Перейти к содержимому

Карта Сбербанка — уязвимости и последствия

Злоумышленники — народ изобретательный и упорный: как только один способ «обувать» честной люд перестает работать, они придумывают два новых. Но особым интеллектом могут похвастаться далеко не все из них, поэтому большая часть уловок основывается на том, что люди в большинстве своем, во-первых, доверчивы, а во-вторых, не знают элементарных правил безопасности. В том числе и кибербезопасности.

Не так давно мошенники начали паразитировать на людях, которые пытаются что-то продать на онлайн-барахолках или тематических сайтах. Типичный случай выглядит примерно так.

_sberbank-FB

Допустим, вы продаете машину. Вам звонит человек, которому, по его словам, очень нравится ваш автомобиль, он хотел бы его приобрести, но, вот незадача, сейчас он находится в другом городе. Он предлагает перевести вам задаток — часть от общей суммы сделки, чтобы вы сняли объявление о продаже, а через недельку он заедет и заберет машину. «Почему бы и нет», — думаете вы. Ведь в этот момент вам кажется, что вы почти продали авто, к тому же прямо сейчас вам на счет должно свалиться некоторое количество денег.

Карта Сбербанка — уязвимости и последствия

Злоумышленник рассчитывает, что тут-то вы и расслабитесь — и перестанете внимательно следить за происходящим. Он спрашивает:

— У вас ведь есть карта «Сбербанка»? Давайте я вам на нее деньги переведу.

— Да пожалуйста, — думаете вы и отправляете ему номер карточки.

Ведь это всего лишь номер, с ним нельзя ничего сделать, не имея CVC/CVV-кода — трех цифр на задней стороне карты. На самом деле при некоторой сноровке можно обойтись и одним номером карты, но это лишние хлопоты, поэтому преступники обычно на этом не останавливаются.

— Хорошо, — говорит злоумышленник, чтобы вызывать больше доверия, предварительно отправивший вам скан паспорта (как выяснится потом — чужого). — Только я должен знать, что это ваша карта. Скиньте, пожалуйста, тоже скан паспорта и срок действия карты.

https://twitter.com/lentaruofficial/status/625632330611335168

Тут вам может показаться, что от вас хотят слишком много — и очень хорошо, если покажется. Но с тем же успехом вы можете купиться на то, что контрагент первым выслал вам якобы свои данные: дескать, если он мне доверяет, то почему бы мне не доверять ему? Тем более что это вроде бы он переводит вам деньги, а не вы ему — что может пойти не так? То, что скан паспорта он нашел в Интернете, вы, вероятно, узнаете позже.

Итак, вы, ничтоже сумняшеся, отправляете злоумышленнику скан паспорта и внешней стороны карты.

— Все получил. Только я вам деньги буду отправлять специальным безопасным переводом. Вам SMS придет с кодом, вы мне его скажите — и я пойму, что это действительно вы и ваша карта. И сразу все отправлю, — бодро рапортует он.

— Хорошо. Ведь безопасность — это прекрасно, — думаете вы.

SMS приходит. Вы дочитываете ее до конца и видите в конце предупреждение, что никому и никогда не надо говорить этот код. Если вы действительно не скажете код — сохраните деньги на своей карточке.

В противном же случае злоумышленник, прикидывавшийся добропорядочным покупателем, успешно активирует на своем смартфоне приложение «Сбербанк.Онлайн», которое для работы требует идентификационный номер и тот самый код, пришедший на привязанный к этой карте телефон. Способов получить идентификационный номер много, и один из них — позвонить в «Сбербанк» и назвать достаточно количество данных о вас. Скажем, паспортные данные и информацию о карте — со сроком действия.

Ну а код вы только что продиктовали. И вот злоумышленник уже переводит все деньги с вашей карты на свои или подставные счета, телефоны и так далее.

что такое CVC или CVV код

Иногда такие мошенники работают в паре. С одним вы ведете весь этот диалог, а другой звонит, представляется сотрудником «Сбербанка», говорит, что на ваш счет поступил перевод, но, поскольку сумма достаточно велика, необходимо подтверждение транзакции. Будьте, дескать, любезны, прочитайте для подтверждения код из SMS, которая к вам только что пришла.

Возможны и другие варианты — некоторые мошенники без лишней скромности просят назвать CVC/CVV-код, некоторые предлагают подойти к банкомату и проделать с ним какие-то операции, оправдывая это переводом со счета в иной валюте или еще какими-нибудь небылицами. Иногда хитрецы отправляют вам СМС о якобы неудавшемся переводе на какой-нибудь сторонний счет, а потом звонят, представляются сотрудниками банка и просят назвать кодовое слово, чтобы этот перевод окончательно удалить из системы.

https://twitter.com/Kaspersky_ru/status/608569411058958336

Получив в свое распоряжение кодовое слово, они могут делать с деньгами на вашей карте, как и с вашим счетом в целом, буквально все что угодно. Некоторые же — и это наиболее опасный вариант — работают в сговоре с сотрудниками сотовых операторов, что позволяет им перевыпускать чужие сим-карты и получать коды авторизации уже на свой телефон.

Почему именно «Сбербанк»? Потому что у него больше всего клиентов, легко получить доступ к интернет-банкингу, а немалая часть аудитории — люди пожилые и в вопросах кибербезопасности не особенно разбирающиеся.

https://twitter.com/e_kaspersky_ru/status/538257289111552002

Чтобы не попасться на крючок таких мошенников, в первую очередь надо знать о том, как работает такая «разводка». Теперь, когда вы прочитали этот текст — вы осведомлены, а стало быть, вооружены. Стоит также рассказать об этом своим близким, чтобы и они не стали жертвой: ни в коем случае не говорите никому и никогда коды подтверждения банковских операций и старайтесь не «светить» лишний раз данные своих карт.

Также стоит знать, какие сообщения банк может присылать, а какие не пришлет никогда. Если он позволяет установить лимиты на использование средств (в веб-версии клиента «Сбербанка», например, есть возможность выставить суточный лимит) — не пренебрегайте этой возможностью: в случае, если злоумышленники таки смогут получить доступ к вашему счету, они хотя бы снимут не все деньги. Наконец, лучше просто не хранить на картах «Сбербанка» крупные суммы — практика показывает, что это небезопасно.

Автор Alex Perekalin