Не так давно мы рассказывали о способах, с помощью которых злоумышленники выманивают у доверчивого пользователя коды верификации. В результате этого мошенники могут перевести деньги со счета мобильного телефона. Однако прогресс не стоит на месте: абоненты постоянно сталкиваются с новыми способами телефонных разводов.
Старое мошенничество в новой упаковке
Наше внимание привлек не новый способ мошенничества, обернутый в новый фантик. К продавцу онлайновой торговой площадки обращается покупатель с предложением выкупить лот с помощью денежного перевода на банковскую карту. В ходе переговоров стороны обговаривают такие детали, как название банка, в который будет производится перевод.
В качестве подтверждения своих намерений покупатель присылает свою фотографию, фотографию паспорта и фото банковской карты, прося об обратной услуге: продавец должен сделать то же самое. Через какое-то время покупатель сообщает, что отправил деньги. Тут-то и начинается самое интересное: с продавцом связывается служба безопасности банка, так как для зачисления средств на счет необходимо ответить на несколько простых вопросов.
В первом приближении звонок выглядит достоверно: номер телефона действительно принадлежит банку, звонящий общается в соответствии с корпоративными стандартами и довольно бойко отбивается от щекотливых вопросов, да и его вопросы особых подозрений не вызывают: «как давно вы работаете с нашим банком, где последний раз вы расплачивались картой?» и т. п.
В чем подвох
Разумеется, звонящий не является сотрудником банка. А покупатель не хочет ничего покупать. Все, что было нужно, — выманить у пользователя необходимые сведения. И нет, они не такие уж и безобидные, как кажется: после разговора с жертвой мошенник звонит в банк и, представившись жертвой (он уже знает паспортные данные и номер банковской карты), сообщает о смене телефонного номера.
Чтобы внести изменения в базу данных, оператор кол-центра должен идентифицировать звонящего. Для этого он задает ряд вопросов, ответить на которые (в обычной ситуации) может только владелец банковской карты. Например: когда именно был заключен договор с банком, на какой адрес была доставлена карта, где она последний раз была использована и т. п. Ответы на эти вопросы мошенник уже получил от доверчивой жертвы.
После успешного прохождения идентификации мошенник получает в свое распоряжение полный доступ к банковскому аккаунту жертвы и, поскольку обманутый пользователь больше не получит на свой телефон сообщений о передвижении средств на банковском счете, может вычистить его, что называется, под ноль.
Телефон доверия
В этой истории есть деталь, которая существенно повышает степень доверия жертвы к звонящему: номер телефона. На экране телефона он определяется как номер банка. При желании его даже можно найти на сайте кредитной организации. Нет, мошенник работает не в банке. Он просто воспользовался услугой подмены номера.
Заместитель директора департамента аудита защищенности Digital Security Глеб Чербов поясняет, что для этой процедуры мошеннику не нужно обладать особыми знаниями или использовать специальные технические средства: «Номер подменить легко. Для этого в том же AppStore можно скачать специальное приложение, заплатить около 400 рублей и осуществить эту нехитрую операцию. Мошенники без проблем могут подменить свой номер на номер банка».
Глеб Чербов
Действительно, с помощью простого поискового запроса в Сети можно найти множество предложений по услугам связи, включающих в себя не только эту возможность. В некоторых случаях клиенту за дополнительную плату предлагается даже функция смены тональности голоса. Таким образом, псевдопокупатель и поддельный сотрудник банка вполне могут оказаться одним и тем же человеком.
Если попробовать объяснить принцип действия простым языком, работает это следующим образом: мошенник, используя IP-телефонию, звонит на аналог офисной АТС, настроенной таким образом, что звонящий перед звонком может с помощью веб-интерфейса или другим способом указать, какой номер должен отображаться у стороны, принимающей звонок.
Запретить нельзя оставить
Подмена номера — проблема не новая. Разговоры о том, чтобы обязать операторов передавать номер инициатора вызова в неизменном виде, идут уже давно. Однако, по мнению экспертов, непродуманное законодательное ограничение может привести к довольно неприятным последствиям: многие сервисы, такие как Skype, используют, по сути, тот же механизм при звонках на «внешние» номера. Кроме этого, по схожему принципу работают офисные АТС, когда, к примеру, звонок с любого офисного телефона будет определяться как один номер.
Первая попытка провести поправки в закон была предпринята в 2014 году. Тогда законопроект, названный с чьей-то легкой руки «запретом на Skype», не прошел первое чтение, хотя авторы поправок заверяли, что их принятие никак не повлияет на игроков рынка, использующих легальные схемы пропуска трафика. В следующий раз разбираться с подменой номеров депутаты планируют в конце 2016 года. Это будет делать уже новый состав Госдумы.
Что делать
«Стоит помнить о том, что злоумышленники часто используют сложные схемы для получения персональных данных. По телефону поддельный сотрудник банка может узнать ваш адрес или историю последних операций, где-то на форумах или в соцсетях обнаружить ваши дату и место рождения, даже номер паспорта и так далее. То есть по различным каналам будут добыты необходимые данные», — говорит Глеб Чербов.
Так что однозначного ответа на сакраментальный вопрос «что делать» нет. Но есть, как обычно, несколько правил, которых следует придерживаться: не выкладывайте в открытый доступ и не предавайте никому свои паспортные данные и номера банковских карт. Помните, что сотрудник службы безопасности банка не будет звонить и задавать странные вопросы из-за поступления на счет денежных средств. А если у вас все-таки появились сомнения, просто повесьте трубку и сами перезвоните в банк.
Павел ШОШИН, Banki.ru