Автор текста: Андрей Тестов
В эпоху виртуальных денег воры и грабители все реже взламывают наши квартиры и все чаще — банковские счета. В России, да и во всем мире, бешеными темпами растет киберпреступность. От нее не застраховаться, даже если у вас на компе стоит самый современный антивирус или вообще нет ни компьютера, ни смартфона. Или вы самый крутой спец по IT, но у вас престарелая мама, которая в любой момент может ответить на звонок злоумышленников.
Bombus начинает серию расследований, посвященных всем видам кибермошенничества, а главное — тому, как цифровому обывателю соблюдать нормы информационной гигиены, чтобы защититься от типичных хакерских атак.
Расследование первое
ВИШИНГ: Они уже все про вас знают, им осталось только позвонить
“Телефонная рыбалка”, она же voice fishing, она же «вишинг» — один из самых распространенных способов увести деньги с вашего счета. Его эффективность основана на том, что абсолютное большинство людей уверены: уж они-то точно никогда никому не сообщат по телефону сокровенные личные данные. И тем не менее сообщают. По данным МВД, в 2018 году в России зарегистрировано почти 43 тысячи случаев вишинга. Летом 2019 года количество мошеннических звонков резко выросло. Рассказываем, как работают современные методы социальной инженерии и почему нужно относиться с подозрением к любому звонку с неизвестного номера.
Как это происходит
— Добрый день.
— Добрый.
— Вы совершали вход в свой онлайн-банк двадцать минут назад?
— Нет.
— Дело в том, что система нашего банка зафиксировала несанкционированный вход в ваш личный кабинет из города Владивосток. А вы, насколько нам известно, проживаете в городе Москва. А также была попытка списания денежных средств на сумму 3 тыс. рублей на карту другого банка. Скажите, данные операции вы проводили?
— Нет, я ничего такого не проводил.
— В таком случае мы понимаем, что в отношении вас как клиента нашего банка производят мошеннические действия. В таком случае нам нужно зафиксировать несанкционированный вход мошенников в ваш личный кабинет, а также временно деактивировать ваш онлайн-банк. Секунду. Зафиксировал. Скажите, Павел Николаевич, возможно, у третьих лиц есть доступ к вашему счету — родственники или родные, которые могли проводить данную операцию?
— Да нет, нету.
— Хорошо, зафиксировал. Скажите, карта вашего банка не утеряна, не украдена, она находится при вас?
— Да, при мне.
— Хорошо. Значит так, Павел Николаевич, денежные средства до получателя не дошли, они переведены на временную ячейку хранения нашего банка на пятнадцать минут для того, чтобы вас обезопасить. Сейчас нам необходимо произвести перевод денежных средств обратно вам на карту, а также установить вам двухфакторную защиту для вашей безопасности и безопасности ваших средств. Скажите, пожалуйста, как вам удобно будет идентифицировать вашу личность — по номеру договора или по номеру вашей карты?
— А как вы идентифицируете мою личность по номеру моей карты?
— Смотрите, данная карта закреплена за вашими данными — персональными, если хотите, я могу вам их назвать. После того, как мы зафиксировали ваш номер договора или номер вашей карты, я отправляю вам SMS-уведомление на номер телефона с пятизначным кодом протекции, который вы используете исключительно в своих целях, чтобы войти в ваш новый онлайн-кабинет. Я вам настоятельно рекомендую: не разглашайте данный код ни третьим лицам, ни сотрудникам банка. Используйте его исключительно в своих целях, чтобы войти в ваш онлайн-кабинет. Скажите, пожалуйста, как вам удобно будет идентифицировать вашу личность — по номеру договора или по номеру вашей карты?
— Ну раз вы предложили — назовите мои личные данные, которые у вас есть.
— Скажите, Павел Николаевич, какие вам необходимо предоставить данные? Серию паспорта, фактический адрес проживания, дату рождения?
— Фактический адрес проживания.
— Вы проживаете в городе Москва, по улице ХХ, квартира 234.
— Да, верно.
— Если хотите, я назову номер вашего паспорта. Но не целиком — я не назову только одну цифру.
— Давайте.
— ХХХ.
— Да, верно.
— Смотрите, у вас еще есть сомнения в том, что я являюсь сотрудником банка?
— Понимаете, я уже знаю, что вы мошенник.
— Хорошо, и?
— Что хорошо? Что значит «и»? Наш разговор записывается и будет передан в полицию.
— Хорошо, и? Что будет далее?
— Не знаю, полиция пусть разбирается.
— Думаешь, она разберется?
— Не знаю, это не моя проблема.
— Хорошо, смотри, чтобы ты понимал — я взял эту **** из той же самой полиции, куда ты хочешь обратиться, идиот.
— А что ты меня оскорбляешь? Я же с тобой нормально разговариваю.
— Извини, согласен, извини. Просто знаешь, сколько я звоню людям в день? У меня голова уже гудит говорить одно и то же — это *****. Просто *****.
— Ну и зачем ты этим занимаешься?
— Кушать хочу.
— Нельзя найти нормальную работу?
— Работа должна приносить удовольствие — я сижу в офисе и разговариваю с людьми.
— То есть приносит удовольствие разводить людей?
— Да, это как искусство. Смотри, я получаю процент от суммы — если я ****** тебя на семьдесят тысяч, я получаю десять процентов.
— И сколько ты так можешь настрелять?
— Короче, смотри — в неделю у меня заработная плата составляет от ста пятидесяти до двухсот баксов.
— В неделю? Ну это не очень много. А ты откуда, ты где живешь?
— Я просто не в России, поэтому для меня это нормально. Даже так, прикинь.
— Ну тогда тебе можно только посочувствовать.
— Спасибо. И смотри, Павел, тебе будут еще много раз звонить. Я знаю, что у тебя машина еще есть, Ауди А3, все паспортные данные, все про машину — номера, когда выпущена, кем, понял? Двойника можно делать на машину. Но ты парень умный, разберешься. Не ведись.
— Ну спасибо, что предупредил. Удачи, постарайся найти нормальную работу.
— Хорошо, спасибо, Павел Николаевич, я приму к сведению. До свидания, всего доброго. Приятного времени.
Что это было
Это запись настоящего телефонного разговора мошенника и его потенциальной жертвы. В терминологии специалистов по информационной безопасности «рыбалка» или фишинг (не путать с вишингом) — это массовые рассылки писем с вредоносными вложениями внутри.
Фишинг был и остается самым надежным способом проникновения в компьютеры и компьютерные системы — в первую очередь он используется во время хакерских атак на банки, и об этом мы расскажем в одном из следующих материалов сериала. Сегодня же сосредоточимся на компьютерном мошенничестве, в основе схемы которого — человеческий фактор.
“Телефонный рыболов” — это тот, кто вместо рассылки писем звонит жертве сам, интернет-технологии тут сведены к минимуму. То есть, он занят не фишингом, а вишингом.
В последние годы крупный бизнес успел возвести эффективную цифровую оборону. Но люди остались прежними, поэтому злоумышленникам проще проникнуть в их финансовые цитадели через простые человеческие слабости.
В 2018 году главным трендом мира компьютерной преступности стали атаки не на юридические лица, большие корпорации и банки, а на простых людей, у которых немного денег на карте и совсем немного знаний о том, как эти деньги защищать. На этом, а еще на вековых законах социальной инженерии и выросла чудовищная волна вишинга — мошенничества с банковскими картами, осуществляемого через телефонные разговоры с жертвой.
Попробуем разобраться, что именно происходило во время разговора и чем это могло грозить жертве, по счастью оказавшейся подготовленной. Во-первых, можно сразу заметить, как много говорит мошенник и как редко и коротко отвечает потенциальная жертва. Это — социальная инженерия в действии.
Заставляя неподготовленного человека сначала испугаться (обнаружен несанкционированный вход в личный кабинет), потом успокоиться (мы заметили, сейчас все исправим), а потом почувствовать доверие к звонящему (мы знаем ваши паспортные данные, адрес фактического проживания — иногда сообщают даже сумму остатка на счете), мошенник добивается своей цели. А его цель — не давая опомниться, заставить сообщить ему то, что нельзя сообщать никому никогда и ни при каких обстоятельствах: CVV-код карты, код подтверждения из банковского SMS-сообщения или кодовое слово.
Как они это делают
Объясняет Сергей Никитин, заместитель руководителя Лаборатории компьютерной криминалистики Group-IB:
"Чтобы номер телефона, с которого звонят мошенники, совпадал с реальным номером колл-центра банка, они используют специальные сервисы IP-телефонии с возможностью подмены номера или просто маскируют его — например, вместо нулей используют букву О. Современная цифровая телефония позволяет любому желающему совершить звонок с чужого номера как со своего. Это может сделать даже школьник.
Следующий вопрос — откуда мошенники знают все, что знают? Возможно, эта информация вас шокирует, но сейчас при желании можно узнать все сведения фактически о любом человеке.
Паспортные данные, номер карты, адрес — все это, как правило, большими пакетами, продается на хакерских форумах. Там же предлагаются услуги по индивидуальному «пробиву» — выяснению данных банковского счета конкретного человека.
