Мошенники научились обходиться без данных кредитных карт, теперь им достаточно получить QR-код из приложения для вывода денег от клиентов. О новой диете информированный Банк России 7 апреля в своем Telegram-канале.
Согласно отчету, для кражи денег мошенники используют сервис снятия наличных с помощью QR-кода, доступный в ряде банков. Злоумышленники звонят клиентам под видом сотрудников банка, сообщают о якобы несанкционированном запросе на снятие денег со счета и просят прислать QR-код для отмены операции. В мобильном приложении заказчик может самостоятельно сгенерировать код. Получив ее, мошеннические банковские служащие снимают наличные в банкоматах со счета обманутого лица.
В данном случае QR-код фактически является указанием банку выдать деньги без ввода ПИН-кода. Поэтому их ни в коем случае нельзя ни с кем разглашать, отмечают в ЦБ. Также учреждение не рекомендует хранить изображение QR-кода в телефоне или в распечатанном виде. Настоящие банковские работники никогда не просят у клиентов QR-код, указал центральный банк.
Риски, связанные с выводом денег с помощью QR-кодов, достаточно высоки, считает Дмитрий Дудков, специалист по финансовому мошенничеству Group-IB. Тот факт, что эта система является новой для пользователей, играет на руку злоумышленникам — они уже знают, что не могут выдавать PIN-код, CVV и запрос на отправку QR-кода могут удивить жертв, сказал он «Ведомостям». Кроме того, злоумышленники могут получить QR-код с помощью программного обеспечения для удаленного управления на устройстве жертвы, отметил Дудков.
Раньше мошенники либо брали номер карты и ее код, либо ставили дополнительную накладку на клавиатуру для поиска пин-кода, а в данном случае это делается через QR-код для доступа к финансам клиента, — Денис Кусков, генеральный директор «Телеком». Ежедневно, сообщают «Ведомости». «Но принцип тот же — получение информации о денежном счете владельца и снятие средств», — подчеркнул он. По словам эксперта, этот метод опаснее только своей новизной — люди могут быть более восприимчивы к провокациям со стороны мошенников, так как никогда о нем раньше не слышали.
Действия злоумышленников сводятся к тому, чтобы запутать человека, запутать его сознание, чтобы он поддался на уговоры и предоставил информацию, — говорит Кусков. Первая часть их действий — «подорвать» человека психологически: «Если ты не будешь делать то, что мы сейчас говорим, ты многое потеряешь», — отмечает эксперт. Во-вторых, ориентация на инновации, с этой точки зрения QR-код — это просто что-то новое для большинства клиентов банка.
«Вообще для этих целей используются разные категории — не только звонки из «банков», но и фейковые сотрудники правоохранительных органов, МВД, прокуратуры», — перечисляет Кусков.
Мошенники будут придумывать новые схемы и сценарии, связанные с возможностью вывода денег со счетов жертв с помощью QR-кода, считает Дудков. Чтобы обезопасить свои средства, необходимо соблюдать те же правила, что и с кодом безопасности CVV, PIN и SMS – никому не сообщайте QR-код, в том числе не пересылайте его внезапно позвонившим «сотрудникам банка», а также следуйте общим рекомендациям по защита от мошенников. Также Дудков советует не сканировать QR-код от сомнительного отправителя — это может привести к фишинговому или мошенническому ресурсу, начать загрузку вредоносного файла, подтвердить транзакцию, которую настроили злоумышленники.
Среди актуальных схем мошенничества, используемых сегодня злоумышленниками, эксперты называют шантаж кредитом. От имени потерпевшего мошенники заполняют заявку на сайте кредитной организации. Они берут данные из украденных баз данных. Жертве приходит СМС с запросом на подтверждение кредитной заявки от реального банка или микрофинансовой организации, после чего с ней связываются мошенники и получают необходимую конфиденциальную информацию — якобы для прекращения оформления кредита.
Также мошенники активно используют голосовые возможности и технологии, позволяющие использовать специальные программы для синтеза голоса человека. Например, злоумышленники звонят человеку и молчат, или, наоборот, задают вопросы на односложный ответ, чтобы записать его голос. Затем голос накладывается нужным образом в специальной программе. «Его можно использовать в различных ситуациях против человека. Если вы не знаете, кто вам звонит, никогда не говорите и кладите трубку», — говорит Кусков. Эксперт также не советует первым начинать разговор при звонке с неизвестных номеров.
