Как называется похищение реквизитов банковских карт злоумышленником

Главная / Безопасность /
Обеспечение безопасности персональных данных / Тест 2

 Как называется состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право?

 Как называется состояние информации, при котором отсутствует любое ее изменение, либо изменение осуществляется только преднамеренно субъектами, имеющими на него право?

 Как называется состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно?

Как называется совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации?

Как называется попытка реализации угрозы?

Следствием наличия уязвимостей в информационной системе является:

Какой уровень защиты информации состоит из мер, реализуемых людьми?

Какой уровень защиты информации представляет собой комплекс мер, применяемых руководством организации?

На каком уровне защиты информации находятся непосредственно средства защиты?

Какой федеральный закон является базовым в Российском законодательстве в области информационных отношений и информационной безопасности?

ФЗ "Об информации, информационных технологиях и о защите информации” регулирует отношения, возникающие при:

Сведения независимо от формы их представления это:

 Совокупность содержащихся в базах данных информации, обеспечивающих ее обработку информационных технологий и технических средств, называется:

Как называется лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам?

Как называется гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных?

Чем может ограничиваться доступ к информации?

Вся информация делится на:

Информация, к которой нельзя ограничить доступ:

В отношении информации, доступ к которой ограничен федеральными законами, необходимо соблюдать следующее требование:

Какой Федеральный закон устанавливает эквивалентность документа, подписанного собственноручно, и электронного сообщения с ЭЦП?

Защита информации в соответствии с ФЗ “ Об информации, информационных технологиях и о защите информации” представляет собой комплекс следующих мер:

 Основополагающим федеральным законом в области обеспечения безопасности персональных данных является:

Имитация сайтов финансовых учреждений злоумышленником с целью похищения информации называется:

Как называется похищение реквизитов банковских карт злоумышленником?

Персональные данные это:

Как называется государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных?

Как называются органы государственной власти, уполномоченные осуществлять мероприятия по контролю и надзору в отношении соблюдения требований ФЗ “О персональных данных”?

Какие категории персональных данных выделяет ФЗ “О персональных данных”?

К какой категории персональных данных можно отнести адресную книгу?

К какой категории персональных данных можно отнести сведения о национальной принадлежности человека?

К какой категории персональных данных можно отнести сведения о религиозных убеждениях человека?

Сведения, характеризующие физиологические особенности человека являются:

К какой категории персональных данных можно отнести отпечаток пальца человека?

В каких случаях оператор не обязан уведомлять регулятора об обработке персональных данных?

До начала обработки персональных данных оператор обязан:

Выберите случаи обработки персональных данных, когда оператор не обязан получать письменное согласие субъекта на обработку:

Какие способы кардинга наиболее популярны, что делать, если мошенники узнали данные вашей банковской карты, как обезопасить себя от хищения и каковы шансы вернуть средства — в материале “Ъ”.

Самые распространенные способы хищения средств с банковских карт (кардинга) основаны на психологических методах убеждения, обмана или запугивания клиентов. По данным российского Центробанка, среди всех атак более 80% приходится на связанные с социальной инженерией. Наиболее популярен среди мошенников телефонный фишинг — так называют процесс выманивания персональных данных у банковских клиентов.

Как работают мошенники

• Представляясь банковскими сотрудниками («службой безопасности» или «службой финансового мониторинга»), сообщают о подозрительной активности и предлагают продиктовать данные карты, чтобы банк принял меры по защите средств.
• Убеждают перевести деньги на отдельный счет якобы для их защиты, сделать это можно онлайн либо сняв деньги в банкомате — в этом случае клиенту даже могут заказать до него такси.
• Просят установить специальное программное обеспечение для «защиты средств», с помощью которого мошенники могут украсть данные карты и оформить предодобренный кредит, после чего вывести средства.
• С начала пандемии мошенники активно эксплуатируют тему коронавируса, будь то «бесплатная» диагностика, медицинская помощь, пособия, компенсации, возврат средств за авиабилеты и другие предлоги, конечной целью которых является перевод денег.
• Сообщают пожилым людям о положенных выплатах от имени сотрудников Пенсионного фонда, в этом случае узнать номер банковской карты и другие данные им нужно якобы для перечисления денег. В некоторых случаях злоумышленники предлагают перевести деньги на сторонний счет для уплаты госпошлины за будущую компенсацию.

Важно! Не стоит сообщать третьим лицам данные карты, в том числе четырехзначный PIN-код и трехзначный CVC-код, указанный на обороте. При звонках от мошенников могут отображаться реальные номера банковских телефонов. Они могут представляться также полицейскими или работниками бюро кредитных историй.

По статистике около четверти владельцев карт готовы раскрыть посторонним трехзначный код безопасности, а также срок действия карты и код из СМС-сообщения (3DSecure), которые сообщать нельзя.

По последним данным Центробанка, за первое полугодие 2020 года было заблокировано почти 10 тыс. телефонов мошенников — почти в четыре раза больше, чем за аналогичный период 2019-го.

Почтовый фишинг, соцсети и поддельные сайты

Рассылаемые мошенниками письма могут содержать ссылки на поддельные сайты, имитирующие странички интернет-магазинов с большими скидками, а также отелей, сервисов по продаже авиабилетов, страховых компаний, различных ведомств. Письма приходят также под видом квитанций об оплате коммунальных платежей или в виде официальных уведомлений от банков и других организаций.

Еще один популярный способ мошенничества связан с продажами на сайтах объявлений, где покупатель по поддельной ссылке вводит данные для оплаты несуществующего товара.

В соцсетях мошенники делают рассылки по списку друзей со взломанного аккаунта с просьбой перевести денег на карту. Подобную информацию всегда необходимо перепроверять по другим каналам связи.

Важно! Не нужно переходить по ссылкам из подозрительных писем и загружать неизвестные программы. Остерегайтесь оплачивать покупки на подозрительных сайтах, не переводите деньги, если нет уверенности в получателе. Контролируйте все операции по счету и пользуйтесь антивирусными программами.

За первое полугодие 2020 года Центробанк заблокировал около 4,7 тыс. сайтов, созданных мошенниками. Из них более 500 страничек имитировали сайты банков.

Мошенничество с банкоматами

Краж с использованием специальных считывающих устройств (скиммеров) и накладок на пин-пады банкоматов становится все меньше из-за улучшения технической оснащенности банков. Им на смену приходит моделирование ситуаций с элементами социальной инженерии. В одном из сценариев мошенник (чаще пожилой) «забывает» карту в банкомате и затем просит извлечь ее человека, оказавшегося рядом. Получив карту обратно, злоумышленник вместе с сообщниками проверяет баланс по счету и утверждает, что деньги пропали, после чего требует их вернуть.

Важно! Не нужно извлекать из банкоматов чужие карты. В случае если карта уже извлечена и поступают угрозы, рекомендуется вызвать полицию.

БИН-атаки

Один из немногих действующих в 2021 году методов кардинга без выманивания данных у самого клиента. В этом случае мошенникам нужно выяснить первые шесть цифр номера карты (БИН — банковский идентификационный номер), и затем с помощью специальных программ попытаться сгенерировать оставшиеся цифры. В результат по карте проводятся онлайн-платежи, для совершения которых не требуется получение СМС-кода от банка. По данным исследования «Тинькофф», число БИН-атак в 2020 году выросло в три раза по сравнению с 2019-м.

Сколько денег украли мошенники

По данным Центробанка, за первое полугодие 2020 года мошенники провели около 360 тыс. несанкционированных операций, у клиентов было похищено около 4 млрд руб. В 2019 году мошенники совершили 577 тыс. операций на 5,7 млрд руб. ущерба.

По другим оценкам, масштаб проблемы серьезнее. К примеру, компания BrandMonitor оценивала сумму похищенных в 2020 году телефонными и онлайн-мошенниками средств россиян в 150 млрд руб.

Средний объем одного успешного хищения в 2020 году «Тинькофф» оценивает в 13,9 тыс. руб. — на 1,2 тыс. меньше, чем в 2019-м.

Что делать, если мошенники получили данные и сняли деньги с карты

1. Позвонить в банк, заблокировать карту, заявив о несанкционированном использовании средств

2. В офисе банка составить документ о несогласии с операцией

3. Подать заявление в полицию о краже денег с карты

Комментарий эксперта Дениса Калемберга, основателя и генерального директора компании SafeTech:

«Если реквизиты карты стали известны мошенникам, то в большинстве случаев они используют их для перевода на карты «дропов», выпущенные на поддельные или чужие паспорта. Обычно «дропы» снимают украденные средства в течение нескольких минут после перевода. Также для кражи нередко используются покупки техники в интернет-магазинах с последующей перепродажей.

Сделать покупку или перевод, зная только номер карты невозможно, но это не значит, что его можно сообщать кому угодно, ведь этот номер зачастую используется для восстановления доступа к мобильному банкингу. Для оплаты же запрашивается как минимум еще срок действия и имя владельца. Но в этом случае покупку можно будет оспорить и вернуть деньги, если не применялся код 3DSecure (обычно отправляется в СМС для подтверждения оплаты). Ответственность за принятие платежей без подтверждения лежит на интернет-магазине».

