Фишинг, вишинг, смишинг — к счастью, для многих это звучит лишь как заклинание. Однако, если не научиться распознавать телефонное и интернет-мошенничество, неблагозвучные заимствования прочно войдут в обиход.
Недавняя история акции Russian Сard заставила портал Банки.ру обратить внимание на другие случаи фишинг-мошенничества. Еще в 2004 году первым уловом аферистов стали клиенты Ситибанка. Держателям карт рассылались электронные письма с информацией о переводе на личный счет некой денежной суммы и просьбой подтвердить этот перевод в системе Citibank Online. При этом в письме приводилась ссылка на фальшивый сайт, где посетитель должен был ввести номер карты и PIN-код. В 2007 году фишинг-атакам подверглись клиенты Альфа-Банка. В письмах, отправляемых от имени банка, содержалось предупреждение о росте преступности в сфере компьютерной информации. В целях обеспечения безопасности предлагалось пройти по ссылке на веб-страницу, копирующую интерфейс системы «Альфа-клиент On-line», и получить электронный ключ, введя логин и пароль. Были и другие, менее масштабные, атаки. «У нас имеется информация о единичных случаях перенаправления клиентов на фальшивый сайт системы дистанционного банковского обслуживания и на фальшивые сайты интернет-магазинов», — сообщили в пресс-службе ВТБ 24.
Банки указывают, что не запрашивают по электронной почте персональную информацию о своих клиентах и рекомендуют внимательно проверять правильность получаемых ссылок. Чтобы быть уверенным, что вы находитесь на оригинальной странице интернет-банка, лучше не пользоваться ссылками, а пройти на нее через официальный ресурс кредитной организации. Точные сведения об адресах банковских веб-сайтов можно найти на сайте Банка России, а также на портале Банки.ру. Среди признаков, по которым можно определить лжесайт, — искажение логотипа, нестыковки в дизайне сайта, расположении управляющих элементов, баннеров; невозможность осуществлять навигации по сайту (он похож на картинку); орфографические и грамматические ошибки; неправильное расположение значка «замок», указывающего на защищенное соединение (он должен находиться внизу, справа, в строке состояния браузера, но ни в коем случае не на странице). Изначально насторожить клиента должно отсутствие в письме персонифицированного обращения, извещение о получении непредвиденных поступлений на счет, о необходимости прохождения повторной идентификации в связи с ошибкой, а также вложение в письмо запускаемых приложений.
Интернет-мошенничество — лишь одно из направлений фишинга. В последнее время широкое распространение в России получили другие его виды — вишинг и смишинг. Первое название образовано путем слияния слов voice и fishing, а второе обозначает все тот же fishing, но посредством SMS. Клиентам отправляются сообщения от имени банка с просьбой перезвонить по указанному номеру для решения проблем, якобы возникших с банковскими счетами. Далее, следуя инструкциям автоответчика либо живого «оператора банка», клиент должен сообщить или ввести на телефонной клавиатуре реквизиты карты. Иногда злоумышленники сами звонят жертвам, убеждая, что являются сотрудниками банка. В случае применения техники смишинга мошенники могут также высылать с помощью SMS ссылку на интернет-сайт, где потребуется ввести личные данные.
Сообщения о самых разных способах телефонного мошенничества можно найти на сайтах «Сбера», Альфа-Банка, ВТБ 24, банков «Возрождение», «Интеза» и «Открытие», «Барклайса» и др.
Ключи от квартиры, где деньги лежат
В конце июня банк «Возрождение» предупредил, что в звонках и SMS-сообщениях мошенники могут представляться сотрудниками операторов сотовой связи и информировать клиента о блокировке банковской карты, о перенастройках в сети сотового оператора, о возможной блокировке телефона, о принятой заявке на перевод денежных средств и пр. Цель злоумышленников та же — узнать реквизиты банковской карты.
Аналогичный случай описывает заместитель начальника департамента розничных технологий «КБ Открытие» Андрей Фролов: «Неизвестный позвонил клиенту по мобильному телефону, представился сотрудником компании — оператора мобильной связи и спросил, пользуется ли клиент услугой «Оплата банковской картой за мобильную связь». Получив утвердительный ответ, неизвестный под предлогом уточнения информации о карте попросил клиента назвать ФИО и параметры карты: ее номер, срок действия и код CVV2». Клиент не сообщил эти данные, а попросил назвать номер телефона, по которому он сможет уточнить причины звонка, после чего неизвестный повесил трубку.
Банки ВТБ 24 и «Открытие», предупреждая своих клиентов о случаях мошенничества, упомянули также SMS-послания об отказе в выдаче кредита, который клиентом не запрашивался. На специальном сайте, созданном оператором сотой связи «Мегафон» для борьбы с мобильным мошенничеством, данная схема расписывается более подробно. Жертву убеждают, что на ее имя оформлен кредит, уточняют, не терялся ли паспорт, а затем для ускорения проверки просят продиктовать полные реквизиты выданных другими банками карт.
Утром — деньги, вечером — стулья
Другой вариант обмана — заставить самого адресата перевести деньги на определенный счет, например под предлогом оплаты комиссии за разблокировку карты либо для устранения каких-либо неполадок при пользовании картой.
Так, в мае жительница Петропавловска-Камчатского, руководствуясь полученными по телефону инструкциями «сотрудников банка», перевела через банкомат более 14 тыс. рублей со своей пластиковой карты на номер мошенников. Данная операция была якобы необходима во избежание дальнейших сбоев в работе карты.
