Как избежать мошенничества с банковскими картами
Какими способами мошенники похищают деньги с карт. Как не стать жертвой
За первое полугодие 2020 года мошенники украли у банковских клиентов с их карт и счетов 4 млрд руб., совершив более 360 тыс. несанкционированных операций. Из этой суммы банки смогли вернуть пострадавшим только 12,1% (около 485 млн руб.), а общий объем похищенных средств больше показателей аналогичного периода прошлого года на 39%.
Какие схемы мошенничества получили наиболее широкое распространение и как не стать их жертвой — в обзоре РБК.
Способы хищения денег с банковских карт
Самым распространенным способом мошенничества является социальная инженерия — методы обмана и введения клиентов в заблуждение с целью кражи денежных средств. По данным ЦБ, в первом полугодии 2020 года на нее пришлось 83,8% случаев от общего числа атак. Традиционно мошенники звонят банковским клиентам под видом «службы безопасности банка» или «службы финансового мониторинга» и сообщают о том, что по карте якобы совершена подозрительная операция. Под предлогом спасения денежных средств они заставляют клиента совершить ряд действий, чтобы украсть деньги с его счета. Контактную и персональную информацию о клиентах злоумышленники получают, покупая «слитые» базы в даркнете (теневой сегмент интернета. — РБК) либо находя их там же в свободном доступе. Также для убедительности они могут звонить с подменных номеров банков и других структур. Далее схема мошенничества развивается по нескольким сценариям.
В последнее время стали появляться более сложные схемы: к звонкам от «банковских работников» добавились звонки от «правоохранительных органов», которые «подтверждают», что кто-то пытается украсть деньги клиента, поэтому их надо спасти путем перевода на «безопасный» счет. Также злоумышленники начали звонить от имени бюро кредитных историй и сообщать, что обнаружили попытки оформления кредитов с использованием паспорта жертвы.
Во время пандемии и перехода многих процессов в онлайн-формат киберпреступники также активизировались в интернете, предупреждал ЦБ. По данным регулятора, за первое полугодие 2020 года мошенникам удалось украсть в интернете свыше 2 млрд руб., то есть более 50% из общего объема похищенных за этот период средств.
По данным «Лаборатории Касперского», в 2020 году активно росли объемы телефонного мошенничества и скама. С января по ноябрь компания обнаружила почти 86 тыс. скам-ресурсов, из них 62,5 тыс. были заблокированы во втором полугодии. Особенно распространено такое явление в русскоязычном сегменте интернета. По подсчетам компании, потенциальный ущерб от мошенничества мог бы превысить 13 млрд руб., если бы каждая заблокированная попытка перехода пользователя на подобный ресурс повлекла за собой обман хотя бы одного человека.
В России в этом году среди всех входящих звонков с неизвестных номеров доля спама составила 63%, а доля звонков с подозрением на мошенничество — 5,9%. При этом злоумышленники активно пользовались технологией подмены номера. Чаще всего они указывали телефоны финансовых организаций, государственных учреждений или юридических лиц. «Люди проводят все больше времени с телефоном под рукой и чаще берут трубку. Но при этом возможность принять взвешенное решение в разговоре у них есть не всегда. Часто злоумышленники использовали актуальную новостную повестку, чтобы вызвать доверие у жертвы», — объясняет Голованов.
Как не стать жертвой мошенников
Однако вернуть деньги, которые были украдены с помощью социальной инженерии, сложно, так как потерпевший добровольно подтверждал операции по своему счету и у банка есть основания отказать в возврате средств, предупреждает юрист. Клиент может обратиться в банк с требованием заблокировать мошенническую операцию, но, как показывает практика, в подавляющем большинстве случаев в отсутствие документов, подтверждающих факт совершения мошеннических действий, банк, скорее всего, ответит отказом. «Этот отказ можно оспорить в суде, но опять же, как показывает практика, если вы подтвердили операцию списания сами в порядке, установленном банком, шансы минимальны», — добавляет Иккерт.
11 типичных и новых схем мошенничества с нашими банковскими счетами
В прошлом году мошенники совершили более полумиллиона незаконных операций с использованием электронных средств платежа и украли 6,42 миллиарда рублей — об этом говорится в отчете Банка России. Конфиденциальную информацию преступники получали напрямую от людей с помощью различных психологических уловок — обман или злоупотребление доверием. Люди сами сообщали полные реквизиты своих карт, в том числе CVV / СVC-код, пароли и коды из СМС.
Ежегодно компания BI.ZONE и эксперты Сбербанка готовят аналитическое исследование «Threat Zone: не дожидаясь бури», которое освещает ключевые тренды кибератак и их влияние на мировую экономику и бизнес. Под угрозой находятся не только корпорации, но и частные лица. По этому исследованию, 90 процентов случаев мошенничества с банковскими счетами выполняется с помощью методов социальной инженерии. 90 процентов атак на счета с использованием социальной инженерии происходит с помощью телефонных звонков. Половина хищений совершается через мобильное приложение.
Социальная инженерия — это метод манипуляции мыслями и поступками людей. Он базируется на психологических особенностях личности и закономерностях человеческого мышления. Одной из сфер применения социальной инженерии является получение закрытой ценной информации.
Основные схемы, которые используют мошенники
1. Социальные выплаты
Мошенники пользуются состоянием обеспокоенности людей в связи с потерей дохода из-за пандемии. Они представляются работниками Пенсионного фонда, Роспотребнадзора и других государственных структур, сообщают о положенной социальной выплате или материальной помощи, таким образом вынуждают предоставить информацию о карте, кодах, паролях из СМС, персональных данных. Особенно легко таким образом обманывают людей пожилого возраста.
2. Продажа в интернете
Человек размещает объявление о продаже товара. Мошенники звонят и узнают данные карты продавца под предлогом необходимости совершить перевод за товар. Далее они списывают деньги с карты, узнав у продавца код подтверждения — якобы система его запрашивает для подтверждения транзакции.
Другой вариант этой схемы — использование подложного сервиса «Безопасная сделка» в интернете. Схема выглядит так: создается полная копия сайта и размещается на домене, похожем, например, на домен SafeCrow. Если человек не проверит написание URL в адресной строке, то примет мошеннический сайт за настоящий, проведет через него оплату и потеряет деньги. Еще один вариант: после создания сделки на подлинном ресурсе мошенники направляют в почту жертве письмо с указанием реквизитов для оплаты на QIWI-кошелек или другой сервис.
3. Копирование данных
Используются устройства, считывающие информацию с магнитной полосы / чипа банковской карты при ее использовании в банкоматах. Специальные «клавиатуры» устанавливают поверх клавиатур настоящих банкоматов и считывают конфиденциальные данные, включая ПИН-код. Далее мошенники делают поддельную карту и списывают с нее деньги.
Потенциальной жертве по электронной почте приходит письмо с предложением заработать на инвестициях. Она связывается с лжеброкерами и переводит им деньги для игры на бирже. Сумма на «брокерском счете» начинает быстро расти, что мотивирует жертву продолжать «играть», а когда она решает вывести средства, оказывается, что для этого нужно заплатить дополнительную комиссию. После второго перевода на ее счет мошенники пропадают.
5. Программы удаленного доступа
Жертве поступает звонок от «службы безопасности банка». Мошенники сообщают, что на устройстве клиента обнаружен вирус, необходимо скачать антивирус и запустить проверку гаджета. Во время сканирования устройства, сообщают мошенники, его нельзя использовать, так как вирус может серьезно повредить данные и открыть доступ злоумышленникам к конфиденциальной информации. На самом деле клиент скачивает программу удаленного доступа, а во время «сканирования» преступники получают доступ к мобильному банку и выводят средства клиента.
И здесь человеку звонит «служба безопасности банка». Ему сообщают об утечке данных через недобросовестных сотрудников организации, мол, проводится внутренняя проверка. Предлагают снять деньги через безопасный банкомат банка-партнера и перевести их на специальный страховочный счет. Или же предлагают сразу перевести деньги на счет. Мошенники предупреждают, что банк не несет ответственность за сохранность денежных средств по условиям обслуживания клиентского счета, если оперативно не предпринять предложенные ими меры.
7. Автоматическая голосовая служба банка
По телефону от имени сотрудника банка клиенту банка сообщают, что зафиксирован вход в личный кабинет из другого города или страны и произведены подозрительные операции со счетом, например, многократный перевод небольших сумм денег. Он, разумеется, отрицает свою причастность к этим операциям. Тогда мошенник просит назвать номер карты для идентификации и сообщает, что сейчас поступит код по СМС, но его никому нельзя называть, — таким образом вызывает доверие жертвы. После этого переключаются на «голосовую службу». Клиент доверяет голосу автоинформатора и вводит код в тональном режиме. Мошенники меняют пароль и логин в его личном кабинете и выводят деньги.
Многоходовочка. На первом этапе мошенники заманивают жертв объявлением о проведении конкурса, акции или опроса с внушительным призовым фондом от имени известных людей, используя поддельные аккаунты. Генерируется индивидуальная ссылка. После перехода по ней жертва проходит опрос и должна поделиться результатами с подписчиками в социальных сетях — так мошенники обеспечивают приток трафика на свои сайты. Также они запрашивают адрес электронной почты, позднее его используют для рассылки писем с фишинговыми ссылками и вирусами.
Затем всем прошедшим опрос приходят электронные письма или сообщения в мессенджере, в которых предлагается принять участие в новом опросе или викторине за вознаграждение. Чтобы жертва не передумала и не покинула сайт, ей угрожают потерей денег, ссылаясь на несуществующий документ, согласно которому, если в течение суток пользователь не пройдет новый опрос и не получит деньги, вся сумма якобы вернется организаторам. «На холодную», то есть на неподготовленных людей, такие письма не действуют, но жертвы уже участвовали в опросе, сделали репост и указали адрес своей электронной почты, поэтому в большинстве случаев соглашаются с новым предложением. В конце опроса жертве под разными предлогами предлагают перевести определенную сумму денег. Это может быть комиссионный сбор или налог. Введенные в заблуждение люди отдают в руки мошенников свои деньги и персональные данные, поскольку в процессе опроса указывают конфиденциальную информацию о себе, включая реквизиты банковских карт.
9 апреля 2020 года Group-IB — компания, специализирующаяся на предотвращении кибератак, сообщила о распространении новой волны мошенничества. Уже пострадавшим от таких фокусов людям предлагают получить компенсацию того ущерба, но вместо этого людей обманывают вновь — списывают деньги со счетов и похищают данные банковских карт. Злоумышленники представляются сотрудниками несуществующих организаций — Международной службы «Единый центр возвратов», «Национального Лотерейного Содружества», «Центра финансовой защиты» и других. Чтобы втереться в доверие, мошенники используют публикации в фейковых СМИ о тех, кто якобы обратился в организацию и без проблем получил возврат средств.
10. Забывчивый клиент
Мошенник стоит у банкомата и якобы производит какие-то операции по карте, поджидая жертву. Как только в очередь за ним становится другой человек, мошенник уходит и «забывает» карту в банкомате. Будущая жертва обнаруживает ее, окликает владельца и передает ему забытую карту. После проверки баланса обнаруживается «пропажа средств» и начинается скандал. Появляется свидетель, который подтверждает версию «пострадавшего». Вместе они начинают угрожать жертве полицией, аргументируя тем, что на карте остались отпечатки его пальцев. Пострадавший под давлением и угрозой потенциальных неприятностей с полицией сдается и соглашается отдать деньги, которые он не брал.
11. СМС с номера 900
15 июля этого года ТАСС опубликовал новость о том, что мошенники научились отправлять потенциальным жертвам СМС-сообщения с официального номера Сбербанка. Злоумышленник под видом сотрудника службы безопасности звонит клиенту Сбербанка, сообщает о серии неудачных попыток входа в интернет-банк и предлагает открыть резервный счет, чтобы перевести туда деньги и таким образом обезопасить их от несанкционированного доступа. Для этого он просит назвать данные банковской карты. Если клиент отказывается сообщать их, в ход идет другой способ убеждения — мошенник предлагает направить клиенту СМС-сообщение с номера 900 для «дистанционного резервирования счета» с кодом подтверждения номера.
Такую возможность мошенничества ТАСС подтвердили в колл-центре кредитной организации. Но пресс-служба Сбербанка в ответ на запрос редакции «Инде» опровергла эту информацию: мошеннические сообщения и звонки с номера 900 невозможны. В 2019 году Сбербанк, сообщает пресс-служба, провел большую работу с операторами связи, в результате которой техническая возможность таких действий исключена.
Как сохранить деньги на банковской карте от мошенников?
Старые уловки мошенников, такие, как звонок с неизвестного номера с требованием перевести деньги попавшему в беду родственнику, остаются в прошлом. Зато набирают обороты схемы мошенничества, связанные с получением доступа к конфиденциальной информации — паролям, номерам карт, счетов и т.д.
Происходит это потому, что мы все хотим сейчас получать услуги быстро. Без личного присутствия в банке или магазине. Для защиты счетов потребителей придуманы ключевые слова, одноразовые коды и прочие способы аутентификации. А то, что не требует личного присутствия и подтверждения, привлекает внимание злоумышленников.
Стоит совершить покупку в интернет-магазине, воспользоваться банкоматом, или оставить в соцсети номер телефона, к которому привязана карта, — и все, ты уже в группе риска. Похищение денежных средств с платежных банковских карт стало одной из главных проблем современности.
Чего действительно стоит опасаться, как защитить себя от действий мошенников и что делать, если кража денежных средств с вашей карты все-таки произошла, рассказывают юристы Союза потребителей «Росконтроль».
1. Через банкомат
2. С помощью дубликата SIM-карты
Предоставив в салон связи поддельную доверенность или иные поддельные документы, или вступив в сговор с сотрудником салона связи, мошенник может обзавестись дубликатом вашей телефонной sim-карты. В этом случае он получает все смс-уведомления, которые приходят на ваш телефон. Если к телефонному номеру привязана банковская карта, то в руки мошеннику могут попасть одноразовые коды подтверждения, приходящие на телефон во время онлайн-платежей или аутентификации в мобильном банке.
3. Через интернет
Утечка данных чаще всего происходит через фишинговые окна. Вы совершаете покупку в интернет-магазине, и в процессе платежа вместо страницы банка открывается страница сайта мошенников, практически идентичная банковской. Все введенные вами данные поступают к мошенникам.
Важно! Интернет-магазины обычно не имеют доступа ни к номеру вашей карты, ни к cvv2 коду и не могут никому его передать. При заключении сделки открывается банковское окно, платеж проводится на странице банка, продавец видит лишь факт совершения вами платежа. Поэтому мошенники чаще всего копируют именно банковские страницы.
Отличить копию очень сложно. Отличие может быть всего в одном символе названия сайта, дублирующего банковский сайт.
Внимание. Сертификат безопасности не является стопроцентной гарантией безопасности. Если ваш компьютер заражен вирусом, вы будете перенаправлены на сайт мошенников, даже если наберете в строке поиска адрес банка.
Вы получили уведомление о том, что с вашего счета списаны деньги. Или вам поступил звонок из банка, что якобы у вас списаны деньги, требуется код подтверждения и т.д.
Ваши действия должны быть следующими:
Внимание! В случае интернет-мошенничества бессмысленно обращаться к участковому. Пока ваше заявление попадет в нужный отдел, может пройти немало месяцев и драгоценное время будет упущено. Обращайтесь с заявлением непосредственно в отдел «К», занимающийся киберпреступностью, при городском или областном УВД.