Так, по номеру телефона узнать баланс карты, выданной в одном из крупнейших банков России, стоит 700 рублей, получить информацию о последних операциях по карте — 900 рублей, выяснить полный номер карты — 1000 рублей, заблокировать чужую карту можно за 2300, получить паспортные данные — за 3500. Пробить все данные человека по номеру карты — самая дорогая услуга, за нее просят 5 тысяч. Кроме того, многие часто оставляют сканы своих паспортов или банковской карты в интернете и забывают об этом."
Теперь к главному — зачем нужен CVV-код, код из SMS и кодовое слово?
Зная CVV-код, мошенники смогут совершать небольшие покупки в интернет-магазинах, когда не требуется проверка через одноразовый пароль. Карту с известным номером и кодом можно продать в специальных хакерских магазинах — кардшопах. Правда, стоят такие знания совсем недорого — от одного до пяти долларов за штуку. Но мошенники, как правило, оперируют данными сотен, а то и тысяч людей.
Если речь идет о крупной сумме, и для подтверждения транзакции потребуется SMS-код, атакующие начинают автоматическую процедуру перевода денег от имени жертвы. Единственное, что им от вас нужно, — это SMS-код финансовой операции. Для этого они и звонят, представляясь сотрудником банка. То есть если бы наша жертва согласилась на «переоформление» личного кабинета и зачитала мошеннику присланный банком SMS-пароль, с карты просто списали бы деньги. Баланс, скорее всего, уже был известен, поэтому украли бы все.
А кодовое слово требуется мошенникам для того, чтобы попытаться перевыпустить вашу sim-карту и привязать мобильный банк к своему телефону. Чаще всего они выбирают салоны связи, которые находятся на большом расстоянии от места нахождения жертвы.
Перевыпуск происходит по фиктивной доверенности (паспортные данные у них есть), а у оператора нет технической возможности проверить подлинность доверенности, при этом ответственность за последствия перевыпуска sim-карты по такой доверенности он не несет. Если у мошенников есть свой человек в каком-нибудь отделении связи, схему можно поставить на поток.
Когда клон sim-карты жертвы начинает работать на телефоне мошенников, все SMS с кодами подтверждения от банка приходят на него. В последние годы банки договариваются с сотовыми операторами, и в случае перевыпуска sim-карты онлайн-банк временно блокируется. Для его активации и нужно кодовое слово. В итоге после долгого и вежливого разговора, узнав у жертвы кодовое слово, мошенники звонят в банк от вашего имени, называют фамилию, имя, отчество, адрес, паспортные данные и кодовое слово — и становятся полноценными владельцами всех счетов, привязанных к банковскому приложению.
По результатам опроса, опубликованного «Лабораторией Касперского» осенью 2019 года, примерно треть россиян или их близкие становились жертвами телефонного мошенничества.
В последние годы этот способ обмана стремительно эволюционировал и приобрел пугающие масштабы.
Иногда схемы телефонного мошенничества отличаются особым цинизмом — когда злоумышленники атакуют не просто клиентов банков, стремясь выудить у них данные для похищения денег, а грабят пожилых людей, уже ограбленных другими мошенниками.
Как их ловят
15 февраля 2019 года московские оперативники, работая совместно с компьютерными криминалистами из компании Group IB, задержали группу телефонных мошенников. Злоумышленники на протяжении нескольких лет обманом вымогали у пожилых людей деньги, обещая компенсацию за совершенную ранее покупку лекарственных средств, медицинских приборов или биологически активных добавок (БАДов).
Ранним утром белый минивэн въехал на территорию дачного товарищества в Подмосковье. Пробравшись с погашенными фарами по тесной дорожке, он остановился у двухэтажного кирпичного дома. Один за другим из минивэна выпрыгнули шестеро в черном, быстро разбежались в разные стороны, один по приставной лестнице взобрался на крышу. Люди в штатском, разглаживая бумаги, наблюдали, как ломают надежную, сделанную на совесть дверь. Следующие несколько минут после вскрытия дом сотрясали крики и звон разбитой посуды. Внутри кто-то метался, чей-то хриплый голос приказывал лечь и не вставать.
Просторная, с тройным окном, гостиная. Большой телевизор на полированной тумбе орехового дерева. Детский столик для рисования, стакан с фломастерами, открытая банка «Кока-колы». Одетый только в трусы и ярко-голубую футболку Bosco уроженец Смоленской области 1983 года рождения сидит на полу, поглаживая удивленного питбуля. Питбуль доверчиво тянет нос к камере. Загораживая спиной половину телевизора, рядом стоит огромный черный человек с пистолетом. Питбуль облизывает нос.
