Українцям наші банківські рахунки через мобільні платіжні системи

Украинцам взламывают банковские счета через мобильные платежные системы

Як працює схема

Шахраї почали красти гроші з банківських рахунків українців через мобільні платіжні системи.

Про нової авантюри з однією з таких систем — Vodafone Pay UBR.ua розповів організатор форуму G-news Сергій Горбачевський.

Схема полягає в наступному:

  1. Зловмисники спеціальними програмами підміняють свій номер телефону на телефон жертви (при дзвінку з одного номера висвічується підставний).
  2. Звертаються з call-центрами від імені клієнта, дізнаються PUK-код сім-карти (він значиться на пластиковому холдере, до якої прикріплена сімка під час покупки або ж його можна підглянути на холдере).
  3. За допомогою отриманої інформації шахраї перевипускають карту абонента.
  4. Якщо до номера телефону прив’язана мобільна платіжна система, а до неї в свою чергу банківські картки — з усіх рахунків гроші виводять на карту шахраїв, яка також підв’язується до системи.

Спочатку гроші з карткових рахунків переводять на мобільний рахунок (на припейд може бути не більш 15 тис. грн.), а потім на банківську карту шахраїв. І так поки не знімуть всі гроші з банківських і мобільного рахунку. Головна мета тут, звичайно ж, саме банківські рахунки, оскільки на них зберігається значно більше грошей, ніж на балансі телефону.

Один з таких випадків трапився з абонентом Vodafone Україна. За словами Горбачевського, від рук шахраїв у травні цього року постраждала дівчина. У неї вкрали всі гроші з карток, які були прив’язані до Vodafone Pay, а також зняли кошти з мобільного рахунку.

«Знаючи мобільний номер жертви, шахраї телефонують до call-центру оператора, і швидше за все дізнаються PUK-код. Там бачать, що дзвонить клієнт, який просить допомогти з відновленням коду, і йому його називають. Підміняють номер з допомогою Skype або SIP (технологія інтернет-телефонії) — це ядро багатьох шахрайських схем. Так само телефонують шахраї «з банку». Жертва бачить номер підтримки банку і починає довіряти, відповідати на потрібні питання. Те ж саме і тут. Шахраї телефонують від імені клієнта, нібито з його номера. Якимось чином заволодівають PUK-кодом, далі, віддалено відновлюють реальний номер жертви, отримують дублікат сім-карти. Після чого ставлять на смартфон Vodafone Pay, до якого прив’язана одна або кілька банківських карток», — говорить Горбачевський.

Сам же оператор відповів постраждалій дівчині на її звернення, що карту перевыпустили правомірно, отримавши перед цим всі необхідні підтвердження особи власника сімки (а саме, PUK-код).

Украинцам взламывают банковские счета через мобильные платежные системы

Правда, як запевнили UBR.ua у прес-службі Vodafone Україна, для підтвердження особи одного лише дзвінка з номера телефону клієнта недостатньо. Потрібно назвати додаткові дані, які знає тільки абонент. Наприклад, можуть поцікавитися куди він останні кілька разів дзвонив. Але цим перелік питань не обмежується, запевнили нас у Vodafone.

Щоб не полегшувати роботу шахраям, UBR.ua не буде оголошувати можливий перелік питань для ідентифікації клієнта. Також у Vodafone нас запевнили, що розбираються з подробицями із зазначеного вище листа.

Що у інших операторів

З іншого боку, експерти відзначають, що співробітники операторських центрів не сильно докладно розпитують клієнтів особистих даних при заміні сімок. За їхніми словами, цілком можливо відновити номер знаючи останні поповнення та історію вихідних-вхідних дзвінків. І якщо шахрай отримує доступ до номеру, то PUK-код йому вже не потрібен. Він просто відновлює доступ до Vodafone Pay.

Також шахрай може заволодіти самим карт-холдером жертви (на якому вказано PUK).

«Припустимо, чоловік вийшов з центру обслуговування клієнтів і викинув всю документацію з-під сімки, в тому числі холдер. Тим самим номер автоматично може бути підданий відновлення з боку шахраїв. Він подзвонить в call-центр або підемо в центр обслуговування клієнтів, скаже, що загублена сімка, а холдер зберігся. Так само можна без особливої праці відновити номер, особливо нічого питати не будуть», — підкреслив UBR.ua експерт інформаційного співтовариства «MZU — Мобільний зв’язок України» Олег Свистун.

Теоретично такі схеми можливі і в інших операторів, кажуть експерти. У lifecell — через платформу PayCell, у Київстар — це «Київстар смарт гроші». Але алгоритми роботи у них можуть бути різні і з іншого ступенем захисту. До того ж, якщо такі випадки і були, вони, природно, не афішуються. Але і проломи намагаються закривати максимально швидко. Залишається сподівається, що випадки з Vodafone Pay не будуть масовими.

Довести складно

Довести, провів працівник мобільного оператора повну процедуру ідентифікації клієнта — дуже складно, кажуть експерти. Переконатися в цьому можна лише прослухавши записи розмови або з камер спостереження (якщо такі були і фіксували момент ідентифікації клієнта).

«В іншому випадку має місце слово проти слова, а це простір для зловживань з боку співробітників. Перенесли номер на іншу картку без зайвих питань, а при розслідуванні сказали, що заявник відповів на всі питання. Я допускаю, що ніхто й не називав PUK-код в дійсності, а мала місце змова шахраїв із співробітником центру обслуговування абонентів. Ще один цілком можливий варіант — PUK-код за допомогою прийомів соціальної інженерії з’ясували у самої жертви, про що вона або забула, або воліє не згадувати», — підмітив UBR.ua телеком-експерт Роман Химич.

Як захиститися

Найперше, що можна зробити для захисту від таких махинаторских схем — це реєстрація номери на фізособу. Або ж використовувати контрактну форму підключення до оператора. Хоча і це не панацея, кажуть экспертѕ.

Самим операторам варто посилювати захист доступу конкретно до мобільних платіжних система. Тут допоможе 2-х факторна захист, кодове слово, пін-код разом з кодом смс і т. д.

«Персоніфікація номери не є панацеєю, оскільки є технічна можливість подати паспорт з переклеєній фотографією або зовсім фальшивий, можна звернутися з довіреністю. Однак персоніфікація, в будь-якому випадку, означає сильну правову позицію потерпілої сторони. Тоді можна вимагати від оператора компенсацію шкоди, спричиненої неправомірним перенесенням номери на іншу сім-картку. Сам факт персоніфікації означає для зловмисників підвищені ризики і додаткові витрати. Тому ризики протиправних посягань на номер все ж будуть менше», — резюмував Хіміч.

Share

Add a Comment

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *