Experts note a fundamentally new level of swindlers and suspect, that they use Privatbank's database
Just a few days ago, a sophisticated scheme of stealing savings through Privat24 appeared, conducted by swindlers with a level an order of magnitude higher than those, who was before. But even cybersecurity specialists and Privatbank employees are already falling victim to it.. Scammers call from bank numbers, control the hotline 3700, send false notifications to Privat24, know customers' code words, who are called, and can even replace them in the database.
Amazing awareness of fraudsters reinforces rumors about the alleged base of Privatbank recently leaked to the Internet. We have grouped the tricks, which scammers use, selected signs, how to recognize them and where you need to be extremely careful. When preparing the material, those people were selected, who has already become a target or even a victim of scammers, but is also a cybersecurity expert. The experience of specialists, who personally talked to the scammers and were able to closely assess the strengths and weaknesses of the new scheme, in our opinion, most useful.
Expensive headset
Scheme “divorce” starts as standard - the scammer calls as “Privatbank security representative” to the victim's mobile phone, to which number the Privat24 application is attached. Greets politely and addresses by name. Such a call came to the wife of a board member of the Internet Association of Ukraine (InAU) Alexander Glushchenko, who at that moment was near.
“The man called, greeted my wife by name, i was near. He introduced himself as the security service of Privatbank and says: using your card, they are trying to carry out some operations in the Rosette on 856 UAH. It is you? Not. so, these are scammers”, - Glushchenko told interteam.com.ua.
Classic outline canvas, but there were features, which did not exist before. Unlike “gopnikov” from the zone, which are traditionally called under the guise of call centers, in this case people of a completely different status are calling. They have a competent speech - this is what all specialists interviewed by interteam.com.ua emphasize., who communicated with scammers.
“Common scammers, who are calling, eg, by Alfa Bank card, - it is clearly difficult for them to choose words, they just want to say “б… я”, go to fenya. This rogue has a great voice. Very expensive headset used, well heard. Мне как специалисту сразу очевидно, что это не оператор контакт-центра, где дешевая гарнитура, поломанные провода. Слышимость отличная. Это дорогой хакинг”, – рассказал interteam.com.ua Евгений Успенский, являющийся сотрудником IT-безопасности одной из компаний, на которого “нарвались” аферисты.
Map information
Мошенники владеют практически всей информацией по банковской карте жертвы. Представившись, they ask a question, was there a card transaction, 4 the last digits of which are named and really coincide with this person's private bank card.
“The attacker had my card number, this map is half a year. He knew the date of issue of the card, phone number, to which Privat24 is attached. That is, he has access to the database”, - says Ouspensky.
Когда жертва отвечает, что никакой транзакции не делала, the “сотрудник безопасности” reports, что имела место попытка несанкционированного доступа к карте со стороны неизвестных злоумышленников, в связи с чем ее необходимо срочно заблокировать.
Mother's Maiden Name
На этом этапе появляется нюанс, которого ранее никогда не было в схемах такого рода. When, если клиент сомневается в словах “сотрудника безопасности”, тот называет его кодовое слово, зафиксированное в базе Приватбанка. Это сразу действует успокаивающе и расслабляет жертву. Such a case occurred with an employee of the Ukrainian Interbank Association of Payment Systems Members (EMA), which itself deals with the issues of cybersecurity of banks.
“Today we discussed just the situation with the code word (comment was taken on Wednesday - ed.). The scammers called the wife of a member of our association yesterday, when her husband, our colleague, was next to her. Представились, назвали кодовое слово, и они поверили”, – рассказала interteam.com.ua замдиректора ассоциации, руководитель Форума безопасности расчетов и кредитов (ФБРиК), structural division of EMA Olesya Danilchenko.
In those cases,, we know about, the mother's maiden name was called - usually offered by banks, to allow the client to pick up a code word unknown to strangers and at the same time not forget it. Although the scheme is just starting to unfold, but there is already a single, but still confirmation of that, that the attackers take the code word from the real database of Privatbank.
Code word substitution
When Evgeny Uspensky, already after, how did the intruders call him, пришел в отделение банка переоформлять заблокированную им карту, то был несказанно удивлен, what, is, on the day of the call, someone right in the Privatbank database changed his code word for his mother's maiden name.
“I had a different codeword, not related to me, but it was replaced with my mother's maiden name. I didn't know about it. Already at the department I said, that the code word is different, and when they looked at their base, then asked: when they called you? Говорю оператору, what 20 May. И она показывает в планшете своей коллеге и говорит: зови Николаевича. “Николаевич” – это их “безопасник”. It revealed, that on the same day there was an unauthorized change of the code word in the bank's database. And they started to run, get nervous”, - talks about the reaction of Privatbank employees to this “opening” Uspensky.
