Новини / Бізнес / Шахраї атакують власників карт «ПриватБанку»
7 серпня 2013, 11:40
Розмір шрифта: А А А

Шахраї атакують власників карт «ПриватБанку»

Шахраї атакують власників карт «ПриватБанку», Приватбанк, безпека, шахрайство, товар, авторизація
Шахраї атакують власників карт «ПриватБанку»

Поки «ПриватБанк» і стільникові оператори заперечують очевидні «дірки» в безпеці, шахрайська схема набуває масштабів епідемії

До редакції «proIT» від двох незалежних джерел надійшли повідомлення про шахрайські атаках з елементами соціальної інженерії. Два випадки об‘єднують схожі риси, що дозволяє говорити про системність нової злочинної схеми:

1) атакують власників карток «Приватбанку»;
2) «наводка» на жертву через сайти приватних оголошень;
3) вхідні дзвінки нібито від співробітників «Приватбанку».

Перший випадок

• Жертва отримує вхідний дзвінок щодо товару, що продається через сайт оголошень. Уявний покупець жваво цікавиться характеристиками товару і можливими способами доставки, даючи зрозуміти жертві, що ймовірність угоди висока.

• У процесі обговорення умов продажу «покупець», імітуючи поганий зв’язок, кілька разів просить жертву передзвонити, тобто здійснити вихідний виклик. У процесі обговорення спливає ще один зацікавлений покупкою фігурант — нібито остаточний реципієнт товару, що купується (згідно з легендою, дядько робить подарунок племінникові), і у нього теж виникають «проблеми зі зв‘язком».

• В ході торгів нав’язується наступна схема розрахунку: «покупець» перераховує вартість на вказаний продавцем номер картки «Приватбанку», а продавець відправляє товар на вказане відділення «Нової Пошти» до запитання.

• Незабаром жертва отримує вхідний дзвінок з анонімного номера. На іншому кінці дроту представляються «службою безпеки Приватбанку» і, звертаючись до жертви по імені-по батькові, запитують, чи дійсно очікується поповнення картки на точно вказану суму. «Офіцер безпеки» повідомляє, що платіж тимчасово не може бути прийнятий в силу деяких обмежень по картці. Обмеження можна відключити прямо в ході телефонної розмови, але для цього потрібно пройти стандартну процедуру аутентифікації «на випадок, якщо ваш телефон взяв хтось інший». Жертва відповідає на стандартні секретні питання, що задаються в ході процедури аутентифікації. «Офіцер безпеки» підтверджує «зарахування» коштів на картковий рахунок.

• Протягом півгодини після дзвінка від «служби безпеки», SIM-карта жертви перестає сприйматися телефоном, виявляється неможливість зайти в систему «Приват24», а незабаром — і пропажа коштів з карткового рахунку.

Другий випадок в чомусь повторює перший — вихід на жертву через сайт оголошень, дистанційний продаж товару шляхом зарахування грошей на картку «Приватбанку», вхідний дзвінок від «служби безпеки». Відмінність в тому, що в другому случе шахраї реалізують більш швидку схему, без заволодіння дублікатом SIM-карти.

• Жертва, погодившись на запропоновані умови дистанційної покупки, відправляє SMS з реквізитами картки, але через 5 хвилин отримує дзвінок від «покупця», який говорить, що не отримав SMS і просить продиктувати номер картки та ПІБ. Отримавши інформацію, він пропадає на 2 години, очевидно, щоб викликати у жертви почуття невизначеності і гостре відчуття очікування дзвінка. Нарешті «покупець» телефонує і каже, що гроші перерахував.

• Через 5 хвилин жертві надходить дзвінок з прихованого номера та людина на тому кінці дроту, представившись співробітником департаменту «ПриватБанку» по роботі з корпоративними клієнтами, називає жертву на ПІБ і питає, чи очікує вона надходження точно зазначеної суми на свій рахунок. Отримавши ствердну відповідь, «співробітник банку» говорить: «Платіж на вашу карту здійснений з рахунку юридичної особи, а оскільки ваша картка не авторизована на отримання коштів від юридичних осіб, вам необхідно провести таку авторизацію. Я вам допоможу це зробити». «Співробітник банку» пояснює жертві, що потрібно підійти до банкомата «ПриватБанку», зайти в певне меню, ввести свій номер телефону, пін-код картки і продиктувати код, отриманий в SMS. Шахрай запитує, через який час жертва буде знаходитися поряд з банкоматом, щоб в телефонному режимі він зміг би допомогти провести необхідні маніпуляції з банкоматом. «Співробітник» «ПриватБанку» передзвонює на 15 хвилин пізніше обумовленого часу, мабуть з метою зіграти на емоційному стані жертви, яка чекає отримання великого грошового переказу — очевидно очікування великого продажу повинно нівелювати підозру жертви про надмірну легкість «угоди».

А підозрілих фактів більш, ніж достатньо. Тут і швидкість угоди, і відсутність торгу, перерахування великої суми грошей без будь-яких гарантій, перерахування коштів з рахунку не фізичного, а юридичної особи, байдужість «покупця» до вибору поштового оператора, щедрість «покупця», легко погодився на оплату пересилки, легке згоду на оплату комісії за переказ коштів і відсутність заперечень на конвертацію вартості зазначеної в доларах на гривні за максимальним курсом.

У другому випадку «угода» зірвалася. Жертву виручила зайва педантичність. Зокрема, був зроблений дзвінок оператору колл-центру «ПриватБанку» з метою з‘ясувати, чи дійсно необхідно «авторізовувати» карту для отримання платежу від юридичної особи. Питання викликало подив у оператора, але коли йому повідомили деталі «операції», він попередив про її шахрайський характер. Варто відзначити, що і сам клієнт завчасно підстрахував себе від можливого шахрайства і для подібних угод використовував спеціально випущену карту з нульовим балансом.

Як зрозуміло з описів, успіх злочинної схеми забезпечений, серед іншого, успішної експлуатацією великої «дірки» в безпеці системи ДБО і мобільних операторів, про яку редакція «proIT» вже писала — несанкціоноване отримання дубліката SIM-карти, який використовується для доступу до ДБО. Крім того, звертають на себе увагу кілька інших вразливостей:

1) При введенні номера картки в будь-якому терміналі «Приватбанку» з метою поповнення, на екран висвічується ПІБ власника повністю — саме таким чином шахраї дізнаються повні ПІБ жертви для дзвінків в «Приватбанк» від її особи.
2) В жодному з документів «Приватбанку», які клієнт підписує при оформленні банківської картки, немає попередження про те, що процедура аутентифікації (відповіді на секретні питання) може здійснюватися тільки при ініціюванні дзвінка самим клієнтом, але ніколи — при надходженні вхідного дзвінка.
3) Що б не говорили оператори про нібито принципову неможливість злочинного заволодіння дублікатом SIM-карти, редакція продовжує отримувати фактичні підтвердження того, що надання історії вихідних дзвінків де-факто є цілком достатньо для отримання SIM-дубліката зловмисниками.

Відповідаючи на запитання редакції, чи знають у «ПриватБанку» про перераховані і подібні схеми і як з ними борються, Олег Серга, прес-секретар «ПриватБанку», зазначає, що такі «схеми» практикувалися шахраями, як правило, у першій половині 2012 року. «Ми активно протидіємо подібним схемам шахрайства з картами клієнтів. По-перше, кожен клієнт отримує від банку інформацію про те, як убезпечити себе від шахрайства, що співробітники банку не мають права зв’язуватися з клієнтом по телефону і уточнювати його особисті дані, що паролі та інша інформація від банку це секретна інформація. По-друге, і найголовніше, за кожним фактом шахрайства ми проводимо термінове розслідування, легко з допомогою камер спостереження та інших даних визначаємо особистість шахрая і передаємо матеріали до МВС для початку кримінального провадження. За останній рік притягнуто до кримінальної відповідальності більше двох десятків груп шахраїв, на розслідуванні зараз знаходиться більше сотні подібних справ. Наші системи інформаційної безпеки дозволяють дуже швидко вийти на шахраїв і притягнути до відповідальності. По-третє, за результатами розслідування, якщо не виявлена ??вина і причетність до шахрайства самого клієнта (а таких випадків досить багато), клієнту банк компенсує втрачені кошти і далі відшкодовує їх за рахунок залучених до відповідальності шахраїв».

У той же час, в «ПриватБанку» вважають, що ПІБ клієнта надійно захищені, оскільки видаються тільки після авторизації через карту. «При проведенні операції в терміналах потрібна обов‘язкова ідентифікація клієнта через його карту. При поповненні картки за номером підтверджує інформація про власника карти з’являється на екрані тільки на фінальній стадії операції після валідації клієнта і підтвердження операції паролем. Таким чином, інформацію про власника карти на яку перераховуються гроші може побачити тільки ідентифікований клієнт банку після підтвердження операції переказу», — стверджує Олег Серга.

Проте, практичний експеримент, проведений редакцією «proIT» доводить протилежне — щоб роздобути ПІБ жертви за допомогою терміналу поповнення карта «ПриватБанку» зовсім не потрібна. Термінал пропонує і інший — набагато більш «дірявий» — спосіб авторизації, шляхом введення одноразового пароля, який прийшов в SMS на зазначений у терміналі номер. У даному випадку ідентифікатором виступає не банківська карта, а номер телефону. Оскільки стартовий пакет будь-якого оператора можна купити на кожному розі, а після заполученія ПІБ жертви попросту викинути, редакція вважає де-факто доведеною незахищеність персональних даних клієнтів «ПриватБанку».

Що стосується попередження клієнта про те, що процедура аутентифікації (відповіді на секретні питання) може здійснюватися тільки при ініціюванні дзвінка самим клієнтом, але ніколи — при надходженні вхідного дзвінка, прес-секретар «ПриватБанку» говорить, що кожен клієнт при отриманні картки банку підписує стандартну оферту, де чітко прописана процедура захисту особистих даних. «Крім того, дана інформація повідомляється клієнтів у ході комунікацій з ним від імені банку по СМС, на чеках банкоматів, в інформаційних матеріалах банку», — говорить Олег Серга.

