Откуда у мошенников данные клиентов сбербанка
Перейти к содержимому

Откуда у мошенников данные клиентов сбербанка

  • автор:

Откуда у мошенников данные клиентов сбербанка

РАБОТА С БАНКОМ

6 МИН

Как обманывают мошенники

Приводим самые распространённые схемы и объясняем, как действовать, чтобы ваш бизнес не пострадал.

Ситуация 1

Вирус в письме на электронную почту

Что происходит

1. От имени банка, регулятора или госорганов мошенник направляет фишинговое письмо с информацией о нарушениях со стороны организации, требованиях к ней и т. п. Письмо содержит вирус.

2. Вы открываете вложение, якобы содержащее важную информацию, и вирус поражает ваше устройство.

3. Вирус собирает персональные данные и подменяет в платежах ваши реквизиты на мошеннические.

Как этого избежать

Обращайте внимание на адрес электронной почты, с которого пришло письмо от вашего контрагента. Если обычно он выглядит как «почта.ru», мошенник может, например, отправить письмо с адресов «почта.ru.cc», «почта123.ru», «п0чта.ru».

Не переходите по ссылкам на скачивание документов, которые ведут на неизвестные страницы или страницы домена, отличные от домена отправителя: например, подозрительно выглядит ссылка www.sberboonk.ru, полученная якобы от Сбера.

  • Выделите отдельный компьютер для работы с банком и ограничьте доступ к ресурсам сети Интернет, за исключением ресурсов банка.
  • Используйте лицензионную операционную систему и лицензионное антивирусное программное обеспечение с обязательным своевременным автоматическим обновлением.
  • Всегда проверяйте вложения в письме на предмет вирусов.
  • Минимизируйте использование средств и протоколов удаленного доступа к компьютеру, на котором осуществляется работа с банком.
  • После окончания работы с банком обязательно отключайте токен от компьютера
  • Будьте внимательны при просмотре почты, изучите признаки фишинговых писем
  • Внимательно проверяйте реквизиты при подтверждении операции

Ситуация 2

Подмена реквизитов через почту

Что происходит

1. С помощью фишинговых писем или другим способом мошенник взламывает электронную почту контрагента.

2. От лица вашего контрагента — с его реальной почты — мошенник отправляет на вашу почту счёт со своими реквизитами.

3. Вы получаете счёт на оплату от надёжного контрагента и решаете перевести ему денежные средства. Если вы не проверили реквизиты счёта, не уточнили информацию о платеже, ваши деньги попадут к мошенникам.

Как этого избежать

Если есть сомнения в банковских реквизитах, свяжитесь с контрагентом по телефону, уточните, действительно ли вам направляли счёт на оплату.

Используйте расширенные настройки безопасности почты:

  • двухфакторную авторизацию для входа в почту;
  • оповещение о входе в свой аккаунт с нового устройства;
  • оповещение о входе в свой аккаунт из другого региона.

Ситуация 3

Хищение через программное обеспечение удаленного управления

Подробнее о схеме мошенничества

Злоумышленники публикуют ссылки на рекламу или предложение скачать архив, например, на бухгалтерском сайте. Видя привлекательное предложение, вы или ваш сотрудник переходите по незнакомой ссылке. В этот момент на компьютер загружается вредоносное программное обеспечение.

Вредоносная программа запускает программу удаленного управления. В результате мошенники получают доступ к вашему устройству и данным на нём. Теперь злоумышленники могут зайти в личный кабинет интернет-банкинга и от вашего имени совершить несанкционированные переводы.

Также есть вредоносные программы, с помощью которых автоматически подменяются реквизиты получателя, когда вы отправляете документы через банк.

Как этого избежать

  • Выделите отдельный компьютер для работы с банком и ограничьте доступ к ресурсам сети интернет, за исключением ресурсов банка.
  • Используйте лицензионную операционную систему и лицензионное антивирусное программное обеспечение с обязательным своевременным автоматическим обновлением.
  • Минимизируйте использование средств и протоколов удаленного доступа к компьютеру, на котором осуществляется работа с банком.
  • После окончания работы с банком обязательно отключайте токен от компьютера.
  • Будьте внимательны при просмотре почты, изучите признаки фишинговых писем
  • Внимательно проверяйте реквизиты при подтверждении операции

Ситуация 4

Телефонное мошенничество

Что происходит

1. Вам поступает звонок с неизвестного номера. На вас начинают воздействовать разнообразными методами:

  • пугают,
  • торопят,
  • вытягивают информацию.

Для усиления эффекта мошенники могут представляться сотрудниками службы безопасности банка, сотрудником Центрального банка, МВД, ФСБ и т.д.

2. Мошенники рассказывают разные ситуации, которые представляют угрозу вашим деньгам. Например, «В банке произошла утечка ваших персональных данных», «зафиксирована попытка смены телефона, привязанного к счету», «от вашего имени оформлен кредит», «с вашего счета происходит списание средств» и т. д.

