Вирусные программы находят все больше уязвимостей в системах интернет-банкинга. В Самарской области зафиксировали новый вид кибермошенничества: его жертвами становятся клиенты системы банковских онлайн-платежей. Схема действия мошенников по-прежнему связана с «фишингом».
В очередной раз факт потенциальной уязвимости систем интернет-банкинга был доказан на практике. Жительница Самарской области воспользовалась услугой онлайн-оплаты и стала жертвой новой мошеннической схемы. Ничего не подозревающая женщина зашла на сайт-дублер системы дистанционного обслуживания. Этот поддельный ресурс, внешне похожий на привычную систему интернет-банкинга, создали мошенники. На мошенническом сайте женщина ввела свои персональные данные, которые необходимы для детализации счета и активации банковской карты. Ее личные данные попали в руки к мошенникам, после чего они сняли со счета своей жертвы 94 200 рублей.
Подобная мошенническая схема уже получила статус нового вида кибермошенничества. В нашем регионе есть и другие потерпевшие, которые также являлись клиентами банков и пользовались услугой дистанционного банковского обслуживания. В данном случае схема мошеннических действий выглядит следующим образом. Хакеры-злоумышленники создают вирусные программы, которые распространяют через различные интернет-ресурсы. «Заразиться» таким вирусом можно где угодно: от сайта популярной социальной сети до информационно-новостного ресурса. Заражение компьютера или мобильного устройства происходит сразу, как пользователь переходит на подобную веб-страницу. После этого вирус, попавший в компьютер, автоматически перенаправляет пользователя на «фишинговые» сайты при попытке зайти в личный кабинет в системе интернет-банкинга.
Поддельные сайты создают те же кибермошенники: внешне эти ресурсы ничем не отличаются от привычных интернет-страниц, особенно на первый взгляд. Кроме того, поддельные интернет-сайты содержат все те же инструменты идентификации пользователей, что и системы онлайн-банкинга. Именно персональные данные, введенные в поле таких веб-страниц интересуют мошенников прежде всего. Когда пользователь, ничего не подозревая, вводит свои персональные данные: пароль от банковской карты, номер мобильного телефона, вся эта информация автоматически перенаправляется в руки злоумышленников. После того как они таким образом получат все нужные сведения, останется лишь «техническая» часть – похитить деньги с банковской карты пользователя. Впрочем, при наличии исчерпывающих сведений о банковской карте и ее держателе эту «миссию» мошенники выполняют в два счета.
Чтобы не стать жертвой «фишинговых» мошенников, нужно с большой осторожностью и вниманием относиться и к внешнему виду сайта, на котором работает система интернет-банкинга, и к данным, которые нужно ввести для того, чтобы совершить онлайн-платеж. В первую очередь, представители ГУ МВД по Самарской области советуют пользователям платежных интернет-систем внимательнее относиться ко всей информации, которую предоставляет такая система. В частности, любое списание средств с банковской карты сопровождается одноразовым паролем, который приходит в виде SMS-сообщения на телефон вместе с реквизитами самой операции. Перед тем как ввести пароль в специальное окно на сайте, нужно убедиться, что реквизиты платежной операции соответствуют недавним действиям пользователя на сайте. Если пароль и реквизиты относятся к операции, которую пользователь не совершает в данный момент, вводить его в поле на сайте не следует. Естественно, нужно помнить о том, что одноразовый пароль является конфиденциальной информацией, которую нельзя никому показывать или разглашать. Также пользователя должно предостеречь, если система интернет-банкинга вдруг требует от него какую-либо информацию помимо идентификатора (персональный набор цифр) и пароля (основной пароль – чтобы войти в систему и одноразовый – чтобы подтвердить онлайн-платеж).
Прежде чем ввести персональную информацию, следует убедиться, что между пользовательским компьютером и системой дистанционных банковских платежей установлено защищенное SSL-соединение (адрес сайта в адресной строке браузера должен начинаться с букв https и сопровождаться специальной иконкой-замком). Представители правоохранительных органов советуют прерывать операцию онлайн-платежа, если вдруг в ходе оплаты пользователь заподозрит что-то нетипичное или столкнется с новыми запросами системы. В этом случае проще прервать операцию и позвонить в банк, чтобы уточнить параметры операции.
Жительница Самары Анна Прохоренко поделилась своим опытом «встречи» с «фишинговыми» мошенниками. «Однажды, после того как я оплатила покупку в интернет-магазине своей банковской картой через Интернет, спустя минут 30 на мой телефон одна за другой стали приходить SMS с одноразовыми паролями. Я на тот момент свою онлайн-оплату уже завершила, поэтому меня, конечно, удивили сообщения, которые буквально посыпались из телефона. Система онлайн-платежей моего банка предлагала мне завершить платежные операции, в каждом сообщении было по одному паролю. Однако когда я сравнила номер, с которого приходили SMS, то увидела, что он отличается от номера моего мобильного банка на две цифры. И реквизиты всех операций были не мои: я специально зашла в личный кабинет и увидела, что переводов на те карты, номера которых приходили мне в SMS, я даже не совершала. В итоге на сообщения я никак не отреагировала, на следующий день в банке сменила пароль от своей карты. С тех пор сообщения от поддельной интернет-системы мне не приходили».
Если же владельцу банковской карты все же «посчастливилось» стать жертвой «фишера», то вопрос о компенсации утерянных средств банк, как правило, решает в индивидуальном порядке. Впрочем, начальник управления пластиковых карт ВТБ24 Александр Бородкин отметил, что возможность вернуть украденные «фишером» средства есть всегда. «Если у банка есть несомненные доказательства, что вины клиента в мошенничестве не было, он готов рассмотреть возможность компенсации клиенту суммы, которая была незаконно снята с его счета».
«В том, чтобы создать сайт-дублер, который внешне будет похож на платежную систему и будет работать на привлечение денег, для мошенников сегодня нет ничего сложного, – убежден начальник бюро специальных технических мероприятий ГУ МВД по Самарской области Дмитрий Кошарский. – Попасться на уловки мошенников, увы, тоже просто. Однако факт свершившегося мошенничества можно доказать. Скриншот мошеннической интернет-страницы, документы о перечислении денежных средств – все это может служить доказательством «фишинга». Поэтому даже если ущерб от действий мошенников незначителен, жертва все равно может привлечь злоумышленников к ответственности».
Фото: фото с сайта Computerworld.dk