Украинские интернет-форумы запестрели жалобами на новые подходы мошенников — злоумышленники, используя различные сценарии для «развода», вынуждают жертв буквально своими руками отдавать им деньги с банковских карточек. Для этого преступники применяют психологические приемы, которые профессионалы называют «элементами социального инжиниринга». Как распознавать таких мошенников и что нужно сделать, чтобы избежать значительных потерь, даже если устоять перед ними не удалось?
Социальный инжиниринг в данном случае — это способ общения жулика с клиентом банка, позволяющий увести что-либо (например, деньги с карточного счета), узнав все необходимые данные у самого человека. Основной признак мошенничества — это очень необычная просьба от незнакомого человека, ее высокая срочность, угроза негативных последствий в случае невыполнения. Преступник нередко представляется важным лицом и называет много знакомых имен.
Жулики используют актуальные социальные темы, например, сбор средств для добровольцев в зоне АТО или личные привязанности, такие, как беспокойство за близких родственников. Когда человек получает тревожные новости, ему сложно спокойно проанализировать ситуацию, поэтому его легче обмануть.
Из-за того, что человек совершает операцию своими руками, по формальным признакам такие переводы выделить очень сложно, а заблокировать нет возможности. Поэтому специалисты по безопасности, проанализировав типичные сценарии, выделили те ключевые моменты, которые должны настораживать человека при общении с посторонними.
«Подойдите к банкомату, и я расскажу, что сделать, чтобы перевести на вашу карту деньги», — это ключевая фраза, по которой можно отличить мошенника. «Через банкомат деньги можно не только снять со своей карты, что все умеют делать, но и отправить на чужую. А вот перечислить себе с чужой карты категорически невозможно!» — хором напоминают банковские специалисты.
Однако жертвы зачастую поддаются на уговоры манипуляторов, которые, пользуясь неграмотностью людей в части пользования банкоматами и терминалами, при помощи «подсказок» и «инструкций» обманом вынуждают перевести деньги. При этом человек может даже не догадываться, что вместо получения средств отправил свои накопления в неизвестном направлении. Парадокс состоит в том, что они даже не замечают, что вводят номер телефона или карты, не задумываются над тем, какие пункты меню в банкомате выбирают, и не читают текст на экране, сообщающий, что производится отправка средств на чужой счет.
Вариант 1
Ролей, которые разыгрывает мошенник, чтобы подвести жертву к банкомату, может быть несколько. Например, заботливого папочки, который хочет купить через интернет коляску для своего сына. Такой мошенник звонит продавцу (чаще — женщине, которая заморочена хлопотами с маленьким ребенком и оставила объявление о продаже в интернете) и говорит, что готов купить ее коляску и отправить деньги прямо на карту, для чего спрашивает номер. Карта обычно есть, поскольку на нее зачисляются социальные выплаты на ребенка. И даже если женщина достаточно продвинутая, такая просьба ее не насторожит, поскольку никаких других личных данных у нее не спрашивают, а для перевода номер действительно необходим.
Через некоторое время «покупатель» перезванивает и говорит, что перевод почему-то не прошел, и даже может предъявить квитанцию, что пытался отправить деньги. В частности, он может сказать, что находится в зоне АТО, а банк ограничил переводы по картам клиентов оттуда, поэтому, чтобы получить перевод, женщина должна подойти к банкомату и следовать инструкциям.
Вариант 2
Мошенник выдает себя за спонсора, который готов помочь в сложной ситуации, но какие-то технические сложности мешают ему отправить средства на счет человека. «Могут позвонить якобы сотрудники пенсионного фонда и рассказать, что Порошенко перед выборами подписал разовую прибавку к пенсии, но денег хватает не всем, поэтому надо быстро ее забрать, а то завтра уже не будет, — рассказали в Украинской межбанковской ассоциации членов платежных систем. — А насколько наше старшее поколение «не дружит» с банкоматами, всем известно, их запутать ничего не стоит».
Вариант 3
Другая роль: преступники выдают себя за волонтеров, собирающих деньги в пользу клиента без его ведома. Например, узнали, что для сына-бойца в зоне АТО нужен бронежилет или что он в госпитале и нужно купить лекарства, или срочно требуются средства на хирургическую операцию, а их не хватает, и вот собрали, хотят перечислить. Необходимость подойти к банкомату в этом случае объясняют, например, желанием сэкономить на налоге, который иначе придется заплатить с собранной суммы. Это неправда: благотворительность никакими налогами не облагается, но знают об этом далеко не все, поэтому поддаются.
Вариант 4
Жулики могут притвориться и сотрудниками кредитного отдела какого-либо банка, приносящими радостную весть, что у человека переплата по кредиту и ее можно получить назад, потому что в банке ребрендинг (смена названия), слияние, продажа иностранцам или что-либо похожее.
А может позвонить и «сотрудник банка», чтобы убедиться, что ваша карта не была украдена, а для этого нужно подойти к банкомату — и далее по сценарию.
Вариант 5
Наиболее опасный для жуликов способ украсть деньги со счета — заполучить дубликат sim-карты мобильного номера владельца банковской карточки. В этом случае менять номер, привязанный к банковской карте, не нужно: телефон жертвы просто будет заблокирован, а мошенники, как и в предыдущем случае, получат пароли и коды подтверждения операций в интернете или при помощи sms-банкинга и спокойно очистят счет до того момента, как хозяин опомнится.
Особенно легко такое проходит с продавцами товара в интернете, которые размещают объявления на интернет-аукционах, поэтому не удивляются звонкам с незнакомых номеров.
Чтобы заполучить дубликат симки, мошенники или вынуждают человека несколько раз подряд им позвонить и не берут трубку, или звонят сами и обрывают связь. После этого на мобильный счет картодержателя приходит пополнение на минимальную сумму от неизвестного лица, а потом номер «вдруг» блокируется. Имея информацию о последних набранных номерах, времени последнего звонка с номера и последнем пополнении, мошенники заказывают у мобильного оператора дубликат sim-карты. За ней является подставное лицо.
Правда, мобильные операторы уверяют, что получить дубль симки достаточно сложно. «Если абонент пользуется контрактным обслуживанием, для замены sim-карты ему нужно предъявить документ, удостоверяющий личность. А если это абонент, который обслуживается обезличенно, т. е. на условиях припейд-тарифов, он должен доказать, что является владельцем номера телефона, с которым связана sim-карта. Для этого существует специальный алгоритм идентификации. Невозможно просто назвать какой-либо номер мобильного телефона, перечислить два-три последних действия с этим номером телефона и получить новую sim-карту, связанную с номером этого телефона, — успокоили нас в «Киевстаре». — Абонент должен правильно ответить на ряд вопросов и сообщить информацию, связанную с использованием номера, которую может знать только он. При малейшем сомнении эксперт может отказать в услуге восстановления sim-карты».
Вариант 6
Как известно, многие украинцы пользуются банковской услугой sms-банкинга: банк уведомляет человека сообщениями на мобильный телефон обо всех совершенных карточных операциях. Поэтому хакеры, которые готовятся взломать счет человека (обычно того, кто активно платит в интернете — через интернет-банкинг или на сайтах компаний) и начать разграбление карточного счета, проворачивают многоходовую операцию. Цель — сделать так, чтобы владелец счета перестал получать банковские sms. Чаще всего стараются подсунуть банку другой номер телефона.
Для начала у владельца счета выманивают номер его телефона, который привязан к банковскому счету и на который приходят сообщения банка (а также коды подтверждения платежей, если речь о покупках на разных сайтах) — информация о списании средств. А затем, чтобы человек якобы получил деньги, жулики требуют подтвердить номер мобильного в банкомате. Номер вроде как не проверяется, поэтому просят ввести тот, который они продиктуют. Таким образом, они подвязывают вашу карточку к своему номеру телефона, получают на него коды и выполняют перевод денег, а на ваш телефон сообщение о списании уже не приходит, поэтому оперативно среагировать на кражу вы не можете.
Есть еще схема «подтверждения перевода через sms», которая гораздо проще предыдущих. Жертву просят набрать комбинацию цифр и букв и отправить на сервисный номер банка, чтобы подтвердить, что клиент готов принять средства на свой счет. Причем этот набор цифр и букв мошенники диктуют или присылают в sms. На самом же деле они используют команду sms-банкинга о переводе средств с карты жертвы. Например, для клиентов ПриватБанка она выглядит так:
«PAY100 + (четыре последние цифры карты жертвы) + XXXXXXXXXX» или «SEND100UAH + (четыре последние цифры карты жертвы) + YYYYYYYYYYYYYYYY». В первом случае клиент переводит деньги на мобильный счет мошенника, во втором — прямо на его карточку. Очевидно, что способ лучше всего работает с теми владельцами карт, которые ранее никогда не пользовались услугой переводов.
Классика жанра
В то же время сотрудники банковской безопасности и борцы с карточными мошенниками отмечают, что с начала года в Украине в несколько раз уменьшилось количество «классических» преступлений — скимминга и фишинга. Как известно, скимминг — мошенничество с банковскими картами, когда на банкомат устанавливают устройство (скиммер), который копирует все данные с магнитной полосы и запоминает ПИН-код, который вводит человек, снимая деньги со счета. А фишинг — когда данные о карте выпытывают у человека при помощи электронных писем или создавая поддельные сайты, которые воруют такую информацию и передают злоумышленникам. В обоих случаях мошенничество связано с кражей информации о карте с ее дальнейшим использованием для очистки банковского счета.
Зато возросло количество случаев воровства наличных, в частности сash-тrapping (буквально переводится как попадание наличных денег в ловушку), когда на банкомат монтируется накладка с клейкой прозрачной лентой (так профессионально, что она не заметна, если внимательно не присмотреться), к которой наличные буквально прилипают. Клиент, не дождавшись денег, уходит, а мошенники спокойно отклеивают банкноты и ставят планку, которую сняли с банкомата, обратно.
Проблема борьбы с таким видом мошенничества в том, что банк от него не страдает — деньги пропадают уже после того, как списались со счета. Это примерно то же самое, как если бы у вас вытащили кошелек через 5 минут после того, как вы получили в банкомате зарплату. То есть к банку предъявить претензии нельзя — он все честно выдал, что подтвердится при проверке записей банкомата. Поэтому банкиры не всегда вовремя узнают, что на банкомате стоит липучка, и противодействовать установке такого оборудования им сложнее, чем скиммингу.
Техника безопасности
- Никогда и никому нельзя сообщать свой ПИН-код.
- Не доверять карту третьим лицам, не оставлять ее без присмотра, не записывать ПИН-код в легкодоступных местах (тем более на самой карточке).
- Обязательно оставлять образец своей подписи на обратной стороне карты сразу же после ее получения.
- Проверять, все ли было взято из банкомата. После завершения операции у держателя должны остаться карточка, деньги и выписка о произведенной операции.
- Если чего-то не хватает, а банкомат не сообщил никакой дополнительной информации, то здесь что-то не так.
- Не пользоваться советами третьих лиц и не прибегать к помощи незнакомцев при возникновении проблем в работе с банкоматом.
- Немедленно сообщить в банк по телефону горячей линии, если карта или деньги остались в банкомате, затянулись обратно или с ними что-либо еще произошло.
- Незамедлительно сообщать в банк о потере или краже платежной карты.
- Не оставлять данные о себе и своей карте на интернет-сайтах ни в объявлениях, ни при расчетах.
- Не использовать для оплаты в интернете карты, на которых постоянно находятся крупные суммы денег. Лучше завести для таких целей отдельную «карту для интернета» и переводить туда ровно столько денег, сколько нужно для оплаты покупки, прямо перед ее совершением.
- Подключиться к sms-банкингу, и банк будет присылать отчеты обо всех операциях по счету.
- Установить лимит снятия наличных денег с карты: суточный и на каждую операцию.
Оксана Гришина