3. Злоумышленники стремятся убедить вас в угрозе безопасности и предлагают «спасительное решение» — «страховой счет» или «технический счет банка. Их цель – вынудить вас самостоятельно перевести деньги туда, куда они укажут.

Как этого избежать

1. Сразу завершите разговор, если в момент входящего звонка вам:

  • задают вопросы о персональных данных: номерах карт, пароле из СМС, паспортных данных, последних совершённых операциях, кодовых словах;
  • сообщают, что для сохранности ваших денег нужно установить дополнительное программное обеспечение или перевести деньги на другой счёт.

2. Сохраняйте бдительность при получении звонка с неизвестного номера

3. Не совершайте никакие операции и действия по инструкциям звонящего

4. Помните: сотрудники банка никогда:

  • не запрашивают персональные данные: логин, пароль, код из смс, номер карты, счета. пин-код, CVV, кодовое слово и т.д.,
  • не просят клиентов устанавливать на устройства программы и приложения,
  • не направляют в мессенджерах документы, подтверждающие мошеннические действия в отношении клиента или документы от имени банка, подтверждающие предоставление «защищенной ячейки», временного счета для сохранения средств.

Ситуация 5

«Выгодное предложение»

Что происходит

1. Мошенник размещает объявление или создаёт сайт с выгодным предложением: дефицитные товары, товары сезонного спроса, существенные скидки.

2. Вы откликаетесь на предложение, мошенник просит аванс — оплату всей или части покупки (чаще всего выставляется полный счёт).

3. Вы переводите деньги со своего счёта на счёт мошенника.

4. Мошенник пропадает, и вы не можете с ним связаться.

Как этого избежать

Обращайте внимание на признаки мошенничества:

  • Нет информации о компании, реквизитов, в контактных данных не указан стационарный телефон, отсутствует адрес.
  • На сайте только хорошие отзывы, их много, и они дублируют друг друга.
  • Обратите внимание на качество наполнения сайта (изображения, орфография, структура).
  • Заказ можно подтвердить только после предоплаты: или на электронный кошелёк, или переводом на карту либо расчётный счет. Настоящие магазины предлагают клиентам несколько вариантов на выбор, включая оплату наложенным платежом и наличными курьеру.

Рекомендуем

  • Проверьте дату регистрации контрагента, с которым планируйте заключение договора.
  • Проверьте дату создания сайта на любом сервисе проверки интернет-ресурсов, например, 2ip.ru, check-host.net, reg.ru (недавно созданный сайт должен вас насторожить)
  • Ознакомьтесь с отзывами в сети интернет. Введите в поисковой строке отдельными запросами:
    — название сайта;
    — ИНН организации;
    — номер телефона организации
  • Проверьте факт местонахождения объектов продавца (офисы, магазины, складские помещения), используя выездные проверки или картографические сервисы, например,
  • Google Карты, Яндекс.Карты, 2ГИС и т.д.
  • Сравните цены со средними по рынку. Слишком заниженные цены, сверхвыгодные предложения и скидки часто используются мошенниками для привлечения покупателей.

Ситуация 6

Компания-клон

Подробнее о схеме мошенничества

Что происходит

1. Мошенники регистрируют организацию, используя название крупной компании, существующей на рынке несколько лет. Затем полностью или частично копируют сайт компании и её корпоративный стиль, каталог тех же товаров или услуг. Часто бывает, что предлагают сезонные товары или услуги по цене ниже, чем в целом по рынку.

2. Вы находите сайт или получаете рассылку с «коммерческим предложением» и связываетесь с поставщиком-мошенником. Мошенник передаёт договор и счёт на оплату, в которых указан ИНН компании, которая зарегистрирована уже несколько лет, а в качестве реквизитов для оплаты предоставляет БИК и счёт компании-клона с одноименным наименованием.

3. Проверив контрагента только по ИНН, вы думаете, что рисков нет, и совершаете перевод по предоставленным реквизитам. В результате деьнги попадают на счёт мошенника.
В счёте на оплату могут быть:

Как этого избежать

1. Поищите негативные отзывы по ИНН и номеру телефона.

2. Проверьте, принадлежат ли эти реквизиты указанной компании. Например, введите телефон или адрес организации в приложении или на сайте 2ГИС. Если организация легитимная, то данные в 2ГИС совпадут с теми, которые указаны в письме. Так же можно проверять компанию через СберКорус, Спарк-Интерфайс, Интегрум, на портале «За честный бизнес». Там будет указана и дата регистрации компании, и сегмент, и примерная оценка деятельности.

3. Проверьте дату регистрации контрагента и виды деятельности: совпадает ли продукция из коммерческого предложения с зарегистрированными кодами ОКВЭД.

4. Если компания существует уже несколько лет, поищите в Интернете альтернативные контактные данные (например, по запросу «ИНН + наименование»). Свяжитесь по найденным телефонам с представителями компании и уточните у них — направляли ли сотрудники компании договор и счёт на оплату.

5. Вбейте в поисковую строку адрес сайта организации, указанный в договоре или письме, и проверьте, нет ли по нему негативных отзывов. Например: «shop.ru отзывы».

