Схема похищения платежных реквизитов с использованием поддельных сайтов

12 августа 2021 года клиентке Сбербанка Анастасии позвонил «сотрудник технического отдела Сбербанка». Злоумышленник сообщил, что по «единому лицевому счету клиента», который оформлен по паспортным данным в ЦБ и к которому привязаны все банковские карты клиента во всех кредитных организациях, как дебетовые, так и кредитные, и к которому имеет доступ регулятор, совершаются подозрительные операции. Для их отмены мошенник предложил подать заявку в службу безопасности кредитной организации.

В заявлении мошенник просил указать количество карт и счетов, открытых во всех банках, клиентом которых является Анастасия, и даты и объем последних операций по ним. Девушка повесила трубку.

По последним данным ЦБ, объем незаконных списаний с банковских счетов граждан и компаний в 2020 году составил 9 млрд рублей, более чем на 40% превысив показатель за 2019-й.

«Мошенники могут не только снять у жертвы деньги с дебетовых и кредитных карт, но и взять новый кредит, используя методы социальной инженерии, — отметил управляющий RTM Group Евгений Царев. — Главное в данном случае для злоумышленника — получить доступ к информации в аккаунте жертвы. Из баз, которые продаются в открытом доступе, он может добыть паспортные данные, адрес, номер телефона, а также номер банковской карты (такую информацию нередко «сливают» сотрудники интернет-магазинов) интересующего человека».

Мошенникам несложно поставить неподготовленного собеседника в тупик, используя для описаний слова типа «государственный» или «российский»

Когда мошенник называет персональные сведения клиента, это позволяет сделать его обращение более достоверным. Часто жертвы реагируют на такой звонок согласием, особенно социально слабозащищенные граждане (включая пенсионеров, одиноких людей). Получив доступ к управлению счетами жертвы (например, пользователь называет коды из СМС, приходящие на телефон), киберзлоумышленник переводит деньги на свой аккаунт. Помимо этого, может запросто за несколько минут прямо в приложении оформить заявку на новый кредит, получить деньги и снова их вывести. При такой схеме получается, что клиент не только своих денег лишается, но и набирает ссуд, говорит Царев.

Заместитель гендиректора компании «Газинформсервис» Николай Нашивочников указал, что очень несложно поставить неподготовленного собеседника в тупик, ссылаясь, как в этом случае, на вымышленный лицевой счет, к которому можно было бы еще добавить слова «государственный» или «российский» для большей убедительности.

«Аналогичным образом организаторы финансовых пирамид, таких как недавняя Finiko, утверждали, что придумали «систему генерации прибыли, которая работает по принципу прогнозируемых рисков, которые управляются статистикой децентрализованных продуктов», — пояснил Нашивочников. — Это ничего не значащий набор слов, звучащий интригующе для неискушенного инвестора, однако за ним не стоит ничего. Опасность этих схем такая же, как и в любых других случаях использования социальной инженерии, — жертва мошенничества добровольно и без принуждения расстается со сведениями, необходимыми мошенникам, и даже выполняет действия, которые от нее требуют злоумышленники».

По словам Царева, судебная практика для клиентов банков, которые попадают в такие ситуации, негативна: через суд почти невозможно оспорить, что кредитные деньги получил не клиент, а другое лицо. «Наилучший способ защиты — просто повесить трубку, как сделала Анастасия, — пояснил Царев. — Поскольку долгий разговор с мошенниками может дать им возможность записать голос и использовать его потом с целью атак на родственников, например. Также можно сообщить в службу безопасности банка о звонке, с тем чтобы специалисты уведомили клиентов о новой схеме».

Между тем

И еще две новые схемы мошенников

За прошлую неделю появилось две новые мошеннические схемы. В рамках первой, о которой сообщила газета «Известия», злоумышленники звонят от имени Пенсионного фонда России (ПФР) с предупреждением о сокращении пенсии в том случае, если человек не погасит некую «задолженность» по специальному счету.

В рамках второй, на которую обратили внимание РИА Новости, — усовершенствовали старые методы с резервным счетом, на который нужно переводить деньги с целью «спасти» их, добавив элемент запугивания жертв уголовным преследованием.

Сохранность денежных средств клиента, сохранность банковской карты и/или ее реквизитов во многом зависит от самого держателя карты, от его знаний правил пользования картой, соблюдении им мер безопасности при проведении операций с использованием карты, а также информированности о схемах мошенничества с банковскими картами, используемых преступниками.

