Как угоняют банковские карты продавцов на Avito, Auto.ru и других классифайдах

Развитие событий: «Тинькофф» закрыл уязвимость, которая позволяла узнать баланс любой карты банка (12 августа)

Клиент банка «Тинькофф» рассказал в своем Facebook о новом способе мошенничества с банковскими картами. При продаже товаров на онлайн-площадках, потенциальный покупатель звонит продавцу, у которого выпрашивает селфи с паспортом и фото банковской карты. Покупатель делает перевод (100% стоимости товара). Дальше контрольные данные карты пытаются узнать с помощью звонков «отставного силовика», якобы сотрудника Тинькоффа. Звонки идут якобы с официального номера банка — подмена возможна благодаря использованию ip-телефонии. Затем уже от имени владельца звонят в банк, называют контрольные данные и уводят средства со счета.

Я тут столкнулся с наверное новой и очень изощренной формой мошенничества, в рамках которой плохие люди пытались получить доступ к банковскому счету моей дебетовой карты в любимом Тинькофф Банк.
Внимание — текст длинный. Но он стоит того, чтобы оценить уровень подготовки и изощренности мошенников. Схема настолько продвинутая и психологически и технологически, что достойна того, чтобы про нее написать, т.к. об этом должны узнать как можно больше людей.
Если вы продаете что-нить недешовое (макбук, дорогую фотокамеру, часы, участок земли и тд) на Авито, Ауто ру и прочих таких сайтах, то вы потенциальная жертва. Особенно, если вы это продаете уже очень давно, а значит желание продать у вас обострено. Будьте на чеку.
Итак, у меня на Авито продается недешевый предмет личного пользования. Мне в WhatsApp написал человек из другого города, спросил про предмет продажи и сразу же предложил купить его со 100% предоплатой на банковскую карточку или расчетный счет. Далее я должен был отправить ему предмет продажи курьерской службой. Покупатель даже уточнил, какой у меня банк? Я ему предложил на выбор четыре варианта. Человек выбрал Тинькофф банк.
В подтверждение своих слов человек мгновенно прислал мне свое фото вместе с паспортом, фото самого паспорта и фото лицевой стороны своей кредитки Тинькофф банка All Airlines. И попросил сделать меня тоже самое.
Тут нужно сказать, что ежедневный уровень моей личной паранойи очень низкий, к своим личным паспортным данным я отношусь довольно-таки спокойно если не пофигистично, а уровень доверия к людям у меня довольно высокий. Поэтому я сделал свое селфи с паспортом и отправил чуваку. Я не стал фоткать свою банковскую карточку (было лень ее доставать), а просто отправил её номер, чтобы покупатель смог сделать перевод. Товарищ на том конце написал мне, что как только сделает перевод, то сразу же мне позвонит.
Думаю, что вся эта история происходила в пятницу не спроста. Потому что позвонил мне этот товарищ вечером. Сначала в WhatsApp, но эти два звонка я не увидел и не услышал. Потом звонок был сделан просто на мобильник. Нормальный мужской голос сообщил мне, что только что отправил мне деньги, правда не внутренним переводом внутри Тинькова, а со своего счета в банке Абсолют. И попросил перезвонить ему или написать, как только я их получу.
А дальше началось самое интересное и непонятное для меня :)
Через 10 минут мне поступил звонок на мобильник не откуда-нибудь, а из службы безопасности Тинькофф банка. И я сразу же напрягся. Уровень моей паранойи резко повысился. И вот почему.
Во-первых, номер отобразился на моем огрызке вот так: +880 (0) 555−22−77
Мне, как человеку немного разбирающемуся в тонкостях ip-телефонии, сразу пришла мысль о подмене номера.
Во-вторых, я являюсь клиентом Тинькофф банка уже наверное лет 10 и за все это время мне ни разу не звонили из службы безопасности при поступлении входящих переводов, даже на большие суммы денег. Т.е. в моем случае на лицо нестандартный паттерн поведения банка.
В-третьих, голос у звонящего мужчины очень характерно булькал и прерывался. Мне было понятно, что звонит он не из банка, а неизвестно откуда с использованием каких-то замысловатых voip-маршрутов.
Мужчина позвонил, представился, был очень вежлив и объяснил цель своего звонка, как подтверждение моей личности для зачисления входящего перевода на мою карту из Абсолют банка. Обосновывал он эту цель очень грамотно, оперируя перечислением федеральных законов о противодействии мошенничествам и прочим нехорошим делам. Разговаривал вежливо и очень хорошо поставленным голосом отставного силовика.
Но пока он мне все это объяснял, голос его булькал, прерывался, а потом звонок и вовсе разорвался. Через минуту мужчина снова перезвонил с номера +880 (0) 555−22−77 и в этот раз соединение уже было устойчивым и качество голоса было отличным.
Он по банковским стандартам извинился за качество телефонного соединения и начал задавать мне контрольные вопросы.
Я сказал, что не верю, что он звонит мне из Тинькофф банка, потому что номер определяется «криво». И что продолжать разговор я не буду, пока он не перезвонит мне с реального номера банка. В этот момент я уже сидел у своего макбука и открывал в браузере страницу с контактами банка.
