Эксперты отмечают принципиально новый уровень аферистов и подозревают, что те используют базу данных Приватбанка
Всего несколько дней как появилась изощренная схема хищения сбережений через Приват24, которую проводят аферисты с уровнем на порядок выше тех, кто был ранее. Но ее жертвой становятся уже даже специалисты по кибербезопасности и сотрудники Приватбанка. Мошенники звонят с номеров банка, контролируют горячую линию 3700, отправляют ложные уведомления в Приват24, знают кодовые слова клиентов, которым звонят, и даже могут подменять их в базе.
Поразительная информированность мошенников подкрепляет слухи о недавно слитой в интернет якобы базе Приватбанка. Мы сгруппировали приемы, которые используют аферисты, отобрали признаки, как их распознать и где нужно быть предельно осторожным. При подготовке материала отобрали тех людей, кто уже стал целью или даже жертвой мошенников, но при этом является экспертами по кибербезопасности. Опыт именно специалистов, которые лично пообщались с аферистами и смогли вблизи оценить сильные и слабые стороны новой схемы, на наш взгляд, наиболее полезен.
Дорогая гарнитура
Схема “развода” начинается стандартно – мошенник звонит как “представитель службы безопасности Приватбанка” на мобильный телефон жертвы, к номеру которого привязано приложение Приват24. Вежливо здоровается и обращается по имени. Такой звонок поступил супруге члена правления Интернет-ассоциации Украины (ИнАУ) Александру Глущенко, который в этот момент оказался рядом.
“Позвонил мужик, поздоровался с супругой по имени, я был рядом. Представился службой безопасности Приватбанка и говорит: по вашей карточке пытаются провести какие-то операции в Розетке на 856 грн. Это вы? Нет. Значит, это мошенники”, – рассказал interteam.com.ua Глущенко.
Канва схемы классическая, но появились особенности, которых ранее не было. В отличие от “гопников” с зоны, которые традиционно названивают под видом кол-центров, в данном случае звонят люди совсем другого статуса. У них поставлена грамотная речь – на этом акцентируют внимание все опрошенные interteam.com.ua специалисты, которые общались с мошенниками.
“Обычные мошенники, которые звонят, например, по карте Альфа банка, – им явно тяжело подбирать слова, им так и хочется сказать “б…я”, перейти на феню. У этого жулика отлично поставлен голос. Используется очень дорогая гарнитура, хорошо слышно. Мне как специалисту сразу очевидно, что это не оператор контакт-центра, где дешевая гарнитура, поломанные провода. Слышимость отличная. Это дорогой хакинг”, – рассказал interteam.com.ua Евгений Успенский, являющийся сотрудником IT-безопасности одной из компаний, на которого “нарвались” аферисты.
Информация по карте
Мошенники владеют практически всей информацией по банковской карте жертвы. Представившись, они задают вопрос, была ли транзакция по карте, 4 последние цифры которой называются и действительно совпадают с приватбанковской картой этого человека.
“У злоумышленника был номер моей карты, этой карте полгода. Ему была известна дата выпуска карты, номер телефона, к которому привязан Приват24. То есть у него есть доступ к базе”, – рассказывает Успенский.
Когда жертва отвечает, что никакой транзакции не делала, то “сотрудник безопасности” сообщает, что имела место попытка несанкционированного доступа к карте со стороны неизвестных злоумышленников, в связи с чем ее необходимо срочно заблокировать.
Девичья фамилия матери
На этом этапе появляется нюанс, которого ранее никогда не было в схемах такого рода. В случае, если клиент сомневается в словах “сотрудника безопасности”, тот называет его кодовое слово, зафиксированное в базе Приватбанка. Это сразу действует успокаивающе и расслабляет жертву. Такой случай произошел с сотрудником Украинской межбанковской Ассоциации членов платежных систем (ЭМА), которая сама занимается вопросами кибербезопасности банков.
“Сегодня мы обсуждали как раз ситуацию с кодовым словом (комментарий брался в среду – ред). Жене участнику нашей ассоциации вчера позвонили мошенники, когда ее муж, наш коллега, был с ней рядом. Представились, назвали кодовое слово, и они поверили”, – рассказала interteam.com.ua замдиректора ассоциации, руководитель Форума безопасности расчетов и кредитов (ФБРиК), структурного подразделения ЭМА Олеся Данильченко.
В тех случаях, о которых нам известно, называлась девичья фамилия матери – ее обычно предлагают банки, чтобы позволить клиенту подобрать неизвестное посторонним кодовое слово и при этом не забыть его. Хотя схема только начинает разворачивается, но уже есть пока еще единичное, но все-таки подтверждение того, что злоумышленники берут кодовое слово именно из реальной базы Приватбанка.
Подмена кодового слова
Когда Евгений Успенский, уже после того, как ему позвонили злоумышленники, пришел в отделение банка переоформлять заблокированную им карту, то был несказанно удивлен, что, оказывается, в день звонка кто-то прямо в базе Приватбанка подменил его кодовое слово на девичью фамилию его матери.
“У меня было другое кодовое слово, не связанное со мной, но его заменили на девичью фамилию моей матери. Я об этом не знал. Уже в отделении я сказал, что кодовое слово другое, и когда они посмотрели в свою базу, то спросили: когда вам звонили? Говорю оператору, что 20 мая. И она показывает в планшете своей коллеге и говорит: зови Николаевича. “Николаевич” – это их “безопасник”. Выяснилось, что в тот же день была несанкционированная замена кодового слова в базе банка. И они начали бегать, нервничать”, – рассказывает о реакции сотрудников Приватбанка на это “открытие” Успенский.
Автоматический робот
После того, как “представитель службы безопасности” сообщает жертве об угрозе хищения ее денег неизвестными, ей предлагают заблокировать карту. Для этого нужно назвать CVV-код, но так как называть такой код сотрудникам банка нельзя, то переключают на робота, который говорит “механическим голосом” Приватбанка. Олеся Данильченко рассказала, как это было с сотрудником ЭМА и его супругой.
“Их предупредили, что подключат на автоматический режим, и в автоматическом режиме они продиктуют тот код, который придет в SMS-уведомлении. Далее идет замена пароля в интернет-банкинге. Мошенник перевел в автоматический режим, она продиктовала номер пароля. Все привязано к телефону, и когда прошла замена пароля, они получили доступ к Приват24. Деньги украли”, – рассказала Данильченко.
Взломанная телефония
Однако если даже жертва не доверяет “службе безопасности” и роботу, то схема на этом не останавливается. Мошенники предлагают позвонить на альфа-номер горячей линии Приватбанка – 3700. Это вполне легальный официальный номер для связи клиента с банком, однако злоумышленники каким-то образом имеют возможность контролировать звонки на нем.
“Они говорят, вам нужно перезвонить на 3700. Положили трубку. Мы с женой начинаем думать, что это было. Проходит буквально две минуты, звонит опять этот жулик и говорит: почему вы не звоните на 3700? Если не будете звонить, мы пропускаем эту транзакцию и деньги спишутся. И положил трубку”, – рассказывает Глущенко.
Будучи опытным специалистом в этой сфере, член правления ИнАУ пришел к выводу, что с телефонией происходит что-то неладное и не стал звонить на горячую линию, а предпринял другие меры, о которых сказано ниже. Но Евгений Успенский пообщался и с роботом, и по горячей линии 3700. После чего выяснилось, что… злоумышленники контролируют также и номера Приватбанка.
“Он говорит, давайте карту “залочим”, а вам надо CVV сказать, но не мне, я на робота авторизации вас переключу. Я говорю: давайте мне этого робота. Переключает. А там реально “голос металлический” предлагает назвать три цифры с обратной стороны карты… Сбрасываю его, звоню на 3700. Еще не верю мошеннику, но начинаю уже немного сомневаться. Мне идет перезвон с 0567161131, а там этот мужик снова. А потом еще выясняется, что это номер Привата. То есть он может звонить с их номеров”, – рассказывает Успенский.
По словам эксперта, этот номер принадлежит Приватбанку, но не используется для исходящих звонков, а предусмотрен для входящих звонков из-за границы. Об этом ему рассказали уже реальные сотрудники в отделении банка. Успенский предъявил в подтверждение скан со своего телефона, что звонок был тем не менее входящий.
Причем клиенту не только звонят с этого номера, ему предлагается также и звонить на этот номер для обратной связи с мошенником, то есть о подмене номера, когда виден другой номер, а не тот, с которого по факту звонят, речь в данном случае не идет.
Взлом банковских уведомлений
В новой схеме мошенники контролируют не только “днепровские” и альфа-номера Приватбанка, у них есть также и доступ к уведомлениям в приложении Приват24, в котором они могут присылать от имени банка контролируемые ими сообщения.
“Мошенник перезвонил еще раз вечером и сообщил, что блокирует карту, а мне нужно подтвердить операцию. Мне пришел запрос на подтверждение операции, но какая именно операция, не указано, хотя обычно всегда приходит: подтвердите оплату или перевод. Запрос пришел приложении Приват24, уже обновленном, в уведомлениях. И когда я показал его уже в отделении Приватбанка, они второй раз сильно занервничали”, – рассказал Успенский и предъявил скан.
Кроме того, объясняет Успенский, что там указан номер на 056, который Приватбанк не использует по Украине и не присылает в уведомлениях, нет также и активной ссылки на номер 3700, в то время, как в оригинальном банковском сообщении она должна быть активна – нажав на нее, можно сразу звонить в банк.
В Приватбанке знают
interteam.com.ua направил журналистский запрос в Приватбанк по указанным выше фактам, но на момент публикации материала официального ответа не получил. Неофициально нам ответили, что схема со “звонком службой безопасности” стандартная и много раз уже комментировалась банком. Однако там не опровергли, что номер 0567161131 принадлежит банку, и попросили контакты жертв мошенников. Впрочем, по словам Успенского, в банке и без того знают о проблеме.
“На сайте Приватбанка есть страница, где сообщается о таких преступлениях. Я сообщил вначале оператору, потом пришел в отделение. Все им показал: звонки, сообщения и т.д. Они ответили, что номер 0567161131 принадлежит им. Позвали замначальника отделения, я еще раз все рассказал, он все записал, сказал, что будет проверять. Приглашали “безопасника”. И все это кануло в Лету, хотя обещали держать в курсе, что будет дальше”, – рассказывает Успенский.
Тот факт, что в банке знают о новой мошеннической схеме, подтвердил и Александр Глущенко. Когда он пришел к выводу, что обратная связь с Приватбанком взломана или каким-то образом находится под контролем мошенников, то набрал по мобильному номеру того человека, которому точно доверял – знакомому сотруднику Приватбанка, и выяснилось, что мошеннические звонки с перезвоном на 3700 поступали даже сотрудникам банка.
“Я позвонил в Приватбанк консьержу на прямой мобильный. Девочка говорит: об этой ситуации известно. Мы не понимаем до конца, в чем тут подоплека. Самый большой парадокс, что эти мошенники иногда попадают на сотрудников Приватбанка. И голос уверенный, называют по имени”, – рассказал Глущенко.
Слитая база Приватбанка?
interteam.com.ua дозвонилась в одну из государственных служб по борьбе с киберпреступлениями. Там еще не слышали об этой новой схеме и пока воздерживаются от официальных комментариев. Но заинтересовались этими фактами в связи со слухами о той самой якобы слитой месяц назад в интернет базе Приватбанка, которые пока что не подтверждались.
Директор ЭМА Александр Карпов, чей коллега стал жертвой развода по этой схеме, впрочем, сомневается, что речь в данном случае идет о сливе базы Приватбанка и не готов комментировать схему до разъяснений банка. Он обратил внимание, что у спецслужб есть программы, которые “подтягивают” данные из различных реестров, а их недобросовестные сотрудники могут такие базы действительно сливать.
“Однажды один хороший знакомый показал мне специальную СБУшную программу, которая подтягивает информацию из разных источников. Там была в том числе информация обо мне, но очень старая. Нельзя исключать ситуацию, что кто-то скопировал подобную базу данных. Купить можно все что угодно, взламывают не системы, а мозги”, – полагает Карпов.
По его словам, услуга подмены номеров, в том числе альфа-номеров, открывает большие возможности для мошенников, ведь такие номера-“подделки” могут открываться за границей. Мобильные операторы могут отслеживать такие звонки, и в этом секторе безопасности банков также необходим жесткий финмониторинг. Однако Евгений Успенский, который сам является “айти-безопасником” и “прошел” всю схему от начала до конца, полагает, что проблема отнюдь не в подмене номеров.
“Подмена номеров? Вы знаете, как это сложно и очень дорого?! У злоумышленника был номер моей карты, этой карте полгода, я ею рассчитывался несколько раз на aliexpress – но там система безопасности хорошая – и несколько раз в “Глобусе”. То есть это не старая база Привата, а свежая, ей не более полугода. Мошенникам была известна дата выпуска карты, номер телефона. У них есть или доступ к базе, или они могут перезаписывать ее, меняя кодовые слова. У них нет только CVV кода, который нигде не хранится. Это дорогой хакинг! Все должны понимать, что это уже не дурачки какие-то звонят, а прямо с Привата могут позвонить и лишить денег. Кто-то из операторов сидит на удаленке и “балуется”, так как взломана телефония”, – полагает Успенский.
Рекомендации
Эксперты рекомендуют всем, кому позвонили мошенники, чтобы не стать жертвой “развода”, обращать внимание на следующие факты, если вдруг позвонит “служба безопасности” Приватбанка.
По какой-то причине первый звонок мошенники совершают все-таки со сторонних номеров, например, 044 300 28 54 или +380916138427, в то время как Приватбанк – только с “днепровских”. Однако, возможно, это частные случаи. Стоит не забывать, что злоумышленники имеют возможность звонить и с “номеров Привата”.
С номера 0567161131 Приватбанк никогда не звонит клиентам, это номер для входящих звонков из-за границы. Он не указывает его и в уведомлениях для обратной связи в Приват24. Его появление – признак мошенничества.
В запросе на подтверждение операции, присланном банком в Приват24, обязательно должна быть указана цель операции – оплата или перевод. Если цель операции не указана, оно, скорее всего, прислано мошенниками.
В уведомлении банка в Приват24 обратная связь 3700 должна быть с активной ссылкой, а не просто выписана цифрами. Если этого нет – это аферисты.
Мошенники обращаются на русском языке, в то время как работники Приватбанка – на украинском. Если у звонящего “сотрудника безопасности” есть проблема в общении на украинском языке, это мошенник.
Ни при каких условиях нельзя передавать код CVV ни “службе безопасности”, ни роботу. Этот код нигде не хранится, и украсть его злоумышленникам невозможно даже в случае взлома базы банка.