ОПАСНЫЙ ЗВОНОК. КАК УБЕРЕЧЬСЯ ОТ ТЕЛЕФОННЫХ МОШЕННИКОВ
22.12
2021
«Здравствуйте! Вас беспокоит служба безопасности банка...» Практически каждый россиянин сталкивался с подобным звонком. Кажется, это действительно уникальный случай в истории преступлений: тактика мошенников давно известна, о ней постоянно пишут в СМИ и соцсетях, эксперты с экранов телевизоров наперебой предупреждают об опасности - но люди всё равно дают себя обмануть. Как не стать жертвой злоумышленников - в нашем материале.
Вишинг - телефонное мошенничество, где жертву убеждают совершить какие-то действия или передать конфиденциальную информацию. Термин произошёл от сочетания двух английских слов - voice (голос) и fishing (рыбалка, выуживание).
Фишинг - это другой тип мошенничества, где с жертвой общаются через электронную почту, мессенджеры, соцсети или фейковые сайты. А вот при вишинге основным инструментом злоумышленников является телефон. Выглядит парадоксально: телефонная связь появилась раньше интернета, но IT-преступления намного старше вишинга. Расцвет этого вида мошенничества начался с появления IP-телефонии. На практике всё упирается в одну уязвимость протокола связи, связанную с «идентификатором вызывающего абонента» - Caller ID. Именно он отвечает за то, какой номер будет показан у абонента на экране телефона (и отражён в детализации звонков). К сожалению, Caller ID крайне легко подменить. Этим и пользуются сотрудники криминальных колл-центров. Которые, отметим, нередко располагаются за пределами нашей страны - ведь для IP-телефонии границ не существует.
Идентификатор абонента можно менять после каждого звонка, выбирая при этом абсолютно любой номер. Вам не помогут даже популярные антиспам-приложения. А значит, единственным спасением от мошенников будет ваше благоразумие.
Вишинг бывает простым и сложным - его ещё называют целевым.
• Простое мошенничество рассчитано на широкую аудиторию. В этом случае берут числом. Жертв банально обзванивают по очереди и пытаются перехитрить по единому для всех сценарию. В данном случае злоумышленники не будут о вас ничего знать, но попытаются выведать все нужные им сведения во время атаки. Расчёт делается именно на массовость аудитории. Если один человек из ста начал общаться - это уже успех. Если пару-тройку людей из тысячи удалось обмануть, схема приносит прибыль.
• Сложный вишинг начинается, когда злоумышленники располагают реальными сведениями о вас. Например, они могут знать ваше имя, в каких банках у вас есть счета, и даже адреса и имена членов семьи. Целевые атаки опасны тем, что злоумышленники могут выбрать индивидуальную стратегию, рассчитанную именно на конкретного человека и учитывающую его особенности и слабости. Это позволяет мошенникам легче войти в доверие и обеспечить себе более высокие шансы на успех. В то же время целевой вишинг является более сложным преступлением, предполагает этап подготовки и предъявляет более жёсткие требования к квалификации атакующих.
С технической точки зрения вишинг в последние годы практически не меняется. Но при этом злоумышленники постоянно адаптируют социотехнические формы его реализации - иными словами, придумывают всё новые и новые «разводки». И такая голосовая коммуникация может быть куда опаснее фейкового сайта , ведь жертву можно банально заболтать.
«Мама, я попал в беду». Одна из первых в России вишинговых схем. Жертве поступает звонок якобы от члена семьи, или сразу от «сотрудника правоохранительных органов». Они сообщают, что родственник попал в неприятную ситуацию: устроил ДТП, задержан с наркотиками и т.д. По итогам разговора жертву просят перечислить или передать курьеру крупную V сумму денег для «решения вопроса».
