов или карт. Нельзя переводить деньги на некие «безопасные» или какие-либо другие счета — вы их потеряете, — сообщили в Центробанке.
Чтобы минимизировать риски, Дмитрий Галов рекомендует передавать свои данные в зашифрованном виде, не выкладывать их в общедоступных местах, защищать свои компьютеры, планшеты и мобильные телефоны, настроить везде, где только можно, двухфакторную авторизацию, а также использовать менеджер паролей.
Ранее мы публиковали откровения мошенницы, которая пожаловалась на то, что у россиян почти нет денег. Почитайте историю екатеринбуржца, у которого украли с карты деньги без всяких СМС-кодов.