Сегодняшний лонгрид о том, как работает мошенничество через социальную инженерию и как злоумышленникам удается выманить у потенциальной жертвы номер карты и одну смску для регистрации и первого входа в онлайн-банк.
Кажется, уже все должны были слышать, что никому нельзя сообщать данные номеров банковских карт, CVV и коды из смс, уж тем более по телефону. И тем не менее этот метод мошенничества занимает 1-е почетное место в антирейтинге по популярности методов обмана.
Наше последнее исследование показало, что 88% респондентов знают, что никому нельзя сообщать номера карт и CVV-код на обратной стороне — и тем не менее каждый месяц мы предотвращаем порядка 1 000 таких атак.
Так как же получается, что люди сами озвучивают номера своих банковских карт мошенникам?
Расскажу, как это работает..
Мошенники при звонке потенциальной жертве создают иллюзию контактного центра банка, представляются сотрудником службы безопасности или финансового мониторинга и сообщают, что по карте клиента, последние цифры которой ХХХХ, сейчас проходит подозрительная операция и называет произвольную, но существенную сумму и название какого-нибудь магазина.
Далее следует вопрос, подтверждает ли клиент эту операцию? Естественно, что реакция простого обывателя на новость о том, что сейчас его/ее кто-то грабит, вызывает всплеск эмоций. И в этот момент рациональность отступает — эмоции берут вверх, бдительность теряется.
Затем происходит следующий сценарий: «сотрудник банка» говорит, что раз эту операцию проводит не клиент, он может ее заблокировать, но для этого от клиента потребуется подтвердить отмену операции. Сценарий диалога примерно такой: мошенник говорит, что для того чтобы подтвердить отмену данной операции по вашей карте, последние цифры которой XXXX, назовите, пожалуйста, остальные цифры карты. В этот момент у жертвы и мысли не возникает, что нельзя сообщать номера карт, ведь сам звонящий и так знает номер карты — он же назвал последние 4 цифры. А значит это и вправду по-настоящему, и он лишь хочет убедиться, что я клиент.
В этот момент жертва диктует номер своей карты. Затем мошенник сообщает ей, что для подтверждения отмены операции он направит код в смс на номер мобильного телефона жертвы, который ему нужно сообщить. В это время сам мошенник берет номер карты и начинает процесс регистрации в мобильном приложении банка жертвы, вбивая номер карты в поле «логин». Дальше жертве прилетает смс, в которой указан код для регистрации в мобильном приложении с текстом «Вам отправлен код для подтверждения регистрации в мобильном банке». В этот момент жертва уже находится в искаженной реальности, подкрепленной эмоциональным желанием скорее остановить грабеж — человек не замечает текст в смс, просто сообщает код мошеннику, и, вуаля, воришка уже находится в личном кабинете жертвы.
В онлайн-банке мошенник подключает на свое устройство пуш-уведомления, и клиент полностью теряет контроль над своими деньгами. Никаких уведомлений о списаниях он уже получать не будет — все уведомления теперь будут приходить на устройство мошенника. Далее злоумышленник выводит все деньги клиента на сторонние карты, а еще — самое ужасное — оформляет кредит онлайн на клиента и также выводит эти деньги, загоняя жертву в кредитную кабалу перед банком.
Вот 5 простых советов, как уберечься от подобного сценария мошенничества:
1. Установите определитель номера : они в 90% случаев определят, если вам будут звонить мошенники.
2. Если все же решили ответить и услышали на той стороне представителя банка, то просто сразу вешайте трубку. Вы ничего не потеряете — даже если это и звонил банк, то, скорее всего, с очередной рекламой. А если вам все-таки нужно поговорить со своим банком, просто позвоните сами — но не перезванивайте на номер, с которого вам звонили, а наберите официальный номер с сайта или в онлайн-банке.
3. Повторюсь в 100-й раз — никогда и никому не сообщайте номера своих банковских карт и CVV.
4. Никогда и никому не сообщайте и не пересылайте коды из смс от вашего банка.
5. Внимательно читайте, что написано в текстах смс/пуш-уведомлений от вашего банка.
Будьте бдительны и осторожны. В следующем посте я расскажу, как мошенникам для взлома онлайн-банка удается выманить данные ID клиента, ведь, на самом деле, ни один клиент не помнит наизусть и не знает, где посмотреть свой ID, а мошенникам это все же удается.
Если дочитали до конца, то не забудьте рассказать в комментариях, чтобы я не переживал, что лонгриды про способы мошенничества никто не читает. :)
#осторожномошенники #телефонныемошенники #осторожномошенники
#безопасность
#телефонныемошенники #фишинг #службабезопасностибанка
#правилабезопасности