Наиболее распространенными схемами мошенничества с банковскими картами являются следующие:

Интернет-мошенничество на доверии – это самая распространенная в настоящее время схема мошенничества, которая может выглядеть следующим образом:

1. На телефонный номер держателя карты, разместившего в газете или на сайте публичное объявление о продаже того или иного имущества, поступает звонок от якобы потенциальных покупателей с целью приобрести данное имущество. После чего «потенциальный покупатель» предлагает удобную форму оплаты в виде пополнения банковской карты, для чего просит сообщить ему такие данные банковской карты, как номер карты, срок действия, проверочный код, а также дополнительный секретный код, направляемый банком в SMS-сообщении на мобильный телефон клиента при совершении клиентом операции в сети Интернет. Получив данную информацию, «потенциальный покупатель» совершает не операцию пополнения карточного счета клиента, а операцию по переводу/списанию денежных средств в сети Интернет с карты держателя, например, на свой электронный кошелёк.

2. Мошенники представляются службой безопасности банка и сообщают клиенту о подозрительной операции по его карте и о возможности вернуть якобы списанные с карты деньги. Либо сообщают о сбое в системе банка и необходимости блокировать карту. Для решения проблемы мошенники просят сообщить данные карты, пароли от мобильного банка. При этом злоумышленники с помощью современных технологий используют подмену номеров телефонов под официальные номера банка, тем самым усыпляя бдительность клиента.

3. Мошенники сообщают, что с банковской картой клиента или мобильным приложением произошел некий инцидент, и убеждают установить приложения, якобы защищающие денежные средства. Такие приложения могут оказаться программами удаленного доступа и управления устройством клиента: TeamViewer, AnyDesk или их аналоги. После установки такой программы и получения ID и кодов доступа мошенники подключаются к устройству жертвы и могут управлять им, просматривать любую информацию, выполнять операции через мобильный банк.

4. Мошенники активно используют тему коронавирусной инфекции и состояние обеспокоенности людей для хищения денежных средств. Злоумышленники могут представиться работниками Пенсионного фонда, Роспотребнадзора и других государственных или социальных организаций, сообщить о положенной социальной выплате или материальной помощи, тем самым вынуждая предоставить информацию о карте, кодах, паролях из смс, персональных данных, либо совершить какие-либо действия для получения выплат.

Оставление карты в банкомате – в случае применения этой новой схемы мошенники якобы случайно забывают карту в банкомате и просят ее изъять оказавшегося рядом человека. После того, как тот берет карту, злоумышленник проверяет ее баланс и утверждает, что с его счета пропали деньги и вынуждает вернуть доставшего карту человека эту сумму. В используемой злоумышленниками схеме могут участвовать двое или трое — еще один человек будет изображать «свидетеля» кражи денег с карты. Притворившийся пострадавшим злоумышленник начнет угрожать вызвать полицию, обосновывая это тем, что на его карте остались чужие отпечатки пальцев, и якобы будет легко доказать предполагаемую пропажу денег с карты.

На самом же деле никакой кражи денежных средств от прикосновения к карте не происходит, мошенники пытаются заполучить денежные средства путем запугивания и обмана оказавшегося рядом человека.

Компрометация ПИН-кода держателем банковской карты. Под этим понимается запись ПИН-кода непосредственно на карте или на каком-либо носителе (лист бумаги, записная книжка, мобильный телефон), хранимом вместе с картой. Если банковская карта утеряна или украдена (обычно вместе с бумажником, барсеткой, сумочкой), то у вора оказывается и карта, и персональный код. В таком случае мошенникам совсем нетрудно несанкционированно использовать банковскую карту для получения наличных денежных средств и/или оплаты товаров (услуг).

Дружественное мошенничество. Член семьи, близкий друг, коллега по работе, имея доступ к месту хранения банковской карты, берет ее без разрешения ее держателя, а затем, предварительно узнав ПИН-код, использует карту в своих целях.

Подглядывание из-за плеча. Мошенник может узнать ПИН-код держателя банковской карты, подглядывая из-за его плеча, пока тот вводит свой код, осуществляя операции в банкомате или в электронном терминале. При этом могут использоваться специальные оптические приборы. Затем мошенник осуществляет кражу карты и использует её в своих целях.

Фальшивые банкоматы. В последнее время преступники воспользовались ростом числа банкоматов и стали применять «фальшивые» банкоматы или прикреплять к настоящим банкоматам специально сконструированные устройства.
Мошенники разрабатывают и производят фальшивые банкоматы, либо переделывают старые, которые выглядят как настоящие. Они размещают свои банкоматы в таких местах, как, например, оживленные торговые районы, где ничего не подозревающие держатели банковских карт попытаются получить из таких фальшивых банкоматов деньги. После введения карты и ПИН-кода обычно на дисплее фальшивого банкомата появляется надпись, что денег в банкомате нет или что банкомат не исправен. К тому времени мошенники уже скопировали с магнитной полосы карты информацию о счете данного лица и его персональный идентификационный номер.

