Увага! Нова схема крадіжки грошей з ПриватБанку

Експерти відзначають принципово новий рівень аферистів і підозрюють, що ті використовують базу даних Приватбанку

Лише кілька днів як з'явилася витончена схема розкрадання заощаджень через Приват24, яку проводять аферисти з рівнем на порядок вищі за ті, хто був раніше. Але її жертвою стають вже навіть фахівці з кібербезпеки і співробітники Приватбанку. Шахраї дзвонять із номерів банку, контролюють гарячу лінію 3700, надсилають помилкові повідомлення в Приват24, знають кодові слова клієнтів, яким дзвонять, і навіть можуть замінювати їх у базі.

Вражаюча поінформованість шахраїв підкріплює чутки про нещодавно злиту в інтернет нібито базу Приватбанку.. Ми згрупували прийоми, які використовують аферисти, відібрали ознаки, як їх розпізнати та де потрібно бути гранично обережним. Під час підготовки матеріалу відібрали тих людей, хто вже став метою чи навіть жертвою шахраїв, але при цьому є експертами з кібербезпеки. Досвід саме спеціалістів, які особисто поспілкувалися з аферистами та змогли поблизу оцінити сильні та слабкі сторони нової схеми, на наш погляд, найбільш корисний.

Дорога гарнітура

Схема “розлучення” починається стандартно - шахрай дзвонить як “представник служби безпеки Приватбанку” на мобільний телефон жертви, до номера якого прив'язана програма Приват24. Чемно вітається і звертається на ім'я. Такий дзвінок надійшов дружині члена правління Інтернет-асоціації України (ВАУ) Александру Глущенко, який у цей момент виявився поряд.

“Зателефонував чоловік, привітався з дружиною на ім'я, я був поруч. Представився службою безпеки Приватбанку та каже: за вашою карткою намагаються провести якісь операції в Розетці на 856 грн. Це ви? немає. значить, це шахраї”, – розповів interteam.com.ua Глущенко.

Канва схеми класична, але з'явилися особливості, яких раніше не було. На відміну від “гопників” із зони, які традиційно надзвонюють під виглядом кол-центрів, у разі дзвонять люди зовсім іншого статусу. У них поставлено грамотну промову – на цьому акцентують увагу всі опитані спеціалісти interteam.com.ua, які спілкувалися із шахраями.

“Звичайні шахраї, які дзвонять, наприклад, за картою Альфа банку, - їм явно важко підбирати слова, їм так і хочеться сказати “б ... я”, перейти на феню. У цього шахрая чудово поставлений голос. Використовується дуже дорога гарнітура., добре чути. Мені як фахівцю відразу очевидно, що це не оператор контакт-центру, де дешева гарнітура, поламані дроти. Чутність відмінна. Це дорогий хакінг”, – розповів interteam.com.ua Євген Успенський, є співробітником IT-безпеки однієї з компаній, на якого “нарвались” аферисти.

Інформація по карті

Шахраї володіють практично всією інформацією щодо банківської картки жертви. Представившись, вони ставлять питання, чи була транзакція картою, 4 останні цифри якої називаються і справді збігаються з приватбанківською картою цієї людини.

“У зловмисника був номер моєї карти, цій карті півроку. Йому була відома дата випуску картки, номер телефону, до якого прив'язаний Приват24. Тобто він має доступ до бази”, – розповідає Успенський.

Коли жертва відповідає, що жодної транзакції не робила, те “співробітник безпеки” повідомляє, що мала місце спроба несанкціонованого доступу до картки з боку невідомих зловмисників, у зв'язку з чим її необхідно терміново заблокувати.

Дівоче прізвище матері

На цьому етапі з'являється нюанс, якого раніше ніколи не було у схемах такого роду. В разі, якщо клієнт сумнівається у словах “співробітника безпеки”, той називає його кодове слово, зафіксоване у базі Приватбанку. Це одразу діє заспокійливо та розслаблює жертву. Такий випадок стався із співробітником Української міжбанківської Асоціації членів платіжних систем (EMA), яка сама займається питаннями кібербезпеки банків.

