Когда трубку лучше не брать. Как мошенники садятся на уши и опустошают банковские счета россиян

Охотники до чужих кошельков начали применять новую схему мошенничества. Злоумышленники звонят жертвам, используя номера банков, и выманивают у них персональные данные. Только за прошлый год у россиян таким способом украли более миллиарда рублей с их банковских счетов, посчитали в Центробанке. Как не попасть в руки хакеров и сохранить свои сбережения, разбирался «360». За прошлый год хакерам удалось украсть со счетов доверчивых россиян порядка 1,4 миллиарда рублей, свидетельствует статистика от Центробанка. По сравнению с 2017 годом уровень подобных краж вырос почти в 1,4 раза. Причем особую активность мошенники проявляли в четвертом квартале прошлого года, в преддверии новогодних праздников. В 2019 году мошенники активизировались еще сильнее, отмечают источники «Коммерсанта». Причем злоумышленники все чаще отдают предпочтение технологии социальной инженерии. Так, в 97% случаев они используют номера, которые очень похожи на официальные банковские номера. Звоня ничего не подозревающему клиенту, хакер под видом банковского сотрудника сообщает о попытке несанкционированного списания средств. Чтобы усыпить бдительность жертвы, мошенники отправляют клиенту SMS с подтверждением с короткого номера 900, который имитирует официальное сообщение от банка. Поняв, что клиент словил наживку, «сотрудник» банка предлагает схему «защиты средств». Он советует немедленно перевести деньги на специальный счет, до которого аферисты точно не доберутся. Однако, чтобы провести транзакцию, «сотрудник» должен знать детальную информацию о счете клиента: данные карты и кодовое слово. Нередко жертва, сбитая с толку напором телефонного собеседника, рассказывает незнакомому человеку из телефонной трубки все, о чем его просят. В итоге, получив все необходимую информацию, злоумышленник опустошает банковский счет в течение нескольких минут, не оставляя шансов владельцу на блокировку карты. Между тем финансовые организации уже работают над устранением подобного вида мошенничества. Так, в разговоре с «360» представители Райффайзенбанка признали, что сейчас наблюдается всплеск попыток мошенничества такого типа. «В нашей практике бывали случаи, когда мошенники использовали роботов для обзвона потенциальных жертв, а для имитации получения информации защищенным путем, хакеры запрашивали ее через кнопочный ввод на телефоне. У нас установлены и постоянно совершенствуются современные системы противодействия мошенническим операциям, но без информированности клиентов успеха в этой сфере не достичь», — отметил начальник управления интегрированного риск-менеджмента банка Сергей Гриб. В Росбанке «360» пояснили, что борются с хакерами путем установки новых систем информационной безопасности. «Также на регулярной основе проводим тренинги по ИБ для сотрудников. Мы постоянно напоминаем клиентам о том, что PIN-код, СVC-код (три цифры на обороте карты) и коды из SMS-сообщений от банка ни в коем случае нельзя сообщать никому, даже если звонивший представился сотрудником банка», — рассказали в кредитной организации. Ключи от счета Источник фото: РИА «Новости» Зачастую, чтобы ввести жертву в еще большее заблуждение, мошенник начинает перечислять ее персональные данные. В ход идут ФИО, номер паспорта и даже последние проведенные по карте операции. По словам опрошенных «360» экспертов по кибербезопасности существует, как минимум, три способа получить эти данные. Сейчас у полулегальных компаний можно за небольшие деньги купить номер интересующего человека, а также всю персональную информацию о нем, вплоть до того, в каком супермаркете он в последний раз расплачивался картой. Кроме того, злоумышленники, которые нередко еще и подрабатывают хакерами, могут найти контакты и данные на жертв на открытых источниках в Сети или попросту взломать защиту банков. «Также слить базу телефонов и данные клиентов за небольшое вознаграждение могут недобросовестные сотрудники этих же банков. Как правило, они имеют к ним свободный доступ», — заметил в разговоре с «360» генеральный директор Angara Technologies Group Сергей Шерстобитов. Другой вопрос, как злоумышленники получают фактически аналогичный официальному контакту банка номер телефона. Нередко он отличается на одну цифру или даже полностью совпадает с банковскими координатами. Аферисты покупают у сотовых операторов виртуальные автоматические станции (АТС), поясняют собеседники «360». Они функционируют на основе уже существующей сети и позволяют создать рабочее место в любой точке мира. Затем мошенники оформляют облачную АТС на одноразовую симку. В финале через веб-интерфейс меняют номер своей станции на номер банка и под видом его сотрудников обзванивают граждан, объяснил сотрудник департамента защиты информации Николай Пятиизбянцев. Чтобы не попасться в руки мошенников, эксперты советуют соблюдать элементарную бдительность. «Ни при каких условиях нельзя разглашать персональные данные, такие как PIN, CVV и одноразовые пароли, даже если человек на том конце провода утверждает, что у вас через пять минут украдут все деньги. Помните, что при дистанционном обслуживании клиентов реальным операционным работникам такие сведения не нужны. В этом случае клиенту нужно самому перезвонить в банк по телефону, указанному на карте», — отметил Пятиизбянцев. Примечательно, что для «коммуникации» с жертвами мошенники используют также так называемые SMS-атаки, добавляют эксперты. Потребителям отправляют сообщения якобы от банка с информацией о том, что его счета заблокированы. Чтобы узнать больше, заблокированный клиент должен позвонить по указанному в сообщении номеру. Если жертва созванивается со злоумышленником, он просит ее назвать личные данные карты и затем опустошает счет.