Стало известно о разработке мошенниками новой схемы кражи денег с банковских карт - на этот раз помощником в этом стала так называемая социальная инженерия, словом, классический обман. В качестве главной мишени злоумышленники выбирают людей, продающих товары через разные интернет-ресурсы. Лже-покупатель предлагает владельцу товара, что он сразу переведет деньги за него на банковскую карту продавца. Мошенник запрашивает у продавца не только номер его кредитной карты, но и дополнительно информацию о CVV-коде, указанном на оборотке «пластика», — будто бы для успешного проведения трансакции. Как только продавец называет этот код, он фактически остается ни с чем, что и следует ожидать. О том, что появилась новая преступная схема, рассказали специалисты компании Zecurion, основная специализация которой - это именно кибербезопасность. Эксперты уже оценить масштабы потерь клиентов от этих действий в 200 млн рублей.
В августе т.г. специалистами по кибербезопасности уже было спрогнозировано, что хакеры приступят к атакам клиентов банков по сервисам дистанционной оплаты — к примеру, Avito.
По словам руководителя аналитического центра Zecurion Владимира Ульянова, сегодня злоумышленники нацелены на продавцов самых разных видов товаров. Преступники очень ловко научились маскировать свои цели и подменять понятия, допустим, говоря людям, что код CVV - это нейтральный «номер счета».
По словам Ульянова, если жертва рассказывает преступникам, какой код CVV у ее карты, им становится известна и другая информация, необходимая для вывода денежных средств, — это могут быть одноразовые пароли, которые владелец карты получает на свой телефон. Мошенники могут заинтересоваться продавцами любых лотов, главная цель для них — получение доступа к счетам этих продавцов. В результате схема распространяется все быстрее, охватывая все новые и новые регионы.
Главное, что нужно злоумышленникам — узнать реквизиты платежной карты - тогда они отключают проверку CVV2/CVC2-кода по карте владельца, и переводят деньги жертвы на свои карты, пользуясь в том числе и банкоматом.
Основу мошенничества, при котором задействуется социальная инженерия, составляют знание психологии и использование слабостей человека. Как оценила специализирующаяся на кибербезопасности компания «Информзащита», в прошлом году «киберпреступниками на доверии» было похищено с карт банковских клиентов свыше 700 млн рублей. В текущем году уже зафиксирован 35%-й рост (945 млн), а с использованием новой схемы, предварительные оценки выдают цифру в 200 млн рублей.
Ущерб специалисты Zecurion оценивали так. Сегодня на интернет-ресурсах типа Avito и «Юла», если верить их базам, осуществляется продажа самых разных товаров 10 млн граждан. 0,2% от их числа (2 человека из 1 тыс.) - это потенциальный минимум жертв мошенников. В итоге, 20 тыс. продавцов на интернет-ресурсах — становятся возможными объектами внимания мошенников. По информации ЦБ, одна карта может принести хакерам добычу в 5–10 тыс. рублей. В итоге, оценка потерь продавцов - порядка 100–200 млн рублей.
По словам директора центра по противодействию мошенничеству компании «Информзащита» Лилии Шароватовой, для успешной защиты от мошенников категорически не стоит передавать CVV2/CVC2-код карты третьему лицу. Здесь важно не забывать о главном правиле — оборотка карты предназначена для ее владельца, карту нельзя передавать даже официанту ресторана.
Стоит также воспользоваться банковскими опциями и сервисами, способствующими снижению рисков компрометации: не держите все средства на одном счете, позаботьтесь об установке лимитов на снятие наличных и покупки.
По словам представителя пресс-службы Avito, с нашей стороны ведется постоянная работа, направленная на выявление мошенников для максимальной защиты пользователей. Каждое объявление проходит модерацию, и при обнаружении нарушения объявление блокируется. Более того, под каждым объявлением есть кнопка «Пожаловаться», если ее нажать, можно таким образом, заявить о публикациях, схожих с мошенническими, и они будут рассмотрены модератором.
В компании «Яндекс. Деньги» заявили, что проверка любой операции предусматривает использование метода 2-факторной авторизации, технологии 3D-Secure, а также системы антифрода, постоянно совершенствующейся за счет машинного обучения. Чтобы подтвердить операцию, пользователю доступны варианты в виде одноразовых паролей (направляются в SMS или генерируются при помощи специальных мобильных приложений), биометрии (снятие отпечатка пальца в приложении «Яндекс.Денег»). Одним паролем подтверждается только одна операция и время его действия ограничено, поэтому даже если преступник украдет его, он не успеет им воспользоваться.
По мнению экспертов, новая схема мошенничества утратит свою актуальность примерно через месяц — уровень финансовой грамотности россиян постоянно растет, продвинутые клиенты - это сегодня довольно обычное явление. Но и злоумышленники не отстают, изобретая все новые мошеннические схемы.
