Украинские интернет-форумы запестрели жалобами на новые подходы мошенников — злоумышленники, используя различные сценарии для «развода», вынуждают жертв буквально своими руками отдавать им деньги с банковских карточек. Для этого преступники применяют психологические приемы, которые профессионалы называют «элементами социального инжиниринга». Как распознавать таких мошенников и что нужно сделать, чтобы избежать значительных потерь, даже если устоять перед ними не удалось?

Социальный инжиниринг в данном случае — это способ общения жулика с клиентом банка, позволяющий увести что-либо (например, деньги с карточного счета), узнав все необходимые данные у самого человека. Основной признак мошенничества — это очень необычная просьба от незнакомого человека, ее высокая срочность, угроза негативных последствий в случае невыполнения. Преступник нередко представляется важным лицом и называет много знакомых имен.

Жулики используют актуальные социальные темы, например, сбор средств для добровольцев в зоне АТО или личные привязанности, такие, как беспокойство за близких родственников. Когда человек получает тревожные новости, ему сложно спокойно проанализировать ситуацию, поэтому его легче обмануть.

Из-за того, что человек совершает операцию своими руками, по формальным признакам такие переводы выделить очень сложно, а заблокировать нет возможности. Поэтому специалисты по безопасности, проанализировав типичные сценарии, выделили те ключевые моменты, которые должны настораживать человека при общении с посторонними.

«Подойдите к банкомату, и я расскажу, что сделать, чтобы перевести на вашу карту деньги», — это ключевая фраза, по которой можно отличить мошенника. «Через банкомат деньги можно не только снять со своей карты, что все умеют делать, но и отправить на чужую. А вот перечислить себе с чужой карты категорически невозможно!» — хором напоминают банковские специалисты.

Однако жертвы зачастую поддаются на уговоры манипуляторов, которые, пользуясь неграмотностью людей в части пользования банкоматами и терминалами, при помощи «подсказок» и «инструкций» обманом вынуждают перевести деньги. При этом человек может даже не догадываться, что вместо получения средств отправил свои накопления в неизвестном направлении. Парадокс состоит в том, что они даже не замечают, что вводят номер телефона или карты, не задумываются над тем, какие пункты меню в банкомате выбирают, и не читают текст на экране, сообщающий, что производится отправка средств на чужой счет.

Вариант 1

Ролей, которые разыгрывает мошенник, чтобы подвести жертву к банкомату, может быть несколько. Например, заботливого папочки, который хочет купить через интернет коляску для своего сына. Такой мошенник звонит продавцу (чаще — женщине, которая заморочена хлопотами с маленьким ребенком и оставила объявление о продаже в интернете) и говорит, что готов купить ее коляску и отправить деньги прямо на карту, для чего спрашивает номер. Карта обычно есть, поскольку на нее зачисляются социальные выплаты на ребенка. И даже если женщина достаточно продвинутая, такая просьба ее не насторожит, поскольку никаких других личных данных у нее не спрашивают, а для перевода номер действительно необходим.

Через некоторое время «покупатель» перезванивает и говорит, что перевод почему-то не прошел, и даже может предъявить квитанцию, что пытался отправить деньги. В частности, он может сказать, что находится в зоне АТО, а банк ограничил переводы по картам клиентов оттуда, поэтому, чтобы получить перевод, женщина должна подойти к банкомату и следовать инструкциям.

Вариант 2

Мошенник выдает себя за спонсора, который готов помочь в сложной ситуации, но какие-то технические сложности мешают ему отправить средства на счет человека. «Могут позвонить якобы сотрудники пенсионного фонда и рассказать, что Порошенко перед выборами подписал разовую прибавку к пенсии, но денег хватает не всем, поэтому надо быстро ее забрать, а то завтра уже не будет, — рассказали в Украинской межбанковской ассоциации членов платежных систем. — А насколько наше старшее поколение «не дружит» с банкоматами, всем известно, их запутать ничего не стоит».