Копирование магнитной полосы (skimming). Данный вид мошенничества подразумевает под собой использование устройств, считывающих информацию с магнитной полосы банковских карт при ее использовании в электронных устройствах (банкоматах, электронных терминалах). Специально изготовленные клавиатуры, которыми накрывают существующие клавиатуры настоящих банкоматов/терминалов, для считывания конфиденциальных данных магнитной полосы, запоминания ПИН-кода.
Законный держатель банковской карты проводит операцию с вводом персонального идентификационного номера (ПИН), в это время дополнительно установленное устройство считывает и записывает информацию на магнитной полосе. Т.е. у злоумышленников появляется данные необходимые для дальнейшего изготовления поддельной карты и ее использования в своих целях.

Ложный ПИН-ПАД. Держателю карты может быть предложено ввести ПИН-код не в настоящий ПИН-ПАД (устройство для ввода ПИН-кода), а в ложное устройство его имитирующее, которое запомнит введенный код. Такие устройства иногда устанавливают рядом со считывающими датчиками, предназначенными для прохода в помещение с банкоматом с использованием в качестве идентификатора (электронного ключа) банковской карты.

Фишинг (англ. phishing) – измененная форма от английских слов phone (телефон) и fishing (рыбная ловля). Термин появился для обозначения схемы, в результате которой, путем обмана, становятся доступными реквизиты банковской карты и ПИН-код. Чаще всего используется в виде рассылки sms-сообщений о блокировании карты, успешном совершении операции перевода денежных средств или изменении настроек, а также рекомендация перезвонить на номер мобильного телефона с целью получения инструкций по разблокированию карты. Также могут быть использованы рассылки электронных писем от имени банка или платежной системы с просьбой подтвердить указанную конфиденциальную информацию на сайте организации. Фишинговое письмо может выглядеть следующим образом.

От: VISA Сервис [mailto:VisaService@visa.com]
Отправлено: дата, время
To: держатель карты
Тема: Внимание! Потеряна база данных кредитных карт VISA!

Здравствуйте, к сожалению, в виду того, что некоторые базы данных были взломаны хакерами, Visa установила новую систему безопасности. Вам следует проверить Ваш остаток, и в случае обнаружения подозрительных транзакций обратиться в Ваш банк-эмитент. Если Вы не обнаружите подозрительных транзакций, это не означает, что данные карты не потеряны и не могут быть использованы. Возможно, Ваш банк-эмитент еще не обновил информацию. Поэтому мы настоятельно рекомендуем Вам посетить наш Интернет-сайт и обновить Ваши данные, иначе мы не сможем гарантировать Вам возврат украденных денежных средств. Спасибо за внимание. Нажмите сюда для обновления Ваших данных.

Неэлектронный фишинг— его появление обусловлено увеличением объемов эмиссии микропроцессорных карт и связанной с этим процессом программой международных платежных систем «чип и ПИН», т.е. осуществление покупки в предприятии торговли (услуг) посредством обязательного ввода ПИН-кода. В отличие от традиционного— электронного фишинга (см. выше), в схемах неэлектронного фишинга создаются реальные торгово-сервисные предприятия/офисы банков либо используются уже существующие. Держатели платежных карт совершают покупки товаров, получают услуги либо снимают денежные средства в кассе банка. Операции производятся с использованием банковских микропроцессорных карт и сопровождаются введением клиентом своего ПИН-кода. Сотрудники мошеннических предприятий негласно копируют информацию с магнитной полосы карты и производят запись персонального идентификационного номера. Далее мошенники изготавливают поддельную банковскую карту, и в банкоматах производится снятие денежных средств со счета клиента. Данный вид мошенничества распространен в Турции, но может происходить и в других странах мира.

Вишинг (англ. vishing) – разновидность фишинга — голосовой фишинг, использующий технологию, позволяющую автоматически собирать конфиденциальную, такую как номера карт и счетов информацию. Мошенники моделируют звонок автоинформатора, приняв который держатель получает следующую информацию:    

• автоответчик предупреждает, что с его картой производятся мошеннические действия, и дает инструкции – перезвонить по определенному номеру немедленно;
• злоумышленник, принимающий звонки по указанному автоответчиком номеру, часто представляется вымышленным именем от лица финансовой организации и проводит идентификацию клиента, позволяющую узнать персональные данные клиента и карты;
• либо на другом конце провода автоответчик, сообщающий, что человек должен пройти сверку данных, а также ввести 16-значный номер карты с клавиатуры телефона;
• как только все необходимые данные получены, вишеры становятся обладателями информации (номер телефона, полное имя, адрес), которая может быть использована для совершения операций в сети Интернет;
• затем, используя информацию, полученную в ходе первого звонка, можно собрать и дополнительную информацию, такую, как PIN-код, срок действия карты, номер банковского счета и т.п., что позволяет изготовить поддельную карту для использования в физических устройствах.

