Схемы, по которым у клиентов Приватбанка отбирают деньги. БУДЬТЕ ОСТОРОЖНЫ!
Пока «ПриватБанк» и сотовые операторы отрицают очевидные «дыры» в безопасности, мошенническая схема приобретает масштабы эпидемии. Об этом пишут Кирилл Князев Всеволод Некрасов на «proIT».
Авторам от двух независимых источников
поступили сообщения о мошеннических атаках с элементами социальной
инженерии. Два случая объединяют схожие черты, что позволяет говорить о
системности новой преступной схемы:
1) атакуют владельцев карт «Приватбанка»;
2) «наводка» на жертву через сайты частных объявлений;
3) входящие звонки якобы от сотрудников «Приватбанка».
Первый случай.
- Жертва получает входящий звонок насчет
товара, продаваемого через сайт объявлений. Мнимый покупатель живо
интересуется характеристиками товара и возможными способами доставки,
давая понять жертве, что вероятность сделки высока.
- В процессе обсуждения условий продажи
«покупатель», имитируя плохую связь, несколько раз просит жертву
перезвонить, т.е. совершить исходящий вызов. В процессе обсуждения
всплывает еще один заинтересованный покупкой фигурант — якобы
окончательный реципиент приобретаемого товара (согласно легенде, дядя
делает подарок племяннику), и у него тоже возникают «проблемы со
связью».
- В ходе торгов навязывается следующая
схема расчета: «покупатель» перечисляет стоимость на указанный продавцом
номер карты «Приватбанка», а продавец отправляет товар на указанное
отделение «Новой Почты» до востребования.
- Вскоре жертва получает входящий звонок с
анонимного номера. На другом конце провода представляются «службой
безопасности Приватбанка» и, обращаясь к жертве по имени-отчеству,
спрашивают, действительно ли ожидается пополнение карточки на точно
указанную сумму. «Офицер безопасности» сообщает, что платеж временно не
может быть принят в силу некоторых ограничений по карточке. Ограничения
можно отключить прямо в ходе телефонного разговора, но для этого нужно
пройти стандартную процедуру аутентификации «на от случай, если ваш
телефон взял кто-то другой». Жертва отвечает на стандартные секретные
вопросы, задаваемые в ходе процедуры аутентификации. «Офицер
безопасности» подтверждает «зачисление» средств на карточный счет.
- В течение получаса после звонка от
«службы безопасности», SIM-карта жертвы перестает восприниматься
телефоном, обнаруживается невозможность зайти в систему «Приват24», а
вскоре — и пропажа средств с карточного счета.
Второй случай во многом
повторяет первый — выход на жертву через сайт объявлений, удаленная
продажа товара путем зачисления денег на карточку «Приватбанка»,
входящий звонок от «службы безопасности». Отличие в том, что во втором
случе мошенники реализуют более быструю схему, без завладения дубликатом
SIM-карты.
- Жертва, согласившись на предложенные
условия дистанционной покупки, отправляет SMS с реквизитами карточки, но
через 5 минут получает звонок от «покупателя», который говорит, что не
получил SMS и просит продиктовать номер карты и ФИО. Получив информацию,
он пропадает на 2 часа, очевидно, чтобы вызвать у жертвы чувство
неопределенности и острое чувство ожидания звонка. Наконец «покупатель»
звонит и говорит, что деньги перечислил.
- Спустя 5 минут жертве поступает звонок
со скрытого номера и человек на том конце провода, представившись
сотрудником департамента «ПриватБанка» по работе с корпоративными
клиентами, называет жертву по ФИО и спрашивает, ожидает ли она
поступление точно указанной суммы на свой счет. Получив утвердительный
ответ, «сотрудник банка» говорит: «Платеж на вашу карту осуществлен со
счета юридического лица, а поскольку ваша карта не авторизована на
получение средств от юридических лиц, вам необходимо провести такую
авторизацию. Я вам помогу это сделать». «Сотрудник банка» объясняет
жертве, что нужно подойти к банкомату «ПриватБанка», зайти в
определенное меню, ввести свой номер телефона, пин-код карты и
продиктовать код, полученный в SMS. Мошенник спрашивает, через какое
время жертва будет находиться рядом с банкоматом, чтобы в телефонном
режиме он смог бы помочь провести необходимые манипуляции с банкоматом.
