Мошенники разработали новую схему кражи денег с банковских карт с помощью так называемой социальной инженерии - проще говоря, классического обмана. Мишенью злоумышленников становятся люди, продающие товары на различных интернет-ресурсах. «Покупатель» предлагает сразу перевести деньги за товар на банковскую карту владельца.
Мошенник просит продавца помимо номера кредитки дополнительно сообщить CVV-код, указанный на обратной стороне «пластика», - якобы для того, чтобы трансакция прошла успешно. Назвав его, торговец ожидаемо лишается средств. О появлении новой преступной схемы «Известиям» рассказали в компании Zecurion, специализирующейся на вопросах кибербезопасности. Потери клиентов от подобных действий эксперты оценили уже в 200 млн рублей.
В августе 2017 года специалисты по кибербезопасности уже прогнозировали, что хакеры начнут атаковать банковских клиентов через сервисы дистанционной оплаты - например, Avito.
- Под прицел злоумышленников сейчас попадают продавцы самых разных категорий товаров, - рассказал «Известиям» руководитель аналитического центра Zecurion Владимир Ульянов. - Злоумышленники достаточно ловко маскируют свои цели и подменяют понятия, например, код CVV они могут назвать нейтральным «номером счета».
По словам Владимира Ульянова, если жертва выдает преступникам CVV, они выясняют и другую информацию, необходимую для успешного вывода денег, - например, одноразовые пароли, приходящие на телефон владельца карты.
- Мошенники проявляют интерес к продавцам любых лотов, для них главное - получить доступ к счетам граждан, - отметил эксперт. - В результате распространение схемы становится всё масштабнее.
Цель злоумышленников - выяснить реквизиты платежной карты, чтобы, отключив проверку CVV2/CVC2-кода по карте держателя, осуществить перевод денег жертвы на карту мошенника, в том числе через банкомат.
Метод мошенничества с использованием социальной инженерии основан на знании психологии и использовании человеческих слабостей. По оценкам специализирующейся на кибербезопасности компании «Информзащита», в 2016 году «киберворы на доверии» похитили с карт банковских клиентов более 700 млн рублей. В этом году - на 35% больше, то есть 945 млн. По новой схеме, по предварительным оценкам, уже украдено 200 млн рублей.
Оценка ущерба проводилась специалистами Zecurion следующим образом. На сегодняшний день на интернет-ресурсах типа Avito и «Юла», согласно базам этих порталов, продают различные товары 10 млн граждан. 0,2% от этого числа (два человека из тысячи) являются потенциальным минимумом жертв мошенников. Таким образом, 20 тыс. продавцов на интернет-ресурсах - возможные объекты внимания злоумышленников. По данным Центробанка, с одной карты хакеры могут списать 5-10 тыс. рублей. Таким образом, потери продавцов могут оцениваться в 100-200 млн рублей.
- Чтобы защититься от мошенников, важно ни при каких обстоятельствах не передавать CVV2/CVC2-код карты третьим лицам, - отметила в беседе с «Известиями» директор центра по противодействию мошенничеству компании «Информзащита» Лилия Шароватова. - Необходимо помнить главное правило - обратная сторона карты предназначена для владельца, и никогда не передавать свою карту даже официантам в ресторане.
Лилия Шароватова также советует использовать банковские опции и сервисы, которые позволят снизить риски компрометации: не держать все деньги на одном счете, использовать лимиты на снятие наличных и покупки.
- Avito ведет непрерывную работу по выявлению мошенников и делает всё, чтобы максимально обезопасить пользователей, - сообщили «Известиям» в пресс-службе Avito. - Все объявления проходят модерацию, и в случаях, когда обнаруживаются нарушения, они блокируются. Кроме этого, под объявлениями есть кнопка «Пожаловаться», нажав которую, любой пользователь может заявить о публикациях, похожих на мошеннические, и отправить их на рассмотрение модератору.
В компании «Яндекс. Деньги» «Известиям» сообщили, что для проверки любых операций используется метод двухфакторной авторизации, технологии 3D-Secure, а также система антифрода, которая постоянно совершенствуется за счет машинного обучения.
- Для подтверждения операций мы предлагаем пользователям несколько вариантов: одноразовые пароли (они приходят в SMS или генерируются с помощью специальных мобильных приложений), биометрия (отпечаток пальца в приложении «Яндекс.Денег»), - пояснили в компании. - Один пароль может подтвердить только одну операцию и действует короткое время - даже украденный, он мошеннику не поможет.
Эксперты уверены, что новая мошенническая
схема будет актуальна еще месяц - финансовая грамотность россиян растет, продвинутых клиентов становится всё больше. В то же время злоумышленники будут изобретать новые схемы обмана, предостерегают они.