Мужчина мне говорит — ок, я сейчас перезвоню вам с другого номера, чтобы я убедился, что он действительно из Тинькофф банка. И действительно, через минуту он перезванивает мне с номера +7 (495) 645-59-19. Такой номер действительно есть на сайте Тинькофф банка. Но я не расслабляюсь.
Мужчина очень достоверно мне рассказывает о том, что на различных сматфонах Android или iPhone с новейшими версиями прошивок номер банка может отображаться некорректно, а потом снова задает мне контрольные вопросы. Но я отказываюсь на них отвечать, мотивируя это тем, что не доверяю ему.
По нормальному, мне нужно было закончить разговор с ним уже в этот момент, но желание продать то, что уже давно продается на Авито, активно балансирует на весах с моей паранойей))
Мужчина тоже не сдается и задает мне несколько вопросов, которые может задавать только очень подготовленный для подобных разговоров человек.
Например, он спрашивал меня о последних операциях по моей карте, о том, с какого года я являюсь клиентом Тинькофф банка, какой последний кредит я у них оформлял и на какой адрес мне последний раз привозили банковскую карту. Ни на один вопрос кроме адреса я не дал четкого ответа, но тем не менее… мужчина из службы безопасности сообщает мне, что идентификацию личности я прошел и что деньги на моей счет будут зачислены из Абсолют банка завтра в первой половине дня (т.е. в субботу).
Минут через пять после окончания разговора с безопасником из Тинькова, мне пишет в ВатсАпп покупатель о том, что ему только что звонили из Абсолют банка и подтвердили перевод на мою карту в Тинькофф.
Выглядит все очень-очень достоверно и в какой-то момент я забываю про свою паранойю. А вдруг все это реально и завтра утром я получу свои деньги? :) С этой обывательской мыслью я забываю об этой истории до утра.
Утро начинается со звонка мне из Тинькофф Банк, за что им огромное спасибо — они большие молодцы и уровень безопасности у них на высоком уровне. Я надеюсь :)
В 11:55 субботы мне звонит девушка с номера +7 (495) 648-11-11 и спрашивает, не обращался ли я только что в банк с номера… и называет последние цифры номера, с которого в пятницу мне звонил и переписывался в ВатсАпе со мной «покупатель».
Я отвечаю, что нет не обращался. Она задает мне пару идентификационных вопросов и сообщает, что был звонок в банк от моего имени, но звонивший не смог ответить на контрольные вопросы, поэтому они прекратили с ним общение и включили блокировку на мою персональную информацию. Поэтому она звонит мне, чтобы сделать проверку моей личности и разблокировку.
Пока мы разговариваем, я слышу привычный для Тинькофф банка шумовой фон и то, как сотрудница стучит по клавиатуре. Качество связи хорошее и паттерн поведения сотрудницы банка для меня привычный. Я отвечаю на ее вопросы и она сообщает мне, что снимает блокировку на мои данные. На этом звонок заканчивается.
Примерно полчаса я обдумываю сложившуюся ситуацию, проверяю через мобильное приложение остаток на моем счете в Тинькофф банке, понимаю, что столкнулся с очень изысканным способом попытки меня ограбить… и моя паранойя решает, что надо проверить — а девушка в 11:55 мне точно из банка звонила?
В 12:30 я открываю сайт банка, захожу в личный кабинет и обнаруживаю, что в разделе Мои вопросы есть заявка № 5−379484423375 от 08 июля 2016 «Заявка на обновление данных», т.е. заявка, которая сделана в пятницу. И написано, что решена она при этом 9 июля. Очень интересно… Я сам никакой заявки вчера не делал.
В 12:40 я делаю из личного кабинета онлайн-звонок в банк. Мне отвечает сотрудница по имени Татьяна и я разрываю онлайн-звонок. В 12:41 мне на айфон снова поступает звонок с номера +7 (495) 648-11-11 и я слышу голос Татьяны, которая только что отвечала мне на сайте. Таким образом я убеждаюсь, что разговариваю именно с сотрудницей банка и прошу её подтвердить мне — звонили ли мне вчера вечером и сегодня утром из банка?
Татьяна просит меня подождать пару минут, и через это время сообщает, что да, сегодня утром мне точно звонили на мой мобильный номер из банка по поводу персональных данных, а вот вчера, т.е. в пятницу, мне был сделан звонок из банка якобы по поводу зарплатного проекта… «Наверное могли предложить вам получить зарплату на карточку от вашего работодателя» сказала мне Татьяна :) Хм… еще интереснее. На этом мы с Татьяной расстаемся.
Я понимаю, что сегодня мне действительно звонили из банка, что сегодня утром банк предотвратил попытку доступа к моему счеты по телефону со стороны мошенника… но меня по прежнему нет ответа на вопрос — а кто же тогда мне звонил с банковских номеров вчера? Банковский «крот»?
Ровно через час, в 13:40, мне на мобильник поступает звонок с номера +7 (800) 555-16-61. Женщина спрашивает меня по имени и уточняет — обращался ли я в Тинькофф банк только что? Я отвечаю, что нет, она извиняется и кладет трубку…