«Сотрудник» «ПриватБанка» перезванивает на 15 минут позже оговоренного
времени, видимо с целью сыграть на эмоциональном состоянии жертвы,
ожидающей получение крупного денежного перевода — очевидно ожидание
крупной продажи должно нивелировать подозрение жертвы о чрезмерной
легкости «сделки».
А подозрительных фактов более, чем
достаточно. Тут и скорость сделки, и отсутствие торга, перечисление
крупной суммы денег без каких-либо гарантий, перечисление средств со
счета не физического, а юридического лица, безразличие «покупателя» к
выбору почтового оператора, щедрость «покупателя», легко согласившегося
на оплату пересылки, легкое согласие на оплату комиссии за перевод
средств и отсутствие возражений на конвертацию стоимости указанной в
долларах в гривны по максимальному курсу.
Во втором случае «сделка» сорвалась.
Жертву выручила излишняя щепетильность. В частности, был сделан звонок
оператору колл-центра «ПриватБанка» с целью выяснить, действительно ли
необходимо «авторизовывать» карту для получения платежа от юридического
лица. Вопрос вызвал недоумение у оператора, но когда ему сообщили детали
«сделки», он предупредил о ее мошенническом характере. Стоит отметить,
что и сам клиент заблаговременно подстраховал себя от возможного
мошенничества и для подобных сделок использовал специально выпущенную
карту с нулевым балансом.
Как понятно из описаний, успех преступной
схемы обеспечен, среди прочего, успешной эксплуатацией крупной «дыры» в
безопасности системы ДБО и мобильных операторов, о которой редакция
«proIT» уже писала — несанкционированное получение дубликата SIM-карты,
который используется для доступа к ДБО. Кроме того, обращают на себя
внимание несколько других уязвимостей:
1) При вводе номера карты в любом
терминале «Приватбанка» с целью пополнения, на экран высвечивается ФИО
владельца полностью — именно таким образом мошенники узнают полные ФИО
жертвы для звонков в «Приватбанк» от её лица.
2) Ни в одном из документов
«Приватбанка», которые клиент подписывает при оформлении банковской
карточки, нет предупреждения о том, что процедура аутентификации (ответы
на секретные вопросы) может осуществляться только при инициировании
звонка самим клиентом, но никогда – при поступлении входящего звонка.
3) Что бы ни говорили операторы о
якобы принципиальной невозможности преступного завладения дубликатом
SIM-карты, редакция продолжает получать фактические подтверждения того,
что предоставления истории исходящих звонков де-факто является вполне
достаточно для получения SIM-дубликата злоумышленниками.
Отвечая на вопрос редакции, знают ли в
«ПриватБанке» о перечисленных и подобных схемах и как с ними борются,
Олег Серга, пресс-секретарь «ПриватБанка», отмечает, что такие «схемы»
практиковались мошенниками, как правило, в первой половине 2012 года.
«Мы активно противодействуем подобным схемам мошенничества с картами
клиентов. Во-первых, каждый клиент получает от банка информацию о том,
как обезопасить себя от мошенничества, что сотрудники банка не имеют
права связываться с клиентом по телефону и уточнять его личные данные,
что пароли и другая информация от банка это секретная информация.