6. Проверьте сайт на на whois-сервисах: например, reg.ru, whois.ru, 2ip.ru. Стоит насторожиться, если:

  • Дата регистрации сайта отличается от даты регистрации организации. Например, если компания зарегистрирована в 1998 году, а сайт — в 2021, это подозрительно. В таком несовпадении нет ничего незаконного, но оно может стать одним из маркеров.
  • Регион работы организации отличается от региона, в котором зарегистрирован сайт.

Если компания не прошла проверку по одному из пунктов, свяжитесь с крупной компанией, за которую себя выдает ваш контрагент, и уточните, отправляли ли они вам счета на оплату.

Ситуация 7

Предложение от лжеагента крупной компании

Подробнее о схеме мошенничества


Что происходит

1. Мошенник выдает себя за представителя, агента, работающего от имени крупного известного производителя, и заключает фиктивные договора. В его арсенале имеется вся необходимая документация (сертификаты, лицензии, гарантийные письма), хорошо обученные «сотрудники», которые уверенно отвечают на все вопросы и отлично разбираются в продукции.

2. Вы находите сайт или торговую площадку «контрагента» в поиске или получаете «коммерческое предложение».

3. Вы заключаете договор на оплату товаров или услуг и переводите деньги по реквизитам из договора / счёта на оплату.

4. Не получив товар или услуг в срок исполнения обязательств, вы безуспешно пытаетесь связаться с «контрагентом», после этого звоните производителю и понимаете, что столкнулись с мошенничеством.

Как этого избежать

  • Проверьте дату регистрации контрагента, с которым планируйте заключить договор.
  • Проверьте на сайте производителя информацию о наличии партнерских взаимоотношений с данным контрагентом.
  • Самостоятельно найдите контакты предприятия от имени, которого действует контрагент.
  • Свяжитесь по найденным контактам с компанией производителем и уточните факт наличия партнерских взаимоотношений.

Ситуация 8

Псевдозакупки крупных компаний

Что происходит

1. Мошенник, представляясь работником департамента закупок крупной компании, предлагает принять участие в «закрытых» закупочных процедурах и запрашивает котировки цен на ваши товары и услуги.

2. Мошенник сообщает, что прайс подходит, ваша организация признана победителем закупочных процедур, и можно перейти к сотрудничеству.

3. Вас просят прислать пакет документов и сообщают о необходимости приобрести «Сертификат соответствия» (сертификат СПО, РПО и т. п.) или пройти аккредитацию в качестве обязательного условия закупки.

4. Вам направляют реквизиты организации, у которой можно быстро за небольшие деньги приобрести нужный сертификат.

5. После оплаты мошенники пропадают или предоставляют фиктивный сертификат. Впоследствии выясняется, что никакой закупки не планировалось.

Как этого избежать

1. Самостоятельно найдите альтернативные контакты компании (отличные от предоставленных партнёром), от имени которой поступило предложение, связаться с представителями и уточнить информацию.

2. Проверьте адрес электронной почты, с которого поступило предложение от имени известной компании. Мошенники часто используют бесплатные почтовые сервисы: yandex.ru, gmail.com, mail.ru и пр. И создают адреса, похожие на имейлы крупных компаний.

3. Проверьте, есть ли у организации, предлагающей вам сертификат, соответствующая аккредитация, выданная «Центром сертификации поставщиков».

Ситуация 9

Лжезакупки по 44-ФЗ и 223-ФЗ

Что происходит

1. Мошенник регистрирует организацию, а дальше за короткий период времени размещает большое количество торговых процедур с разнообразными «предметами контрактов» на одной из электронных торговых площадок. Действует якобы как заказчик в рамках 44-ФЗ или 223-ФЗ.

2. Вы самостоятельно находите его предложение (конечно, с выгодными условиями) и откликаетесь на него.

3. Мошенник направляет коммерческое предложение о заключении договора, где есть обязательное условие: оплата за обеспечение заявки на участие в запросе предложений или за обеспечение исполнения договора.

4. Вы перечисляете деньги, и «организатор» закупки пропадает.

Как этого избежать

1. Проверьте дату регистрации контрагента, его сегмент. Сделать это можно через СберКорус, «СПАРК-Интерфакс», «Интегрум».

2. Проверьте количество и даты размещенных торговых процедур по поиску на официальном сайте Единой информационной системы в сфере закупок.

3. Проверьте документацию по закупке. Убедитесь в качестве оформления, отсутствии копий техзаданий по уже проведённым торговым процедурам.

4. Обращайте внимание на адрес электронной почты, на который просят прислать все необходимые документы. Мошенники часто используют бесплатные почтовые сервисы: yandex.ru, gmail.com, mail.ru и пр.

Мошенники звонят от банка, знают имя и номер карты. Откуда?

Favorite

В закладки

Мошенники звонят от банка, знают имя и номер карты. Откуда?

