В России распространяется новый высокотехнологичный вид мошенничества, жертвой которого могут стать даже те, кто помешан на вопросах безопасности. О нем рассказывается в материале TelecomDaily.
Способ является развитием схемы «фейковый покупатель», жертвой которой оказывается продавец дорогостоящего товара (смартфона, ноутбука, автомобиля и т. п.) на сайте бесплатных объявлений. Как правило, мошенники выбирают тех, чьи объявления уже достаточно долго размещаются на сайте: такой человек обычно очень рад долгожданному покупателю и соглашается на его условия.
В базовом варианте мошенник сообщает о том, что готов купить товар и даже перевести предоплату на банковскую карту продавца, чтобы тот уже никому другому его не продавал (либо, как вариант, перевести полную сумму и стоимость пересылки в другой город). Далее мошенник выманивает полные данные карты, включая срок действия и CVC-код, и впоследствии исчезает.
С карты же производится оплата товаров и услуг через один из сервисов, не поддерживающих двухфакторной авторизации 3D-Secure, либо, при более технологичной схеме, авторизационное СМС-сообщение перехватывается с помощью SS7-атаки, благо мобильный номер жертвы известен: большинство людей указывают в объявлении свой основной телефон и его же используют для СМС-сообщений от банков.
Однако, поскольку схема работает далеко не со всеми (большинство жертв отказываются сообщать подробные данные о своей карте), она получила дальнейшее развитие. Через некоторое время после того, как потенциальная жертва сообщает базовые данные карты, ей поступает звонок якобы из службы безопасности банка, которая, ссылаясь на законы о препятствовании финансированию терроризма, проводит «проверку» личности пользователя. Вопросы задаются те же, которые сотрудники банковского кол-центра задают при звонке клиентов в целях их идентификации: адрес по прописке, кодовое слово и т. д. Если жертва ничего не подозревает, то эти персональные данные оказываются в руках мошенников, которые уже от ее имени звонят в банк, сообщают их, проходят проверку и в конечном итоге выводят средства с вашего счета.
Главная интрига заключается в том, что жертве звонят с номера, указанного на сайте банка. «Как это возможно? Очень просто. Номер в системе сигнализации SS7 не определяется запросом на коммутатор вызывающего абонента (как это было, например, в «Русском АОНе» по R1.5), а изначально передается этим самым коммутатором. Если же звонок осуществляется через VoIP-шлюз, то номер можно подставить совершенно любой: например, именно так ваш мобильный номер подставляет Skype. Никакой проверки валидности этого номера не происходит, поэтому мошенник может подставлять любые цифры», — говорится в статье TelecomDaily.
Там отмечается, что этот же способ может использоваться и для вымогательства: если раньше мошенники звонили жертве с собственных номеров и от имени ее родственника говорили, что тот совершил правонарушение и нужно внести выкуп, то теперь они могут звонить и прямо якобы с его номера.
Техническими средствами защититься от подобного мошенничества невозможно, констатирует издание. «Поэтому если вам звонят якобы из банка для проверки данных — сообщите сначала заведомо неправильные. Если проверка все равно «пройдет успешно», значит, вас пытаются обмануть. У «родственника» же лучше спросить что-то такое, что может знать только он», — советует автор материала.
Способ является развитием схемы «фейковый покупатель», жертвой которой оказывается продавец дорогостоящего товара (смартфона, ноутбука, автомобиля и т. п.) на сайте бесплатных объявлений. Как правило, мошенники выбирают тех, чьи объявления уже достаточно долго размещаются на сайте: такой человек обычно очень рад долгожданному покупателю и соглашается на его условия.
В базовом варианте мошенник сообщает о том, что готов купить товар и даже перевести предоплату на банковскую карту продавца, чтобы тот уже никому другому его не продавал (либо, как вариант, перевести полную сумму и стоимость пересылки в другой город). Далее мошенник выманивает полные данные карты, включая срок действия и CVC-код, и впоследствии исчезает.
С карты же производится оплата товаров и услуг через один из сервисов, не поддерживающих двухфакторной авторизации 3D-Secure, либо, при более технологичной схеме, авторизационное СМС-сообщение перехватывается с помощью SS7-атаки, благо мобильный номер жертвы известен: большинство людей указывают в объявлении свой основной телефон и его же используют для СМС-сообщений от банков.
Однако, поскольку схема работает далеко не со всеми (большинство жертв отказываются сообщать подробные данные о своей карте), она получила дальнейшее развитие. Через некоторое время после того, как потенциальная жертва сообщает базовые данные карты, ей поступает звонок якобы из службы безопасности банка, которая, ссылаясь на законы о препятствовании финансированию терроризма, проводит «проверку» личности пользователя. Вопросы задаются те же, которые сотрудники банковского кол-центра задают при звонке клиентов в целях их идентификации: адрес по прописке, кодовое слово и т. д. Если жертва ничего не подозревает, то эти персональные данные оказываются в руках мошенников, которые уже от ее имени звонят в банк, сообщают их, проходят проверку и в конечном итоге выводят средства с вашего счета.
Главная интрига заключается в том, что жертве звонят с номера, указанного на сайте банка. «Как это возможно? Очень просто. Номер в системе сигнализации SS7 не определяется запросом на коммутатор вызывающего абонента (как это было, например, в «Русском АОНе» по R1.5), а изначально передается этим самым коммутатором. Если же звонок осуществляется через VoIP-шлюз, то номер можно подставить совершенно любой: например, именно так ваш мобильный номер подставляет Skype. Никакой проверки валидности этого номера не происходит, поэтому мошенник может подставлять любые цифры», — говорится в статье TelecomDaily.
Там отмечается, что этот же способ может использоваться и для вымогательства: если раньше мошенники звонили жертве с собственных номеров и от имени ее родственника говорили, что тот совершил правонарушение и нужно внести выкуп, то теперь они могут звонить и прямо якобы с его номера.
Техническими средствами защититься от подобного мошенничества невозможно, констатирует издание. «Поэтому если вам звонят якобы из банка для проверки данных — сообщите сначала заведомо неправильные. Если проверка все равно «пройдет успешно», значит, вас пытаются обмануть. У «родственника» же лучше спросить что-то такое, что может знать только он», — советует автор материала.