В случае, если в утечке данных вашей карты виноват банк или магазин, напишите организации претензию в двух экземплярах, один из которых оставьте себе. Опишите ситуацию, требуйте ответа и возврата денежных средств в течение 10 дней.
Претензии к банку остались без ответа или получен отказ? Подавайте иск в суд. В этом случае вы имеете право не только на возврат денег, но и на получение неустойки, штрафа за отказ выполнить требование клиента в добровольном порядке и компенсацию морального вреда.
Судебная практика показывает, что если банк предоставил некачественную или небезопасную услугу, для вынесения судебного решения в пользу владельца карты последний должен доказать, что
1. непричастен к совершенным операциям;
2. что своевременно проинформировал банк о действиях мошенников.
Вам в одиночку сложно разобраться в запутанной ситуации, собрать доказательства, составить претензию, подготовить судебный иск? Обращайтесь к юристам Союза потребителей.
Мошенница пытается выманить код из смс для «подключения услуги»
Мы постоянно твердим, что код из смс никому говорить нельзя. Тем приятнее видеть, как это знание спасает деньги.
Вот несколько признаков, что звонок от мошенников:
Чтобы не слушать разговор — вот что там произошло
Читателю на мобильный поступил входящий звонок с неизвестного городского номера. Девушка представилась сотрудницей известного банка, обратилась по имени и отчеству и предложила рассказать про специальные предложения от банка.
Сначала она предложила бесплатно увеличить кредитный лимит по карте — читатель отказался. Сразу поступило второе предложение: подключить бесплатную услугу, которая уменьшает ставку по кредитной карте, если не погасить задолженность в беспроцентный период. На это предложение читатель согласился, и сотрудница начала «подключение» услуги.
После этого банк отправил на телефон клиента смс с кодом. Мошенница представила все так, будто это код для подключения услуги: она попросила сообщить этот код и произнести слово «подключить». Конечно, не ей, это небезопасно. Система переключит разговор на робота. Он-то уж точно не станет использовать полученную информацию во вред клиенту.
В результате мошенникам удалось выманить номер паспорта, но код из смс читатель не сообщил — это и спасло его деньги.
Как мошенники завоевали доверие
Во время разговора мошенники убедили читателя, что звонят из банка, и расположили его к общению. Вот как им это удалось.
Обратились по имени и отчеству. Мошенники в начале разговора обратились к нашему читателю по имени и отчеству и, по его словам, этим завоевали его доверие. Кроме того, они знали последние четыре цифры номера карты, которые упомянули в специальном предложении. У читателя создалось впечатление, что такая информация может быть только у банка — а значит, звонит настоящий сотрудник.
Но чтобы узнать эти данные о владельце карты, достаточно номера телефона. В 2019 году Банк России запустил систему быстрых платежей, СБП, которая позволяет переводить деньги между разными банками по номеру телефона. Перед отправкой платежа система подскажет имя получателя — для проверки, чтобы деньги ушли по адресу.
Но не всем можно перевести деньги через СБП. Чтобы выполнить перевод, оба банка — отправителя и получателя средств — должны подключиться к системе, а оба клиента должны разрешить перевод через систему в интернет-банке или мобильном приложении. Когда клиент банка подключил свой счет к СБП, узнать его имя по номеру телефона может любой пользователь системы, даже если их счета открыты в разных банках.
В приложении Тинькофф-банка при переводе по номеру телефона видны имя и первая буква фамилии. Видны счета и в других банках
Мошенница знала последние четыре цифры номера карты. Узнать номер карты сложнее, чем имя и отчество, но тоже возможно. Некоторые банки при переводе своему клиенту по номеру телефона сообщают больше информации. Например, при переводе по номеру телефона внутри Сбера приложение кроме имени покажет еще и часть номера карты. Полный номер таким способом узнать не получится, но последние четыре цифры приложение показывает.
Скорее всего, мошенники перебором номеров нашли данные читателя. Они не были нацелены на конкретного человека и собирали базу для обзвона из тех номеров, для каких смогут узнать данные владельца. Получив имя и отчество, мошенники звонят по этому номеру телефона от имени банка, в котором нашелся счет.
