Братва

Как мошенники используют социальную инженерию

Published 13 Квітня 2016

На какие уловки идут мошенники, чтобы списать деньги с вашей карты? Чем мы рискуем, оставляя номер мобильного и номер карты на сайте торговой площадки? Как определить, что вам звонит мошенник? Ситуацию моделирует эксперт…

Ростислав Синишин, член Правления, директор по контролю рисков Идея Банка

Основные торговые интернет площадки имеют встроенные технологические сервисы, через которые происходит взаимодействие между продавцом и покупателем. При этом ни для одной из сторон нет необходимости оставлять свои личные контактные данные. Следует также отметить, что номера карт, впрочем, как и номер мобильного телефона, являются персональной информацией, которая не может быть востребована для отображения в открытом доступе.

Если говорить о безопасности при указании в сети Интернете данных своей карты и номера мобильного телефона, на который приходят SMS уведомления операций по картам, то такие действия являются критически небезопасными и очень часто используются мошенниками. При наличии информации о номере карты и номере мобильного телефона, который привязан к карте, у мошенников появляется разнообразие возможностей.

Например, мошенник может придумать легенду и при помощи телефонного звонка выманить клиента к банкомату, где в телефонном режиме инструктирует, как получить перевод на свою карту за товар / услугу или внести благотворительный взнос и т.п., а на самом деле переводит деньги клиента себе на счёт. В таких случаях возле банкомата может находиться подельник мошенника, который якобы общается по телефону, а на самом деле подсматривает вводимый PIN для дальнейшего использования в мошеннических целях.

Мошенники часто позванивают клиентов под видом службы безопасности банков, правоохранительных органов и, верно называя номера карт, выманивают секретный код (CVC2/CVV2). Мошенники также могут потребовать подтвердить номер мобильного в банкомате. Номер вроде как не проверяется, поэтому просят ввести тот, который они продиктуют. Таким образом, карточку клиента подвязывают к своему номеру телефона, получают на него коды и выполняют перевод денег, а на телефон клиента сообщение о списании уже не приходит, поэтому оперативно среагировать не получается.

Есть еще одна схема – «подтверждение перевода через sms». Владельца карты просят набрать комбинацию цифр и букв и отправить на сервисный номер банка, чтобы подтвердить, что клиент готов принять средства на свой счет. Причем этот набор цифр и букв мошенники диктуют или присылают в sms. На самом же деле они используют команду sms-банкинга о переводе средств с карты.

Наиболее опасный для мошенников способ украсть деньги со счета — заполучить дубликат sim-карты мобильного номера владельца банковской карточки. В этом случае менять номер, привязанный к банковской карте, не нужно: телефон жертвы просто будет заблокирован, а мошенники получат пароли и коды подтверждения операций в интернете или при помощи sms-банкинга и спокойно очистят счет до того момента, когда хозяин поймет, что происходит.

Важно помнить, что "сотрудники контакт-центра банка" или любые другие службы не имеют право спрашивать секретный карточный код (CVC2/CVV2). Если владелец карты получил такой звонок, нужно позвонить в банк, по номеру, указанному на карте, сообщить сотрудникам банка о рисковой ситуации.

Евгений Матрос, директор департамента риск-менеджмента Банка Михайловский

В последнее время «львиная» доля мошенничества по платежным картам происходит в сети Интернет (Card Not Present Fraud). Для проведения несанкционированной операции с платежной картой мошенникам необходимо знать полный номер платежной карты, срок её действия, CVV2/CVC2 код, а также 3D-Secure код (если данная услуга поддерживается банком-эмитентом). В случае размещения полного номера карты и номера телефона в Интернет пространстве, клиент автоматически попадает в зону повышенного риска и может стать жертвой мошенничества с использованием методов социальной инженерии, а также иных мошеннических схем, при которых мошенник посредством указанного на сайте мобильного номера телефона вступает в контакт с держателем карты, обманным путем получает недостающие реквизиты платежной карты для совершения мошеннической операции. Для минимизации риска стать жертвой мошенников, я рекомендую для расчётов в интернете иметь отдельную банковскую карточку с минимальным остатком, и уже непосредственно перед покупкой пополнять ее на необходимую сумму.

Для неправомерного снятия средств мошенникам недостаточно знать только номер карточки и телефон. В любом случае необходимо также знать срок действия карты и CVV2/CVC2 код.

Для идентификации/верификации клиента сотрудники банка не запрашивают полный номер платежной карты, срок её действия, CVV2/CVC2 коды, 3D-Secure пароли, а также доступный остаток денежных средств на платежной карте. О подобных звонках рекомендуем немедленно сообщать в банк, который выдал платёжную карту.

Игорь Лебеда, начальник отдела безопасности платежных технологий Альфа-Банка Украина

Для проведения операции без присутствия карты, кроме ее номера, необходимо располагать сроком действия карты и CVV-кодом (специальным кодом подтверждения для интернет-операций). Что касается номера телефона, то для получения одноразового кода подтверждения операции, приходящего на номер мобильного, необходимо иметь непосредственный доступ к аппарату (сим-карте).

Располагая номером карты и номером телефона, мошенник может попытаться получить недостающие данные, используя технологии социальной инженерии, войдя в непосредственный голосовой контакт с держателем карты. Благополучный для держателя карты итог такого контакта целиком и полностью зависит от платежной культуры и степени финансовой грамотности держателя. Мы неоднократно предостерегаем наших клиентов от передачи конфиденциальной информации кому-либо, даже если человек представляется сотрудником банка. Реальные сотрудники банков никогда в телефонном разговоре (если он инициирован самим сотрудником банка) не задают клиентам вопросы, к ответам на которые они имеют непосредственный доступ, в силу своих функциональных обязанностей:

полный номер карты; окончание срока действия карты;
одноразовый код подтверждения интернет-операции;
кодовое слово-пароль;
идентификационные данные клиента (ФИО, дата рождения, место регистрации, паспортные данные, ИНН);
доступный остаток на счете; наличие других карточных продуктов в банке.

Также сотрудники банков никогда не запрашивают: ПИН-код и CVV-код.

Если у клиента возникли сомнения относительно легитимности звонка из банка, то вполне допустимой является следующая линия поведения:

Прервать разговор (под любым предлогом).
Перезвонить на номер контакт-центра банка (напечатан на обратной стороне карты или размещен на официальном сайте банка).
Уточнить у сотрудника банка информацию по такому звонку.

Ирина Соломенко, начальника отдела безопасности каналов передачи и платёжных карт UniCredit Bank

На сайтах покупки-продажи (как ОЛХ) номер банковской карты и телефона можно оставлять, – это не есть критические данные для проведения платежей по карте. Можно только перестраховаться и оставлять телефон, не привязанный к платежной карте.

Важно помнить другое – после размещения на подобных сайтах мошенники активизируются в отношении клиента и начинают ему звонить на указанный телефонный номер и разными способами выманивать конфиденциальную информацию. В том числе данные для возможности проведения несанкционированных платежей (СVV, срок действия платежной карты, также просят указать ФИО клиента, кодовое слово, место рождения, дату).

Сценарии поведения мошенников могут быть разными: есть случаи, когда звонки начинаются с угроз в адрес клиента (например, что карта заблокирована, и он не сможет пользоваться деньгами длительное время или обвиняют в мошенничестве). Клиенту также могут предлагать большой денежный приз, зачисление несуществующего платежа. Мошенники могут представляться сотрудниками банка, могут работать в паре сначала – звонит мужчина как сотрудник безопасности банка, потом перезванивает женщина, представляясь менеджером отделения. Все действия направлены на получение конфиденциальных данных клиента.

Учитывая вышеизложенное, клиент должен быть бдительным и помнить, что банк не звонит клиентам, чтобы получить информацию о PIN-кодах, SMS-паролях, сроке действия карты и других персональных данных. Эту информацию разглашать нельзя. Мы предупреждаем клиентов об этом всеми возможными информационными способами.