Фарминг (англ. «pharming» – производное от слов “phishing” – измененная форма от английских слов phone (телефон) и fishing (рыбная ловля) и «farming» – занятие сельским хозяйством, животноводством) — это процедура скрытного перенаправления пользователей на поддельные сайты. Злоумышленник распространяет на компьютеры пользователей специальные вредоносные программы, которые после запуска на компьютере перенаправляют обращения к заданным сайтам, в том числе обращения пользователя к сайту своего банка с целью управления своим банковским счетом, на поддельные сайты. Таким образом, обеспечивается высокая скрытность атаки, а участие пользователя сведено к минимуму – достаточно дождаться, когда пользователь решит посетить интересующие злоумышленника сайты. Попадая на поддельный сайт, пользователь для выполнения той или иной операции по своему счету, вынужден подтвердить свои пароли и указать реквизиты банковской карты, которые тем самым становятся известны мошенникам.

В последнее время участились случаи телефонного мошенничества, при котором владельцы сотовых телефонов получают SMS сообщения недостоверного содержания, заманивающие пользователей на инфицированный веб-сайт. В тексте фальшивого SMS сообщения пользователю обычно сообщается о том, что он подписан на некую платную услугу, за которую ежедневно с его счета будет удерживаться определенная сумма, и если он хочет отказаться от данной услуги, то ему нужно зайти на сайт. Зайдя на указанный в SMS сообщении сайт, пользователь активирует троянскую программу, которая заражает компьютер и открывает тем самым мошенникам доступ к компьютеру пользователя. Такой тип мошенничества получил название смишинг (англ. «SMiShing» – производное от SMS и “phishing”).

Схемы мошенничества с пластиковыми картами: при переводе денег на карту, через мобильный банк

Если говорить о мошенничестве с пластиковыми картами в его обиходном понятии, то способы мошенничества с банковскими картами весьма разнообразны. Например:

• мошенничество при переводе денег на карту — преступник обманом выведывает номер карты и CVV-код — якобы для перевода оплаты или чтобы вернуть ошибочный перевод, и, соответственно, получает возможность расплачиваться чужой картой в интернете;
• мошенничество с банковскими картами через мобильный банк — мошенник начинает подключать со своего устройства мобильный банк к чужой карте, а код для подключения выведывает у владельца карты, получившего СМС; это позволяет мошеннику быстро вывести средства со всех счетов владельца карты или получить кредитную карту и воспользоваться ею;
• путем добавления к банкоматам (настоящим или поддельным) особого устройства, считывающего данные с карты; этот вид имеет собственное название — скимминг (на основе полученных данных изготавливается поддельная платежная карта, с помощью которой снимаются деньги со счета);
• путем установок на банкоматы накладок, захватывающих карту, или «ливанской петли» (специальные устройства или просто кусок жесткой пленки, которые не дают карте попасть в банкомат; мошенники подсматривают ПИН-код и, дождавшись ухода жертвы в банк, достают карту и снимают с нее деньги).

Банки и правоохранительные органы не без успеха борются с перечисленными преступлениями, поэтому их распространенность в России постоянно меняется в зависимости от таких факторов, как усиление банками защиты карт и банкоматов и ответное техническое развитие мошенников.

Обязан ли банк вернуть деньги при списании их с банковской карты или через интернет-банк без согласия клиента, узнайте в КонсультантПлюс. Есл у вас нет доступа к системе К+, получите пробный демо-доступ бесплатно.

Мошенничество с номерами банковских карт: технические способы борьбы

Большое значение для борьбы с мошенниками, совершающими хищения с платежных карт, стало изменение 16.03.2015 «Положения о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…», утв. Банком России 09.06.2012 № 382-П. Указанные изменения фактически исключили использование платежных карт, на которых информация сохранена только на магнитной полосе: согласно п. 2.19 Положения, с 01.07.2015 возможна выдача дебетовых или кредитных карт, оснащенных и микропроцессором, и магнитной полосой. Это усложнило подделку кредитных карт на основе информации от скимминга.

Затем многие банки (Сбербанк, Газпромбанк, ВТБ, Банк Москвы и др.) и международные платежные системы (Visa, MasterCard) ввели защиту от несанкционированных владельцем карты платежей в интернете. Ранее использовалась схема мошенничества с банковскими картами, при которой посторонними лицами оплачивались покупки в интернете в тех магазинах, которые требовали минимум реквизитов для оплаты (только номер карты, номер и имя владельца, номер и CVV/CVC-код). Противодействует такому методу хищения технология 3D-Secure — она предусматривает совершение оплаты лишь после ввода в интернет-магазине кода, полученного на привязанный к карте номер мобильного телефона.

ВАЖНО! Мошенничество с номером банковской карты в интернете подпадает не под состав по ст. 159.3 УК РФ, а под состав по ст. 159.6 УК РФ.

Мошенничество с пластиковыми картами в России — юридические способы борьбы

Специальные виды мошенничества появились в Уголовном кодексе РФ 10.12.2012 (см. закон от 29.11.2012 № 207-ФЗ о поправках в УК и ряд других законодательных актов), среди них и мошенничество с платежными картами.

Ранее действия, подпадающие ныне под квалифицированные составы, считались мошенничеством, предусмотренным ст. 159 УК РФ. Важной вехой в квалификации мошенничества, в том числе и с платежными картами, стало постановление Пленума Верховного Суда РФ от 30.11.2017 № 48.

Последствием появления новых специальных составов мошенничества для уже осужденных или находящихся под следствием граждан стала переквалификация их действий (см., например, постановление Президиума Самарского областного суда от 29.05.2014 № 44у-86/2014). Дело в том, что новые виды мошенничества были сочтены законодателем не столь общественно опасными — максимальная санкция за их совершение ниже, чем за мошенничество по ст. 159 УК РФ (4 месяца ареста против 2 лет лишения свободы за неотягченные деяния).

Обратите внимание! При наличии подозрений насчет совершения мошеннических операций необходимо обратиться в правоохранительные органы и написать заявление о совершении преступления.

Скачать бланк такого заявления можно бесплатно, кликнув по картинке ниже.

Заявление о совершении преступления (о мошенничестве)

Скачать

Как вернуть деньги, списанные с банковской карты физлица без его согласия? Ответ на этот вопрос есть в КонсультантПлюс. Получите пробный демо-доступ к системе К+ и бесплатно переходите в материал.

Состав преступления при мошенничестве с платежными картами

В отношении субъективной стороны мошенничества с пластиковыми картами отметим, что это умышленное преступление (прямой умысел). Причем несмотря на то что хищение происходит не «из кармана» потерпевшего, преступник рассчитывает удовлетворить свою корысть именно за счет владельца карты, а не банка, через который похищаются денежные средства.

Субъект данного преступления — лицо, достигшее 16 лет.

Объектом являются, как и в других составах главы 21 УК РФ, общественные отношения в сфере права собственности. Нет единого мнения о предмете преступления — в данном случае таковым считают в том числе:

• денежные средства;
• права владельца карты на похищенные денежные средства.

Возможно, предмет отличается в зависимости от того, какую цель преследовал преступник, вводя в заблуждение сотрудника банка или торговой организации: например, получение кредита для держателей зарплатной карты явно говорит о том, что предметом являлись права настоящего владельца карты.

ВАЖНО! Карта может быть только платежной — дебетовой или кредитной — но не топливной или иной картой скидочной программы, на которой отсутствуют денежные средства для хищения.

Объективная сторона специфична по сравнению с другими видами мошенничества — вводится в заблуждение путем обмана или злоупотребления доверием не владелец имущества, как обычно происходит в «классическом» составе мошенничества ст. 159 УК РФ, а сотрудник банка или торговой организации. Состав является материальным, то есть хищение признается совершенным после получения преступником денег или иных имущественных благ и появления у мошенника возможности распорядиться похищенным.

Разграничение мошенничества с пластиковыми картами и смежных составов

Очевидно, что далеко на каждый вид мошенничества, воспринимаемый гражданами в качестве мошенничества с использованием платежных карт, признается таковым уголовным законом. Квалифицировать по специальной ст. 159.3 УК РФ можно, например:

• скимминг, если изготовленная в результате фальшивая карта используется для приобретения товаров, получения в банке кредитной карты (ст. 159.1 УК РФ в последнем случае неприменима, так как для мошенничества в сфере кредитования принципиально наличие субъекта-заемщика);
• совершение офлайн-покупок по похищенной карте;
• получение платежной карты по подложным документам (см. Справку-обобщение изучения судебной практики рассмотрения судами Самарской области уголовных дел о преступлениях, предусмотренных ст. ст. 159.1 – 159.6 УК РФ).

Изготовление и сбыт фальшивых платежных карт образуют самостоятельный состав преступления — ст. 187 УК РФ. В случае когда лицо изготовило, а потом использовало банковскую карту в торговой организации, содеянное им квалифицируется по совокупности ст. 187 и 159.3 УК РФ.

ВАЖНО! Принципиальным признаком преступления по ст. 159.3 УК РФ является введение в заблуждение сотрудника банка или торговой точки — например, когда для оформления кредитной карты якобы держателю зарплатной карты мошенник предъявляет поддельный паспорт (см. п. 17 постановления Пленума Верховного Суда РФ от 30.11.2017 № 48). Когда преступник снимает наличные по фальшивой или украденной карте в банкомате, это не образует состава мошенничества, так как нет лица, которое вводится в заблуждение с использованием пластиковой карты. Такое преступление является кражей (ст. 158 УК РФ).

