01.02.2019
Вишинг на торте
Как мошенники воруют деньги клиентов банков с помощью карты-клона
Эксперты-криминалисты Group-IB рассказали о том, как работает мошенническая схема вывода денег с банковского счета жертвы с помощью перевыпуска «симки», фейковой службы безопасности и… кое-чего еще. Рассказываем о том, как не стать жертвой.
Недавняя скандальная история с разводом клиентов банков по телефону обрастает новыми подробностями. Проанализировав несколько жалоб, эксперты-криминалисты Group-IB вышли на след довольно сложной, но почти безотказной мошеннической схемы кражи денег с банковского счета с помощью…. перевыпуска сим-карты.
Заветное слово
Итак, по началу сценарий стандартный: мошенники звонят клиенту банка. Чтобы их номер телефона совпадал с реальным номером колл-центра банка, они используют специальные сервисы IP-телефонии с возможностью подмены номера, либо просто маскируют его: вместо нулей 000 используют буквы ООО и тд.
Мошенники представляются сотрудниками банка — службы безопасности или департамента по сопровождению клиентов. Для большей реалистичности происходящего они могут использовать названия реальных подразделений или даже фамилии, которые достают в открытых источниках или в слитых базах компаний-партнеров.
Клиенту сообщают об обнаруженной проблеме: служба безопасности якобы заметила попытку взлома личного кабинета онлайн-банкинга или попытку несанкционированной транзакции.
Чтобы войти в доверие к жертве, злодеи меньше спрашивают, а больше говорят сами — дают реальную информацию о клиенте: ФИО, паспортные данные, номер карты и даже остаток на счете (!). Как правило, эти данные также можно приобрести в андеграунде, на хакерских форумах, заказать «пробив» в телеграмм-каналах и др. Бывает, что и сами пользователи оставляют слишком много следов в интернете, например, сканы паспорта или банковской карты.
Мошенники представляются сотрудниками банка — службы безопасности или департамента по сопровождению клиентов. Для большей реалистичности происходящего они могут использовать названия реальных подразделений или даже фамилии, которые достают в открытых источниках или в слитых базах компаний-партнеров.
Клиенту сообщают об обнаруженной проблеме: служба безопасности якобы заметила попытку взлома личного кабинета онлайн-банкинга или попытку несанкционированной транзакции.
Чтобы войти в доверие к жертве, злодеи меньше спрашивают, а больше говорят сами — дают реальную информацию о клиенте: ФИО, паспортные данные, номер карты и даже остаток на счете (!). Как правило, эти данные также можно приобрести в андеграунде, на хакерских форумах, заказать «пробив» в телеграмм-каналах и др. Бывает, что и сами пользователи оставляют слишком много следов в интернете, например, сканы паспорта или банковской карты.
Описанный выше способ телефонного мошенничества давно известен - он называется вишинг (англ. vishing, от voice phishing – голосовой фишинг) и здесь можно было бы не продолжать, если бы не одно «но». В одном из сценариев анализируемых вишинг-схем криминалисты Group-IB заметили нововведение. Оно касается вывода денег со счета.
Пакет «стандарт»: как это происходило раньше
— Узнав у пользователя CVV-код, злоумышленники могут совершить интернет-покупки на небольшую сумму (так как они не требуют проверки через одноразовый пароль в СМС) или продать скомпрометированные данные карт оптом в кардшопах. В этом случае с каждой проданной карты злоумышленник может получить, как правило, от $1-5, поэтому чаще всего такие данные продаются массово.
— Если клиент использует двухфакторную аутентификацию, то у него запрашивают секретный код, присланный банком в СМС, потому что только так якобы можно отменить несанкционированную транзакцию. Вместо этого деньги со счета жертвы поступят на счет мошенников.
— Однако в изученной экспертами Group-IB жалобе злодеев интересовал не CVV, а кодовое слово. Зачем?
— Если клиент использует двухфакторную аутентификацию, то у него запрашивают секретный код, присланный банком в СМС, потому что только так якобы можно отменить несанкционированную транзакцию. Вместо этого деньги со счета жертвы поступят на счет мошенников.
— Однако в изученной экспертами Group-IB жалобе злодеев интересовал не CVV, а кодовое слово. Зачем?
Атака «клонов»: как это происходит сейчас
Схема с перевыпуском сим-карты уже использовалась злоумышленниками ранее, говорит Сергей Никитин, заместитель руководителя лаборатории компьютерной криминалистики Group-IB.
В отличие от известных схем с хищением CVV или СМС-кода, она не такая массовая и ориентирована в первую очередь на солидных состоятельных клиентов. Некоторое время назад перевыпуск сим-карты был очень популярен для кражи информации — переписки в мессенджерах и в почте, поскольку аккаунты привязаны к номеру. Но в нашем кейсе мошенников интересовали не чаты. Итак, рассказывает Никитин, имея на руках паспортные данные, данные банковской карты и кодовое слово клиента банка, злоумышленники могут сделать следующее:
1. Идут в самый «непроходной» салон оператора сотовой связи (понятно, что оператора легко определить по префиксу в номере клиента) и, предоставив фиктивную доверенность (бланк стоит на форумах около 1500 рублей, также используют поддельные печати или печатают бланки на цветном принтере), просят перевыпустить сим-карту. Важный момент – выбор салона. Если жертва, допустим, из Москвы – симку перевыпускают в лучшем случае в Подмосковье, а скорее всего – за сотни километров. У оператора в салоне связи нет технических возможностей по проверке подлинности доверенности и нет ответственности за последствия выдачи новой сим-карты по такой доверенности. Идеально. А если у мошенников есть инсайдер в каком-нибудь отделении, дело и вовсе можно поставить на поток.
2. В тот момент, когда мошенники получают новую симку (симку-клон), у абонента отключается старая симка, а одноразовые коды будут приходить на новую. Все, он «отвязан» от прежней сим-карты, он не видит никаких СМС, подтверждающих транзакции – все они, весте с одноразовыми кодами-подтверждениями, будут приходить на новую – ту, которая сейчас в руках у мошенников.
3. Постепенно все больше банков договариваются с сотовыми операторами об обмене данными для противодействия фроду: в случае перевыпуска сим-карты, мобильный банкинг временно блокируется и требуется отдельная активация онлайн-банкинга. Для этого как раз и нужно "кодовое слово".
4. Финал истории простой: злодеи звонят в банк — называют ФИО, паспортные данные и кодовое слово жертвы, активируют онлайн-банкинг под новую симку и вот он - профит: они могут совершать любые финансовые операции, пользуясь счетом жертвы, как своим.
В отличие от известных схем с хищением CVV или СМС-кода, она не такая массовая и ориентирована в первую очередь на солидных состоятельных клиентов. Некоторое время назад перевыпуск сим-карты был очень популярен для кражи информации — переписки в мессенджерах и в почте, поскольку аккаунты привязаны к номеру. Но в нашем кейсе мошенников интересовали не чаты. Итак, рассказывает Никитин, имея на руках паспортные данные, данные банковской карты и кодовое слово клиента банка, злоумышленники могут сделать следующее:
1. Идут в самый «непроходной» салон оператора сотовой связи (понятно, что оператора легко определить по префиксу в номере клиента) и, предоставив фиктивную доверенность (бланк стоит на форумах около 1500 рублей, также используют поддельные печати или печатают бланки на цветном принтере), просят перевыпустить сим-карту. Важный момент – выбор салона. Если жертва, допустим, из Москвы – симку перевыпускают в лучшем случае в Подмосковье, а скорее всего – за сотни километров. У оператора в салоне связи нет технических возможностей по проверке подлинности доверенности и нет ответственности за последствия выдачи новой сим-карты по такой доверенности. Идеально. А если у мошенников есть инсайдер в каком-нибудь отделении, дело и вовсе можно поставить на поток.
2. В тот момент, когда мошенники получают новую симку (симку-клон), у абонента отключается старая симка, а одноразовые коды будут приходить на новую. Все, он «отвязан» от прежней сим-карты, он не видит никаких СМС, подтверждающих транзакции – все они, весте с одноразовыми кодами-подтверждениями, будут приходить на новую – ту, которая сейчас в руках у мошенников.
3. Постепенно все больше банков договариваются с сотовыми операторами об обмене данными для противодействия фроду: в случае перевыпуска сим-карты, мобильный банкинг временно блокируется и требуется отдельная активация онлайн-банкинга. Для этого как раз и нужно "кодовое слово".
4. Финал истории простой: злодеи звонят в банк — называют ФИО, паспортные данные и кодовое слово жертвы, активируют онлайн-банкинг под новую симку и вот он - профит: они могут совершать любые финансовые операции, пользуясь счетом жертвы, как своим.
Повесить эти правила на холодильник: как не стать жертвой?
- Даже если разговор с кем-то, кто представился сотрудником банка, выглядит супер-реалистично – никогда не сообщайте CVV, кодовое слово или код из смс. Ни по телефону, ни в чате с банком. Как только вы услышали эту просьбу — на линии мошенник. Спокойно прервите разговор и сообщите в ваш банк, с какого номера поступил звонок.
- Уточните, что будет делать ваш банк в случае перевыпуска сим-карты. Напишите заявление в салоне сотовой связи, запрещающее перевыпуск карты без вашего участия.
- Обычно в случае мошеннической операций банк блокирует все движения денежных средств по карте, и сам клиент звонит для разблокировки и называет различные данные, обратная ситуация – это «развод».
Если материал вам понравился, расскажите о нём друзьям!
Другие интересные статьи:
Узнавайте первыми
о новейших киберугрозах и расследованиях
*Нажимая «Подписаться», вы соглашаетесь на получение новостей компании,
защиту и обработку своих персональных данных в соответствии с ФЗ РФ
защиту и обработку своих персональных данных в соответствии с ФЗ РФ
Предотвращение
Реагирование
Расследование
Продукты
Threat Intelligence & Attribution
Threat Hunting Framework
Fraud Hunting Platform
Digital Risk Protection
Anti-Piracy
Threat Hunting Framework
Fraud Hunting Platform
Digital Risk Protection
Anti-Piracy
Компания
Связаться с нами
Круглосуточная линия +7 495 984-33-64
Электронная почта
info@group-ib.ru
info@group-ib.ru
Адрес офиса
Москва, улица Шарикоподшипниковская, д.1, БЦ «Прогресс Плаза», 9 этаж
Москва, улица Шарикоподшипниковская, д.1, БЦ «Прогресс Плаза», 9 этаж