Святослав Кацалап, заместитель директора департамента электронной коммерции и платежных средств Ощадбанка

Не лишним будет напомнить основные правила безопасности при использовании торговых сайтов. Не осуществляйте предоплату, не отправляйте, не переводите и не отдавайте деньги, пока не получите и не проверите товар. Встречайтесь с продавцом лично, в людных местах, где вы будете чувствовать себя комфортно. Если же продавец из другого города, пользуйтесь доставкой наложенным платежом – в этом случае товар можно проверить сразу же при получении и оплатить его только если он вас устраивает. Если товар (зачастую это электроника) предлагается по очень привлекательной цене, посмотрите цены на аналогичные товары у других продавцов или в других магазинах – если разница в цене слишком велика, попросите дополнительные фотографии этого товара с другого ракурса. Стоит также почитать отзывы о данном продавце.

Если вы – продавец, не указывайте в тексте объявления номер карты и другие конфиденциальные данные. Также на таких сайтах рекомендуется указывать в качестве контактного телефона не ваш основной финансовый номер мобильного, который привязан к банковской карте, а другой телефонный номер. Если вы решились на оплату в виде перевода на вашу карту, для получения денег можно сообщить только 16 цифр её номера. PIN-код, срок действия карты и её CVC-код сообщать нельзя – для получения средств на карту они не используются.

Не доверяйте фотографиям чеков, которые вам могут предоставить, и SMS, которые могут поступить на ваш мобильный телефон, – всегда проверяйте баланс самостоятельно, без помощи покупателя и других посторонних людей. Самый простой способ – позвонить в контакт-центр вашего банка по номеру телефона, который указан на обратной стороне карты. Также не отправляйте SMS-запросов, в которых вы не уверены, и не сообщайте свои паспортные данные и идентификационный номер никаким людям, кем бы они не представились. Помните, что для получения средств нет необходимости подходить к банкомату или платёжному терминалу и тем более выполнять там какие-либо действия.

В нашем банке, зная фамилию, имя, отчество, номер карты и номер телефона пользователя карты, деньги получить невозможно – ни в банкомате, ни в кассе. Чтобы снять деньги в банкомате, необходимо поместить в него карту, т.е. необходимо иметь саму карту на руках. Какой-либо услуги вида «экстренные деньги» в целях безопасности не предоставляется. В отделении же для получения наличных необходим паспорт.

Оригинал, а не ксерокопия. Перевести деньги на другую карту или счёт можно с помощью банкоматов и платёжных терминалов, но опять же, для этого необходимо иметь карту на руках и знать PIN-код. Удалённый доступ к счёту возможен с помощью онлайн-банкинга, но здесь используются логин и пароль, которые знает только клиент (телефонный номер не является логином в «Ощад 24/7», клиент придумывает логин самостоятельно), а для проведения операции запрашивается одноразовый код, который отправляется на мобильный телефон клиента.

Мы постоянно предупреждаем клиентов о том, что сотрудники банка никогда не звонят клиентам, в том числе под видом службы безопасности, контакт-центра, сотрудника банка, для уточнения или проверки реквизитов карты или уточнения персональных данных (серии, номера паспорта, идентификационного номера, персонального пароля, номера мобильного телефона и т.д.). Ни в коем случае нельзя называть эти данные. Клиенту следует сразу же позвонить в банк по официальным номерам телефонов, которые указаны на карте, и сообщить о произошедшем.

Ярослав Захарченко, начальник сектора мониторинга и расследования мошеннических операций ОТП Банка

На сайтах подержанных вещей категорически запрещено указывать свой номер карты. Клиенту достаточно оставить свой телефон для связи с покупателем и указать, что он готов получить оплату на номер своей карты. В дальнейших отношениях с покупателями нужно быть внимательным, чтобы не попасть на уловки мошенников. После сообщения покупателю номера карты для перевода средств, никаких дополнительных действий, особенно инициированных покупателями, проводить не нужно.

Для перевода на карту достаточно только номера карты, больше ничего делать или сообщать не надо, даже подтверждать получение перевода, а тем более не следует отправлять коды с СМС или подходить к АТМ для введения кода. Для проверки получения средств на карту необходимо звонить в информационный центр банка.

В целом, для безопасных расчетов в Интернете рекомендуется использовать так называемую виртуальную карту. На виртуальной карте отсутствует магнитная полоса, полоса для подписи и PIN-код. Такие особенности обеспечивают максимальный уровень безопасности при расчетах в сети Интернет. С целью дополнительной безопасности клиент с помощью системы Интернет-банкинга может пополнять карту лишь на необходимую для покупки сумму, установить на виртуальную карту любой расходный лимит или временно блокировать ее, в случае если не планирует пользоваться картой длительное время.

Никогда не советуем экономить на собственной безопасности и выбирать более дешевый продукт без дополнительных сервисов: используйте чип-технологии, подключайте смс-банкинг, не отказывайтесь от поставляемых банком лимитов на снятие наличных и т.д.

Алексей Корнилов, начальник отдела информационной безопасности Банка Пивденный

В настоящий момент весьма актуальной угрозой является применение мошенниками приемов социальной инженерии, а именно методов управления действиями клиента, используя человеческий фактор. Сегодня социальную инженерию очень часто используют в интернете для получения закрытой информации, или информации, которая представляет большую ценность. Торговые сайты наподобие OLX, популярны благодаря удобству коммуникации между торговцем и потенциальным покупателем, и каждый торговец по понятным причинам стремится предоставить максимум информации для ускорения процесса сделки.

Но именно здесь и возникает необходимость здраво оценить риски публикации излишних персональных данных, чтобы доступ предоставлялся исключительно к информации критичной для проведения сделки, и только для потенциального покупателя, с которым уже оговорены условия сделки. Реквизиты карты, номер текущего счета, персональные данные публиковать вообще не следует, это небезопасно на публичных онлайн-площадках любого типа. Номер карты (и только номер карты без каких-либо подробностей) для пополнения можно сообщить покупателю уже в момент когда есть соглашение о сделке и стороны пришли к договоренности.

Мошенник располагая реквизитами карты, может совершить несанкционированный перевод средств с карты клиента, который разместил подобные данные в открытом доступе. Также зная номер телефона клиента и располагая номером карты, мошенник может позвонить клиенту под видом сотрудника банка или правоохранительного органа и попытаться выведать дополнительные данные карты либо уговорить клиента подойти к банкомату и совершить добровольный перевод средств на карту мошенника, при этом уверяя клиента, что он наоборот переводит деньги на свою карту.

Владельца карты должно насторожить тот факт, что мошенники которые звонят под видом сотрудников банка просят сообщить либо персональные данные (что лишено смысла для настоящих сотрудников банка) либо конфиденциальную информацию: реквизиты карты, код, который пришел в SMS-сообщении, остаток на текущем счету, номера счетов, секретное слово для идентификации и так далее.

Сотрудники контакт-центра банка никогда не задают вопросы, которые касаются личной информации о клиенте и содержат банковскую тайну. Если владелец карты понимает, что звонящий пытается выведать подобную информацию либо предлагает совершить какую-либо операцию со счетом, то последующий диалог следует сразу прекратить и сообщить об этом в свой банк-эмитент и в местный отдел полиции.

Виктор Гальчинский, руководитель пресс-службы Кредобанка

Публикация на торговом сайте только номера карты или же только номера телефона сама по себе рисков не несёт. Однако, если эти данные опубликованы вместе и опубликованный номер телефона является финансовым для карты – риск для владельца карты очень велик. При наличии этих данных.

Потенциально мошенник может как получить наличные через услугу «экстра-деньги» в тех банках, где она предоставляется, так и получить полный доступ к банковскому счёту и средствам на нём через завладение номером телефона. В практике были случаи, когда мошенники, зная регламенты восстановления сим-карт абонентов предоплаченной связи украинских сотовых операторов, выманивали у клиентов нужные данные и получали на номер новые сим-карты, с помощью которых получали доступ к счёту. Единственный способ защиты от подобных случаев – использование в качестве финансового номера телефона на контрактной форме обслуживания, так как сим-карту к такому номеру невозможно получить без удостоверения личности.

Сотрудники настоящих колл-центров банков никогда не спрашивают при исходящих звонках любые данные банковской карты, кодовые слова, ПИН-коды и другую конфиденциальную информацию. При получении такого звонка рекомендую прекратить разговор с абонентом и связаться с колл-центром банка, выпустившего карту.