Итоги

Итак, мошенничество с использованием банковских карт — весьма узкий состав преступления, под который подпадают хищения лишь с банковских дебетовых или кредитных карт и только путем предъявления этих карт злоумышленниками в банк или торговую организацию для расчетов. Все прочие «схемы» мошенников, в которых фигурируют пластиковые карты, являются либо кражей (ст. 158 УК РФ), либо иными видами мошенничества.

Распространенные вопросы

Что делать, если мошенники получили данные карты и списали деньги?

Если мошенниики каким-то образом смогли получить доступ к карте и списали с нее денежные средства, то потерпевшему следует:

1. Обратиться в банк и заблокировать карту.
2. В офисе банка написать заявление о том, что указанная операция не была совершена потерпешим.
3. Написать заявление в полицию о краже денежных средств с карты.

Что делать, если звонят из банка и просят реквизиты карты, кода доступа?

Ни в коем случае не сообщайте никому реквизиты своей карты, а также CVC код, расположенный с обратной стороны карты. Представители банка знают на кого зарегистрирована карта и видят сведения клиента. 

Так же мошенники используют смс рассылку с сообщением о том, что карта заблокирована. Клент перезванивает по указанному номеру, а мошенники  сообщают, что на сервере произошел сбой и просят номер карты и пин-код, который был выслан на телефон потерпевшего. Как только эти сведения сообщаются, мошенники  могут управлять счетом жертвы.

Что такое фишинг?

Фишинг — кража данных карты посредством создания сайтов зеркал. То есть мошенники создают сайт-зеркало один в один похожий на оригинал.  Разница может быть в одной букве доменного имени. Далее клиент вводит персональные данные, оплачивает покупку и остается без услуги и без денег. Как правило, мошенники подделывают  сайты авиакомпаний, страховых компаний и самих банков.

Если вы вошли в онлайн-банк, а смс о входе не поступили, рекомендуем незамедлительно обратиться в банк и заблокировать счет. Разблокировать его можно будет обратвшись в банк с паспортом и обязательной сменой пароля.

«Фальшивые» банки – новый способ похищения данных в интернете

Один из популярных способов фишинга (сбора личных данных пользователей) в 2020 – 2021 годах – сайты фальшивых банков. Однако они могут заниматься и настоящим мошенничеством, похищая денежные средства под видом вкладов.

Одним из таких сайтов – обманок стал вроде бы действующий, но по факту мошеннический АО «Монолит-Капитал банк». Компания размещает на своем сайте информацию о генеральной лицензии от ЦБ, позволяющей оказывать банковские услуги, которая якобы была получена в марте 2015 года.

Однако проверка по номеру «лицензии» в реестре показывает, что указанный номер лицензии закреплен за совершенно другой организацией – «Киви-банком», а компания с названием указанном на сайте, вообще не зарегистрирована. Существует только банк «Монолит», но и тот был лишен лицензии в 2014 году.

Справочно: адвокат по мошенничеству в москве.

Из небытия новоиспеченный банк появился совсем недавно. Домен подставной организации начал использоваться в конце февраля 2021 года. При этом на главной странице размещено заманчивое предложение о вкладах под 11% годовых. Но при этом отсутствует какие-либо обязательные для подобных организаций отчеты и реквизиты.

Если же попытаться связаться с компанией по указанному номеру телефона, вам ответит вежливый заинтересованный голос, представится поддержкой клиентов банка «Монолит – Капитал» и расскажет, что предоставить какую-либо информацию о продуктах он сможет только вкладчикам или клиентам, заполнившим специальную анкету на сайте.

В этой электронной форме вам необходимо будет указать не только имя и фамилию, но и другие персональные данные (защита персональных данных), которые будут тут же украдены. По словам консультанта, служба безопасности банка проверит обратившегося человека, а затем сотрудники свяжутся с ним. Предлагается два варианта сотрудничества: дистанционный по всей России и персонально в отделениях организации в Москве.

При этом если приехать по указанному на сайте адресу, вместо отделения банка обнаружатся совершенно другие организации. А в службе поддержке вас будут уверять, что необходимый вам филиал находится в городе Москва, но по другому адресу. И вообще в данный момент по каким-либо причинам не принимают клиентов.

При проверке телефонного номера банка — мошенника оказалось, что он числится в различных системах, как подозрительный. Раньше с него поступали печально известные звонки от мошенников, представлявшихся «службой безопасности Сбербанка».

Основной задачей сайта и всей организации является сбор, а затем перепродажа третьим лицам личных данных, как считают специалисты. Однако не исключена возможность и прямого мошенничества. Хотя такая схема используется не так часто, так как является прямым нарушением закона, что может повлечь за собой уголовную ответственность.

