Как мошенники воруют с карты деньги
Успешный вход: как воруют деньги через мобильный банк
Хакеры и мошенники осваивают новые способы атаковать пользователей мобильного банкинга. Одни используют уязвимости банковских приложений. Другие — старую добрую социальную инженерию. К звонкам «службы безопасности» и просьбам вернуть переведенные «по ошибке» средства добавляются всё новые способы обмана. Насколько безопасны приложения банков, как защитить свой аккаунт, и можно ли вернуть деньги в случае их кражи, выясняли «Известия».
Слабое шифрование
Хотя на первый взгляд банковские приложения достаточно надежно защищены, багов в них всё равно достаточно. К ним, например, эксперты относят отсутствие проверки на получение прав привилегированного пользователя (root-прав) на самом устройстве, а также слабое шифрование данных при их передаче между сервером и устройством.
Как поясняет Александр Зубриков, руководитель направления информационной безопасности ITGLOBAL.COM, отсюда и популярность MitM-атак (когда злоумышленник тайно ретранслирует и при необходимости изменяет связь между двумя сторонами, которые считают, что непосредственно общаются друг с другом).
Одна из уязвимостей, которую наиболее часто эксплуатируют хакеры, — хранение аутентификационных данных в коде приложения в открытом виде.
— Слабые места банковских приложений связаны с окружением на устройстве и интеграцией с технологией Deep-links. Данная технология позволяет определить, как открывать ссылку: в браузере или приложении. Эксплуатация Deep-links со стороны хакеров позволяет им производить не предусмотренные приложением запросы и проникать в его защищенный контур, — поясняет Тимурбулат Султангалиев, директор практики информационной безопасности компании AT Consulting (входит в Лигу цифровой экономики).
Распространенная уязвимость на стороне банка — отсутствие строгой валидации запросов от мобильного приложения к серверам банка. В итоге злоумышленники могут установить фальшивый сертификат на устройство клиента и подделать в запросе счет получателя перевода, таким образом получая доступ к денежным средствам клиентов.
При этом, если отсутствует строгий запрет на сторонние сертификаты или их валидация, банк сочтет запрос легитимным и отправит деньги клиента мошенникам, поясняет руководитель службы информационной безопасности Servicepipе Никита Прохоренко. По его словам, чаще всего к взломам приводит отсутствие политики полного недоверия, когда устройство должно «доказать», что имеет права на такого рода запросы, и то, что запрос действительно отправлен клиентским приложением.
Аутентификация пользователя
Вопросы у специалистов по-прежнему вызывает и система верификации пользователя при входе в приложения. К основным рискам мобильных банковских приложений они относят незащищенную операционную систему и отсутствие двухфакторной аутентификации (отдельного ПИН-кода для запуска).
Как поясняет Евгений Суханов, директор департамента информационной безопасности компании Oberon, в открытых операционных системах Android есть возможность вносить изменения в мобильное приложение либо перехватить его соединение с банком вредоносным ПО. Оно впоследствии сможет осуществлять платежи через зараженное приложение, включая отправку подтверждающих СМС.
Вообще, верификация платежей и самого пользователя, по мнению многих экспертов, — наиболее уязвимое место банковских приложений, даже при наличии двухфакторной идентификации через СМС. Как отмечает Павел Катков, владелец IT-legal компании «Катков и партнеры», СМС-сообщение, как правило, приходит на тот же телефон, на котором стоит взламываемое банковское приложение.
Более надежной специалисты считают двухфакторную аутентификацию с использованием разных устройств: когда мобильное приложение установлено на одно устройство (телефон, планшет), а подтверждение об операции приходит на другое устройство.
Пароли и сторонние приложения
Впрочем, взлом приложений для обмана клиентов кредитных организаций используется всё же не так часто — на первый план выходит по-прежнему социальная инженерия. Львиная доля мошенничеств реализуется при помощи получения кодов и паролей.
— Большинство взломов происходит, когда мошенники связываются с потенциальной жертвой под видом службы безопасности банка, под видом сотрудников банка и получают СМС-код, номер карты и защитный код, — указывает Роман Хорошев, основатель краудлендинговой платформы «Джетленд».
