Клиенты российских банков все чаще сталкиваются с телефонным мошенничеством. Им поступают фальшивые звонки с просьбой сообщить важную информацию под предлогом срочной операции. Для этого банки вводят авторизацию личности с помощью SMS-кодов. Однако эксперты высказывают опасения по поводу этой системы. Она вполне может подвести клиентов. О том, что вы разговариваете с мошенником и как защитить свои деньги, читайте в материале 360.
Неизвестные абоненты.
Проблема авторизации личности стала актуальной недавно, когда мошенники распространили технику подделки исходящих номеров. Многие клиенты банков уже столкнулись с этим. Им звонят из банка, рассказывают о подозрительных операциях, а затем спрашивают данные карты. Однако не все знают, что мошенники могут звонить в сам банк.
Пусть мошенник позвонит клиенту и скажет, что он сотрудник банка. Если он не назовет ему код, карта будет заблокирована. Клиент не верит. Тогда мошенник снова звонит в банк (с поддельного номера клиента — из записки) и просит заблокировать карту, потому что он ее потерял. Банк блокирует карту. Мошенник снова звонит клиенту и просит сообщить, что его карта заблокирована. Если вы хотите ее разблокировать, сообщите код, который нужно отправить прямо сейчас», — говорит Николай Пятизбянцев, сотрудник Коммерческого банка „360“.
В связи с этим некоторые банки решили ввести новые методы проверки личности своих клиентов, чтобы не отказывать им в дистанционном обслуживании. Раньше эту роль выполняли кодовые слова.
Самый простой пример — клиент может позвонить в свой банк и попросить ограничить доступ к его карте. Например, разблокировать карту. Если карта уже была заблокирована, это означает, что с ней что-то не в порядке. Это значит, что мошенник, скорее всего, хочет ее заблокировать. Чтобы мошенник не смог разблокировать карту и украсть деньги, банк должен каким-то образом обнаружить или отклонить ее. Если мы ее отклоняем и это не мошенник, значит, клиент не может воспользоваться картой, потому что она заблокирована», — добавил Пятизбянцев.
Очевидно, что баланс между удобством и безопасностью пока не достигнут. Каждый банк самостоятельно выбирает, в какую сторону делать предрассудки.
Нет ничего лучше, чем много знаний
С одной стороны, удаленные функции разблокировки карт, запроса забытых PIN-кодов и других действий без доступа в отделение полезны. Банки также заботятся о том, чтобы код, отправляемый для подтверждения финансовой операции, был специально написан в SMS, без необходимости кого-либо уведомлять. Однако писать SMS могут только мошенники. Кроме того, назвав код, клиент может вспомнить, что он нормальный, и не смущаться, когда ему звонит сотрудник небанковского банка и спрашивает то же самое. Психология изменилась, и преступники просто используют методы социальной инженерии для обмана».
По его мнению, такой способ авторизации подходит только для дисконтных карт. Только система и клиент должны знать банковский код. Чем меньше промежуточных шагов между системой и клиентом, тем безопаснее.
Шерстобитов посоветовал заранее узнавать в банке все методы проверки при открытии счета или карты. Клиенты должны быть предупреждены, если вопрос о проверке кода через SMS не был оговорен заранее. Также следует получать SMS при подозрении на транзакцию, которую, по словам представителя банка, необходимо отменить.
Банк может позвонить вам, чтобы уточнить, был ли принят такой закон, но банк не может отменить закон, если он уже получил SMS. Если вам начинают говорить, что мы сейчас куда-то переведем ваши деньги и сможем вам перезвонить, пожалуйста, назовите код. Это обман, этого не будет», — сказал Пятизбянцев.
Никакого «алло» здесь нет.
Все эксперты, опрошенные «360», подтвердили, что телефонное мошенничество — один из самых распространенных способов обмана.
Теперь можно подделывать телефонные номера. Вы получаете звонок, а входящий номер оказывается номером банка. Это, конечно, значительно повышает доверие. Потому что человек видит, что вы звоните как будто из банка. Они пытаются получить информацию, которая может быть использована злоумышленниками. Опять же, здесь нужно быть осторожным. Я рекомендую звонить, чтобы узнать цену. В этом случае ваш звонок дойдет по назначению», — говорит Шерстобитов.
Эксперт, работающий с VIP-клиентом одного из крупнейших российских банков, рассказал «360». Он и его коллеги звонят, так как звонки поступают от клиентов, которые столкнулись с телефонным мошенничеством. По его словам, один из первых признаков обмана — ссылка на ограниченное время. Используются такие фразы, как «через 30 минут», «срочно» и «если вы не поторопитесь, то потеряете все». Человек начинает паниковать и называет номер карты, срок действия и код CVV CVC. По правилам банка это запрещено произносить вслух. И даже если в сообщении говорится, что код не следует называть из-за давления со стороны мошенников, это может сбить человека с толку.
