Банки будут тщательнее отслеживать операции граждан, предупреждать клиентов о возможных рисках и даже возвращать переведенные мошенникам деньги за свой счет.
, обязывающий банки тщательнее отслеживать операции своих клиентов в целях борьбы с мошенничеством. Закон начнет действовать спустя год после официальной публикации — то есть 24 июля 2024 года.
Расскажу, как это будет работать.
Рассылка Т—Ж о мире инвестиций
Лайфхаки о том, как делать деньги из денег, — в вашей почте раз в неделю. Бесплатно
Подписаться
Ваша почта будет в безопасности. Детали — в политике конфиденциальности
Как это будет работать
Новый механизм будет опираться на базу данных «О случаях и попытках осуществления перевода денежных средств без согласия клиента». В ней содержится известная информация о дропперах — людях, которые обналичивают и выводят полученные в ходе мошенничества деньги. Этой базой занимается специальное подразделение Центробанка — «ФинЦЕРТ».
ФинЦЕРТ собирает данные коммерческих банков обо всех случаях, когда их клиенты сталкивались с мошенниками. Еще в начале 2024 года в базе были десятки тысяч счетов. В октябре 2024 года в силу также вступит закон, по которому не только банки, но и МВД будет оперативно обмениваться информацией с ЦБ.
Если клиент решит перевести деньги на счет из базы дропперов, то банк обязан будет перевод приостановить — для переводов по поручению — или отменить — для Системы быстрых платежей и других случаев. Возобновить операцию или сделать повторную можно будет только через два дня: ожидается, что за это время человек может передумать.
При этом банк должен сообщить клиенту:
- Что операция прервана.
- Как ему избежать мошенников.
- Как продолжить проведение операции, если это нужно.
Клиент может отправить подтверждение операции или запрос на повторный перевод в соответствии с условиями договора. А банк имеет право запросить у клиента подтверждение его добровольного согласия. Если получатель денег или сам счет числится в базе связанных с мошенничеством, то банк даже после подтверждения вправе задержать операцию еще на два дня.
Если и после этого клиент подтвердит операцию и деньги попадут к мошенникам, то банк не будет нести за это ответственность: клиента предупредили и он сам принял решение.
Но не будут рассматриваться и приостанавливаться операции с участием денег, относящихся к зарплате или другим доходам, для которых установлены ограничения размеров удержания или введен запрет на взыскание.
В каких случаях деньги можно вернуть. Банк будет обязан возместить ущерб, если нарушил требования нового закона:
- Сделал перевод получателю, связанному с мошенничеством, не уведомив клиента о рисках и не задержав операцию на два дня.
- Не уведомил клиента о том, что операция может проводиться без его добровольного согласия.
- Сделал перевод после того, как клиент отправил уведомление об утере карты или утечке данных.
К операциям без добровольного согласия относятся случаи, когда согласие получили в ходе обмана или злоупотребления доверием. Последний раз ЦБ РФ в 2018 году публиковал признаки таких операций:
- Деньги переводятся на счет, принадлежащий человеку из базы со сведениями о дропперах.
- Перевод совершается с устройства, которое уже использовали мошенники.
- Перевод не похож на обычные для этого счета операции: необычная сумма, место отправки, используемое устройство, частота переводов.
Похожие документы также должны разработать коммерческие банки.
Как будет проходить возврат денег. Банки будут возмещать потерянные деньги клиенту за свой счет. Делать это они будут должны за 30 дней в случае переводов внутри страны и за 60 дней для трансграничных переводов.
Чтобы получить деньги, клиент должен подать заявление.
Ограничения для мошенников. Банки будут обязаны прекращать дистанционное обслуживание тех, кто выводит или обналичивает полученные в ходе мошенничества деньги. Сейчас банки получают данные о таких людях из базы ЦБ РФ, но с октября 2024 года к информационной сети присоединится МВД. Если клиент попадает в базу, то банк только имеет право, но не обязан прекратить обслуживание его карты.
Если же со стороны МВД поступило подтверждение, что клиент совершает противоправные действия, то банк уже должен перестать обслуживать карту.
После этого банк обязан уведомить клиента о приостановке обслуживания и сообщить, как можно подать в Банк России заявление на исключение из базы. Если банк считает нужным, то он может подать такое заявление и без ведома клиента. ЦБ должен рассмотреть заявление максимум за 15 рабочих дней.
