Блог ОАО «Технобанк»

Человека взломать легче, чем компьютерную систему. Мошенники этим пользуются и применяют социальную инженерию во вред: с целью узнать данные вашей карты или просто снять со счета деньги. В ход идет игра на банальном доверии, любопытстве, предостережении, желании помочь кому-то.

Каждый год такие случаи увеличиваются. Это связано с вовлечением людей в онлайн: YouTube, социальные сети, покупки в интернете и так далее.

Если вы думаете, что вас это никогда не коснется, то ошибаетесь. И мы не о высоких технологиях. А о том, как человек сам может раскрыть личные данные. Давайте разбираться, как это происходит.

Практически везде способ защиты один – никогда и никому не давайте карту, реквизиты и пароли интернет-банкинга.

Способ 1. Переписка в социальных сетях

Много подобных случаев происходит во ВКонтакте. Хотя возможны и в Facebook, и в Одноклассниках, и в Instagram. Способ основан на том, что человек в привычном режиме переписывается со старым приятелем и оказывает ему услугу перевода денег. Рассмотрим ситуацию на примере.

История 1

Петя, который чуть подкован в психологии, заходит на страницу Светы. Пароли он взял на сайтах, где в открытом доступе их раздают за вознаграждение.

Петя изучает переписку Светы с друзьями, смотрит, где и с кем у нее довольно близкие отношения, и начинает действовать. Подстроившись под стиль, манеру общения, а иногда даже под последнюю активно обсуждаемую проблему, начинает писать подруге Светы Тане в таком же духе.

Скриншот переписки с мошенником

Что произошло? Данные вашей карты у другого человека. У вас нет денег. Вы не можете опротестовать операцию, поскольку сами же совершили транзакцию.

Как произошло? Доверие. Петя (= Света) пишет быстро и без длинных сообщений, чтобы надавить на срочность и не дать Тане времени подумать. Узнать, кому переведены деньги, нельзя, потому что мошенники используют для своих целей карты подставных людей.

Как не допустить? Не предоставляйте никому данные карты. Если все же собираетесь это сделать, проверяйте, кому даете реквизиты: можно просто позвонить человеку, который вам пишет.

Способ 2. Объявления

Здесь все безобидно на первый взгляд, потому что деньги хотят дать вам. Но под этим предлогом мошенник и узнает данные карты. То есть хочет с вами расплатиться за услугу/товар и просит сказать или сфотографировать коды, которые для подобных переводов не нужны.

История 2

Таня размещает в интернете объявление о продаже смартфона. Петя (=мошенник) находит это объявление и становится ее потенциальным покупателем. Звонит, расспрашивает о характеристиках телефона и говорит, что готов забрать его хоть завтра. А чтобы она сняла объявление о продаже, переведет ей аванс на карту прямо сейчас. Только для перевода Петя просит данные карты, в том числе, код на обратной стороне (CVV). Еще больше Петя запутывает жертву, когда говорит, что будет платить с расчетного счета, и чтобы платеж прошел, нужен код, который придет Тане на телефон. Таня, которая не очень знакома с процедурой переводов, называет все данные.

Что произошло? Умыкание денег с карты под предлогом поскорее расплатиться за покупку.

Как произошло? Петя как бы намекнул, что может сделать все сам, чтобы продавцу было удобнее (в стиле «Скажите данные карты, и деньги быстро придут»). А банальная радость Тани, что вот-вот придут деньги, усыпила бдительность.

Как не допустить? Достаточно знать, что система онлайн-переводов или платежей так не работает. Для денежного перевода достаточно знать номера карты владельца.

Способ 3. Вечеринка

Эта история повторяется чаще других. Люди сами передают свои карты знакомым, чтобы те совершили покупку. Они получают пин-код, то есть доступ ко всем средствам. Да, это можно потом доказать, но вернуть деньги очень сложно.

История 3

Петя гуляет в компании со своими приятелями или новыми знакомыми. Пришло время еще раз сходить в магазин, чтобы купить алкоголь. А деньги есть только у одного человека, который дает карту вместе с пин-кодом.

