Мошенники освоили QR-коды для снятия денег с карт
Они пытаются запутать клиентов банков благодаря новизне технологии
Мошенники научились обходиться без данных банковской карты, теперь для снятия денежных средств клиентов им достаточно получить QR-код из приложения. О новой схеме сообщил Банк России 7 апреля в своем Telegram-канале.
Чтобы украсть деньги, мошенники используют сервис снятия наличных денег по QR-коду, который доступен в ряде банков, говорится в сообщении. Злоумышленники звонят клиентам под видом сотрудников банка, сообщают о якобы несанкционированном запросе на снятие денег со счета и просят прислать QR-код, чтобы отменить операцию. В мобильном приложении клиент может самостоятельно сгенерировать код. Заполучив его, лжесотрудники банков снимают деньги в банкоматах со счета обманутого человека.
QR-код в этом случае фактически является поручением банку на выдачу денег без ввода ПИН-кода. Поэтому им ни с кем и никогда нельзя делиться, отмечают в ЦБ. Также в учреждении советуют не хранить изображение QR-кода в телефоне или в распечатанном виде. Настоящие сотрудники банков никогда не запрашивают у клиентов QR-код, подчеркнули в ЦБ.
Риски, связанные со снятием денег с помощью QR-кодов, достаточно высоки, считает специалист Group-IB по противодействию финансовому мошенничеству Дмитрий Дудков. На руку злоумышленникам играет факт новизны данной схемы для пользователей – они уже знают, что нельзя называть ПИН-код, CVV, а просьба отправить QR-код может застать жертв врасплох, рассказал он «Ведомостям». Кроме того, преступники могут получить QR-код, используя программное обеспечение для удаленного управления на устройстве жертвы, отметил Дудков.
Раньше мошенники либо брали номер карточки и ее код, либо накладывали дополнительную накладку на клавиатуру, чтобы запеленговать ПИН-код, а в данном случае это делается через QR-код, чтобы получить доступ к финансам клиента, сообщил «Ведомостям» гендиректор Telecom Daily Денис Кусков. «Но принцип тот же самый — получение информации о денежном счете владельца и снятие средств», – подчеркнул он. По словам эксперта, этот способ более опасный лишь в силу своей новизны – люди могут в большей степени поддаться на провокацию мошенников, так как не слышали о нем ранее.
Действия злоумышленников сводятся к запутыванию человека, внесению сумятицы в его разум, чтобы он поддался на уговоры и предоставил информацию, говорит Кусков. Первая составляющая их действий — психологически «подорвать» человека: «если вы сейчас не сделаете то, что мы говорим, то очень много потеряете», отмечает эксперт. Вторая — акцент на новацию, с этой точки зрения QR-код как раз что-то новое для большинства клиентов банков.
«В целом же для этих целей используются различные категории — звонят не только «банки», но и липовые сотрудники правоохранительных органов, МВД, прокуратуры», – перечисляет Кусков.
Мошенники будут придумывать новые схемы и сценарии, связанные с возможностью снять деньги со счетов жертв по QR-коду, полагает Дудков. Чтобы обезопасить свои средства, надо следовать тем же правилам, что и с CVV, ПИН-кодом и кодом безопасности из СМС – ни с кем не делиться QR-кодом, в том числе не отправлять его внезапно позвонившим «сотрудникам банка», а также соблюдать общие рекомендации по защите от мошенников. Дудков советует также не сканировать QR-код от сомнительного отправителя – он может вести на фишинговый или мошеннически ресурс, начать скачивание вредоносного файла, подтверждение транзакции, которую подстроили злоумышленники.
Среди актуальных схем обмана, которыми сегодня пользуются злоумышленники, эксперты называют шантаж кредитом. От имени жертвы мошенники заполняют заявку на сайте кредитной организации. Данные они берут из украденных баз. Жертве приходит СМС с просьбой подтвердить заявку на кредит от реального банка или микрофинансовой организации, после чего с ней связываются мошенники и получают нужную конфиденциальную информацию – якобы,\ чтобы прекратить процесс оформления кредита.
Также мошенники активно используют голосовые возможности и технологии, которые позволяют с помощью специальных программ синтезировать голос человека. К примеру, злоумышленники звонят человеку и молчат или, наоборот, задают вопросы для односложного ответа, чтобы записать его голос. Затем голос нужным образом накладывается в специальной программе. «Это можно использоваться в различных ситуациях против человека. Если вы не знаете звонящих вам людей, никогда не разговаривайте и вешайте трубку», – говорит Кусков. Первым вступать в разговор при звонках с незнакомых номеров эксперт также не советует.