Если в исключении откажут, это решение можно будет обжаловать в суде.
Как все в итоге изменится
На самом деле ЦБ ведет базу дропперов уже несколько лет и банки должны были сверяться с ней и возвращать деньги клиентов, которые они потеряли не по своей вине. Вот что изменится с момента, когда новый закон вступит в силу:
- Сейчас с базой данных сверяется только банк-отправитель. С момента вступления в силу нового закона банк-получатель также должен будет сверяться с базой и прекращать обслуживание карт мошенников.
- Сейчас если клиент сам передал мошенникам данные карты или провел операцию, то вернуть деньги он не может. Когда новый закон вступит в силу, банки будут обязаны задерживать переводы на мошеннические счета на два дня. В противном случае им придется вернуть клиенту похищенные деньги. Но если банк выполнит все требования безопасности и сообщит клиенту о рисках, возвращать деньги он уже не будет обязан.
Новости, которые касаются инвесторов, — в нашем телеграм-канале. Подписывайтесь, чтобы быть в курсе происходящего: @investnique
Фотография на обложке — Matthieu Spohn / Getty Images
Много вопросов к тому, как это будет работать на практике и как будут отслеживать мошенников, но сама тенденция не может не радовать — новость определённо хорошая!
Алёна, банк не будет отслеживать мошенников, поэтому тут об этом не сказано. Это дело МВД, которые подключились к данному проекту.
А чтобы банк не попадал на такие расходы, то в системе это будет легко настраиваться по схеме: авторизационный документ -> получатель-недостоверный счёт -> неподтвержденние авторизации в течение двух дней или ошибка в системе, которая подвесит этот документ, не дав сформировать по нему финансовый документ, подтверждающий операцию.
Гораздо интереснее тут — это какие схемы на это придумают мошенники. Предполагаю чистые транзитные счета.
Отредактировано
Вообще пока банки считают смс достаточным вторым фактором убирая при этом первый, этот карнавал будет продолжаться.
От того что это защищает от 99% инцидентов, оставшемуся одному проценту как-то знаете не легче.
Банку даже напрямую выгодны такие дырища: вывод средств как правило идёт с максимальными комиссиями.
Дайте мне возможность настроить настройку «подтверждать переводы больше N заявлением с ЭЦП/госключём даже уровня УКЭП/УНЭП и никак иначе» чтобы я сам себя обезопасил от результатов работы некоторых не_будем_показывать_пальцем некомпетентных банковских безопасников. И банку хорошо — УКЭП имеет намного большую неотрекаемость и мне.
точнее плохо, комиссии за обнал на чужом горе сами себя не заработают.
как минимум такие чуть более сложные добровольные процедуры дадут возможность как минимум подумать и остыть.
Вообще к смс/пушам и добровольному согласию основанному на них вообще много вопросов:
1. вот вхожу я в интерент-банк, мне приходит смс «код подтверждения 1234. никому не сообщайте». Что я подтверждаю конкретно часто не написано.
2. а если написано, то «вы входите в интернет-банк, код 1234. «, то уже лучше но всё равно не написано что именно я подтверждаю. какие суммы могу отправить без доп подтверждений — не написано и узнать это чаще всего нельзя никак.
3. иногда в разделе ЛИМИТЫ есть управление лимитами, в где можно поставить лимит 1р (0 ставить не надо, так как у некоторых банков 0 значит без лимита но это нигде не указано явно) но они почему-то крутятся БЕЗ ПОДТЕРЖДЕНИЙ
4. Дальше едем. Заменили смски на пуши в приложении. Отчитались о том что «мы сэкономили NNN млн на смс в год», попилили премии и ушли в закат при этом пуш выглядит обычно и не показывает отправителя явно.
А теперь следите за руками. Заходите на сайт «пицца по 333р», вводите номер телефона, мошенники фоном пробивают ваш номер по СБП, обнаруживают что у вас есть счёт в банке с кривыми такими пушами из этого пункта и эмулирует авторизацию в ИБ. Вам приходит пуш «Ваш код 5555, никому его не сообщайте» а вы или заспаный или после вечеринки и пуш выглядит так что не напоминает никак что он от банка, короче вводите код из смс на сайте пиццы и специально обученные люди входят в ваш ИБ. а дальше см п.1-2.
