Передо мной в банке стояла сухонькая бабушка, которая клялась оператору: "Да не сообщала я код, мне сын настрого запретил! И ничего не нажимала, и не подтверждала! Мне просто позвонили, а потом списались деньги!"
Оператор, конечно, рявкала через окошко, что клиент подтвердил операцию SMS-сообщением, это видно в компьютере, а потому, бабуся, кого ты лечишь, иди жалуйся куда хочешь, а банк тебе ничего не должен.
Как такое вообще возможно? Да легко! Механизм довольно простой.
Как вы создаёте условия для мошенничества
Когда вы впервые устанавливаете приложение онлайн-банка, вам нужно ввести код авторизации, который приходит в смс. Обычно приложение заботливо спрашивает вас: хотите разрешить приложению автоматически читать коды из sms-сообщений, чтобы не вводить их вручную каждый раз?
И вы думаете: "А почему бы и нет?" И кликаете на кнопочку "РАЗРЕШИТЬ".
Большинство граждан забывают об этом незначительном эпизоде, т.к. приложение послушно считывает коды, да так быстро, что вы этот момент даже не видите. Просто во время подтверждения операций индикатор загрузки на пару мгновений тормозит ("кружочек мотается"), а в верхней шторке мелькает сообщение с кодом. Очень удобно.
Всё, поздравляю. Свистнуть со счета деньги при должной сноровке не составит труда.
Механизм кражи денег
С точки зрения отношений клиента с банком введение кода из СМС - это цифровая подпись клиента под распоряжением о совершении какого-то действия: открыть счет, выпустить карту, перевести деньги... Распоряжение создается в онлайн-банке в веб-версии, приложении банка, а в некоторых случаях - на сайте банка или его партнеров-магазинов (удобно покупать товары в кредит).
И вот тут внимание: если заявка на выдачу кредита создается на сторонней площадке, и в нее вбиты основные данные клиента, для оформления остается мелочь - подтвердить это распоряжение смс-кодом, приходящим на телефон, указанным в заявке.
Но у мошенника нет доступа к телефону. Как же получить код?
Дело в том, что мошеннику нужно не получить, а ввести код, подтвердив свое распоряжение.
Учитывая, что приложение банка в телефоне клиента само автоматически считывает коды, мошеннику остается самая малость: заставить клиента просто открыть приложение!
"Давайте откроем приложение, чтобы проверить, что мошенники ничего не успели сделать с вашими деньгами"
На телефон клиента поступает звонок, где обеспокоенный "оператор банка" сообщает, что у вас заблокирована подозрительная операция / поступила заявка на смену номера телефона, это были вы? Давайте зайдем в приложение и проверим, всё ли на месте? Всё ли в порядке?
Чтобы клиент еще больше успокоился и доверился, "оператор" сразу предупреждает: я не спрашиваю никаких кодов из смс, никаких номеров карт и прочего, и даже очень советую никому и никогда их не сообщать! Даже мне! (глядите, какой я настоящий и честный оператор банка! Открывайте же свое приложение быстрее!)
Клиент открывает приложение, в приложении уже висит заявочка на оформление кредита, приложение самостоятельно считывает смс-код (помните, как вы сами разрешили ему это делать?) и подписывает этим кодом эту заявку. Готово! Вы великолепны!
Тем же образом можно, например, подписать согласие на смену номера в приложении. О предоставлении доступа куда-нибудь. О переводе денег. И много чего интересного можно сделать, если разрешить своим приложениям без вашего сознательного участия считывать смс-коды.
Выводы
1. Закончили возиться в приложениях банков - закрывайте их (не сворачивайте в трей, а именно закрывайте!)
2. Не включайте автоматическое чтение смс-сообщений. Лучше вводите коды руками, так деньги и нервы целее будут. Да и знать будете, что именно "подписываете" этой смской.
3. Не разговаривайте с "операторами банков" и "следователями главного управления полиции России", а также прочими "уполномоченными Центрального банка" - вы думаете, что хитры и не попадётесь на их уловки, но вы забываете, что социальная инженерия появилась раньше вас и развивается семимильными шагами, а мошенники и современные технологии идут буквально рука об руку. Пока вы восхищаетесь своим остроумием и прозорливостью, они получают доступ к вашим деньгам.
4. Если все-таки случилась оказия, и вы сболтнули коды или утратили контроль над своими картами и счетами, незамедлительно обращайтесь в банк и полицию. Там хотя бы заблокируют всё и не позволят набрать кредитов на ваше имя.
В сфере киберпреступности раскрывают всего 9% дел. Лишь в 10% случаев деньги удается вернуть полностью или частично.
Кстати, сейчас можно подтверждать различные операции в приложении онлайн-банков лицом ("улыбкой") или отпечатком пальца. Будьте бдительны и осторожны, ребята.