«Звонок из банка». Это не только самая популярная, но и динамично меняющаяся разновидность вишинга, что позволяет ей до сих пор оставаться в тренде. Звонки от имени банка могут носить нецелевой характер (злоумышленники просто перебирают номера наудачу), а могут быть «тёплыми» (мошенники располагают некоторыми сведениями о жертве). Сценарии атаки W--' * могут сильно разниться в зависимости от того, какие данные имеются в распоряжении преступников. Они, как правило, представляются работниками банков или сотрудниками
правоохранительных органов; нередко используются автоматические информаторы, сообщающие о проблемах со счётом или транзакцией. В процессе общения жертву могут переключать с *vодного «специалиста» на другого.
«Заберите выигрыш». Данный сценарий подразумевает не запугивание жертвы, а напротив - рассказ о некой радостной новости: выигрыш, выплата или бонус, эксклюзивное предложение или хорошая скидка. Чтобы не упустить такую выгоду, от жертвы требуется прямо сейчас совершить нужные мошенникам действия, например, продиктовать номер карты и код из СМС.
«Оплатите услугу или товар». Жертве сообщают, что ей нужно срочно оплатить поверку счётчиков или приобрести дорогостоящий чудодейственный прибор. Введённые в заблуждение ■ люди расстаются с деньгами или персональными данными, а потом на них оформляют кредиты или вынуждают заключать договоры на кабальных условиях.
Но даже если мошенники придумают совсем новую схему, вы сможете сохранить свои деньги, если последуете нашим советам.
- Совет 1 -
Не доверяйте никому По крайней мере, если речь идёт о телефонных звонках. Телефон по определению не должен быть для вас надёжным каналом связи. Вы никогда не можете быть уверены, что разговариваете с тем человеком, которым представился ваш собеседник. И уж тем более нельзя верить номеру, который отразился на экране смартфона. Даже если антиспам-приложение подсказывает, что это «менеджер банка», а звонящий говорит на фоне офисного шума. Не сообщайте по телефону никакую конфиденциальную информацию и не совершайте никаких действий, пока не убедитесь, что разговариваете с тем, с кем нужно. Помните: вы всегда можете остановить разговор и самостоятельно перезвонить в ту организацию, с представителем которой, как вы думаете, вы общались. Там вы можете попросить соединить вас с нужным человеком. Настоящий сотрудник банка с пониманием отнесётся к такой предосторожности. Важно: перезванивать следует не на тот номер, с которого вам поступил звонок, а на телефон, указанный в вашей записной книжке, сайте организации или в документах.
- Совет 2 -
Не торопитесь Несмотря на всю техническую начинку, в основе вишинга лежат всё те же банальные принципы обмана, которыми наверняка пользовались ещё в Древнем Египте. Во время разговора злоумышленники попытаются ввести вас в заблуждение, чтобы нащупать ваши слабые стороны и вынудить совершить нужные им действия. Большая часть социотехнических схем работает так, чтобы не дать жертве опомниться. На вас постоянно будут давить, вас станут торопить, не давая трезво оценить происходящее. Помните: в денежных вопросах спешка недопустима. Даже если «служба безопасности банка» утверждает, что нужно вот прямо сейчас им что-то передать. Не поддавайтесь панике и постарайтесь трезво оценить ситуацию. Вы находитесь не за штурвалом падающего самолёта. А значит, у вас есть время отдышаться и спокойно обдумать слова собеседника. Возьмите ситуацию в свои руки. Прервите разговор, спокойно всё обдумайте, после чего принимайте взвешенное решение. Важно: не верьте утверждениям, что вам нельзя вешать трубку или сообщать кому-то о факте звонка. Это стандартные уловки, цель которых - не дать вам прийти в себя.