Можно ли вернуть похищенные средства

С 2014 года в России действует закон «О национальной платежной системе». Согласно ему, банк обязан вернуть похищенные деньги, но при соблюдении ряда условий со стороны клиента. В первую очередь клиент должен сообщить об операции не позднее суток с момента получения уведомления. По закону, банк должен вернуть деньги, если компрометация данных произошла не по вине клиента, то есть он соблюдал следующие условия:

• не сообщал мошенникам данные карты;
• не хранил пин-код вместе с картой / не записывал его на самой карте;
• не позволял фотографировать свою карту и т. д.

Служебное расследование банка может длиться не более 30 дней, а если операция международная — 60 дней. В случае доказанных нарушений со стороны клиента банк вправе не возвращать деньги. По статистике Центробанка за первое полугодие 2020 года, клиентам возместили лишь 12% похищенных средств. За 2019-й год — 15%.

«Если мошенники похитят все данные карты, плюс узнают код 3DSecure, то вернуть деньги будет крайне проблематично. Правила платежных систем в этом случае возлагают ответственность на клиента. Если же платеж прошел без подтверждения кодом, то шансы определенно есть. Также в последнее время получили распространение сервисы страхования от кражи с банковской карты.

Чтобы до минимума снизить риск потерять деньги, лучше не говорить никому по телефону реквизиты карт и коды из СМС, не вводить данные карт на сайтах, которым не доверяете на 100%, не скачивать мобильные приложения из непроверенных источников и пользоваться антивирусом. Но лучше всего — никогда не держать на пластиковой карте сумму больше той, с которой не жалко расстаться»,— советует Денис Калемберг.

В первой части этого материала мы рассмотрели новые технологии и устройства, которые берут на вооружение кардеры — «ловцы» банковских карт. Теперь же поговорим о самых опасных для данной категории преступников манипуляциях, а в конце обязательно дадим советы, как снизить риск оказаться жертвой этих нехороших людей.

Ставка на аутсорсинг

Большая часть работы кардера не требует высокой квалификации. При этом некоторые операции, например установка оборудования, несут в себе значительный риск. Поэтому нередко эти функции отдаются на аутсорсинг соответствующим специалистам.

Опытный человек тратит на установку в банкомат криминальной аппаратуры около 30 секунд. Разумеется, это делается только после тщательной разведки, анализа расположения камер безопасности, выбора оптимального «тихого часа» и с помощью ассистента, контролирующего подступы к объекту.

Грамотного «установщика» не так-то просто поймать за руку. Спокойный, респектабельно одетый господин будет утверждать, что всего лишь заметил на банкомате некую странную штуку и хотел проверить свои подозрения, перед тем как позвонить в полицию. Поди докажи обратное, особенно если тюбик с клеем и прочий специальный инструментарий уже сброшены. В частности, по этой причине все банковские инструкции предписывают действительно добропорядочным гражданам ничего подозрительного не трогать, а сразу бить тревогу.

Помимо банкоматов заслуженным вниманием кардеров пользуются и другие терминалы, принимающие банковские карты. Это автоматы на бензозаправках, киоски для продажи билетов на транспорт, вендинговые машины и так далее. За подобными устройствами, как правило, присматривают меньше, чем за банкоматами. Да и обычные люди от них подвоха не ждут — отсутствие манипуляций с наличными действует расслабляюще.

Криминальная жатва

После установки аппаратуры для преступников наступает горячая пора «жатвы». Им необходимо успеть клонировать как можно больше карт, пока закладка не обнаружена, — после обнаружения возрастает риск блокировки банком уже «пойманных» карточек. Чтобы оперативно отслеживать ситуацию, невдалеке от банкомата — в машине или в кафе напротив — нередко размещают наблюдателя.

«Кардер» Хорохорин получил в США семь лет тюрьмы http://t.co/L7399uTrCT

— bbcrussian (@bbcrussian) April 9, 2013

Если никто не обратил внимание на «усовершенствованный» банкомат и не сработала банковская служба безопасности, то криминальная система работает до истощения заряда аккумуляторных батарей — а это до тысячи украденных карт.

Самые жадные кардеры после этого снимают оборудование для перезарядки, а самые умные просто бросают — меньше риска. Стоимость аппаратуры все равно многократно оправдывается уловом, который может достигать многих десятков тысяч долларов.

Получение денег по клонированным картам — это отдельный высокорисковый бизнес, и его часто также отдают на аутсорсинг. Как правило, в процессе участвуют несколько человек — на криминальном жаргоне их называют «мулами».

