Как мошенники узнают данные клиентов банка?

Мошенничество с банковскими картами постоянно совершенствуется. Сегодня только начинающие аферисты пытаются напрямую узнать у потенциальных жертв данные карточек. Попасть на такой развод самая высокая вероятность у людей пожилого возраста. Молодые попадаются на развод крайне редко – знают, как защищаться. А бизнес процветает. Об этом говорит рост колл-центров не только в Москве, но и по всей территории страны. Причина в переходе на кражу денег с карт у самой активной части людей – работающего населения. Понятно, что давно проверенные методы не сработают. Поэтому в ход идет социальная инженерия и IT-технологии. Но для этого нужны персональные данные клиента. И чем их больше, тем лучше.

Откуда мошенники знают личные данные, как их используют и как защитить свои счета от кражи денег, когда будут звонить так называемые сотрудники банка, читайте в этом материале. Но вначале немного раскроем кухню мошенников.

Как это работает

Конечная цель мошенничества – кража денег с банковской карты. Сделать это без ее реквизитов (номер, дата срока действия, CVV или CVC-код) практически невозможно, если только в программном обеспечении нет дыры. Кстати, один крупный банк совсем недавно устранил брешь в защите, через которую можно было вывести денежные средства без ведома и согласия владельца.

Получить необходимую информацию можно несколькими путями:

• агрессивным: позвонить и сказать, что карта заблокирована. Для разблокировки нужны данные с карточки;
• нейтральным: банку нужно уточнить личные данные или подтвердить перевод. А в итоге все сводится к банальному: назовите номер карточки и код с обратной стороны пластика (CVV или CVC);
• соблазняющим: пришел перевод на крупную сумму – нужно уточнить данные карты и т.д.

Но такие методы у населения на слуху и перестали работать. Тогда аферисты стали работать другими методами, подключив социальную инженерию и IT-технологии. А для этого нужны всего лишь персональные данные.

Как мошенники получают личные данные

Откуда мошенники берут телефонные номера, паспортные данные, адреса и т.д.? Покупают имеющиеся базы; с помощью специальной программы вытягивают со сторонних ресурсов: соцсетей, сайтов бесплатных объявлений; пользуются дырами в ПО тех организаций, где есть персональные данные, а не только банков, например, сотовых операторов.

Купить базу — не проблема. В интернете много предложений. Цены колеблются от 1 до 3$ за одно имя. За полные личные данные придется выложить около 5$. За данные с номером карты и кодовым словом – цена договорная.

Обработать такой массив информации, а затем выудить у будущей жертвы нужные данные в одиночку сложно. Поэтому создаются колл-центры.

Как работают черные колл-центры

Находить персонал просто – через объявления, где указываются зарплата от 1000$ и область работы – финансовая. Берут всех подряд. Ведь нужны не психологи, а люди, способные адекватно озвучить заранее подготовленные скрипты, отточенные на реальных людях, ставших жертвами.

Легкие и большие деньги — не гарантия стабильного коллектива – текучка огромная. Кто-то, узнав суть работы, уходит сразу, у кого-то со временем сдают нервы, у многих не получается. Определенный контингент таких колл-центров подседает на наркотики и алкоголь (благо, денег хватает). Их увольняют.

Вновь принятых операторов сажают «открывать сделки» – по отработанному сценарию делать первые звонки жертве. Их задача не узнавать какие-то данные, а расположить человека на другом конце провода к себе.

«Закрывают сделки» более опытные сотрудники. Они умело давят на людей, добиваясь своего.

Как делятся украденные деньги

В России установилось правило: 20% получает исполнитель (оператор колл-центра), 80% — организатор. Ведь ему нужно платить за аренду помещения, оборудование, «крышу», сотрудникам, не занятым обзвоном (охрана, офис-менеджеры и т.д.), а некоторые, самые ушлые, платят еще и налоги. Ведь колл-центр какого-нибудь ООО меньше вызывает интереса со стороны правоохранительных органов.

Если в работе с жертвой принимало несколько человек, то 20% в равной доле делятся между ними.

Деньги похищаются на карточки, оформленные на случайных людей. Обналичивают их «дропы» (подставные лица, чаще всего бомжи). В последнее время со счета жертвы средства перечисляются сразу на биржи криптовалюты. Отследить движение уворованной суммы после такой транзакции невозможно.

Откуда берутся личные данные и номера телефонов

Зная, как мошенники узнают номера телефонов и имена, проще защититься от опасности. Как говорили древние: «предупреждён – значит вооружён».

Личные данные поступают к злоумышленникам разными путями. Но основной – через сотрудников банка. При оплате 3$ за полные данные одного человека слить базу на 100,0 тыс. клиентов не очень сложно. Деньги в сумме 300,0 тыс. долларов США могут вскружить голову многим. Так и происходит.

Недаром в интернете есть предложения по базе данных Сбера практически по каждому региону. При этом, как утверждают некоторые пострадавшие, мошенники начинают звонить уже через неделю-другую после открытия в банке счета. Грешить на дыру в операционном обеспечении можно. Но мощная служба защиты ее за несколько лет нашла бы.

Управляющий банком Герман Греф утверждает о единичном случае кражи данных сотрудником банка. А несколько судебных дел опровергают его слова.

Автор не обвиняет сам Сбербанк – это было бы глупо, тем более, что и собственные финансы там хранятся. Виноваты беспринципные сотрудники, которым большие деньги туманят голову. Проследить за всеми сложно – штат огромный. А то, что у банка большое количество клиентов, около 100,0 миллионов, делает его лакомым куском для мошенников. Поэтому они и ищут слабые места именно у этой кредитной организации. В этом случае нужно посочувствовать и банку, и клиентам.

Полностью грешить на банки нельзя. В сливе участвуют и другие операторы, обрабатывающие персональные данные:

• интернет-магазины. Здесь два варианта утери данных. Первый – торговая точка прекратила свое существование, а о базе клиентов забыла. Она стала всеобщим достоянием. Второй – не хватило денег на грамотного администратора. Как результат, неправильно предоставлен доступ к конфиденциальной информации;
• фишинговых ресурсов, имитирующих официальные сайты известных брендов. Их основная задача добыча паролей и кодов. Однако, в последнее время они все больше работают по персональным данным;
• различные бюро по трудоустройству, главная задача которых сбор данных посетителей.

Кроме этого, утечку персональных данных можно допустить и через системы Wi-Fi, когда мошенниками устанавливается дублирующее доступ в интернет оборудование. Метод базируется на свойстве смартфона или планшета связываться с основными ресурсами в автоматическом режиме при переходе на новую точку Wi-Fi.

Для чего мошенникам личные данные

Население России правоохранительные органы, банки, эксперты постоянно предупреждают об опасности передавать в чужие руки сведения о банковских картах. А вот о персональных данных лишь изредка упоминается. Считается, что там возможности мошенников ограничены – сложно получить доступ к чужим деньгам. Но все меняется. Сегодня, как раз, наоборот, для злоумышленника более важным является получить личные данные владельца карты:

• номер телефона;
• имя;
• отчество;
• фамилию;
• наименование банка, в котором обслуживается будущая жертва.

На первый взгляд, ничего криминального совершить с такой информацией невозможно.

Но это на первый взгляд. Можно:

• с помощью различных методов управления человеком без технических средств (метод называется социальной инженерией) втереться в доверие и руками жертвы выполнить мошенническую схему. Например, позвонить, представиться работником службы безопасности банка и сказать, что только что была пресечена попытка входа в онлайн-банк или выводы денег с карточки. Уверенный голос звонившего, обращение по имени и отчеству, названная фамилия, а также то, что никаких данных о карте никто не просит, вызывает доверие. Через некоторое время второй звонок, с другого телефона. Позвонивший опять представляется работником банка. Обращаясь по имени, отчеству, говорит, что службой безопасности принято решение предоставить клиенту специальную программу, блокирующую карточку при любой попытке несанкционированного доступа к лицевому счету или Личному кабинету. При ЖЕЛАНИИ, ее можно бесплатно установить на смартфон или планшет, скачав в Play Маркет. Многих подкупает, что «при желании». Программу скачивают активно, уже несколько сот тысяч человек. При этом не пенсионеры, а продвинутые в компьютерных делах люди. Все лишились денег. В «троянском коне» встроена команда на вывод всех средств с карт, привязанных к зараженному гаджету. Вредоносная программа, кстати, называется «TeamViewer»;
• менее продвинутые аферисты утверждают, что с данного телефона (планшета) была попытка вывода крупной суммы. Они ее временно заблокировали. Просят устного подтверждения. После отрицательного ответа утверждают, что блокировка отключена и предлагают проверить телефон на наличие вируса. Для этого нужно скачать небольшую безобидную программу. В ней действительно ничего криминального нет. Программе присваивается ID-номер, а через некоторое время предлагается скачать еще и приложение. Вот в нем и проблема – позволяет подключиться к телефону и удаленно получить необходимую информацию, после чего вывести деньги со счета;
• оформить в МФО заем, особенно онлайн, повесив на обладателя персональных данных чужой долг: в борьбе за клиента многие микрофинансовые организации значительно упрощают процедуру оформления кредита. Достаточно направить паспортные данные по электронной почте, чтобы получить ссуду до 5 000 руб. Кредитный договор высылается на тот же электронный адрес. Подписью считается код из СМС, отправленный на указанный телефон. Его привязка к заемщику в большинстве случаев не проверяется. Да и получить код от хозяина паспорта проще, чем данные карты. Многие не знают о таком виде мошенничества;
• оформить электронный кошелек для преступных целей, например, хранить ворованные с чужих счетов денежные средства;
• с помощью, опять же, социальной инженерии, получить данные с карт, пароли входа в Личный кабинет и другую важную информацию;
• совершить покупку в интернет-магазине – многие не требуют идентификации с помощью СМС-пароля;
• при наличии адреса, ФИО, номера телефона и кодового слова – это есть в слитых данных Сбербанка, мошенник просто звонит в кол-центр и жалуется оператору на проблемы с карточкой, в связи с чем хочет перевести определенную сумму на другую карту.

Как видим, способов обмана множество – фантазия у злодеев работает.

Как обезопасить себя

Регулярная утечка базы данных Сбербанка, несмотря на их заверения в обратном: откуда у мошенников данные клиентов Сбербанка, если сотрудники проверены, а в программном обеспечении нет дыр (опровергают многочисленные предложения в интернете по продаже личных данных клиентов именно этого банка) требуют от клиентов принятия мер по защите своих сбережений. Они несложные.

• Необходимо регулярно менять пароли к онлайн-банку, мобильному банку, а так же PIN-код карточки.
• Зарегистрируйте на себя еще один телефон и используйте его только для работы с банком. Никаких звонков не принимать и по нему не звонить. Еще лучше, если в приложение заходить с одного телефона, а принимать коды с другого.
• Откройте сберегательный счет и на нем храните все средства, в том числе и поступившие на карту. На ней должно быть столько денег, сколько потребуется в течение дня. Вечером или утром можно карточку пополнить. Когда нет больших денег на картсчете, вероятность его взлома резко сокращается. А в случае несанкционированного списания сумма небольшая – жалко, но пережить можно.
• При возникновении угрозы хищения денег более эффективно не блокировать карту – процесс может длиться пару часов, а перевести всю сумму на другой счет – транзакция моментальная. Карточку можно заблокировать позже.
• Нельзя яйца хранить в одной корзинке. Так и с деньгами – оптимально иметь счета в 2-3 банках. Риски хищения всех денег небольшие.
• Не работать с банком от общедоступных точек Wi-Fi. Можно нарваться на двойники. Мошенники через специальные устройства перехватят пароли и коды.
• Не сообщайте по телефону никаких данных о карточке и о себе.
• При звонке с банка о подозрительных операциях или попытках входа в Личный кабинет сразу же прекращайте разговор и перезванивайте в банк по телефонам, указанным на обратной стороне карточки. Помните – сотрудники банка не звонят клиентам, а высылают СМС.
• Не скачивайте никаких программ самостоятельно, не переходите по ссылкам из СМС.
• Не будьте наивными. Нет никаких выигрышей и компенсаций. Это все для получения данных карточек.
• При появлении данных об оплате в интернет-магазине, в котором владелец ничего не покупал, деньги переводятся на другой счет, а карточка аннулируется (не блокируется, а меняется на новый пластик, с другими данными).

И в заключение: будьте готовы к звонкам мошенников ментально – или давайте отпор, или прекращайте разговор.