- Совет 3 -
Повышайте уровень своей финансовой и цифровой грамотности Пожалуй, это самый главный совет - ведь мошенники всегда используют пробелы в знаниях жертвы. Если у вас есть счёт в банке - внимательно перечитайте договор и правила безопасности при пользовании услугами. Изучите, как осуществляется управление счётом, что требуется для входа в личный кабинет и проведения транзакций. Злоумышленники часто оперируют малопонятными, а то и вовсе вымышленными терминами, пользуясь тем, что люди слабо представляют работу банковской сферы или работу правоохранительных органов. Помните: ни в коем случае нельзя совершать никаких действий, если вы не знаете точно, для чего это нужно. Это касается и передачи кодов из СМС, и переводов денег на некие «безопасные» счета, и многих других операций. Возьмите паузу и разберитесь в том, что вы планируете сделать. Важно: обязательно перепроверяйте информацию и не стесняйтесь обращаться за консультацией к специалистам. Всё знать невозможно, и в этом нет ничего зазорного. Только помните, что консультацию должны оказывать не те «специалисты», которые вам позвонили.Что такое скимминг и как с ним бороться
На экране высвечивается сообщение: с карты списаны или сняты деньги. Вы хватаетесь за портмоне, предположив, что «пластик» потерян или украден - но нет, всё на месте. О том, кто тратит ваши деньги и как вору удалось до них добраться - читайте в материале.
Физически карта и правда похищена. Вернее, украдена её нематериальная суть: данные и пароли. Сценарии разные - мы уже рассказывали о фишинге <https://sberclever.ru/sections/protection/376bd918-655a-4598-b96b-cb4566706308> и вишинге <https://sberclever.ru/sections/protection/1d9f35b3-c8de-4fb5-b1e6-e4ed36c25219>, когда жертва добровольно отдаёт сведения о карте (а они буквально на вес золота) в руки мошенников. Но сейчас речь пойдёт о другой технологии, не менее распространённой - о скимминге.
Скимминг - технология кражи данных банковской карты для последующего изготовления её копии. Классический скимминг подразумевает физическое взаимодействие устройства злоумышленников с картой жертвы. То есть вы должны вставить её в скомпрометированный банкомат или платёжный терминал.
Не стоит забывать, что в мире распространены банкоматы и платёжные терминалы, которые считывают именно информацию с магнитной полосы - а значит, на них можно установить накладку и похитить данные карты. Скорее всего, когда мошенники попытаются снять деньги, ваш банк заблокирует подозрительную операцию, но шанс на успех у злоумышленников есть, хоть и небольшой. Не стоит его увеличивать своими руками - помните, что осторожность и осмотрительность никогда не вредят.
Как мошенники это делают?
Для воровства денег используется специальная накладка поверх картоприёмника (того самого отверстия в банкомате, куда мы, клиенты, вставляем карту). Она позволяет злоумышленникам считывать информацию с нашего «пластика». А для того, чтобы узнать пин-код, устанавливают или фальш-клавиатуру на банкомат, или миниатюрную камеру, направленную на панель ввода.
Главная задача считывателя - получить данные магнитной полосы карты и передать их на сервер мошенников. Считывание происходит в момент прохождения карты через накладку, наклеенную на картоприёмник банкомата.
Наверняка вы обращали внимание на то, что банкоматы разных моделей и разных банков имеют картоприёмники весьма причудливых форм. Это сделано не для красоты, а чтобы затруднить установку скимминговой накладки. Использование уникальных картоприёмников не позволяет создать универсальные считыватели и вынуждает злоумышленников изготавливать индивидуальные накладки для каждого банка и типа банкоматов, что требует дополнительных затрат.
Но считыватель не обязательно располагается на банкомате. Бывали случаи, когда он устанавливался на двери, ведущей в помещение с банкоматом. Под видом устройства, предназначенного для открывания двери в ночное время.
Со вторым компонентом - фальш-клавиатурой - всё просто: её накладывают поверх настоящей клавиатуры банкомата и фиксируют все нажатия.
Из-за того, что многие современные банкоматы имеют нестандартные клавиатуры и специальные приспособления, затрудняющие установку фальш-панели, злоумышленники часто заменяют её на миниатюрную камеру, расположенную либо на самом банкомате, либо в одном с ним помещении. Именно из-за возможности наличия скрытых камер следует прикрывать рукой клавиатуру банкомата, даже если рядом с вами никого нет.
Установка скимминговых накладок на банкомат занимает считанные секунды. Срок их жизни - как правило, пара часов, максимум день-два. Потом они снимаются, перезаряжаются и переносятся на новый банкомат. За это время накладки успевают обработать несколько сотен банковских карт, данные которых сохраняются в специальную базу.