Неискоренимая слабость сограждан к безвозмездному пользованию ценными благами вдохновила мошенников на использование еще одной схемы обмана. Речь идет о многочисленных SMS-сообщениях о лотерейных выигрышах и непредвиденных поступлениях на банковский счет. Разумеется, для получения «бонуса фортуны» сперва нужно перевести определенную сумму на счет злоумышленника.
Уже более года в различных регионах России фиксируются случаи мошенничества с использованием имени Автовазбанка: на мобильные телефоны граждан направляются SMS-сообщения о розыгрыше автомобилей ВАЗ и прочих призов. С апреля 2009 года банк регулярно информирует своих клиентов на сайте, что никакого отношения к подобным акциям не имеет, не проводит розыгрыши автомобилей и никогда не сотрудничал с компанией сайта, ссылка на который указывается в SMS-сообщениях.
Скомпрометированным оказался и Банк России. По данным департамента внешних и общественных связей ЦБ мошенники представляются сотрудниками Центробанка, Минфина, Роспотребнадзора и предлагают по телефону гражданам, в основном пенсионного возраста, денежную компенсацию за ранее приобретенные лекарственные средства. При этом мошенники требуют существенной предоплаты в качестве уплаты мнимого налога или госпошлины за получение компенсации.
«Наиболее уязвимы для мошенников молодые клиенты в возрасте от 21 до 24 лет.
Заседание продолжается
Определить, действительно ли от банка пришло SMS-сообщение, несложно. Например, если в эсэмэске нет подписи, то, скорее всего, она отправлена аферистом. «Банки всегда подписывают свои сообщения. Мошенники, как правило, рассылают сообщения наугад, не зная заранее, клиенты какого банка их получат, поэтому они не подписывают свои сообщения от имени какого-то конкретного банка», — говорят в пресс-службе ВТБ 24. Определить письмо из банка можно также по номеру, с которого пришло SMS: так, сообщения Сбербанка всегда отправляются с номера 900, а клиенты банка «Открытие» могут получать SMS-уведомления только с символьного OTKRITIE.
Также следует обращать внимание на тип телефонного номера, по которому предлагается перезвонить. Большинство банков используют для обратной связи либо прямые номера (без федеральных кодов), либо бесплатные, начинающиеся на 8 800 (+7 800). Эти телефоны можно найти на официальных сайтах банков. Еще один критерий, по которому можно распознать SMS из банка — это указание в тексте сообщения четырех последних или первых и последних цифр номера карты (мошенникам эти данные неизвестны).
Судя по отзывам в «Народном рейтинге», банки редко предупреждают держателя о блокировке карты или об окончании срока ее действия: по традиции клиент обнаруживает это, когда стоит у кассы супермаркета с полной продуктов тележкой и без наличных в кошельке. Но полностью исключать возможность проявления банком подобной заботы все же не стоит. Если полученное сообщение за подписью банка полностью соответствует всем вышеперечисленным критериям, следует перезвонить в банк.
Основная мера противодействия мошенничеству — ни при каких обстоятельствах не называть данные карты. «Даже если вы уверены, что разговариваете с сотрудником банка, не называйте все реквизиты пластиковой карты (ее номер, срок действия, код защиты CVV2/CVC2)», — рекомендуют в Альфа-Банке. Если кто-либо под предлогом необходимости активации, возобновления действия карты или иных целей спрашивает ваш PIN-код, в ответ можно смело цитировать Бендера. Помните: ни один сотрудник банка не имеет права запрашивать PIN-код.
Если сообщение пришло от имени оператора мобильной связи, прежде чем следовать полученным в SMS-инструкциям, информацию также необходимо проверить. «Самый надежный способ в такой ситуации — иметь под рукой контакты вашего сотового оператора и прояснять все возникающие вопросы с менеджером по телефону, указанному на официальных сайтах», — советует Андрей Фролов.
Спасение утопающих — дело рук…
Будет ли банк возмещать ущерб в случае, если его клиент пострадает от действий фишеров? На этот вопрос в банках уклончиво отвечают, что возможность компенсации потерь всегда рассматривается применительно к конкретной ситуации.
В банке «Открытие» заявляют, что предпринимают меры для минимизации причиненного клиентам ущерба, например размещают на сайте и в дополнительных офисах информацию-памятку по безопасности использования карт и информируют о методах борьбы с мошенниками. «Что же касается вопроса возмещения финансовых потерь, то он решается в индивидуальном порядке», — объясняет представитель банка. В ВТБ 24 все обращения клиентов по поводу мошенничества тщательно проверяются, а решение о возмещении или об отказе в возмещении украденных сумм принимается по каждому случаю отдельно в зависимости от конкретных обстоятельств.
Следует понимать, что, предупреждая клиента о недопустимости разглашения PIN-кода любым посторонним лицам, банк снимает с себя ответственность за операции, проводимые с использованием персонального идентификационного номера. Необходимость сохранения PIN в тайне прописывается в условиях использования банковских карт и дублируется в памятках, правилах безопасности при пользовании пластиком. Когда речь идет о массовой фишинг-атаке на клиентов определенного банка и кредитной организацией фиксируется наличие поддельной веб-страницы, то возможен диалог о возмещении потерянных средств. Однако, если вы сообщили
Марина ЧЕРНЫШЕВА, Banki.ru
