Можно ли украсть деньги со смартфона и что делать, если это произошло?
Многие пользователи опасаются вносить данные своих банковских карт на смартфон для бесконтактной оплаты, а некоторые принципиально не используют приложение мобильного банка, чтобы лишний раз не провоцировать мошенников. Редакция ZOOM.CNews разобрала самые популярные методы кражи денег со смартфона и изучила, как можно этого избежать.
Бесконтактная оплата – одна из самых полезных функций современных смартфонов. С ее помощью достаточно поднести гаджет к платежному терминалу или турникету в общественном транспорте, чтобы оплатить покупку или поездку. Мобильные банки – еще одно невероятное изобретение, которое упрощает жизнь миллионов пользователей. Однако насколько безопасно хранить данные карт на смартфоне и оплачивать все подряд с помощью гаджета?
В статье мы рассмотрим три сценария, которые мошенники могут использовать, чтобы украсть деньги с вашего смартфона. А в конце материала вы найдете советы о том, как избежать кражи и что делать, если это все-таки произошло.
Смартфон с NFC попал в руки мошенников
Самый простой способ для злоумышленника — физически завладеть вашим смартфоном с подключенной системой бесконтактных платежей. Кстати, далеко не редкость, когда с забытого в такси или другом транспорте смартфона предприимчивые граждане оплачивают мелкие покупки, пока владелец не заблокировал карты.
Почему это происходит? Такие платежные системы как Apple Pay и Google Pay позволяют бесконтактно оплатить покупку на сумму до 1000 рублей без разблокировки гаджета. Чтобы потратить больше денег, устройство придется активировать. Поэтому важно устанавливать пин-код, использовать датчик отпечатков и другие способы ограничения доступа к девайсу – даже если это кажется вам неудобным.
Именно поэтому современные гаджеты по умолчанию не позволяют использовать бесконтактные платежи и вносить данные банковских карт, если не установлена блокировка экрана. Но это правило, как мы уже сказали, не относится к тратам до 1000 рублей – телефон может быть заблокирован, а деньги все равно спишут.
Теоретически с помощью часов можно оплатить покупку, но нужно знать пароль блокировки
Что касается смарт-часов с NFC, то с их помощью можно расплатиться и без смартфона. Да, к примеру, в Apple Watch есть функция блокировки с помощью пароля — она активируется, когда часы сняты с руки. А если длительным нажатием боковой кнопки сбросить данные без пароля, то вся информация о карте сотрется.
В браслете с NFC мы тоже рекомендуем сделать две вещи: поставить пин-код на оплату (его нужно вводить каждый раз у терминала) и активировать автоблокировку при снятии гаджета с запястья.
Смартфон взломали и украли данные карты
Чтобы украсть ваши деньги, мошенникам не обязательно завладеть смартфоном физически. И даже если вам кажется, что вы не публичная личность, чтобы вызвать интерес хакеров, – это заблуждение. Увы, мы сами часто разрешаем доступ стороннему ПО, скачивая приложения по подозрительным ссылкам и открываем сомнительные письма. А шпионская программа регистрирует все вводимые логины и пароли и перенаправляет их злоумышленникам. В том числе, это могут быть и данные для входа в мобильный банк.
Также будьте внимательны на сайтах банков, чтобы не стать жертвой фишинга. Страница может быть поддельной, и вы просто подарите свои данные для входа злоумышленникам, которые поспешат ими воспользоваться.
Непосредственно данные карты не хранятся в памяти смартфона — только зашифрованная информация
А вот извлечь данные мобильного банка без участия владельца устройства практически невозможно. Дело в том, что информация о картах (номер, код, фамилия, срок действия) не копируются в смартфон. Когда вы вносите платежные данные в Apple Pay или Google Play, то на телефоне хранится только токен — 16-значное число, в котором зашифрован номер банковского счета. И всякий раз при бесконтактной оплате вместе с ним передается криптограмма (нечто вроде одноразового кода, который проверяет платежная система и разрешает либо запрещает транзакцию).
К смартфону с NFC поднесли банковский терминал, чтобы списать деньги
Как мы уже выяснили, можно оплачивать покупки даже с заблокированного телефона. Поэтому возникает логичный вопрос – реально ли похитить деньги при помощи банковского терминала, если поднести его к чужому смартфону? Эта теория была особенно популярной, когда только появились карты с чипом PayPass – тогда даже появились специальные защищенные кошельки. И в целом, такой метод мошенничества реален, но его очень сложно реализовать.