Ваша карта заблокирована. Вам поступил перевод, но для этого вам нужно назвать номер карты, срок её действия, CVV и PIN-код заодно. Нет, Иван Васильевич, я вас не обманываю, я сотрудник банка и всё про вас знаю. Вот доказательства…

Знакомая история? Казалось бы, подобным схемам сто лет в обед, но они до сих пор работают. И люди попадаются на удочку мошенников как раз потому, что те слишком много знают.

Но откуда у мошенников эти данные? Давайте разберемся.

Откуда у них появился ваш номер телефона

Базу телефонных номеров, пригодную для “работы”, собрать несложно. Можно написать простенький скрипт, который будет проходить по объявлениям с бесплатных сайтов и сохранять телефонные номера в подходящем формате.

Такие сайты пытаются внедрить защиту от подобных скриптов. Но практика показывает, что защита работает не слишком успешно.

В крайнем случае можно копировать номера и вручную. Понятное дело, что мошенники будут искать потенциально небедных людей. Например, тех, кто продает машины, квартиры, норковые шубы, предпоследние iPhone. Чаще всего вместе с номером телефона мошенники получают как минимум имя жертвы.

Лайфхак: если хотите знать, откуда у человека ваш номер, представляйтесь другим именем хотя бы на сайтах бесплатных объявлений. В результате если вам позвонят и спросят Ипполита вместо Ивана, вы сразу поймете, откуда “ноги растут”.

Каким образом они узнали ваше имя


Если в приложении Сбербанка ввести номер карты, можно узнать имя, отчество и первую букву фамилии.

В приложении Тинькофф Банка – имя и первую букву фамилии.

В Facebook можно воспользоваться формой восстановления доступа к странице. По номеру система покажет Ф. И. О. пользователя и его фото. Можно потом найти этого человека в поиске по соцсети и узнать о нём ещё больше.

Можно также ввести номер телефона в Viber и попробовать добавить его в список контактов. Мессенджер покажет, кому принадлежит номер. Пользователи часто указывают свои данные и загружают фото.

Больше способов найдете здесь.

Что содержится в базах телефонных номеров

Чтобы не собирать номера самостоятельно, мошенники часто покупают готовые базы номеров телефонов. Оптом всегда дешевле.

Можно даже в даркнет не ходить. Такие базы продают и для “холодных звонков”. Продавец не уточняет, кто покупает файл: бизнесмен, который хочет поднять продажи, или мошенник.

Обычно в таких базах достаточно много информации:

■ Ф. И. О.
■ Пол
■ Возраст
■ Города проживания
■ Уровень доходов
■ Интересы или профессия
■ Семейное положение

Вот пример подобного сайта. Цена контакта – 59 копеек.

Вверху даже указано:

“Внимание! Все данные собраны из открытых источников и не противоречат ФЗ «О персональных данных» на основании п. 4 ч. 2 ст. 22 ФЗ. Мы оказываем услуги по сбору базы данных(лидов) из открытых источников!”

Вполне возможно, что информацию действительно собрали на сайтах объявлений, на форумах и в социальных сетях. В целом набор данных похож на базу для рассылки рекламы, ничего крамольного здесь нет. Но данных может быть и больше.

Как сотрудники банков сливают ваши данные

Утечки из банков обнаруживают регулярно. “Коммерсант” в октябре 2019 года писал о том, что данные 60 млн кредитных карт Сбербанка (действующих и закрытых) попали в открытый доступ. Это крупнейшая утечка в истории банковского сектора РФ.

Инсайдеры подтвердили, что базу именно выгрузили, а не украли, подкупив операторов. Сливал кто-то из сотрудников с административным доступом &- иначе номера карт были бы замаскированы.

Владелец базы продавал записи по 5 рублей за штуку. То есть стоимость всей базы составляла 300 млн рублей.

Позднее в банке заявили, что виновного нашли за считанные часы и слили данные всего 200 клиентов. Примечательно, что именно столько записей владелец базы представлял в качестве доказательства её подлинности. И отвертеться от слива этих записей точно не получилось бы.

Но были и другие случаи. Например, в 2017 году 21-летний сотрудник омского call-центра Сбербанка Илья Клименко продал данные около 20 клиентов банка: паспортные данные владельцев счетов, информацию об остатке денежных средств и даже кодовое слово. За каждый пробив он получал 20 тыс. рублей.

Сотрудник отдела взыскания нижегородского офиса Сбербанка Александр Чернышов продал данные как минимум 11 клиентов. Сколько он заработал неизвестно, но оштрафовали сотрудника на 10 тыс. рублей.

Откуда ещё берут базы контактов

Данные могут сливать и сотрудники кредитных организаций, мобильных операторов, МВД, ФНС и других госорганов. Предоставляют информацию и из систем “Российский паспорт”, “Розыск-Магистраль” и т.д.

Цены на пробив разные. Но это почти наверняка обеспечивает неплохую прибавку к зарплате. Пока не поймают.

Также получают данные из баз онлайн- и оффлайн-магазинов. Согласитесь, когда вы оформляете на кассе дисконтную карту, то как минимум указываете Ф. И. О., номер телефона и дату рождения. А при должном умении продавец и номер вашей карты может запомнить.

Системы безопасности защищают ИТ-инфраструктуру в основном от внешних угроз. С инсайдерами сложнее. Не все системы банков и госучреждений контролируют, не скопировали ли на флешку определенные файлы и не отправили ли их по e-mail.

Наконец, сотрудник может просто открыть базу данных и переписать информацию по старинке на листок. Система сохранит только то, что он открывал запись – это не запрещено.

Бывает, что хакеры воруют данные через бреши в системе безопасности. Способы разные: от письма с вирусом рядовому сотруднику банка до целенаправленной атаки на ИТ-инфраструктуру. Но подкупать сотрудников обычно проще и дешевле.

Как собирают данные с помощью фишинга

Возможно, вы получали письма о том, что ваш банк проводил лотерею среди клиентов. Соблазнительный приз вроде автомобиля или сотен тысяч рублей на депозите заставит многих потерять голову.

Подобные лотереи изредка организуют и сами банки, и платежные системы. Но, как правило, для участия в реальной акции достаточно воспользоваться банковской картой в указанный период или отправить платеж определенного типа. А отнюдь не заполнять форму на 10-20 вопросов или вводить номер карты и пароль на сайте банка.

Обычно под такие лотереи маскируются мошенники. Они создают страницу с дизайном в духе банка и просят от вас как можно больше информации.

Потом могут даже позвонить и сказать, что выиграли именно вы. Но чтобы получить приз, нужно якобы сообщить все данные от вашей карты или провести какой-нибудь “закрепительный” платеж на небольшую сумму.

Фишинговые формы создают и непосредственно для банковских сайтов или приложений. Но там смысл другой: заставить вас ввести логин и пароль от аккаунта интернет-банкинга, а затем подтвердить платеж со своей карты на карту злоумышленников.

Как вас подставляют друзья и знакомые

Когда человек оформляет заявку на кредит, то часто указывает контакты людей, которые подтвердят его платежеспособность.

В обычных банках такие данные вряд ли сразу уйдут мошенникам. Но в микрофинансовых организациях и на сайтах онлайн-кредитов на мутных условиях – вполне.

Скажет ли вам заемщик, что указывал ваши данные? Скорее нет, чем да.

Как собирают данные из открытых источников

На сайте ФНС можно узнать ИНН по паспортным данным. Ввести нужно имя и фамилию, дату рождения, серию и номер паспорта, дату его выдачи.

Если вы ведете бизнес или раньше им занимались, данные о вас есть на сайте ФНС, достаточно указать ИНН.

В реестре исполнительных производств базы судебных приставов можно найти информацию о судебных производствах по Ф. И. О. и дате рождения. В каких ещё открытых базах можно поискать по Ф. И. О.:

Банковские мошенники редко пользуются этими данными. Но теоретически могут, и если узнают об открытых делах, наверняка поставят вас в неловкую ситуацию. И упростят себе задачу.

Как ещё разводят потенциальных жертв

Если мошенники поняли, что перед ними “теплый” клиент, у которого с большой долей вероятности можно украсть деньги, они могут пойти дальше. Например, найти его в социальных сетях, составить список друзей, значимых событий из жизни и т.д.

Много информации дают и фото. Дорогие покупки, путешествия, собаки элитных пород и другие атрибуты роскошной жизни определенно заинтересуют злоумышленников.

Не удивляйтесь, если после фото из путешествия с вами свяжется сотрудник турагентства и предложит, к примеру, вступить в закрытый VIP-клуб “только для тех, кто может себе это позволить”. В обмен на скидки на следующие поездки и другие спецпредложения от вас требуется немного: ответить на десяток вопросов.

Часть вопросов не будет касаться ваших личных данных: например, какое вино предпочитаете в это время суток, какие страны хотели бы посетить и т.п. Другие будут более конкретными: картами каких банков пользуетесь, сколько примерно зарабатываете, на каком автомобиле ездите.

Могут, к слову, и “в лоб” попросить номер карты – здесь уж как наглость позволит. А после сообщат: мол, если решим вас взять в клуб, перезвоним. Взнос сможете оплатить с указанной карты.

И даже перезванивают. Но вовсе не чтобы подтвердить членство в клубе.

Наконец, многое могут узнать непосредственно от вас. Вот пример разговора с телефонными мошенниками:

Скажите честно: если через какое-то время вам снова позвонили бы и сообщили бы эту информацию, каковая вероятность, что вы поверили бы “службе безопасности банка”?

Как защититься

1. Если вам звонят из банка, сразу кладите трубку. Перезванивайте по номеру службы поддержки, указанному на обратной стороне вашей карты или на официальном сайте . Например:

▹ Сбербанк: 900 (бесплатно из РФ) или +7 (495) 500-55-50
▹ Тинькофф Банк: +7 (800) 555-22-77
▹ Альфа-Банк: +7 (495) 788-88-78
▹ Газпромбанк: +7 (495) 913-79-99
▹ Россельхозбанк: 7787 (бесплатно из РФ) или +7 (800) 100-0-100
▹ ВТБ: 1000 (бесплатно из РФ) или +7 (800) 100-24-24
▹ Райффайзенбанк: +7 (800) 700-91-00

2. Предупреждайте, что записываете разговор. Разговоры с реальными сотрудниками банков и колл-центров и так обычно сохраняются – таковы правила.

