Афера в один клик
25 февр. 2016
То, что происходит в наши дни, — еще не нашествие варваров; это нашествие шарлатанов.
Эдмон Гонкур
Бессмертный персонаж Ильфа и Петрова, сын турецкоподанного Остап Бендер знал 400 «относительно честных» способов отъема денег у населения. Живи он в наш компьютерный век, его арсенал был бы существенно шире. Наверное, еще плюс 400. При этом, ему не нужно было бы изматывать себя рискованными погонями «в реале» за обладателями дензнаков. Ноутбук, мобильный телефон, скоростной интернет. И все. И проворачивай «относительно честные» варианты, не выходя из дома.
Кибератаки
Мировой ущерб от киберпреступлений уже достиг отметки $100 млрд в год. Цена «Жизни без нала» в России по итогам 2013 года – 11 тысяч зарегистрированных правонарушений против граждан в сфере финансовых информационных технологий. Это число – всего лишь официальная статистика, основывающаяся на обращениях россиян в правоохранительные органы. По мнению экспертов, реальная картина хуже, как минимум, раз в пять.
Вот лишь два недавних примера.
- Первый - из РФ. В декабре прошлого года прошла информация, что в Нижнем Новгороде жертвами вирусной СМС-рассылки на смартфоны, приведшей к несанкционированному съему денег с банковских счетов, стали 50 горожан.
- Второй - из Китая. Тут размах побольше. Уже совсем недавно, в первых числах февраля 2016 года, мировые агентства представили новость о ликвидации крупнейшей финансовой пирамиды в онлайн-кредитовании с красивым и загадочным восточным названии Ezubao. Жертвами Ezubao стали 1 млн доверчивых китайцев. Денежные потери - $7,6 млрд. И это, всего-то, за полтора года работы схемы.
Особенно потрясла обывателя телекартинка из КНР, в которой два экскаватора (!) отрывали зарытые (спрятанные) бухгалтерские книги славного Ezubao. Сегодня в Китае работает, внимание (!), свыше 2500 платформ по предоставлению займов между физическими лицами. Оборот предоставленных кредитов – почти 70 млрд долларов.
Виды/признаки афер в онлайн-финансах
В течение самых последних лет сформировался устойчивый набор афер в финансовой онлайн-сфере против физических лиц. Итак, как узнать аферистов...
1. Применение фишинговых сайтов/страниц финучреждений (сайтов подделок или «обманок»).
Довольно безобидное и даже позитивное английское слово «Фишинг» (phishing, от fishing — рыбная ловля, выуживание) стало определением одного из магистральных направлений современного интернет-мошенничества. Главная цель фишинга / фишингового сайта – выманивание (выуживание) учетных данных потребителя финансовой онлайн-услуги. Номера мобильного телефона, логинов, паролей, разовых паролей, PIN и CVV кодов банковских карт.
Это организуется путем переадресовки на поддельную/фальшивую веб-страницу банка или иной финорганизации, внешне почти не отличимую от подлинной, с настойчивыми запросами на дополнительную авторизацию и детализацию личной конфиденциальной информации посетителя. Переадресация происходит в результате заражения компьютера/планшета/смартфона вредоносным ПО (вирусом). Окончательная цель фишинг-мошенников – получение доступа к карточным и текущим счетам жертвы.
Фишинг один из методов «социальной инженерии» - управлении поведением человека психологическими методами. Сейчас этот термин применяют, преимущественно, для описания преступного воздействия на пользователя интернета, с целью получения от него важной личной информации.
Фишинговый ресурс может имитировать любую веб-страницу банка – раздел официального сайта, маркетинговый опрос или закладку с требованием о проведении «усиленной авторизации». Здесь изобретательность и креативность современных «Бендеров» воистину безгранична. Их бы энергию, да в «мирных целях».
Главное, что должно насторожить и, что может быть верным признаком того, что вы на территории фишинга – излишние вопросы и запросы по сравнению со стандартными прежними сеансами. Если от вас требуют пароль для аннулирования/отмены операции – это четкий признак мошенничества. Если просят ввести номер мобильного, паспортные данные при идентификации – тоже скорей всего афера. Сразу прекращайте онлайн-сеанс и немедленно обращайтесь в финорганизацию. Банк не должен интересоваться ничем, кроме логина/идентификатора и пароля / разового пароля для входа в личный кабинет или выполнения очередной операции.
Еще одна черта фишингового сайта - плохо открываются или не открываются совсем другие разделы сайта, «далекие» от того, куда вас «закинул» фишинг.
Фишинговые модели можно проиллюстрировать на примере подделок веб-страниц Сбербанка.
1. Запрос номера мобильного:
2. Пароли для отмены операций:
2. Адрес рабочего сайта может незначительно отличаться от реального.
Классическая фишинговая «обманка». Служба безопасности Сбербанка приводит следующий пример фальшивого адреса:
3. Телефоны на странице банка не совпадают с официальными.
Еще одна возможность отличить подделку от истинного сайта. Банк должен давать строгий набор официальных контактных телефонов для пользователей онлайн-услуг. Любое отклонение – повод для подозрения и звонка в банк по уже известным «старым» номерам.
Еще одна картинка от Сбербанка:
4. «Сомнительные» приложения банка для социальных сетей и интернет-магазинов.
Ряд банков организовали онлайн-сервисы с использованием аккаунтов в соцсетях (СС): Facebook, ВКонтакте, Одноклассники. Например группа «Сбербанк: банк друзей». Имея учетную запись в одной из популярных СС, клиент банка может пополнять баланс мобильного телефона, переводить деньги с карты на карту данного банка. Своего рода, упрощенный вариант интернет-банкинга. Злоумышленники могут «подставить» фишинг такого приложения и завладеть вашими логином и паролем.
Та же проблема может возникнуть и при использовании приложений банка для совершения покупок в крупнейших онлайн-магазинах, например, App Store.
Фишинг в СС и интернет-торговле проявляется также, как и на псевдо-банковском сайте – настойчивые требования ввода дополнительной, превышающей стандартный набор, информации – номер мобильного, данные паспорта и пластиковой карты.
5. «Сайт банка не работает» или нет возможности узнать баланс счета по телефону.
Блокировка услуг вполне может быть знаком атаки на ваши счета. Пока вы будете разбираться в ситуации, деньги будут списаны.
6. SMS или E-mail сообщения с одноразовым паролем по операции, которую вы не инициировали.
Рассылки мошеннических СМС на телефон или по электронной почте на ПК – один из самых старых и самых «любимых» способов «киберразвода». В этой статье о нем будет упомянуто неоднократно. В данном фрагменте речь пойдет о сообщениях с разовым паролем о транзакции, которую вы «не заказывали». То есть, если вам приходит СМС-ка с паролем на подтверждение какого-либо непонятного для вас действия (чаще всего, на списание средств) – это афера.
Всегда внимательно читайте сообщения от банка, даже если вы его ожидаете для проведения конкретной операции. Стиль, подача, номер банковского телефона – все имеет значение. Сомневаетесь хоть чуть-чуть – приостановите сеанс и позвоните в колл-центр.
7. Незащищенное соединение.
Отсутствие защищенного соединения там, где раньше оно было (или должно было быть) обязательно должно вас насторожить.
Главный признак защищенного,т.н. SSL-протокола/соединения – адресная строка в браузере должна начинаться с «https://», например, https://online.sberbank.ru. В подделках могут использовать, допустим просто http.
Кроме того, дополнительным атрибутом защищенности интернет-трафика могут быть специальные активные иконки браузера, а также предупреждения антивирусной программы о ненадежности данного узла:
8. Требование дополнительных полномочий новыми программами/приложениями при их установке.
Работа любого пользователя персонального компьютера/ планшета / смартфона связана с установкой нового ПО. Будьте внимательны к его «пожеланиям» по полномочиям. Если они излишни, это должно вас насторожить. Например, доступ к СМС-рассылке.
9. Подозрительные СМС-сообщения по банковским картам.
Еще о рассылках. Теперь, по операциям с «пластикам». Как всегда – требуется повышенное внимание. Сбербанк и большинство других финучреждений обратятся к вам адресно, укажут последние цифры пластика и пришлют сообщения строго с одного и того же (одних и тех же) телефона/телефонов. Если вы заметите расхождения с тем, что получали раньше – сосредоточьтесь и уточните информацию в финорганизации.
Обычно в тексте «нехорошего» сообщения упоминается о переводе средств, блокировке карты или еще о чем-то очень важном для ее владельца. Цель мошенников – авторов «подставных» СМС заставить адресата позвонить на их номер. Если вы сделаете такой звонок – в действие вступят «социальные инженеры» и разыграют перед вами целый телефонный спектакль. Вам будут заданы хитроумные вопросы для прояснения ситуации и продолжения знакомства. Как правило, такие «наезды» - это СМС или звонки наугад и здесь нет никакого умного хакерства. Расчет прост. Если у вас есть мобильный, то наверное есть и карта, на которой, очевидно, есть и деньги до которых им нужно добраться.
Итогом «мобильной» пьесы должен быть ваш подход к банкомату или ноутбуку и побуждение к переводу своих денег на чужие счета. И так бывает, к сожалению. Человек слаб перед изощренным мошенником-психологом. Лучше не рисковать и не искушать судьбу.
10. Подозрительные письма по электронной почте.
Теперь о E-mail. Здесь тоже хватает «безобразников». Главная цель мошеннических электронных писем – заставить быстро, без раздумий (это обязательно) сделать какие-либо действия, которые приведут к открытию важных личных данных, а в конце концов – к потере денег с вашего текущего/карточного счета.
Вам могут предложить перейти по предложенным ссылкам на сайты с вредоносным ПО или открыть вложения, содержащие вирусы. Войти в личный кабинет по пути, предложенному в письме. Еще вариант – перейти на форму, требующую внесения номера мобильного, карты, кодов. Адреса ссылок замаскированы под официальные веб-адреса банка, в тексте письма могут быть орфографические ошибки. Мошенникам часто некогда тщательно проверять написанное, а может быть в школе плохо учились…
Вас будут привлекать выигрышами, призами, скидками, акциями, бонусами и прочими материальными ловушками. Или наоборот, прислать грозные послания об увеличении задолженности.
Еще парочка примеров от Сбербанка.
1. "Левый" адрес отправителя и "очень важное" вложение:
2. Предложение от мошенников заполнить форму:
11. Подозрительные телефонные звонки.
В одном ряду с сомнительными интернет-страницами, СМС-ками и электронными письмами стоят и опасные звонки по телефону. Мишень уже «телефонных» мошенников все та же – информация о персональных финансах собеседника. Вас должны насторожить звонки, якобы из банка, с вопросами о паролях, логинах, кодах, ключах. Банки никогда не спрашивают это по телефону, по крайней мере, по своей инициативе. А пароли и коды узнавать не имеет право никто и никогда. Если он конечно, не мошенник.
Обращайте внимание на номер телефона звонящего. Если он вам не известен, не занесен в список контактов, не фигурирует на сайте – это сигнал тревоги.
12. Ненадежные платежные сервисы.
Если вы отваживаетесь воспользоваться онлайн-услугами не только банков но и платежных сервисов – обменников, центров кредитования и пр. тревогу может вызывать следующее:
- требование предоплаты по разным поводам – страховка, вступительный взнос и т.д.;
- минимум контактов для обратной связи – нет адреса, телефонов;
- использование подозрительных мобильных приложений действующих банков (см. п. 4 раздела).
Азы онлайн-финансовой грамотности. Как попытаться не стать жертвой кибермошенников
Можно ли уберечься от онлайн-проходимцев? На 100%, к сожалению, нет. Но применяя простые и доступные всем методы, можно существенно снизить риск стать кибержертвой.
Итак, что можно предпринять?
1. Рекомендации общего характера.
1.1. Внимательно изучите правила безопасности при работе с интернет-банкингом, мобильным (СМС) - банкингом, банковскими картами, мобильными приложениями, терминалами самообслуживания (банкоматами), а также подобные инструкции для электронных платежных систем (ЭПС) / электронных кошельков, если вы ими также пользуетесь. Они расположены в соответствующих разделах веб-ресурсов финучреждений/ЭПС. Не найдете самостоятельно – задайте вопрос персоналу.
Примеры:
- памятка по безопасности в дистанционном обслуживании от Сбербанка;
- конфиденциальность и безопасность в WebMoney.
1.2. Занесите в список контактов всех ваших мобильных телефонов / смартфонов номера колл-центра банка. Подключите опцию быстрого набора. Продублируйте их на отдельном листочке, который всегда должен быть с вами – в портмоне, кошельке, сумочке, барсетке. Дополнительно, имейте под рукой номера телефонов конкретного сотрудника (сотрудников) ближайшего отделения, которые знают и ведут вас, как клиента. Это необходимо на тот случай, если колл-центр начнет «гонять вас по кругу» с бесконечным количеством переадресаций под ритмичную музыку. А блокировать карту надо немедленно – на счету каждая секунда.
1.3. Банальный и «старый, как мир» совет – никому, никому не сообщать личную финансовую информацию конфиденциального характера: пароли (разовые пароли), коды подтверждения операций, ключи, PIN и CVV коды для «пластика». Сюда можно отнести и сравнительно открытые сведения: логины, номера карт и сроки их действия, номера мобильных телефонов и паспортные данные. Отдельно взятые они могут и не представлять интереса для мошенников (правда, и здесь могут быть варианты), но с привязкой к паролям и кодам – это важнейший сегмент персональной информации.
1.4. Еще одна рекомендация «с бородой» - хороший антивирус. Причем не только для персонального компьютера или планшета, но и для смартфона. Это – обязательное условие корректной работы девайса, к которому подключена финансовая онлайн-услуга. Не выбирайте бесплатные или очень дешевые варианты. Но лучше бесплатный антивирус, чем никакой. Постоянно обновляйте его модули и проводите локальные и комплексные антивирусные проверки. Помните, что абсолютной невосприимчивостью к вредоносному программному обеспечению обладают только обычные мобилки-звонилки или телефонные аппараты фиксированной связи. Но к ним интернет и мобильный банкинг никак не прицепишь.
Дополнительное напоминание от IT-специалистов – использовать лицензионную операционную систему на компьютерах и прочих гаджетах и не игнорировать ее обновления, периодически рассылаемые разработчиками.
1.5. Используйте возможности онлайн-банкинга, позволяющие повысить уровень безопасности. Сюда можно отнести – выставление лимитов на операции, получение информации по СМС о входе в личный кабинет/аккаунт, настройка видимости счетов и пластиковых карт и т.д. Такие опции, как правило, дает меню финансовой онлайн-услуги. Например, Сбербанк позволяет даже мониторить время последнего визита в ваш личный кабинети IP-адрес с которого он сделан.
Поинтересуйтесь подробностями у банковских специалистов при установке программы.
1.6. Ознакомьтесь с информацией, которая выдается на чеке из банкомата. Если там фигурируют пароли, разовые пароли и другие критичные данные – обеспечьте их надлежащее хранение и последующее уничтожение.
1.7. Каждую сессию в личном кабинете / мобильном аккаунте заканчивайте с помощью кнопки/поля «Выход».
2. Меры предосторожности при работе в интернет-банкинге на персональном компьютере.2.1. Будьте внимательны к внешней оболочке банковского сайта перед входом в личный кабинет. Если вас что-то насторожит: измененные номера контактных телефонов банка или адрес в строке браузера, отсутствие защищенного соединения, «тугое» открытие ряда страниц – это может быть признаком фишингового ресурса (см. выше). Игра «найди 10 отличий» может занять всего несколько минут, но избавит от многих неприятных часов и дней в ближайшем будущем.
2.2. Информация, требуемая от вас, при входе на личный аккаунт (после первичной идентификации при установке сервиса) носит единообразный характер и сводится всего к двум позициям – логин/идентификатор и пароль / разовый пароль. Если от вас требуют что-то еще: номер мобильного, данные паспорта и пр. – повод для тревоги.
2.3. Проявите бдительность, если система запросит пароль для отмены или аннулирования операции. Обычно, банки так не поступают. В частности, Сберегательный банк РФ этого не делает никогда. Это приемы мошенников.
2.4. Ориентируйтесь только на официальные, проверенные мобильные приложения банков для крупнейших представителей интернет-торговли, таких, как App Store, Wind. Store и пр. В любом случае, старайтесь платить в сети только на проверенных, ранее использованных ресурсах. Если сайт новый – постарайтесь узнать рекомендации о нем.
2.5. Будьте аккуратны при работе с мобильными приложениями банка в соцсетях (если таковые имеются). Здесь тоже – важно не попасть мимо официальных страниц финучреждения.
Если вы планируете часто выходить в онлайн-банкинг через аккаунт в соцсети – ограничьте в своем профиле отображение персональных данных, прежде всего номер мобильного.
2.6. Внимательно читайте СМС от банка с разовыми паролями / кодами подтверждения операций. Вводите их только тогда, когда транзакция инициирована вами.
2.7. Всегда проверяйте наличие защищенного соединения/протокола при использовании интернет-банкинга. Его признаки: начало веб-адреса в строке браузера в виде «https://» и иконка в верхней части его панели (см. п.7 предыдущего раздела).
2.8. Поставьте пароль на вход в ПК.
2.9. В обязательном порядке подключите СМС-информирование о движениях и остатках по вашим текущим и карточным счетам.
3. Меры предосторожности для мобильного (СМС) – банкинга, а также при обработке СМС и E-mail информации финансового характера.
3.1. При чтении электронных и СМС сообщений, обращайте внимание на форму подачи, реквизиты, номера телефонов и почтовые адреса отправителей. Все должно быть стандартно, единообразно и повторять структуру предыдущих посланий. Небольшие расхождения – повод задуматься и позвонить в банк.
3.2. Не ходите по незнакомым ссылкам, не открывайте подозрительные вложения и не звоните по новым, не зафиксированными вами ранее, номерам телефонов.
3.3. Заранее сообщайте сотрудникам банка о смене номера сотового.
3.4. При утере мобильного телефона / смартфона или SIM-карты, а также при ее повреждении, сразу извещайте о таких фактах банку и оператору сотовой связи для блокировки симки и приостановки действия «Мобильного (СМС) банкинга».
3.5. Не устанавливайте на мобильный, на который банк отправляет разовые пароли / коды подтверждения, приложения от неизвестных источников.
3.6. Обратите внимание – банк обычно не рассылает по СМС или электронной почте указания или ссылки на установку каких-либо программ (модулей).
3.7. Не используйте на смартфоне или планшете полнофункциональный вариант онлайн-банкинга для персонального компьютера. Для мобильных девайсов существуют свои версии данного продукта.
3.8. Не «взламывайте» (например, с помощью Jailbreaking) сотовый телефон, к которому подключен мобильный банкинг или на который приходят сообщения с разовыми паролями. Это повышает риск проникновения вирусного ПО на ваш гаджет в дальнейшем.
3.9. При установке на смартфон новых программ под Android, будьте внимательны к их требованиям. Если они касаются доступу к СМС-рассылке и явно не вяжутся с основным функционалом – лучше от них отказаться.
3.10. Не оставляйте свою трубку без присмотра, во избежание несанкционированного доступа. Поставьте пароль на вход смартфона, это возможно в современных моделях. Пользуйтесь антивирусом.
4. Меры предосторожности при пользовании банковскими картами.
4.1. Будьте осторожны с PIN-кодом. Не записывайте его на карте, храните отдельно от карты, никому не сообщайте и не никогда не вводите при работе в интернете.
4.2. Телефонные звонки, СМС-сообщения или электронные письма, в которых содержится просьба дать какую-либо информацию о вашем «пластике» должны вызвать у вас подозрение. После таких вопросов общение желательно прекратить.
4.3. Не прибегайте к помощи незнакомых лиц при проведении операций по карте в банкомате. Единственное лицо, которое может выступить вашим консультантом – сотрудник банка в отделении, где находится терминал или представитель банковского колл-центра по телефону.
4.4. Для расчетов в интернете заведите отдельную карту и поддерживайте на ней минимально требуемый остаток для конкретных покупок/оплат в сети.
4.5. Требуйте проведение операции по вашему пластику с использованием POS-терминалов только в вашем присутствии. Это касается оплаты товаров, услуг, расчетов в кафе, ресторане, отеле.
Действия в том случае, когда вы пострадали от кибераферы
Если все-таки такая неприятность случилась, в вашем распоряжении набор из трех шагов.
1. В случае несанкционированного снятия средств с текущих/карточных средств (об этом вам станет известно сразу, если вы заранее подключите услугу по СМС-информированию), кражи или утере карты – немедленно звоните в колл-центр банка и блокируйте карту или пытайтесь (если это возможно) заблокировать операции по вашему аккаунту в онлайн-банкинге. Если колл-центр занят и беда произошла в рабочее время – звоните сотрудникам того банковского отделения, где вы получали карту / услугу интернет-банкинга. Ваши деньги (хотя бы их часть) сможет спасти только ваша быстрота.
2. Если у вас украли (вы потеряли) телефон, СИМ-карту или симка повреждена, и к этому телефону подключена услуга мобильного банкинга, помимо звонка в банк надо сделать быстрый звонок оператору сотовой связи с просьбой заблокировать СИМ-карту. Также с ним немедленно необходимо связаться в том случае, если вы обнаружили неразрешенный перевод ваших средств на чужой номер, который обслуживается данным оператором.
3. И конечно, обращайтесь в правоохранительные органы. Подавайте заявление о факте кибермошенничества/кражи в подразделение полиции. В ее структуре действует управление «К» (в регионах – отделы «К»), «заточенные» под такие преступления. Трудно говорить об эффективности действий отечественных полицейских в этом направлении. Но, по крайней мере, вы будет знать, что сделали в сложившейся ситуации все, что могли.
К сожалению или к счастью, общество уже никогда не вернется к эпохе, когда в обращении были только наличные деньги. Эти времена ушли навсегда. Прогресс необратим. Как говорил, упомянутый в начале статьи Остап Ибрагимович: «Железный конь идет на смену крестьянской лошадке». Вот такой «железный конь» в виде пластиковых карт, онлайн-банкинга, банкоматов, покупок в интернете все шире входит в нашу жизнь, а вместе с ним и армия киберперступников, аферистов и шарлатанов.
Поэтому – изучайте, внешне очень скучный, свод правил по кибербезопасности. Приучайте себя к культуре аккуратного обращения не только с купюрами в кожаном кошельке, но и к электронным деньгам в кошельке онлайн.
Ведь будет очень обидно, если пренебрежение вами простыми и понятными правилами даст возможность мошеннику почистить ваши счета. Тогда уже скучно точно не будет.
Знаток темы
Владимир Наливайский
Отзывы и комментарии