Если на мошенничество уже обратили ваше внимание, необходимо как можно скорее заблокировать исключение и обратиться в правоохранительные органы. К сожалению, если клиент предоставляет данные, которые в целом защищают его финансы, у банка нет причин возмещать ему ущерб. Это связано с тем, что правилами установлен запрет на предоставление этих данных третьим лицам. Это очень неприятно для всех пострадавших клиентов. Улучшение финансового образования может помочь избежать подобных случаев», — резюмировал собеседник.
Соответственно, без вмешательства.
Эксперты рекомендуют обращать внимание на номер телефона, с которого совершается звонок. Если мошенник звонит с мобильного телефона, телефон следует немедленно закрыть, а номер добавить в черный список. При необходимости можно сообщить об этом номере в полицию. Если звонок поступает со стационарного телефона, номер следует проверить в Интернете или сравнить с номером, указанным на обратной стороне карты.
Важно, чтобы сотрудники банка всегда проверяли клиента, прежде чем начать разговор, чтобы убедиться, что они разговаривают с нужным человеком. Мошенники могут пропустить этот шаг и сразу же начать рассказ и попытаться снять деньги. Также следует обратить внимание на грамотность речи собеседника и качество общения. Если человек звонит из банка, помех не будет.
Более грамотное использование карты также поможет защитить их. Отказ от оплаты на сомнительных сайтах, установка программного обеспечения из небезопасных источников, использование банкоматов на дорогах и в общественных местах. Кроме того, на них может быть установлено устройство для считывания данных.
Также рекомендуется ознакомиться с правилами пользования картой. Карта выдается банком при ее открытии. После этого деньги находятся в безопасности, и никто не может на них претендовать.
Неужели Banki.ru сливают ваши данные спамерам? Или как не угодить в ловушку микрозаймов
Случай, когда, казалось бы, серьезная структура, с утечкой данных ушла в недра «мошенников и спамеров». И теперь я могу это доказать.
При формулировании подобных заголовков принято ставить знак вопроса. Но после проведенного исследования и попадания Banki.ru в Honeypot я готов доказать, что это даже не вопрос.
Меня зовут Ярослав Дубовиков. Я работаю в сфере телекоммуникаций уже более 25 лет. Со структурой Banki.ru я знаком, можно сказать, лично. Но сегодня мы говорим не об этом. Мы говорим об острой проблеме работы с персональными данными и нежелательными письмами.
Проблема персональных данных в интернете становится все более серьезной.
В последние годы наметилась тенденция к сбору больших объемов персональных данных. Утечки стали практически ежедневными. И мало кто из нас может представить, что Интернет вообще знает о нас. Более того, многие люди уже привыкли к такому поведению. Они также привыкли к идее нулевой защиты. Недавний Rambler &.
И если раньше я был сторонником «либерального» подхода — «каждый сам отвечает за то, куда попадают его данные», — то сегодня я склоняюсь к более строгим нормам в этой области. Культура обработки данных практически отсутствует. И самое главное — среди пользователей сети нет понимания того, как и кто может делать то или иное с их «цифровыми профилями».
знакомы» с Banki.ru.
Поэтому 28 ноября 2023 года в 10-03 Банк зарегистрировался на Banki. ru для решения банковского вопроса. Регистрация по номеру телефона с SMS-верификацией. У меня разные операционные механизмы для разных случаев жизни в Интернете. Почти одинаковое количество телефонных номеров. В конце концов, я работаю в сфере телекоммуникаций. Также я прекрасно понимаю, как выявить конкретные точки утечки данных и создать определенные UTM-IN-LINES. Кстати, безопасность Рунета можно выбросить на помойку, если все ворота превратятся в госуслуги или экосистемы интегрированных идентификаторов.
Так было и при регистрации на Banki.ru. Вчера мне понадобилась помощь в решении страховой проблемы. По сути, проблема была решена еще до проверки и публикации сообщения. Но для другого случая оставьте вопрос модерации на сайте.
Ненужные SMS-сообщения после авторизации на banki.ru
13 февраля 2024 года в 09-29 я получил код со специальным «рабочим» номером для подключения к сайту. Буквально через час после входа в ворота я был удивлен «активностью» на своем телефоне. Думаю, скриншоты говорят красноречивее многих слов.
Многие скажут: «Ну, не показывать же свой номер где попало. Откуда вы знаете, что вас слил именно Banki.ru?
Как насчет Honeypot Trap?
Я понимаю, сэр. Хорошо, я понял. Давайте смоделируем медовую ловушку и проверим это на деле. 13 февраля 2024 года в 14-56 вы снова регистрируетесь на сайте через SMS-авторизацию с «чистым» телефоном. Я, как коммуникационное агентство, могу себе это позволить со стопроцентной гарантией, что номер нигде не узнают.
Тишина. Утром 14 февраля 2024 года я подключаюсь к браузеру. Сессия сохраняется. Но данные не мои! Это уже чудо «безопасности». Но сейчас меня это мало волнует. Хотя интересно посмотреть на чужой профиль с личными данными.
И все бы ничего: однако моя система предлагает подать заявку на кредит от имени этого пользователя.
Отключаюсь. Затем я снова пытаюсь подключиться к 0956. Но по какой-то причине пароль не был передан. Я снова пытаюсь подключиться к 09-57. Безуспешно. Затем мое внимание отвлекается от рабочих вопросов.
Затем в 10-53 — бинго! Бинго! Я получаю тот же спам, что и вчера, с чистыми номерами. Затем мем с изображением Дмитрия Киселева и основной фразой «совпадение»? Думаю, нет! »
Что доказывает — Banki.ru слил мои номера в Микрозайм в течение суток!
Спам посыпался гурьбой.
Помимо SMS, мне поступило (и продолжает поступать) несколько звонков с предложениями одобренного кредита (файлы в наличии). Звонки были с номеров 79 613 857 024, 79 617 659 331, 79 617 877 249 и 79 617 660 453. Все они принадлежат компании «Билайн».
В связи с этим хочу передать личный привет генеральному директору «Билайн» г-ну Торбахову. Уважаемый Александр Юрьевич, когда вы в следующий раз будете рассказывать на очередной конференции по связи о том, как мало внимания «Билайн» уделяет безопасности, о борьбе с нежелательными письмами, не забудьте проверить абонентов в цифрах выше. Убедитесь, что все они заблокированы.
А что с SMS?
Но мне стало легче. А вот и спам. А что с содержанием?
Каждое SMS содержит алфавитное имя отправителя. Это означает, что за каждым отправителем стоит физическое или юридическое лицо, которое договорилось с Управлением электросвязи или Концентратором о распространении рекламных SMS.
Я внимательно изучил договор на сайте banki.ru.
Там нет ни слова о том, что они имеют право передавать данные третьим лицам для рассылки спама.
При этом они «клянутся мамой», что будут защищать ваши данные. Да, я уже проверил и поверил.
Позвонив спамеру.
Откройте само SMS. Там есть ссылка. Переходим по ней и попадаем на микросайт. Снимаем трубку и звоним ему (разумеется, в записи).
— Я получил от вас SMS с предложением кредита. Скажите, где вы нашли мой номер (я направлю вас на номер) и на каком основании вы спамите?
— Такого номера в базе данных нет. А кто отправитель?
— / Потом я понял, что у девушки есть отличный готовый сценарий / «Что-то.ру». Отправитель SMS.
— Это не наш тел. Отправьте SMS с именем «Что-то.ру».
— Да, но почему в сообщении есть ссылка на ваш сайт?
— Мы не знаем. Мы должны сделать это раньше, чем узнает кто-то другой.
Да, а вы думали, что здесь сидит Digital Robin Forest и каждые 4°C отправляет рекламные SMS с микродермами? Вы серьезно? Это как 20-25 лет назад в метро, когда зациклились на рекламе, и когда люди стали спрашивать: «А кто-нибудь в офисе компании похож на персонажа Миши Гарстиана».
Все (!) Изучив SMS, я вижу, что «механизм» связи и отправителя везде одинаков. Почему, спросите вы? Да просто потому, что если вы пожалуетесь на такую миссию, ФАС не сможет довести ее до корпорации по формальным причинам. Вам нужно найти аффилированное лицо — и уж точно никто другой этого не сделает. Ведь сообщение идет от имени компании, но содержание относится к чему-то другому. Это означает, что каждый (!) избежит штрафов в размере от 100 000 до 500 000 рублей за СМС-рассылку.
Вывод.
Фактически мы пришли к выводу, что
Каждый сделает свои выводы из этой ситуации. Однако важно понимать. Как бы ни хотело государство защищать данные своих граждан, как бы ни укреплялся закон о персональных данных, такие «предприниматели» в banki.ru всегда найдутся. Планируют воспользоваться лазейками в национальном законодательстве, чтобы избежать ответственности.
Что делать и как бороться со спамерами?
Что делать в этом случае? Я возвращаюсь к плану, разработанному семь лет назад, который был призван помочь спамерам избежать ответственности за свои действия. Этот план не только наказывает таких лиц «рублем», но и несколько меняет рынок рекламных миссий в пользу как рекламодателей, так и потребителей. . Да начнется антиспам!
Мы, как эксперты, неоднократно пытались донести свою позицию о наличии лазеек в действующем законодательстве. О действиях ФАС как надзорного органа стоит рассказать в другом тексте. Из десятков поступивших жалоб на нелегальный спам ни одна не была расследована на предмет его содержания. На мой взгляд, депутаты сейчас все чаще берут на себя ответственность за нарушения, которые были, есть и будут воспроизводиться благодаря такому поведению, а не в направлении решения проблемы спама и нормальных процессов обработки персональных данных. Цифры» — это как banki.ru.
Команда уже готова, и MVP должен появиться в ближайшее время. Более подробная информация о проекте будет предоставлена, когда запуск будет ближе. Если вы хотите узнать больше о запуске проекта, подпишитесь на анонс на моем личном TG-канале. Там же я могу анализировать и комментировать IT- и телеком-файлы.
detector