суббота, 26 ноября 2016 г.

Социальный инжиниринг на Авито до взлома Сбербанк Онлайн доведет

И снова, здравствуйте!

Фото из Интернета
Сегодня речь пойдет не совсем об информационных технологиях, а, скорее, об одном способе получения несанкционированного доступа к одной популярной банковской информационной системе - Сбербанк Онлайн

Каждый из нас или практически каждый, хоть раз, да пользовался сервисом Avito для продажи или покупки своего или чужого :-) имущества. Объявлений - тысячи, пользователей еще больше. 
Наивно было бы полагать, что не найдется какой-нибудь современный Остап Бендер, который не преминет им воспользоваться в своих мошеннических целях. Полагаю, что говорить о таких банальных вещах как сбыт краденного или контрафактного вообще не стоит - это и так лежит "на поверхности" и не отличает Avito.ru от какого-нибудь "колхозного" рынка по выходным.

Кто-то в свое время понял, что эту площадку можно использовать все для того же "развода"на деньги. И схема была проста как мир - предоплата за аренду квартиры/комнаты/авто/кресло-качалки и т.д. и т.п., либо авансовый платеж за какой-нибудь товар, который, почему-то, стоит привлекательно дешево и, соответственно, мог быть продан другому, пока ты ехал/бежал к продавцу. Только вот по прибытию на место ты не находил ни арендодателя, ни продавца, ни денег... а телефон "сомнительного субъекта" молчал как партизан на допросе. Сам так чуть не стал жертвой мошенничества с липовой арендой квартиры на нашем юге в 2015 году. Как говорила позже наш риэлтор, в том году был просто "бум" на этот вид "развода" (не удивлюсь, если его объемы еще и растут). И ведь, что самое "неприятное" в этом деле, практически невозможно доказать вину "получателя" ваших денег. Суммы небольшие - полиция неохотно берет такие заявления в разработку, да многие и вообще не идут туда, уповая, что сила Всевышнего покарает обидчика... Тот же chargeback не сделаешь, т.к. получатель перевода не торгово-сервисное предприятие и банк навряд ли примет такое заявление. Вот и продолжают и поныне использовать эту тему всякие недобросовестные личности. Особенно она популярна, по субъективному опыту, в Казани (казанцы - без обид :-)). 

После этого всплыла еще одна схема, появлению которой способствовало развитие сервиса экспресс платежей карта-карта. Сам по себе сервис ничем не опасен и активные пользователи карточных продуктов давно оценили его удобство. Кто маме подкинет деньжат на конфеты, кто другу за посиделки в баре долг вернет, кто дилеру... ну, за что они там переводят... вообщем пользователей этого сервиса полно. И эта цифра год от года только растет. Ежегодные объемы переводов в одной только России исчисляются миллиардами рублей. А если вспомнить как многие банки пытаясь захватить этот рынок начали предлагать бесплатные карты моментальной выдачи своим клиентам, то сразу становится ясна серьезность развития этого направления. Но вернемся к Avito.

Пытаясь что-то продать на этой площадке, пользователь мог получить звонок с предложением внести предоплату или даже перевода сразу всей суммы... на карту... Сбербанка. Почему именно Сбербанка? Тут все просто - это самый распространенный банк и, думаю, не ошибусь, если предположу, что и самый крупный эмитент банковских карт. Расчет всех мошенников строится именно на этом и никто не считает нужным адаптировать схему под другие банки. Итак, звонок. Продавец, согласившись на получение всей суммы или ее части, дает реквизиты своей карты для перечисления. Кто-то знает, что для этого нужно сообщить лишь номер карты и получив просьбу сказать еще и "срок действия и три цифирьки позади карты" отправляет ушлого покупателя в лес и вешает трубку, а кто-то нет... и сообщает все реквизиты злоумышленнику. После этого горе-продавец слышит от покупателя, что он осуществляет перевод и ему (продавцу) сейчас придет СМС с кодом подтверждения получения перевода. Как правило в этот момент покупатель начинает активно "прибалтывать" продавца до момента получения кода. А все для чего? А для того, чтобы тот не обратил внимание, что на самом то деле деньги не приходят ему на карту, а списываются с нее...

Хотя Сбербанк на каждом углу, в каждой СМС, на сайте, в брошюрах предупреждает о том, что нельзя никому сообщать какие-либо свои коды и/или пароли третьим лицам (в т.ч. сотрудникам самого Сбербанка), все равно находятся те, кто это делает. И если в предыдущей схеме целью мошенников было получение всех необходимых реквизитов карты для осуществления "обратного" перевода, то теперь они все чаще нацелены на получение доступа к самому интернет-банку Сбербанка.

