Карты сдали

Жалобы от пользователей соцсетей особенно активно сыплются последние дни. Чаще мошенники, представляясь друзьями, скидывают номер банковской карты и просят перечислить на нее деньги. Якобы на лечение или просто в долг. Теперь пошли дальше – для большей убедительности присылают скриншоты “пластика” с именем и фамилией владельца. Смотрится правдоподобно. Недавно развести пытались и корреспондента “РГ”. Оба раза – в соцсети “ВКонтакте”. Написала знакомая девушка из университета, в котором учились на одном факультете, но особо не общались. Это и смутило. Рассказала, что не стало ее мамы. Инсульт. Врачи помочь не успели. Попросила любую сумму – будь то 500 рублей или 5 тысяч, поскольку семья покрыть ритуальные услуги не может. Далее – “не будьте равнодушными”, “цените своих близких” и тому подобное. В ответ написать ничего не успел – страницу девушки администрация сайта быстро заблокировала.

А вот еще одна легенда – якобы карта заблокирована банком, нужны взаймы на пару дней 3-4 тысячи рублей, пока ситуация не разрешится. Такое “письмецо счастья” впервые прилетело друзьям из списка от журналистки Анастасии Забаровой. “Позвонила подруга и сказала, что я прошу у нее денег. Я открыла на телефоне приложение и не смогла зайти, так как пароль уже сменили, – рассказала она “РГ” . – Некоторые поверили, потому что мои имя и фамилия на карте были. Перевести ничего не успели. Я отсутствовала в Сети от силы минут 20, за пять минут вернула себе доступ и всех оповестила, что писали мошенники. Вообще я часто нахожусь в онлайне, поэтому заметила бы быстрее, но в тот момент была в кино”. В службу поддержки банка, указанного на псевдокарте, Анастасия все же сообщила. Еще поменяла пароль от странички, перешла на двухфакторную аутентификацию и удалила из переписок пароли, логины, почту, документы. Как оказалось, все сделала правильно. В пресс-службе “ВКонтакте” рассказали: подозрительные сообщения нужно отмечать как спам. В этом случае поступит сигнал модераторам, которые остановят взломщиков и вернут владельцу его страницу.

– К сожалению, мошенники продолжают создавать новые схемы для обмана пользователей, но мы максимально оперативно берем такие случаи в работу и боремся с нарушителями, – сообщили представители соцсети. – Регулярно обновляем функции для безопасности профилей и данных пользователей.

Банки же советуют перепроверять информацию, даже если карты внешне очень похожи на настоящие. “Этот вид мошенничества известен давно и не имеет никакого отношения к банку, – пояснили в пресс-службе ВТБ. – Мошенники при помощи специальных программ делают фотографию карты любого банка с любым именем, а указывают номер карты, принадлежащей мошеннику и оформленной на дропа – человека, который предоставляет банковскую карту, оформленную на его имя, для транзитных переводов денежных средств”. Замдиректора департамента информационной безопасности банка “Открытие” Илья Сулоев призывает не поддаваться давлению и всегда звонить родственникам и друзьям. Если возможности набрать номер нет, можно задать вопросы, ответы на которые знают только близкие.

Отыскать таких мошенников весьма сложно, а порой – практически невозможно. По словам главы представительства Check Point Software Technologies в России и СНГ Василия Дягилева, правоохранительные органы, даже желая поймать преступников, не всегда могут это сделать. “Не хватает доказательств или нет ресурсов, чтобы определить, где искать злоумышленника, – говорит он. – Именно поэтому этот вид мошенничества настолько популярен: наказания практически отсутствуют”. К тому же сами жертвы редко обращаются в полицию. “Еще реже такие инциденты объединяются в одно дело, хотя именно это могло бы увеличить размер причиненного ущерба”, – подчеркивает начальник отдела по противодействию мошенничеству Центра прикладных систем безопасности компании “Инфосистемы Джет” Алексей Сизов. Тем не менее юрист Европейской юридической службы Евгений Иванов все же настоятельно рекомендует обращаться в полицию. По его словам, действия мошенников можно квалифицировать по статьям “Неправомерный доступ к компьютерной информации” и “Мошенничество в сфере компьютерной информации”.

Классификация и способы онлайн-мошенничества (online fraud)

Онлайн-мошенничество можно разделить на две категории: фишинг и кража личности. В свою очередь, каждый из способов имеет огромное множество подтипов.

Каким же образом мошенник убеждает жертву расстаться с деньгами?

Оплата без товара

Самый грубый и примитивный способ обмана. Человек приобретает в интернет-магазине товар, оплачивает, но покупка так и не приходит. В другом сценарии жертва заказывает билет, а на вокзале узнаёт, что место уже занято другим пассажиром. Подобным занимаются магазины-однодневки; часто они предлагают товар в рамках короткой акции по цене значительно ниже обычной, а желающие сэкономить торопятся оплатить. Чтобы избежать подобной ловушки, стоит приобретать товары (особенно дорогие) в проверенных интернет-магазинах с как минимум годовой историей.

Еще одной, более мелкой разновидностью этого метода является обман на сайтах частных объявлений. Покупатель оплачивает желаемую вещь и не получает ее. Избежать такой угрозы труднее, потому что даже среди недавно созданных учетных записей большинство составляют добросовестные пользователи, которые действительно хотят продать что-то. Здесь идеальным вариантом будет личная встреча.

Человеку предлагают поучаствовать в переводе крупных сумм, обещая внушительный процент от них, но сперва просят выслать немного денег для уплаты налогов и прочих сборов. Несмотря на очевидную нелепость ситуации (кто же станет переводить миллионные суммы через счета незнакомого человека?), всегда найдется наивный или неопытный пользователь, который отправит свои деньги в надежде на будущий куш.

На телефон, банковскую карту либо электронный кошелек приходит неожиданный платеж. Спустя короткое время звонит отправитель и слезно упрашивает вернуть деньги, которые прислал по ошибке. Проявив честность, человек вскоре обнаруживает, что с его счета исчезла двойная сумма, потому как большинство банков и операторов при определенных условиях позволяет возвращать ошибочные платежи. Чтобы избежать этого, все операции по возврату следует проводить лишь через офис банка. В других случаях мошенник вообще не переводит никаких денег, а просто подделывает SMS-уведомления о пополнении счета. Здесь злоумышленник рассчитывает на то, что жертва не сообразит предварительно проверить баланс.

Вы выиграли миллион в лотерею, заграничную поездку, автомобиль, а то и все сразу. Такие электронные письма либо SMS-сообщения каждый день приходят миллионам людей, но чтобы воспользоваться внезапным счастьем, нужно оплатить небольшую пошлину, налог или сбор. Не торопитесь его платить — на самом деле вы ничего не выиграли.

Вам предлагают за скромную сумму узнать секретную методику заработка огромных денег (чаще всего речь идет о способах обмана онлайн-казино либо игре на Forex). Иногда мошенники предлагают тестовый период или игру за чужой счет, и в это время человек действительно выигрывает. Но стоит начать игру за свои деньги, и баланс очень быстро иссякает. Поверьте: человек, знающий, как заработать миллион, не станет продавать этот способ за сотню долларов.

В соцсетях или на тематических сайтах парень знакомится с очаровательной девушкой, они с интересом общаются, виртуально влюбляются, и хочется чего-то большего. Однако красавица живет в другом городе, а то и вообще за границей. Она готова приехать, но просит денег на билет. Несколько тысяч кажутся небольшой платой за будущее счастье, однако после перевода у девушки возникают различные проблемы («заболела мама»), поездка откладывается, общение постепенно сходит на нет. И денег она, разумеется, не возвращает.

Когда же пользователь не настолько доверчив, применяется другой способ снять деньги с чужого кошелька — получить к нему прямой доступ. Здесь мошенники тоже придумали немало вариантов.

Это — веб-страницы, максимально полно копирующие сайт банка или другой финансовой организации. Желая совершить покупку или перевод, пользователь вводит номер счета и пароль, а дальше, зная их, злоумышленники беспрепятственно пользуются его деньгами. Чаще всего на такие лжесайты попадают по ссылкам, но нередки и случаи заражения компьютеров программами, перенаправляющими пользователя по нужному адресу. Чтобы избежать этого, необходимо проверять адреса соответствующих страниц — ошибка лишь в одну букву означает, что вы на сайте-мошеннике. Еще лучше — вводить нужные адреса самостоятельно, не полагаясь на поисковые системы.

