В России разработали новый способ кражи средств с банковских карт с помощью так называемой социальной инженерии. Стало известно, что злоумышленники выведывают у пользователей пластиковых карточек СVV-коды - три цифры на обороте карты - и втайне от человека переводят средства на свои счета. По предварительным расчетам, по этой схеме за последние месяцы клиенты в России успели потерять более 200 млн рублей.
Мы побеседовали с экспертом по кибербезопасности и выяснили, как уберечь себя от кражи, что нужно знать, продавая товары в интернете, и как не попасться на удочку мошенников.
Комментирует Владимир Владимирович Ульянов, руководитель аналитического центра Zecurion Analytics, одной из крупнейших компаний в сфере защиты информации:
- Я бы не сказал, что подобная мошенническая схема принципиально новая. Она известна уже много лет, и все еще с успехом работает из-за невнимательности и доверчивости самих клиентов. Другое дело, что раньше это были «точечные» случаи, а сейчас подобное мошенничество широко распространилось, так как стало популярным на так называемых «досках объявлений» в интернете.
Обычно с помощью такой схемы атаковали продавцов только каких-то крупных магазинов, продающих дорогие товары, например, автомобили (даже если мы говорим о подержанных автомобилях – это достаточно «весомая» сумма, например, 300 – 500 тысяч рублей). Как работает такая схема? Мошенник звонит продавцу и говорит, что готов купить автомобиль, но поедет из другого города и просит «зарезервировать» машину за ним.
После этого злоумышленник говорит, что готов внести предоплату, например, 5 - 10% от общей цены - это уже получается солидная сумма - 20, 30, 50 тысяч рублей. И, наконец, он начинает выведывать все необходимые для платежа данные: это не только CVV-код, имя владельца, срок действия карты, но, что особенно критично, – одноразовые SMS-пароли, которые приходят на телефон владельцу для завершения транзакции. Эту информацию категорически нельзя никому раскрывать, но люди почему-то доверяют, рассуждая: «Ну вот, это же не я, это мне переводят деньги».
Подобная схема сейчас часто применяется по отношению к любым продавцам, даже если вы даете объявление о каком-то недорогом товаре, например, швейной машинке.
Звонит злоумышленник, говорит: «Я готовь купить эту машинку для мамы, бабушки, но я в этом не особенно разбираюсь, по фотографиям мне все нравится. Готов оплатить по карте и прислать курьера забрать товар». После этого включается тот же механизм: продавец сам раскрывает данные своей карты, имя, фамилию, номер телефона и так далее.
К сожалению, этот механизм работает, потому что человек отключает бдительность, и сами мошенники знают особенности нашей психики, давят на «слабые места».
Нередко они смягчают формулировки: CVV-код называют более нейтральным словом, например, номером счета или кодом подтверждения, и, конечно, заостряют внимание на то, что, якобы, «это я вам перевожу деньги, поэтому рисков для вас никаких нет».
Принципиально новых методов кибермошенничества существует немного, зато активно используются «гибридные» методы, которые раньше работали по отдельности: та же социальная инженерия и вредоносные программы, которые перехватывают одноразовые SMS-пароли.
И до последнего продавец чувствует себя в безопасности потому, что от него не требуют последнего подтверждения операции – как раз этого кода, а он поступает злоумышленнику без ведома владельца телефона. В принципе сами пользователи не склонны выдавать эти сообщения, потому что сейчас почти все используют мобильный банк или оплату с помощью SMS-подтверждения.
Надежда Сережкина
Читайте также:
Подробнее в сюжете: Осторожно, мошенники!