Механизм хищения денежных средств с использованием методов социальной инженерии.

Основным инструментом мошенников является получение от держателя карты конфиденциальной информации: номер, срок действия, код CVV2/CVC2 и одноразового СМС кода из сообщения, подтверждающего транзакцию.

Для реализации этой схемы злоумышленники, как правило, осуществляют телефонные звонки, представляясь сотрудниками банков и не только, используя различные сценарии:

- Сообщение о блокировке карты или несанкционированном списании.

- Запрос на "актуализацию данных" или подтверждение легитимного, по их словам, платежа.

- Информирование о якобы поступившем крупном переводе, для получения которого необходимо "активировать карту" или сообщить её данные.

Сценарии постоянно меняются с целью снижения бдительности потенциальных жертв.

Как мошенники узнают ваши данные.

Чтобы вас обмануть, преступникам не нужна ваша карта. Достаточно номера телефона. Потому что:

- Приложения банков по номеру показывают ваше имя и отчество (или их часть).

- Ваш номер легко гуглится.

- Номер карты вы могли сами публиковать в чатах (сборы денег, благотворительность).

И вот вам звонит "сотрудник банка", называет по имени, диктует номер вашей карты. Доверие обеспечено. А дальше дело техники. Будьте осторожны!

Эволюция методов спама и мошенничества

Помните времена, когда назойливые звонки с просьбой "сообщить данные карты" были уделом сидельцев с одной "симкой" на двоих? Времена изменились. Теперь это индустрия с профессиональными колл-центрами и многомиллионными оборотами. А номера ваши можно много где найти.

- Во-первых, это парсинг. Ваш номер - товар. Его просто собирают роботы с миллионов страниц: с Авито, где вы продавали диван, с вашего же профиля ВКонтакте, с форума, где вы просили совет. Всё в общую базу.

- Во-вторых, это инсайдеры в банках. Да-да, те самые сотрудники, которым вы доверяете свои данные. Продажа клиентских баз прибыльный чёрный бизнес. И в этих базах уже есть не только номер, но и ваше имя, и даже последние цифры карты. Поэтому "сотрудник службы безопасности" так убедителен.

- В-третьих, это "дыры" в самих банковских системах. Баги, уязвимости, ошибки программистов. Говорят, недавно один крупный банк в срочном порядке латал дыру, позволявшую делать перевод, зная только номер карты и перехватив SMS. Никакого CVV. Страшно представить, сколько таких уязвимостей уже принесли кому-то состояние и так и не были найдены.

Обратная сторона провода: кто вам звонит из "службы безопасности".

Думаете, по ту сторону телефона сидят злые гении с психологическим образованием? Как бы не так. Чаще всего это обычные люди, которых заманили обещанием лёгких денег.

Вы наверняка видели: "Требуются сотрудники в финансовый отдел, доход от 100 тысяч". Красиво, правда? Ни слова про мошенничество. Человек приходит, а ему дают скрипт и говорят: "Учи, завтра на обзвон".

Конечно, не все выдерживают. Кого-то тошнит от собственного вранья, кто-то тупит и не может "продать", а кто-то начинает просаживать быстрые деньги на бухло и наркотики. Неэффективных выкидывают на улицу.

Есть зелёные новички, которые просто лезут в душу со скриптом. А есть другие - матёрые звонари, которые дожимают жертву, когда та уже готова положить трубку. Они умеют давить на больное.

И да, говорят, даже на зоне есть свои "специалисты", которые продолжают работать по старой памяти. Но это скорее экзотика, чем правило. Основная масса - обычные парни и девушки, которые просто захотели лёгких денег.

Кому достаются ваши деньги? Финансовая пирамида мошенников.

Вы думаете, оператор, который названивает вам с предложением "спасти средства", получает копейки? И да, и нет. В среднем его доля 10-20% от похищенного. Если работает один до 20%. Если в паре, один втирается в доверие, второй дожимает, то по 10% на нос.

Остальное - это огромный рынок расходов:

- Организаторам схемы (тем, кто придумал этот бизнес).

- На "крышу" (безопасность, связи).

- На оборудование и аренду офисов (да, они сидят не в подвалах, а в нормальных офисах).

- На базы данных. Хотите уникальную, свежую базу? Готовьте пару тысяч баксов. Доступ к общей - дешевле.

Вывод денег. Раньше всё было просто: "дропы" - люди с картами, снимающие наличку в банкоматах. Их находили через объявления и платили им комиссию.

Сейчас мода ушла в крипту. Почему? Потому что биткоин сложно отследить, а если взять Monero или ZCash да ещё пропустить через миксер, то это просто чёрная дыра для следствия. В России криптовалюта вообще вне правового поля, что мошенникам только на руку.

Масштабы? Представьте, в одном только крупном городе может работать несколько десятков таких контор. И каждая отмывает миллионы. Страшно подумать, сколько денег уплывает в эту чёрную дыру.

Почему так трудно распознать мошенника по телефону.

Казалось бы, о схемах обмана говорят из каждого утюга. Но люди по-прежнему попадаются. Почему? Потому что на том конце провода не любитель, а подготовленный профессионал, за плечами которого отточенные методики и психологическая подготовка.

Для организаторов таких схем обман клиентов банков это просто бизнес. Причём бизнес, который не стоит на месте, а постоянно развивается. Совершенствуются скрипты, оттачиваются приёмы давления, покупаются всё более подробные базы данных. Мошенники целенаправленно работают с наиболее уязвимыми категориями граждан.

К тому же не все читают предупреждения в интернете. Проведите простой эксперимент: позвоните десяти пожилым знакомым, представьтесь сотрудником банка и попросите назвать данные карты. Напишите в комментариях, сколько CVV-кодов вы получили. Результат, скорее всего, вас удивит.

Мошенники активно маскируют номера. Легендарное "900" легко превращается в "9ОО" (девятка и две буквы ОО). В ход идут заранее записанные фрагменты разговоров, звуки работы колл-центра. Всё, чтобы убедить вас в серьёзности системы.

Но даже не технологии здесь главное, а социальная инженерия и наше доверие к человеку, который наделён пусть маленькой, но властью, особенно если он делает вид, что хочет помочь. Раньше мошенники работали грубее: рэкет, угрозы, давление. Сейчас это команда профессионалов, которая готова потратить на вас 10–20 минут.

И здесь работает простая арифметика. Возьмите остаток на вашей карте, разделите на 5 (это 20% от суммы примерный доход оператора). А теперь подумайте: зарабатываете ли вы столько за 10–20 минут? Скорее всего, нет. Именно поэтому у них есть стимул тратить на вас своё время.

Не попадайтесь на уловки. Хороших вам телефонных собеседников.