- А что, кто-то верит этим звонкам «сотрудников банка»?
- И как отличить настоящего сотрудника банка от поддельного?
- А как еще?
- Ой. Давайте по порядку.
- Окей. А с сайтами что?
- Понятно. А как с рассылками быть?
- Нагнали страху. Есть какие-то способы себя обезопасить?
- Окей, буду внимательней.
- Виды мошенничества
- Механизм транзакции с помощью пластиковой карты
- Как противодействовать мошенничеству?
- Как мошенники узнают ваше имя и личные данные?
- Откуда мошенники берут номера телефонов для обзвона
- Как работают «чёрные» колл-центры мошенников
- Как делят доходы
- Почему же так сложно понять, что с вами разговаривает мошенник
Скимминг — это когда мошенники устанавливают различные подозрительные устройства у банкоматов и физически копируют данные карты. Более подробно об этом мы уже говорили ранее. Фишинг — это получение данных карты путем мошенничества.
Мошенник выдает себя за человека, которым он не является. Эта карта относится к фишингу. Основная цель фишинга — получить PIN-код, номер карты, номер CVC (3 цифры рядом с подписью), срок действия карты и SMS-код.
Фишерам не обязательно знать все вышеперечисленное, поэтому важно помнить, что не следует никому сообщать эту информацию. Да. Покупайте товары только на проверенных сайтах, поскольку интернет-магазины требуют ввести номер карты, срок действия и CVC.
В любом случае, не сообщайте эту информацию вслух. Если вас обманом заставили предоставить личную информацию, вернуть свои деньги практически невозможно, поскольку вы предоставили их добровольно.
А что, кто-то верит этим звонкам «сотрудников банка»?
Многие люди верят им. И вы тоже можете им поверить. Существует целая индустрия, занимающаяся такими звонками, включая профессиональных актеров, которые могут играть роль банковских служащих.
И как отличить настоящего сотрудника банка от поддельного?
Одним или несколькими из следующих способов:
1. подставной сотрудник звонит и просит сообщить код текстового сообщения или данные карты (номер, срок действия, CVC-код). Этого никогда не следует делать. 2.
2. подставной сотрудник не обладает достаточными знаниями. Например, он не может ответить на вопросы о других продуктах банка или недавних транзакциях. 3.
3. подставной сотрудник очень настойчив. Он пытается переубедить вас и настаивает на том, чтобы вы немедленно предоставили ему необходимую информацию.
4. фальшивый кассир звонит с мобильного телефона или его номер невозможно отследить.
Если вы сомневаетесь в звонке, положите трубку и позвоните в банк еще раз по проверенному номеру, чтобы убедиться, что звонок подлинный.
Обратите внимание: если вас не обманули фишинговые звонки, не убегайте. Потому что фишинг — это не только телефонные звонки.
А как еще?
Он рассылает сообщения, электронные письма и поддельные веб-сайты.
Ой. Давайте по порядку.
Давайте попробуем. Начните с сообщения. Поддельные текстовые сообщения могут сообщать вам, что ваш счет заблокирован или что на него поступила крупная сумма денег.
Как вариант, сообщение обещает приз или прибыль без усилий, например, выигрыш 30 000 рублей в час. Или сообщение содержит орфографические, орфоэпические или другие ошибки. Возможно, в сообщении указан поддельный номер телефона, и вас ожидает мошенничество.
Окей. А с сайтами что?
Возможностей для мошенничества гораздо больше, но если вы будете осторожны, то сможете избежать их всех. На что следует обращать внимание?
1. название банка (а также интернет-магазина или популярной услуги) по адресу (или ссылке для перехода). Могут быть тонкие ошибки. Например, «Сдербанк» вместо «Тинькофф», а не «Сбербанк» или «Тикнофф».
2. поведение программы просмотра. Все современные браузеры имеют технологию поиска подозрительных сайтов. Затем она предупреждает вас об опасности — главное, не игнорировать такие сообщения.
3. обратите внимание на то, как выглядит сайт. Например, есть сайты, которые притворяются виртуальными, например, интернет-магазины, только на них есть товары и отзывы.
4. следите за тем, как вы попадаете на сайт — это происходит, когда вы нажимаете на много ссылок одновременно. Нормальные сайты так не работают.
5. и еще одно: не вводите данные карты ни на одном сайте с https:// в начале адреса (только https, а не http, так как только https-заголовки гарантируют безопасную передачу информации).
Понятно. А как с рассылками быть?
Почтовые письма — это, пожалуй, самый опасный метод фишинга. Это связано с тем, что они попадают в вашу почту без предупреждения. Другими словами, вам не нужно ничего делать, чтобы получить опасное письмо.
Чтобы понять масштаб: 156 миллионов фишинговых писем отправляется по всему миру каждый день, 16 миллионов проходят через фильтры нежелательной почты, половина этих сообщений открывается, 800, 000 переходят по ссылкам, 80, 000 сообщают свои данные. Еще раз: 80, 000 человек по всему миру ежедневно отдают деньги грабителям только через рассылку. Как распознать поддельные рассылки?
1. внимательно смотрите на адрес отправителя. Основная афера всегда кроется там.
Будь то намеренная типографская ошибка (sbelbank, а не sberbank) или письмо отправляется по адресу, введенному в открытый почтовый сервис (gmail, mail, yandex и т.д.), является ли он формальным, красивым и правдивым? Если в рассылке есть проблемы с адресом отправителя, то это однозначно пародия.
2. посмотрите на ссылки в рассылке. Посмотрите, куда они вас направляют — если они не ведут на официальный сайт компании, которая должна прислать вам рассылку, не ходите туда.
3. ищите грамматические ошибки и опечатки. Они также являются поводом для беспокойства.
Мы настоятельно рекомендуем прочитать статью Хабрахабра на эту тему. В ней показано, что электронные «рыболовные» сообщения могут выглядеть как настоящие, что говорит о том, что мошенничество очень трудно обнаружить.
Нагнали страху. Есть какие-то способы себя обезопасить?
Прежде всего, с этим борются сами банки. В каждом банке есть служба безопасности, которая, по сути, является частной секретной службой, занимающейся поиском фишеров. Однако вы тоже можете защитить себя. Вот несколько советов от Тинькофф Банка, создателей этой карты
1. заведите еще одну карту для покупок в Интернете. Дополнительная карта использует тот же счет, что и ваша основная карта, но с другой платежной информацией. Если ее украдут, заблокируйте дополнительную карту и оставайтесь с основной картой.
2. Установите лимит расходов по дополнительной карте. Например, 5 000 рублей в месяц. Лимит может быть изменен в любое время.
3. позвоните по номеру, указанному на обратной стороне карты, чтобы проверить, включена ли функция 3D Secure, т.е. нужно ли подтверждать каждый электронный платеж отправкой SMS-кода. Если нет, узнайте, как это можно сделать: если вы не можете активировать 3D Secure, смените банк.
4. не держите карту и мобильный телефон вместе. Помещение карты в чехол мобильного телефона делает половину работы для мошенника. При оплате вы получите на собственный мобильный телефон текстовое сообщение с кодом.
5. установите и регулярно обновляйте программу Anti-Yessus.
6. не скачивайте программы и фильмы с пиратского сайта. Это самый надежный способ подцепить вирусы.
7. не устанавливайте на Android приложения не из Google Play.
8. защищайте свой телефон с помощью PIN-кода или отпечатка пальца. Никто, кроме вас, не должен иметь доступ к вашим сообщениям. Обязательно отключите отображение текстов на заблокированном экране. Конечно, таким образом легче вводить коды. Это касается и мошенников.
Окей, буду внимательней.
Также сообщите своим пожилым родственникам-родителям, если у вас есть Они не могут совершать покупки в Интернете, но наименее защищены от телефонных мошенников.
Узнайте больше о Meduza и работе Тинькофф Банка в целом.
Виды мошенничества
Существует множество видов мошенничества с банковскими картами, и перечислить их все невозможно. Более того, постоянно появляются новые, поскольку технологии позволяют изобретать все более сложные инструменты мошенничества.
Однако все они относятся к одной из двух основных категорий
- Мошенничество с транзакциями, не требующее физического присутствия карты (транзакции, подобные карте, CNP). Это наиболее распространенный вид мошенничества, когда данные карты похищаются и незаконно используются без самой карты. Обычно это происходит в Интернете и называется фишингом. Вы получаете электронное письмо, которое выглядит очень убедительно и достоверно — как будто оно пришло от надежного финансового учреждения или банка, услугами которого вы пользуетесь. В нем либо запрашивается личная информация (которую ни один настоящий банк не требует в такой форме), либо содержится ссылка (очень убедительная) на поддельный веб-сайт.
- Мошеннические операции с использованием карты. В настоящее время встречается реже, но заслуживает внимания. Часто принимают форму скимминга — когда безжалостный торговец с помощью кард-ридера запоминает данные карты и использует их в своих целях — например, для собственных покупок.
Фото
Шансы стать жертвой электронного мошенничества гораздо выше, чем пострадать от отеков
Механизм транзакции с помощью пластиковой карты
Мошенничество с пластиковыми картами отчасти облегчается тем, что механизм транзакции очень прост. Существует всего два этапа: аутентификация и расчет.
Сначала лица, участвующие в транзакции (клиент, издатель карты, трейдер, банк трейдера), отправляют и получают информацию для авторизации или отказа в авторизации рынка. Если рынок авторизован, он будет оплачен — обычно в течение нескольких дней после авторизации.
Если рынок авторизован, то выплаты не производятся. Это означает, что все меры по предотвращению мошенничества и идентификации должны быть применены на первом этапе сделки.
Ниже перечислены режимы работы (в очень упрощенном формате)
Если кредитная компания, такая как Visa или MasterCard, предоставляет право на использование своего товарного знака банку-эмитенту карты — например, Barclays Bank — и Merchant Bank, то определяются условия договора о сделке.
Затем банк-эмитент передает карту клиенту (или клиент получает ее в отделении банка, как это принято в России).
Для совершения покупки держатель карты передает карту торговому предприятию (или, в случае электронных покупок, вручную вводит данные карты с помощью специальной формы на сайте), после чего данные держателя карты передаются торговому предприятию. Банк.
Банк отправляет данные в банк-эмитент карты для анализа и подтверждения или отклонения. Окончательное решение банка-эмитента отправляется как торговцу, так и самому торговцу.
Платежи могут быть отклонены только в двух случаях Баланс на счете держателя карты недостаточен для совершения покупки или есть подозрение в мошенничестве.
Подозрение в мошенничестве, если оно несправедливо, ложится на покупателя (может быть не только отказано в продаже, но и заблокирована карта).
Как противодействовать мошенничеству?
Судя по моему исследованию, я попытался определить, как реализовать передовые статистические и возможные методы распознавания мошенничества, поэтому могу предположить, что самое главное здесь — это умножение современных технологий для последовательного анализа.
Путем постоянного наблюдения за держателями карт и сбора информации о времени, объеме и географических координатах каждой покупки можно разработать вычислительную модель для расчета вероятности того, что она является мошеннической. Кроме того, если эта вероятность превысит определенные пределы, банк, выпустивший карту, сможет подать сигнал тревоги.
Фото
Прежде чем вводить данные карты, убедитесь, что сайт использует безопасные протоколы связи.
Важно и то, что происходит дальше — быстрое, простое и понятное объяснение того, что произошло.
Конец истории с подкастом.
Компания может решить немедленно заблокировать карту или провести дальнейшее расследование (например, сначала позвонит клиенту).
Главное преимущество этой модели заключается в том, что она направлена на минимизацию потерь, независимо от причины. Другими словами, все расчеты должны быть направлены на снижение частоты ложных срабатываний.
Мое исследование еще не закончено. Но уже сейчас я могу сказать, что есть несколько золотых правил, которым нужно следовать, если вы не хотите стать жертвой мошенничества с банковскими картами.
Первое. Никогда не переходите по ссылкам в электронных письмах с просьбой предоставить личную информацию. Даже если письмо прислано вашим банком (почему-то от вашего банка…). .
Во-вторых. Прежде чем покупать у ранее неизвестного продавца, поищите отзывы по имени продавца. Прочитав отзывы, вы можете отказаться от покупки.
Третье. При осуществлении платежей в Интернете проверьте, что адрес сайта начинается с https:// (это означает, что он использует защищенные протоколы передачи данных). Также проверьте, чтобы на странице не было грамматических ошибок или странных слов (это может указывать на то, что страница создана с единственной целью — украсть данные карты и деньги).
Бруно Буонагуиди — научный сотрудник Университета итальянской Швейцарии в Лугано, Швейцария. Эта статья была написана им для The Conversation и опубликована здесь по лицензии Creative Commons.
Как мошенники узнают ваше имя и личные данные?
Мошенникам даже не обязательно знать номер вашей карты. Достаточно номера мобильного телефона.
Во многих случаях номера мобильных телефонов можно использовать для поиска имен. В мобильном приложении Сбербанк отображает ваше имя, отчество и первую букву фамилии — Тинькофф.
Существуют и другие способы узнать свое имя по номеру телефона. Ни один из них не запрещен Google.
Многие люди часто отправляют номера своих карт в личных сообщениях. Это повсюду — от разговоров родителей до WhatsApp и сбора средств в социальных сетях.
Остальное — дело техники. Если вам неожиданно позвонит сотрудник банка, он назовет вас своим именем и направит к номеру вашей карты, не поверите?
Откуда мошенники берут номера телефонов для обзвона
В прошлом элементы банковских карт обманывали в основном одиноких людей. Они часто стояли за перилами. Номера мобильных телефонов меняли как перчатки. Карточки регистрировали в витринах.
Вы понимаете, что этим людям нечего было терять. И у них появилось много свободного времени.
Весь колл-центр теперь в игре. Данные анализируются в больших масштабах. Номера телефонов получают с сайтов бесплатной рекламы, из социальных сетей и т.д.
Также используются покупные базы данных. В большинстве случаев их сливают сами банки. Там есть полные имена, номера телефонов и некоторые номера карт. Что можно сделать, так это узнать имя клиента.
Наконец, мошенники используют дыры в программном обеспечении. Они крадут либо данные клиентов, либо деньги.
Есть информация об известном банке, который совсем недавно был закрыт. Это позволяло им переводить деньги без согласия клиента. CVV не требовались, за исключением одноразовых кодов с номеров карт, номеров телефонов и SMS.
Никто не знает, сколько из этих уязвимостей может привести (или приведет) к связи с кем-либо. И никто никогда не узнает.
Как работают «чёрные» колл-центры мошенников
Нанять персонал для таких колл-центров несложно. Не нужно быть гениальным психологом, если у вас есть методика и сценарий, отточенный на реальных жертвах.
Возможно, вы даже видели объявления о такой работе. ‘Требуется новый сотрудник колл-центра, работа в финансовом секторе, зарплата более $1000 бонус’ — вам это ничего не напоминает? Они могут писать в своих объявлениях все, что угодно. Иногда они даже не упоминают о колл-центре.
Люди, которые хотят быстрых и легких денег, идут в колл-центры. Однако текучесть кадров там огромная. Тех, кто неэффективен, быстро увольняют.
Некоторые люди не добиваются успеха. Некоторые люди не добиваются успеха. Некоторые начинают тратить деньги на алкоголь и наркотики.
Новичков помещают на «вступительную операцию». Их обучают говорить по заготовленным сценариям.
Самые опытные ‘закрывают сделку’. Они поощряют клиентов не уходить.
Люди, находящиеся в тюрьме, могут работать в таких колл-центрах. Особенно если у них есть опыт. Однако их число относительно невелико.
Как делят доходы
Люди, работавшие в таких программах, анонимно сообщают, что голосовая почта приносит им на 20% больше денег, если голосовая почта работает сама по себе. Если один человек открывает сделку, а другой ее закрывает, оба получают по 10%.
Остальные деньги предназначены для зарплаты организаторов программы, оплаты «крыши», закупки оборудования и аренды офиса. Деньги необходимы для приобретения данных. Уникальные базы данных стоят тысячи долларов, а доступ к общим — полцены.
Деньги снимаются с карточек, выданных случайным людям. ‘Дропы’ снимают их в банкоматах.
Однако в последнее время мошенники все чаще используют криптовалюты. В Российской Федерации они не имеют юридического статуса, что во многих случаях не позволяет обнаружить транзакции (особенно когда используются анонимные валюты, такие как Monero или Zcash, или сервисные смеси).
В крупных городах может существовать множество фирм, занимающихся подобными аферами. Представьте себе разделение рабочих мест.
Почему же так сложно понять, что с вами разговаривает мошенник
Ведь это обученные профессионалы. А дилетанты почти всегда проигрывают специалистам.
Для создателей таких систем ломать банк клиентов — просто бизнес. Они не застаиваются, а растут и развиваются.
Сценарии усложняются. Оттачиваются приемы психологического давления. Приобретаются все более подробные базы данных. Они работают с самыми уязвимыми людьми.
В конце концов, не все читают интернет. Простой эксперимент: можно позвонить 10 пожилым людям, представиться сотрудником банка и попросить их сообщить данные своей карты; можно написать в комментариях количество полученных CVV/CVC-кодов; можно попросить написать в комментариях количество CVV/CVC-кодов, полученных ими; можно попросить написать в комментариях количество CVV/CVC-кодов, полученных ими.
Во многих случаях колл-центры маскируют настоящий номер банка похожей комбинацией букв и цифр. В результате 900 превращается в 9o o-9 и два » «.
Мошенники используют заранее записанные отрывки, чтобы убедить вас в серьезности системы. Вот пример:.
Подобные примеры есть здесь и здесь; на YouTube есть тысячи видео.
Но эта история не имеет ничего общего с высокими технологиями. Это методы социальной инженерии. И для уверенности в человеке, который имеет власть, но с властью. Особенно когда она притворяется, что хочет помочь.
В прошлом мошенники были более сдержанными, шлифовальными и угрожающими. Теперь они представляют собой «команду экспертов».
Каждый из них готов потратить на вас не более 10-20 минут. Простая арифметика: разделите баланс на вашей карте на пять (20% от этой суммы — доход черного колл-центра); почти наверняка вы не заработаете столько за 10-20 минут.