Осторожно, мошенники!

Пока пишется эта статья, кто-то выдумывает свежие способы украсть ваши деньги. Люди, которые в среднем понимают, как работают электронные платёжные инструменты, конечно имеют гораздо меньше шансов потерять свои кровные. Но аферисты порой выдумывают такие вещи, что на чеку приходится быть даже профессиональному технарю.

Вместе с развитием электронных платёжных систем, в информационное пространство Узбекистана ринулись самые настоящие электронные воры-карманники. Для кого-то всё написанное здесь может показаться очевидным, но судя по объёмам доходов сетевых мошенников, эта информация определённо кому-то пригодится. Статья будет разделена на две части. Первая для среднестатистических пользователей, а вторая для более продвинутых. Тех, кто способен испортить аферистам день.

Не дай себя ограбить

Практически все имеющиеся в арсенале аферистов схемы развода имеют определённые общие черты.

Всё начинается с того, что у вас попытаются выудить персональные данные.

Обратите внимание, что часть ваших персональных данных злоумышленники могут найти в открытом доступе в интернете. Так например, номер телефона, к которому привязаны карты, очень часто указан на сайтах объявлений, где они вас и находят. Именно этим и объясняется любовь мошенников работать по объявлениям о продаже.

Изобразим таблицу, в которой ваши персональные данные разделены на категории.

Данные для получения переводовДанные для списания средств с карты
(конфиденциально)
Данные для доступа к платёжным инструментам (строго конфиденциально)Данные, которые должен знать только владелец карты или счёта
1) Номер карты (состоит из 16 цифр, указанных на карте),

2) Номер банковского счёта (состоит из 20 цифр, на карте не указан),

3) Фамилия и имя получателя
1) Срок действия карты (указан на карте),

2) Защитный код CVV2 (трёхзначный код, обычно указан на оборотной стороне карты)

3) Код подтверждения платежа из SMS (внимательно читайте сопутствующую информацию в SMS сообщении)
1) Код подтверждения из SMS (внимательно читайте сопутствующую информацию в SMS сообщении)

2) Номер телефона, к которому привязан платёжный инструмент.
1) PIN код для работы с банкоматом,

2) Кодовое контрольное слово для идентификации, в случае обращения в поддержку банка (передаётся исключительно в том случае, если вы САМИ позвонили в банк.)

3) Доступ к устройству, на котором имеются конфиденциальные данные, включая платёжные приложения.

4) Баланс (остаток денег) вашей карты\счёта.

5) Пароль от Google аккаунта, благодаря которому можно удалённо установить приложения на ваш смартфон.

То есть, если кто-то обещает зачислить вам денег, он не должен просить ничего, кроме данных из первого столбца. При этом не имеет никакого значения, каким способом зачисляются средства. Данные для приёма платежа помечены зелёным цветом, всё остальное отправителя не касается ни при каких обстоятельствах.

Если на каком либо сайте для получения средств (выигрыша, вознаграждения, фин. помощи, кредита и т.д.) просят указать данные, отмеченные в «красных» столбцах — будьте уверены, вас хотят ограбить.

Данные из третьего и четвёртого столбца вы можете доверить только тому человеку, чьё имя вы бы вписали в своё завещание. ;)

В некоторых случаях мошенники просят оплатить некую комиссию за получение денег. Это 100% признак развода.

Так же, иногда может использоваться тактика, от которой потери денег совсем не ждут:
Для регистрации на определённом сайте от вас потребуется ввести свой номер, а затем код, который якобы подтверждает регистрацию. Внезапно оказывается, что в SMS пришёл не просто код, а код для входа в привязанный к номеру банковский персональный кабинет или приложение. В этом случае мошенники действуют практически наугад, по сколько не имеют точных данных о том, что привязано к вашему номеру. Тем не менее, такие случаи имеют место быть.

Как защититься?

Мы часто слышим не совсем понятные рассказы о том, как человеку прислали ссылку и он остался без денег. Если представлять себе это именно так, то сразу же хочется обналичить все свои деньги избавиться от электронных платёжных систем навсегда. Но любой скепсис должен быть обоснованным, по этому следует уточнить, что без вашей «помощи» ограбить вас никто не сможет.

Как всем уже и так понятно, самое главное — не подарить мошеннику данные для доступа к своим платёжным инструментам. А что ещё можно сделать?

Необходимо понимать, что в виду особенностей карточной системы вы не сможете проконтролировать, какую именно сумму спишут с вашей карты, даже когда вы сами инициируете оплату. Имея данные карты, которые вы вбиваете для оплаты, продавец (либо мошенник) может списать любую сумму. Особенно страшно, если у вас кредитная, а не дебетовая карта.

Для того, чтобы минимизировать шансы на потерю всех своих средств, заведите отдельную (а ещё лучше, виртуальную) карту для интернет платежей. На такую карту можно перекидывать небольшие суммы, которых хватит на текущие расходы. Если даже карту каким-то образом уведут, вы потеряете лишь то, что было на её счёте.

Ни в коем случае не используйте в интернете КРЕДИТНУЮ карту, поскольку с неё могут списать больше, чем у вас есть… Для кредитки лучше вообще отключить возможно покупки через интернет, если это возможно.

Виртуальные карты можно периодически уничтожать и создавать новые. Это минимизирует риск утечки платёжных данных и предотвратит рекуррентное списание по подпискам, от которых вы забыли отказаться. Хотя по всем правилам ни один продавец не должен хранить у себя в базе данные вашей карты, некоторые всё-же делают это. В этом случае есть риск стать жертвой взлома вполне себе доверенного сайта-магазина.

Не покупайте ничего на сайтах, в надёжности которых не можете убедиться. Это сродни тому, отдать все ваши деньги первому встречному на вокзале.

