Сегодня многие были взбудоражены новостью о подозрительных звонках — мошенники обзванивают клиентов банков, представляясь сотрудниками финансового учреждения. Вообще-то вишинг (англ. vishing, от voice phishing – голосовой фишинг) — это довольно старый, но не теряющий популярности вид телефонного мошенничества.
Существует несколько сценариев, которые используют злоумышленники, пытаясь войти в доверие к клиентам банков, рассказал Ярослав Каргалев, заместитель руководителя CERT Group-IB. Например, мошенники массово рассылают смс или сообщения в WhatsApp и Viber от имени сотрудника реального финансового учреждения: "Совершена покупка на сумму 25650 руб, если вы не проводили операцию то перезвоните в службу безопасности <номер телефона>". Причем номер телефона, с которого приходят такие сообщения, внешне похож на номер реального колл-центра, либо могут использовать названия банка.
В последнее время так же получила распространение ещё более эффективная с точки зрения вхождения в доверие схема, когда мошенники первыми звонят своим жертвам.
Злоумышленники представляются сотрудниками банка, причем используют названия реальных подразделений или фамилии, добытые в открытых источниках или в слитых базах компаний-партнеров. Клиенту сообщают об обнаруженной проблеме, например, служба безопасности якобы заметила попытку взлома личного кабинета онлайн-банкинга или попытку несанкционированной транзакции. В ряде случаев они могут даже назвать паспортные данные или номер карты жертвы, которые пользователи сами оставляют в интернете или их скомпрометированные данные продаются на хакерских форумах.
Цель преступников - получить CVV, кодовое слово или секретный код, присланный банком клиенту в смс, в том случае, если клиент использует двухфакторную аутентификацию под видом отмены несанкционированной транзакции. Вместо этого деньги со счета жертвы поступят на счет мошенников.
Мы также фиксировали несколько случаев, когда злоумышленники используют автоответчик, который приветствует абонента, сообщает о проблеме, а уже после происходит подключение к диалогу “живого оператора”. Такая схема также почти не вызывает подозрений со стороны жертвы, что делает ее не менее опасной, чем «живые» звонки.
Чтобы не стать жертвой мошенников важно запомнить: реальный сотрудник банка никогда не будет спрашивать у вас CVV или код из смс ни по телефону, ни в чате с банком. Как только вы услышали эту просьбу - на линии мошенник. Спокойно прервите разговор и сообщите в ваш банк, с какого номера поступил звонок.
И помните, если вы сомневаетесь в подлинности звонка (шум на линии, невнятная речь, настойчивость) - скорее всего это не случайно. Опять же прервите разговор и "пробейте" телефон и ФИО звонившего, оперативно связавшись с колл-центром или СБ вашего банка. Бдительность в данном случае никогда не бывает лишней.