Виноват ли пользователь? Да. Но банк не меньше.
Мошенничество с банковскими картами в 2024 году
Какие способы кардинга наиболее популярны, что делать, если мошенники узнали данные вашей банковской карты, как обезопасить себя от хищения и каковы шансы вернуть средства — в материале “Ъ”.
Самые распространенные способы хищения средств с банковских карт (кардинга) основаны на психологических методах убеждения, обмана или запугивания клиентов. По данным российского Центробанка, среди всех атак более 80% приходится на связанные с социальной инженерией. Наиболее популярен среди мошенников телефонный фишинг — так называют процесс выманивания персональных данных у банковских клиентов.
Как работают мошенники
- Представляясь банковскими сотрудниками («службой безопасности» или «службой финансового мониторинга»), сообщают о подозрительной активности и предлагают продиктовать данные карты , чтобы банк принял меры по защите средств.
- Убеждают перевести деньги на отдельный счет якобы для их защиты, сделать это можно онлайн либо сняв деньги в банкомате — в этом случае клиенту даже могут заказать до него такси.
- Просят установить специальное программное обеспечение для «защиты средств» , с помощью которого мошенники могут украсть данные карты и оформить предодобренный кредит, после чего вывести средства.
- С начала пандемии мошенники активно эксплуатируют тему коронавируса , будь то «бесплатная» диагностика, медицинская помощь, пособия, компенсации, возврат средств за авиабилеты и другие предлоги, конечной целью которых является перевод денег.
- Сообщают пожилым людям о положенных выплатах от имени сотрудников Пенсионного фонда, в этом случае узнать номер банковской карты и другие данные им нужно якобы для перечисления денег. В некоторых случаях злоумышленники предлагают перевести деньги на сторонний счет для уплаты госпошлины за будущую компенсацию.
- Звонят спустя 10-15 минут после получения карты и предлагают активировать ее . Хотя пользователь сам осуществляет этот процесс. Таким образом мошенники пытаются узнать данные карты.
Важно! Не стоит сообщать третьим лицам данные карты, в том числе четырехзначный PIN-код и трехзначный CVC-код, указанный на обороте. При звонках от мошенников могут отображаться реальные номера банковских телефонов.
Они могут представляться также полицейскими или работниками бюро кредитных историй.
По статистике около четверти владельцев карт готовы раскрыть посторонним трехзначный код безопасности, а также срок действия карты и код из СМС-сообщения (3DSecure), которые сообщать нельзя.
В 2022 году Центробанк инициировал блокировку более 756 тыс. телефонов мошенников — в четыре с лишним раза больше, чем за 2021 год.
Почтовый фишинг, соцсети и поддельные сайты
Рассылаемые мошенниками письма могут содержать ссылки на поддельные сайты, имитирующие странички интернет-магазинов с большими скидками, а также отелей, сервисов по продаже авиабилетов, страховых компаний, различных ведомств. Письма приходят также под видом квитанций об оплате коммунальных платежей или в виде официальных уведомлений от банков и других организаций.
Еще один популярный способ мошенничества связан с продажами на сайтах объявлений , где покупатель по поддельной ссылке вводит данные для оплаты несуществующего товара.
В соцсетях мошенники делают рассылки по списку друзей со взломанного аккаунта с просьбой перевести денег на карту. Подобную информацию всегда необходимо перепроверять по другим каналам связи.
Важно! Не нужно переходить по ссылкам из подозрительных писем и загружать неизвестные программы. Остерегайтесь оплачивать покупки на подозрительных сайтах, не переводите деньги, если нет уверенности в получателе.
Контролируйте все операции по счету и пользуйтесь антивирусными программами.
В 2022 году Центробанк направил на блокировку свыше 15 тысяч ресурсов. Среди которых были страницы в соцсетях, мобильные приложения и другие.
Мошенничество с банкоматами
Краж с использованием специальных считывающих устройств (скиммеров) и накладок на пин-пады банкоматов становится все меньше из-за улучшения технической оснащенности банков. Им на смену приходит моделирование ситуаций с элементами социальной инженерии. В одном из сценариев мошенник (чаще пожилой) «забывает» карту в банкомате и затем просит извлечь ее человека, оказавшегося рядом.
Получив карту обратно, злоумышленник вместе с сообщниками проверяет баланс по счету и утверждает, что деньги пропали, после чего требует их вернуть.
Важно! Не нужно извлекать из банкоматов чужие карты. В случае если карта уже извлечена и поступают угрозы, рекомендуется вызвать полицию.
Сколько денег украли мошенники
По данным Центробанка, в 2022 года мошенники провели около 876,59 тыс. несанкционированных операций , у клиентов было похищено около 14,165 млрд руб.
Средний объем одной операции в 2022 году Центробанк оценивает в 15,32 тыс. руб.
Что делать, если мошенники получили данные и сняли деньги с карты
1. Позвонить в банк, заблокировать карту, заявив о несанкционированном использовании средств
2. В офисе банка составить документ о несогласии с операцией
3. Подать заявление в полицию о краже денег с карты
Комментарий эксперта Дениса Калемберга, основателя и генерального директора компании SafeTech:
«Если реквизиты карты стали известны мошенникам, то в большинстве случаев они используют их для перевода на карты «дропов», выпущенные на поддельные или чужие паспорта. Обычно «дропы» снимают украденные средства в течение нескольких минут после перевода. Также для кражи нередко используются покупки техники в интернет-магазинах с последующей перепродажей.
Сделать покупку или перевод, зная только номер карты невозможно, но это не значит, что его можно сообщать кому угодно, ведь этот номер зачастую используется для восстановления доступа к мобильному банкингу. Для оплаты же запрашивается как минимум еще срок действия и имя владельца. Но в этом случае покупку можно будет оспорить и вернуть деньги, если не применялся код 3DSecure (обычно отправляется в СМС для подтверждения оплаты).
Ответственность за принятие платежей без подтверждения лежит на интернет-магазине».
Можно ли вернуть похищенные средства
С 2014 года в России действует закон «О национальной платежной системе». Согласно ему, банк обязан вернуть похищенные деньги, но при соблюдении ряда условий со стороны клиента. В первую очередь клиент должен сообщить об операции не позднее суток с момента получения уведомления . По закону, банк должен вернуть деньги, если компрометация данных произошла не по вине клиента, то есть он соблюдал следующие условия :
- не сообщал мошенникам данные карты;
- не хранил пин-код вместе с картой / не записывал его на самой карте;
- не позволял фотографировать свою карту и т. д.
Служебное расследование банка может длиться не более 30 дней, а если операция международная — 60 дней. В случае доказанных нарушений со стороны клиента банк вправе не возвращать деньги. По статистике Центробанка в 2022 году, клиентам возместили лишь 4,4% похищенных средств .
«Если мошенники похитят все данные карты, плюс узнают код 3DSecure, то вернуть деньги будет крайне проблематично. Правила платежных систем в этом случае возлагают ответственность на клиента. Если же платеж прошел без подтверждения кодом, то шансы определенно есть.
Также в последнее время получили распространение сервисы страхования от кражи с банковской карты.
Чтобы до минимума снизить риск потерять деньги, лучше не говорить никому по телефону реквизиты карт и коды из СМС, не вводить данные карт на сайтах, которым не доверяете на 100%, не скачивать мобильные приложения из непроверенных источников и пользоваться антивирусом. Но лучше всего — никогда не держать на пластиковой карте сумму больше той, с которой не жалко расстаться»,— советует Денис Калемберг.
Михаил Малаев, группа «Прямая речь»
- Михаил Малаев подписаться отписаться
На старые траблы: какие схемы обмана использовали мошенники в 2024 году
Большая часть россиян в 2024 году подверглась кибератакам или телефонному мошенничеству. При этом злоумышленники придумывают всё новые и новые схемы обмана людей с использованием чат-ботов, фишинговых сайтов или рассылок в мессенджерах. «Известия» побывали на пресс-конференции «Лаборатории Касперского» и выяснили, как распознать мошенников.
Угрозы в цифрах
Каждый восьмой россиянин (12%) подвергся компьютерным атакам в 2024 году. Каждый пятый (21%) пожаловался на локальные угрозы, а почти каждый третий (29%) — на звонки с подозрением на мошенничество, рассказали специалисты «Лаборатории Касперского» на пресс-конференции в Екатеринбурге. Всего за полгода в России было зафиксировано 6,2 млн атак на смартфоны и 23,6 млн попыток переходов на фишинговые сайты.
