В России распространяется новый высокотехнологичный вид мошенничества, жертвой которого могут стать даже те, кто помешан на вопросах безопасности. О нем рассказывается в материале TelecomDaily.
Способ является развитием схемы «фейковый покупатель», жертвой которой оказывается продавец дорогостоящего товара (смартфона, ноутбука, автомобиля и т. п.) на сайте бесплатных объявлений. Как правило, мошенники выбирают тех, чьи объявления уже достаточно долго размещаются на сайте: такой человек обычно очень рад долгожданному покупателю и соглашается на его условия.
В базовом варианте мошенник сообщает о том, что готов купить товар и даже перевести предоплату на банковскую карту продавца, чтобы тот уже никому другому его не продавал (либо, как вариант, перевести полную сумму и стоимость пересылки в другой город). Далее мошенник выманивает полные данные карты, включая срок действия и CVC-код, и впоследствии исчезает.
С карты же производится оплата товаров и услуг через один из сервисов, не поддерживающих двухфакторной авторизации 3D-Secure, либо, при более технологичной схеме, авторизационное СМС-сообщение перехватывается с помощью SS7-атаки, благо мобильный номер жертвы известен: большинство людей указывают в объявлении свой основной телефон и его же используют для СМС-сообщений от банков.
Однако, поскольку схема работает далеко не со всеми (большинство жертв отказываются сообщать подробные данные о своей карте), она получила дальнейшее развитие. Через некоторое время после того, как потенциальная жертва сообщает базовые данные карты, ей поступает звонок якобы из службы безопасности банка, которая, ссылаясь на законы о препятствовании финансированию терроризма, проводит «проверку» личности пользователя. Вопросы задаются те же, которые сотрудники банковского кол-центра задают при звонке клиентов в целях их идентификации: адрес по прописке, кодовое слово и т. д. Если жертва ничего не подозревает, то эти персональные данные оказываются в руках мошенников, которые уже от ее имени звонят в банк, сообщают их, проходят проверку и в конечном итоге выводят средства с вашего счета.
Главная интрига заключается в том, что жертве звонят с номера, указанного на сайте банка. «Как это возможно? Очень просто. Номер в системе сигнализации SS7 не определяется запросом на коммутатор вызывающего абонента (как это было, например, в «Русском АОНе» по R1.5), а изначально передается этим самым коммутатором. Если же звонок осуществляется через VoIP-шлюз, то номер можно подставить совершенно любой: например, именно так ваш мобильный номер подставляет Skype. Никакой проверки валидности этого номера не происходит, поэтому мошенник может подставлять любые цифры», — говорится в статье TelecomDaily.
Там отмечается, что этот же способ может использоваться и для вымогательства: если раньше мошенники звонили жертве с собственных номеров и от имени ее родственника говорили, что тот совершил правонарушение и нужно внести выкуп, то теперь они могут звонить и прямо якобы с его номера.
Техническими средствами защититься от подобного мошенничества невозможно, констатирует издание. «Поэтому если вам звонят якобы из банка для проверки данных — сообщите сначала заведомо неправильные. Если проверка все равно «пройдет успешно», значит, вас пытаются обмануть. У «родственника» же лучше спросить что-то такое, что может знать только он», — советует автор материала.
Комментарии
Причем здесь "недоработка", подмена CID - базовый функционал во всех современных электронных АТС. Даже в старой-доброй ISDN это реализовано.
А нужно это для одной простой вещи - вот у вас предприятие, ну скажем, страховая компания. Страховщика, как и волка, кормят ноги. Поэтому 80 и более времени он в разъездах. Допустим сотрудник уехал, а на его рабочий внутренний номер пришел звонок от клиента. Какое здесь решение? Ну, явно не к каждому сотруднику секретаршу приставлять, что делать, если таких мобильных сотрудников 100? А если 500? А 5000? Наиболее оправданным решением является в данной случае переадресация вызова на мобильный. Но если просто переадресовать с коммутатора - то на мобильнике сотрудника высветится номер коммутатора. А это ну совсем неудобно, "не все звонки одинаково полезны". Поэтому коммутатор считывает номер звонящего, делает вызов сотрудника и подменяет CID звонящего в вызове. Все довольны - клиент, дозвонившийся до сотрудника, сотрудник, который точно знает, кто ему звонит.
То, что этой возможностью можно пользоваться для обмана...если следовать такой логике - то нужно запрещать автомобили. А то в их багажниках труп можно перевезти. Да и вообще - незачем людям из дома выходить - вдруг ему в голову на улице взбредет кого-то ограбить?
Я, конечно, не являюсь специалистом в области телефонии, но не понимаю, какая связь между Skype или любой другой Voip программой и офисной АТС, о которой вы здесь рассказали. Речь идет об использовании мошенниками именно программы Skype, а не оборудования АТС. Даже если программа Skype, подобно офисной АТС, предоставляет услугу переадресации звонков с подменой номера, она обязана следить за тем, чтобы это нельзя было использовать в мошеннических целях. Ведь в той схеме, которую вы описали, если все делать именно так, нет ничего криминального.
Вообще говоря, в подмене номера нет ничего криминального. Если я, знакомясь с девушкой, представляюсь "Валерой", а не "Петей", это криминал? А если я знаю, что у нее "в гороскопе написано", что от "Петей" надо держаться подальше, а "суженого" зовут "Валерой", тогда криминал?
Во времена дисковых телефонов даже не каждая АТС могла выяснить номер звонящего, а определителей номера не было вообще. И ведь жили как-то...
Если с помощью топора совершается убийство, то сажают за убийство, а не запрещают топоры. Если с помощью подмены номера совершается мошенничество, то прежде всего нужно ловить и сажать мошенника, а уже потом думать, следует ли запретить/ограничить подмену номера. Когда борьба с мошенничеством ведется не с того конца, мошенничество эволюционирует быстрее, чем методы борьбы.
А что касается "звонков из банка", так каждый банк настойчиво предупреждает клиентов не сообщать конфиденциальную информацию даже сотрудникам банка. Исключение возможно, когда клиент сам звонит по номеру банка.