Хочу поделиться с вами некоторыми знаниями, как сегодня мошенники врываются в жизнь простых людей и забирают их честно заработанные деньги. (описанные кейсы больше распространяются на украинский рынок)
Раньше мы боялись чтобы наши паспортные данные и идентификационный код (ИНН) не попали в чужие руки и на нас не взяли кредит. Но, сегодня эти данные не так уж необходимы чтобы забрать у вас деньги.
Практически все из нас пользуются мобильной связью и каким-нибудь банком. И конечно же вы обязательно используете приложение или личный онлайн кабинет. Авторизация в этот кабинет, чаще всего, осуществляется с помощью вашего мобильного номера, а это значит чтобы получить доступ к вашим деньгам мне нужно всего-лишь получить вашу SIM-карту.
У каждого оператора связи есть процедура восстановления номера (на случай если вы потеряли, повредили SIM-карту).
Для того чтобы сделать замену SIM-карты нужно пройти процедуру идентификации (т.е. я должен доказать, что этот номер мой, ответив на несколько вопросов).
Я перечислю некоторые из них:
- Ваше кодовое слово
- PUK вашего номера телефона
- Номера, на которые вы звонили за последнее время
- Сумма последнего пополнения
- Дата первого звонка
- Название вашего тарифного плана
Чаще всего, вся выше перечисленная информация есть в личном кабинете или приложении мобильного оператора.
Для авторизации будут использовать ваш номер телефона, т.е. в процессе регистрации или авторизации на ваш номер отправят SMS с кодом, который идентифицирует вас и впустит в приложение/кабинет.
Как этим пользуются мошенники?
Конечно же они как-то узнают, что у вас есть деньги, например:
- Вы опубликовали объявление, что ищете квартиру/машину (для покупки)
- Вы любым другим способом сообщили Миру, что у вас есть деньги
- Не исключено, что кто-то из сотрудников банка, которым вы пользуетесь, сливает информацию
Итак, мошенники знают ваш номер телефона и понимают, что вы при деньгах. Осталось дело за малым, скачать приложение вашего оператора мобильной связи или зайти в личный кабинет:
- Ввести ваш номер в поле для авторизации
- Позвонить вам и представиться сотрудником вашего оператора и конечно же сказать какую-то чушь, что оператор проводит работы связанные с сетью или что он сотрудник информационной безопасности (и т.д.) и ему очень нужно узнать код, который вам поступил в SMS только что
- Далее код, который вы ему лично сообщили вносит в личном кабинете и успешно заходит в кабинет в котором полно данных для восстановления вашей SIM-карты
- Получив эти данные он звонит/пишет в Контакт-центр или идет в магазин оператора и делает замену SIM-карты
Вуаля! Ваш номер в чужих руках. Осталось зайти в банкинг и вывести ваши деньги.
Как вы понимаете, профи своего дела проделывают эту операцию в считанные минуты, не оставляя вам никаких шансов на реакцию.
Хотя некоторые операторы не сразу выполняют замену SIM и предварительно отправляют SMS с предупреждением:
«Ваш номер пытаются восстановить, если это не вы — отмените заявку».
Какие еще есть способы мошенничества?
Звонок. История первая.
Вам звонят с заплаканным голосом и представляются вашим сыном или дочкой. В заплаканном, истерическом голосе, на той стороне провода, вы не сразу поймете действительно ли это ваша кровинка или нет. Этот «родной голос» говорит вам, что попал в полицию из-за:
- Меня поймали с травкой или другими наркотиками
- Я на машине сбил человека
- Вандализм
- и т.д. и т.п.
И тут трубку берет какой-то якобы сотрудник правоохранительных органов и начинает вам рассказывать о «панацее» данной ситуации, нужно всего лишь перевести «N» сумму денег на карту.
А вы скажете: «Но у меня нет такой суммы».
В ответ услышите: «А сколько есть?»
Ну и дальше вам предложат перевести деньги на карту, те которые у вас есть в наличии.
Вас будут максимально долго удерживать на линии чтобы не дать возможности позвонить на реальный номер вашего близкого и убедиться, что это действительно ваш родственник и он нуждается в вашей помощи.
Звонок. История вторая.
Некоторые банки предлагают выполнить операцию в банкоматах без карты, т.е. для идентификации нужен ваш номер телефона (как они о нем узнают, я писал выше). И снова история повторяется, мошенник вводит номер в банкомате, звонит к вам, представляется сотрудником банка и просит вас сообщить код из SMS. Ну, а дальше он остается с деньгами, а вы без.
SMS
Вам могут отправлять SMS различного содержания:
- Вы выиграли авто или «N» сумму денег, скорее звоните на номер ХХХХХХХХХ и забирайте ваш приз
- Ваша банковская карта заблокирована, звоните по номеру ХХХХХХХХХ узнать детали
- Ваш мобильный номер пополнен на «N» сумму
- и т.д. и т.п.
В некоторых случаях вам предлагают позвонить на указанный номер и получить то, что вам внезапно свалилось на голову. Но, конечно, там будут некоторые условия для получения приза, где вас разведут на реальные деньги, а вы в финале ничего не получите.
А в некоторых вам сами перезвонят и начнут говорить: «Ой, мы тут ошибочно пополнили ваш номер… Вы не могли бы пополнить теперь наш».
Просто проверьте ваш баланс и вы убедитесь, что к вам звонит мошенник.
Итог
Что можно из этого вынести:
- Относитесь ответственно к своему мобильному номеру, и никогда и никому не сообщайте:
- Код из SMS, который вам отправляет оператор, банк или другая компания. Этот код только ваш и никого больше.
- PUK код
- Кодовое слово
- Куда звонили со своего номера
- Когда и на сколько пополнялись
- Когда активировали свой номер
- Сумма последних счетов
- Возможно, есть что-то еще, но думаю, это все из основного
- Зарегистрируйте ваш мобильный номер в магазине оператора (это будет гарантией, что только вы можете сделать замену SIM-карты)
- Всегда смотрите, с какого номера вам пришла якобы информационная SMS, если это не номер вашего банка или оператора, просто забейте на это SMS или сообщите о мошенничестве оператору связи
- Всегда найдите способ связаться с вашим родственником до того, как вы переведете деньги на карту мошенника
Конечно же, я не описал всех вариантов мошенничества, но выложил все, что знаю и хочу, чтобы вы были на чеку, предупредили своих мам, пап, бабушек, дедушек, друзей и т.д., элементарно для того, чтобы сохранить их и свои нервы. Стресса нам каждый день и без этого хватает.
Всем крепких нервов и берегите своих близких!
Комментарии (50)
aik
29.05.2019 06:56Для того чтобы сделать замену SIM-карты нужно пройти процедуру идентификации (т.е. я должен доказать, что этот номер мой, ответив на несколько вопросов).
В наших краях никаких глупых вопросов не задают, а просто просят паспорт. Это раз.
Вы хоть одного человека знаете, который PUK-код от симки знает? Это два.
Про дату первого звонка вообще молчу. А название своего тарифа некоторые и сами не знают, особенно учитывая то, что операторы их переименовывать любят периодически.
Krotesk
29.05.2019 07:27Насчет PUK согласен, а кодовое слово в 80% будет чьё-то имя.
И да — будут требовать личное присутствие (иначе кому отдать симку) и паспорт.
А если сильно надо — просто левый сотрудник перевыпустит симку и вас только уведомят об этом факте.
DennyChill Автор
29.05.2019 10:49Спасибо за отзыв.
Я упустил одну очень маленькую, но важную деталь — описанные кейсы больше распространяются на украинский рынок. Поправил это в статье.
Вы очень помогли!aik
29.05.2019 11:09Да, у вас, насколько помню, удостоверение личности при покупке не требовалось.
Потому нужны какие-то другие способы подтверждения того, что вы владелец.
achekalin
29.05.2019 07:45Вообще довольно простые атаки перечислены, мне так кажется, очень многи на Хабре это все и знают, и родственникам рассказали. Но, да, спасибо, что систематизировали.
Правда, самый финт — уговорить сообщить циферки из смс — так и остался нераскрытым.
ptica_filin
29.05.2019 13:03Некоторые берут и просто сообщают, без уговоров. Даже если в СМСке написано прямым текстом "никому не сообщайте эти цифры". На таких и рассчитано.
teecat
29.05.2019 16:05Как недавно сообщалось. Ряд банков начал просить сообщать коды из СМС сотрудникам
texder
29.05.2019 09:08А, в некоторых, вам сами перезвонят и начнут говорить: «Ой, мы тут ошибочно пополнили ваш номер… Вы не могли бы пополнить теперь наш».
В этих случаях действительно могут положить деньги на ваш счёт, а после того, как вы их вернули, пойти к оператору и написать заявление на возврат ошибочного платежаroscomtheend
29.05.2019 12:55Именно так и делают, советую вернуть по чеку или (если "мы его выкинули") быть внимательным. Даже интересно откуда они знают телефон, на который перевели, если чек выкинули.
DennyChill Автор
30.05.2019 00:16Все верно, единственное «но», в этом случае SMS о зачисление средств поступит от оператора, а гении о которых я пишу отправляют этот же текст SMS с обычного номера.
Процедура возврата:
— позвонить и сказать, что ошибочно пополнили счет (попросите о взаимном пополнении, если не прокатит, следуйте п.2)
— попросите не тратить деньги со счета
— позвоните/напишите в чат оператору и узнайте про процедуру возврата
Обычно достаточно скан копии чека, указать номер на который пополнили и тот на который хотели пополнить. После рассмотрения оператор вернет деньги.
Ruddymetor
29.05.2019 09:19Уже привыкли в нашей стране к тому, что мошенники трезвонят постоянно. О таких способах и пенсионеры знают)
HEKOT
29.05.2019 10:35А вот непонятно, почему банки до сих пор используют «секретный вопрос». Это же огромная и принципиальная ДЫРИЩА!
Matroskihn
29.05.2019 10:50После замены сим-карты у опсосов стоит блокировка на любые банковыские операции в течение суток. Для получения симки работникам опсоса надо предъявить паспорт. Или в вашей картине бытия в связке с мошенниками не только сотрудники банка, но и продавцы-консультанты?
Вы бы хоть про двухфакторную аутентификацию рассказали, а не просто пересказали методы развода, древние, как экскременты мамонта.DennyChill Автор
29.05.2019 10:50Спасибо за отзыв.
Я упустил одну очень маленькую, но важную деталь — описанные кейсы больше распространяются на украинский рынок. Поправил это в статье.
Вы очень помогли!iig
29.05.2019 11:25Правила восстановления SIM-карты, первоисточник, например:
kyivstar.ua/ru/mm/services/base/simcard_restoration
А бывают еще корпоративные номера, без предварительной заявки и личного присутствия с паспортом восстановить не получится.aik
29.05.2019 11:30У нас корпоративный номер восстанавливается либо у ответственного за связь по фирме, если у него запас симок есть, либо тот же ответственный должен с доверенностью и паспортом подойти в офис МТС, где ему сделают замену.
Предварительная заявка не нужна.iig
29.05.2019 11:39Имелось в виду, что нельзя просто получив ответы на 3 вопроса анонимно перевыпустить карту.
1. заявка проходит через ответственного
2. паспорт + (личное присутствие или доверенность)
DennyChill Автор
29.05.2019 11:45Да, все верно.
Но контрактных пользователей и тем более юридических лиц, куда меньше, чем предоплаченных.
Регистрация SIM-карты, (один из вариантов) как раз и есть переход на контрактную форму обслуживания. Но можно и предоплаченный номер зарегистрировать.
anthtml
29.05.2019 10:50У нас давно уже всем и везде как в банках так и у операторов трындят, что «Если Вам звонит менеджер, то все нужные данные у него уже есть на экране в CRM, спрашивать что либо кроме „как к вам обращаться?“ они не имеют права»
ajratr
29.05.2019 10:50Зарегистрируйте ваш мобильный номер в магазине оператора
Первый раз о таком слышу. Что за магазин и как регистрировать в нем номер? Пример приведите пожалуйста.DennyChill Автор
29.05.2019 10:53Спасибо за отзыв.
Я упустил одну очень маленькую, но важную деталь — описанные кейсы больше распространяются на украинский рынок. Поправил это в статье.
Если вам интересно как можно зарегистрировать номер в Украине, то просто берите паспорт и ИНН и идите в официальный магазин вашего мобильного оператора, там любой сотрудник поможет зарегистрировать номер.
Адрес официального магазина в вашем городе можно узнать на сайте оператора.
elenchuk
29.05.2019 11:46Проблема очень актуальна, так как очень много людей в странах постсоветского пространства все еще халатно относятся к своим персональным данным.
Однако, я думаю, что именно из-за таких случаев, когда кто то по своей халатности лишится n-тысяч кровнозаработанных, тогда это изменит отношение наших людей к такому. Люди в большинстве случаев не виноваты — они просто не научены.
sergyalosovetsky
29.05.2019 12:25Я не думаю, что пользователи не виноваты, потому что их вина — в небрежности, в нежелании критически относиться к недостоверным источникам информации (наподобие звонка с неизвестного номера, СМИ или поста в социальной сети), в нежелании пытаться понять новые технологии — и возможности и опасности, которые эти технологии приносят. Решение спрятать голову в песок никогда не было успешным.
iig
29.05.2019 12:35Вряд ли. В ДТП, к примеру, ежедневно кто-то гибнет. Но люди продолжают ездить/ходить на красный свет, не пристегивать ремни и садиться за руль подвыпимши, пример неудачников никого ничему не учит.
Pyc01
29.05.2019 16:08Вуаля! Ваш номер в чужих руках. Осталось зайти в банкинг и вывести ваши деньги.
Честно говоря не понял это. Ведь для того, чтобы зайти в банкинг нужно знать мои юзернейм и пароль? И только если они правильные, тогда банкинг высылает СМС с проверочным кодом (пусть даже на скомпрометированную симкарту). Разве на Украине как-то по другому?DennyChill Автор
29.05.2019 16:24Не во всех банках, но есть авторизация по номеру мобильного телефона.
И к примеру, такая авторизация у самого крупного банка в Украине.holomen
29.05.2019 17:13Это как? Всю жизнь ввожу номер телефона, пароль, потом (опционально) или перезванивают или смс, и только потом запускает. Может чтонить себе придумать и если я с этого компьютера часто захожу, то может не прислать смс — типа мы проанализировали 100500 примет и подозреваем что вы — это вы, потому без звонка/смс. Но пароль требует всегда. Это я про приват. Или вы про другой банк?
Exchan-ge
29.05.2019 23:41И к примеру, такая авторизация у самого крупного банка в Украине.
Попробуйте зайти в Приват не со своего домашнего компьютера.
Или со своего домашнего, но другого (с тем же провайдером).
Да и пароль нужно вводить всегда.DennyChill Автор
30.05.2019 00:27Я услугами выше упомянутого банка не пользуюсь в силу того, что я слышу сколько людей попадает в данную ситуацию.
И я не пытаюсь кого-то обвинить, уверен, что не мобильному оператору, не банку такие репутационные потери не к чему.
Просто факт остается фактом — люди теряют деньги. Иногда они их возвращают, а иногда и нет.Exchan-ge
30.05.2019 02:41Просто факт остается фактом — люди теряют деньги.
Я о таком не слышал.
Единственный минус там — попытки навязать платежи в рассрочку в расчете на то, что человек нажмет не на ту кнопку.
(Недавно выскочило такое предложение при попытке перевода денег с одной своей карты на другую свою карту )
iig
29.05.2019 16:32Ведь для того, чтобы зайти в банкинг нужно знать мои юзернейм и пароль?
Есть доступ к телефону — можно пробовать восстановить доступ к почте и мессенджерам — там могут быть подсказки. Можно пробовать восстановить пароль к банкингу (Приватбанк, ага ;) )… Была недавно статья про то, как увели биткойнов на $100 0000, склонировав SIM карту.
chektor
29.05.2019 23:36Автор специалист в этом вопросе? Ну так вот вам моя история потери 2500 рублей.
В интернет-банке сбербанка, плачу со своей пенсионной, пардон, социальной карты очередной взнос 2500р по кредиту другому банку. Получив смс, ввожу код, нажимаю «ентер» и отмечаю, что страничка на экране сменилась дважды меньше чем за четверть секунды. Тут же пришла смс — «5000 рублей списано с вашего счета, ваш баланс 200 рублей». В панике от того, что мне до следующей пенсии (по инвалидности) придется жить на 200 рублей, что остались неоплачены газ, электроэнергия ..., в общем, лихорадочно набираю номер телефона сбербанка. И тут приходит смс «возврат 2500 рублей...». Ну, «отлегло», думаю, там ошибку обнаружили, излишне взятые денежки вернули. ОДНАКО, через неделю мне звонят из другого банка и строго спрашивают, почему я просрочил платеж!!!?…
Что получилось — 2500 рублей вернулись, так как не удалось зачислить их на счет другого банка по технической причине. «Другие» 2500 рублей пропали в неизвестном направлении.
Когда я позвонил в сбербанк, там оператор проверила операции и сказала, да, вам деньги вернули а в чем вопрос?
Я — Ну так сняли же 5000 рублей, а вернули только 2500.
СБ — Так проверим. Нет, с вас сняли 2500 и их же и вернули.
Я — Ну вы по балансу карточки посмотрите!
СБ — Да, странно, у вас баланс что-то не сходиться. Знаете, мы можем и в суд на вас подать, вы каким-то мошенническим образом сняли с карты деньги, без записи в наш компьютер.
Три телефонных разговора с банком, два заявления и письмо «главному по сбербанку» результатов не дали. Основной мотив отказа сбербанка — «В нашем компьютере такая операция не зафиксирована и значит никаких претензий мы не принимаем»!
Так как защитить свои деньги от мошенничества самого сбербанка?DennyChill Автор
29.05.2019 23:44Я не знаю как эти органы называются в России, но в Украине есть:
— Защита прав потребителей
— НКРСИ (но это больше к вопросам о нарушениях со стороны мобильных операторов)
Можно попробовать найти подобные у вас и обратится, в случае если они при рассмотрении ситуации найдут нарушения, они смогут открыть судебное дело и вернуть ваши деньги.
Но ещё раз повторюсь это опыт украинского рынка, но уверен, что в России подобные органы есть.chektor
29.05.2019 23:56Все ответы банка — «Мы не нашли никаких нарушений. Указанная вами операция не зафиксирована в нашем компьютере. Полученные вами смс не имеют юридической силы».
И что я скажу «Защите прав потребителей», по истечению трех лет, если я взял выписку из банка об операциях за несколько лет и меня честно предупредили. что в выписке не все данные «по техническим причинам»? Судья, по запросу которой я взял эту выписку, сказала, что поскольку выписка не полна, невозможно что либо определить!DennyChill Автор
30.05.2019 00:04В этом случае нужно углубляться в эту историю с юридической стороны, как минимум узнать какое кол-во времени банк должен хранить историю ваших операций.
Если срок вам подходит, то можно требовать от банка распечатки с печатью и подписью.
Дальше описывать ситуацию в «Защиту прав потребителей» подкрепляя ее распечаткой.
Я, к сожалению, не юрист поэтому на уровне рассуждения могу предложить такой вариант.
И как показывает практика все это долго, геморно и не факт, что решится в вашу пользу. Так уж устроен наш мир и не всем хватает сил бороться в таких ситуациях.
Хотя, я прекрасно вас понимаю, что банк должен был разобраться в такой ситуации, как минимум разница в балансе с отсутствием операций это уже чушь. Пусть значит купят железо которое будет успевать фиксировать все операции, а не продолжают покупать тостеры вместо серверов.chektor
30.05.2019 00:22Бесполезно! Как мне сказали, фраза «по техническим причинам» означает, что у них этих данных нет! То ли стерли сами, то ли не зафиксированы.
Но! Вот совсем недавно была заметка-интервью с Грефом, где он сказал, что у них не было ни одного случая мошенничества со стороны «людей с улицы». А все случаи мошенничества которые были, и их немало, были с участием самих сотрудников банка!
Вот что стоит программисту (администратору) «исправить» строчку в базе данных и… у клиента станет на пару тыщ рублей меньше. По всей видимости так и произошло.
А если судить по выписке, нет вообще никаких данных о «несхождении» баланса моей карточки. Вот кого допустят к банковским серверам и кто будет проверять их, ради проверки претензии какого-то инвалида на смешную, тьфу, сумму в 2500 рублей.
Если интересно, зайдите на банки.ру, в соцсети сбербанка (твиттер, к примеру), там немало подобных случаев, и даже похлеще!DennyChill Автор
30.05.2019 00:32Ну как показывает практика такие бизнес гиганты свою "*опу" хорошо подстраховывают, да и юристов у них там целая рота, поэтому доказать что-либо сложно.
А подтвердить, что у них что-то не корректно работает, так это же все побегут со своими историями с просьбами вернуть деньги.
Репутационные и финансовые потери, проще сказать «По техническим причинам...».
Exchan-ge
Уязвимости SS7 могут сделать этот пункт излишним.
«По рекомендациям NIST 2016 года, в новых системах аутентификации не следует использовать SMS из-за опасности их перехвата и перенаправления» (с) вики
JC_IIB
Строго говоря, к SS7 (а точнее, SIGTRAN) еще надо получить доступ умудриться. Обычным мошенникам это не светит.
Exchan-ge
«Повторим, всё это Курбатов и Пузанков описывали в 2014 (!) году, но только сейчас ребята из Suddeutsche Zeitung обнаружили, что такие атаки проводятся на самом деле, а двухразовая аутентификация через SMS больше не обеспечивает никакой безопасности.
Фактически, эту опцию раньше могли использовать только спецслужбы, ну а сейчас может использовать любой желающий, у которого есть компьютер под Linux. Газета Suddeutsche Zeitung пишет, что доступ к коммутатору SS7 кое-где можно купить за 1000 евро. С помощью взятки можно ещё добыть идентификатор global title (GT) мобильного оператора — это тоже возможно в некоторых бедных коррупционных странах, где чиновники иногда позволяют себе нарушать закон в целях личного обогащения.
Злоумышленники узнавали банковские реквизиты жертв с помощью фишинга или зловредов, а затем использовали уязвимость SS7, чтобы получить одноразовый код подтверждения транзакции (mTAN), который банк присылает по SMS.
Расследование немецкой газеты не просто рассказывает о фактах кражи денег с банковских счетов, а указывает на фундаментальную уязвимость SMS как фактора аутентификации...» (с) habr.com/ru/post/403649
JC_IIB
Я все это читал, и могу сказать снова — обычным мошенникам такое не светит. Из тех, что «извините, мы вам случайно денег перевели». "Где-то можно купить доступ", "Теоретически можно подключиться в Конго"… ну удачи, чо.
На мой взгляд, упомянутая статья желтовата.
ptica_filin
Если увели деньги, то нет особой разницы, обычный это был мошенник или необычный. Раезультат один