В первую очередь, злоумышленнику придется зарегистрировать (теоретически, можно и купить уже готовое) юридическое лицо с оформленным на него расчетным счетом и договором эквайринга — возможностью получать безналичную оплату через терминалы. Это трудозатратно и недешево.
Также мошенник должен знать, где находится ваш смартфон или карта с PayPass. А еще ему нужно быть очень осторожным, ведь для снятия денег нужен довольно тесный контакт (до 10 см). Согласитесь, сложно не заметить, если незнакомый человек начнет в людном месте прижимать к вам банковский терминал.
Кроме того, для реализации такой схемы мошенничества преступнику понадобится бесперебойный мобильный интернет или устройство с поддержкой Wi-Fi. При этом соединение должно быть быстрым, чтобы успеть поднести терминал в тот момент, когда сессия активна. И списать при этом он сможет до 1000 рублей, ведь именно столько позволяют тратить системы бесконтактных платежей без разблокировки смартфона. Так стоит ли игра свеч?
Мошеннику проще всего украсть смартфон и взломать его, чтобы воспользоваться мобильным банком
Зачисление денег на счет мошенника происходит далеко не сразу, и за это время жертва может успеть отменить транзакцию и пожаловаться в банк. А еще владельцу карты сразу же придет сообщение о списании – и преступника смогут быстро вычислить по камерам наблюдения, если все происходило в общественном месте.
Подобные прецеденты были только в США – и это разовые случаи, когда мошенникам просто везло. Так что подозрительный человек с терминалом в метро, скорее всего, просто курьер, а не нацелившийся на ваши деньги хакер.
Что делать, чтобы избежать кражи денег?
Конечно, проще всего посоветовать не забывать смартфон в такси и в общественных местах, но люди не делают это специально. Редакция ZOOM.CNews — за более практичные советы:
1. Чтобы злоумышленник, завладевший вашим телефоном, не мог взломать мобильный банк, отключайте всплывающие сообщения с отображением их содержания. Иначе мошенник сможет запросить пароль доступа со своего устройства на ваш номер телефона, а код из СМС будет виден во всплывающем сообщении. То есть даже взламывать экран блокировки ему не придется.
2. Обязательно установите код разблокировки, причем он должен быть сложнее, чем 123456. Поставьте графический ключ, внесите отпечаток пальца, настройте разблокировку по лицу и другие методы блокировки экрана, доступные на вашей модели смартфона.
3. Если у вас включена возможность оплаты картой без пин-кода — верните пин-код, это безопасней.
4. Установите на банковских картах лимит. Некоторые банки предлагают менять его прямо в приложении — можно это делать непосредственно перед покупкой. Да, неудобно, но гарантированно защитит от снятия крупных сумм денег, причем не только через бесконтактные платежи.
5. Если используете смарт-часы или браслет с NFC, установите на них пин-код и блокировку при снятии с руки.
6. Не храните данные карт, пароли и коды в переписке, фотогалерее или в заметках. Если боитесь забыть, используйте хотя бы менеджеры паролей.
7. Установите пин-код на SIM-карту. Многие сейчас этого не делают, ограничиваясь кодом для разблокировки гаджета, но PIN будет не лишним, если мошенник захочет переставить симку в другой смартфон.
8. Если вы все-таки опасаетесь таинственного незнакомца с терминалом, то исключительно ради собственного спокойствия можно носить карты в кармане на груди, класть вместе несколько карт с NFC (тогда при попытке приложить терминал к кошельку система запросит выбрать только одну карту и платеж не пройдет). Можно даже даже приобрести специальный экранированный кошелек, который не позволит списать деньги с вашей карты где-то в толпе.
Что делать, если смартфон украли, а деньги уже списали?
В первую очередь, найдите способ позвонить в банк и заблокировать все карты, которые у вас есть.
После этого уже можно воспользоваться функцией удаленного доступа («Найти устройство», «Локатор» и др.) и стереть с гаджета все данные, в том числе и банковских карт. И далее уже стоит обратиться в полицию. Но имейте в виду — если смартфон украли с целью взлома, то найти таких злоумышленников будет довольно сложно.
Как крадут деньги с мобильного карты банка
Spot пообщался с экспертами Центрального банка, отдела службы кибербезопасности МВД, платежных сервисов Payme и OSON, чтобы разобраться, кто эти мошенники, как они крадут деньги и есть ли шанс вернуть присвоенные средства.
По данным МВД в 2021 году жертвами кардинга (мошенничество с платежными картами) стали 2700 человек.