Нередко злоумышленники (используя, например, всё тот же звонок «из службы безопасности банка»), убеждают жертв установить на устройство специальное ПО, позволяющее «расшарить» происходящее на экране смартфона, например, TeamViewer или AnyDesk.
— После установки программы мошенники могут проводить операции от имени клиента, напрямую подключившись к его устройству. Отличить действия мошенника, выдающего себя за реального клиента, становится сложно, но по-прежнему возможно — например, используя поведенческий анализ, — отмечает Дмитрий Стуров, исполнительный директор, начальник управления информационной безопасности банка «Ренессанс Кредит».
Как рассказал Юрий Орлов, директор по информационной безопасности QBF, доля операций, так или иначе связанных с социальной инженерией, в 2020 году составила 64% от общего числа случаев мошенничества. Вырос и средний чек подобных «транзакций» — с 7,6 тыс. до 8,6 тыс. рублей. В большинстве случаев пользователи добровольно предоставляют свои данные третьим лицам.
Что делать
Чтобы минимизировать риск, эксперты советуют следовать базовым правилам, главное из которых — никогда не сообщать персональную и личную информацию звонящим из «колл-центров» и всегда перезванивать в сам банк. Не стоит хранить критичные данные (финансовую информацию, аутентификационные и персональные данные) непосредственно на мобильном устройстве. Не надо использовать слишком простые и повторяющиеся пароли.
Рискованным эксперты считают и повышение уровня привилегий в ОС устройства: установку джейлбрейка в iOS или root-прав для Android. И рекомендуют внимательно следить за тем, какому приложению открывается доступ к данным, и к каким именно.
Стоит помнить и том, что если деньги украдены по вине пользователя или по его оплошности (как и происходит чаще всего), то банк вряд ли вернет средства. Так, по закону банк обязан вернуть деньги, если клиент уведомил о подозрительной операции в течение суток с момента ее совершения. Но при этом он не должен нарушить правила безопасности — в частности, не сообщать никому данные карты и пароли.
— В арсенале банков сегодня большой комплекс средств и механизмов защиты от кибермошенников, но банки не могут отвечать за то, какое ПО загружает на свой телефон или другое устройство клиент, или как-то это контролировать, — указывает директор департамента информационной безопасности МКБ Вячеслав Касимов.
Мошенничество с банковскими картами
Несмотря на то, что банки уверяют своих клиентов в надёжности и безопасности использования пластиковых карт, мошенники находят новые способы незаконного списания средств. По данным ЦБ РФ за 2018 год злоумышленники вывели с карточных счетов 1,3 миллиарда рублей, что в 1,5 раза превышает аналогичный показатель за предыдущий период. В данной публикации собраны распространённые схемы мошенничества с банковскими картами, зная которые, можно предотвратить хищение средств со своего счёта.
Виды мошенничества с банковскими картами
Обмануть или взломать банковскую систему безопасности достаточно сложно, поэтому преступники стараются любыми способами выманить информацию о карте у самого держателя. Для достижения своей цели они используют все доступные ресурсы — телефон, интернет-сайты, онлайн-банк, мобильный банк и прочие каналы.
По телефону
Данный вид мошенничества имеет множество вариаций, которые объединяет то, что владельцу карты звонят с незнакомого номера и под любым предлогом просят сообщить её реквизиты. В большинстве случаев злоумышленники используют следующие схемы:
Телефонные мошенники всегда говорят уверенно, имеют хорошо поставленный голос, а на любой вопрос клиента имеют заранее подготовленный ответ.
Через СМС
Эта схема имеет много общего с предыдущим способом. Разница заключается в том, что ложная информация приходит в тексте СМС-сообщения. Рассылка осуществляется с незнакомого номера, но мошенники подписываются известной компанией.
Распространённый пример подобных фейковых сообщений: «Ваша карта заблокирована. Перезвоните по номеру +7926ХХХХХХХ. Ваш Сбербанк.» Если клиент не реагирует, то преступники могут прислать повторное СМС с угрозой взыскания штрафа или комиссии. Перезвонившего просят сообщить данные карты, провести манипуляции в банкомате или интернет-банке.