3. Заведите для банковских аккаунтов отдельную SIM-карту. Не сообщайте её номер никому, не звоните с неё, не привязывайте к этому номеру мессенджеры и другие аккаунты.

4. Не сообщайте в интернете и по телефону личную информацию. Никогда не отвечайте на “социальные опросы”, большинство из них – банальный сбор данных с неизвестными целями.

5. Используйте сложные пароли, разные для каждого аккаунта.

6. По возможности платите на кассах смартфоном через Apple Pay, Google Pay или Samsung Pay.

А главное, забудьте об анонимности, её не существует в 2020 году. Вы не можете защититься от слива данных сотрудником банка или мобильного оператора. Но вы в силах заблокировать карту при любых подозрительных действиях и хотя бы не облегчать задачу злоумышленникам.

(43 голосов, общий рейтинг: 4.88 из 5)
�� Хочешь ещё? Читай больше в Telegram
�� Ищешь ответ на вопрос? Приходи на Форум

Ваша карта заблокирована. Вам поступил перевод, но для этого вам нужно назвать номер карты, срок её действия, CVV и PIN-код заодно. Нет, Иван Васильевич, я вас не обманываю, я сотрудник банка и всё про вас знаю. Вот доказательства… Знакомая история? Казалось бы, подобным схемам сто лет в обед, но они до сих пор работают. И.

Ксения Шестакова

Живу в будущем. Разбираю сложные технологии на простые составляющие.

Сбербанк предупредил о способе мошенничества с обвинением якобы в измене Родине

Сергей Мальгавко/ ТАСС

МОСКВА, 13 марта. /ТАСС/. Сбербанк фиксирует рост случаев мошенничества, при которых злоумышленники представляются сотрудниками полиции или ФСБ и обвиняют жертву якобы в измене Родине. Об этом сообщили в пресс-службе кредитной организации.

Читайте также

«Схема такoго обмана выглядит следующим образом. Мoшенники звонят клиенту и представляются сотрудниками пoлиции или ФСБ. Сообщают, что сотрудник банка, в кoтором обслуживается клиент, украл его персoнальные данные и осуществляет с его счета переводы в пoльзу армии Украины. А так как ответственность лежит на влaдельце карты, клиент мoжет быть обвинен в государственной измене, за чтo ему грозит до 20 лет лишения свoбоды. Пoсле этого мошенники подключают «cлужбу безопасности банка» и вынуждают напуганнoго клиента переводить cвои средства на их счета и даже брaть кредиты, объясняя это тем, что таким oбразом они смогут вычиcлить «сотрудника» банка, якобы укравшего персональные дaнные клиента», — говорится в сообщении.

Как пояснили в банке, в последнее время наблюдается рост мошеннических звонков, в которых злоумышленники используют в отношении жертвы схему обмана с выдуманными госизменой и финансированием ВСУ. «Пoдобные схемы реализуются в отношении россиян с применением методoв социальной инженерии. В результате жертва не тoлько переводит злоумышленникам собственные cредства, но и, находясь в состоянии повышенной тревoги, берет кредиты и также перечисляет эти cуммы мошенникам. Такие звонки могут поступать только от злoумышленников, поэтому призываем граждан никoгда не верить подобным обвинениям и cразу прекращать любые рaзговоры с мошенниками», — сказал заместитель председателя правления Сбербанка Станислав Кузнецов, чьи слова приводятся в сообщении.

В банке посоветовали клиентам дополнительно подключить уведомления о банковских операциях и следите за их историей, чтобы обезопасить себя. Таким образом, клиенты смогут быть уверенными в том, что полностью контролируют свой счет. «Пoмните, что банк никогда не просит клиента прoдиктовать полный номер карты, код из СМС или трехзнaчный код на обороте карты (CVV). В oнлайн-библиотеке Сбера «Кибрарий» можно найти мнoжество полезных материалов для защиты себя и свoих близких от кибермошенничества», — добавили там.

Как мошенники обманывают клиентов банков

Телефонные звонки из псевдобанков, с которыми столкнулись уже, наверное, миллионы россиян, окончательно стали главным видом махинаций со счетами банковских клиентов.

Александр Корольков/РГ

«Средний чек» одной такой кражи составил 10-15 тысяч рублей. Об этом, а также о том, откуда мошенники берут информацию о клиентах банков, кто находится в зоне наибольшего риска и как бороться с такими звонками, рассказал в интервью «Российской газете» замдиректора департамента Банка России по информационной безопасности Артем Сычев.

Артем Михайлович, кажется, что телефонные звонки злоумышленников из псевдобанков уже вытеснили все другие виды мошенничеств. Так ли это?

Артем Сычев: Мы вынуждены признать, что наши прогнозы сбылись: телефонные звонки из псевдобанков с использованием социальной инженерии (выманивание конфиденциальной информации у жертв. — «РГ») стали основным видом мошенничества с банковскими счетами граждан. В структуре потерянных клиентами и банками денег большая часть — это средства, похищенные с помощью таких обзвонов.

Причин распространения такого вида мошенничества несколько. Во-первых, криминал точно так же, как и бизнес, хорошо умеет считать прибыль и убытки. А цена «входного билета» для организации подобной преступной схемы невысока, там не требуется особых затрат.

Правовые аспекты работы банков эксперты «РГ» разбирают в рубрике «Юрконсультация»

Второй фактор — относительно легкий доступ к сведениям, которые нужны изначально мошенникам для того, чтобы начать «обработку» потенциальной жертвы. По сути, для завязки разговора всего-то нужно знать номер телефона и фамилию, имя, отчество. Основной сценарий, который используют злоумышленники, кстати, не предполагает, что они знают, в каком банке у клиента открыт счет. Дальше начинается раскрутка человека для того, чтобы он сам рассказал, в каком банке обслуживается, какие у него счета, какие операции он совершает, чтобы он назвал злоумышленнику номер карты, подтвердил, что ему пришла эсэмэска с паролем. На данный момент нам известно о 15 различных мошеннических сценариях.

Для завязки разговора всего-то нужно знать номер телефона и ФИО. Все остальное злоумышленникам сообщит сама жертва

Третий фактор — излишняя доверчивость. Ведь злоумышленники либо играют на чувстве страха потерять деньги, либо убеждают в том, что сейчас можно быстро получить легкие деньги. Это может быть якобы компенсация, плата за участие в опросе и т.д. Задача злоумышленника сделать так, чтобы клиент принял решение здесь и сейчас, не дать ему опомниться, сообразить, что так, как ему объясняют на том конце провода, на самом деле не бывает.

Часто мошенники знают о клиенте гораздо больше, чем ФИО и номер телефона. То есть утечки из различных баз данных, в том числе банковских, очевидно, все-таки происходят. Насколько остро, по мнению Банка России, стоит вопрос сохранности персональных данных в банках?

Артем Сычев: Утечки баз данных, к сожалению, действительно есть. Но информация о клиентах, утекшая из банков, — это капля в море по сравнению с тем количеством людей, которые подвергаются обзвону мошенников.

Откуда злоумышленники берут основной объем информации для обзвона?

Артем Сычев: А остальное берется из других баз данных: мы оставляем много информации о себе в интернет-магазинах, в соцсетях, в обычных магазинах, когда оформляем дисконтную карту или карту лояльности, много информации уходит через фишинговые сайты.

Что касается зоны ответственности Центрального банка, то есть два положения, которые касаются требований к обеспечению безопасности в финансовой сфере и распространяются на кредитные и некредитные организации. В этих документах заложены достаточно серьезные нормы.

Дело в том, что сам факт утечки информации из банка привлекает огромное внимание общественности. Хотя, как показывает практика, масштабы утечек по факту оказываются гораздо меньше, чем это преподносится. Например, в даркнете некто предлагает продать базу данных якобы с миллионами клиентов банков, в подтверждение своих слов публикует «пробник» с информацией о нескольких сотнях клиентов. В итоге выясняется, что опубликованные сведения — это, по сути, и есть вся или почти вся информация, которая имеется в распоряжении злоумышленника. А «свежие» базы данных, появляющиеся в Сети, как правило, являются компиляциями данных, распространяемых ранее. Информация о банковских реквизитах клиентов появляется в этих базах еще и потому, что мошенники, например, в процессе разговора с человеком выясняют у него его банковские реквизиты, включают эти реквизиты в имеющуюся у них базу и перепродают дальше. А тому, кому ее предлагают купить, преподносят это как «свежую, эксклюзивную» информацию прямиком из банка. По сути, все это сводится к тому, что один мошенник хочет обмануть другого мошенника.

Банки смогут сверять информацию, которую предоставляют о себе их клиенты, с данными, которые есть у операторов связи

Что Банк России готов предложить для борьбы с телефонными мошенниками, кроме совета повесить трубку и перезвонить по номеру, указанному на обратной стороне банковской карты?

Артем Сычев: Мы понимаем, что есть несколько направлений, которые должны быть нами совершенно точно отработаны. Первое. Сейчас ко второму чтению в Госдуме готовится законопроект об обмене информацией между финансовыми организациями и телеком-операторами. Планируется, что банки смогут сверять информацию, которую предоставляют о себе их клиенты, с данными, которые есть у операторов связи. Так, в одной из схем мошенничества без ведома владельца телефонного номера злоумышленник меняет сим-карту, и все сообщения о совершаемых операциях по счету и коды приходят не истинному владельцу телефона и счета, а злоумышленнику. Плюс это дополнительный фактор контроля над тем, что операция действительно совершается клиентом, которому принадлежат деньги.

