Пока “ПриватБанк” и сотовые операторы отрицают очевидные “дыры” в безопасности, мошенническая схема приобретает масштабы эпидемии.
В редакцию “proIT” от двух независимых источников поступили сообщения о мошеннических атаках с элементами социальной инженерии. Два случая объединяют схожие черты, что позволяет говорить о системности новой преступной схемы:
1) атакуют владельцев карт “Приватбанка”;
2) “наводка” на жертву через сайты частных объявлений;
3) входящие звонки якобы от сотрудников “Приватбанка”.
Первый случай
• Жертва получает входящий звонок насчет товара, продаваемого через сайт объявлений. Мнимый покупатель живо интересуется характеристиками товара и возможными способами доставки, давая понять жертве, что вероятность сделки высока.
• В процессе обсуждения условий продажи “покупатель”, имитируя плохую связь, несколько раз просит жертву перезвонить, т.е. совершить исходящий вызов. В процессе обсуждения всплывает еще один заинтересованный покупкой фигурант — якобы окончательный реципиент приобретаемого товара (согласно легенде, дядя делает подарок племяннику), и у него тоже возникают “проблемы со связью”.
• В процессе обсуждения навязывается следующая схема расчета: “покупатель” перечисляет стоимость на указанный продавцом номер карты “Приватбанка”, а продавец отправляет товар на указанное отделение “Новой Почты” до востребования.
• Вскоре жертва получает входящий звонок с анонимного номера. На другом конце провода представляются “службой безопасности Приватбанка” и, обращаясь к жертве по имени-отчеству, спрашивают, действительно ли ожидается пополнение карточки на точно указанную сумму. “Офицер безопасности” сообщает, что платеж временно не может быть принят в силу некоторых ограничений по карточке. Ограничения можно отключить прямо в ходе телефонного разговора, но для этого нужно пройти стандартную процедуру аутентификации “на от случай, если ваш телефон взял кто-то другой”. Жертва отвечает на стандартные секретные вопросы, задаваемые в ходе процедуры аутентификации. “Офицер безопасности” подтверждает “зачисление” средств на карточный счет.
• В течение получаса после звонка от “службы безопасности”, SIM-карта жертвы перестает восприниматься телефоном, обнаруживается невозможность зайти в систему “Приват24”, а вскоре — и пропажа средств с карточного счета.
Второй случай во многом повторяет первый — выход на жертву через сайт объявлений, удаленная продажа товара путем зачисления денег на карточку “Приватбанка”, входящий звонок от “службы безопасности”. Отличие в том, что во втором случе мошенники реализуют более быструю схему, без завладения дубликатом SIM-карты.
• Жертва, согласившись на предложенные условия дистанционной покупки, отправляет SMS с реквизитами карточки, но через 5 минут получает звонок от “покупателя”, который говорит, что не получил SMS и просит продиктовать номер карты и ФИО. Получив информацию, он пропадает на 2 часа, очевидно, чтобы вызвать у жертвы чувство неопределенности и острое чувство ожидания звонка. Наконец “покупатель” звонит и говорит, что деньги перечислил.
• Спустя 5 минут жертве поступает звонок со скрытого номера и человек на том конце провода, представившись сотрудником департамента “ПриватБанка” по работе с корпоративными клиентами, называет жертву по ФИО и спрашивает, ожидает ли она поступление точно указанной суммы на свой счет. Получив утвердительный ответ, “сотрудник банка” говорит: “Платеж на вашу карту осуществлен со счета юридического лица, а поскольку ваша карта не авторизована на получение средств от юридических лиц, вам необходимо провести такую авторизацию. Я вам помогу это сделать”. “Сотрудник банка” объясняет жертве, что нужно подойти к банкомату “ПриватБанка”, зайти в определенное меню, ввести свой номер телефона, пин-код карты и продиктовать код, полученный в SMS. Мошенник спрашивает, через какое время жертва будет находиться рядом с банкоматом, чтобы в телефонном режиме он смог бы помочь провести необходимые манипуляции с банкоматом. “Сотрудник” “ПриватБанка” перезванивает на 15 минут позже оговоренного времени, видимо с целью сыграть на эмоциональном состоянии жертвы, ожидающей получение крупного денежного перевода — очевидно ожидание крупной продажи должно нивелировать подозрение жертвы о чрезмерной легкости “сделки”.
А подозрительных фактов более, чем достаточно. Тут и скорость сделки, и отсутствие торга, перечисление крупной суммы денег без каких-либо гарантий, перечисление средств со счета не физического, а юридического лица, безразличие “покупателя” к выбору почтового оператора, щедрость “покупателя”, легко согласившегося на оплату пересылки, легкое согласие на оплату комиссии за перевод средств и отсутствие возражений на конвертацию стоимости указанной в долларах в гривны по максимальному курсу.
Во втором случае “сделка” сорвалась. Жертву выручила излишняя щепетильность. В частности, был сделан звонок оператору колл-центра “ПриватБанка” с целью выяснить, действительно ли необходимо “авторизовывать” карту для получения платежа от юридического лица. Вопрос вызвал недоумение у оператора, но когда ему сообщили детали “сделки”, он предупредил о ее мошенническом характере. Стоит отметить, что и сам клиент заблаговременно подстраховал себя от возможного мошенничества и для подобных сделок использовал специально выпущенную карту с нулевым балансом.