Через мобильный банк
Услуга «Мобильный банк» позволяет совершать операции с помощью СМС-команд. Чтобы перевести средства другому клиенту, достаточно отправить сообщение на короткий номер банка с того телефона, который привязан к карте. Мошенники используют данную опцию в следующих случаях:
Благодаря использованию мобильного банка злоумышленник также легко вычислит, в какой организации владелец телефона открыл карту.
Мошенничество с переводом денег на карту
Преступники не всегда преследуют цель узнать реквизиты карты. Самый простой способ незаконного обогащения — это убедить клиента в том, что он должен перевести деньги самостоятельно. Злоумышленники предлагают приобрести товары по выгодной цене и требуют перечисления аванса или всей суммы.
Некоторые мошенники выступают в роли фиктивных компаний, которые предлагают удалённую работу в интернете с хорошим заработком. Соискателю необходимо лишь подтвердить серьёзность своих намерений и перевести определённую сумму на счёт или карту работодателя.
Распространённой схемой аферистов также является «помощь родным». Данный способ чаще всего применяется в отношении пожилых людей, которым звонят и сообщают о том, что их близкие попали в беду. Мошенники представляются сотрудниками правоохранительных органов или медицинскими работниками. Они настоятельно требуют перевести деньги, угрожая необратимыми последствиями для жизни и здоровья близких.
Через банкомат
В этом случае для хищения средств преступники используют такие способы, как:
Мошенники, объединённые в организованные преступные группы, действуют более масштабно и создают целые поддельные банкоматы.
Мошенничество на Авито
Данная процедура проводится следующим образом:
Последний этап может отличаться в зависимости от цели преступника. Некоторые хотят узнать конфиденциальные реквизиты карты, другие — просят провести определённые манипуляции через банкомат якобы для подтверждения платежа. В банкомате клиент под руководством мошенника подключает к своей карте посторонний номер телефона, после чего злоумышленник получает доступ к личному кабинету и мобильному банку.
Махинации с банковскими картами через интернет
Такой вид мошенничества называется фишинг. Аферисты создают поддельный сайт популярного интернет-магазина или онлайн-банка, который внешне похож на оригинал, а его URL-адрес отличается от подлинного одним символом. Для оплаты покупки или входа в систему пользователь вводит на фиктивной странице конфиденциальные данные, которые попадают в руки злоумышленников.
Ссылки на фишинговый сайт под видом акций и спецпредложений мошенники отправляют клиентам на электронную почту, в онлайн-мессенджеры или социальные сети.
Кража банковской карты
Некоторые преступники не хотят использовать изощрённые способы мошенничества, а предпочитают просто украсть карточку. Одни злоумышленники делают это открыто, угрожая жизни и здоровью владельца, другие — дежурят возле банкоматов и забирают потерянные карты.
В большинстве случаев устройство возвращает пластик с задержкой. Клиент не дожидается и уходит или, получив наличные, вовсе забывает о карте. После этого мошенник может беспрепятственно её забрать и использовать в своих целях.
Другие способы
Помимо описанного выше, третьи лица воруют деньги с карт при помощи вирусного программного обеспечения. Вредоносная программа под видом полезного приложения устанавливается на компьютер, планшет или смартфон клиента. Её основное предназначение — украсть данные карты или перенаправить пользователя на фишинговый сайт.
Другой популярный вид мошенничества — сговор с сотрудниками банка или предприятий торговли. Кассир может зафиксировать данные карты (например, провести её через скиммер) и передать их посторонним лицам.
Как мошенники снимают деньги с банковской карты?
Способ незаконного вывода средств с карты зависит от того, какой информацией завладел злоумышленник. Основные варианты получения выгоды следующие:
Одним из способов списания средств также выступает опция «Мобильный банк».
Самые распространённые схемы мошенничества в 2021 году
В связи с развитием новых технологий меняются и виды краж с банковских карт. В 2021 году с фактами мошенничества всё чаще сталкиваются владельцы пластика с опцией бесконтактных платежей.
