Продавцы авто через интернет попали под прицел мошенников

Злоумышленники похитили с карт россиян, продающих машины на различных интернет-ресурсах, сотни миллионов рублей, сообщает ИЗВЕСТИЯ.

В конце 2015 года в России активизировались мошенники, получающие данные банковских карт клиентов с помощью так называемой социальной инженерии. Мишенью мошенников становятся люди, продающие свои автомобили на различных интернет-ресурсах. В этой схеме потенциальный покупатель предлагает сразу внести задаток за автомобиль на банковскую карту клиента. При переводе «покупатель» просит владельца сообщитьполученный на телефон код авторизации, назвав который, владелец не увидит ни задатка, ни своих денег. Об этом рассказали в компании «Инфосистемы Джет», специализирующейся на вопросах безопасности дистанционного банковского обслуживания. По оценкам компании Zecurion, в прошлом году зафиксировано несколько сотен случаев кражи денег с банковских карт клиентов по этой схеме, ущерб в каждом случае оценивается в 50–100 тыс. рублей.

— Такая мошенническая схема начала использоваться несколько месяцев назад, — рассказал руководитель направления противодействия мошенничеству Центра информационной безопасности компании «Инфосистемы Джет» Алексей Сизов. — Концептуально это социальная инженерия, цель которой — получение реквизитов платежных инструментов и кодов подтверждения операций.

По словам Алексея Сизова, злоумышленники действуют в двух направлениях. В первом случае происходит единоразовое списание средств с карты клиента — то есть по «пластику» совершалась операция, код подтверждения приходил на телефон владельца, а мошенник просил сообщить этот код. Ввод этого кода является подтверждением проведения операции. В 2015 году мошенники увели этим способом 243 млн рублей, в 2014-м — 71 млн (рост на 242%).

Второй вариант — получение доступа к управлению банковскими сервисами клиента. В случае утери, например, реквизитов доступа к интернет-банку и при возможности дистанционного получения новых реквизитов ряд банков использует идентификацию клиента, которая включает проверку паспортных данных и номера банковской карты. Их мошенники и получали под предлогом отправки аванса за покупку автомобиля. Высылаемый по SMS пароль являлся одноразовым кодом доступа в интернет-банк. Попав в личный кабинет на сайте банка, мошенник получает уже куда более широкие возможности по выводу средств со счетов. С помощью этого способа злоумышленники похитили с карт россиян 515,1 млн рулей, в 2014 году — 246,2 млн (рост на 109,2%).

По словам замгендиректора специализирующейся на вопросах безопасности компании Zecurion Александра Ковалева, в рамках новой схемы для мошенников всё складывается почти идеально: и залог логично оставлять, и деньги-то вроде как жертве платят, и SMS при пополнении счета приходят похожие, и машину обычно хотят продать побыстрее, и идут на варианты с бронированием и предоплатой даже самые осторожные автовладельцы.

— Сайты с автообъявлениями давно пытаются оградить клиентов от подобного рода мошенничеств, — отметил Александр Ковалев. — Для этого в видных местах есть плашки с рекомендациями отказаться от предоплаты и никогда ее не вносить. Есть встроенные системы отзыва и на продавцов, и на покупателей. Но в целом обстановка для того, чтобы назвать этот одноразовый пароль, реально благоприятная, и многие клиенты на этом попадаются, желая побыстрее продать автомобиль. Совет для граждан — будьте бдительны, а для мошенников уже написана в Уголовном кодексе ст. 159.3 «Мошенничество с использованием банковских карт», максимальный тюремный срок по которой — 2 года, штраф — до 1 млн рублей.

Желающим же продать или купить автомобиль стоит читать то, что написано на сайтах с автообъявлениями – «никогда не просите и не берите предоплату». Если всё же по какой-то причине есть необходимость или желание забронировать автомобиль за конкретным покупателем (или какой-то автомобиль для себя), стоит делать это лично, фиксируя всё договором в печатном виде с подписями обеих сторон, сохраняя себе фотографию паспорта второго участника. Независимо от этих пунктов, никогда никому не сообщайте одноразовые пароли, CVV2 (кроме случаев заполнения форм оплаты), любые коды подтверждения, полученные по SMS, ключевые слова, PIN-код от карты — любую информацию, которая потенциально может привести к хищениям с ваших банковских карт.