Automatic robot
After that, as “security representative” informs the victim about the threat of theft of her money by unknown persons, she is offered to block the card. To do this, you need to name the CVV code, но так как называть такой код сотрудникам банка нельзя, то переключают на робота, который говорит “механическим голосом” Приватбанка. Олеся Данильченко рассказала, how it was with the EMA employee and his wife.
“They were warned, what will be connected to automatic mode, and in automatic mode they will dictate that code, which will come in SMS notification. Next is changing the password in Internet banking. The scammer switched to automatic mode, she dictated the password number. Everything is tied to the phone, and when the password was changed, they got access to Privat24. Money stolen”, - said Danilchenko.
Hacked telephony
However, even if the victim does not trust “security service” and robot, then the scheme does not stop there. Мошенники предлагают позвонить на альфа-номер горячей линии Приватбанка – 3700. Это вполне легальный официальный номер для связи клиента с банком, однако злоумышленники каким-то образом имеют возможность контролировать звонки на нем.
“They say, вам нужно перезвонить на 3700. Положили трубку. Мы с женой начинаем думать, что это было. Проходит буквально две минуты, звонит опять этот жулик и говорит: почему вы не звоните на 3700? Если не будете звонить, мы пропускаем эту транзакцию и деньги спишутся. И положил трубку”, – рассказывает Глущенко.
Будучи опытным специалистом в этой сфере, член правления ИнАУ пришел к выводу, что с телефонией происходит что-то неладное и не стал звонить на горячую линию, but took other measures, which are discussed below. But Evgeny Uspensky also talked to the robot, and on the hotline 3700. Then it turned out, что… злоумышленники контролируют также и номера Приватбанка.
“Он говорит, давайте карту “залочим”, а вам надо CVV сказать, но не мне, я на робота авторизации вас переключу. I say: давайте мне этого робота. Переключает. А там реально “голос металлический” предлагает назвать три цифры с обратной стороны карты… Сбрасываю его, звоню на 3700. Еще не верю мошеннику, но начинаю уже немного сомневаться. Мне идет перезвон с 0567161131, а там этот мужик снова. А потом еще выясняется, что это номер Привата. То есть он может звонить с их номеров”, - says Ouspensky.
По словам эксперта, этот номер принадлежит Приватбанку, но не используется для исходящих звонков, а предусмотрен для входящих звонков из-за границы. Об этом ему рассказали уже реальные сотрудники в отделении банка. Успенский предъявил в подтверждение скан со своего телефона, что звонок был тем не менее входящий.
Причем клиенту не только звонят с этого номера, ему предлагается также и звонить на этот номер для обратной связи с мошенником, то есть о подмене номера, когда виден другой номер, а не тот, с которого по факту звонят, речь в данном случае не идет.
Hacking bank notifications
В новой схеме мошенники контролируют не только “днепровские” и альфа-номера Приватбанка, у них есть также и доступ к уведомлениям в приложении Приват24, в котором они могут присылать от имени банка контролируемые ими сообщения.
“Мошенник перезвонил еще раз вечером и сообщил, что блокирует карту, а мне нужно подтвердить операцию. Мне пришел запрос на подтверждение операции, но какая именно операция, не указано, хотя обычно всегда приходит: подтвердите оплату или перевод. Запрос пришел приложении Приват24, уже обновленном, в уведомлениях. И когда я показал его уже в отделении Приватбанка, они второй раз сильно занервничали”, – рассказал Успенский и предъявил скан.
Besides, объясняет Успенский, что там указан номер на 056, который Приватбанк не использует по Украине и не присылает в уведомлениях, нет также и активной ссылки на номер 3700, while, как в оригинальном банковском сообщении она должна быть активна – нажав на нее, можно сразу звонить в банк.
Privatbank knows
interteam.com.ua направил журналистский запрос в Приватбанк по указанным выше фактам, но на момент публикации материала официального ответа не получил. Неофициально нам ответили, что схема со “звонком службой безопасности” стандартная и много раз уже комментировалась банком. Однако там не опровергли, что номер 0567161131 принадлежит банку, и попросили контакты жертв мошенников. However, по словам Успенского, в банке и без того знают о проблеме.
“На сайте Приватбанка есть страница, где сообщается о таких преступлениях. Я сообщил вначале оператору, потом пришел в отделение. Все им показал: calls, сообщения и т.д. Они ответили, что номер 0567161131 принадлежит им. Позвали замначальника отделения, я еще раз все рассказал, он все записал, He said, что будет проверять. Приглашали “безопасника”. И все это кануло в Лету, хотя обещали держать в курсе, что будет дальше”, - says Ouspensky.
That fact, что в банке знают о новой мошеннической схеме, подтвердил и Александр Глущенко. Когда он пришел к выводу, что обратная связь с Приватбанком взломана или каким-то образом находится под контролем мошенников, то набрал по мобильному номеру того человека, которому точно доверял – знакомому сотруднику Приватбанка, и выяснилось, что мошеннические звонки с перезвоном на 3700 поступали даже сотрудникам банка.
“Я позвонил в Приватбанк консьержу на прямой мобильный. Девочка говорит: об этой ситуации известно. Мы не понимаем до конца, в чем тут подоплека. Самый большой парадокс, что эти мошенники иногда попадают на сотрудников Приватбанка. И голос уверенный, называют по имени”, – рассказал Глущенко.
The merged base of Privatbank?
interteam.com.ua дозвонилась в одну из государственных служб по борьбе с киберпреступлениями. Там еще не слышали об этой новой схеме и пока воздерживаются от официальных комментариев. Но заинтересовались этими фактами в связи со слухами о той самой якобы слитой месяц назад в интернет базе Приватбанка, которые пока что не подтверждались.
Директор ЭМА Александр Карпов, чей коллега стал жертвой развода по этой схеме, however, сомневается, что речь в данном случае идет о сливе базы Приватбанка и не готов комментировать схему до разъяснений банка. Он обратил внимание, что у спецслужб есть программы, that “подтягивают” данные из различных реестров, а их недобросовестные сотрудники могут такие базы действительно сливать.
“Однажды один хороший знакомый показал мне специальную СБУшную программу, которая подтягивает информацию из разных источников. Там была в том числе информация обо мне, но очень старая. Нельзя исключать ситуацию, что кто-то скопировал подобную базу данных. Купить можно все что угодно, взламывают не системы, а мозги”, – полагает Карпов.
According to him, услуга подмены номеров, в том числе альфа-номеров, открывает большие возможности для мошенников, ведь такие номера-“подделки” могут открываться за границей. Мобильные операторы могут отслеживать такие звонки, и в этом секторе безопасности банков также необходим жесткий финмониторинг. Однако Евгений Успенский, который сам является “айти-безопасником” and “прошел” всю схему от начала до конца, полагает, что проблема отнюдь не в подмене номеров.
“Подмена номеров? You know, как это сложно и очень дорого?! The attacker had my card number, this map is half a year, я ею рассчитывался несколько раз на aliexpress – но там система безопасности хорошая – и несколько раз в “Глобусе”. То есть это не старая база Привата, а свежая, ей не более полугода. Мошенникам была известна дата выпуска карты, phone number. У них есть или доступ к базе, или они могут перезаписывать ее, меняя кодовые слова. У них нет только CVV кода, который нигде не хранится. Это дорогой хакинг! Все должны понимать, что это уже не дурачки какие-то звонят, а прямо с Привата могут позвонить и лишить денег. Кто-то из операторов сидит на удаленке и “балуется”, так как взломана телефония”, – полагает Успенский.
recommendations
Эксперты рекомендуют всем, кому позвонили мошенники, чтобы не стать жертвой “divorce”, обращать внимание на следующие факты, если вдруг позвонит “служба безопасности” Приватбанка.
По какой-то причине первый звонок мошенники совершают все-таки со сторонних номеров, eg, 044 300 28 54 or +380916138427, в то время как Приватбанк – только с “днепровских”. but, possibly, это частные случаи. Стоит не забывать, что злоумышленники имеют возможность звонить и с “номеров Привата”.
С номера 0567161131 Приватбанк никогда не звонит клиентам, это номер для входящих звонков из-за границы. Он не указывает его и в уведомлениях для обратной связи в Приват24. Его появление – признак мошенничества.
В запросе на подтверждение операции, присланном банком в Приват24, обязательно должна быть указана цель операции – оплата или перевод. Если цель операции не указана, it, probably, прислано мошенниками.
В уведомлении банка в Приват24 обратная связь 3700 должна быть с активной ссылкой, а не просто выписана цифрами. Если этого нет – это аферисты.
Мошенники обращаются на русском языке, в то время как работники Приватбанка – на украинском. Если у звонящего “сотрудника безопасности” есть проблема в общении на украинском языке, это мошенник.
Ни при каких условиях нельзя передавать код CVV ни “security service”, ни роботу. Этот код нигде не хранится, и украсть его злоумышленникам невозможно даже в случае взлома базы банка.