Сайт банка «Монолит-Капитал» далеко не уникальный случай. Такие «обманки» для сбора данных создаются десятками каждый месяц. ЦБ сообщает, что по конкретному сайту уже был отправлен запрос, для того, чтобы его заблокировали. Станислав Кузнецов, являющийся зампредом правления Сбербанка, отмечает, что с такой проблемой мошеннических сайтов в последние несколько лет специалисты сталкиваются все чаще, а время, за которое их блокируют, после обращения в надлежащие структуры слишком длительное. В некоторых случаях после выявления они работают еще в течение целого месяца.

По статистике Центрального Банка только за 2020 год было заблокировано 1034 сайта лжебанков. По сравнению с предыдущим годом цифра увеличилась вдвое, а значит подобный бизнес только набирает обороты. Именно поэтому специалисты призывают пользователь быть более внимательными с подобными ресурсами. Перед тем, как предоставлять сайту личные данные, проверьте номер лицензии банка на сайте регулятора. Это простое действие поможет избежать мошенничества.

Важным фактором является то, что подобная деятельность не является незаконной. Какой-либо ответственности за сбор информации подобным способом не последует. А вот если лжебанк пойдет на прямое мошенничество и вымогание денег под видом вкладов и других финансовых услуг, в таком случае вступит в действие ст. 159 УК РФ (мошенничество).

Какие способы кардинга наиболее популярны, что делать, если мошенники узнали данные вашей банковской карты, как обезопасить себя от хищения и каковы шансы вернуть средства — в материале “Ъ”.

Самые распространенные способы хищения средств с банковских карт (кардинга) основаны на психологических методах убеждения, обмана или запугивания клиентов. По данным российского Центробанка, среди всех атак более 80% приходится на связанные с социальной инженерией. Наиболее популярен среди мошенников телефонный фишинг — так называют процесс выманивания персональных данных у банковских клиентов.

Как работают мошенники

• Представляясь банковскими сотрудниками («службой безопасности» или «службой финансового мониторинга»), сообщают о подозрительной активности и предлагают продиктовать данные карты, чтобы банк принял меры по защите средств.
• Убеждают перевести деньги на отдельный счет якобы для их защиты, сделать это можно онлайн либо сняв деньги в банкомате — в этом случае клиенту даже могут заказать до него такси.
• Просят установить специальное программное обеспечение для «защиты средств», с помощью которого мошенники могут украсть данные карты и оформить предодобренный кредит, после чего вывести средства.
• С начала пандемии мошенники активно эксплуатируют тему коронавируса, будь то «бесплатная» диагностика, медицинская помощь, пособия, компенсации, возврат средств за авиабилеты и другие предлоги, конечной целью которых является перевод денег.
• Сообщают пожилым людям о положенных выплатах от имени сотрудников Пенсионного фонда, в этом случае узнать номер банковской карты и другие данные им нужно якобы для перечисления денег. В некоторых случаях злоумышленники предлагают перевести деньги на сторонний счет для уплаты госпошлины за будущую компенсацию.

Важно! Не стоит сообщать третьим лицам данные карты, в том числе четырехзначный PIN-код и трехзначный CVC-код, указанный на обороте. При звонках от мошенников могут отображаться реальные номера банковских телефонов. Они могут представляться также полицейскими или работниками бюро кредитных историй.

По статистике около четверти владельцев карт готовы раскрыть посторонним трехзначный код безопасности, а также срок действия карты и код из СМС-сообщения (3DSecure), которые сообщать нельзя.

По последним данным Центробанка, за первое полугодие 2020 года было заблокировано почти 10 тыс. телефонов мошенников — почти в четыре раза больше, чем за аналогичный период 2019-го.

Почтовый фишинг, соцсети и поддельные сайты

Рассылаемые мошенниками письма могут содержать ссылки на поддельные сайты, имитирующие странички интернет-магазинов с большими скидками, а также отелей, сервисов по продаже авиабилетов, страховых компаний, различных ведомств. Письма приходят также под видом квитанций об оплате коммунальных платежей или в виде официальных уведомлений от банков и других организаций.

Еще один популярный способ мошенничества связан с продажами на сайтах объявлений, где покупатель по поддельной ссылке вводит данные для оплаты несуществующего товара.

В соцсетях мошенники делают рассылки по списку друзей со взломанного аккаунта с просьбой перевести денег на карту. Подобную информацию всегда необходимо перепроверять по другим каналам связи.

Важно! Не нужно переходить по ссылкам из подозрительных писем и загружать неизвестные программы. Остерегайтесь оплачивать покупки на подозрительных сайтах, не переводите деньги, если нет уверенности в получателе. Контролируйте все операции по счету и пользуйтесь антивирусными программами.

За первое полугодие 2020 года Центробанк заблокировал около 4,7 тыс. сайтов, созданных мошенниками. Из них более 500 страничек имитировали сайты банков.

