20.04.17

В последнее время зафиксирован всплеск киберприступлений в отношении клиентов Банка с использованием схемы Vishing. На эту «удочку» попадаются даже работники Банка.

Vishing: как не попасться на удочку мошенникам

Vishing расшифровывается как Voice Fishing т.е. голосовой фишинг. Преступники прекрасно владеют психологическими приемами, поэтому в ходе телефонного разговора ловко применяют изощренные инструменты манипуляции.

Суть метода заключается в следующем: мошенники звонят жертве на телефон и, представляясь сотрудником Банка или даже его клиентом, выманивают у него конфиденциальную информацию, такую как:

  • логин и пароль для входа в личный кабинет интернет-банка;
  • одноразовые пароли в SMS для подтверждения операций в системах ДБО Банка
  • кодовое слово для идентификации клиента в call-центре банка;
  • CVV2/CVC2 карты.

Эту информацию они используют в том числе для мошеннических операций и кражи денег со счета.

Приведем простой пример:

Вы решили продать в интернете что-нибудь ненужное, например, зимнюю резину или старый телефон. Размещаете объявление на OLX, указываете свой телефон для связи и ждете, когда же к вам обратится потенциальный покупатель.

Через некоторое время вам поступает звонок: покупатель очень хочет приобрести ваш товар и предлагает перевести предоплату или даже оплатить всю стоимость, но для этого ему нужен номер вашей карты. Зная номер карты и телефонный номер, злоумышленник заходит на страницу подключения/восстановления Альфа-Мобайл или Альфа-Клик и пытается сменить пароль. После этого подключается следующий злоумышленник. Он тут же звонит вам и, представившись сотрудником безопасности Банка, выманивает присланный в SMS сообщении одноразовый пароль. После того, как первый злоумышленник совершает перевод денежных средств, «сотрудник безопасности» звонит еще раз и так же обманным путем выманивает одноразовый пароль для подтверждения транзакции.

Это только один из множества примеров, и при этом один из самых сложных. Нередко все происходит гораздо проще и не требует такой многоходовой комбинации — доверчивые клиенты Банка сообщают «сотруднику безопасности» все данные карты, включая дату выпуска и CVV2/CVC2 код. В этом случае для вывода средств используется любой сервис переводов с карты на карту. Так как все конфиденциальные данные уже переданы злоумышленнику, клиент не видит проблемы выдать еще немного и называет код из SMS.

Атаки такого типа происходят все чаще, и потери клиентов Банка уже перешли за шестизначную сумму. Какой бы примитивной вам не казалась эта преступная схема, помните - преступники в совершенстве владеют методами социальной инженерии и прекрасно умеют убеждать. Очень часто в роли «сотрудников безопасности» выступают опытные рецидивисты. Убеждать и обманывать людей они умеют профессионально.

Будьте бдительны!

Для того, чтобы звонок выглядел правдоподобнее, злоумышленники используют номера, очень похожие на номер Банка или даже, используя уязвимости протоколов связи, подменяют номер на наш номер 8-8000-8000-75. Однако, как показывает практика, клиенты спокойно выдают все данные даже при звонке с неизвестного мобильного номера, услышав волшебное словосочетание «Служба безопасности».

1) Не сообщайте НИКОМУ одноразовые пароли, кодовое слово и CVV2/CVC2!

2) Сотрудники Банка НИКОГДА, ни при каких обстоятельствах не звонят клиентам с просьбой озвучить персональные данные, данные банковской карты / другую конфиденциальную информацию.

3) Если у вас есть сомнения, что вам позвонили из Банка, НЕМЕДЛЕННО прекратите разговор и обратитесь в call-центр Банка.

4) Если вы получили SMS об операциях, которые Вы не совершали, НЕМЕДЛЕННО обратитесь в call-центр Банка.

5) Проверяйте номер телефона с которого вам звонят. Звонки НИКОГДА не поступают с указанных на сайте и банковской карте номеров – они используются только для входящих звонков.

6) В случае, если вы все-таки стали жертвой злоумышленников, следует НЕМЕДЛЕННО обратится в call-центр Банка для блокировки карты и своей учетной записи в системах ДБО Банка.