Причем многие пользователи сами сообщают злоумышленникам личные данные и теряют деньги, что усложняет борьбу с таким мошенничеством, так как с точки зрения банков и платежных систем все операции являются законными.
Опрошенные Spot эксперты отмечают, что в действительности жертв намного больше, так как не все обращаются в правоохранительные органы: кто-то теряет не такую большую сумму денег, чтобы писать заявление, а кто-то боится потерять время впустую.
«В правоохранительные органы я не обращался, да и не вижу смысла. Все равно мошенников не поймают, а мне лишних хлопот будет много», — рассказал Spot Евгений Михайлов, у которого мошенники под видом покупателей в OLX украли 1,3 млн сумов (подробнее о классических схемах мошенничества — ниже).
При этом злоумышленники становятся все изобретательнее. Так, например, по сообщению одного из банков, в мошеннических схемах начали использовать несовершеннолетних: за небольшое вознаграждение на их имя открывается пластиковая карта в банке, SMS-информирование подключается на номер злоумышленников. Позже через эту карту проходят преступные финансовые операции.
Spot пообщался с экспертами Центрального банка, отдела службы кибербезопасности МВД, платежными сервисами Payme и OSON, чтобы разобраться, кто эти мошенники, как они крадут деньги и есть ли шанс вернуть присвоенные средства.
Почему растет количество случаев
Это обратная сторона технологического прогресса. Люди осваивают безналичные платежи, активно начинают совершать интернет-покупки, заказывать доставку еды и продуктов,
В сочетании с низкой финансовой грамотностью населения такое развитие безналичных платежей создают благодатную почву для мошенничества.
«В целом растет безналичный оборот в стране, повышается количество пользователей дистанционных банковских услуг. К сожалению, это происходит на фоне того, что населению не хватает знаний в сфере финансовой безопасности», — отметил технический директор, сооснователь Payme Олег Гевергес.
Ключевую роль в этом сыграла пандемия. Люди, запертые в своих домах, начали активно осваивать онлайн-покупки, удаленные платежи. Кроме того, большая часть работников начала получать всю зарплату на карты. Это уменьшило оборот наличных, и, соответственно, привело к росту безналичных платежей.
«Во время жестких локдаунов люди начали переходить на электронные платежи: чаще совершали переводы с карты на карту, начали изучать различные платежные приложения, бизнес также активно развивал услуги по удаленному приему платежей. Так, увеличивалась безналичная оплата, что, по моему мнению, и привело к росту числа мошенничества в этой сфере», — отметил начальник отдела кибербезопасности МВД Бехзод Мамаджанов.
По его словам, до пандемии обращения о краже денег с банковских карт практически не поступали в правоохранительные органы. Рост начался именно в 2020 году и достиг пика в сентябре-декабре прошлого года, когда количество обращений в день могло достигать 80.
Большая их часть поступала от жителей крупных регионов страны — Ташкента, Ташкентской области, Самарканда и Ферганы.
«Основная причина попадания на уловки мошенников — это низкая финансовая грамотность населения», — считают в Центральном банке.
При этом, по данным МВД, количество обращений за последние полгода резко сократилось. За первый квартал этого года их поступило около 900. Всего же, благодаря усилиям министерства и других ведомств, удалось сократить число обращений с 80 до 8 в день.
Данные подтверждаются и статистикой платежных организаций, где также сокращается количество обращений.
С начало года МВД совместно с партнерами раскрыли около 400 преступлений. При этом не во всех случаях жертвам удается вернуть украденные деньги. От общего объема раскрытых дел лишь только в 20% случаев средства возвращаются владельцу.
Самая крупная сумма, которую теряли жертвы мошенников — 50 млн сумов, сообщили в отделе кибербезопасности министерства. Такую же сумму назвали представители Payme.
По данным Центробанка, в более 80% случаях используются методы социальной инженерии. В этом случае пользователи добровольно передают свои данные: преступники используют психологические методы манипуляции, чтобы выудить информацию у жертвы.
Звонок с банка
Наиболее часто используемый способ — звонок с предупреждением о попытке взлома или кражи денег с карты. Мошенники звонят с подменой номера (для этого есть специальные программы), представляются сотрудниками банка или платежной организации и разными уловками пытаются узнать информацию о карте — номер, срок действия и одноразовый код из SMS. Зачастую говорят, что была попытка взлома аккаунта в платежном сервисе, либо что с карты пытались украсть деньги.
При этом, один из ключевых приемов — спешка, которая подталкивает пользователя к быстрым и ошибочным решениям, чтобы не «потерять деньги».