Я снова захожу на сайт Тинькова и вижу, что на странице контактов такого номера нет. Моя паранойя снова зашкаливает и я немедленно вхожу в личный кабинет. Убедившись, что мой счет в порядке, я пишу в онлайн-чат вопрос про номер +7 (800) 555-16-61 — является ли он номеров банка? Оператор в онлайн-чате мне отвечает — да, это номер банка.
В 13:48 мне на айфон снова поступает звонок с номера +7 (495) 648-11-11. На этот раз мне звонит сотрудник Тинькофф банка Даниил (хотя тут я могу и ошибаться) и снова задает вопрос — обращался ли я в банк только что? Потому что от моего имени был звонок в банк, но звонивший не смог ответить на контрольные вопросы и поэтому банк заблокировал мои персональные данные. Снова — втрой раз за субботу))
Естественно я в банк только что по телефону не обращался, а делал это ровно час назад. Естественно у меня не такого мобильного номера, с которого только что кто-то звонил в банк от моего имени (молодой человек снова назвал мне номер покупателя из ВатсАппа). Естественно, мы снова прошли проверку моей личности, чтобы сделать разблокировку моих данных.
И на этот раз молодой человек по моей просьбе внес информацию о том, что я могу звонить в банк только с моего мобильного номера и более никак. И больше никто не может обращаться с банка от моего имени с любого другого номера. Даже я сам теперь из офиса не смогу звонить, если мне надо будет. Только с мобильника.
На этом история заканчивается. Больше никаких звонков из банка я за субботу не получал. А мой покупатель из ВатсАппа на связь со мной не выходил :) Мой счет в Тинькофф банке пока в порядке))
Какие выводы и вопросы у меня остаются?
Вывод первый — мошеннические схемы становятся все более изощренными и психологически и технически. Неподготовленный человек тупо с ними не справится. Подготовиться к таким схемам практически невозможно. Мошенники всегда идут на шаг впереди обывателей. Я смог включить достаточный уровень паранойи только потому, что я хоть чуть-чуть понимаю в voip-технологиях. Именно это меня насторожило в первую очередь.
Вывод второй — в интернете гуляют паспортные данные граждан, которые они сами тупо сдают мошенникам. Кого-то будут точно также обманывать теперь с помощью моего паспорта. А значит, продавать что-либо через Авито, Авто ру и прочие классифайды можно только через личное общение. Без вариантов.
Вывод третий — технологии ip-телелфонии стали настолько продвинуты, что вы никогда не можете быть уверены, что вам звонят именно из банка, суда, полиции, больницы или еще откуда то. Будьте готовы к тому, что вас могут обмануть даже при звонке из дома.
И вопросы — в этой истории мне остается непонятным момент со вечерним звонком пятницу из службы безопасности Тинькофф банка. Если это была подмена номера, то откуда взялась в моем личном кабинете заявка № 5−379484423375 от 08 июля 2016 «Заявка на обновление данных»? Я сам ее не делал. А если я сам ее не делал, то это что значит? Мне действительно звонил кто-то из банка представляясь службой безопасности? Если так, то в банке работает «крот», который заодно с мошенниками? Но тогда почему мошенник не смог ответит на контрольные вопросы? Возможному «кроту» не видна эта информация в банковской системе?
Вывод из этих вопросов может быть неутешительным. Совершенно очевидно, что не только клиенты должны подтверждать свою личность при голосовом обращении в банки, но и банковские сотрудники каким-то образом должны подтверждать, что они именно они. Нужна такая же двухфакторная авторизация, как и при входе в клиент-банк. Например, звонок в банк выполняется только посредством обратного перезвона, а перед ним вам приходит смс с цифровым кодом, который должен озвучить сотрудник банка. Технологии к этому уже точно готовы, а вот законы и регламенты…
Не перевести ли мне деньги из Тинькофф Банк от греха подальше? Хотя в этой истории любимый банк меня очень порадовал :)
Буду рад, если из банка мне кто-нибудь напишет и даст пояснения по номеру непонятной заявки.
Опубликовано Владимиром Севруком 10 июля 2016 г.

Добавить 2 комментария

  • Ответить

    Я отправил незнакомым людям фотографию своего паспорта, номер своей карты, я рассказал человеку, в личности которого сомневался, под совершенно левыми предлогами, кучу личной информации, которая могла бы помочь вскрыть мой банковский счет. Затем я сидел и спокойно смотрел, как мошенники названивают в поддержку и пытаются пробиться через последнюю линию обороны, периодически проверяя, уже утекли деньги со счета, или еще нет, и под конец я не придумал ничего лучше, чем ограничить доступ к поддержке номером телефона, действуя против лиц, успешно подменяющих номер телефона, и считаю это своей победой. ХАКЕРЫ СТАЛИ ИЗОЩРЕННЕЕ.

  • Ответить

    Старшее поколение в большинстве может продиктовать все коды какие написаны на карте. Опасность заключается в неосведомленности и в уверенности, что никто другой звонить не может. Любые операции нужно уже делать с двухфакторной аутентификацией.