Вам поступает письмо, SMS-сообщение или даже телефонный звонок, и человек, представившийся сотрудником банка, сообщает, что ваша карта заблокирована, и ему требуются номер и верификационный код. Напуганный человек сообщает нужные данные, и после этого у него действительно будут проблемы. Следует помнить, что банковские сотрудники никогда не спрашивают клиентов о данных их карт, всю необходимую информацию они и так знают. Подобные просьбы могут исходить лишь от мошенников.

Другая разновидность этой схемы — в письме о блокировке карты есть ссылка, по которой необходимо пройти для разблокировки. Однако ведет она на фишинговый сайт (см. выше).

Желая избавиться от ненужной вещи, но получить за нее какие-то деньги, человек предлагает ее на каком-либо сайте. Вскоре находится покупатель, он готов заплатить, а для перевода денег просит сообщить номер карты, срок действия и верификационный код на обратной стороне. Последние два пункта сообщать ни в коем случае нельзя. Для перевода денег достаточно только номера, а вот знание остальной информации позволит мошеннику пользоваться счетом в операциях без присутствия карты — в частности, оплачивать с нее свои интернет-покупки. Двухфакторная аутентификация банков (одноразовые пароли) спасают не всегда, потому что ряд сервисов онлайн-коммерции списывает деньги без подтверждений.

Знакомство с солдатом

Широко распространены мошеннические схемы, при которых предлагаются знакомства с солдатами или другими военными людьми; при этом, распознать такое мошенничество довольно сложно. Мошенники могут опираться на пример реально существующего человека и использовать его имя, или создать полностью фиктивный профиль. Они рассылают письма, которые внешне не вызывают сомнений, в которых рассказывают, что скоро выходят на пенсию; обычно у них «есть взрослые дети», также типично, что они «потеряли жену при трагических обстоятельствах». Сообщения насыщены военным жаргоном, воинскими званиями, названиями военных баз – все это производит впечатление и вполне может завлечь жертву. Однако, до того, как происходит личное знакомство, солдату «приходит приказ на передислокацию». После этого начинаются просьбы переслать деньги, чтобы оплатить интернет, купить билеты домой, оплатить лечение или пенсионное обеспечение. Во многих случаях мошенник работает с соучастниками, которые выступают в роли докторов и юристов – таким образом мошенники стараются обеспечить постоянный приток денег от «клиента». Зачастую такое «военное» мошенничество продолжается месяцы или даже годы, и только затем жертва начинает что-то подозревать.

А если вдруг?

По словам Лилии Федулиной, вернуть деньги, потерянные клиентом из-за покупки, совершенной в фейковом интернет-магазине, не получится. «Как только перевод совершен, деньги клиента оказываются у мошенников», — поясняет эксперт.

Однако по словам директора компании «Интеллектуальный резерв» Павла Мясоедова, в случае, если действовать «быстро, очень быстро», шансы спасти свои кровные все-таки есть.

«Большинство банков позволяют сделать отмену перевода через онлайн-банк (финансовые организации не сразу проводят операции, есть несколько секунд для отмены). Провести такую операцию с мобильного приложения сложнее, ее поддерживает не каждое ПО», — поясняет Мясоедов.

В таком случае нужно срочно писать или звонить в службу техподдержки. Причем второй вариант предпочтительнее, поясняет директор «Интеллектуального резерва»: письмо будут рассматривать очень долго, и время будет упущено (а ведь мы рассчитываем на то, что деньги пока не попали в руки мошенников).

«Желательно параллельно звонку отправиться в любой офис и написать заявление на возврат средств, рассказав о мошенниках», — добавляет Павел Мясоедов.

Ведь чем больше информации получат службы безопасности, тем быстрее они смогут закрыть очередную уязвимость и защитить деньги своих клиентов. Тем не менее, не стоит забывать, что спасение денег покупающих — дело рук самих покупающих. И быть внимательнее и осторожнее, несмотря на всю заманчивость интернет-рекламы.