В подвале, среди уставленных компотами и соленьями полок, оперативники находят пластиковую карту. В маленькой уютной спальне орудуют двое. Первый, вооруженный чудовищного размера молотом с резиновым боем, щедро, по-русски размахиваясь, обрушивает удары на дверь сейфа, вмурованного в стену. Пяти ударов достаточно — и вот уже к делу подключается второй, с ломиком в руках. В окне мирно и медленно светлеет зимнее утро.
Коробка с драгоценностями, пачка долларов, несколько связок ключей, пластиковые карты. Доллары раскладывают на полу ровным ковром и фотографируют, пристроив в кадре маленькую линеечку.
Телефонный аферист, дающий показания в комнате с батутом, выглядит виноватым и обескураженным.
— В чем вас обвиняют?
— Обналичивание денежных средств с банковских карт.
— Чьи эти деньги, кто их перечислял?
— Бабушки. Дедушки.
Они обзванивали пенсионеров, чьи телефоны сохранились в базах покупателей БАДов и других волшебных средств оздоровления. Такую базу можно купить в даркнете за умеренную сумму.
Представлялись прокурором Москвы и сообщали, что задержали мошенников, торговавших БАДами. По решению суда, говорили они, торговля была признана мошеннической и теперь потерпевшим полагается компенсация от ста тысяч до полумиллиона рублей. Поддерживая градус интереса, мошенники ссылались законы, которых не существует, называли жертву по имени и напоминали, когда, почем и какие именно препараты покупались. Им верили. Старики, которые несколько лет назад взяли кредит и купили фальшивые лекарства, снова становились жертвами мошенничества.
Когда жертва соглашалась оформить компенсацию, ей говорили, что вскоре перезвонит «сотрудник кредитно-финансового отдела банка». Тот звонил — и подтверждал готовность банка передать деньги. А еще через несколько минут на связь выходил «работник налоговой» и сообщал, что для получения компенсации необходимо перечислить пошлину в размере 15%. Средняя сумма, которую пенсионеры переводили мошенникам, — около 30 тыс. рублей. Деньги уходили на карты подставных лиц, а потом обналичивались через банкоматы.
В базе, которая помогла уроженцу Смоленской области построить красивый двухэтажный дом с питбулем и батутом, были телефоны примерно полутора тысяч граждан в возрасте от 70 до 84 лет. Помимо крупных сумм в рублях и валюте, в доме был найден травматический пистолет, охотничье ружье, коллекция монет и акции российских компаний, в которые мошенник вкладывал деньги пенсионеров. По этому делу было задержано семь человек, только по семи эпизодам, доказанным следствием, ущерб составил около 10 млн рублей. По мнению криминалистов, жертв было гораздо больше. Не исключено, что в аду приготовлен отдельный котел для людей, у которых хватает совести грабить стариков.
Что делать, чтобы не стать жертвами телефонного мошенничества
1) Ни один сотрудник ни одного банка в мире никогда не будет спрашивать у вас код SMS или CVV ни по телефону, ни в чате, ни каким-либо другим образом. Как только вы услышали эту просьбу — знайте, на линии мошенник. Спокойно прервите разговор и сообщите в ваш банк номер, с которого поступил звонок.
2) Напишите заявление в салоне сотовой связи, запрещающее перевыпуск sim-карты по доверенности, без вашего личного участия.
3) Если в телефонном разговоре неизвестный собеседник указывает вам реквизиты для перевода денег в качестве «страховки», «налога» или «пошлины» — ни в коем случае не делайте этого, даже если легенда звучит убедительно. Если же мошенники ссылаются на просьбу ваших родных — сначала попытайтесь связаться с ними.
4) Всегда уточняйте, для чего именно вас просят сообщить свои личные данные. Если вы сомневаетесь, что на линии сотрудник банка — не сообщайте ничего.
5) Если собеседник представился сотрудником банка — найдите повод закончить разговор и перенести его. Сами перезвоните в банк и узнайте, звонили ли вам оттуда. Тем более если на том конце провода говорят, что “на счету каждая секунда”. Не верьте: две минуты в таких делах значения не имеют.
6) Если по телефону вам обещают легкие деньги или какие-то внезапные выгоды — вас хотят обмануть. Выигрыш в лотерее, для получения которого нужно внести дополнительный взнос, — всегда обман.
Подписывайтесь на нас в соцсетях:
https://www.facebook.com/MediaBombus/
https://vk.com/media_bombus
https://www.instagram.com/media_bombus/
https://twitter.com/media_bombus
https://t.me/bombusme