Классический сценарий стандартный: мошенники звонят клиенту банка. Чтобы их номер телефона совпадал с реальным номером колл-центра банка, они используют специальные сервисы IP-телефонии с возможностью подмены номера, либо просто маскируют его: вместо нулей 000 используют буквы ООО и тд.

Мошенники представляются сотрудниками банка — службы безопасности или департамента по сопровождению клиентов. Для большей реалистичности происходящего они могут использовать названия реальных подразделений или даже фамилии, которые достают в открытых источниках или в слитых базах компаний-партнеров.

Клиенту сообщают об обнаруженной проблеме: служба безопасности якобы заметила попытку взлома личного кабинета онлайн-банкинга или попытку несанкционированной транзакции.

Чтобы войти в доверие к жертве, злодеи меньше спрашивают, а больше говорят сами — дают реальную информацию о клиенте: ФИО, паспортные данные, номер карты и даже остаток на счете (!). Как правило, эти данные также можно приобрести в андеграунде, на хакерских форумах, заказать «пробив» в телеграмм-каналах и др. Бывает, что и сами пользователи оставляют слишком много следов в интернете, например, сканы паспорта или банковской карты.

— Узнав у пользователя CVV-код, злоумышленники могут совершить интернет-покупки на небольшую сумму (так как они не требуют проверки через одноразовый пароль в СМС) или продать скомпрометированные данные карт оптом в кардшопах. В этом случае с каждой проданной карты злоумышленник может получить, как правило, от $1-5, поэтому чаще всего такие данные продаются массово.

— Если клиент использует двухфакторную аутентификацию, то у него запрашивают секретный код, присланный банком в СМС, потому что только так якобы можно отменить несанкционированную транзакцию. Вместо этого деньги со счета жертвы поступят на счет мошенников.

— Однако в изученной экспертами Group-IB жалобе злодеев интересовал не CVV, а кодовое слово. Зачем?

В отличие от известных схем с хищением CVV или СМС-кода, она не такая массовая и ориентирована в первую очередь на солидных состоятельных клиентов. Некоторое время назад перевыпуск сим-карты был очень популярен для кражи информации — переписки в мессенджерах и в почте, поскольку аккаунты привязаны к номеру. Но в нашем кейсе мошенников интересовали не чаты. Итак, рассказывает Никитин, имея на руках паспортные данные, данные банковской карты и кодовое слово клиента банка, злоумышленники могут сделать следующее:

1. Идут в самый «непроходной» салон оператора сотовой связи (понятно, что оператора легко определить по префиксу в номере клиента) и, предоставив фиктивную доверенность (бланк стоит на форумах около 1500 рублей, также используют поддельные печати или печатают бланки на цветном принтере), просят перевыпустить сим-карту. Важный момент – выбор салона. Если жертва, допустим, из Москвы – симку перевыпускают в лучшем случае в Подмосковье, а скорее всего – за сотни километров. У оператора в салоне связи нет технических возможностей по проверке подлинности доверенности и нет ответственности за последствия выдачи новой сим-карты по такой доверенности. Идеально. А если у мошенников есть инсайдер в каком-нибудь отделении, дело и вовсе можно поставить на поток.

2. В тот момент, когда мошенники получают новую симку (симку-клон), у абонента отключается старая симка, а одноразовые коды будут приходить на новую. Все, он «отвязан» от прежней сим-карты, он не видит никаких СМС, подтверждающих транзакции – все они, весте с одноразовыми кодами-подтверждениями, будут приходить на новую – ту, которая сейчас в руках у мошенников.

3. Постепенно все больше банков договариваются с сотовыми операторами об обмене данными для противодействия фроду: в случае перевыпуска сим-карты, мобильный банкинг временно блокируется и требуется отдельная активация онлайн-банкинга. Для этого как раз и нужно "кодовое слово".

4. Финал истории простой: злодеи звонят в банк — называют ФИО, паспортные данные и кодовое слово жертвы, активируют онлайн-банкинг под новую симку и вот он - профит: они могут совершать любые финансовые операции, пользуясь счетом жертвы, как своим.


Вариантов может быть масса: москвичке Екатерине поступил звонок от мошенника, который представился сотрудником службы безопасности банка и под предлогом защиты средств от несанкционированного списания предложил установить программу удаленного доступа.
Екатерина отказалась и обратилась в банк. Однако через две недели ей позвонили повторно: собеседник представился сотрудником полиции и сообщил, что первый звонок был от мошенников и рассказал об организованной тогда схеме обмана в деталях. Затем "сотрудник" еще раз попытался выманить у клиента пароль из СМС.

Реальный кейс, который расследовали эксперты Group-IB: Представляясь сотрудниками Центрального банка или Арбитражного суда, телефонные мошенники предлагали пожилым людям компенсации за ранее приобретенные лекарственные препараты или медицинские приборы. Любопытно, что колл-центр мошенников размещался не в местах лишения свободы, как принято считать, а в московском офисе под вывеской юридической фирмы — буквально в ста метрах от одного из зданий суда.

Чтобы войти в доверие к жертвам, мошенники не только называли имя и адрес, но и стоимость приобретенного ранее лекарства. Компенсацию от государства можно было получить лишь оплатив «госпошлину» в размере 15% от суммы возврата, «страховой взнос» или налог. Похищенные у пенсионеров деньги — а суммы переводов составляли от 50 000 до 1 000 000 рублей — преступники выводили через систему мгновенных денежных переводов. Например, одна из пенсионерок отправила мошенникам из почтового отделения несколько экспресс-переводов на 280 000 рублей, но, разумеется, никакой «компенсации» так и не получила.

В течение двух дней — 13 и 14 апреля этого года — оперативники московского уголовного розыска и спецназ Росгвардии задержали 16 участников преступной группы, в течение нескольких лет терроризировавших пенсионеров из различных регионов России. Всего на счету преступников, по данным полиции, оказалось не менее 50 обманутых жертв среди пожилых людей. Оперативники подчеркивают, что число жертв может быть гораздо больше.

Это не первая группа телефонных мошенников, участие в задержании которой принимали эксперты Group-IB. Напомним, что в 2019 году в Подмосковье полиция обезвредила шайку аферистов из семи человек, которые на протяжении нескольких лет также через мошеннический колл-центр обманом вымогали у пожилых людей деньги. Ранее, в том же 2019 году в результате совместного расследования полиции и Group-IB двое телефонных мошенников, промышлявших вишингом, были задержаны в Воронеже. В целом, по данным Сбербанка, в 2020 году мошенники позвонили россиянам около 15 млн раз, каждый десятый телефонный звонок в России был аферой.