Били по мобиле: преступники нашли новый метод кражи с банковских карт
Звонок от имени «службы безопасности банка» — с этого начинается один из самых популярных сценариев кражи денег с банковских карт. Мошенники сообщают о якобы подозрительных операциях и затем обычно предлагают перевести деньги на «безопасный счет». Но теперь махинаторы осваивают новый метод: предлагают потенциальным жертвам установить на смартфон некое «специальное приложение», которое, по их словам, надежно защитит средства. Разумеется, дело заканчивается кражей денег — именно при помощи добровольно установленного потерпевшим приложения. Подробности — в материале «Известий».
Установите приложение
На Алтае 30-летняя жительница села Улаган по рекомендации мошенников, которые представились сотрудниками службы безопасности банка, установила «специальное мобильное приложение» для защиты от кражи денег с карты. Программа предоставила злоумышленникам доступ к ее данным, после чего со счета женщины пропало 188 тыс. рублей.
По словам основателя и генерального директора интегратора информационной безопасности Angara Сергея Шерстобитова, речь может идти о вредоносной программе, которая перехватывает пароли в процессе их активации. «Если вы установили зловредное приложение, оно работает в фоновом режиме. Дальше вы вызываете какие-то банковские приложения. Хорошо, если у вас настроена аутентификация по лицу, но если вы авторизуетесь по паролю, то это приложение может перехватывать нажатие клавиш», — пояснил Шерстобитов.
В другом случае 31-летнему жителю города Юрга Кемеровской области позвонил злоумышленник, представившийся сотрудником банка, и предупредил о попытке хищения денег со счета. Во избежание этого собеседник предложил установить на смартфон приложение для удаленного доступа. С ее помощью преступник авторизовался в приложении мобильного банка, оформил онлайн-кредит на сумму около 300 тыс. рублей и перевел деньги на свою личную карту.
Директор по методологии и стандартизации компании Positive Technologies Дмитрий Кузнецов пояснил, что использование программ удаленного доступа к телефону — простой, но эффективный способ мошенничества. «Клиенту банка звонит «сотрудник службы безопасности», сообщает о якобы замеченной попытке мошенничества, просит срочно установить на мобильное устройство специальное приложение, необходимое для остановки платежа, и сообщить высветившийся код. В действительности на телефон устанавливается одна из популярных и вполне легальных программ удаленного управления телефоном, а знание кода позволяет мошенникам получить полный доступ: запускать приложения, получать доступ к SMS и push-сообщениям и т.п. При наличии такого доступа мошенник уже может получить доступ к системе «банк-клиент», запустив, к примеру, процедуру смены пароля. Мошеннику не требуются ни специальные знания, ни специальный инструментарий, а телефон жертвы нужен для того, чтобы получать коды авторизации», — описал схему Кузнецов.
Коды и пароли
Другой популярный способ незаконного обогащения — убедить саму потенциальную жертву мошенничества перевести свои сбережения. По словам Дмитрия Кузнецова, в этом случае всё тот же подставной «сотрудник службы безопасности» сообщает клиенту о замороженном мошенническом переводе на крупную сумму и говорит, что для возврата денег эту замороженную сумму нужно перевести на специальный счет.
«Мошенник запрашивает у клиента все данные, необходимые ему для перевода средств с карты на карту и просит клиента сообщить однократный пароль, который приходит на телефон жертвы для подтверждения операции. Таким образом, жертва сама санкционирует перевод денег мошеннику», — отметил он.
По словам руководителя аналитического центра Zecurion Владимира Ульянова, мошенники обычно уговаривают совершить вроде бы не столь опасные действия: «[сообщить] логин и пароль, одноразовый код из СМС-сообщения, установить приложение, перейти по ссылке, дойти до банкомата или совершить какой-то платеж». Но в результате потерпевший может лишиться всех своих сбережений.
Чья ответственность
Злоумышленников, совершивших описанные в начале этого материала противоправные действия, до сих пор разыскивает полиция. Уголовные дела возбуждены по ч. 3 ст. 158 УК РФ «Кража». Кроме того, такие действия нередко квалифицируют еще по ст. 159 УК «Мошенничество», говорит адвокат коллегии адвокат «Шериев и партнеры» Кирилл Яковлев. Один из экспертов в области информационной безопасности на условиях анонимности отметил в разговоре с «Известиями», что несколько лет назад такие виды мошенничества выделили в отдельный состав преступления — ст. 159.3 УК РФ «Мошенничество с использованием электронных средств платежа».
Но найти конкретное лицо, совершившее телефонный звонок, обычно нелегко. Во-первых, нужно собрать много информации из разных источников. Во-вторых, число таких преступлений постоянно увеличивается.
По данным Центробанка, за первые шесть месяцев текущего года активность телефонных мошенников выросла в четыре раза по сравнению с аналогичным периодом 2019-го. Всего регулятор зафиксировал более 360 тыс. несанкционированных операций со средствами граждан на общую сумму примерно 4 млрд рублей. Банки вернули клиентам около 485 млн рублей похищенных денег.
Низкая доля возврата денег со стороны банка объясняется тем, что люди, по сути, становятся жертвами по своей воле. Ведь клиент подписывает с банком договор, который запрещает передавать конфиденциальную информацию о банковской карте третьим лицам, отметил адвокат Яковлев. «Банку бесполезно предъявлять [претензии]. Банк спрашивает: «Вы добровольно сообщили пароль?» [Если] добровольно, то [кредитная организация] снимает с себя ответственность», — отметил юрист.
Впрочем, по словам Владимира Ульянова, банки для повышения лояльности клиентов могут компенсировать украденные деньги.
Доля скепсиса
Дмитрий Кузнецов советует помнить, что служба безопасности банка никогда не спрашивает реквизиты карты или счета: «Все данные, которые им разрешено знать (номер карты, имя держателя, срок действия), у них и так есть, а данные, которые им знать не разрешено (коды CVV/CVC на обороте карты, однократный пароль и т.п.), настоящая служба безопасности банка запрашивать не будет».
По его словам, при возникновении сомнений лучше всего попрощаться с собеседником и перезвонить в банк самостоятельно. «Служба безопасности банка совершенно нормально относится к фразе клиента: «Спасибо за информацию, я сейчас позвоню в кол-центр и попрошу с вами соединить». Мошенник же будет настаивать на том, что все вопросы нужно решить прямо сейчас и никак иначе», — отметил директор по методологии и стандартизации компании Positive Technologies.
Сергей Шерстобитов предлагает попросить собеседника дать обратный номер для связи и попытаться перезвонить на указанный номер. «Это в подавляющем большинстве случаев спасет вас от того, чтобы не стать жертвой. Вопрос обратного звонка, как правило, снимает все риски», — подчеркнул он.
Руководитель аналитического центра Zecurion Владимир Ульянов советует отвечать на звонки, но всегда относиться со скепсисом к вызовам с неизвестных номеров.