Во-вторых, и самое главное, по каждому факту мошенничества мы проводим
срочное расследование, легко с помощью камер наблюдения и других данных
определяем личность мошенника и передаем материалы в МВД для начала
уголовного производства. За последний год привлечено к уголовной
ответственности более двух десятков групп мошенников, на расследовании
сейчас находится более сотни подобных дел. Наши системы информационной
безопасности позволяют очень быстро выйти на мошенников и привлечь к
ответственности. В-третьих, по результатам расследования, если не
выявлена вина и причастность к мошенничеству самого клиента (а таких
случаев довольно много), клиенту банк компенсирует потерянные средства и
далее возмещает их за счет привлекаемых к ответственности мошенников».
В то же время, в «ПриватБанке» считают,
что ФИО клиента надежно защищены, поскольку выдаются только после
авторизации через карту. «При проведении операции в терминалах требуется
обязательная идентификация клиента через его карту. При пополнении
карты по номеру подтверждающая информация о владельце карты появляется
на экране только на финальной стадии операции после валидации клиента и
подтверждения операции паролем. Таким образом, информацию о владельце
карты на которую перечисляются деньги может видеть только
идентифицированный клиент банка после подтверждения операции перевода», —
утверждает Олег Серга.
Тем не менее, практический эксперимент,
проведенный редакцией «proIT» доказывает обратное — чтобы заполучить ФИО
жертвы с помощью терминала пополнения карта «ПриватБанка» вовсе не
нужна. Терминал предлагает и другой — гораздо более «дырявый» — способ
авторизации, путем введения одноразового пароля, пришедшего в SMS на
указанный в терминале номер. В данном случае идентификатором выступает
не банковская карта, а номер телефона. Поскольку стартовый пакет любого
оператора можно купить на каждом углу, а после заполучения ФИО жертвы
попросту выкинуть, редакция считает де-факто доказанной незащищенность
персональных данных клиентов «ПриватБанка».
Что касается предупреждения
клиента о том, что процедура аутентификации (ответы на секретные
вопросы) может осуществляться только при инициировании звонка самим
клиентом, но никогда — при поступлении входящего звонка, пресс-секретарь
«ПриватБанка» говорит, что каждый клиент при получении карты банка
подписывает стандартную оферту, где четко прописана процедура защиты
личных данных. «Кроме того, данная информация сообщается клиентов в ходе
коммуникаций с ним от имени банка по СМС, на чеках банкоматов, в
информационных материалах банка», — говорит Олег Серга.
Особое внимание он обращает на тот факт,
что никогда и ни при каких обстоятельствах сотрудники банка не звонят
клиентам с личных мобильных номеров и никогда не требуют диктовать
пароли. «Пароли банка никому передавать нельзя никаким способом», —
подчеркивает представитель банка. Однако, как подсказывает практика,
мало кто из клиентов об этом знает.
Примечательно, что жертва во втором
случае была прекрасно осведомлена о нюансах подобных мошеннических схем,
но когда ее саму взяли в «оборот» что-то неладное она заподозрила лишь в
последний момент. Выходит, если такого рода схемы еще пользуются
популярностью, значит у мошенников есть и положительные результаты. А
это говорит о отм, что банкам, особенно тем, которые активно внедряют
новые услуги, следуют более интенсивно вести разъяснительную
деятельность среди клиентов об основах финансовой безопасности и
особенностях своей политики безопасности.
А вот у жертвы первого случая перспективы
вернуть средства, к сожалению, неутешительные. В «ПриватБанке» её
попросту отфутболили с формулировкой «не можем оказать правовой помощи,
так как вами была разглашена конфиденциальная информация». После
определенного давления, «ПриватБанк» указал жертве ФИО владельца и номер
карточки, на которую были переброшены украденные деньги, и показал
видеозапись процесса снятия наличности в одном из банкоматов Донецка, на
которой мало что можно разобрать. На этом «ПриватБанк» умыл руки.
Заявление, принятое Святошинской милицией (по месту проживания жертвы),
отфутболили в Донецк — по месту снятия денег. «И всё. Ни слуху, ни духу.
Следователя местного поймать по телефону просто нереально», — подводит
печальный итог жертва первого случая.
Комментариев нет:
Отправить комментарий