Украсть без пароля. Мошенники научились выводить деньги через «Сбербанк Онлайн» в обход защитного кода
Россияне жалуются на кражи денег с карт Сбербанка через онлайн-сервис. Клиенты не получают push-уведомлений о переводах средств или SMS с кодами для подтверждения оплаты покупок. А просто внезапно узнают, что счет опустошен мошенниками.
Закупиться за чужой счет
Москвичка Марина Зайцева стала жертвой мошенников, о чем рассказала в Facebook. Обнаружив, что злоумышленники взломали ее «Сбербанк Онлайн», женщина позвонила в кол-центр и попросила заблокировать счета. Оператор сказал, что сделал это.
Но всего через несколько минут Зайцева получила SMS об оплате ее карточкой покупок на 51 990 рублей на сайте «Беру. ру». Хотя 3dsecure-код для подтверждение оплаты ей не приходил.
Повторный звонок в кол-центр принес неутешительные новости. Карта оказалась не заблокирована, деньги списали. На все претензии сотрудница посоветовала Наталье обратиться в полицию.
В партнере Сбербанка маркетплейсе «Беру. ру» тоже не смогли помочь Марине. Сотрудница нашла заказы и начала их было отменять.
«Потом просит вдруг неожиданно меня подождать и через пять минут сообщает, что она ошиблась! И она не видит эти заказы, которые она видела только пять минут назад и, более того, начала их отменять! И она советует мне обратиться в полицию», — добавила Наталья.
Запретить уведомления
«Как можно оставлять возможность отключать основной телефон? Объяснение от Сбербанка: «А вдруг вы потеряли телефон»? Да если кто-то потерял, пусть побегает кругами, пока все не переоформит!
Но разрешать всем такое делать нельзя!» — возмущается Сергей Викторович.
В даркнете свободно продаются номера карт. А подобрать срок действия и CVV-код для современных хакеров не представляет труда. Собеседник «360» не называл никому свои банковские данные, а карточкой пользовался только для оплаты парковки.
Поэтому полагает, что именно через номер карты злоумышленники попали в его «Сбербанк Онлайн».
После этого мошенники похитили 30 тысяч рублей с карты. Затем попробовали вывести еще 58 тысяч, но помешал ежедневный лимит. Попытки продолжались несколько дней. К сожалению, как и многие его ровесники, Сергей Викторович редко читает SMS.
И заметил неладное, когда деньги были украдены. Сейчас пенсионер написал заявление в службу безопасности банка и собирается обратиться в полицию.
«Перевод был из Сбербанка на счет в Сбербанке. И мне служба поддержки сказала, что они не могут отменить этот платеж. Сейчас счета заблокированы, я ничего не могу сделать.
А там же большие проценты капают за пользование кредитными деньгами. А проценты, как я понимаю, они сейчас с удовольствием в свой карман считают», — заключил Сергей Викторович.
«К сожалению, клиенты нередко пренебрегают требованиями кибербезопасности и разглашают мошенникам реквизиты карт и пароли. Это дает возможность злоумышленникам не только совершать операции от имени клиентов, но и подключать новые услуги, активировать бесконтактные платежи и регистрироваться в мобильном приложении «Сбербанк Онлайн»», — добавила Гула.
Возможность для мошенников
Если банк дает возможность перевести отправку уведомлений и 3dsecure-кодов на другие номера, то мошенники вполне могут этим пользоваться, согласился руководитель Агентства кибербезопасности, член экспертного совета комитета Госдумы по информационной политике Евгений Лившиц.
«Что касается подбора срока действия и покупки номеров карт в даркнете, то там продаются данные карт уже со сроком действия. Никаких проблем с этим нет. К сожалению, этих утечек много. Зачастую они связаны с сотрудниками банков.
Они принимают в этом непосредственное участие», — утверждает эксперт.
В ситуации с Мариной Зайцевой Лившиц предположил, что хищение произошло из-за нерасторопности сотрудницы Сбербанка. Если клиент обратился с просьбой заблокировать карту из-за угрозы кражи средств, это нужно делать молниеносно. Хотя многие кредитные организации самостоятельно блокируют счета при попытках подозрительных транзакций.
«Такие случаи происходят ежедневно. Объективной статистики нет, а та, что есть, точно кратно хуже. Сами банки эту информацию не сообщают, для них это большие репутационные потери, для стоимости акций тоже.
В правоохранительные органы обращается маленький процент людей, потому что понимают, что вероятность успеха близка к нулю», — заключил собеседник.
