Хабрахабр

[Из песочницы] Как мошенники делают это. Инструменты обмана

Привет, меня зовут Олег. Я отвечаю за платежные риски в Tinkoff.ru.

С помощью психологических приемов мошенники вводят клиентов в заблуждение с целью наживы. Социальная инженерия вышла на первое место в способах кражи денег со счетов и карт физлиц. Классическая схема такого мошенничества — когда жертве звонят якобы сотрудники службы безопасности банка.

image

Мы собрали пять популярных мошеннических инструментов, с помощью которых «уводили» деньги у ваших коллег и знакомых в 2019 году. Однако арсенал не ограничивается убеждением. Никакой теории — только реальные случаи.
Во всех крупных банках работают системы противодействия мошенничеству, которые анализируют операции, ищут аномалии и мошеннические паттерны.

По понятным причинам в статье не будет изложено, что и как именно банки могут вычислить, но важно понимать: как и пожар, обман лучше предотвратить. Развитие инструментов злоумышленников и противостоящих им систем похоже на эволюцию брони и снаряда — это бесконечный процесс.

В «Тинькофф Историях» в мобильном приложении мы регулярно рассказываем о том как не попасться на уловки изобретательных злоумышленников, а также запускаем сразу несколько тематических проектов, включая мультипликационный сериал.

Базовая схема

Мошенники представляются службой безопасности банка и сообщают о попытке списания денежных средств со счета клиента. Для отмены несанкционированной операции просят назвать полный номер карты и коды подтверждений из СМС. На самом деле в этот момент они либо входят в ваш банковский личный кабинет, либо совершают операции в интернете — тогда попросят еще срок действия и трехзначный код на обратной стороне карты.

Ни пол, ни возраст теперь не влияют на способность противостоять разнообразным схемам уловок. Если раньше были типовые портреты таких жертв, самый распространенный из которых — люди преклонного возраста, то сейчас грани стираются.

IVR

Очевидный минус стандартного сценария для мошенников — это неизбежная борьба со страхами клиентов, их вопросами, которые часто возникают. Например, в том же СМС написано, что никому нельзя сообщать код.

Аферист говорит, что код подтверждения нельзя никому сообщать — это совпадает с текстом СМС и вызывает доверие у жертвы. Однако технологии приходят на помощь не только порядочным гражданам.

Мошенник просит ввести код в тоновом режиме после переключения на IVR (интерактивное голосовое меню), который стандартным дикторским голосом говорит, что нужно ввести код в тоновом режиме после сигнала.

Удаленный доступ

Звонок мошенника обычно застает клиента врасплох. Звонящий представляется сотрудником банка и сообщает о выявлении вредоносного программного обеспечения на устройстве клиента. Для его устранения нужно предоставить доступ к устройству. Жертве необходимо скачать на смартфон программу удаленного доступа — TeamViewer, Anydesk или другую.

image

Мошенник вводит этот код в программу на своем устройстве. После установки лжесотрудник банка просит клиента назвать код, отображающийся в приложении. После того как жертва предоставляет все разрешения (при необходимости скачивает аддон для полного управления), злоумышленник получает в зависимости от ОС и производителя смартфона жертвы:

  • Android (например, Samsung) — полный удаленный доступ к устройству клиента. Мошенник совершает платежи с клиентского устройства, поскольку коды подтверждений операций приходят на него же.
  • iOS и некоторые устройства на Android (например, Nexus) — доступ на просмотр. Мошенник руководит действиями клиента («Нажмите сюда, а теперь — сюда»). В результате клиент сам переводит средства мошеннику.

Подмена номера мошенника

Некоторые злоумышленники звонят с простых симок, купленных горстью у метро. В этом случае жертва получает звонок от лжесотрудников банка с номера с типовыми префиксами 926, 916 и другими.

Другие мошенники в погоне за конверсией звонков в украденные деньги обращаются к телекомуникационным сервисам подстановки номера телефона.

Технически подмена номера возможна за счет эксплуатации уязвимости протоколов телефонных соединений, таких как SIP и ISDN PRI, в которых не предусмотрено механизма контроля достоверности отправителя сообщения.

image

Высветившийся на экране смартфона красивый номер вида 8 (495) ххх-хх-xх притупляет бдительность жертвы.

Cash-in на безопасный счет

Клиенту банка поступает звонок якобы от службы безопасности банка. В ходе разговора выясняется, что счет клиента в опасности и средства с него могут вывести с минуты на минуту.
Аферисты запрашивают номер карты и код подтверждения для входа в личный кабинет, чтобы помочь клиенту. Получив доступ к огромному массиву информации (данные об операциях, счетах, остатках) мошенники без труда втираются в доверие, снимая последние сомнения («Не могут же мошенники столько про меня знать», — думает клиент).

Далее возможны два сценария развития событий. Подготовленной жертве объявляют, что единственный способ спасти деньги — вывести их на безопасный счет.

Клиенту предлагают самостоятельно перевести средства на безопасный счет. Перевод. Дроп — это человек, который за небольшую плату оформляет на себя обычную дебетовую карту, затем передает ее мошенникам, которые используют ее для обналичивания украденных денег. Мошенники с помощью психологического давления убеждают сделать перевод на счет дропа.

Мошенники могут использовать в своих целях банкоматы с функцией cash-in.
Клиенту сообщают, что нужно срочно отправиться к ближайшему банкомату и снять все деньги. Банкомат. Для особо крупных жертв (а мошенники на этот момент видят, сколько денег на счетах) могут даже вызвать такси.

Запугивают штрафами и пенями, а с другой стороны — заманивают обещаниями возместить неудобства денежной компенсацией. После снятия денег жертву просят положить наличные на счет мошенников. В конце концов мошенники одерживают верх, и клиент сам пополняет их счет свежеснятыми наличными.

Переадресация на номере жертвы

Банки не дремлют и, выявив подозрительную операцию, спешат связаться с клиентами.
Обычно лжебезопасники полагаются на свой навык убеждения: они настраивают клиента против настоящих сотрудников банка и внушают необходимость подтвердить операции. Это может выглядеть сюром, но таковы реалии.

image

Вместо сложной обработки клиента просят его набрать на телефоне последовательность символов, которая в действительности является USSD-командой на включение переадресации входящих звонков жертвы на номер мошенников. Но некоторые мошенники больше полагаются на технологичные решения. Кроме того, запрашивают идентификационные данные, по которым будут пытаться выдавать себя за клиента при звонке настоящей службы безопасности.

Заключение

Мошенники могут использовать сразу несколько средств из этого перечня. Поэтому важно быть настороже при любых звонках из банка и не спешить доверять звонящему. Он может угрожать штрафами со стороны банка и соблазнять бонусами за выполнение своих требований.

Поэтому нужно запомнить, что настоящие сотрудники банка никогда не попросят:

  1. Сообщить им код подтверждения операции.
  2. Установить программы на смартфон, тем более с функционалом удаленного доступа.
  3. Выполнить на телефоне USSD-команды.
  4. Перевести или через банкомат внести ваши деньги на счета третьих лиц.

В следующей статье — еще больше о том, как противостоять мошенникам, которые подстерегают вас буквально на каждом шагу: в соцсетях, инвестициях, на досках объявлений и сайтах знакомств.

А уже сейчас можно ознакомиться с материалами www.tinkoff.ru/secure.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть