Новая опасность
Мошенники начали использовать новый сценарий обмана россиян с использованием Apple Pay и Google Pay, пишут «Известия» со ссылкой на информацию, поступившую от российских банков.
Киберпреступники убеждают россиян в том, что их деньги пытаются украсть, и их надо перечислить на «безопасную» карту. После этого злоумышленники просят привязать ту самую карту в мобильные приложения для платежей.
Для перевода денежных средств жертве нужно воспользоваться банкоматом с поддержкой NFC.
Пользователь прикладывает телефон с Pay-сервисом к специальному сканеру и пополняет «защищенную» карту, однако деньги перечисляются мошеннику, у которого есть физический аналог карты.
После этого злоумышленник снимает наличные с карты через другой банкомат.
Как отметили в различных банках, данная схема появилась недавно и количество таких атак растет с июня 2021 года. Новый сценарий обмана стал возможен благодаря распространению банкоматов с NFC-модулем, где можно обслуживаться без предъявления физической карты. Такие технологии уже внедрены в Райффайзенбанке, «Открытии», МКБ, ВТБ, «Альфе», Росбанке, ПСБ, Сбербанке, «Тинькофф».
Сами виноваты
Pay-сервисы — это приложения для совершения электронных платежей с мобильных устройств. В России представлено сразу несколько подобных инструментов, например, Apple Pay, Samsung Pay, Google Pay, SberPay и другие.
Как отметил в беседе с «Газетой.Ru» директор по анализу угроз Avast Михал Салат, такие платежи имеют множество преимуществ, например удобство и защита данных. Эти приложения не имеют доступа к настоящим номерам ваших кредитных или дебетовых карт — вместо этого они используют метод токенизации, который генерирует уникальный номер для каждой транзакции.
Несмотря на то, что эти приложения и их экосистемы безопасны, преступники все же находят способ обмануть их пользователей.
Например, по словам директора по противодействию мошенничеству BI.ZONE Антона Окошкина, мошенники могут позвонить клиенту Pay-приложений, чтобы узнать номер его карты. После чего ее привязывают к устройству злоумышленника, который выводит средства с карты жертвы через банкомат или путем покупки товаров.
Как отметил эксперт, чтобы узнать персональные и банковские данные пользователя, чаще всего злоумышленники используют методы социальной инженерии.
Генеральный директор LIFE PAY Арсений Косенко отмечает, что злоумышленники могут убедить жертву установить приложение, которое начинает шпионить за владельцем устройства — запоминает введенные пароли или проникает в приложение «Мобильный банк» и переводит оттуда деньги на счет злоумышленника.
Кроме того, мошенники могут изготовить «дубликат SIM-карты». С его помощью они списывают деньги через банковское приложение, «перехватив» SMS об авторизации пользователя.
«Если во время телефонного разговора вы теряете понимание, зачем вас просят совершить то или иное действие, либо просто появляется мимолетное сомнение — возьмите таймаут. Лучше позвонить по официальному номеру банка, картой которого вы пользуетесь, и объяснить представителю всю ситуацию», — объяснил Косенко.
По словам директора по развитию web-технологий компании Artezio (входит в группу ЛАНИТ) Сергея Матусевича, зачастую преступникам не нужно придумывать никаких сложных технических схем. Они опираются на психологические приемы, которые заставляют людей принимать решения быстро, не задумываясь.
«Задача мошенника – убедить пользователя привязать к сервису чужую карту. Следующий шаг — убедить клиента внести деньги на сервис. Денежные средства злоумышленники выводят уже через собственную карту. Фактически человек сам отдает свои деньги мошенникам, только с помощью платежного сервиса и манипуляций с картами. Если бы у пользователя было время подумать и понять зачем он это делает, то вряд ли бы такая схема вообще работала», — заключил эксперт.