Карманники ХХI века. Хакеры воруют деньги с карт в общественном транспорте
Украсть деньги с карты могут даже в метро, но воры предпочитают так не делать
Первыми выступили банкиры. Они объяснили, что украденные таким образом деньги уходят не в черную дыру, а на конкретный банковский счет, зарегистрированный на конкретное юридическое лицо. По их мнению, обчищать людей с терминалом — недальновидное решение.
Дескать, это все равно что оставить на месте преступления свой паспорт.
Однако это не значит, что можно расслабиться и выдохнуть. Дело в том, что для навара злоумышленнику совсем не обязательно украсть именно деньги — иногда достаточно только данных карты: номера и срока действия. И вот как раз с захватом этой информации хакеры справляются лучше.
Многие спросят, чем хакеру смогут помочь сворованные номер карты и срок действия. Оказывается, в Интернете есть ряд торговых площадок, где для проведения транзакции достаточно и такой информации. Даже трехзначного CVV и эсэмэски с кодом подтверждения им не требуется.
Причем это не какие-нибудь магазины с наркотой и оружием в Даркнете, а вполне легальные Amazon, eBay или AliExpress.
Самый простой способ предотвратить виртуальный угон средств — позвонить в банк и попросить, чтобы у вас запрашивали подтверждение вообще всех платежей без физического присутствия карты. У популярных платежных систем — Visa и MasterCard — такая опция называется 3D-Secure. В общем, как и в большинстве случаев, не стоит недооценивать уязвимости настроек по умолчанию.
По воздуху воруют мало, но с каждым годом заработок мошенников растет
Изменение настроек в банке — дело полезное. Однако важнее физически защититься от воровства еще на первом этапе.
Однако, если старый бумажник вам очень дорог и вы не хотите с ним расставаться, можно приобрести специальный гаджет в виде обычной кредитки, блокирующий излучения NFC-маячков. Они стоят, как правило, недорого — до 1000 рублей.
Руководитель группы исследований безопасности банковских систем Positive Technologies Ярослав Бабин в разговоре с Лайфом отметил, что в принципах работы бесконтактных платежей уже заложены ограничения для маневров злоумышленников. Например, некоторые терминалы способны считать информацию только с одной карты, которая к нему прислоняется.
— В большинстве случаев пользователь носит банковскую карту в бумажнике или специальном держателе, в котором обычно хранятся другие банковские карты. Молниеносно списывать средства в таких ситуациях довольно проблематично, — отметил Бабин.
Безопасность и банковские карты
К сожалению, идеальных систем не существует, поэтому безопасность в интернете — штука эфемерная. Вроде она есть, а вроде есть и куча способов поживиться на невнимательности пользователей. Для того чтобы не попасть в такую ловушку, следует помнить о правилах эксплуатации карты.
Во-первых, никогда не сообщать третьим лицам персональные данные, в том числе и CVC/CVV коды.
В принципе, это все. Как видите, разобраться в выборе банковской карты просто, если найти полную и доступную информацию. Что касается общей безопасности при совершении покупок, ждите ее очень скоро в новой статье из цикла «Начинаем покупать в интернете».
Что делать, если деньги сняли незаконно
К сожалению, очень часто возникают ситуации, когда люди фиксируют несанкционированные списания денежных средств. Ситуация выглядит следующим образом: владелец карты никогда не пользовался интернет-магазином Wildberries, но в итоге получает автоплатеж WB Podolsk RUS. В большинстве описанных случаев имеется высокая вероятность взлома банковской карты.
Если вы попали именно в такую ситуацию – скорее всего реквизиты карточки доступны мошенникам, которые получили доступ к номеру карты, дате и секретному CVC-коду. Этих данных достаточно для привязки карты и оплаты различных покупок и услуг в интернет пространстве.
После того, как ситуация с банком прояснится – обязательно «стучитесь» в поддержку Wildberries. Вам необходимо сообщить о незаконном автоплатеже и факте активации процедуры чарджбэк через банк. Большой минус в этой ситуации – поддержка отвечает с огромным опозданием, а за это время условный мошенник может успеть получить товар, приобретенный за средства со взломанной карты.
- Подайте обращение через форму «Напишите нам»: wildberries.ru/services/kontakty .
- Подайте обращение через почту: sales@wildberries.ru .
- Официальные странички интернет-магазина присутствуют во всех социальных сетях: Инстаграм, Фейсбук, ВК, ОК.