При этом в половине случаев мошенники отправляли жертвам спам на электронную почту.
Фото: Getty Images/Rafael Abdrakhmanov
По словам эксперта по кибербезопасности Дмитрия Галова, мошенники использовали самые разные схемы, подходящие для пользователей ПК, iPhone и смартфонов на базе Android. Кроме того, они активно занимались криптовалютным фишингом, воруя учетные данные людей. — Так, в начале года в России вдвое увеличилось число вредоносных расширений браузеров — в частности, тех, которые крадут криптовалюту, — отметил Галов.
Новые схемы
Одной из новых стратегий, которые используют кибермошенники в 2024 году, стало выманивание денег через «умный» чат-бот для поиска интимных фотографий в Telegram, рассказали в «Лаборатории Касперского». Злоумышленники заманивают людей в специальный чат-бот, который якобы работает на основе кода ChatGPT 4.0. Авторы бота уверяют, что с его помощью можно искать слитые фотографии человека, имея на руках только ссылку на его профиль в соцсетях или номер телефона.
Бот всемогущий: мошенники начали использовать ChatGPT для фишинга
Какие возможности искусственного интеллекта привлекли преступников
В описании чат-бота говорится о том, будто им уже воспользовалось более 10 тыс. человек, а в базе сервиса собрано свыше 10 млн фото и видео. Якобы с помощью него пользователь сможет, к примеру, проверить своего партнера.
Фото: Global Look Press/Stanislav Kogiku
В случае если человек поверит в такую схему и отправит ссылку на чужой профиль в соцсети, сервис начнет имитировать процесс работы и выдаст сообщения о том, что «страница найдена в базе» и «идет отправка материала». Сразу после этого на экране появятся некие скриншоты, но разобрать, что на них изображено, будет невозможно — само изображение скрыто. При этом авторы бота укажут предполагаемую дату слива материалов и то, сколько интимных фотографий и видео с человеком.
Голый расчет: как защититься от интим-шантажа в Сети
Эксперты советуют игнорировать злоумышленников и не платить им «выкуп»
Для того чтобы получить файлы, пользователя попросят заплатить — 399 рублей за разовый доступ к базе или 990 рублей — за безлимитный. Однако если он переведет деньги, то никаких фотографий не получит. — Мошенники часто используют чат-боты в Telegram для выманивания средств. Вероятно, это связано с тем, что не все понимают, как работают подобные платформы.
Ссылки на мошеннические чат-боты обычно распространяются в комментариях под постами в различных каналах, — объяснила контент-аналитик «Лаборатории Касперского» Ольга Свистунова.
Победитель теряет всё
Руководитель направления «Лаборатории Касперского» по детской онлайн-безопасности Андрей Сиденко называет фишинговые схемы одними из самых частых в арсенале мошенников. В последние несколько месяцев в Telegram часто рассылают ссылки в формате «хочешь заработать денег — поучаствуй в лотерее». Затем человеку сообщают, что он выиграл приз — но, чтобы его получить, нужно ввести данные банковской карты (якобы для ее проверки) или заплатить небольшую сумму в виде налога.
В итоге злоумышленники получают либо деньги, либо данные — а «победитель» остается ни с чем.
Фото: Getty Images/picture alliance
— Такие схемы часто применяют к детям и подросткам. Их заметили на различных видеохостингах, где можно делать короткие ролики, — туда загружали видео с призывом поучаствовать, например, в опросе и получить «легкие» деньги, — рассказал Сиденко «Известиям». — Потом ребенку говорят, якобы он выиграл 100 тыс. рублей, но чтобы «обработать» платеж, нужно отправить 300–500 рублей. Еще одна классическая схема, которая вновь стала популярной в последнее время, связана с просьбой поддержать чьего-то ребенка в конкурсе рисунков.
При этом для голосования нужно авторизоваться — указать свой номер телефона и прислать код верификации, который на самом деле является проверочным кодом для входа в Telegram, но уже на другом устройстве.
Фото: Getty Images/dikushin
Взломав чужой аккаунт, мошенники обычно сразу меняют способ авторизации, чтобы человек не мог оперативно вернуть свой профиль. А дальше есть два варианта развития событий (а иногда — сразу оба): киберпреступники продолжают рассылку тех же сообщений по контактам жертвы или получают доступ к его личным перепискам и данным. Ценная информация, содержащаяся там (фото документов, банковских карт, сканы паспорта), потом может использоваться в других мошеннических схемах.
Потому такие кадры и документы лучше не хранить на смартфоне.
Схема с расшифровкой
Еще одна новая схема, недавно появившаяся в арсенале мошенников, связана с расшифровкой аудиозаписей. Ее жертвами могут стать люди, которые ищут работу или подработку. Как рассказывают в «Лаборатории Касперского», злоумышленники создали сразу несколько сайтов с идентичным дизайном и контактами для связи, но разными названиями. На них предлагают «выполнять работу, которая не под силу компьютеру, — распознавать аудиофайлы и получать за это деньги».
Речь идет о записях публичных выступлений, лекций, семинаров, интервью и судебных заседаний. Пользователей заманивают обещаниями хорошего дохода (около 3–4 тыс. рублей в день), карьерного роста и удобным графиком: якобы задания можно выполнять в любое время суток, а для самой работы необходимо только знание русского языка и доступ к интернету. Для начала «работы» жертве нужно зарегистрироваться на сайте, чтобы якобы начать зарабатывать на транскрибации.
После этого человек получает доступ к платформе, где есть инструкция и ответы на популярные вопросы. После регистрации ему действительно предлагается расшифровать несколько аудиодорожек и отправить текст на проверку.
Фото: Getty Images/picture alliance
Но затем, когда человек захочет вывести заработанное, сервис попросит верифицировать аккаунт и внести 500 рублей. Однако никаких денег человек потом не получает. Более того, деньги могут потерять и знакомые жертвы, с которыми он мог поделиться «подработкой». В самом начале авторы отмечают, что у платформы есть партнерская система — можно приглашать друзей и получать проценты с их заработка. — Онлайн-мошенники постоянно меняют схемы, придумывают всё новые легенды, чтобы обманом выманить у людей деньги и конфиденциальные данные.
При этом мы видим, что растет качество фишинговых и скам-ресурсов: верстка, дизайн, наполнение могут ввести в заблуждение даже тех, кто обычно скептически относится к сомнительным предложениям в интернете, — отметила Ольга Свистунова. Слова эксперта легко подтверждаются цифрами: только за пять месяцев 2024 года решения компании заблокировали 2,3 млн попыток перехода российских пользователей на различные скам-страницы.
Тревожный клик: число фишинговых сайтов за год выросло в три раза
Какие товары и услуги чаше всего продают мошенники и как их раскусить
Как защитить себя
Для того чтобы защитить себя и свои данные, эксперты рекомендуют в первую очередь не переходить по подозрительным ссылкам и не вводить на сомнительных сайтах свои личные данные и данные карт. Кроме того, важно выбирать сложные пароли и ни в коем случае не применять одинаковые на разных сайтах, почтах и социальных сетях. Иначе, получив доступ к одному профилю, мошенники смогут украсть и остальные.
Фото: Getty Images/SOPA Images
— Сами пароли лучше хранить не в голове или в заметках, а в менеджере паролей. Это такой электронный сейф, где хранятся логины и пароли от разных сервисов, — там они автоматически генерируются, и человеку могут сообщить, если какой-то логин оказался в слитой базе и его надо обновить (то же самое если он старый и его тоже пора обновить). Всё это делается автоматически, и самому человеку достаточно просто помнить пароль от самого мастер-пароля, — отметил Дмитрий Галов.
К заманчивым предложениям в Сети (например, предложение купить что-то «прямо сейчас» с большой скидкой) или пугающим сообщениям в свой адрес эксперты призывают относиться критически. И ни в коем случае не переводить кому-то деньги — чаще всего это схема обмана. И, конечно, важно использовать надежные защитные решения, которые не дадут перейти по фишинговой или сомнительной ссылке.
На детские устройства лучше установить «Родительский контроль».
Мошенники освоили QR-коды для снятия денег с карт
Мошенники научились обходиться без данных банковской карты, теперь для снятия денежных средств клиентов им достаточно получить QR-код из приложения. О новой схеме сообщил Банк России 7 апреля в своем Telegram-канале.