Бывали случаи, когда банкомат заражался вредоносной программой, делавшей из него один большой скиммер. Но если вы имеете дело с банкоматами крупных банков, шансы встретить такое модифицированное устройство стремятся к нулю.
Могут ли украсть карту другим способом?
Да, через POS-терминал - устройство для обработки безналичных платежей. Встретить их можно в магазинах и киосках, кафе и ресторанах, гостиницах. Везде, где товар или услугу можно оплатить банковской картой. Они могут быть стационарными или портативными, но суть их работы не меняется. Такие терминалы взаимодействуют с вашей картой точно так же, как банкомат.
Иногда POS-терминал может быть перепрошит или заменён на модифицированный. В таком случае он приобретает дополнительный функционал, который может быть использован для создания копий прошедших через него банковских карт. При этом владелец заведения может не знать об этом, в отличие от его недобросовестных сотрудников.
Вы наверняка не раз сталкивались с ситуацией, когда, желая оплатить картой ужин в ресторане, давали её официанту. Он уходил с картой и вскоре возвращался с терминалом для оплаты. Делать так (вам, а не официанту) нельзя. Во-первых, отдавая карту в руки незнакомому человеку, вы даёте ему возможность записать её номер и реквизиты. Их будет достаточно для совершения некоторых типов онлайн-платежей (тех, где не требуется ввод кода из сообщения). Во-вторых, пока карта вне вашего поля зрения, сотрудник при помощи специального устройства может скопировать данные её магнитной полосы. А потом подсмотреть или заснять на миниатюрную видеокамеру вводимый вами пин-код.
Конечно, такой сотрудник сильно рискует. Если полиция проанализирует данные транзакций, то быстро обнаружит, что все карты жертв прошли через один терминал в одном заведении. Однако желающие испытать судьбу всё равно находятся.
Что происходит с картами жертв скимминга
Вариантов два: либо организаторы преступного бизнеса сами займутся изготовлением копий карт и хищением денег, либо продадут свою базу на чёрном рынке. Второй вариант более распространён. Сохранённые вместе с пин-кодами данные карты называются дампами. Они широко продаются в даркнете целыми массивами.
Приобретённые дампы записываются на банковские карты без опознавательных знаков (так называемый «белый пластик»). После чего вместе с пин-кодами передаются «дропам» - людям, специально нанятым для обналичивания денежных средств за процент от выведенной суммы. Они и будут ходить от банкомата к банкомату, раз за разом опустошая ваш счёт.
Сложность расследования скимминга заключается в том, что такие преступления совершаются участниками хорошо организованных преступных сообществ. В них существует чёткое разделение ролей, а участники зачастую даже не знакомы друг с другом и могут действовать на территории нескольких государств.
Момент компрометации карты совершенно незаметен для жертвы, а факты снятия цифровой копии карты и её неправомерного использования разнесены во времени вплоть до нескольких месяцев. Поэтому вы, скорее всего, никогда не узнаете, где и каким образом злоумышленники «считали» вашу карту. Исключения составляют случаи, когда полиции или службе безопасности банка удаётся обнаружить на банкомате скимминговую накладку или выяснить, каким банкоматом или POS-терминалом пользовались все потерпевшие.
Что делать, если вы стали жертвой скиммеров
1. Первое, что необходимо сделать, если с вашей карты без вашего ведома сняли деньги - обратиться в свой банк и сообщить о несанкционированной операции. Это позволит предотвратить дополнительные списания, а в ряде случаев и вернуть деньги.
2. Потом следует пойти в полицию и написать заявление. Только так есть шансы поймать мошенников.
Как защититься от скимминга
Это вполне реально.
1. Возьмите за правило внимательно осмотреть банкомат перед тем, как вставить в него карту. На банкомате не должно быть никаких неплотно прилегающих частей, проводов, следов скотча. Попробуйте поддеть ногтем клавиатуру, пошатать рукой картоприёмник. Не бойтесь, банкомат вы не сломаете, а вот накладки, если они есть, обнаружите сразу.
2. Если вдруг вы нашли на банкомате скимминговую накладку, ни в коем случае не снимайте её. Если банкомат стоит в отделении банка, обратитесь к сотрудникам. Если их нет поблизости, позвоните на горячую линию банка. Это очень важно, так как позволит службе безопасности банка вместе с полицией устроить засаду и задержать установщиков скиммингового устройства, когда они придут снимать накладки.
3. Если вы обнаружили накладку после того, как вставили в банкомат карту, надо заблокировать и перевыпустить её. Тем самым вы сможете обезопасить свой счёт. Ведь в большинстве современных скимминговых устройств данные карт сразу передаются на принадлежащий злоумышленникам удалённый сервер.
4. Закрывайте ладонью клавиатуру в процессе ввода пин-кода. Это не только защитит вас от посторонних глаз, но и собьёт с толку установленную злоумышленниками камеру.
5. Не используйте банковскую карту, чтобы открыть дверь в помещение с банкоматом. Подобный электронный замок отреагирует на любую карту. Поэтому вы можете использовать, например, бонусную карту какого-нибудь магазина.
6. Не давайте свою карту в руки сотрудникам сферы обслуживания. Попросите их принести терминал или пройдите к нему сами.
7. Не используйте банкоматы неизвестных вам банков в России и за её пределами. Встретить фейковый банкомат можно в любой стране. Особенно популярен скимминг в Юго-Восточной Азии - так что, отправляясь на отдых, заранее позаботьтесь о наличных деньгах.
8. Обнаружили несанкционированное списание? Немедленно оповещайте банк и блокируйте карту. Злоумышленники часто выводят деньги небольшими партиями, а своевременное блокирование карты позволит вам не допустить опустошения счёта.
Чипы и гибридные карты против скимминга
К счастью, прогресс не стоит на месте. Во всём мире на смену картам с магнитной полосой приходят карты с чипом или гибридные, сочетающие в себе как магнитную полосу, так и электронный чип. Да и банкоматов, которые считывают именно чип, а не магнитную полосу, становится всё больше в мире.
С точки зрения безопасности карта с чипом куда совершеннее традиционной банковской карты. Хотя существуют примеры устройств, предназначенных для перехвата сигнала чипованных карт, сделать копию подобной карты практически невозможно. Подобные разработки единичны и плохо совместимы с современными банкоматами.
Врагом скимминга является и распространение бесконтактных способов оплаты. Вопреки расхожему мнению, бесконтактные платежи - один из самых безопасных способов. Особенно если вы платите со своего смартфона, использующего дополнительные методы авторизации.
Бесконтактный платёж с использованием смартфона будет безопасным, даже если POS-терминал, которым вы воспользовались, скажем, в кафе, был модифицирован злоумышленниками. Ведь вы не вводите ни данные карты, ни пин-код, а за шифрование и безопасность трансакции отвечает специальный чип, встроенный в ваше мобильное устройство.
Как не стать жертвой «мобильного» мошенничества.
Злоумышленники могут обратиться к Вам:
- Под видом сотрудников полиции, о нарушении их близкими родственниками законов, с целью передачи Вами денежных средств через посредников, либо перевод их через терминалы оплаты для разрешения сложившейся ситуации. В этой ситуации не продолжайте разговор, не позволяйте себя убедить. Вам звонит мошенник. Обратитесь в полицию!
- О блокировке банковской карты путем рассылки SMS-сообщений, а так же о переводе денежных средств за покупку товара по объявлению и последующего информирования о необходимости дальнейшего введения ряда команд с банкомата. Вам звонит мошенник! Никому нельзя сообщать реквизиты своей банковской карты, в том числе сотруднику банка, об этом всегда информируют банк при получении пароля к карте, в последствие необходимо лично обратиться в ближайшее отделение банка, с целью выяснения возникших проблем с банковской картой.
- О сообщении Вам, якобы, из поликлиники или больницы, что у Вас или у Ваших родственников обнаружили страшный диагноз и чтобы вылечить болезнь необходимо перевести деньги за лекарства. Прервите разговор, Вам звонит мошенник! Медицинское учреждение принимает денежные средства после заключения соответствующего договора в письменном виде, при Вашем личном присутствии. Свяжитесь с Вашим родственником, позвоните в больницу. Не переводите денежные средства мошенникам. Обратитесь в полицию!