Для проведения оплаты по такой карте достаточно приложить её к терминалу. Ввод ПИН-кода не требуется если сумма не превышает 1 000 рублей. При этом количество расходных транзакций не ограничено.
Чтобы получить деньги, мошеннику даже не понадобится воровать карту у клиента. Если в общественном транспорте поднести устройство к сумке или карману владельца, то средства спишутся. Для этих целей мошенники изготавливают самодельные переносные считыватели или используют банковские терминалы, оформленные по фиктивным документам.
Также в текущем году злоумышленники продолжают активно использовать фишинг в социальных сетях и онлайн-мессенджерах. Наибольшую выгоду мошенникам приносят махинации через Авито, с помощью которых они получают доступ в онлайн-банк.
Куда обращаться в случае хищения средств?
После выявления факта незаконного списания денег с карты необходимо срочно её заблокировать и обратиться в ближайшее отделение банка-эмитента. Дальнейшая процедура включает следующие этапы:
Банк может вернуть деньги только в том случае, если пользователь не нарушал правила безопасности, то есть добровольно не сообщал конфиденциальную информацию третьим лицам.
Независимо от решения эмитента, владелец карточки имеет право обратиться в правоохранительные органы и написать заявление о краже денег.
Советы специалистов по защите своей карты
Чтобы обезопасить себя от действий мошенников, необходимо придерживаться следующих рекомендаций:
Ежедневно злоумышленники изобретают новые способы хищения средств с банковских карт, поэтому невозможно предугадать все сценарии развития событий. Однако при соблюдении указанных элементарных мер безопасности любой пользователь сможет предотвратить нанесение ущерба от действий мошенников.
У кого чаще всего воруют деньги с карт
Портрет типичной жертвы мошенников
В 2019 году только 15% денег, похищенных со счетов россиян, удалось вернуть владельцам.
Это каждый седьмой украденный рубль. Мы уже писали о том, какими способами жулики обманывают россиян. В этой статье расскажем, как выглядит типичная жертва мошенников, если ориентироваться на статистику таких преступлений.
Сколько денег украли
В 2019 году Центробанк насчитал 577 тысяч банковских операций, которые произошли без согласия клиентов. Общая сумма таких переводов и платежей — 5,7 млрд рублей. Для сравнения: в 2018 году без ведома россиян злоумышленники совершили 417 тысяч транзакций на 1,4 млрд рублей.
Обзор операций, совершенных без согласия клиентов банков за 2019 год, Банк РоссииPDF, 778 КБ
По этим данным кажется, что количество преступлений выросло всего на треть, а количество украденных денег — в четыре раза. Но дело в том, что во второй половине 2018 года изменились формы отчетности. Раньше Центробанк учитывал только кражи с карт и со счетов, которые к ним привязаны. Теперь учитывают и случаи, когда мошенники получали доступ, например, к онлайн-банку и воровали деньги с депозитов. А на вкладе денег обычно больше, чем на карте.
Параллельно с этим Центробанк ужесточил ответственность банков за непредставление информации о несанкционированном доступе к счетам клиентов.
Заполучив чужую карту, ее данные или доступ к счету, преступники чаще всего тратят деньги в интернет-магазинах, а не обналичивают. Банк России подсчитал, что две трети всех банковских операций, которые производят без ведома клиентов, — это оплата товаров и услуг в интернете. Но и возвращать деньги в этом случае удается чаще: клиенты получают назад каждый пятый рубль. Для сравнения: когда преступники получают доступ к онлайн-банку или личному кабинету в интернете, украденное возвращают в три раза реже.
Как воруют
Самый распространенный способ — социальная инженерия. Это когда мошенники уговаривают жертву либо выдать данные карты или пароль из смс, либо просто перевести деньги. Такие случаи составляют 70% от всех преступлений.
На втором месте — так называемый френдли-фрод : когда деньги с карты или банковского приложения на смартфоне тратит друг или родственник человека. Это 12% всех преступлений.