“Сьогодні ми обговорювали якраз ситуацію з кодовим словом (коментар брався в середу – ред.). Дружині учаснику нашої асоціації вчора зателефонували шахраї, коли її чоловік, наш колега, був з нею поряд. Представилися, назвали кодове слово, і вони повірили”, - Розповіла interteam.com.ua заступник директора асоціації, керівник Форуму безпеки розрахунків та кредитів (ФБРіК), структурного подразделения ЭМА Олеся Данильченко.

У тих випадках, про які нам відомо, називалося дівоче прізвище матері – її зазвичай пропонують банки, щоб дозволити клієнту підібрати невідоме стороннім кодове слово і при цьому не забути його. Хоча схема тільки починає розгортається, але вже є поки що одиничне, але все-таки підтвердження того, що зловмисники беруть кодове слово саме із реальної бази Приватбанку.

Підміна кодового слова

Коли Євген Успенський, вже після того, як йому зателефонували зловмисники, прийшов у відділення банку переоформлювати заблоковану ним картку, то був неймовірно здивований, що, виявляється, у день дзвінка хтось прямо в базі Приватбанку підмінив його кодове слово на дівоче прізвище його матері.

“У мене було інше кодове слово, не пов'язане зі мною, але його замінили на дівоче прізвище моєї матері. Я про це не знав. Вже у відділенні я сказав, що кодове слово інше, і коли вони подивились у свою базу, то спитали: коли вам дзвонили? Кажу оператору, що 20 травня. І вона показує у планшеті своїй колегі та каже: клич Миколайовича. “Миколайович” – це їх “охоронець”. з'ясувалося, що того ж дня була несанкціонована заміна кодового слова у базі банку. І вони почали бігати, нервувати”, – розповідає про реакцію співробітників Приватбанку на це “відкриття” Успенський.

Автоматичний робот

Після того, як “представник служби безпеки” повідомляє жертву про загрозу розкрадання її грошей невідомими, їй пропонують заблокувати картку. Для цього потрібно назвати CVV код, але оскільки називати такий код співробітникам банку не можна, то переключают на робота, який каже “механічним голосом” Приватбанку. Олеся Данильченко рассказала, як це було зі співробітником ЕМА та його дружиною.

“Їх попередили, що підключать на автоматичний режим, і в автоматичному режимі вони продиктують той код, який прийде у SMS-повідомленні. Далі йде заміна пароля в інтернет-банкінгу. Шахрай перевів в автоматичний режим, вона продиктувала номер пароля. Все прив'язано до телефону, і коли пройшла заміна пароля, вони отримали доступ до Приват24. Гроші вкрали”, – рассказала Данильченко.

Зламана телефонія

Проте навіть жертва не довіряє “службі безпеки” и роботу, то схема на цьому не зупиняється. Шахраї пропонують зателефонувати на альфа-номер гарячої лінії Приватбанку 3700. Це цілком легальний офіційний номер для зв'язку клієнта із банком, проте зловмисники якимось чином мають можливість контролювати дзвінки на ньому.

“Вони говорять, вам потрібно передзвонити на 3700. Поклали слухавку. Ми з дружиною починаємо думати, що це було. Проходить буквально дві хвилини, дзвонить знову цей шахрай і каже: чому ви не дзвоните на 3700? Якщо не дзвонитимете, ми пропускаємо цю транзакцію та гроші спишуться. І поклав слухавку”, – розповідає Глущенко.

Будучи досвідченим фахівцем у цій сфері, член правління ІнАУ дійшов висновку, що з телефонією відбувається щось негаразд і не став дзвонити на гарячу лінію, а вжив інших заходів, про які сказано нижче. Але Євген Успенський поспілкувався і з роботом, та по гарячій лінії 3700. Після чого з'ясувалося, що… зловмисники контролюють також і номери Приватбанку.

“Він каже, давайте карту “залочим”, а вам треба CVV сказати, але не мені, я на робота авторизації вас переключу. Я кажу: давайте мені цього робота. Перемикає. А там реально “голос металевий” пропонує назвати три цифри зі зворотного боку картки… Скидаю його, дзвоню на 3700. Ще не вірю шахраю, але починаю вже трохи сумніватися. Мені йде передзвон з 0567161131, а там цей мужик знову. А потім ще з'ясовується, що це номер Привату. Тобто він може дзвонити з їхніх номерів”, – розповідає Успенський.

За словами експерта, цей номер належить Приватбанку, але не використовується для вихідних дзвінків, а передбачений для вхідних дзвінків з-за кордону. Про це йому розповіли вже реальні співробітники у відділенні банку.. Успенський надав на підтвердження скан зі свого телефону, що дзвінок був тим не менш вхідний.

Причому клієнту не лише дзвонять із цього номера, йому пропонується також і дзвонити на цей номер для зворотного зв'язку з шахраєм, тобто про заміну номера, коли видно інший номер, а не той, з якого за фактом дзвонять, мова в даному випадку не йде.

Зламування банківських повідомлень

У новій схемі шахраї контролюють не лише “дніпровські” та альфа-номери Приватбанку, у них є також і доступ до повідомлень у додатку Приват24, у якому вони можуть надсилати від імені банку контрольовані ними повідомлення.

“Шахрай передзвонив ще раз увечері та повідомив, що блокує картку, а мені потрібно підтвердити операцію. Мені надійшов запит на підтвердження операції, але яка саме операція, не вказано, хоча зазвичай завжди приходить: підтвердіть оплату або переказ. Запит прийшов додатку Приват24, вже оновленому, в повідомленнях. І коли я показав його вже у відділенні Приватбанку, вони вдруге сильно занервували”, - Розповів Успенський і пред'явив скан.

Крім того, пояснює Успенський, що там вказаний номер на 056, який Приватбанк не використовує по Україні та не надсилає в повідомленнях, немає також активного посилання на номер 3700, в той час, як в оригінальному банківському повідомленні вона має бути активною – натиснувши на неї, можна відразу дзвонити до банку.

У Приватбанку знають

interteam.com.ua надіслав журналістський запит до Приватбанку за вказаними вище фактами, але на момент публікації матеріалу офіційної відповіді не отримав. Неофіційно нам відповіли, що схема зі “дзвінком службою безпеки” стандартна і багато разів уже коментувалася банком. Однак там не спростували, що номер 0567161131 належить банку, та попросили контакти жертв шахраїв. Втім, за словами Успенського, у банку і так знають про проблему.

“На сайті Приватбанку є сторінка, де повідомляється про такі злочини. Я повідомив спочатку оператора, потім прийшов у відділення. Все їм показав: дзвінки, повідомлення і т.д. Вони відповіли, що номер 0567161131 належить їм. Покликали заступника начальника відділення, я ще раз усе розповів, він усе записав, сказав, що перевірятиме. Запрошували “охоронець”. І все це кануло в Лету, хоча обіцяли тримати в курсі, що буде далі”, – розповідає Успенський.

Той факт, що в банку знають про нову шахрайську схему, підтвердив і Олександр Глущенко. Коли він дійшов висновку, що зворотний зв'язок із Приватбанком зламано або якимось чином перебуває під контролем шахраїв, то набрав за мобільним номером ту людину, якому точно довіряв – знайомому співробітнику Приватбанку, і з'ясувалося, що шахрайські дзвінки з передзвоном на 3700 надходили навіть співробітникам банку.

“Я зателефонував до Приватбанку консьєржу на прямий мобільний. Дівчинка каже: про цю ситуацію відомо. Ми не розуміємо до кінця, у чому тут підґрунтя. Найбільший парадокс, що ці шахраї іноді потрапляють на співробітників Приватбанку. І голос упевнений, називають на ім'я”, – розповів Глущенко.

