Телефонный маскарад, или как распознать лжесотрудника банка

В начале этого года пользователи соцсетей обсуждали всплеск звонков от мошенников, которые под видом сотрудников крупных банков запрашивали секретную информацию. Люди попадались, потому что номер звонившего действительно определялся как номер кол-центра банка. Как теперь распознавать мошенников? Давайте разбираться.

Одними из первых под удар попали клиенты Сбербанка. Злоумышленники, используя подменные номера, звонили с номеров 900 и 9-00, проводили сверку остатков по счетам, после чего просили назвать кодовое слово для подтверждения операции. Позже звонки якобы от банковских работников посыпались и держателям карт других банков, в том числе Райффайзенбанка, ВТБ и Альфа-Банка. Однако какой бы облик ни принимали мошенники, правила, которые помогут не попасть к ним на крючок, одни.
Пример из жизни

Один из самых обсуждаемых в соцсетях случаев произошел с телеведущей Марией Командной. Звонивший представился девушке сотрудником службы безопасности Альфа-Банка, предупредив, что на счете зафиксирована подозрительная активность. После этого Мария попросила заблокировать все карты и счета, что вполне логично. Тут злоумышленники затребовали подтвердить личность. Девушка насторожилась и перезвонила в банк по официальному номеру, и ей подтвердили, что звонивший — действительно сотрудник службы безопасности. После чего мошенник перезвонил с официального номера банка и начал инструктировать, что делать. В общей сложности разговор длился… около трех часов!

В числе запрашиваемой информации — коды доступа от онлайн-банка. В пресс-службе Альфа-Банка этот случай прокомментировали так: произошло сложное многоэтапное мошенничество, основанное на социальной инженерии с применением технических приемов, в частности подмены исходящего номера телефона. Все, что им требуется для начала операции, — ФИО клиента и мобильный номер, остальное (номер карты, кодовое слово и СМС-коды) клиент сообщил мошеннику сам, будучи уверен, что разговаривает со службой безопасности банка.

Пока один мошенник общался с клиентом под видом сотрудника службы безопасности, другой (или тот же самый по другой линии) звонил в контакт-центр банка и выдавал себя за клиента. Вопросы оператора мошенники задавали клиенту и передавали его ответы обратно оператору. Таким образом мошенник полностью идентифицировался как клиент и разблокировал карту. В результате девушка лишилась приличной суммы денег. Главная ошибка, которую она совершила, — раскрытие секретных данных.

Даже если вам позвонит якобы сотрудник банка, даже если с официального телефона, называть пароли и коды ему нельзя ни под каким предлогом. Реальный сотрудник никогда не будет их запрашивать, так как банку для блокирования счетов и карт они не нужны. Доказать потом, что списание средств произошло не по вашей воле, и вернуть деньги будет проблематично.

Более осторожным оказался другой пользователь соцсетей — Григорий. Ему позвонили якобы сотрудники службы безопасности Сбербанка и стали «спасать» от подозрительного платежа, сделанного, по их словам, с его карты злоумышленниками. Они смогли узнать у Григория номер карты, дату рождения и кодовое слово до того, как он обратил внимание, что звонят с незнакомого номера. Самое неприятное, что после этого ему перезвонили с номера +7(495)550-55-50, который заявлен среди официальных номеров банка.

К счастью, некоторые моменты мужчину насторожили, и он сам решил перезвонить в Сбербанк. Когда стало понятно, что звонили мошенники, он успел заблокировать свои карты. «Позже выяснилось, что мне за три минуты разговора с реальным сотрудником Сбербанка позвонили 30 раз с 23 различных номеров. Карту придется перевыпускать», — посетовал Григорий.

Цифры

1,3 млрд рублей вывели мошенники с банковских карт россиян в 2018 году. Это на 44 % больше, чем в 2017-м (961 млн рублей).

3,32 тыс. рублей составила средняя сумма одной несанкционированной операции в 2018 году (на 9,6 % больше, чем в 2017-м).

В 97 % случаев мошенники применяют методы социальной инженерии, то есть убеждают жертв сообщить им данные карт или перевести деньги.

Как такое возможно?

Мошенники находят множество способов заполучить персональную информацию граждан. Один из примеров приводит пользователь соцсетей Наталья: «Когда я приглашала людей на вебинар через СМС, я запросто купила базу из 10 тысяч номеров Москвы и области. Скачать базу, которая есть в поликлинике, библиотеке, магазине и других учреждениях, можно за небольшую сумму. А кроме ФИО там почти везде есть данные паспорта и номер телефона. Наверняка при желании можно найти и способ купить базу с номерами карт».

К сожалению, подделка номеров — тоже реальность. Это подтверждают и сами операторы связи. Так, в компании «ВымпелКом» (Билайн) сообщили, что в среднем в день блокируют несколько тысяч звонков с подменных номеров. К примеру, сейчас заблокированы вызовы с подстановкой номеров одного из крупнейших банков страны. Однако эта проблема не остается без внимания. Это подтвердили и в «Мегафоне»:

«Проблема не нова, еще несколько лет назад у нас были внедрены специальные технические меры, призванные затруднить мошенникам подстановку номеров ряда крупных отечественных банков. Сейчас мы продолжаем активно работать с представителями банковской сферы и оказываем помощь банкам в предотвращении подобного мошенничества в отношении их клиентов. Также уже много лет закрыта возможность отправлять абонентам без ведома кредитных организаций сообщения с коротким цифровым идентификатором, например сообщения с номера 900 от Сбербанка».

Представители оператора сотовой связи так же отмечают, что мошенники и дальше будут изыскивать новые способы обмана, несмотря на предпринимаемые банками и операторами меры, поэтому гражданам очень важно знать и соблюдать простые правила безопасности. Случаи мошенничества подробно изучают и в самих банках. Как сообщили представители Сибирского банка ПАО «Сбербанк», они постоянно совершенствуют систему антифрода, чтобы минимизировать количество подобных случаев.

— Сотрудники Сбербанка никогда не звонят клиентам с подобными вопросами (запрос секретных кодов, паролей и т. д.). В случае совершения мошеннических операций система антифрода срабатывает автоматически, после чего клиент, в отношении которого совершено мошенничество, сам обращается в банк по телефонам, указанным на карте или сайте, — отметили в банке. — В любом случае мы рекомендуем всем нашим клиентам проявлять бдительность и никому не сообщать полные данные своих банковских карт, CVV2-коды, СМС-коды и одноразовые пароли. Если звонящий представляется сотрудником банка и просит клиента сообщить ему эту информацию или кодовое слово, лучше положить трубку и перезвонить в банк по телефонам, указанным на банковской карте или на сайте Сбербанка.

Мошенники чаще всего стараются заставить собеседника паниковать, например могут говорить, что если он не назовет код в течение пары минут, то будет совершен крупный несанкционированный платеж или счет будет заблокирован. Настоящий сотрудник банка не станет подстегивать к необдуманным действиям, а сам устранит угрозу (например, заблокировав карту), и быстрые действия со стороны клиента банка будут совершенно не нужны. При этом он спокойно проинструктирует и ответит на любые вопросы. Мошенники в случае сомнений со стороны жертвы часто начинают злиться и пытаться заставить испытывать вину в чем-то. Настоящий банковский сотрудник в любой ситуации будет сохранять спокойствие.

К сожалению, в стрессовой ситуации, которую стараются создать злоумышленники, сохранить спокойствие удается далеко не всем. Об этом говорит и статистика: большая часть (до 97 %) хищений со счетов происходит благодаря выманиванию секретной информации у самих клиентов банков. Государство в связи с этим активно работает над мерами, которые помогут минимизировать количество таких случаев.

В качестве одной из мер противодействия хищению с использованием социальной инженерии Банк России поддерживает законопроект, наделяющий его правом досудебной/внесудебной блокировки фишинговых сайтов и мошеннических кол-центров. Но как показывает практика, если сами клиенты банков не будут проявлять бдительность и соблюдать простейшие правила, остановить мошенников будет очень сложно.

Детали

Данные, которые никому нельзя сообщать

Номер карты, имя и фамилия владельца, срок действия.

Код проверки подлинности карты — три цифры на обратной стороне (CVV или CVC), ПИН-код.

Логин и пароль от личного кабинета онлайн-банка, а также коды из СМС.

Простые правила против мошенников

Главная цель мошенников — реквизиты вашей карты. Ухищрения, на которые они могут пойти, чтобы вытянуть из вас эту информацию, можно перечислять бесконечно. Однако несмотря на разнообразие форм, схема по которой нужно реагировать, — одна:

даже если абонент представляется сотрудником банка, нельзя называть ему секретную информацию, а кодовое слово можно сообщать, только если вы сами позвонили в банк по указанному на официальном сайте телефону;

если хотя бы одна маленькая деталь в разговоре вас настораживает, возьмите паузу под любым предлогом (надо открыть дверь, срочный звонок по второй линии и т. д.), положите трубку и перезвоните на официальный номер банка, указанный на обороте карты или в договоре, и уточните информацию;

если позвонить в банк нет возможности, поговорите хотя бы с близкими или знакомыми: проговаривая ситуацию другому человеку, легче распознать опасность;

не сообщайте личную информацию по телефону никогда и никому — у настоящих сотрудников банка она уже есть.

Если с вашей банковской карты списали деньги и вы к этому не причастны, как можно скорее позвоните в банк (номер есть на обороте карты), сообщите о мошеннической операции и заблокируйте карту. Обратитесь в отделение банка и попросите выписку по счету. Напишите заявление о несогласии с операцией. Сохраните экземпляр заявления с отметкой банка о приеме. Обратитесь в правоохранительные органы с заявлением о хищении. Получив ваше заявление, банк проведет служебное расследование и решит вопрос о возмещении ущерба.

Если вы соблюдали меры безопасности и обратились в банк не позже, чем через сутки после списания денег, то можете рассчитывать на возмещение. Однако если вы сами сообщили злоумышленникам ПИН-код или код из СМС, необходимый для подтверждения платежей и переводов, к сожалению, вернуть деньги не удастся.