На третьем — операции без присутствия карты. Речь идет о взломах личных кабинетов сервисов, где надо привязывать карту: такси, доставки еды и тому подобных. Потом мошенники делают несколько крупных заказов, например заказывают водителя с Майбахом на день. На такие случаи приходится 11% мошенничеств.
Самый непопулярный способ — скимминг. Речь о случаях, когда мошенники воруют данные карты с помощью специальных считывающих устройств, которые устанавливают на банкоматы и магазинные терминалы. На скимминг приходится 1% всех мошенничеств. Скимминг постепенно становится редкостью: большинство карт имеют чипы бесконтактной оплаты, а считывающие устройства мошенников позволяют подделывать только магнитную полосу карты. Поэтому если мошенники делают копию карты и платят потом ей в другом месте, то платят не бесконтактно, а магнитной полосой. В этих случаях деньги почти всегда возвращают клиенту.
Среднестатистическая жертва
По данным исследования Тинькофф, мужчины чаще попадаются на удочку мошенников, чем женщины: 57 и 43% случаев соответственно. Однако женщин пытаются обмануть на большие суммы: 12,7 тысячи рублей против 11,6 тысячи у мужчин.
Аналитики Тинькофф-банка выявили закономерность: чем моложе человек, тем больше шансов, что преступникам удастся уговорить его добровольно перевести деньги на чужой счет. Клиенты в возрасте 18—22 лет в четыре раза чаще становятся жертвами такого типа мошенничеств, чем шестидесятилетние.
В то же время пожилые люди подвержены другому виду преступлений: пенсионеры в шесть раз чаще сообщают посторонним данные своей карты или пароль из смс. Молодежь эти данные старается никому не сообщать.
Еще одна закономерность: люди с двумя высшими образованиями становятся жертвами мошенников на 30% чаще тех, у кого за плечами только школа или один вуз. А если у клиента банка есть ученая степень, то вероятность того, что он поверит жулику, в полтора раза выше, чем у вчерашнего одиннадцатиклассника.
Люди, которые состоят в официальном браке, реже лишаются денег, чем живущие в гражданском браке. У семейных пар, как правило, общий бюджет, и они советуются по финансовым вопросам с партнерами. Одинокие люди чаще поддаются на уговоры мошенников перевести деньги на чужой счет, но при этом стараются не делиться данными карты или кодами из смс.
Перезвоните в банк
Многие схемы мошенничества основаны на том, что человеку звонят под видом службы безопасности банка. Приемы манипуляций отработаны настолько, что у преступников получается практически зомбировать человека.
Таких случаев много. Например, мошенник звонит и представляется сотрудником службы безопасности. Якобы в банке произошла утечка данных и некие «сотрудники-мошенники» сейчас пытаются украсть деньги со счета. Поэтому надо срочно снять всю сумму. Извиняется за неудобства и даже обещает повышенный кэшбэк.
Чтобы жертва не успела опомниться и быстрее добралась до банкомата, ей даже вызывают такси. Все это время мошенники находятся на связи с клиентом. Он снимает деньги в банкомате, и после этого его просят положить их на некий страховочный счет: потом они якобы к нему вернутся. Но на самом деле клиент кладет деньги на счет подставного лица.
В этот момент настоящая служба безопасности фиксирует подозрительные действия — сразу после первого пополнения. Клиенту перезванивают из банка и интересуются, что происходит, уточняют, сам он вносит деньги или его кто-то попросил об этом. Предупреждают, что их потом будет уже не вернуть. Человек думает, что на этот раз ему звонят мошенники, и вводит в заблуждение настоящих сотрудников: «Вношу деньги на счет знакомого, возвращаю долг».
Его пытаются убедить, что он вносит деньги на счет мошенника и может их потерять. Человек не верит и кладет трубку. Как только деньги уходят на чужой счет, их сразу оттуда снимают — и человек остается без денег.
Мы принимаем меры при таких операциях, но не можем запретить клиенту снимать свои деньги.
В таких случаях важно помнить: не раскрывайте данные карты и коды из смс, не выполняйте никаких действий под чью-то диктовку. Даже если вас убеждают, что звонят из службы безопасности. Лучший выход — положить трубку и перезвонить в банк самому. Телефон горячей линии указан на карте.