Алексей Сизов выделяет два направления защиты от мошенников, прибегающих к методам социальной инженерии.

— Первый на стороне клиента банка: пользователи банковских сервисов нередко пренебрегают требованиями к безопасности и рекомендациями со стороны банка — никому не сообщать данные своих карт, реквизитов платежных сервисов, паролей, PIN-кодов, — поясняет эксперт. — Принцип выбора жертвы в новой мошеннической схеме нацелен на взаимодействие с человеком в условиях, когда его бдительность ослаблена. Например, вы продаете машину и, начав размещать объявление, наудачу ставите цену выше рыночной. Вам звонят и сообщают о готовности купить транспортное средство по немного завышенной цене. Покупатель даже готов сразу внести задаток за покупку через банковскую карту. У вас просят фото карты и паспорта. И если в обычной ситуации вы бы еще подумали, что передавать, а что нет, то в этом случае данные паспорта и так будут известны при заключении договора купли-продажи, обратную сторону карты у вас не просят, и отправка реквизитов кажется не слишком критичной... 

В ряде случае злоумышленники на опережение отправляли реквизиты «своих» паспортов и карт (конечно, на самом деле найденных в интернете или подготовленных заранее), с которых будут направляться деньги, — и тут вроде опять покупатель открыт, это еще больше подкупает. Ну а код выманивают за счет якобы невозможности отправить платеж без него. Или придумывают, что этот код направляется получателю для того, чтобы подтвердить принадлежность карты. Второй способ защиты от хищений денег с карт граждан методами социальной инженерии — на стороне банка. Многие банки уже давно успешно детектируют подобные схемы мошенничества. Принципы противодействия, как и ранее, основаны на детальном контроле операций, инициируемых клиентами. В первом случае, например, время ввода кода подтверждения будет несколько большим, чем среднее значение (диалог со злоумышленником и т.д.), во втором — совершение операции (серии операций, зачастую крупных) сразу после регистрации доступа к сервису дистанционного банковского обслуживания. Как показывает практика — простой звонок от банка почти гарантированно сохранит деньги клиента.

Алексей Сизов также рекомендует в обязательном порядке проверять надежность интернет-ресурсов (при совершении online-оплаты): работу по https, действительность сертификатов, использовать и постоянно обновлять антивирусные средства на персональных компьютерах и мобильных устройствах. И, конечно, не стесняться при любых подозрениях обращаться в банк.

— Подобные варианты мошенничества рассчитаны исключительно на доверчивость и недостаточную финансовую грамотность граждан, злоумышленникам не требуется предпринимать никаких сложных технических действий — человек по доброй воле делится с ними данными, которые ни в коем случае нельзя никому сообщать, — отмечает руководитель разработки карточных продуктов группы Бинбанка Никита Игнатенко. — Между тем, для того чтобы одно физлицо отправило другому деньги безналичным путем (скажем, предоплату за что-либо), достаточно сообщить отправителю лишь номер карты. Зная один только номер, без дополнительных данных злоумышленник никак не сможет списать с карты средства. Если же это реальный покупатель, а не мошенник, он легко зачислит деньги по номеру карты через банкомат, платежный терминал или интернет-банк (отправителю для совершения перевода достаточно знать только номер карты получателя, никакие дополнительные данные не нужны). Такие переводы часто используются, к примеру, при бронировании частных гостиниц: будущий гость отправляет на карту хозяина отеля предоплату.

По прогнозам директора инвестиционно-банковского департамента QB Finance Дмитрия Кипы, в 2016 году в рамках схем социальной инженерии мошенники уведут с банковских карт граждан еще 300–400 млн рублей.

Анастасия Алексеевских