Петя знает пин-код, уходит в магазин, который в 5 минутах от дома, и не возвращается несколько часов или вообще. Суть одна – тратит деньги с карты.

Что произошло? Пренебрежение правилами использования карты.

Как произошло? Очень часто такие истории случаются действительно на вечеринках с алкоголем и в компании незнакомых или малознакомых людей.

Как не допустить? Не передавать свою карту, не сообщать пин-код никому (родственникам, знакомым, сотрудникам банка, кассирам и другим лицам). Банк не может нести ответственность за то, что вы сами расплатились за какую-то покупку.

Способ 4. Фишинг

Или получение того, что нужно злоумышленнику: номера карточки, пин-кода, срока действия, CVV-кода.

Фиктивный интернет-магазин

Чтобы вы назвали/прописали личную информацию, мошенники используют разные способы. Например, создают фиктивные интернет-магазины с товарами по низким ценам, а значит, и большим потоком желающих их купить.

История №4

Петя создает фиктивный интернет-магазин, продает там смартфоны по невысоким ценам. Когда потенциальные покупатели решились купить телефон по формуле «нормальная цена/2», магазин перенаправляет на поддельную систему электронных платежей или просто просит ввести номер карты в непонятное поле. Теперь у Пети данные карт в кармане. А у покупателя ни товара, ни ранее конфиденциальной информации.

Что произошло? Покупатель не заметил, что адрес страницы, на которую его перенаправили, изменен. Или не насторожился при появлении полей ввода просто номера, срока действия карты и отдал свои данные неизвестно кому.

Как произошло? Впечатлившись дешевым предложением, покупатель просто проигнорировал меры предосторожности.

Как не допустить? Во-первых, помнить, что деятельность интернет-магазинов возможна при наличии договоров с провайдерами электронных платежей, например, Assist, WEBPAY, E-PAY и др. Во-вторых, следить за репутацией интернет-магазина и проверять отзывы, его авторитетность.

Запрос из банка

Так называемый почтовый фишинг используется для получения любых личных данных, в том числе, и доступов к карте. Его суть в том, что под заманчивым или заставляющим побеспокоиться об утечке своих денег поводом мошенники узнают данные карты.

История №5

Петя делает email-рассылку от имени банка или платежной системы. В письме он сообщает об изменениях, которые осуществляются в системе безопасности банка, или об угрозе, на которую нужно немедленно среагировать (списание денег, например). Все довольно правдоподобно: логотип банка, обращение по имени, официальный язык и соблюдение пунктуации. Чтобы решить проблему, Петя просит адресатов ответом выслать номер карты и пин-код или перейти по ссылке на сайт банка-эмитента и вписать данные в специальные поля. Но ссылка ведет на поддельный ресурс, который имитирует деятельность настоящего (то есть фишинговый). Вы вводите данные карты, CVV-код и отдаете мошенникам всю информацию, которая легко позволит ему совершить покупку, например, в интернет-магазине.

Что произошло? Мошенники, не побоявшись рискнуть и предложить пользователям ввести пароли, получили доступ к конфиденциальной информации и забрали деньги.

Как произошло? У получателей не вызвало подозрений письмо в электронной почте с просьбой перейти по ссылке или просто выслать свои данные.

Как не допустить? Ни в коем разе не переходить по ссылкам в подобных письмах. Лучше отправить уведомление о спаме почтовой службе и удалить сообщение. Также обращайте внимание на адресную строку прикрепленной ссылки. В фишинговых сайтах она не совпадает с настоящим адресом сайта банка, но отличаться может всего одним символом.

Для защиты совершения покупок в интернете (а именно для этого полученные таким способом реквизиты могут использоваться) есть полезная технология 3D-Secure, которая добавляет еще один шаг безопасности при совершении платежей онлайн. Ее суть проста: чтобы подтвердить платеж, владелец карты для окончательного подтверждения платежа должен ввести не основные реквизиты, но и код, который приходит на телефон.

Так без лишних хлопот и сложных схем мошенники могут получить данные вашей карты. Чтобы избежать таких ситуаций, соблюдайте элементарные правила хранения карты, чтобы не стать жертвой уловок недобросовестных людей.