Особливу увагу він звертає на той факт, що ніколи і ні за яких обставин співробітники банку не дзвонять клієнтам з особистих мобільних номерів і ніколи не вимагають диктувати паролі. «Паролі банку нікому передавати не можна ніяким способом», — підкреслює представник банку. Однак, як підказує практика, мало хто з клієнтів про це знає.

Примітно, що жертва в другому випадку була чудово поінформована про нюанси подібних шахрайських схем, але коли її саму взяли в «оборот» щось недобре вона запідозрила лише в останній момент. Виходить, якщо такого роду схеми ще користуються популярністю, значить у шахраїв є і позитивні результати. А це говорить про відм, що банкам, особливо тим, які активно впроваджують нові послуги, слідують більш інтенсивно вести роз'яснювальну діяльність серед клієнтів про основи фінансової безпеки і особливості своєї політики безпеки.

А ось у жертви першого випадку перспективи повернути кошти, на жаль, невтішні. У «ПриватБанку» її попросту відфутболили з формулюванням «не можемо надати правову допомогу, так як вами була розголошена конфіденційна інформація». Після певного тиску, «ПриватБанк» вказав жертві ПІБ власника і номер картки, на яку були перекинуті вкрадені гроші, і показав відеозапис процесу зняття готівки в одному з банкоматів Донецька, на якій мало що можна розібрати. На цьому «ПриватБанк» умив руки. Заява, прийняте Святошинської міліцією (за місцем проживання жертви), відфутболили до Донецька — за місцем зняття грошей. «І все. Ні слуху, ні духу. Слідчого місцевого зловити по телефону просто нереально», — підводить сумний підсумок жертва першого випадку.

ВКонтакте Buzz Live journal Facebook Twitter

Знайшли помилку в тексті? Виділіть її мишою і натисніть CTRL+Enter
Лист у редакцію

Коментарі (3)

  • Петро (анонімно) 17 жовтня 2014, 14:53 ссылка
    >>3) Що б не говорили оператори про нібито принципову неможливість злочинного заволодіння дублікатом SIM-карти, редакція продовжує отримувати фактичні підтвердження того, що надання історії вихідних дзвінків де-факто є цілком достатньо для отримання SIM-дубліката зловмисниками.

    В Київстара: для отримання нової сімки при відсутності документів на номер (пакування, де була сім-карта при покупці) достатньо назвати три останніх номери на які здійснювались вихідні дзвінки та приблизний залишок на рахунку або дату і суму останнього поповнення рахунку - і нова карта на руках - рік тому відновлював карту, яка була в втоплена у морі разом з телефоном...
    Тобто, якщо на протязі півгодини здійснювалось два-три дзвінки "клієнту" то шанс втратити сімку дуже великий
  • іванна (анонімно) 26 травня 2015, 15:33 ссылка
    нажаль я також спіткнулася з шахраями((((...в неділю подзвонили ніби з приват банку і сказали,що сталася проблема з банком і попала під щось..і мені потрібно захистити свої карточки. Пізніше почав надсилати мені коди які я мала йому сказати,щоб захисна система запрацювала сказав зачекати після цього,після цього пройшло 10 хвилин і дзвінок завершився,коли подзвонила на 3700 сказали ,що ніхто до мене не дзвонив і це шахрайство і з мого рахунку зняли 700 доларів і з кредитної картики 400 грн..банк подав заявку на шахрайство після чого я подзвонила в міліцію туди ж мені сказали приїхати я написала заяву. на наступний день пішла в приват мені сказали що нічого не зроблять навіть заяви не зможу написати відправили в центр безпеки приват банку там також заяви не приймають...після цього я подзвонила 3700 і мені сказали куди мої гроші надіслані це був сайт зайшла на цей сайт і там подзвонила в тех. підтримку там мені дали квитанції і номер картки куди надіслали гроші це було два банки...ці всі дані переслала на пошту моєї слідчої тепер чекати результати...дуже обідно,що звязалась з цим банком,який не дає того захисту,який треба((
  • Анонімно 5 липня 2015, 15:51 ссылка
    У мене відбулася аналогічна подія. Мене морально вбило те, що мої гроші вкрадені не на базарі, не вдома, ні ще десь - а в ПриватБанку і вкрадені вони (я впевнена) працівниками банку. Шахрай (працівник банку) який зателефонував мені назвав всі мої персональні дані в т.ч. ідентифікаційний код. Тільки на жаль міліція нічого не робить, як і банківські працівники, для того щоб знайти мої кровно зароблені 5000 грн. Золочів, Львівська область, Котис Ольга
Ви не авторизувались.
Якщо у вас вже э обліковий запис ВКурсе.ua, увійдіть або зареєструйтесь.
ваш коментар:

Читайте також:

«Приват» виходить на ринок лотерей — джерело

1 червня 2017, 21:11

В Україні почалася боротьба з піратським контентом – Перша Шпальта

28 травня 2017, 17:16

Останні новини за сьогодні: