Мошенники. Звонок из банка

Постоянно слышу про такие истории. И иногда люди действительно попадаются. Меня удивляло, как можно повестись на разговоры. но вот и мне позвонили, теперь я знаю, как попадются на такой развод :) Сразу скажу, я не попался. Но я - редкий случай. У меня карта некоторого банка, но я не доверяю ни их мобильному клиенту ни смс-доступу. Даже в Google Pay карта не заведена. Т.е. я пользуюсь картой только явно, через банкоматы и pos-терминалы. Все платежи/переводы делаю через банкомат с комиссиями либо наличными из рук в руки. Короче, я не приемлю полного спектра "удобств" от владения картой.

Звонок пришел с московского номера, +7 495 128-24-26. Далее - пересказ по памяти.

• Здравствуйте, Валерий Валерьевич. Служба финансового контроля банка (не уверен, было ли названо конкретное название банка). Меня зовут Пофиг-как. Уделите мне время.
• Мы зарегистрировали три попытки перевода с вашей карты на имя Как-то-там (какие-то ФИО, это вообще неважно). Скажите, вы подтверждаете перевод?
• Нет.
• Значит это попытка незаконного снятия денег. В ближайщие 15 минут совершали оплату по карте?
• Да.
• Вы можете проверить, ваша карта при вас?
• Да.
• Вашей картой пользуетесь только вы? Есть ли доступ к ней у других членов семьи, передавали ли вы ее кому-то?
• Нет, карта только у меня.
• В ближайщие 15 дней вы оплачивали покупки в магазинах типа Магнит, Пятерочка и т.п.?
• Да, я платил в супермаркетах.
• В этих магазинах стоит старое оборудование. Оно позволяет третьим лицам заполучить информацию по карте. Лучше воздержаться от платы по карте и платить наличными.
• Злоумышленник пытался подключить (или отключить?) у вас смс-оповещения. По последнему переводу вы получали смс-уведомление?
• Нет.
• Нет - только его, или у вас вообще не подключен мобильный банк?
• Вообще не подключен.
• Значит я отменяю перевод?
• Отменяйте.
• Мне потребуется подтверждение, что вы и есть владелец карты. Либо номер карты либо.. что-то еще, я уже слушал. Я много раньше понял, что это мошенники.
• Я не сообщу вам никакие данные.
• Я не прошу у вас личную информацию, только..
• Я знаю, как работает СБ банка...
• бросила трубку
• ... давайте прекратим разговор.

Теперь анализируем.

Они знают мое имя, но ничего не знают о карте (совершал ли я покупки, есть ли мобильный банк). Можно предположить, что телефон и ФИО сперли у оператора связи или с какого-нибудь сайта, где я оставлял и то и другое. Хотя таких сайтов может пара штук всего, скорее всего они используют телефонный справочник.

Этот был "фин.контроль", хотя у моего банка такими вещами занимается служба безопасности. И она так и называется - СБ, не фин.контроль. Допустим, они отследили попытку перевода. Это "вброс". После такой новости жертва начинает дергаться. Но смотрите здраво на событие: попытку уже отследили, значит (если она была), ничего страшного не произошло, у банка все под контролем. Поэтому не нужно дергаться.

Сразу после такой новости разговор ушел в сторону. Когда я пользовался, картой, в каких магазинах.. А разве не нужно немедленно отменить перевод, а потом все остальное выяснять?

Про старое оборудование в магазинах доставило отдельно. Она даже не знает, в каком конкретно магазине я платил картой, но оборудование там точно старое. Круто. На самом деле это брехня. POS-терминалы соединяются с процессингом для проведения транзакции по карте. Сам терминал в точности соответствует названию, это точка доступа к процессингу. Он не хранит данные по карте и не передает третьим лицам, если конечно между ним и процессингом не вклиниться (атака MITM). Но это маловероятно и технически сложно. Куда вероятнее, что ваш пин-код через плечо срисуют, потом по башке получите в переулке и карту унесут. Старым терминал может быть только в плане отсутствия поддержки безконтактных карт. Кстати, с такими картами есть еще одна возможность атаки, связанная с NFC. Но и такое воровство технически сложное, маловероятное и вообще к теме не относится.

Едем дальше. Как я уже отметил, она не в курсе, подключен ли у меня мобильный банк. А ведь это не секретная инфа для банка-эмитента, оператор не стал бы у меня об этом спрашивать.

И наконец мы возвращаемся к вопросу отмены перевода. У банка для идентификации по телефону требуется сообщить секретное слово. Я об этом знаю, т.к. уже общался с поддержкой. Только после правильно сказанного слова могут еще что-то уточнить. Причем алгоритм именно такой: сначала идентификация, потом остальные распросы. В принципе я уже был готов к такому вопросу. Собирался пару раз ответить неправильно, чтобы проверить, насколько они осведомлены :) Но до этого не дошло.

Ну и финал уже очевиден. Как только я уперся, тетка бросила трубку.

Что еще интересно. Она говорила бодро и четко, без лишних пауз. Речь определенно поставлена. Либо тетка раньше работала на обзвоне, либо хорошо подготовилась. Так же на фоне разговора слышна болтовня, как в настоящем call-центре. Тут у меня две версии: либо это целая бригада и мошенники реально совершают массу звонков из оборудованного call-центра либо этот шум - запись. Т.е. мне создали впечатление, что звонок из call-центра. Хотя по моему опыту, разговоры с моим банком никогда не давали такой фон, у них как-то это заглушено.

Резюмируя данный инцидент: если клиент попадется нервный, он действительно поведется на сообщение о попытке перевода и дальше будет действовать на поводу у мошенника. Зачем были распросы о платежах и мобильном банке, тут я наверняка не скажу. Либо для отвлечения внимания, либо для сбора информации для продолжения атаки. Сообщить номер карты кому попало - это как бы не хорошо, но с другой стороны, такой номер можно засветить разными способами; даже при оплате в магазине карта может попасть на камеру над кассой. В общем, я не уверен, сколько еще информации потребовалось бы для завершения атаки, но учитывая общую постановку диалога, этот способ развода действительно может сработать.

UPD Через день был еще один звонок, с номера +7 495 975-92-43. Начало похожее, но на этот девушка представилась службой безопасности сбербанка. Толи эти мудаки учатся толи просто наугад сказала что-то похожее на реальность.

Из признаков развода: она представилась полностью, ФИО. Никогда такого не слышал. Обычно имя или имя фамилия. Так же на фоне мужской голос сказал что-то забавное и девушка хихикнула прямо в процессе навешивания лапши на уши. Совсем уже расслабились.

Дальше сказки про несканционированный перевод я слушать не стал.

Я знаю, откуда эти гады могут взять мой номер телефона и ФИО. С сайтов объявлений! Там как ни крути, приходится указывать какие-то реальные данные.

А я-то раньше думал, что они где-то базы операторов связи тырят. Все куда проще, я буквально сам свои данные сообщаю :(