Как через фальшивые смс и звонки мошенники выводят деньги с карт
Клиентам Сбербанка угрожает новый вид SMS-мошенничества. Для кражи денег злоумышленникам даже не нужен доступ к карте пользователя. Аферисты могут получить всю информацию о карте владельца с помощью SMS, якобы отправленного от банка — появилась информация о новой схеме кражи средств мошенниками около банкоматов.
Мошенники могут воспользоваться уязвимостью, которая кроется в необходимости сообщать код из смс для аутентификации клиента, заявил изданию руководитель аналитического центра Zecurion Владимир Ульянов. «Изначально, когда присылали эти смски на телефон, это была нормальная система в тех условиях входа в интернет-банк пользователем через компьютер. Это снижало риски. Но если осуществлять вход в интернет-банк с телефона, то уже есть опасность, например, в случае возникновения шпионских программ на смартфоне. И с точки зрения безопасности метод идентификации путем смс требует защиты», — пояснил он.
Такая схема требует от аферистов хороших навыков в социальной инженерии, так как банки по пустякам не звонят, но не все это знают, добавляет хакер Сергей Вакулин. «Однако люди все равно ведутся на уловку, вроде и номер тот, и банк, и подкован собеседник. Потому и соглашаются раскрыть всю информацию», — подчеркнул эксперт. Далее, указал он, мошенник, манипулируя человеком, по цепочке узнает все данные — номер карты и CVV-код на обратной стороне.
«После этого можно легко воровать деньги. Да и без кода на обратной стороне можно совершать покупки, благо таких возможностей полно. Что касается смс-кодов, то теоретически аферист может с помощью него получить доступ в мобильный банк и распоряжаться картами жертвы по своему усмотрению», — сообщил хакер.
Другой вид мошенничества с картами и банкоматами основан на банальной невнимательности пользователей, рассказал руководитель агентства кибербезопасности Евгений Лифшиц. «Нынешняя методика заключается в том, что злоумышленник, не вставляя карту, начинает на терминале операцию, однако не завершает ее и отходит. После чего терминал дает на завершение операции 90 секунд. В итоге следующий клиент, вставивший карту в течение этого периода, лишается средств по запросу предыдущего человека. В таких случаях совет всегда один — быть внимательней», — указал он.
Подобная афера стала возможна из-за того, что банк недоработал свои терминалы, считает генеральный директор агентства экономической разведки «Р-техно» Роман Ромачев. «Нужно было сделать, чтобы все предыдущие действия на банкомате блокировались автоматически при вводе новой карты. Если бы была дополнительная проверка терминалов, то такого не было бы. Ведь, по сути, банальная процедура. Похоже, что отсутствует контроль с точки зрения уязвимостей и обкатки систем, то есть достаточно глупая недоработка показывает, насколько несерьезно в этом банке подходят к системе безопасности. Но я думаю, это быстро будет исправлено», — заявил Ромачев.
По его словам, российские банки не всегда работают на упреждение возможных афер. «У них иногда просто отсутствуют службы, которые выявляют подобные пробелы и уязвимости информационных систем. А вот западные финансовые организации активно применяют людей, которые ищут такие лазейки. Некоторые компании даже дополнительно привлекают белых хакеров, которые находят уязвимости и дырки в системе безопасности», — заявил эксперт.
Несмотря на старания банков по реагированию на появляющиеся угрозы, главная ответственность лежит на плечах пользователя, добавляет эксперт в области информационной безопасности Александр Власов. «Вы должны понимать, что сохранность денег — это в первую очередь ваша забота, а не ЦБ или любого другого банка. Если операция не прервалась, а вы уже вставляете карту в банкомат и набираете пин-код, то это похоже на то, если бы вы прямо на улице оставили кошелек и ушли», — заявил собеседник издания.
Он указал, что новые виды мошенничества будут появляться постоянно, так как соперничество служб безопасности банков и хакеров напоминает «гонку вооружений».
В то же время банки просто обязаны вести работу по предупреждению различных мошеннических действий: если банк их не ведет, то Центробанк выносит ему предупреждение, отметил он. Также существуют различные ассоциации, где банки на общественных началах обмениваются информацией об этих случаях, разбирают что, как и почему происходит. «Есть разные методы защиты, которые финансовые организации могут задействовать как официально, через Центробанк, так и неформально. Работа эта ведется, но мошенничество продолжается по одной простой причине — потому что дураки мы сами», — добавил Власов.
В свою очередь, в Сбербанке объясняли случаи кражи средств у банкомата недопониманием клиентов при совершении операций. По словам, зампреда правления Сбербанка Станислава Кузнецова, никакой уязвимости нет. «Это точно не кибератака и не кибермошенничество. Было зафиксировано всего несколько десятков таких случаев. Люди, по сути, признают, что это их собственная ошибка или невнимательность, или не поняли, не разобрались. Когда вы обращаетесь к банкомату — вы должны прочитать то, что на нем написано», — заявил он.
Комментарии
2. Отзывы прочитываются людьми, имеющими непосредственное отношение к выходу статьи: журналистом, редактором, модератором. Отзывы выставляются на сайт с 07:00 до 22:00 в будние дни и с 09:00 до 18:00 в выходные и праздничные (время московское). Если по прошествии разумного времени отзыв не появился на сайте, то это могло быть вызвано следующими причинами:
- ваш комментарий носил критичный или провокационный характер о работе редакции данного сайта. Действия администрации сайта в комментариях не обсуждаются
- ваш отзыв носил провокационный характер: призывы к межнациональной и социальной розни, к свержению действующей власти и т. п.;
- ваш отзыв содержал нецензурную брань, в т.ч. в криптованном виде, т.е. с заменой букв на символы либо заменой брани на слово с аналогичной фоносемантикой;
- ваш отзыв содержал выражения оскорбительного характера в чей-либо адрес: автора материала, лиц, давших свои комментарии к статье, в адрес героя и т. д. Также не выставляются отзывы, в категоричной форме и бездоказательно - обвиняющие вышеуказанные лица в некомпетентности либо угрожающие им судебным преследованием – в таких случаях вам следует обращаться в прокуратуру напрямую;
- ваш отзыв содержал прямую рекламу (название и контактную информацию) фирмы, речь о которой не шла в авторском материале;
- ваш отзыв указывал на грамматические и орфографические ошибки ранее высказавшихся: грамотность – личное дело каждого;
- ваш отзыв содержал вопрос, ответ на который был дан ранее;
- ваш отзыв содержал слова из молитвы какой-либо религии (например: Аминь) или носит религиозный характер;
- ваш отзыв состоял из одного-двух слов, не несущих информативной нагрузки: «Афтар жжет», «Супер», «Наконец-то», «Отстой». Если цель вашего отзыва – дать односложную оценку мнению кого-либо из высказавшихся, воспользуйтесь рейтингом: «+», если вы поддерживаете комментатора, и «-», если не поддерживаете;
- ваш отзыв содержал слишком длинную ссылку или конструкцию, написанную без пробелов («плохие__________водители___________» и т. п.). 3. Материалы, которые являются коммерческими Отзывы к ним модерируются в соответствии с настоящими правилами.
4. Материалы, которые являются коммерческими. В дополнение к действующим правилам отзывы модерируются в соответствии с требованиями рекламодателя.
5. Зарегистрируйтесь, если вы хотите высказываться открыто: честное неанонимное мнение всегда ценится выше. Если вы оставляете отзыв под своей регистрацией, вам будет автоматически направлено уведомление о результате: либо подтверждающее размещение отзыва на сайте, либо с указанием того, что содержание вашего отзыва противоречит правилам размещения отзывов.