Вариант 3

Другая роль: преступники выдают себя за волонтеров, собирающих деньги в пользу клиента без его ведома. Например, узнали, что для сына-бойца в зоне АТО нужен бронежилет или что он в госпитале и нужно купить лекарства, или срочно требуются средства на хирургическую операцию, а их не хватает, и вот собрали, хотят перечислить. Необходимость подойти к банкомату в этом случае объясняют, например, желанием сэкономить на налоге, который иначе придется заплатить с собранной суммы. Это неправда: благотворительность никакими налогами не облагается, но знают об этом далеко не все, поэтому поддаются.

Вариант 4

Жулики могут притвориться и сотрудниками кредитного отдела какого-либо банка, приносящими радостную весть, что у человека переплата по кредиту и ее можно получить назад, потому что в банке ребрендинг (смена названия), слияние, продажа иностранцам или что-либо похожее.

А может позвонить и «сотрудник банка», чтобы убедиться, что ваша карта не была украдена, а для этого нужно подойти к банкомату — и далее по сценарию.

Вариант 5

Наиболее опасный для жуликов способ украсть деньги со счета — заполучить дубликат sim-карты мобильного номера владельца банковской карточки. В этом случае менять номер, привязанный к банковской карте, не нужно: телефон жертвы просто будет заблокирован, а мошенники, как и в предыдущем случае, получат пароли и коды подтверждения операций в интернете или при помощи sms-банкинга и спокойно очистят счет до того момента, как хозяин опомнится.

Особенно легко такое проходит с продавцами товара в интернете, которые размещают объявления на интернет-аукционах, поэтому не удивляются звонкам с незнакомых номеров.

Чтобы заполучить дубликат симки, мошенники или вынуждают человека несколько раз подряд им позвонить и не берут трубку, или звонят сами и обрывают связь. После этого на мобильный счет картодержателя приходит пополнение на минимальную сумму от неизвестного лица, а потом номер «вдруг» блокируется. Имея информацию о последних набранных номерах, времени последнего звонка с номера и последнем пополнении, мошенники заказывают у мобильного оператора дубликат sim-карты. За ней является подставное лицо.

Правда, мобильные операторы уверяют, что получить дубль симки достаточно сложно. «Если абонент пользуется контрактным обслуживанием, для замены sim-карты ему нужно предъявить документ, удостоверяющий личность. А если это абонент, который обслуживается обезличенно, т. е. на условиях припейд-тарифов, он должен доказать, что является владельцем номера телефона, с которым связана sim-карта. Для этого существует специальный алгоритм идентификации. Невозможно просто назвать какой-либо номер мобильного телефона, перечислить два-три последних действия с этим номером телефона и получить новую sim-карту, связанную с номером этого телефона, — успокоили нас в «Киевстаре». — Абонент должен правильно ответить на ряд вопросов и сообщить информацию, связанную с использованием номера, которую может знать только он. При малейшем сомнении эксперт может отказать в услуге восстановления sim-карты».

Вариант 6

Как известно, многие украинцы пользуются банковской услугой sms-банкинга: банк уведомляет человека сообщениями на мобильный телефон обо всех совершенных карточных операциях. Поэтому хакеры, которые готовятся взломать счет человека (обычно того, кто активно платит в интернете — через интернет-банкинг или на сайтах компаний) и начать разграбление карточного счета, проворачивают многоходовую операцию. Цель — сделать так, чтобы владелец счета перестал получать банковские sms. Чаще всего стараются подсунуть банку другой номер телефона.

Для начала у владельца счета выманивают номер его телефона, который привязан к банковскому счету и на который приходят сообщения банка (а также коды подтверждения платежей, если речь о покупках на разных сайтах) — информация о списании средств. А затем, чтобы человек якобы получил деньги, жулики требуют подтвердить номер мобильного в банкомате. Номер вроде как не проверяется, поэтому просят ввести тот, который они продиктуют. Таким образом, они подвязывают вашу карточку к своему номеру телефона, получают на него коды и выполняют перевод денег, а на ваш телефон сообщение о списании уже не приходит, поэтому оперативно среагировать на кражу вы не можете.

Есть еще схема «подтверждения перевода через sms», которая гораздо проще предыдущих. Жертву просят набрать комбинацию цифр и букв и отправить на сервисный номер банка, чтобы подтвердить, что клиент готов принять средства на свой счет. Причем этот набор цифр и букв мошенники диктуют или присылают в sms. На самом же деле они используют команду sms-банкинга о переводе средств с карты жертвы. Например, для клиентов ПриватБанка она выглядит так:

«PAY100 + (четыре последние цифры карты жертвы) + XXXXXXXXXX» или «SEND100UAH + (четыре последние цифры карты жертвы) + YYYYYYYYYYYYYYYY». В первом случае клиент переводит деньги на мобильный счет мошенника, во втором — прямо на его карточку. Очевидно, что способ лучше всего работает с теми владельцами карт, которые ранее никогда не пользовались услугой переводов.

Классика жанра

В то же время сотрудники банковской безопасности и борцы с карточными мошенниками отмечают, что с начала года в Украине в несколько раз уменьшилось количество «классических» преступлений — скимминга и фишинга. Как известно, скимминг — мошенничество с банковскими картами, когда на банкомат устанавливают устройство (скиммер), который копирует все данные с магнитной полосы и запоминает ПИН-код, который вводит человек, снимая деньги со счета. А фишинг — когда данные о карте выпытывают у человека при помощи электронных писем или создавая поддельные сайты, которые воруют такую информацию и передают злоумышленникам. В обоих случаях мошенничество связано с кражей информации о карте с ее дальнейшим использованием для очистки банковского счета.

Зато возросло количество случаев воровства наличных, в частности сash-тrapping (буквально переводится как попадание наличных денег в ловушку), когда на банкомат монтируется накладка с клейкой прозрачной лентой (так профессионально, что она не заметна, если внимательно не присмотреться), к которой наличные буквально прилипают. Клиент, не дождавшись денег, уходит, а мошенники спокойно отклеивают банкноты и ставят планку, которую сняли с банкомата, обратно.

Проблема борьбы с таким видом мошенничества в том, что банк от него не страдает — деньги пропадают уже после того, как списались со счета. Это примерно то же самое, как если бы у вас вытащили кошелек через 5 минут после того, как вы получили в банкомате зарплату. То есть к банку предъявить претензии нельзя — он все честно выдал, что подтвердится при проверке записей банкомата. Поэтому банкиры не всегда вовремя узнают, что на банкомате стоит липучка, и противодействовать установке такого оборудования им сложнее, чем скиммингу.

Техника безопасности

1. Никогда и никому нельзя сообщать свой ПИН-код.
2. Не доверять карту третьим лицам, не оставлять ее без присмотра, не записывать ПИН-код в легкодоступных местах (тем более на самой карточке).
3. Обязательно оставлять образец своей подписи на обратной стороне карты сразу же после ее получения.
4. Проверять, все ли было взято из банкомата. После завершения операции у держателя должны остаться карточка, деньги и выписка о произведенной операции.
5. Если чего-то не хватает, а банкомат не сообщил никакой дополнительной информации, то здесь что-то не так.
6. Не пользоваться советами третьих лиц и не прибегать к помощи незнакомцев при возникновении проблем в работе с банкоматом.
7. Немедленно сообщить в банк по телефону горячей линии, если карта или деньги остались в банкомате, затянулись обратно или с ними что-либо еще произошло.
8. Незамедлительно сообщать в банк о потере или краже платежной карты.
9. Не оставлять данные о себе и своей карте на интернет-сайтах ни в объявлениях, ни при расчетах.
10. Не использовать для оплаты в интернете карты, на которых постоянно находятся крупные суммы денег. Лучше завести для таких целей отдельную «карту для интернета» и переводить туда ровно столько денег, сколько нужно для оплаты покупки, прямо перед ее совершением.
11. Подключиться к sms-банкингу, и банк будет присылать отчеты обо всех операциях по счету.
12. Установить лимит снятия наличных денег с карты: суточный и на каждую операцию.

Оксана Гришина