Не торопитесь платить по ссылкам, даже если их отправили ваши контакты, ведь их могли взломать.

Внимательно читайте адресную строку вашего браузера, ведь сайт проверенного магазина или банка может оказаться подделкой. (Что-то вроде a1iexpress.com, или agrobank.site)

fishing

Внимательно читайте всё содержимое SMS, перед тем, как ввести полученный код. Есть вероятность, что этот код подтвердит совсем не ту операцию, которую вы подумали…

Не осуществляйте никаких действий с платёжными инструментами по просьбе незнакомых людей! Ни при каких обстоятельствах сотрудники банков или ещё кто-либо не могут звонить вам и просить предоставить какие-либо данные или выполнить какие-либо действия в своём приложении. Любые вопросы по банковским продуктам лучше всего решать в отделении вашего банка в личном присутствии. В крайнем случае, звоните в банк сами, ибо даже с существующего номера телефона банка вам может позвонить кто угодно (входящий номер легко подменить).

Не устанавливайте приложения сомнительного происхождения или непонятного назначения по просьбе третьих лиц. Мошенники часто заставляют жертву установить приложение для удалённого управления (TeamViewer, AnyDesk, ammyy и т.д.). Получив доступ к вашему устройству они сами сделают всё, что им нужно.

Существующие схемы

Давайте рассмотрим несколько распространённых схем, благодаря которым вас попытаются склонить к соучастию в собственном ограблении.

Схема #1:

Мошенники находят ваш номер телефона на сайтах с объявлениями и предлагают купить товар с доставкой. При этом, вам подкидывают ссылку на форму, которую нужно заполнить, якобы для получения платежа.

Как я и писал выше, для получения средств нужен только номер карты. Если кто-то горит желанием отправить вам денег — можете спокойно дать ему этот номер и больше ничего. В ответ на просьбу предоставить то, что указано в «красных» столбцах (все, кроме первого, если это читает дальтоник ;)) ранее описанной таблицы — смело отвечайте «иди нахер!» и блокируйте контакт с пометкой «спам».

Схема #2:

Мошенники рассылают спам (через смс, почту, мессенжеры) с заманчивыми, либо вообще непонятными предложениями, которые в результате должны затащить вас на их страницу-ловушку (фишинговый сайт).

image 1

Среди таких предложений могут быть объявления конкурсов с ценными призами, предложение получить какую-то выплату (даже якобы от лица государства), льготные кредиты и т.д. предложение что-то выгодно купить, либо заказать что-то редкое и эксклюзивное.

image

В худшем случае такая страница может не только пассивно просить внести в неё персональные данные, но и того хуже, изъять их с вашего устройства без лишних вопросов. Такое возможно в редких случаях, когда ваше устройство уязвимо для определённого типа хакерских атак. Короче, лучше всего просто не открывать подозрительные ссылки.

image 2

Я, как специалист, всегда проверяю подозрительные сайты и приложения в так называемой «песочнице». Т.е. на виртуальном устройстве, взлом которого никак не может мне навредить, поскольку на нём нет никаких конфиденциальных данных. После использования такая среда уничтожается вместе со всеми последствиями заражение, если таковое произошло.

Схема #3:

Способы, которые работают в реальном мире так-же никто не отменял. То есть, вам попросту могут продать несуществующий товар. Будьте внимательны, проверяйте репутацию продавцов и сайтов, где можно совершать какие-либо покупки. На такую схему может нарваться даже прошаренный человек.

По ту сторону сети

Мошенники, которые работают по таким схемам зачастую являются солдатами организованного «бизнеса».
Этот «бизнес» продвинулся так далеко, что для удобства так называемых операторов создаются целые системы для работы с «клиентами», с личным кабинетом-конструктором. Такой инструмент позволяет за несколько минут сгенерировать страницу нужного вида, не обладая никакими специальными знаниями. «Оператор» такой системы выполняет всю грязную работу, заманивая и обрабатывая жертв, в то время как авторы автоматизированного конвейера стригут долю за его использование, оставаясь в тени. Эти ребята не жалея вкладывают деньги в серверы, доменные имена, системы рассылок и т.д. Они не останавливаются на достигнутом и постоянно меняют сценарии и методы развода.


Переходим в наступление (для продвинутых)

Мы тоже умеем развлекаться. ;) За последнее время благодаря нашим неравнодушным соратникам было забанено (а в некоторых случаях и взломано) несколько десятков сайтов и ботов мошенников. Если ты тоже считаешь себя воином света и добра — ты можешь помочь!

  1. Если ты уже понял, что с тобой общается живой мошенник — попробуй ему подыграть. Морочь ему мозги и тяни время столько, сколько тебе не жалко! Можно подсовывать левые данные карточек, выдуманные коды из SMS и т.д. Когда мошенник поймёт, что его развели — ему будет весьма обидно за напрасно потраченное время. ;)
  2. Ты можешь наказать мошенника на деньги. Конечно, для него это будет не существенная потеря, но массовость таких наказаний всё же немного ударит по карману. Как это сделать? Очень просто!
    В очередной раз, когда ты получишь от мошенника ссылочку на фишинговый сайт, пробей через whois где зарегистрирован его домен и хостинг. Получив эти данные, можно найти контакты хостинговых операторов и отправить им жалобу с требованием заблокировать аферистам услугу. В письмо обязательно вложи доказательства, в виде скриншота фишинговой страницы.
image 3

3. Ну а ежели ты уважаемый white hat, либо носишь шляпу потемнее, то не мне тебя учить. ;) Анализ, вторжение, деанонимизация — в общем, ты знаешь, что делать.

Если вам понравилась эта статья — распространите её. Чем больше людей осведомлены, тем меньше у мошенников денег!