Чтобы украсть деньги, мошенники используют сервис снятия наличных денег по QR-коду, который доступен в ряде банков, говорится в сообщении. Злоумышленники звонят клиентам под видом сотрудников банка, сообщают о якобы несанкционированном запросе на снятие денег со счета и просят прислать QR-код, чтобы отменить операцию. В мобильном приложении клиент может самостоятельно сгенерировать код.
Заполучив его, лжесотрудники банков снимают деньги в банкоматах со счета обманутого человека.
QR-код в этом случае фактически является поручением банку на выдачу денег без ввода ПИН-кода. Поэтому им ни с кем и никогда нельзя делиться, отмечают в ЦБ. Также в учреждении советуют не хранить изображение QR-кода в телефоне или в распечатанном виде.
Настоящие сотрудники банков никогда не запрашивают у клиентов QR-код, подчеркнули в ЦБ.
Риски, связанные со снятием денег с помощью QR-кодов, достаточно высоки, считает специалист Group-IB по противодействию финансовому мошенничеству Дмитрий Дудков. На руку злоумышленникам играет факт новизны данной схемы для пользователей – они уже знают, что нельзя называть ПИН-код, CVV, а просьба отправить QR-код может застать жертв врасплох, рассказал он «Ведомостям». Кроме того, преступники могут получить QR-код, используя программное обеспечение для удаленного управления на устройстве жертвы, отметил Дудков.
Раньше мошенники либо брали номер карточки и ее код, либо накладывали дополнительную накладку на клавиатуру, чтобы запеленговать ПИН-код, а в данном случае это делается через QR-код, чтобы получить доступ к финансам клиента, сообщил «Ведомостям» гендиректор Telecom Daily Денис Кусков. «Но принцип тот же самый — получение информации о денежном счете владельца и снятие средств», – подчеркнул он. По словам эксперта, этот способ более опасный лишь в силу своей новизны – люди могут в большей степени поддаться на провокацию мошенников, так как не слышали о нем ранее.
Действия злоумышленников сводятся к запутыванию человека, внесению сумятицы в его разум, чтобы он поддался на уговоры и предоставил информацию, говорит Кусков. Первая составляющая их действий — психологически «подорвать» человека: «если вы сейчас не сделаете то, что мы говорим, то очень много потеряете», отмечает эксперт. Вторая — акцент на новацию, с этой точки зрения QR-код как раз что-то новое для большинства клиентов банков.
«В целом же для этих целей используются различные категории — звонят не только «банки», но и липовые сотрудники правоохранительных органов, МВД, прокуратуры», – перечисляет Кусков.
Эксперты назвали самые популярные способы телефонного мошенничества
Пользователи все больше боятся уголовного преследования, а не потери средств
Мошенники будут придумывать новые схемы и сценарии, связанные с возможностью снять деньги со счетов жертв по QR-коду, полагает Дудков. Чтобы обезопасить свои средства, надо следовать тем же правилам, что и с CVV, ПИН-кодом и кодом безопасности из СМС – ни с кем не делиться QR-кодом, в том числе не отправлять его внезапно позвонившим «сотрудникам банка», а также соблюдать общие рекомендации по защите от мошенников. Дудков советует также не сканировать QR-код от сомнительного отправителя – он может вести на фишинговый или мошеннически ресурс, начать скачивание вредоносного файла, подтверждение транзакции, которую подстроили злоумышленники.
Среди актуальных схем обмана, которыми сегодня пользуются злоумышленники, эксперты называют шантаж кредитом. От имени жертвы мошенники заполняют заявку на сайте кредитной организации. Данные они берут из украденных баз.
Жертве приходит СМС с просьбой подтвердить заявку на кредит от реального банка или микрофинансовой организации, после чего с ней связываются мошенники и получают нужную конфиденциальную информацию – якобы,\ чтобы прекратить процесс оформления кредита.
Также мошенники активно используют голосовые возможности и технологии, которые позволяют с помощью специальных программ синтезировать голос человека. К примеру, злоумышленники звонят человеку и молчат или, наоборот, задают вопросы для односложного ответа, чтобы записать его голос. Затем голос нужным образом накладывается в специальной программе. «Это можно использоваться в различных ситуациях против человека.
Если вы не знаете звонящих вам людей, никогда не разговаривайте и вешайте трубку», – говорит Кусков. Первым вступать в разговор при звонках с незнакомых номеров эксперт также не советует.