У мошенников, которые воруют деньги с банковских карт с помощью социальной инженерии, появился новый популярный способ обналичивания средств, рассказали «Известиям» в крупнейших российских банках. Злоумышленники, обманом получив код подтверждения для перечисления средств, выводят их через сервисы card2card-переводов, отправляя деньги на виртуальный «пластик» онлайн-кошельков.
В 80% случаев мошенники, которым удается с использованием методов социальной инженерии украсть деньги с чужой карты, переводят их на виртуальный «пластик», рассказали «Известиям» в пресс-службе Сбербанка. Там не уточнили, на какие способы вывода средств приходятся оставшиеся 20%. Помогают злоумышленникам в этом сервисы перечислений с карты на карту разных банков (система card2card-переводов), которые позволяют отправить деньги по номеру «пластика», добавил директор департамента информационной безопасности Росбанка Михаил Иванов.
Card2card-платформы работают следующим образом: человек вводит данные «пластика», с которого хочет снять деньги, и сведения карты, на которую хочет их зачислить (это может быть и виртуальный вариант). Затем владельцу карты-отправителя приходит СМС с кодом подтверждения, который он должен указать. Под видом сотрудников службы безопасности банка мошенники просят клиентов назвать код из сообщения. В итоге деньги оказываются на виртуальной карте. Они есть, например, в «Яндекс.Деньгах», QIWI или Webmoney.
«Чаще card2card-сервисы используются в качестве транзитного этапа по выводу денег, конечная точка — физический «пластик», с которого можно снять наличные», — указал глава департамента информационной безопасности ОТП Банка Сергей Чернокозинский.
Собеседник из службы информационной безопасности одной из региональных кредитных организаций на условиях анонимности сообщил «Известиям»: если в прошлом году в банке не было зафиксировано ни одного случая кражи денег через сard2сard, то в 2019-м это происходит до четырех раз в месяц.
В ВТБ считают, что мошенники одинаково активно используют для вывода средств как виртуальный, так и физический «пластик». В Московском Кредитном Банке в III квартале зафиксировали незначительное увеличение числа случаев мошенничеств с использованием card2card-переводов на виртуальные карты, рассказал «Известиям» директор департамента информационной безопасности банка Вячеслав Касимов.
Ранее самым популярным способом обналичивания среди мошенников, специализирующихся на краже денег с пластиковых карт, была покупка вещей в иностранных интернет-магазинах на адрес посредников, рассказали «Известиям» технический директор компании DeviceLock Ашот Оганесян и заместитель генерального директора Zecurion Александр Ковалев. Третьи лица за отдельную плату перепродавали эти товары. При этом злоумышленники получали в итоге 40% от украденной суммы. Переход на виртуальные карты позволяет получать весь объем.
Популярность виртуальных карт для вывода денег мошенниками объясняется простотой их покупки на подставных лиц, пояснил Оганесян. «Известия» изучили предложения на черном рынке. Авторизованный кошелек QIWI с безымянной картой и лимитом в 600 тыс. рублей продается за 3 499 рублей. Готовый аккаунт платежной системы «Яндекса» с 25 аварийными кодами, которые позволяют выводить деньги без использования телефона, стоит 1 199 рублей. В комплекте к нему идет прокси-сервер для гарантии анонимности в Сети.
Простой идентифицированный кошелек «Яндекс.Денег» продается за 999 рублей. Связка QIWI, «Яндекс.Деньги» и Webmoney, оформленные на одни данные, обойдется в 3 999 рублей. Доступны авторизованные аккаунты и других платежных систем: если необходимой нет в списке, то о цене нужно договариваться отдельно. Если нужна физическая карта, есть доставка через курьерскую службу «СДЭК».
Виртуальные карты электронных сервисов пользуются спросом среди мошенников, потому что менее защищены, чем банки, считает Александр Ковалев. По его словам, антифрод-система этих компаний работает иначе, чем в кредитных организациях, и теоретически через них можно вывести больше денег. Конечная цель преступников — наличные, а электронные средства удлиняют цепочку розыска злоумышленников.
Напомним, агентство ТАСС накануне представило данные МВД, согласно которым количество преступлений, совершенных с использованием платежных пластиковых карт, выросло за девять месяцев этого года на 130%.
Комментарии
По фактическому изложению. Фраза по "прокси-сервер в комплекте" позабавила. Видимо, всё же имеется в виду (оплаченный на какой-то срок) аккаунт на каком-то из таких сервисов.
Далее, про то, что мошенники теперь будут получить не 40%, а полную сумму. А вот и нет, не полную. С каждой такой операции к2к, будь она легальная или мошенническая сервисы по переводу (то есть фактически банки и платёжные системы) имеют свой кусок пирога в виде комиссии. Касаемо того, что ЭПС не борются - это не совсем так. Они противодействуют. Допустим, ранее очень популярные среди мошенников - почитайте отзывы первой половины этого года - виртуальные карты Почта-банка перестали принимать входящие сторонние к2к-переводы. Хотя, тут я не уверен на 100%, возможно ограничения функционала старомодных виртуалок связаны с переходом на новый продукт - виртуальные карты 2.0. Или вот "птичка". Если сейчас завести кошелек Киви, первой же операцией приземлить туда к2к сторонниий и попытаться сразу же перевести на другую карту - гарантированно автоматом кошелек будет заблокирован. Как водится, и тут "есть нюанс". Раньше виртуалка в киви-кошельке делалась сразу. Теперь для кошельков без идентификации QVC стоит 99 рублей, которые должны на кошельке оказаться раньше, чем у злоумышленника окажутся реквизиты карты, на которую можно приземлить перевод. То есть первый платёж должен поступить например переводом с другого кошелька (к примеру) - а это означает что описанный антифрод-алгоритм не сработает, ибо не выполнено условие, что первая операция в кошельке - входящий к2к. Я понимаю желание Киви заработать на этом. И видимо достаточно неплохо заработать, учитывая описанную в статье популярность схемы. Но получается-то что коммерческий отдел выстрелил в сторону безопасников, и подстрелил один из результатов их работы. Зато опять же сервис немного подзаработает.
Что до доставки (а там не только банковские карты, но и например SIMки), то я конечно рад за тех, кто заказывает такое СДЭком на домашний адрес или в пункт выдачи, где получают с предъявлением паспорта. Но что-то я слышал, что сейчас перешли на способ доставки через "закладку", что обеспечивает бОльшую анонимность.
А вот сейчас, товарищи, мы переходим к новой теме занятия, которая называется "социальная инженерия". Когда например клиенту, ФИО и номер телефона которого были получены из базы клиентов, которые сливаются и продаются, звонит мошенник, используя сервис подмены номеров, то есть у клиента определяется официальный номер банка, и этот лже-сотрудник всячески забалтывает клиента, пытаясь выведать полный номер карты, срок действия, защитный код, а затем и разовый СМС-пароль. В общем, это комплексная проблема. В одной фразе, которой я попытался описать типичную схему, содержится указание как минимум на три узких места, "благодаря" которым такое возможно. Решать проблему нужно комплексно. И в каждом из моментов я отчётливо вижу, что исправлению мешает человеческий фактор.
@.