Раздача денег
В соцсетях, в различных каналах в Telegram распространяется информация о раздаче денег от имени правительства, либо пользователю лично сообщают о выигрыше в лотерее Для получения денег предлагается перейти по ссылке и ввести данные карты, на которые будут зачислены средства.
Один из недавних примеров — вознаграждение в размере 750 тыс. сумов от имени Министерства здравоохранения. При переходе по ссылке человек попадает на фишинговый сайт, который внешне идентичен официальному сайту Минздрава. Единственное отличие — адресная строка, на которую большинство не обращает внимание.
После ввода данных — номер и срок действия карты, номер телефона, пользователю приходит сообщение на мобильный номер, которое предлагается ввести на сайте для подтверждения операции. Как только мошенники получают одноразовый код из SMS, они прикрепляют карту в приложении (обычно не очень популярном) и оттуда переводят деньги на другие карты, а потом — за рубеж, где они и выводятся.
Оплата товара
С таким способом жертвы сталкиваются при продаже бу предметов на различных площадках онлайн-объявлений (например, OLX). Под видом покупателя мошенник связывается с продавцом (обычно в Telegram), предлагает перевести деньги на карту, а товар забрать при помощи службы доставки (например, «Яндекс.Доставка») и отправляет фишинговую ссылку для осуществления перевода. Далее схема такая же, как в предыдущем примере. Когда деньги украдены, чат в мессенджере удаляется и от мошенника не остается и следа.
«Нигерийские письма»
Это общий термин для спам-рассылки, в которой рассказывается о богатом родственнике, оставившем наследство, известном человеке, который в благотворительных целях раздает деньги и других обещаниях неслыханных богатств. После вступления в переписку мошенники начинают объяснять ситуацию, при необходимости присылают подтверждающие документы, звонят по телефону и всячески удерживают жертву. Конечная цель — сделать так, чтобы человек перевёл деньги на счёт мошенника. Например, у жертвы просят небольшую сумму (несколько сотен долларов) для оформления документов на наследство. Отправив деньги (как правило наличными при помощи систем денежных переводов, как Western Union), жертва попадает на крючок злоумышленников, которые под разными предлогами требуют все больше.
Кто крадет
«Мы в своей практике довольно часто сталкиваемся c тем, что звонящие находятся за пределами Узбекистана, в основном в странах СНГ», — говорит Олег Гевергес.
В МВД отмечают, что в мошеннических схемах участвуют как граждане Узбекистана, так и иностранных государств. Если первых порой удается привлечь к ответственности (только в этом году раскрыто около 400 преступлений), то со вторыми — сложнее.
«Когда дело касается международных отношений, это занимает очень много времени. Однако, мы наладили отношения с рядом государств, среди которых Казахстан, Россия, Белоруссия. Мы передаем им информацию, а они прикрывают преступный канал, иногда ловят мошенников», — отметил Мамаджанов.
В ряду мошенников иногда оказываются даже подростки:
«Часть мошенников все-таки ловят. Чаще всего это те, кто, увидев или услышав, как просто можно украсть чужие деньги таким способом, пытаются повторить. К сожалению, по моим данным, чаще всего это молодежь, и среди них есть школьники. Их легко ловят, например, по видео с камер на банкоматах — в отличие от зарубежных профи их можно отследить — они оставляют следы», — пишет в своем Telegram-канале экономист Шухрат Курбанов.
Методы борьбы
Самый эффективный метод борьбы — это профилактика, убеждены в МВД:
«Если человек понимает, что нельзя никому передавать код из SMS, знает другие правила безопасности, риск быть обманутым очень низкий. У нас есть отличный институт, который работает напрямую с семьями — махалля. Инспекторы профилактики ежедневно встречаются с десятками людей на вверенных им территориях. Благодаря этому механизму повышаем осведомленность населения», — отмечает глава департамента кибербезопасности.
Кроме того, в министерстве используют технические средства борьбы. В частности, по инициативе МВД создана рабочая группа, в которую также входят сотрудники СГБ, платежных систем (UZCARD, HUMO), Центрального банка и других организаций, которая регулярно выявляет и блокирует уязвимости в различных системах.
«Например, сейчас не достаточно ввести один раз пятизначный код из SMS для входа в аккаунт пользователя с нового устройства. Всевозможные технические барьеры мы установили, но человеческий фактор остается. Сейчас для получения кредита онлайн необходимо пройти удаленную идентификацию, для этого пользователю необходимо сделать селфи с паспортом. Доходит до того, что некоторые, доверившись мошенникам, отправляют свое фото с раскрытым паспортом в руке. Позже на их имя оформляют кредит, конечно, без их ведома», — отмечает Бехзод Мамаджанов.
Он также отметил, что, несмотря на активность мошенников, которые придумывают новые способы обхода ограничений, установленное международное сотрудничество усложняет им работу.
Регулятор, в свою очередь, отметил, что коммерческие банки, платежные системы и сервисы регулярно блокируют созданные мошенниками фейковые страницы, где использованы логотипы, фирменные цвета и наименования организации.
Над созданием и совершенствованием антифрод системы работают также платежные организации. Так, в Payme рассказали, что отслеживают мошеннические сценарии поведения. Если действия «пользователя» соответствуют такому сценарию, то операция блокируется, что позволяет остановить вредоносную деятельность.
«Мы внедрили и постоянно обновляем черный список IP-адресов, через которые работают мошенники. Мы их блокируем. Причем, у нас есть алгоритмы выявления не только адресов, с которых уже были совершены преступные действия, но и потенциально опасных IP-адресов, чтобы заблокировать их «пачкой», — говорит Олег Гевергес.
Также Payme ведет черный список браузеров, в том числе TOR браузеров. Так компания блокирует фишинговые сайты. Данные получают от клиентов, из групп в Facebook, которые потом передаются в Google, Microsoft, регистратору доменного имени и хостеру. Такие жалобы приводит к блокировке сайта в Google Chrome, Microsoft Explorer/Edge, антивирусах.
Можно ли вернуть украденное
«Сложность с возвратом возникает, потому что после того, как средства выводят с карты пользователя, их максимально быстро „прокручивают“ через разные карты, запутывая таким образом следы. А затем выводят на анонимные кошельки за рубежом. Происходит это в считанные минуты, каждый случай нужно отслеживать отдельно. И к тому моменту, как вся цепочка будет выстроена, деньги уже далеко, и установить личность преступника не представляется возможным», — отметил сооснователь Payme.
Эксперты также отмечают, что при этом часто используются карты самих жертв.
«Если у вас в карточке не было средств, не нужно думать что все обошлось, и ваши данные в безопасности. Мошенники привяжут вашу карту к своим данным, а затем используют ее как транзитный счет для кражи, как дропа (транзит для вывода средств), то есть, вы сами не зная, можете стать соучастником преступления», — обращает внимание генеральный директор и основатель OSON Фарход Махмудов.
«Чаще всего промежуточные карты — это карты таких же как вы жертв. Они даже не успевают понять, что у них не только украли деньги, но еще и чужие средства „прогнали“. А как только деньги уходят за рубеж — там уже сложно что-либо сделать», — отмечает Шухрат Курбанов.
Бехзод Мамаджанов рекомендовал жертвам злоумышленников незамедлительно обращаться в правоохранительные органы:
«Обычно деньги выводят за границу и обналичивают в течение одного дня. Чем раньше к нам обращаются, тем выше шанс вернуть деньги. У нас выстроен такой механизм: мы можем оперативно связаться с партнерами — платежными системами, банками или Центральным банком и остановить транзакции. Даже если мы не найдем самих мошенников, то хотя бы сможем „остановить“ деньги и вернуть владельцам. Например, недавно мы так не дали вывезти почти 100 млн сумов», — говорит Мамаджанов.
Главный совет — не сообщать код из SMS
В случае с телефонными мошенниками все просто: никогда, ни при каких обстоятельствах не передавать одноразовый код из SMS незнакомым людям. Важно помнить, что сотрудники банков или платежных организаций никогда не спрашивают код или пароль.
Помните, что одним из ключевых приемов злоумышленников является спешка, которая подталкивает человека к быстрым и ошибочным решениям, чтобы не «потерять деньги». Настоящая служба безопасности банка сначала заблокирует подозрительную трансакцию, а потом будет звонить пользователю и спокойно разбираться.
В случае с фишинговыми сайтами все немного сложнее. При онлайн-платежах для подтверждения транзакции действительно нужно вводить код, который приходит на телефон пользователя. Чтобы не попасться в руки мошенникам нужно быть внимательным: не переходить по сомнительным ссылкам, проверять подлинность сайтов и приложений.
«Своим пользователям мы рекомендуем вообще не „светить“ номер карты, а отправлять, например, ссылку для перевода или QR-код. А также пользоваться для платежей в интернете виртуальными картами, на которых не хранятся деньги (переводить на нее нужную сумму и оплачивать)», — говорит Олег Гевергес.
Если деньги все же украли:
-
позвоните в банк и заблокируйте карту;
с паспортом посетите офис банка, напишите заявление об отмене операции и возврате средств (условия и правила уточняйте в своем банке);
Как можно украсть данные вашей банковской карты
В закладки
Мошенничество с банковскими картами — популярный вид бизнеса в даркнете. В нём, как догадываетесь, ровно ноль легального. Увы, это не мешает ему развиваться вовсю.
Рассказываем, как и где в даркнете получают данные банковских карт. И что с ними происходит дальше.
Примечание: вся информация в этой статье даётся в ознакомительных целях. Помните, что любые действия с чужими картами – уголовное преступление.
Главный вопрос. Как всё-таки получают данные чужой карты?
Методов очень много. Многие из них можно распознать с опытом, а некоторые – только вручную, пошарившись руками по банкомату или заметив неладное с ним заранее.
1. Ставят скиммеры на банкоматы
На банковской карте есть магнитная полоса, с которой банкомат, терминал и другие устройства считывают информацию. Это вы точно знаете.
Но если на банкомат установить собственное считывающее устройство, данные до банка не дойдут.
Такие считыватели называются скимерами. Обычно это щель для считывания данных с магнитной полосы и фальшивая клавиатура для кражи пин-кода.
Вместо клавиатуры могут использовать камеру: она обходится недорого и подходит для любого банкомата. А клавиатуру приходится подбирать под конкретную модель банкомата.
Чип на карте не защищает от скиммера. Выше пример, как выглядит скиммер для карт с чипом.
2. Крадут через кассы и терминалы
POS-терминалы – это штуки, к которым вы прикладываете айфон или прокатываете карточку, когда оплачиваете покупку. Если установить на них вредоносное ПО, то данные с банковской карты можно попросту украсть.
Этим способом нередко злоупотребляют в кафе, на заправках, на кассах супермаркетов. А главное, жертва скорее подумает на вирус, заразивший его компьютер при интернет-оплате, чем на поход в магазин.
Недавно троих граждан Украины арестовали за кражу данных 15 млн (МИЛЛИОНОВ. ) карт. Они заражали компьютеры с кассовыми аппаратами, затем рассылали письма от Комиссии по ценным бумагам и биржам США и от различных отелей.
Самый известный российский кардер Роман Селезнев также крал данные карт пачками в США. Порой их хранили просто в текстовых файлах на кассовых компьютерах.
Селезневу дали 27 лет тюрьмы. Не будьте как Роман.
Вариант со скимером также возможен, но скорее теоретически. Слишком заметен считыватель на небольшом терминале, который всегда на глазах.
Но в США на заправках была целая эпидемия со скиммерами, которые внедряли в терминалы.
3. Запоминают данные карт
В барах, ресторанах и кафе официанты нередко забирают вашу карту с собой и уносят к кассовому аппарату. Несложно запомнить номер, дату окончания срока и CVC/CVV-коды по дороге.
А ещё проще сфотографировать лицевую и оборотную стороны карты, пока клиент не видит.
4. Используют фишинговые приложения и сайты
Сверстать сайт, который выглядел бы точь-в-точь как оригинальный, можно меньше чем за $100. Приложение немного дороже. Отдельную страницу отрисуют за пару часов и тысячу рублей.
Чаще всего копируют сайты и приложения банков, реже популярных интернет-магазинов. Самое дорогое в этой схеме — купить или разработать фишинговое приложение или организовать рассылку по нужной базе данных.
Мошенникам нужно распространить ссылку на фишинговый сайт или приложение, заставить пользователя вбить данные для доступа в фальшивую форму.
Кроме того, фишинговые приложения часто перехватывают SMS для авторизации. Всего этого достаточно, чтобы снять деньги с вашего банковского счета подчистую.
Фишинговых сайтов сотни — только служба безопасности «Сбербанка» выявила и добилась блокировки 600 доменов.
На фишинговые письма ведутся 48% пользователей. Практически каждый второй. Возможно, и вы однажды попались, просто не заметили.
5. Взламывают сайты интернет-магазинов, авиаперевозчиков и др.
Заказывая товары или билеты в интернете, вы можете лишиться денег не только на фейковом, но и на реальном сайте. Такие случаи относительно редки и часто придаются публичной огласке.
К примеру, западные ритейлер Sears и авиакомпания Delta признали, что их подрядчика по чат-поддержке взломали, в результате пострадали клиенты. Утекло около 100 тыс. записей о картах от Sears и сопоставимое количество данных от Delta.