Какими способами мошенники похищают деньги с карт. Как не стать жертвой
За первое полугодие 2020 года мошенники украли у банковских клиентов с их карт и счетов 4 млрд руб., совершив более 360 тыс. несанкционированных операций. Из этой суммы банки смогли вернуть пострадавшим только 12,1% (около 485 млн руб.), а общий объем похищенных средств больше показателей аналогичного периода прошлого года на 39%.
Какие схемы мошенничества получили наиболее широкое распространение и как не стать их жертвой — в обзоре РБК.
Способы хищения денег с банковских карт
Самым распространенным способом мошенничества является социальная инженерия — методы обмана и введения клиентов в заблуждение с целью кражи денежных средств. По данным ЦБ, в первом полугодии 2020 года на нее пришлось 83,8% случаев от общего числа атак. Традиционно мошенники звонят банковским клиентам под видом «службы безопасности банка» или «службы финансового мониторинга» и сообщают о том, что по карте якобы совершена подозрительная операция. Под предлогом спасения денежных средств они заставляют клиента совершить ряд действий, чтобы украсть деньги с его счета. Контактную и персональную информацию о клиентах злоумышленники получают, покупая «слитые» базы в даркнете (теневой сегмент интернета. — РБК) либо находя их там же в свободном доступе. Также для убедительности они могут звонить с подменных номеров банков и других структур. Далее схема мошенничества развивается по нескольким сценариям.
В последнее время стали появляться более сложные схемы: к звонкам от «банковских работников» добавились звонки от «правоохранительных органов», которые «подтверждают», что кто-то пытается украсть деньги клиента, поэтому их надо спасти путем перевода на «безопасный» счет. Также злоумышленники начали звонить от имени бюро кредитных историй и сообщать, что обнаружили попытки оформления кредитов с использованием паспорта жертвы.
Во время пандемии и перехода многих процессов в онлайн-формат киберпреступники также активизировались в интернете, предупреждал ЦБ. По данным регулятора, за первое полугодие 2020 года мошенникам удалось украсть в интернете свыше 2 млрд руб., то есть более 50% из общего объема похищенных за этот период средств.
По данным «Лаборатории Касперского», в 2020 году активно росли объемы телефонного мошенничества и скама. С января по ноябрь компания обнаружила почти 86 тыс. скам-ресурсов, из них 62,5 тыс. были заблокированы во втором полугодии. Особенно распространено такое явление в русскоязычном сегменте интернета. По подсчетам компании, потенциальный ущерб от мошенничества мог бы превысить 13 млрд руб., если бы каждая заблокированная попытка перехода пользователя на подобный ресурс повлекла за собой обман хотя бы одного человека.
В России в этом году среди всех входящих звонков с неизвестных номеров доля спама составила 63%, а доля звонков с подозрением на мошенничество — 5,9%. При этом злоумышленники активно пользовались технологией подмены номера. Чаще всего они указывали телефоны финансовых организаций, государственных учреждений или юридических лиц. «Люди проводят все больше времени с телефоном под рукой и чаще берут трубку. Но при этом возможность принять взвешенное решение в разговоре у них есть не всегда. Часто злоумышленники использовали актуальную новостную повестку, чтобы вызвать доверие у жертвы», — объясняет Голованов.
Как не стать жертвой мошенников
Однако вернуть деньги, которые были украдены с помощью социальной инженерии, сложно, так как потерпевший добровольно подтверждал операции по своему счету и у банка есть основания отказать в возврате средств, предупреждает юрист. Клиент может обратиться в банк с требованием заблокировать мошенническую операцию, но, как показывает практика, в подавляющем большинстве случаев в отсутствие документов, подтверждающих факт совершения мошеннических действий, банк, скорее всего, ответит отказом. «Этот отказ можно оспорить в суде, но опять же, как показывает практика, если вы подтвердили операцию списания сами в порядке, установленном банком, шансы минимальны», — добавляет Иккерт.