Есть и другие варианты. Возможно, мошенники воспользовались одной из нелегальных баз данных. Или у них есть свой человек в банке.
Иногда через приложение банка можно также узнать номер счета другого клиента по его номеру мобильного. В любом случае, если звонящий знает ваше имя и какие-то личные данные, это не гарантия, что вам звонит сотрудник банка.
Сбер по номеру телефона для своих клиентов показывает имя, отчество, первую букву фамилии и часть номера карты
Услугу для снижения ставки, на которую согласился наш читатель, назвали частью премиального пакета. Клиент может подумать, что такие пакеты предлагают только лучшим, — так мошенники усыпляют бдительность и отключают логику. При слове «бесплатно» бдительность отключается еще быстрее.
Скорее всего, в арсенале мошенников есть и другие «услуги», которые они предлагают в зависимости от ответов жертвы. Главное, чтобы разговор продолжился.
Для сообщения кода из смс переключают на «автоматизированную систему». По версии мошенницы, это нужно для безопасности: людям сообщать этот код нельзя, а роботам — пожалуйста. Конечно, это бред: перевод звонка на «робота» легко сымитировать, клиент никак такое не проверит. Мошенник продолжает слушать жертву, заходит с помощью кода в ее интернет-банк и крадет деньги.
Самозащита от мошенников
Что еще настораживает в разговоре
Читатель не почувствовал подвоха в начале разговора и спохватился только на последнем этапе — когда мошенники попросили код из смс. Это главный признак, по которому можно определить мошенников. Номер телефона тоже не так важен: сотрудники банка могут звонить с разных номеров, а мошенники научились подменять номера.
Но в разговоре нашлось еще несколько подозрительных признаков.
Посторонний шум. Сотрудники банков обзванивают клиентов с рабочих мест в офисе или из колцентра. Обычно при таких разговорах не слышно постороннего шума или чужой речи. Мошеннические колцентры часто выдает шум или голос соседнего оператора: банк вряд ли организует работу колцентра так, что клиент через телефон сможет услышать информацию о другом клиенте.
В случае с читателем мне показалось, что «сотрудница банка» звонила из детского сада: на фоне громкий детский голос и крики. Во время пандемии многие работодатели разрешили сотрудникам работать из дома, но банки обычно выдвигают требования к рабочему месту, особенно для общения с клиентами. Например, большинство операторов Тинькофф-банка и до пандемии всегда работали из дома, но по требованиям им нужна гарнитура с микрофоном и тишина в комнате.
Неграмотная речь собеседника. Сотрудников колцентра в банке учат правильно произносить слова, а руководители проверяют их работу по записям звонков. Банк вряд ли оставит на работе оператора, который неграмотно общается.
В записи разговора с читателем «сотрудница банка» говорила неуверенно: очень торопилась, часто оговаривалась и не знала, как отвечать на вопросы, поэтому придумывала ответы на ходу. А чего стоят «кредитные средства» с ударением на последний слог!
Запрос персональных данных. Когда сотрудник банка звонит клиенту, он уже знает его персональные данные, ему не нужно спрашивать. Кодовое слово, полное имя и номер паспорта могут спросить для идентификации, только если звонит сам клиент. А для подключения услуги или смены тарифа обычно хватает устного согласия.
Если не уверены, что разговариваете с сотрудником банка, попросите его добавочный номер и перезвоните по номеру банка, указанному на карте. Если связаться через добавочный невозможно, уточните информацию у оператора и примите решение позднее, а для подключения услуги перезвоните в банк.
Что делать, если сообщили код мошенникам
У героя этой статьи все кончилось хорошо: он не сообщил код из смс. Вместо этого он завершил звонок и перезвонил в банк по номеру с карты. Специалист проверил последние операции по карте и убедился, что мошенники не смогли получить доступ к деньгам.
Если сталкивались с другими разводами, пишите. Прищуримся.