Аферистам работать в онлайне проще и дешевле. Раньше нужно было использовать многоуровневые схемы, рассылать потенциальным жертвам смс фактически на удачу. Например такие:
Нечто подобное приходило на телефоны клиентов почти всех украинских банков регулярно. После этого «операторы» липового контакт-центра выспрашивали данные о карте, и деньги со счета бесследно исчезали.
Такие сообщения приходят и сейчас. Но стали еще более убедительными. Владельцев карт не только призывают звонить в фальшивые контакт-центры, но и заманивают на липовые сайты.
«Ваша карта заблокирована на 62 дня. Инфоцентр по номеру +380919286625 и www.oschad-bank.com.ua».
Это цитата из смс-сообщения, которое неизвестные мошенники активно рассылали клиентам того же Ощадбанка. В нем фигурировал адрес «Оschad-bank.com.ua» — это сайт-клон реального интернет-ресурса Ощада. Он также направлял посетителей в «инфоцентр», где трубку снимали мошенники.
Дальше все шло по стандартному сценарию: сотрудники «горячей линии» от имени банка просили жертву сообщить реквизиты своей карты. Иначе грозили ее заблокировать.
По данным ассоциации членов платежных систем ЕМА, в 2016 году средняя сумма, которую преступники уводили у пользователей при помощи вишинга (мошенничество по телефону), составляла 1403 гривны.
Как правило, на одном объекте жулики концентрируются недолго. Например, указанные СМС-сообщения клиенты Ощадбанка получали в начале и середине января. Сейчас на поддельный сайт зайти невозможно: браузер ссылается на ошибку в поиске его DNS-сервера. То есть, грубо говоря, его уже попросту не существует.
«Получая номер телефона жертвы из открытых источников (или используя метод подбора), мошенники просят ее назвать персональные данные «в целях безопасности», «для авторизации или проведения идентификации» или «для проведения платежа/зачисления денег на карту». Также они могут попросить назвать код из СМС, которое «сейчас придёт на Ваш телефон». Из этой же серии и СМС-сообщения о том, что карта заблокирована, с которыми столкнулись клиенты практически всех банков» — рассказывают в пресс-службе Ощадбанка.
По словам начальника отдела безопасности каналов передачи и платёжных карт Укрсоцбанка Ирины Соломенко, мошенники умело систематизируют свои базы телефонных номеров. К примеру, обзванивают людей от имени Службы безопасности НБУ с вопросом, в каком конкретно банке они обслуживается. А через некоторое время после этого звонят, чтобы выудить остальные данные.
Самые популярные
Вишинг – эффективная, но сравнительно затратная мошенническая схема. Поэтому все чаще злоумышленники начинают работать с «одноразовыми» сайтами-имитаторами. Такую схему принято обозначать как спуфинг. В случае с Ощадом, сайт нужен был лишь как дополнительный аргумент для жертв позвонить на «горячую линию». Основная «работа» проводилась уже там.
При спуфинговом подходе злоумышленники создают почти точную копию сайта банка или платежной системы и запускают ее в интернет. Дальше, с помощью методов SEO-продвижения в поисковиках, подделку поднимают на верхние строки выдачи Google или Yandex.
По статданным ЕМА, в прошлом году по такой схеме больше всего клонов появилось у платежного сервиса Portmone. Всего поддельных сайтов обнаружено 174. Из них 47 копировали именно Portmone. Веб-адрес сервиса мошенники слегка модифицировали. Как поясняет директор по вопросам безопасности банка Кредит Днепр Петр Пилипчак, вместо реального portmone.com.ua они через поисковики предлагали пользователям перейти на portmone.store.com.ua.
Другими популярнейшими жертвами мошенников были еще один сервис платежей Ipay.ua, сайт Укрпочты и интернет-банкинг Ощада и Таскомбанка.
Данные: ЕМА
«Для безопасного использования интернет-банкинга нужно всегда проверять интернет-адрес сайта, на который вы заходите. Адрес онлайн-банкинга всегда должен начинаться с https://. Начало веб-адреса в виде http:// — верный признак мошенников» — объясняют в Ощадбанке.
Согласно опросу ЕМА, только 41% пользователей интернет-банкинга обращает внимание на этот нюанс. 19% опрошенных вообще никогда не слышали об этом и сочли бы сайт, начинающийся на «http://» вполне безопасным.
Еще один вариант — проверить сайт в черном списке. «В этом может помочь Black list украинской межбанковской ассоциации членов платежных систем. При этом все равно необходимо быть осторожными и помнить, что фишинговые сайты появляются чаще, чем добавляется информация в «черный список» — рассказывает Петр Пилипчак.
Невидимое вмешательство
Чаще всего мошенники выуживают небольшие суммы. Самый популярный сегмент среди мошенников – пополнение мобильных телефонов. Таких случаев, по данным ЕМА, в прошлом году было больше трети – 35%. Вместе с подделками на Portmone эти два направления по-прежнему остаются для мошенников самыми легкими способами наживы.
Проблема довольно серьезная. В киевском метро даже появились информ-плакаты, призывающие население быть более бдительным при платежах в интернете.
Фото: ЕМА
Спуфинг касается не только имитации интернет-сайтов. При более сложных махинациях злоумышленники имитируют номера телефонов.
«Сегодня существует множество сервисов, которые предлагают услуги по спуфингу номеров телефонов. Работает это так. По сути, звонящий делает IP-звонок на интернет-сервис некоего посредника, от которого потом идет звонок в сеть оператора с подменой Caller ID. По такой схеме можно подменить фактически что угодно: IP-адрес, адресата электронного письма, номер телефона» — рассказывает начальник сектора мониторинга и расследования мошеннических операций ОТП Банка Ярослав Захарченко.
90% сайтов-подделок просто воровали данные карт своих жертв. Реквизиты копировались, а клиенту приходило сообщение, что операцию выполнить не удалось. Дальше злоумышленникам оставалось надеяться, что жертва ничего не заподозрит в момент, когда они попытаются оплатить что-либо ее картой. Вероятность успеха в таких случаях не такая уж и высокая.
Но в 10% случаев мошенники действовали более изощренно. Поддельный сайт не просто копировал данные карты. С помощью специальной программы он подменял реквизиты получателя. Жертва всего этого не видела. Ей приходила обычная смс от банка об успешной операции, деньги списывались. Но реально они перечислялись на карту мошенника.
В такой ситуации клиенту остается только сетовать на свою неосмотрительность. Деньги ему никто не компенсирует.
«При подобных инцидентах банк средства не компенсирует. При выпуске платежной карты с клиентом подписывается договор, в котором клиент обязуется не разглашать конфиденциальную информацию» — говорит Ирина Соломенко из Укрсоцбанка.