Мы также внимательно следим за тем, как банки выполняют требования закона о наличии у себя систем противодействия мошенничеству — так называемых антифрод-систем. Если мы видим в ходе инспекционных проверок, что кто-то пренебрегает такими системами, это является основанием для мер реагирования, чтобы банк все-таки обратил внимание на защиту прав и интересов кредиторов и вкладчиков.

Отдельное направление — финансовая грамотность. Люди должны знать о тех подводных камнях, которые могут сопровождать использование финансовых продуктов. Мы требуем, чтобы банки обязательно сообщали клиентам такую информацию. Кроме того, финансовым просвещением граждан занимаются волонтеры, с которыми сотрудничает Банк России.

И еще одна тема — взаимодействие с правоохранительными органами, предоставление им необходимой информации и аналитики, чтобы они могли понимать суть таких преступлений и корректировать свою работу для более эффективных действий.

Кроме того, в конце прошлого года Банк России и МВД договорились объединить усилия по информированию граждан об опасностях социальной инженерии. Сейчас готовится план совместных мероприятий.

Чем противодействие злоумышленникам в соцсетях отличается от телефонных звонков?

Артем Сычев: Смысл противодействия в любом случае — в критическом подходе к информации, ее проверке. Мы говорим: не спешите, не принимайте сиюминутных решений. Это относится и к вашим действиям в соцсетях. Нужно перепроверить, что на самом деле стоит за сообщением о просьбе помочь деньгами в Facebook, «ВКонтакте» или в «Одноклассниках». Если, например, это просьба друга, просто перезвоните ему и выясните, действительно ли он размещал такой пост.

97 процентов хищений со счетов физлиц — это результат обмана или злоупотребления доверием, по данным Центра мониторинга и реагирования на компьютерные атаки (ФинЦЕРТ) ЦБ

Повысился ли объем хищений средств физлиц из банков в 2019 году? Пытался ли уже кто-то проникнуть в Систему быстрых платежей (СБП)?

Артем Сычев: Цифры будут выше, чем в 2018 году, но это связано не только с тем, что хищений стало больше, но и с тем, что метод выявления таких случаев стал более точным. У нас поменялась форма статистики, мы конкретизировали, что в эту форму должно попадать и дополнительно подтверждаться потоком информации, которая к нам приходит.

Что касается СБП, там уровень фрода нулевой — действующая система защиты хорошо справляется.

Мошенники вплелись в соцсети

Кому чаще всего звонят мошенники?

Артем Сычев: Будете удивлены, но сейчас основная «клиентура» таких злоумышленников вовсе не пенсионеры, как принято думать, а экономически активная возрастная категория от 28 и до 55 лет.

Потому что она самая платежеспособная?

Артем Сычев: Она платежеспособная и часто готова тратить деньги, не сильно задумываясь о последствиях. Это в чем-то следствие излишнего доверия к технологиям. И излишнего доверия к тому окружению, в котором они находятся. Ведь один из видов такого обмана — это использование в соцсетях постов якобы от имени друзей или от имени друзей друзей, что нужна помощь, срочно нужны деньги до зарплаты или на какое-то мероприятие или нужна якобы благотворительная помощь. Злоумышленники создают в соцсетях атмосферу доверия и пользуются ее плодами.

Сколько в среднем крадут у клиентов телефонные мошенники?

Артем Сычев: Совсем уж огромных сумм нет. Обычно «средний чек» составляет около 10-15 тысяч рублей. Конечно, встречаются варианты и с миллионами, но это скорее исключение из правил.

Стоит ли ожидать, что мошенники все больше будут мигрировать в соцсетях?

Артем Сычев: Да. Мошенники хорошо понимают, где проводит значительную часть времени их потенциальный клиент. Если сегодня это соцсети, то они идут туда.

Инфографика «РГ» / Антон Переплетчиков / Роман Маркелов
Тем временем

Банк России выпустил рекомендации для банков и некредитных финансовых организаций о том, как проверить, принадлежит ли адрес электронной почты клиенту, которому они направляют письмо с конфиденциальной информацией. Это может быть, например, информация о проведенных платежах, выписках по счету, электронные полисы ОСАГО и так далее.

Прежде всего рекомендуется проверить, действительно ли хранящийся в их базе данных номер телефона принадлежит клиенту, которому собираются направить сообщение, а также убедиться, что электронный адрес, куда планируется отправить сообщение, не дублируется с адресами других клиентов, указывают в ЦБ.

После этого предлагается направить клиенту на электронный адрес уникальную ссылку для верификации и смс-сообщение с паролем, дающим возможность перейти по этой ссылке. Дополнительная мера, которая обезопасит информацию от автоматизированных систем перебора паролей или номеров, — графический код.

Проверки позволят противодействовать схемам, в которых мошенники используют «захваченные» или некорректные адреса электронной почты реальных клиентов, например, для подделки платежных поручений или кражи важной информации. Также это предотвратит случайное получение посторонними людьми конфиденциальной информации клиентов финансовых организаций.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *