Fraud Digest 14.09.2017

Топ-5 новостей в сфере мошенничества с платежными инструментами.

С каждым годом вопрос безопасности данных становится все острее. Платежные карты используются повсеместно, снять деньги с банковского счета уже возможно практически в любой точке мира, а электронные сервисы помогают проводить большинство расчетов без применения наличных. Но параллельно со сферой новых финансовых услуг растут и риски, которым подвергаются карточные данные. Кибербезопасность стала одним из приоритетов для банковской системы в целом.

Ежедневно в мире происходят тысячи хакерских атак. Мошенники атакуют не только виртуальные счета, но и банкоматы и терминалы. Сотни схем обмана изобретаются и совершенствуются.

Fraud News – дайджест, который предупредит вас о новых методах, применяемых мошенниками в Украине. Защитите свои деньги!

 Top-5 fraud news

1

 Украинцы начали кампанию по «троллингу» телефонных мошенников

Запущенный в Интернет видеоролик с «троллингом» посмотрели более 440 тысяч людей. Многие решили последовать примеру и теперь забрасывают мошенников ответными смс-ками и звонками.

Однажды телефонные мошенники прислали смс на номер одного из сотрудников Ассоциации ЕМА. Это происходит не впервые: обычно опытный, знакомый с кибермошенничеством, сотрудник либо игнорирует смс (обязательно внеся номер в «черный список» и сообщив о нем в киберполицию), либо, если мошенник не написал, а позвонил – «правильно» отвечает мошеннику, выводя того на чистую воду. Но в этот раз специалисты ЕМА решили записать разговор с мошенником на диктофон.

Вот что из этого вышло:

Наш сотрудник выдал себя за неопытного пользователя. Он сделал вид, что поверил сообщению в смс (текст сообщения был о блокировке карты – это самый частый вид смс от телефонных мошенников).

Обратите внимание на то, как мошенник строит разговор!

• Мошенник сразу выдает себя за сотрудника банка (это происходит почти в 95% случаях!). Представившись, он затем все время говорит о себе «мы», подразумевая, что представляет интересы банка. Этот нехитрый прием часто вводит доверчивого клиента в заблуждение!
• Лже-сотрудник банка выпытывает у клиента конфиденциальные данные его карты (помимо номера, трехзначный код безопасности или код CVV2/CVC2 с обратной стороны карты). Мошенник обманывает клиента, говоря, что на обратной стороне карты указан… «номер отделения банка», где была выдана карта. Это ложь! Код на обратной стороне карты требуется для подтверждения операций с картой в Интернет. Например, его надо ввести, если пользователь хочет сделать денежный перевод. Получается, что мошенник пытается выдать ценные, конфиденциальные, данные за некую формальность, ничего не значащие цифры.
• Затем мошенник предупреждает жертву о том, что придет смс от банка, и требует сообщить ему код из смс. Преступник опять говорит «мы» (то есть, «банк») и даже упоминает, что код из смс нельзя сообщать никому постороннему. Манипулируя таким образом, многие мошенники преуспевают – и убеждают жертву сказать им пароль. ВАЖНО: в тот момент, когда преступник спрашивает код из смс от банка, он как раз пытается украсть деньги с карты, получить доступ к Интернет-банкингу жертвы, либо заплатить ее картой за покупку или услугу!

Подкованный в вопросах мошенничества сотрудник ЕМА уже к середине телефонной беседы начинает отклоняться от приготовленного ему преступников плана. Называет не тот номер карты, указывает ложный код CVV2/CVC2. Это сделано специально, чтобы затем можно было выложить весь разговор с преступником в Интернет – и детально разобрать.

Однако обычному пользователю необязательно продолжать разговор с мошенником. Как только «банковский сотрудник» стал спрашивать по телефону секретные данные карты – можно сразу класть трубку. Это, однозначно, мошенничество.

Видеоролик с подробным разбором телефонных переговоров с мошенников разместили на сайте Ассоциации ЕМА и на странице ЕМА в социальной сети Facebook. Всего за неделю ролик успели посмотреть свыше 446 тысяч пользователей, а около 10 тысяч – сделали перепост на своих страницах. Мало этого, многие пользователи решили тоже заняться «троллингом» телефонных мошенников (ведь смс от мошенников ежедневно получают тысячи людей).

Как «троллят» телефонных мошенников:

• В ответ на смс о «блокировке карты» пишут: «Ничего вам не перепадет мошенники. Ваши номера уже в полиции». Есть смс и менее «невинного» характера.
• Некоторые пользователи рассказывают, что специально перезвонили мошенникам, а также попросили друзей или коллег позвонить на тот же номер. В процессе беседы пользователи сначала делали вид, что верят мошенникам, а затем начинали откровенно подшучивать над ними (или сообщать неправдивые данные).

Массовый репост «троллингового» видеоролика дает надежду, что еще больше пользователей узнают, как правильно разговаривать с мошенником, научиться отличать мошенника от настоящего сотрудника банка (который никогда не спрашивает конфиденциальные данные карты!), а также перестанут бояться мошенников и смогут дать им надлежащий отпор.

2

Закрытые фишинговые сайты снова заработали!

Выявленные в сети Интернет мошеннические ресурсы обычно закрывают уже в течение нескольких дней. Однако киберпреступники находят возможность восстановить свои веб-ресурсы. Для этого они могут переносить сайт на новый хостинг, менять дизайн сайта или менять его название, используя другое доменное имя. Таким образом, в Интернет могут открываться и закрываться десятки клонов фишинговых сайтов.

Иногда сайты восстанавливают и по «старым» ссылкам. Так, из 72 мошеннических веб-ресурсов, обнаруженных в Интернет с начала 2017 года, два сайта мошенники уже успели восстановить.

Мошеннический сайт https://www.pay-mobile.in.ua/ был раскрыт специалистами Ассоциации ЕМА 24 апреля 2017 года. Сайт имитировал сервис для пополнения счета мобильного телефона. Ресурс закрыли, но на минувшей неделе он снова заработал! К счастью, усилиями сотрудников ЕМА фишинговый сайт удалось повторно закрыть. Во вторник 12 сентября он уже снова не работал.

Однако мошенники вернули к жизни другой фишинговый сайт http://www.gsmpay.in.ua. Этот ресурс также имитирует сервис для пополнения мобильного.

Впервые мошеннический сайт был зафиксирован 16 января 2017 года. У него на тот момент был другой дизайн.

Сегодня внешне сайт изменился. Но его создатели, по-прежнему, преследуют преступные цели: под видом предоставления несуществующих услуг они выманивают данные банковских карт пользователей. Для пополнения мобильного следует ввести номер карты, срок ее действия, а также трехзначный код безопасности с обратной стороны карты (код CVV2/CVC2).

Новый дизайн мошеннического ресурса:

Будьте внимательны! Не станьте жертвой этого мошеннического сайта!

Мошенники используют платную рекламу, чтобы повышать рейтинг своего сайта. При введении в поисковой системе Google запроса «пополнить счет на мобильном» – получаем результат:

Помните, что не только легитимные, но и мошеннические ресурсы могут оказаться в числе первых в поисковой выдаче. Преступники применяют любые методы, чтобы заманить своих жертв в ловушку.

Для совершения любых платежей в Интернет старайтесь использовать только проверенные веб-сервисы для совершения платежей и денежных переводов с банковской карты.

Фишинговые сайты могут имитировать:

• Сервисы для пополнения счета мобильного;
• Сервисы для совершения денежного перевода с карты на карту;
• Сервисы, объединяющие обе эти услуги;
• Сайты для покупки дешевых авиабилетов;
• Сайты по трудоустройству (работа на дому, например, на компанию «Укрпочта»);
• Сервисы, предоставляющие кредиты онлайн.

Цель фишинговых сайтов – выманить секретные реквизиты банковской карты (срок действия карты, код безопасности с обратной стороны карты (код CVV2/CVC2), пароли из смс от банка). Используя эти данные, мошенники получают доступ к карте жертвы и ее деньгам.

Выявленные в Интернет фишинговые сайты внесены в Черный список мошеннических сайтов от Ассоциации ЕМА. Убедитесь, что выбранного вами ресурса нет в этом списке! На сайте ЕМА также существует перечень проверенных легитимных ресурсов.

Научиться отличать фишинговые сайты можно быстро: потратьте несколько минут на прочтение рекомендаций экспертов ЕМА, чтобы быстро отличать легитимный ресурс от поддельного.

3

ВНИМАНИЕ: появился клон страницы Вконтакте на украинском языке

В Ассоциацию ЕМА поступила информация о том, что появился фишинговый клон главной страницы (страницы «Входа») в социальную сеть «Вконтакте». Мошеннический сайт имеет версию на украинском языке.

Социальная сеть «Вконтакте» остается достаточно популярной среди жителей Украины. Чтобы обойти запрет на доступ к соцсети, соотечественники используют службы для обеспечения конфиденциальности пользователя в Интернет (такие, как VPN, Tor). Таким образом, те, кто продолжает использовать «Вконтакте», рискуют стать жертвами нового фишингового сайта.

Адрес фишинговой страницы сайта «Вконтакте» – https://vk-youphoto.000webhostapp.com/. Проверка показывает, что сайт создан в системе «000webhostapp.com» (Free Web Hosting), зарегистрирован в США (напомним, что оригинальный сайт «Вконтакте» зарегистрирован в Российской Федерации).

На страницу фишингового веб-ресурса пользователи «Вконтакте» попадают по ссылке, которая приходит им в личном сообщении. Текст сообщения следующий: «Тут один человек выложил твое фото с не очень приятным текстом, удали пока никто не посмотрел!!!». Дальше следует ссылка – если пользователь переходит по ней, то оказывается на поддельной странице входа в сеть «Вконтакте», где требуется ввести номер телефона и пароль. Указав эти данные, пользователь благополучно попадает на легитимный ресурс «Вконтакте» (то есть, на фишинговом сайте установлена переадресация).

Однако личные данные пользователя (номер телефона и пароль входа в социальную сеть) остаются у мошенников. В дальнейшем эти данные могут быть использованы для взлома аккаунта, написания сообщений «от имени аккаунта» (например, сообщений с просьбой переслать деньги), а также для других преступных целей.

Напомним, что в сентябре 2016 года был случай, когда мошенник подбирал пароли к Интернет-банкингу пользователей, анализируя их пароли в социальной сети «Вконтакте». Мошенник зарегистрировал ложный профиль в социальной сети и от его имени «подружился» с многими пользователями. Преступник собирал информацию о своих «друзьях» (даты рождения, логины, полные имена), затем всю это информацию загрузил в программу-анализатор, которая выдавала предполагаемые пароли. Мошеннику удалось взломать несколько личных счетов.

4

Раскрыта афера с покупкой автомобилей «на литовских номерах»

В Киевской области на территории снятого в аренду частного дома расположились преступники, которые выманивали деньги у желающих пригнать автомобиль из-за рубежа.

Преступная группа состояла из двух мужчин, зарегистрировавших частное предприятие для большей убедительности. Подельники создали несколько Интернет-страниц покупки автомобилей за рубежом. Обещали доставку авто из стран Европы и даже из США. Поскольку в последнее время тема покупки авто «на еврономерах» очень актуальна, мошенники воспользовались этим «трендом».

Жертв убеждали заплатить деньги вперед. Обычно речь шла о сумме от 3 до 10 тысяч долларов. Получив деньги, мошенники через некоторое время сообщали, что с доставкой автомобиля возникли сложности. Затем переставали отвечать на звонки и исчезали.

Жертвы злоумышленников оказывались в весьма двусмысленном положении. С одной стороны, они были обмануты. С другой – они были готовы купить автомобиль «на литовском номере», а это тоже не всегда подразумевает кристально честную схему.

По данным Департамента киберполиции Украины, мошенникам удалось обмануть около десяти покупателей. Общая сумма ущерба составляет 30 тысяч долларов. Эти деньги, кстати, были изъяты по месту ареста преступников в Киевской области (в аресте участвовали сотрудники Деснянского управления столичной полиции и Киевской городской прокуратуры №3). Там же было обнаружено огнестрельное оружие. И компьютеры, с которых мошенники размещали объявления о доставке автомобилей из-за границы.

5

В Британии мошенники массово рассылают «кредитные» письма

Британская организация по борьбе с кибермошенничеством, The National Fraud Intelligence Bureau (NFIB), сообщила о волне электронных писем от мошенников. Письма, в основном, получали студенты, в течение последних двух недель. В тексте сообщения им предлагали взять студенческий кредит от известной компании, предоставляющей доступные кредиты на учебу – Student Loans Company.

Желающие получить кредит, должны были оформить заявку, где требовалось указать личные данные. По мнению британской полиции, это было сделано, чтобы «украсть личности» студентов, используя добытые данные для различных манипуляций, в том числе, для открытия ложных счетов, взлома аккаунтов, выманивания денег и т.д.

Student Loans Company уже официально подтвердила, что письма поддельные и приходят от мошенников.

Есть сведения, что предложения получить кредит получали не только учащиеся британских вузов. Сейчас полиция ищет место утечки данных о студентах и других гражданах Великобритании, которые попали в «базу» рассылки от мошенников.

Напомним, что мошенничество в странах Европы и США отличается от мошенничества в Украине. У нас жертва “сама находит” мошенников (коммуникация Victim to Criminal): через поисковые системы, вводя “пополнить карту”, “пополнить мобильный”, а в других странах – мошенники сами стучаться к жертве (через массовые рассылки) и предлагают ей сделать нечто, что сама жертва и не собиралась делать / не искала.