Банковские сервисы, используемые мошенниками для развода под видом "Службы безопасности банка"

[harlam]

Понимаю, что тема развода - баян. Но основной посыл о некоторых банковских сервисах, которые используют мошенники. Т.к. инфу о связке этих сервисов с мошенниками в интернетах не нашел, считаю это не баяном, а неким открытием. Может мой рассказ кому-то поможет. Длиннопост.

Начну с рассказа о самом разводе. Итак, вчерась днем. Работаем мы работу. У коллеги раздается звонок на мобильном. Незнакомый прямой московский номер. Приложение-определялка сообщает, что номер чист (не спам и т.п.). Коллега отвечает на звонок. Начинается долгий диалог-развод:

К (коллега): Внемлю!

М (мошенник): Здравствуйте, это потенциальный лох "Иван"? (Называет настоящее имя, но не знает или просто не называет отчество и фамилию. Фоном идут шумы якобы колл-центра).

К: Возможно. А вы чьих будете?

М: Меня зовут Петров Дмитрий Сергеевич (я точно не запомнил, но набор распространенных русских ФИО, мошенники представляются полным ФИО специально для большего доверия). Сотрудник службы безопасности Сбербанка. Все разговоры записываются... бла-бла-бла... С вашей карты сейчас была предпринята попытка перевода в Хабаровск на крупную сумму, наша система определила этот перевод как сомнительный. Скажите, пожалуйста, вы подтверждаете эту операцию?

Коллега с первых же слов мошенника просекает тему и стремительно реагирует - включает громкую связь и легкую панику. Мы всем отделом становимся слушателями этого радиоспектакля, параллельно пробиваем номерок и помогаем инфой.

К: О, нет! Не может быть! Я же предохранялся, сам в скафандре, карта и телефон в презервативах, на голове шапочка из фольги! Как же так? Что же делать?!

М: Не переживайте. Перевод мы приостановили для выяснения обстоятельств. Возможно, данные вашей карты были скомпрометированы... бла-бла-бла... или делаем перевыпуск карты бла-бла-бла... или надо пройти идентификацию... бла-бла-бла.

Далее идет ряд стандартных убалтывающих вопросов разводилы с якобы фиксацией ответов моего коллеги (ответы пропущу - они стандартные, подыгрывающие):

М: Вы подтверждаете перевод? ... Я зафиксировал. Карта при вас? Может вы ее потеряли? ... Я зафиксировал. Вы карту передавали третьим лицам? Может делали платежи в интернете? ... Я зафиксировал. Какие были последние операции по карте? ... Я зафиксировал. Теперь нам необходимо провести идентификацию (для чего-то там). Назовите, пожалуйста, номер карты.

К: Так, погодите... А откуда мне знать, что вы из Сбербанка?!

М: Да, конечно, понимаю вас. Для того, чтобы вы убедились, что я сотрудник Сбербанка, я сейчас отправлю вам смс с номера 900, который, как вы знаете, принадлежит Сбербанку. Это смс нужно только, чтобы вы убедились, что я сотрудник банка, это смс ни к чему вас не обязывает, код называть не нужно согласно правилам безопасности... бла-бла-бла...

Отступление. В это время, мы нашли некоторую инфу о телефонном номере: прямой московский номер в коде 495, обслуживается оператором АО «КантриКом» (под брендом "Алло Инкогнито", продают услуги связи с "красивыми" номерами). В большинстве сервисов на тот момент номер был с нейтральным рейтингом, но все-таки негатив нашли - пара отзывов про мошенничество на одном из сайтов и в одном из приложений. Еще нашли аналогичные негативные отзывы на похожие "красивые" номера от "Алло Инкогнито". Все это наводит на мысли о выкупленном пуле номеров, например, под видом организации колл-центра, оформленного на подставное лицо. И сейчас идет волна развода, пока номера не будут полностью отработаны и скомпрометированы.

Возвращаемся к диалогу. Про смс. Мы все подумали, что придет смс с номера типа 9ОО или 9-00 (с буквами, знаками и т.п.). Но нет, пришло смс с реального сбербанковского номера 900 с примерным текстом: "Код для регистрации Сбербанк ID - ХХХХХ... никому не сообщайте код... если не вы запрашивали, то проигнорируйте...". Мы ожидали, что будет какой-то код. Но что за регистрация и как с реального номера 900? Подумали о каких-то сбербанковских сервисах или уязвимостях.

