Эксперты Касперского рассказали, как мошенники воруют деньги с банковских карт и вашу цифровую личность

Мы привыкли думать, что украсть деньги с банковской карты могут, только если мы сами скажем мошенникам код с обратной стороны карточки. Или если следовать инструкциям преступников, которые выдают себя за сотрудников банка по телефону, как вышло с семьей врачей из Северодвинска. Однако сейчас есть и более изощренные способы, для которых секретные данные не нужны. Главный эксперт «Лаборатории Касперского» Сергей Голованов раскрыл эти схемы и способы защиты.

— Номер карты, фамилию владельца и номер телефона можно получить из открытых источников. Например, если человек что-то продавал на «Авито» и его попросили скинуть данные, чтобы перевести деньги за покупку. Когда есть номер карты и фамилия владельца, мошенников останавливают несколько цифр: CVV и срок действия карты. Есть огромное количество интернет-магазинов, куда вводят эту информацию и пробуют совершить покупку. Мошенники подбирают номер CVV от 001 до 999: как только прошла оплата, это значит, что номер CVV верный, — объяснил один из вариантов схемы Сергей.

По его словам, подбор проходит в автоматическом режиме с помощью программных средств и специальных скриптов. При этом СМС о покупке может и вовсе не прийти — существуют интернет-магазины, где для покупки не требуется вводить одноразовый пароль из СМС и списание происходит сразу. Если же преступникам нужны приходящие сообщения с паролями, то они могут попытаться сделать дубликат сим-карты.

— Это история про не очень добросовестных сотрудников сотовых операторов. Приходит человек в салон сотовой связи с доверенностью на перевыпуск сим-карты. Сотрудник смотрит на человека и верит ему, что сим-карта была утеряна. Он видит, что человек пришел, показал паспорт и он не похож на того, кому принадлежит сим-карта, но у него есть доверенность. Поэтому сотрудник и принимает решение выпустить дубликат, не обязательно со злым умыслом. После этого в сети появляются две карты. Причем первая может заблокироваться не сразу, всё зависит от оператора: они могут работать и вместе какой-то промежуток времени. Также могут взломать личный кабинет на сайте сотового оператора и прочитать в браузере все СМС, злоумышленники знают, как это делается, — рассказал эксперт.

Технической возможности копировать сим-карты с помощью компьютерных средств, как копируют телефонные номера с помощью IP-телефонии, к счастью, пока нет.

— На текущий момент этого никто сделать не может. Единственный вариант — это ломать не саму симку, а сотового оператора. Есть такие атаки, когда трафик перенаправляют через другую страну, как если бы абонент был в роуминге. Появляется новый сотовый оператор, которому домашний сотовый оператор, ничего не подозревая, передает звонки и сообщения. Это называется атака на протокол SS7, — объяснил Сергей Голованов.

Он рекомендует руководителям не экономить на обучении сотрудников компаний, а гражданам — не забывать о защите мобильных устройств.

Если вам пришло СМС-сообщение, что с карты списали деньги, но вы ничего не покупали, переводы не делали и наличные не снимали, вероятно, карта или ее данные попали к мошенникам. Ваши действия:

• немедленно заблокировать карту;

• сообщить в банк по горячей линии о краже денег и написать в отделении банка заявление о несогласии с операцией;
  

• сделать всё это необходимо не позднее следующего дня после того, как банк уведомил вас об операции, которую вы не совершали.

Чтобы стать жертвой подобных схем, не обязательно раздавать направо и налево свой номер телефона или данные банковской карты. Криминальный бизнес по торговле личными данными с каждым годом набирает обороты.

Торговля личными данными

По словам эксперта по кибербезопасности Global Research and Analysys Team Дмитрия Галова, полный комплект документов со сканом паспорта, ИНН, СНИЛС и даже селфи с паспортом можно приобрести в даркнете от 300 рублей за комплект. Данные банковских карт обойдутся дороже — от 500 до 1500 рублей. Помимо этого активно продают пароли и логины от различных сервисов.

В даркнет эта информация попадает после взлома сайтов и баз данных благодаря нечестным сотрудникам и некоторым вредоносным программам. Также преступники часто присылают ссылки, ведущие на фейковые копии известных сайтов, требующие от вас подтвердить свою личность: все эти данные уходят мошенникам. Кроме того, некоторые люди сами размещают о себе информацию в соцсетях, в том числе даже фотографии с документами. Собранные данные продаются затем на специальных форумах.

Помимо мошенничества, личные данные людей злоумышленники могут потом использовать для шантажа, подделки документов и набирающей популярность услуги «пробива» информации по человеку. Стоимость одного «пробива», в зависимости от запрашиваемых данных, составляет от 1,5 до 50 тысяч рублей.

Владея нужной информацией, можно совершить кражу цифровой личности.

— Уже фиксируются много случаев, когда по чужим документам регистрировались в каршеринге и на криптобиржах, а у людей, чьи данные использовали, потом были проблемы. Например, когда от их имени машину разбивали или махинации проводили. На самом деле всё новое — это хорошо забытое старое.

— Мошенники видоизменяются в плане своих тактик и использования технологий, — пояснил Дмитрий.

Подводя итог, можно сказать, что на 100% обезопасить себя и свои финансы невозможно. Хранящиеся на серверах данные могут в любой момент оказаться в руках взломщиков. Если вины самого человека нет, банк возместит финансовые потери.

Однако большинство потерь происходит как раз из-за пресловутого человеческого фактора, и в этом случае вернуть себе деньги у банка будет крайне сложно.

— Банки не компенсируют потери, если человек добровольно перевел деньги мошенникам или сообщил им свои конфиденциальные данные. Если поступает тревожный сигнал от «банка» или из какого-либо ведомства, нужно положить трубку, самостоятельно перезвонить по телефону горячей линии своего банка и прояснить ситуацию. Сотрудники банков никогда не просят полные реквизиты карт, ведь все необходимые данные у них уже есть. Ни в коем случае нельзя выполнять инструкции незнакомцев, особенно когда они касаются банковских счетов или карт. Нельзя переводить деньги на некие «безопасные» или какие-либо другие счета — вы их потеряете, — сообщили в Центробанке.

Чтобы минимизировать риски, Дмитрий Галов рекомендует передавать свои данные в зашифрованном виде, не выкладывать их в общедоступных местах, защищать свои компьютеры, планшеты и мобильные телефоны, настроить везде, где только можно, двухфакторную авторизацию, а также использовать менеджер паролей.

Ранее мы публиковали откровения мошенницы, которая пожаловалась на то, что у россиян почти нет денег. Почитайте историю екатеринбуржца, у которого украли с карты деньги без всяких СМС-кодов.

В мае сотрудница Министерства труда и соцразвития Архангельской области отдала мошенникам 420 тысяч рублей — этим делом занялась прокуратура. Еще одного жителя города обманули на крупную сумму, когда он пытался купить в интернете майнинг-ферму.

В этому году две пенсионерки из Северодвинска отдали мошенникам 350 и 300 тысяч рублей. А еще один местный житель чуть не перевел им все свои сбережения.

Также мы рассказывали историю молодых врачей, которые взяли несколько кредитов, чтобы отдать деньги мошенникам.