- получения СМС-сообщений с неизвестных номеров о выигранном призе, с просьбой положить деньги на телефон, или вернуть деньги, так как они были переведены ошибочно. Это обман. Человек не может выиграть приз, не участвуя в лотереях. Не отвечайте на такие сообщения, не переводите денежные средства.
Как не стать жертвой мошенников в сети Интернет
Злоумышленник, с целью хищения Ваших денежных средств, размещает в сети Интернет объявление о продаже какого-либо объекта (телефон, машина, квартира) по заниженной цене и оставляет свои контактные данные.
После того, как Вы собираетесь приобрести товар, связываетесь с мошенником, он сообщает, что для покупки необходимо внести предоплату (на расчетный счет, Яндекс-деньги, счет Веб-мани и т.д.).
Наиболее часто встречающимися площадками для размещения подобных объявлений является сайты социальных сетей «В контакте», «Instagram», «Однокласники», также такими сайтами могут выступать ресурсы бесплатных объявлений «Авито», «Юла» и «Аuto.ru». Злоумышленник объясняет внесение предоплаты тем, что живет в другом регионе и отправит товар сразу после того, как удостоверится в оплате товара. Злоумышленник может выслать копию паспорта (поддельную).
Также, распространенным способом мошенничества в сети Интернет, является создание сайтов Интернет-магазинов. Злоумышленник по электронной почте высылает договор, который заполняет заказчик, после чего просит внести предоплату за товар.
Как не стать жертвой мошенничества с банковскими картами при
использовании услуги «Мобильный банк»:
В случае потери мобильного телефона с подключенной услугой «Мобильный банк» или мобильным приложением «Сбербанк Онлайн», следует срочно обратиться к оператору сотовой связи для блокировки SIM-карты и в Контактный центр Банка для блокировки услуги «Мобильный банк» и/или «Сбербанк Онлайн».
При смене номера телефона, на который подключена услуга «Мобильный банк», необходимо обратиться в любой филиал (внутреннее структурное подразделение), с целью отключения услуги «Мобильный банк» от старого номера и подключения на новый.
Не следует оставлять свой телефон без присмотра, чтобы исключить несанкционированное использование мобильных банковских услуг другими лицами.
Не подключайте к услуге «Мобильный банк» абонентские номера, которые Вам не принадлежат, по просьбе третьих лиц, даже если к Вам обратились от имени сотрудников Банка.
При пользовании банковскими картами:
С целью избежать несанкционированных действий с использованием карты, необходимо требовать проведения операций с ней только в Вашем присутствии, никогда не позволять уносить третьим лицам карту из поля Вашего зрения.
В случае обращения к Вам какого-либо лица лично, по телефону, в сети Интернет, через социальные сети или другим способом, которое под различными предлогами пытается узнать полные данные о вашей банковской карте: шестнадцатизначном номере, сроке ее действия, трехзначном коде проверки подлинности карты, расположенном на оборотной стороне на полосе для подписи держателя карты и т.д. (паролях или другой персональной информации), будьте осторожны - это явные признаки противоправной деятельности. При любых сомнениях рекомендуется прекратить общение и обратиться в банк по телефону, указанному на обратной стороне банковской карты.
Не следует прислушиваться к советам третьих лиц, а также отказаться от их помощи при проведении операций. В случае необходимости, обратитесь к сотрудникам филиала банка или позвонить по телефонам, указанным на устройстве или на обратной стороне карты.
Во избежание использования карты другим лицом, следует хранить ПИН-код отдельно от карты, не писать его на карте, и не сообщать его другим лицам (в том числе родственникам).
Не переходите по ссылкам и не устанавливайте приложения/обновления, пришедшие iio SMS/MMS/, электронной почте/мессенджерам (Вайбер, ВацАп и др.), в том числе от имени Банка. Помните, что банк не рассылает своим клиентам ссылки или указания подобным образом.
ОМ