М: Вам поступило смс-сообщение?

К: Пришло... нужно код назвать?

М: Код называть не нужно в целях безопасности, это смс ничем не обязывает, как вы убедились - я сотрудник Сбербанка... бла-бла-бла... номер 900 это Сбербанк... бла-бла-бла... Сейчас необходимо идентифицировать. Назовите, пожалуйста, номер карты и примерную сумму на счете.

К: Ммм... эээ... а какой карты? у меня их две...

М: Назовите номер любой вашей карты, нам нужен один номер для идентифицикации...

Для поддержания спектакля мы подготовили реквизит - нагуглили картинку однозначно левой сбербанковской карты с номером.

К: Ну... хорошо... 1234 5678 9012 3456

М: Я зафиксировал. Назовите примерную сумму на счете?

К: Около сотни тысяч.

М: Хорошо, я зафиксировал. А на второй сколько?

К: На второй - мелочь, пара сотен рублей.

М: Я зафиксировал. Теперь для окончательной идентификации я переведу вас на старшего сотрудника для проверки ваших данных (или что-то в этом духе).

Далее происходит переключение на второго мошенника (или под видом второго говорит первый - мы не обратили внимание), обзовем его М2.

М2: Здравствуйте! Меня зовут Сергеев Петр Дмитриевич (я это тоже не запомнил, но он точно полностью представился набором распространенных русских ФИО). Старший сотрудник службы безопасности Сбербанка. Сейчас мы продолжим вашу идентификацию. У вас карта Виза Электрон. Все верно?

К: Виза Электрон.

Пи-пи-пи.... Мошенники что-то заподозрили, что-то их спугнуло, т.к. больше они не перезванивали.

Теперь о главном. Коллега позвонил в Сбербанк, рассказал об этом звонке и сообщил номер. Ему ответили, что это номер мошенников, что банковские сотрудники никогда не спрашивают данных карт, логины, пароли и т.п., убедились, что коллега никаких данных им не сообщил. А про смс с настоящего номера 900 сказали, что мошенники использовали мобильный банк.

О как! Ответ банка про смс нас удивил и озадачил. И вот почему. Регистрация, восстановление логинов/паролей, изменение телефонного номера дистанционно возможны только при наличии карты или номера карты или доступа в онлайн-банк. Но мошенники знали только номер телефона и имя! При этом прислали смс от Сбера с кодом регистрации и этот код не просили. Больше никаких смс не было ни до, ни после, ни во время. Стали думать, шерстить сайт банка, экспериментировать, гуглить... Ничего не придумали, не нашли. Решили забить на это.

И вдруг осенило! Слона-то мы сразу и не заметили! "Слон" был в смс - "Сбербанк ID". Оказывается, это отдельный сервис, о котором мы ничего не знали. Хоть он и есть на сайте Сбера в меню "Онлайн-сервисы", но мы не обращали на него внимания, как и на его название в смс. Именно в этом сервисе возможна регистрация по номеру телефона. Смс с кодом регистрации действительно было ни к чему не обязывающим - именно этот код мошенникам не нужен, регистрация в сервисе им тоже не нужна (хотя не факт). Это смс было нужно для отвлечения внимания, усыпления бдительности, убеждения жертвы в "реальности сотрудника СБ банка". В дальнейшем, как уже известно по многочисленным случаям, мошенники спрашивают другие коды (для переводов, смены пароля и т.п.). Вот где собака окопалась!

Почему в тегах я указал еще "ВТБ" и "Смарт SMS"? А все потому, что приложение банка ВТБ "Смарт SMS" имеет точно такую же схему регистрации - по номеру телефона. И мошенники используют это с той же самой целью, что и "Сбербанк ID" - для отвлечения внимания, усыпления бдительности, убеждения жертвы в "реальности сотрудника СБ банка". Вполне возможно, что у других банков тоже есть какие-то сервисы с регистрацией по номеру телефона и их тоже используют мошенники.

Вот так банки делают типа удобные безопасные сервисы, которые помогают мошенникам грабить людей. ЗБС — забота, безопасность, сервис. Будьте бдительны!

P.S. Коллега мой, тег - моё. Не знаю, нужно сейчас или нет - добавлю коммент для минусов.