Как понятно из описаний, успех преступной схемы обеспечен, среди прочего, успешной эксплуатацией крупной “дыры” в безопасности системы ДБО и мобильных операторов, о которой редакция “proIT” уже писала — несанкционированное получение дубликата SIM-карты, который используется для доступа к ДБО. Кроме того, обращают на себя внимание несколько других уязвимостей:
1) При вводе номера карты в любом терминале “Приватбанка” с целью пополнения, на экран высвечивается ФИО владельца полностью — именно таким образом мошенники узнают полные ФИО жертвы для звонков в “Приватбанк” от её лица.
2) Ни в одном из документов “Приватбанка”, которые клиент подписывает при оформлении банковской карточки, нет предупреждения о том, что процедура аутентификации (ответы на секретные вопросы) может осуществляться только при инициировании звонка самим клиентом, но никогда — при поступлении входящего звонка.
3) Что бы ни говорили операторы о якобы принципиальной невозможности преступного завладения дубликатом SIM-карты, редакция продолжает получать фактические подтверждения того, что предоставления истории исходящих звонков де-факто является вполне достаточно для получения SIM-дубликата злоумышленниками.
Отвечая на вопрос редакции, знают ли в “ПриватБанке” о перечисленных и подобных схемах и как с ними борются, Олег Серга, пресс-секретарь “ПриватБанка”, отмечает, что такие “схемы” практиковались мошенниками, как правило, в первой половине 2012 года. “Мы активно противодействуем подобным схемам мошенничества с картами клиентов. Во-первых, каждый клиент получает от банка информацию о том, как обезопасить себя от мошенничества, что сотрудники банка не имеют права связываться с клиентом по телефону и уточнять его личные данные, что пароли и другая информация от банка это секретная информация. Во-вторых, и самое главное, по каждому факту мошенничества мы проводим срочное расследование, легко с помощью камер наблюдения и других данных определяем личность мошенника и передаем материалы в МВД для начала уголовного производства. За последний год привлечено к уголовной ответственности более двух десятков групп мошенников, на расследовании сейчас находится более сотни подобных дел. Наши системы информационной безопасности позволяют очень быстро выйти на мошенников и привлечь к ответственности. В-третьих, по результатам расследования, если не выявлена вина и причастность к мошенничеству самого клиента (а таких случаев довольно много), клиенту банк компенсирует потерянные средства и далее возмещает их за счет привлекаемых к ответственности мошенников”.
В то же время, в “ПриватБанке” считают, что ФИО клиента надежно защищены, поскольку выдаются только после авторизации через карту. “При проведении операции в терминалах требуется обязательная идентификация клиента через его карту. При пополнении карты по номеру подтверждающая информация о владельце карты появляется на экране только на финальной стадии операции после валидации клиента и подтверждения операции паролем. Таким образом, информацию о владельце карты на которую перечисляются деньги может видеть только идентифицированный клиент банка после подтверждения операции перевода”, — утверждает Олег Серга.
Тем не менее, практический эксперимент, проведенный редакцией “proIT” доказывает обратное — чтобы заполучить ФИО жертвы с помощью терминала пополнения карта “ПриватБанка” вовсе не нужна. Терминал предлагает и другой — гораздо более “дырявый” — способ авторизации, путем введения одноразового пароля, пришедшего в SMS на указанный в терминале номер. В данном случае идентификатором выступает не банковская карта, а номер телефона. Поскольку стартовый пакет любого оператора можно купить на каждом углу, а после заполучения ФИО жертвы попросту выкинуть, редакция считает де-факто доказанной незащищенность персональных данных клиентов “ПриватБанка”.
Что касается предупреждения клиента о том, что процедура аутентификации (ответы на секретные вопросы) может осуществляться только при инициировании звонка самим клиентом, но никогда — при поступлении входящего звонка, пресс-секретарь “ПриватБанка” говорит, что каждый клиент при получении карты банка подписывает стандартную оферту, где четко прописана процедура защиты личных данных. “Кроме того, данная информация сообщается клиентов в ходе коммуникаций с ним от имени банка по СМС, на чеках банкоматов, в информационных материалах банка”, — говорит Олег Серга.
Особое внимание он обращает на тот факт, что никогда и ни при каких обстоятельствах сотрудники банка не звонят клиентам с личных мобильных номеров и никогда не требуют диктовать пароли. “Пароли банка никому передавать нельзя никаким способом”, — подчеркивает представитель банка. Однако, как подсказывает практика, мало кто из клиентов об этом знает.
Примечательно, что жертва во втором случае была прекрасно осведомлена о нюансах подобных мошеннических схем, но когда ее саму взяли в “оборот” что-то неладное она заподозрила лишь в последний момент. Выходит, если такого рода схемы еще пользуются популярностью, значит у мошенников есть и положительные результаты. А это говорит о том, что банкам, особенно тем, которые активно внедряют новые услуги, следуют более интенсивно вести разъяснительную деятельность среди клиентов об основах финансовой безопасности и особенностях своей политики безопасности.
А вот у жертвы первого случая перспективы вернуть средства, к сожалению, неутешительные. В “ПриватБанке” её попросту отфутболили с формулировкой “не можем оказать правовой помощи, так как вами была разглашена конфиденциальная информация”. После определенного давления, “ПриватБанк” указал жертве ФИО владельца и номер карточки, на которую были переброшены украденные деньги, и показал видеозапись процесса снятия наличности в одном из банкоматов Донецка, на которой мало что можно разобрать. На этом “ПриватБанк” умыл руки. Заявление, принятое Святошинской милицией (по месту проживания жертвы), отфутболили в Донецк — по месту снятия денег. “И всё. Ни слуху, ни духу. Следователя местного поймать по телефону просто нереально”, — подводит печальный итог жертва первого случая.