Известный кардер KIlobit получил таки заслуженный отдых после стольких лет «работы». Отдыхать будет почти 10 лет: http://t.co/4JlsGg2D3X

— Kaspersky (@Kaspersky_ru) November 17, 2014

Иногда мулы работают непосредственно на кардера, сдавая ему выручку и получая свой процент. Иногда они просто покупают через Интернет пакет украденных магнитных дорожек и действуют полностью автономно, часто уже совсем в другой стране.

Простота хуже воровства

Легкость умыкания денег с банковских карт во многом связана с примитивностью технологии защиты. Первые платежные карты с магнитной полосой появились совсем в другую эпоху — почти полвека назад, когда о доступности устройств для считывания и клонирования карт не могло быть и речи.

Легкость умыкания денег с банковских карт во многом связана с примитивностью технологии защиты

Записанная на магнитной дорожке информация, по сути, ничем не защищена, а главным секретом, удостоверяющим законность транзакции, является достаточно уязвимый, очень короткий PIN-код. Существует несколько более поздних усовершенствований технологии защиты, но они до сих пор остаются опциональными.

Разумеется, платежные системы и банки задумались об этой проблеме не сегодня. Куда более защищенные карты стандарта EMV, которые помимо магнитной полосы включают также специализированный чип, в Европе получили распространение уже больше 20 лет назад.

Отличие здесь в том, что чип нельзя просто скопировать, как магнитную полосу. По запросу терминала микросхема каждый раз создает уникальный одноразовый ключ. Этот ключ можно перехватить, но он уже не будет действителен для следующей транзакции.

Исследователи безопасности обнаружили ряд уязвимостей EMV-карт, но использовать их на практике весьма непросто. Так что сидеть бы специализирующимся на скиммерах преступникам без дела, если бы не одно «но». Переход на карты с чипом — это очень долгий, сложный и дорогой процесс, который включает множество различных сторон.

Как паранойя может помочь не испортить НГ-праздники из-за украденной кредитки https://t.co/Mcynw7BsMM

— Евгений Касперский (@e_kaspersky_ru) December 18, 2014

Ведь перейти должны все: платежные системы, банки, бизнесы, принимающие карты, производители платежных терминалов, банкоматы и так далее. Поэтому во многих странах мира, даже вполне развитых, до сих пор используется множество карт и терминалов без поддержки EMV.

А стало быть, даже если ваша карта оснащена чипом, это совсем не значит, что с нее нельзя украсть деньги. Чтобы обеспечить совместимость со старыми терминалами (а также повысить отказоустойчивость), транзакция с EMV-картой может быть проведена без использования чипа, по данным магнитной полосы.

Несколько правил, помогающих снизить риск стать жертвой скиммера #ATMskimmer

Tweet

Именно поэтому США, где система EMV масштабно внедряется только сейчас, уже многие годы лидируют в мире по числу случаев скимминга, отмечает European ATM Security Team. В числе других рисковых стран — Индонезия и Таиланд, а в Европе плохой репутацией пользуются Болгария и Румыния.

Украденные деньги банк может и возместить клиенту, особенно если по правилам ответственность за мошенническую операцию можно переложить на кого-то еще — платежную систему, владельца банкомата или страховую компанию. А может получиться совсем по-другому, и ответственность будет переложена на пользователя, таких историй масса.

Поэтому спасение утопающих, как обычно, прежде всего в руках самих утопающих.

Правила выживания

Стопроцентной гарантии от хищения денег с карты, к сожалению, не существует, но соблюдение нескольких простых правил может существенно снизить риск.

1. Если карта не оснащена EMV-чипом, то от нее лучше отказаться. Скорее всего, банк заменит ее на чиповую по вашему требованию. Чип не гарантирует полную защиту, но немного снижает риск.
2. Подпишитесь на SMS-уведомления об операциях по карте. Чем раньше вы обнаружите пропажу денег, тем выше вероятность, что их удастся вернуть.
3. Если вы не заядлый путешественник, выясните в банке, есть ли возможность ограничить географию совершения транзакций (на время отпуска можно просто «включить» нужную страну). Это очень эффективная мера, уже доказавшая свою состоятельность в ряде европейских стран.
4. Не стоит везде использовать карту, на которой у вас много денег. Чем меньше по ней будет платежей, особенно в новых незнакомых местах (например, зарубежных поездках), тем лучше. Для высокорисковых операций можно завести отдельную карту с небольшой суммой.

Пять уроков, которые я извлёк из взлома моей кредитной карты (не я лично, а автор статьи https://t.co/tdX3dl2DFJ

— Евгений Касперский (@e_kaspersky_ru) November 12, 2014

1. Выбирайте банкоматы в людных, хорошо освещенных и охраняемых местах — например, в помещении банка. И, наоборот, избегайте отдельно стоящих уличных терминалов и банкоматов в закоулках торговых центров.
2. Когда набираете PIN-код, встаньте ближе к банкомату и прикрывайте клавиши рукой. Накладки на клавиатуру пока еще встречаются относительно редко, куда выше риск, что вас снимут на камеру или PIN подсмотрит наблюдатель за вашей спиной. Не забывайте периодически менять PIN-код (в офисе банка или в надежном банкомате), особенно после рискованных операций.
3. Обращайте внимание на всякого рода странности в устройстве банкомата и окружающей его обстановке. Не все кардеры профессиональны, и не все пользуются безупречным оборудованием. И уж, безусловно, не стоит прокатывать вашу карту через размещенный рядом с банкоматом «аппарат для чистки магнитной полосы» — как ни странно, на эту простую уловку ведется очень много людей.
4. Пересчитывайте выданные банкоматом деньги. Существуют специальные ловушки, которые помещаются в лоток для купюр и способны цеплять отдельные банкноты. Если банкомат отказывается вернуть карту, это также может быть признаком мошенничества — звоните в банк сразу, не отходя от терминала. Подобные криминальные схемы получили широкое распространение в Европе после внедрения EMV-защиты.
5. Не выпускайте карту из вида при платежах в ресторанах и магазинах — существует множество компактных ручных сканеров, а ввод PIN-кода в таких местах несложно подсмотреть.

1. Не демонстрируйте карту незнакомым людям и не выкладывайте ее фотографии, даже с одной стороны. Уйма интернет-сайтов позволяет провести платеж без кода CVV2 (он напечатан на обратной стороне карты), не говоря уже об отсутствии поддержки двухфакторной аутентификации (одноразовые SMS-пароли).

Будьте осмотрительны. Банковская карта — очень удобный инструмент, но бывают ситуации, когда легкость его использования оборачивается против нас. И помните: иногда лучше показаться смешным, чем потом сожалеть о собственном разгильдяйстве.

В июле эксперты НАФИ выяснили, что каждый четвертый держатель банковских карт в России может стать жертвой мошенников: 27% респондентов оказались в зоне риска, так как готовы сообщить посторонним CVV-код своей карты и срок ее действия. Чуть меньше трети владельцев карт в том или ином виде сталкивались с попытками мошенничества.

Мошенники продолжают совершенствовать свои методы, признала в конце июня глава ЦБ Эльвира Набиуллина. «Жулики во все времена были креативными. И технологии, к сожалению, только расширяют их возможности вводить граждан в заблуждение. Это и фишинговые сайты, и звонки из так называемых служб безопасности банков, фальшивые страницы банков и даже Банка России в соцсетях, где якобы разыгрываются призы или выплачиваются компенсации, и так далее», — перечисляла глава регулятора. По словам Набиуллиной, около 70% операций, которые делаются без согласия клиента, совершаются с использованием социальной инженерии. «И тогда банк ничего не нарушает, потому что человек сам передает пароли, все персональные данные мошенникам в руки», — сказала она.

Forbes рассказывает об 11 распространенных и актуальных схемах, которые используют мошенники для вывода денег с банковских карт и получения персональных данных.

Ложная помощь с возвратом средств за авиабилеты и гостиницы

«Мошенники активно используют любые информационные поводы и громкие события, — рассказывает замруководителя лаборатории компьютерной криминалистики и исследования вредоносного кода Group-IB Сергей Никитин. — В этом году активно используют тему коронавируса».

В частности, после закрытия границ мошенники начали звонить людям и предлагать свои услуги по возврату денег за купленные билеты и бронь отелей. О таком способе в мае предупреждал ВТБ. Мошенники используют в своих целях новый способ возврата денег за билеты с помощью ваучеров, которым уже пользуются многие авиакомпании. Пассажир оформляет ваучер, и деньги, потраченные на билет, зачисляются на специальный депозит в его личном кабинете на сайте авиаперевозчика или агрегатора. Мошенники звонят пассажирам, представляются сотрудниками авиакомпании и предлагают купить у них ваучер. Для этого они просят сообщить данные банковской карты для списания оговоренной суммы, а также код из полученного после этого СМС от банка.

«Ложные» льготы и пособия от государства или кредитные каникулы

Еще один «коронавирусный» способ мошенничества. Человеку могут позвонить якобы из банка и сообщить, что ему положена финансовая поддержка в связи с резкой потерей доходов, кредитные каникулы, рассрочки и т.д. Для их оформления звонящие просят сообщить данные банковских карт. Если владелец карты называет реквизиты банковской карты, срок ее действия и CVV-код, то мошенники уже могут совершать онлайн-покупки от его имени.