Для этого злоумышленники, как правило, выбирают объявления от 7-8 т.р. и более и проверяют номер телефона продавца через приложение Сбербанк Онлайн на наличие карты Сбербанка привязанной к нему и, соответственно, возможности управлять счетами через мобильный банк. Для чего это делается? А для того, чтобы выстроить свою дальнейшую стратегию. После этого такой "покупатель" звонит продавцу и задав несколько вопросов, для приличия, о продаваемом объекте, заявляет о своем желании его приобрести. Но тут же оговаривается, что сейчас он не в городе, а где-нибудь в Москве, Казани, Ялте, Татуине (тм) и т.д. Главное - что прямо вот сейчас приехать ну никак не может, но готов, опять-таки, внести задаток или сразу оплатить всю стоимость товара переводом на карту Сбербанка.

Яростная настойчивость купить желаемое, а так же получение продавцом как минимум предоплаты, склоняет последнего к согласию. И тут наступает самое интересное. Получив от продавца номер карты, "покупатель" сообщает, что вот сейчас он делает перевод, но для его получения необходимо сообщить код, который придет на номер телефона продавца. Дескать это такая система безопасности осуществления перевода. Ведь он ("покупатель") должен быть уверен, что деньги то придут тому, кому следует...

Только вот если продавец сообщит мошеннику код, пришедший в СМС (в которой написано, что код просит сообщить только лишь мошенник :-)), то он сам же откроет ему полный доступ к управлению своими счетами через Сбербанк Online мобильной версии. Потому что на самом деле СМС содержала код подтверждения регистрации Сбербанк Онлайн на смартфоне. Тут стоит отдельно отметить, что у Сбербанк Онлайн мобильной версии есть одно "свойство" - после регистрации его на смартфоне, оно более не требует подтверждения проведения каждой операции кодом из СМС. Хотя это делается в той же web-версии. Видимо, менеджмент посчитал удобство превыше безопасности...

Как бы это не выглядело глупо, а может и абсурдно, эта схема особенно легко "прокатывает" с пожилыми людьми, которые далеки от понимания как вся эта система работает.

Если же у продавца есть карта Сбербанка, но к ней не привязан Мобильный банк, то злоумышленников и это не останавливает. Через сервис бесплатных СМС рассылок они отправляют на номер продавца СМС с примерно следующим содержанием: "СБЕРБАНК Вам поступил перевод. Для подтверждения требуется ввести код в банкомате". Такое или аналогичное по смыслу. Главная задача на этом этапе заставить продавца дойти до банкомата, где заботливый "покупатель" удаленно по телефону "поможет" подключить Сбербанк Онлайн на свой номер телефона. А дальше понятно, что произойдет.

Следует отдать должное подготовке таких "покупателей" - они очень живо поддерживают беседу, любезны, но могут и "припугнуть". Мол они то уже перевод отправили, а вот вы код не сообщили, деньги получили и вообще "развели" их по полной аки детей. Вообщем, оказывают давление на сознательность и добропорядочность. И, как оказывается, не зря. Самая доверчивая в этом плане категория населения - наши бабушки и дедушки зачастую покупаются на такую ложь.

Это, пожалуй, самый яркий пример социального инжиниринга для получения несанкционированного доступа к интернет-банку клиентов столь крупного банка как Сбербанк. При этом, заметьте, от злоумышленников не требуется никаких "специальных" знаний в области ИТ-безопасности. И хотя им очень далеко до Кевина Митника, тем не менее, ущерб они могут нанести существенный.

Со своей стороны хотел бы всех читателей предупредить, что:
во-первых, по правилам платежных систем для перевода денежных средств на карту, достаточно сообщить только номер карты. Дополнительно, может быть, указаны Фамилия и Имя, но они не обязательны.
во-вторых, все операции зачисления на карту, а равно на банковские счета, не требуют никакого подтверждения со стороны получателя.

Поэтому помните, если вас просят дополнительно сообщить все реквизиты карты, либо говорят о необходимости активных действий с целью получения перевода - вас, скорее всего, пытаются обмануть. Откажитесь от осуществления подобной операции и выберите более безопасный способ. Например, старый добрый "нал" ;-).

На этом у меня все и не забудьте рассказать бабушкам и дедушкам ;-).

p/s на момент финального рецензирования поста мною было получено письмо из рассылки Avito в котором содержалось предупреждение о недопустимости сообщения всех реквизитов своей карты сторонним лицам. Видимо, количество мошеннических операций на портале неуклонно растет...

Комментариев нет:

Отправить комментарий