Злита база Приватбанку?

interteam.com.ua додзвонилася до однієї з державних служб боротьби з кіберзлочинами. Там ще не чули про цю нову схему і поки що утримуються від офіційних коментарів. Але зацікавилися цими фактами у зв'язку зі чутками про ту нібито злиту місяць тому в інтернет базі Приватбанку, які поки що не підтверджувалися.

Директор ЕМА Олександр Карпов, чий колега став жертвою розлучення за цією схемою, втім, сумнівається, що в даному випадку йдеться про злив бази Приватбанку і не готовий коментувати схему до роз'яснень банку. Він звернув увагу, що спецслужби мають програми, які “підтягують” дані з різних реєстрів, а їхні недобросовісні співробітники можуть такі бази справді зливати.

“Якось один добрий знайомий показав мені спеціальну СБУшну програму, яка підтягує інформацію з різних джерел. Там була включаючи інформацію про мене, але дуже стара. Не можна виключати ситуацію, що хтось скопіював подібну базу даних. Купити можна все, що завгодно, зламують не системи, а мізки”, – вважає Карпов.

За його словами, послуга підміни номерів, у тому числі альфа-номерів, відкриває великі можливості для шахраїв, адже такі номери-“підробки” можуть відкриватися за кордоном. Мобільні оператори можуть відстежувати такі дзвінки, і в цьому секторі безпеки банків також потрібен жорсткий фінмоніторинг. Проте Євген Успенський, який сам є “айті-безпекою” і “пройшов” всю схему від початку до кінця, вважає, що проблема аж ніяк не в заміні номерів.

“Підміна номерів? Ви знаєте, як це складно та дуже дорого?! У зловмисника був номер моєї карти, цій карті півроку, я нею розраховувався кілька разів на aliexpress – але там система безпеки хороша – і кілька разів у “Глобусі”. Тобто, це не стара база Привату, а свіжа, їй не більше півроку. Шахраям була відома дата випуску картки, номер телефону. У них є або доступ до бази, або вони можуть перезаписувати її, змінюючи кодові слова. У них немає лише CVV коду, який ніде не зберігається. Це дорогий хакінг! Усі повинні розуміти, що це вже не дурниці якісь дзвонять, а прямо з Привату можуть зателефонувати та позбавити грошей. Хтось із операторів сидить на віддаленні та “бавиться”, тому що зламана телефонія”, – вважає Успенський.

рекомендації

Експерти рекомендують усім, кому зателефонували шахраї, щоб не стати жертвою “розлучення”, звертати увагу на такі факти, якщо раптом подзвонить “служба безпеки” Приватбанку.

З якоїсь причини перший дзвінок шахраї роблять все-таки зі сторонніх номерів, наприклад, 044 300 28 54 або +380916138427, у той час як Приватбанк – тільки з “дніпровських”. Однак, можливо, це окремі випадки. Варто не забувати, що зловмисники мають можливість дзвонити і з “номерів Привата”.
З номера 0567161131 Приватбанк никогда не звонит клиентам, это номер для входящих звонков из-за границы. Он не указывает его и в уведомлениях для обратной связи в Приват24. Его появление – признак мошенничества.
У запиті на підтвердження операції, присланном банком в Приват24, обов'язково має бути вказана мета операції – оплата чи переказ. Якщо мета операції не вказана, воно, швидше за все, надіслано шахраями.
У повідомленні банку в Приват24 зворотний зв'язок 3700 має бути з активним посиланням, а не просто виписана цифрами. Якщо цього немає – це аферисти.
Шахраї звертаються російською мовою, тоді як працівники Приватбанку – українською. Якщо у того, хто дзвонить “співробітника безпеки” є проблема у спілкуванні українською мовою, це шахрай.
За жодних умов не можна передавати код CVV “службі безпеки”, ни роботу. Цей код ніде не зберігається, і вкрасти його зловмисникам неможливо навіть у разі злому бази банку.