«Фальшивые» пособия на детей

В июне Почта-банк сообщил о способе мошенничества, связанном с выплатами «антикризисных» пособий на детей. Мошенники создают фейковые интернет-сайты, имитирующие портал госуслуг и якобы посвященные выплате пособий для семей с детьми. Внешне они либо полностью копируют официальный портал, либо очень на него похожи, говорилось в релизе банка. На таких сайтах мошенники просят ввести данные о номере банковского счета.

Сообщения о попытке войти в мобильный банк и привязать к карте другой номер телефона

Мошенники связываются с владельцем карты и сообщают, что некто пытается привязать карту к другому номеру телефона. Для идентификации личности владельцу карты предлагается сообщить ее данные. После этого мошенники проводят с карты перевод, клиенту приходит код подтверждения от банка, который он тоже сообщает мошенникам — также для «идентификации». Узнав код, злоумышленники могут перевести деньги на другую карту.

Мошенничество с помощью сервиса для предпринимателей

Мошенники нашли лазейку в сервисе Сбербанка по дистанционному резервированию расчетного счета для индивидуальных предпринимателей. Злоумышленники представляются по телефону сотрудниками службы безопасности Сбербанка и сообщают клиенту о попытке несанкционированной операции по его счетам. Они предлагают открыть резервный счет в банке и пройти верификацию. Для этого просят предоставить данные карты. Когда клиент начинает сомневаться и отказывается раскрыть данные, мошенники заполняют анкету на сервисе по дистанционному резервированию расчетного счета, и тогда потенциальной жертве мошенника приходит реальная СМС с кодом подтверждения операции с номера Сбербанка 900.

На сайте Сбербанка перечислены и другие случаи мошенничества:

«Лотерея» от Сбербанка

Мошенники по телефону предлагают поучаствовать в лотерее от Сбербанка, для которой надо пройти опрос на сайте. Участникам «лотереи» обещают крупную сумму. Естественно, госбанк лотереи не проводит, а сайт фишинговый. На нем для подтверждения карты потенциальную жертву мошенников просят перечислить 150 рублей. «Вы отправляете деньги, а потом не можете связаться с мошенниками», — пишет банк.

«Брокерские или дилерские услуги»

Мошенники представляются сотрудниками брокерской или дилерской компании. Они предлагают инвестировать деньги с гарантией высокого дохода. Человек в итоге соглашается открыть счет и самостоятельно переводит деньги мошенникам. Еще один вариант, на который указывает Сбербанк, — мошенники предлагают зарегистрироваться на сайте бинарных опционов, после пополнения баланса человек получает уведомления о получении «бонусных» доходов. Чтобы их вывести, нужно внести на счет дополнительную сумму, в итоге эти деньги вернуть невозможно, пишет банк.

Звонки с похожих номеров

«Злоумышленники могут поменять одну цифру в номере, которую вы не заметите и подумаете, что это банковский номер», — предупреждает Сбербанк. Мошенники будут просить полные данные карты, CVV- или CVC-код, код из СМС или пароли от онлайн-банка, и объяснять это тем, что пытаются предотвратить подозрительную операцию.

«Перевод по ошибке»

Мошенники могут прислать СМС, подделанное под банковское сообщение об операции, затем с другого номера приходит сообщение с просьбой вернуть деньги, так как перевод якобы совершен по ошибке.

Предложения установить программу удаленного доступа

Злоумышленники представляются сотрудниками банка и под разными предлогами могут предлагать установить на смартфон программу для удаленного управления. Например, мошенники могут говорить, что это спасет клиента от несанкционированного снятия денег. Далее человек скачивает по ссылке «специальный антивирус» или «программу для удаленной помощи». «Самое опасное заключается в том, что злоумышленник видит экран смартфона, — рассказывает Сергей Никитин из Group-IB. — Если это Android, то он может управлять этим смартфоном, если IOS, то просто видеть экран. Фишка здесь в том, что далее мошенники инициируют операцию по переводу средств со счета, и человеку приходит код, который сразу высвечивается на экране».

Об оригинальном применении этого способа в мае сообщал ВТБ. Весной из-за кризиса и пандемии резко выросло количество безработных, и тема вакансий стала особенно актуальной. Банк приводил пример вакансии тестировщика мобильных приложений для кандидатов без опыта работы. В процессе «тестирования» кандидата просили установить программы удаленного доступа к компьютеру или смартфону. В итоге мошенники получали доступ к банковским приложениям клиента.

Поход к банкомату для «спасения денег»

Этот вариант менее распространен, но хорошо действует на пожилых граждан. Злоумышленники уговаривают человека идти к банкомату и набирать в нем определенную последовательность команд. Обычно мошенники тревожным тоном сообщают, что деньги пытаются украсть и их нужно немедленно перевести на «страховой счет». Владельцу карты диктуют, какие кнопки нужно нажимать, и человек переводит деньги либо на номер телефона, либо на чужую карту.

Как себя защитить

Личные данные человека злоумышленники могут узнать через социальные сети и из утечек, в том числе клиентских баз банков. Часто в таких базах есть даже паспортные данные человека, информация о балансе, последних операциях и т.д. Также существует возможность узнать имя владельца чужой карты по ее номеру, попробовав выполнить платеж на нее, говорит Сергей Никитин из Group-IB .

• Нужно понять, что никому (без исключений) нельзя сообщать данные своей карты и тем более коды из СМС.
• Лучше вообще не вступать в переговоры. Когда есть сомнения, лучше перезвонить в банк по номеру телефона, указанному на карте, и уточнить, действительно ли вам звонили из банка, предупреждает Никитин.
• Банковские приложения можно устанавливать только из официального магазина приложений, а не из поисковой системы или по сторонним ссылкам. 
• Наконец, не стоит оставлять в сети информацию с номерами ваших карт, номер телефона, привязанный к карточкам, или данные о том, клиентом каких банков вы являетесь. 

Поэтому на смену физическим методам кражи денег с карт пришли методы технические. И вины банков в этом нет в большинстве случаев. Упор делается именно на потерю бдительности держателя карты, которому потом еще придется доказывать, что он стал жертвой мошенников. Парадоксально, но современные виды мошенничества с картами были изобретены десятки лет назад, и до сегодняшнего момента просто изменялись и совершенствовались.

Фишинг — сайт-дублер

Самая используемая мошенниками схема, заключающаяся в создании сайта-двойника, который посещает владелец банковской карты. Эта схема является еще и самой простой. Суть: мошенники создают дублер какого-либо сайта, чаще всего используются официальные сайты банков, на который заманивают владельца карты. Последнему может быть выслано письмо с ссылкой и просьбой посетить сайт для совершения определенной операции. Вариаций здесь множество.

Ничего не подозревающий держатель карты переходит по ссылке, и попадает на хорошо знакомый сайт своего банка. Сразу заметить разницу получается далеко не у всех жертв, так как сайты-дублеры делаются один в один с оригиналом. Далее действует стандартная схема:

1. Под предлогом проверки данных оператор банка просит жертву заполнить форму с указанием реквизитов карты, cvc-код, и даже пин-код.
2. После получения этих данных страница перезагружается, и жертва попадает на настоящий сайт банка.
3. Пока ничего не подозревающий пользователь “бродит” по официальному сайту своего банка, мошенники, получив необходимую информацию, снимают средства с баланса карты.

Когда обнаруживается пропажа денег, изменить что-то уже практически невозможно. Мошенники могут использовать зарубежные счета, которые не подпадают под юрисдикцию ни российских банков, ни правоохранительных органов. Именно поэтому фишинг считается простым и одновременно действенным вариантом, рассчитанным не невнимательность владельцев пластиковых карт.

Совет: ни один банк никогда не запрашивает пин-код по картам у своих клиентов. При посещении сайта банка, пользователь должен обращать внимание на адресную строку или адрес сайта. И наконец, для получения подтверждения всегда можно связать со службой поддержки.

Скимминг — накладка на банкомат

Один из первых видов мошенничества, встречающийся повсеместно и сегодня. Заключается он в изготовлении специальной накладки на гнездо банкомата, предназначенное для вставки пластиковой карты. С технической точки зрения этот способ требует серьезной подготовки. Реализовывается он по следующему принципу:

1. Жертва вставляет карту в банкомат и совершают какую-либо операцию.
2. Техническое устройство на гнезде банкомата считывает все данные с карты — номер, срок действия, cvc-коды, реквизиты держателя.
3. Ничего не подозревающая жертва завершает операцию, извлекает карту из банкомата и отправляется по своим делам.
4. Мошенники снимают накладку с гнезда банкомата, которая к этому моменту считала все основные данные с карты.
5. При помощи специальной техники мошенники изготавливают точную копию карты жертвы, после чего получают доступ к ее балансу.