Мошенничество с банкоматами

Краж с использованием специальных считывающих устройств (скиммеров) и накладок на пин-пады банкоматов становится все меньше из-за улучшения технической оснащенности банков. Им на смену приходит моделирование ситуаций с элементами социальной инженерии. В одном из сценариев мошенник (чаще пожилой) «забывает» карту в банкомате и затем просит извлечь ее человека, оказавшегося рядом. Получив карту обратно, злоумышленник вместе с сообщниками проверяет баланс по счету и утверждает, что деньги пропали, после чего требует их вернуть.

Важно! Не нужно извлекать из банкоматов чужие карты. В случае если карта уже извлечена и поступают угрозы, рекомендуется вызвать полицию.

БИН-атаки

Один из немногих действующих в 2021 году методов кардинга без выманивания данных у самого клиента. В этом случае мошенникам нужно выяснить первые шесть цифр номера карты (БИН — банковский идентификационный номер), и затем с помощью специальных программ попытаться сгенерировать оставшиеся цифры. В результат по карте проводятся онлайн-платежи, для совершения которых не требуется получение СМС-кода от банка. По данным исследования «Тинькофф», число БИН-атак в 2020 году выросло в три раза по сравнению с 2019-м.

Сколько денег украли мошенники

По данным Центробанка, за первое полугодие 2020 года мошенники провели около 360 тыс. несанкционированных операций, у клиентов было похищено около 4 млрд руб. В 2019 году мошенники совершили 577 тыс. операций на 5,7 млрд руб. ущерба.

По другим оценкам, масштаб проблемы серьезнее. К примеру, компания BrandMonitor оценивала сумму похищенных в 2020 году телефонными и онлайн-мошенниками средств россиян в 150 млрд руб.

Средний объем одного успешного хищения в 2020 году «Тинькофф» оценивает в 13,9 тыс. руб. — на 1,2 тыс. меньше, чем в 2019-м.

Что делать, если мошенники получили данные и сняли деньги с карты

1. Позвонить в банк, заблокировать карту, заявив о несанкционированном использовании средств

2. В офисе банка составить документ о несогласии с операцией

3. Подать заявление в полицию о краже денег с карты

Комментарий эксперта Дениса Калемберга, основателя и генерального директора компании SafeTech:

«Если реквизиты карты стали известны мошенникам, то в большинстве случаев они используют их для перевода на карты «дропов», выпущенные на поддельные или чужие паспорта. Обычно «дропы» снимают украденные средства в течение нескольких минут после перевода. Также для кражи нередко используются покупки техники в интернет-магазинах с последующей перепродажей.

Сделать покупку или перевод, зная только номер карты невозможно, но это не значит, что его можно сообщать кому угодно, ведь этот номер зачастую используется для восстановления доступа к мобильному банкингу. Для оплаты же запрашивается как минимум еще срок действия и имя владельца. Но в этом случае покупку можно будет оспорить и вернуть деньги, если не применялся код 3DSecure (обычно отправляется в СМС для подтверждения оплаты). Ответственность за принятие платежей без подтверждения лежит на интернет-магазине».

Можно ли вернуть похищенные средства

С 2014 года в России действует закон «О национальной платежной системе». Согласно ему, банк обязан вернуть похищенные деньги, но при соблюдении ряда условий со стороны клиента. В первую очередь клиент должен сообщить об операции не позднее суток с момента получения уведомления. По закону, банк должен вернуть деньги, если компрометация данных произошла не по вине клиента, то есть он соблюдал следующие условия:

• не сообщал мошенникам данные карты;
• не хранил пин-код вместе с картой / не записывал его на самой карте;
• не позволял фотографировать свою карту и т. д.

Служебное расследование банка может длиться не более 30 дней, а если операция международная — 60 дней. В случае доказанных нарушений со стороны клиента банк вправе не возвращать деньги. По статистике Центробанка за первое полугодие 2020 года, клиентам возместили лишь 12% похищенных средств. За 2019-й год — 15%.

«Если мошенники похитят все данные карты, плюс узнают код 3DSecure, то вернуть деньги будет крайне проблематично. Правила платежных систем в этом случае возлагают ответственность на клиента. Если же платеж прошел без подтверждения кодом, то шансы определенно есть. Также в последнее время получили распространение сервисы страхования от кражи с банковской карты.

Чтобы до минимума снизить риск потерять деньги, лучше не говорить никому по телефону реквизиты карт и коды из СМС, не вводить данные карт на сайтах, которым не доверяете на 100%, не скачивать мобильные приложения из непроверенных источников и пользоваться антивирусом. Но лучше всего — никогда не держать на пластиковой карте сумму больше той, с которой не жалко расстаться»,— советует Денис Калемберг.