Ещё один пример — премиальные американские ритейлеры Saks Fifth Avenue и Lord&Taylor. Хакеры взломали их платежную систему и собрали данные о 5 млн банковских карт. 125 тыс. записей о картах выставили на продажу.
Одеваются в магазинах люди небедные. Так что даже если 125 тыс. записей умножить на $10 тыс. в среднем на счету, можно больше не работать. Никогда.
6. Перехватывают данные в открытых Wi-Fi-сетях
Халявный Wi-Fi небезопасен, iPhones.ru уже писал об этом. Да и домашние роутеры нередко взламывают люди «с улицы».
Инструментов для этого хватает, даже в даркнет лезть не нужно. В итоге уведут не только аккаунт в Facebook, но и деньги с банковского счета.
6. Вам звонят и представляются сотрудником банка
Номер вашей банковской карты находят на сайте объявлений, посте для сбора пожертвований, да даже в чате WhatsApp, где все скидываются на цветы к 1 сентября.
Затем вам внезапно звонят якобы представители банка и под предлогом повышения безопасности / разблокировки карты / подтверждения платежа заставляют выдать всю информацию о карте или аккаунте онлайн-банкинга.
Самый главный момент: мошенники под видом сотрудника банка просят сообщить код подтверждения операции, который придёт в SMS.
На вас это, может, и не подействует. Но менее опытных юзеров вроде вашей бабушки обычно облапошивают именно так.
Отменить операцию и доказать, что владелец аккаунта не виноват, в таких случаях крайне сложно. Ведь получается, вы номинально подтвердили операцию кодом, ничего несанкционированного не случилось.
7. Сотрудник банка хочет помочь в личке соцсети
Жертв находят в пабликах банков ВКонтакте и на форумах.
Якобы представитель финучреждения связывается с пользователем, который задал вопрос в официальной группе или на странице банка. Обещает решение проблемы. Или золотые горы, кредит по гуманным 5% в год и тому подобное.
Для продолжения просит данные карты, счета, аккаунта онлайн-банкинга, контрольные вопросы или что-нибудь ещё, что позволит «подтвердить личность». Спорим, знаете, что будет дальше?
8. Собирают инфу через безобидные приложения
И такое бывает. Недавний скандал вокруг Burger King тому подтверждение.
Разработчики, конечно, списали всё на улучшайзинг и «всё делаем для пользователя, мамой клянус» , но факт остаётся фактом. Какие ещё приложения крадут банковские данные, расскажем скоро в отдельном материале.
Итак, данные банковской карты украли. Что происходит дальше?
Чаще всего ими пользуются кардеры. Они напрямую сливают деньги с вашего счета на свой (другую ворованную карту, карту случайного дропа и т. п.).
Либо, чтобы не попасться, заказывают с вашей карты товары или подарочные сертификаты в интернет-магазинах. Пока жертва оклемается, успевают обнулить карту и залезть в максимальный овердрафт.
Окей, допустим, у меня украли данные. Что делать?
При первом подозрении НЕМЕДЛЕННО блокируйте карту или вообще весь счёт. Бросайте всё, срочно.
Почти все онлайн-банки и приложения российских банков позволяют сделать это мгновенно без лишних подтверждений. Объяснять ситуацию будете позже. Оставлю несколько примеров для пары крупных банков РФ.
Сбербанк, «Сбербанк Онлайн»:
1. На главной странице в списке карт или на странице с информацией о карте нажмите «Операции» напротив нужной карты.
2. Выберите «Заблокировать».
3. Заполните форму создания заявки и нажмите «Заблокировать».
4. Нажмите «Подтвердить по SMS», введите одноразовый пароль, который вам отправит банк.
Если нет возможности зайти в приложение или сайт Сбербанка:
- Звонок на номер службы поддержки: 900 с любого мобильного, 7 495 500 5550 по Москве, 8 800 555 55 50 из любого другого города РФ. Работает круглосуточно.
- Отправка SMS на номер 900. Формат: БЛОКИРОВКА****Х», где **** – последние цифры номера банковской карты, а Х – причина блокировки. 0 обозначает, что карта утеряна; 1 – подозрение в краже; 2 – карту не вернул банкомат; 3 – другие причины. Дождитесь SMS с кодом подтверждения. У вас будет 5 минут, чтобы отправить его обратно, иначе карту не заблокируют.
- Визит в отделение банка. При себе нужно иметь паспорт или другой документ с фото.
- Введение неправильного пин-кода. Трижды.
Альфа-Банк
В онлайн-банке «Альфа Клик» заблокировать карту можно со страницы «Карты».
1. Авторизуйтесь в сервисе, наведите курсор на поле с активной картой.
2. Нажмите «Заблокировать», подтвердите.
Либо выберите в главном меню «Мои карты» —> «Блокировать карту». Аналогично это работает в мобильном приложении.
Если приложения или браузера под рукой нет, можно отправить SMS-сообщение «block» на номер 2265. В ответ вам придет список карт с обозначением последних четырех цифр каждой из них.
Отправьте второе сообщение: «block *xxxx», где хххх – четыре последние цифры номера блокируемой карты.
Ещё помогает звонок по телефону на номер 0 800 50-20-50. Наконец, карты блокируют в офисах «Альфа-банка». Равно как и любого другого банка, который выпустил вашу карту.
Помните: счет идет на секунды! Чем быстрее вы заблокируете карту, тем меньше шансов у злоумышленников. Любую скомпрометированную карту стоит перевыпустить.
Не забудьте также поменять все логины и пароли, которые могли попасть в руки мошенников.
Полезные советы. Как не дать украсть данные своей карты?
Будьте внимательны, когда переходите по ссылкам. Проверяйте адрес в адресной строке и подлинность формы в приложении.
По статистике Google, 12,4 млн пользователей в 2017 году стали жертвами фишинга.
Да, 78% пользователей знают, что опасно переходить по подозрительным ссылкам. Но 56% всё равно переходят по ссылкам из e-mail, 40% – по ссылкам в Facebook. Угроза ближе, чем вам кажется.
Не сообщайте никому больше, чем номер карты. Для перевода денег этого достаточно.
Осматривайте банкомат перед тем, как вставить в него карту. Если одни детали выглядят новее других или не подходят по цвету, не снимайте в нем деньги.
Меньше шансов нарваться на скиммер в банкомате в отделении банка, в холле приличной гостиницы или другом зале с надёжной охраной.
Не верьте в распродажи авиабилетов за копейки, скидки 80% на фейковых сайтах, кредиты под 1% в месяц от микрофинансовых организаций. Вроде очевидно, но сколько обманутых!
Не пытайтесь снять блокировку карты по ссылке из e-mail или сообщения в мессенджере. Если возникла проблема, звоните в банк по номеру, который указан на вашей карте.
Используйте двухфакторную авторизацию везде, где это возможно.
Не записывайте PIN-коды банковских карт на бумаге. И тем более на самой карте или в кошельке. Да, такое сплошь и рядом.
Сама так сделала: сотрите или закрасьте CVV2-код на обороте карты. Только запомните его перед этим. Если забудете, можно будет восстановить в банке или сделать запрос в некоторых банковских приложениях.
Заведите отдельную карту для интернет-платежей и мелких трат. Переводите на неё деньги непосредственно на расходы.
Не давайте никому карту в руки. А лучше перейдите на карту с чипом для бесконтактной оплаты или Apple Pay, Android Pay, Samsung Pay.
Не пользуйтесь интернет-банкингом через открытый Wi-Fi. Да и вообще через Wi-Fi. Наконец, если вам звонят из банка, выслушайте, запишите разговор и перезвоните на официальный номер банка, который указан у вас на карте.
Что ещё можно сделать, чтобы защитить себя
Пожалуйтесь на фишинговый сайт в Яндекс».
Посмотрите на 2IP.ru whois домена, свяжитесь с хостером, сообщите о фишинге.
И ещё один важный пример напоследок
В январе 2018 года взломали сайт производителя смартфонов OnePlus и несколько месяцев воровали данные банковских карт покупателей.
Производитель официально признал, что «часть пользователей пострадала».
А в бете прошивки OxygenOS Open Beta 2 нашли интересную функцию приложения буфера обмена: в файле badword.txt оказалось много ключевых слов вроде address, email, home, birthday.
Другие файлы позволили установить, что OnePlus отправляет IMEI и другую информацию на сервера teddymobile — компанию, которая идентифицирует пользователей по SMS-сообщениям.
Так что иногда достаточно просто купить не тот смартфон, чтобы слить данные собственной банковской карты.
P.S. Каждый раз, когда вы расшариваете эту статью, у фишеров становится на десяток жертв меньше. Берегите себя и своих близких.
В закладки
Источник https://zoom.cnews.ru/publication/item/63823
Источник https://www.spot.uz/ru/2022/06/02/carding/
Источник https://www.iphones.ru/iNotes/kak-kradut-dannye-bankovskih-kart-08-08-2018