Буду краток. Есть основания предполагать, что в данный момент работает схема, позволяющая выводить деньги с карт клиентов Сбербанка с обходом подтверждения платежа по 3D Secure. В настоящей истории все персоналии и источники фактов намеренно скрыты, а события приведены в понятный неспециалистам вид.

Для начала разрешите представиться – сотрудник подразделения информационной безопасности крупного банка, в прошлом – ИБ оператора «большой тройки» и авторитетная исследовательская компания в сфере ИБ. Одно из направлений исследований и работы – противодействие мобильному мошенничеству и сопутствующим активностям, поэтому никаких теорий заговора и фантазий ниже не будет.

Я бы никогда не подумал, что деньги украдут у кого-то из родных, а так получилось, что украли у мамы, да и таким способом, от которого человеку без паранойи сложно защититься.

История такова: у мамы есть кредитная карта Сбербанка, с которой были украдены 40 тысяч рублей.

Начиналось всё банально: на её телефон в 13:38 с подменённого номера приходит фальшивое сообщение о том, что её карта в Сбербанке заблокирована. Мама вполне в курсе социальной инженерии – и мой инструктаж, и сама нередко любит пошутить над телефонными мошенниками. Ладно, сообщение пришло, можно игнорировать – спам, чего переживать?

Однако в 14:45:09 ей приходит новое SMS: В [XYZ XYZ] (RUB 38,008.00); пароль: 702465. Не сообщайте этот пароль никому, в том числе сотруднику Банка.
Мама не предпринимает никаких действий, однако уже напряглась – ведь это значит, что кто-то где-то ввёл номер её карты, и ей пришёл пароль 3D Secure. Полторы минуты спустя, в 14:46:48 ей приходит подтверждение операции: ECMC0000: 13.01.15 13:46 покупка на сумму 38 578.12р. В XYZ XYZ. Баланс: 1422.05р. Тут уже начинается – блокировка карты, написание претензии в отделении, заявления оперуполномоченному и прочее. Таким образом, имеем, что без участия клиента и абонента была проведена операция с кодом 3D Secure. По горячим следам начинаю выяснять.

Сразу исключаю компрометацию телефона и номера:
• По выписке у оператора видно, что в период между двумя SMS с 14:45:09 по 14:46:48 не было входящих и исходящих вызовов и сообщений, с/на её номер. Таким образом, в достаточной мере исключаем мошенничество через социальную инженерию по классическому сценарию из серии «Здравствуйте, служба поддержки MasterCard, назовите ваш код, пожалуйста». Плюс доверяю утверждению мамы, что ей никто не звонил, код она никуда не сообщала.
• По тем же данным видно, что не производилось переадресации SMS. Вкупе с Windows Phone на смартфоне и неумением устанавливать программы, можно исключить вирусный сценарий.
• Также был проверен вариант с нелегальной заменой SIM в салоне оператора, подключением услуги вывода SMS в личный кабинет и другие типичные сценарии мошенничества. Всё чисто.

Дальше выясняется, что через сервис перевода с карты на карту стороннего банка средства были выведены на другую карту Сбербанка и затем оперативно сняты в одном из регионов нашей необъятной страны. Карта, с которой было произведено снятие средств – по всем признакам обычная подпольная контора по обналичиванию украденного.

История немного бы зависла, если бы я не узнал про ещё пятерых человек, недавно пострадавших аналогичным образом. Что характерно, они являются клиентами одного и того же оператора. А летом я уже встречал при мониторинге андерграунд-форумов предложения о продаже одноразовых кодов. Таким образом, предполагаемый мошенник или группа по всей вероятности имеет доступ к комбинации данных карты и подключенному к счету номеру телефона, а также тексту SMS-сообщений, отправляемых абоненту банком. Это полностью компрометирует механизм 3D Secure. Предположительных каналов утечки три: банк, оператор и осуществляющий доставку SMS-агрегатор (на самом деле нет, т.к. достоверно известно, что в данном случае он не участвует в цепочке).

Сегодня я узнал, что Сбербанк отказал в возврате средств по карте и требует их назад, почему и решил вынести сор из избы.

P.S. Ребята, скажем прямо. Вам показали всю схему мошенничества не только по этой карте, я раньше сотрудничал в расследованиях по Рейху и другим ботнетам, участвовал в поиске архангельских хакеров. Не хотите поднапрячься и немного поискать крысу?