Одним из источников угрозы являются принадлежащие кибермошенникам сайты для покупки билетов или товаров. В самом простом случае пользователю советуют приобрести товар по очень выгодной цене, которая может отличаться от предложений других магазинов в несколько раз, а далее предлагают внести предоплату. Разумеется, после перевода денег потерпевший никаких товаров не получит.

Используя фишинговые сообщения, злоумышленники планируют получить персональные данные пользователей и их пароли. Как правило, внешне такие рассылки похожи на письма, получаемые от платежных систем, банков, социальных сетей. В тексте просят, например, подтвердить свои персональные данные, нажав на кнопку или перейдя по ссылке. Веб-страница, которая откроется в результате этого действия, также будет похожа на официальный сайт организации, а доменное имя может отличаться всего на несколько букв. После ввода данных пользователь отправит их злоумышленникам и в лучшем случае может лишиться аккаунта в социальных сетях, а в худшем — остаться без средств на счетах электронных кошельков.

Иногда люди полагают, что компрометация аккаунта в социальных сетях не представляет опасности, потому что там нет никаких конфиденциальных данных. По этому поводу нужно заметить, что для злоумышленника ценны список друзей и возможность рассылать по нему сообщения от имени пользователя. Еще в эпоху электронной почты было известно, что письмо от знакомого человека вызывает гораздо больше доверия, так что даже подробно описанные в интернете мошеннические схемы в таком случае все равно принесут результат.

Не гоняться за дешевизной

Так ПСБ, в котором, правда, роста мошенничества при операциях в интернете с использованием банковских карт не зафиксировали, регулярно оповещает клиентов о возникающих рисках. «Вероятно, благодаря этому всплеска подобного вида мошенничества в отношении наших клиентов мы не фиксируем», — поясняет директор службы информационной безопасности банка Дмитрий Миклухо.

В первую очередь, специалисты ПСБ советуют клиентам «не гоняться за дешевизной», а делать покупки в известных интернет-магазинах (на сайтах сетевых ретейлеров). Еще один важный момент: не надо переходить в интернет-магазины по всплывающим рекламным ссылкам. Лучше набирать адрес непосредственно в адресной строке браузера. Кроме того, при оплате важно обращать внимание, что соединение должно быть защищенным (изображение замка перед адресом в браузере).

Кирилл Лавров: Почему мы до сих пор верим мошенникам и как избежать обмана в интернете

Не технологии, а психология

Большинство распространенных схем обмана онлайн основаны не на сложных технических уловках мошенников, а на доверчивости пользователей. Последние самостоятельно и добровольно передают злоумышленникам нужные для совершения кражи личные данные, переводят предоплату, в спешке отказываются от проверки приобретенного товара на соответствие описанию. В этом смысле мошенникам в большей степени помогает знание человеческой психологии, чем технические навыки. В системе кибербезопасности самое слабое звено — человек.

Считать, что обмануть удается только пожилых, технически неподкованных людей — большая ошибка. При помощи элементарных схем мошенникам с равным успехом удается обводить вокруг пальца и миллениалов, и бумеров, и богатых, и бедных.

По данным Федеральной торговой комиссии США, в последние годы пользователи в возрасте от 20 до 30 лет расставались со своими деньгами в пользу мошенников даже чаще, чем люди старше 40 лет. Центральный банк России назвал одним из пяти основных типов жертв финансовых мошенничеств «индивидуалистов» — благополучных в финансовом плане людей, которые легко тратят деньги на себя и излишне доверяют новым технологиям.

Парадоксальная ситуация: взрослые учат своих детей не доверять незнакомцам и не идти за ними куда-либо, но сами по сути делают именно это. Например, переходят по неизвестным ссылкам от мошенников и оставляют там свои личные данные. Или диктуют незнакомцам коды из СМС-сообщений от банка. Именно в этих сообщениях пишут: «Никому не сообщайте код», — но люди все равно его сообщают.

Почему мы готовы так легко довериться незнакомцам? Потому что они умеют находить подход к каждому и знают, на что нас поймать. И еще потому что мы привыкли доверять технологиям и полагаем, что если платим кому-то деньги, то ничего плохого не произойдет.

Социальная инженерия

Многие помнят популярную схему с электронными письмами от вымышленного «нигерийского принца», который просил пользователей перевести ему немного денег, чтобы он смог оплатить налоги и вступить в наследство. «Принц» обещал вернуть все вложения и добавить к сумме вознаграждение за помощь. Сейчас эта схема кажется нелепой, но долгое время она была вполне эффективной. Залогом успеха была массовая обезличенная рассылка: одинаковые письма попадали в ящики тысяч адресатов, и если десятки или сотни из них помогали «принцу», мошенники уже получали куш.

Это — пример социальной инженерии. Под этим термином понимают комплекс действий, нацеленных на то, чтобы выманить у пользователя личные данные или вынудить его сделать что-то еще, чего он делать не собирается. Методы социальной инженерии прогрессируют и становятся все более персонализированными и изощренными. Сегодня вы уже вряд ли получите письмо от «нигерийского принца», но есть много других способов вас зацепить.

Например, если человек решил продать на популярном сайте объявлений детский велосипед, «потенциальный покупатель» напишет ему поздно вечером, когда хочется провести время с семьей, или в разгар рабочего дня, когда дедлайны следуют один за другим. «Покупатель» будет торопить со сделкой, объясняя это тем, что велосипед ему зачем-то очень срочно нужен именно сейчас, и убедит продавца перейти по ссылке на поддельную страницу оформления заказа, созданную только для того, чтобы собирать платежные данные. Эта страница будет выглядеть совсем как настоящая. И на аватарке лже-покупателя для достоверности образа вполне может стоять фотография с ребенком. Это и есть современная социальная инженерия в действии.

Распространенные схемы мошенничества

Подмена страницы платежа (фишинг)

Вы хотите что-то купить или продать на известном сайте. Другой пользователь, с которым вы ведете диалог (ваш потенциальный покупатель или продавец), присылает ссылку, якобы ведущую на страницу оформления заказа. Он может утверждать, что на самом сайте, на котором вы с ним друг друга нашли, не работают кнопки оформления заказа, доставки или оплаты. Это всегда ложь, и ее цель — увести вас с настоящего сайта на поддельную версию и выманить ваши платежные данные.

Ни в коем случае не переходите по ссылке и тем более не вводите там свои данные, даже если ее адрес похож на оригинальный.

Если вы приобретаете или продаете что-то на «Авито», то и ссылка может быть только на сайт Авито — www.avito.ru. Если адрес похож, но не тот (например, avitopayments.ru, avito-dostavka.ru, avitto.ru) — это мошенничество. Поддельный сайт может копировать интерфейс «Авито», на нем даже может быть кнопка для связи с техподдержкой.

Вводить свои платежные данные можно только на оригинальном сайте или в приложении, где вы что-то покупаете или продаете — через встроенную форму оплаты. Это же правило касается оформления доставки или любых других дополнительных услуг. И никакой оплаты по ссылкам от продавца или покупателя.

Выманивание платежных данных

Вы покупаете или продаете что-то на сайте объявлений. Для совершения сделки другой пользователь просит вас продиктовать ему или прислать CVV/CVC-код вашей банковской карты или же код из СМС-сообщения от банка. Объяснять, почему эти данные ему необходимы, мошенник может самыми разными причинами. Например, он может сказать, что согласно правилам безопасности банка это необходимо для верификации вашей карты, или убеждать, что без этих данных невозможно оформить доставку.

Давать такие данные кому-либо ни в коем случае нельзя. Нет ни одной причины когда-либо это делать: эти данные не нужны ни покупателям, ни продавцам на сайтах объявлений, ни кому-либо еще. Их не могут запрашивать даже сотрудники вашего банка. Единственное, для чего они могут использоваться, — получение доступа к вашему онлайн-банку.

Если у вас просят такие данные, немедленно прекратите общение с тем, кто это делает. И если эта ситуация возникла, когда вы пытались что-то продать или купить в интернете, обратитесь в службу поддержки сайта — сотрудники заблокируют пользователя, который пытается совершить мошеннические действия, и так вы обезопасите других.

Требование предоплаты

На продажу выставляется востребованный товар — он может быть редким или по заманчивой цене. Когда покупатель проявляет интерес, продавец начинает торопить с решением, намекает, что желающих приобрести товар много, и просит перевести полную или частичную предоплату. Получив деньги, мошенник пропадает из поля зрения и добавляет покупателя в черный список.

Обезопасить себя просто: передавайте деньги лично при получении товара или пользуйтесь встроенной функцией безопасной сделки с постоплатой, которая есть на многих популярных сайтах объявлений. Сервис «безопасная сделка» позволяет заморозить на карте покупателя сумму, равную цене товара. Продавец получит деньги только после того, как покупатель подтвердит в системе, что он получил товар и убедился, что с ним все в порядке. Если при доставке в пункте выдачи оказывается, что с товаром что-то не так, от покупки можно отказаться. В этом случае деньги возвращаются покупателю.

Фото: Morning Brew/Unsplash

Как распознать и не попасться

Поскольку схемы обмана, которые применяют онлайн-мошенники, на самом деле достаточно элементарны и основаны на доверии, обезопасить себя тоже просто. Достаточно неукоснительно соблюдать несколько правил:

• Никогда никому не передавать персональные платежные данные (CVV/CVC-код банковской карты или коды из СМС-сообщений от банка). Настаивать на личной передаче или на «безопасной сделке».
• Не переходить по ссылкам, которые присылают другие пользователи, и ни в коем случае не вводить свои данные на таких сайтах, даже если они как две капли похожи на сайт, где вы что-то продаете или покупаете. Будьте внимательны: адрес в ссылке всегда будет отличаться от адреса сайта.
• Никогда не вносить предоплату за товар — ни полную, ни частичную. И здесь настаивать на личной встрече или «безопасной сделке».
• Если на сайте или в приложении онлайн-магазина, которым вы пользуетесь для продажи или покупки онлайн, есть встроенный мессенджер, нужно вести все общение с другими пользователями внутри этого мессенджера, а не по телефону или WhatsApp. Службы безопасности популярных сайтов контролируют только то, что происходит на их платформах. Если вы уходите куда-то еще, сотрудники не смогут отследить действия мошенников и предупредить вас.

Клоны для клоунов

Как же себя защитить? Эксперты призывают соблюдать “цифровую гигиену”. Директор департамента информационной безопасности компании Oberon Андрей Головин предлагает читателям “РГ” придерживаться нескольких простых правил.

Например, перед входом в аккаунт нужно обращать внимание на наименование сайта в адресной строке. Злоумышленники часто создают сайты-клоны, которые могут отличаться от адреса оригинала всего одним символом. Введя логин и пароль на таком сайте, пользователь автоматически передает в руки мошенников свои личные данные.

Особо продвинутые могут перехватить ваши данные, пока вы пользуетесь бесплатным WI-FI. “Используйте мобильный интернет. Сегодня он стоит недорого, а скорости вполне хватит и для онлайн-покупок, и для просмотра фильма”, – говорит Головин. Не советует он и открывать подозрительные письма, переходить по незнакомым ссылкам – этого достаточно для утечки данных или загрузки вредоносных программ. Еще один важный момент – пароль. “Некоторые пользователи указывают дату рождения, имена, клички животных, – объясняет Головин. – Я рекомендую придумать порядка 12 паролей и менять их раз в месяц. Пароль должен состоять минимум из 8-9 символов и нелогичной комбинации цифр и букв, чередующихся в случайном порядке”.

В начале романтических отношений чувства и эмоции обычно развиваются в течении нескольких недель после знакомства. Мошенники часто пытаются ускорить этот процесс – это делается не только за счет большого количества комплиментов, но и делясь подробностями своей личной жизни, которые они «никогда никому не рассказывали». Также типично, что уже после нескольких писем или чатов они начинают просить переслать им немного денег на разного рода «неотложные» нужды – например, они могут оказаться без денег в чужой стране, у них может заболеть близкий родственник, или их ограбили, так что они просят вас срочно переслать им денег. Если у вас просят денег – сразу же прекращайте все контакты.

Онлайн-мошенники часто ищут уязвимых пользователей, которым одиноко в Сети и недостает дружеского внимания. Да, вы можете искать свою любовь в Сети, но при этом сохраняйте трезвость мышления. Зная о типичных видах мошенничества при онлайн-знакомствах, вы сможете избежать мошенников, и тогда у вас будет больше шансов найти свою настоящую любовь.