Для доступа к балансу карты потребуется пин-код. Это обстоятельство так же предусматривается при использовании метода скимминга. Недалеко от банкомата устанавливается скрытая камера, фиксирующая процесс набора пин-кода. Таким образом, мошенники получают все необходимое, чтобы завладеть деньгами жертвы. За несколько часов накладка на банкомате может считать данные с десятков карт, поэтому он способ и считается одним из самых действенных.

Совет: по возможности использовать банкоматы, расположенные внутри отделений банков или внимательно осматривать банкомат перед совершением операции. На нем не должно быть каких-либо посторонних механизмов.

Подставной интернет-магазин

Схема, которая, как и остальные, рассчитана на доверчивых клиентов. Мошенники создают интернет-магазин, в котором собираются далеко не продавать товары людям. В сети создается объявление, призывающее посетить магазин и приобрести товары по небывалым скидкам. Скидка может достигать 80% и более, и мало кто из потенциальных жертв обратит внимание на то, нормальный товар не может продаваться по цене, в 3-4 раза ниже номинальной. Поэтому в первые часы конверсия у таких интернет-магазинов максимальная.

Подставной интернет-магазин является разновидностью фишинга, только здесь предусматривается определенный выбор. Часть мошенников, получив оплату за товар, просто удаляют сайт с просторов интернета, а несостоявшийся покупатель продолжает ждать оплаченный товар.

Применительно же к мошенничеству с пластиковыми картами подставные магазины действуют в роли прокладки между пользователем и банком. Жертва вводит реквизиты карты для оплаты, и платеж уходит на подтверждение в банк. Только в данном случае платеж перехватывается сайтом-прокладкой, а введенный смс-код только подтвердит совершение операции. С технической точки зрения это тоже крайне сложный метод, и действует он только благодаря потере бдительности некоторыми гражданами.

Совет: совершать покупки или оплачивать услуги необходимо только через проверенные, крупные интернет-магазины. Так же можно воспользоваться рекомендацией знакомых.

Звонок владельцу карты

Этот вариант самый простой, не требующий от мошенников серьезной технической подготовки. Рассчитан он, опять же, на доверчивых и небдительных граждан. Суть этого метода следующая: на телефон держателя карты поступает звонок, якобы от сотрудника банка. Чаще всего в этих целях применяются номера с кодом — 8(800), чтобы у пользователя не возникало сомнений.

Мошенник представляется сотрудником банка-эмитента, и просит продиктовать данные карты для проверки работы системы безопасности. Голос мошенника по телефону звучит четко и уверено, поэтому доверчивая жертва предоставляет ему всю необходимую информацию по своей карте.

Некоторые мошенники доходят до того, что просят также продиктовать и смс-код, который приходит на телефон жертвы в процессе разговора. Держатель карты еще не понимает, что продиктовав код из смс-сообщения, он потеряет свои деньги, быть может, безвозвратно.

Совет: федеральные номера банка, начинающиеся с цифр – 8 (800) необходимо записать или запомнить. У крупных банков таких номеров может быть не более 2-3. Также следует помнить, что сотрудники никогда не звонят и не запрашивают информацию по картам клиентов банка. Поэтому к такому звонку следует отнестись с подозрением, и лучше самому попытаться перезвонить в банк.

СМС-сообщения с подменных номеров

Достаточно простой метод, который реализовывается по схожей с предыдущим примером схеме. Только в данном случае на телефон держателя карты поступает не звонок, а смс-сообщение с номера, похожего на номер банка.

Так, в середине 2017 года многие пользователи картами Сбербанка начали получать сообщения с номера 9000, в которых просилось оценить работу персонала банковского отделения. При этом такого короткого номера у банка №1 никогда не было. Сбербанком используется похожий номер – 900, чем и воспользовались мошенники.

В сообщении пользователя просили оценить работу банка по 10-бальной шкале, с отправкой ответного смс-сообщения с цифрой, соответствующей выставленной оценке. Пользователь высылал сообщение, после которого приходило еще одно, в котором рекомендовалось прописать реквизиты карты для подбивки общей статистики.

Получив реквизиты карты, злоумышленники проделывали «проверочную» операцию, по условиям которой со счета карты списывалось 1-3 рубля. Учитывая количество держателей карт Сбербанка, примерный размер ущерба можно подсчитать без калькуляции.

Совет: все короткие номера банка необходимо записать в телефонной книге, и если номер оказывается незнакомым, то никакие ответные сообщения на него отправлять не следует. По возможности можно связаться с технической службой банка и уточнить информацию.

Бробанк.ру: Как итог: каждая современная схема мошенничества рассчитана именно на ослабление бдительности владельца карты. Поэтому, в случае возникновения малейших подозрений, проще всего не рисковать, а проверить информацию любым доступным способом.