15.07.2016
Звонок из банка может быть вовсе не из банкаФото: Fotolia/hppd
Не так давно мы рассказывали о способах, с помощью которых злоумышленники выманивают у доверчивого пользователя коды верификации. В результате этого мошенники могут перевести деньги со счета мобильного телефона. Однако прогресс не стоит на месте: абоненты постоянно сталкиваются с новыми способами телефонных разводов.
Старое мошенничество в новой упаковке
Наше внимание привлек не новый способ мошенничества, обернутый в новый фантик. К продавцу онлайновой торговой площадки обращается покупатель с предложением выкупить лот с помощью денежного перевода на банковскую карту. В ходе переговоров стороны обговаривают такие детали, как название банка, в который будет производится перевод.
В качестве подтверждения своих намерений покупатель присылает свою фотографию, фотографию паспорта и фото банковской карты, прося об обратной услуге: продавец должен сделать то же самое. Через какое-то время покупатель сообщает, что отправил деньги. Тут-то и начинается самое интересное: с продавцом связывается служба безопасности банка, так как для зачисления средств на счет необходимо ответить на несколько простых вопросов.
В первом приближении звонок выглядит достоверно: номер телефона действительно принадлежит банку, звонящий общается в соответствии с корпоративными стандартами и довольно бойко отбивается от щекотливых вопросов, да и его вопросы особых подозрений не вызывают: «как давно вы работаете с нашим банком, где последний раз вы расплачивались картой?» и т. п.
В чем подвох
Разумеется, звонящий не является сотрудником банка. А покупатель не хочет ничего покупать. Все, что было нужно, — выманить у пользователя необходимые сведения. И нет, они не такие уж и безобидные, как кажется: после разговора с жертвой мошенник звонит в банк и, представившись жертвой (он уже знает паспортные данные и номер банковской карты), сообщает о смене телефонного номера.
Чтобы внести изменения в базу данных, оператор кол-центра должен идентифицировать звонящего. Для этого он задает ряд вопросов, ответить на которые (в обычной ситуации) может только владелец банковской карты. Например: когда именно был заключен договор с банком, на какой адрес была доставлена карта, где она последний раз была использована и т. п. Ответы на эти вопросы мошенник уже получил от доверчивой жертвы.
После успешного прохождения идентификации мошенник получает в свое распоряжение полный доступ к банковскому аккаунту жертвы и, поскольку обманутый пользователь больше не получит на свой телефон сообщений о передвижении средств на банковском счете, может вычистить его, что называется, под ноль.
Телефон доверия
В этой истории есть деталь, которая существенно повышает степень доверия жертвы к звонящему: номер телефона. На экране телефона он определяется как номер банка. При желании его даже можно найти на сайте кредитной организации. Нет, мошенник работает не в банке. Он просто воспользовался услугой подмены номера.
Заместитель директора департамента аудита защищенности Digital Security Глеб Чербов поясняет, что для этой процедуры мошеннику не нужно обладать особыми знаниями или использовать специальные технические средства: «Номер подменить легко. Для этого в том же AppStore можно скачать специальное приложение, заплатить около 400 рублей и осуществить эту нехитрую операцию. Мошенники без проблем могут подменить свой номер на номер банка».
Мошенники без проблем могут подменить свой номер на номер банка.
Глеб Чернов http://www.banki.ru/news/daytheme/?id=9070839
http://creativecommons.org/licenses/by/3.0/legalcode
