Фінансові новини
- |
- 10.07.26
- |
- 08:13
- |
-
RSS - |
- мапа сайту
Авторизация
Мошенники выходят на владельцев карт "ПриватБанка" через сайты частных объявлений
11:21 08.08.2013 |
В редакцию «proIT» от двух независимых источников поступили сообщения о мошеннических атаках с элементами социальной инженерии. Два случая объединяют схожие черты, что позволяет говорить о системности новой преступной схемы:
1) атакуют владельцев карт «Приватбанка»;
2) «наводка» на жертву через сайты частных объявлений;
3) входящие звонки якобы от сотрудников «Приватбанка».
Первый случай
• Жертва получает входящий звонок насчет товара, продаваемого через сайт объявлений. Мнимый покупатель живо интересуется характеристиками товара и возможными способами доставки, давая понять жертве, что вероятность сделки высока.
• В процессе обсуждения условий продажи «покупатель», имитируя плохую связь, несколько раз просит жертву перезвонить, т.е. совершить исходящий вызов. В процессе обсуждения всплывает еще один заинтересованный покупкой фигурант - якобы окончательный реципиент приобретаемого товара (согласно легенде, дядя делает подарок племяннику), и у него тоже возникают «проблемы со связью».
• В ходе торгов навязывается следующая схема расчета: «покупатель» перечисляет стоимость на указанный продавцом номер карты «Приватбанка», а продавец отправляет товар на указанное отделение «Новой Почты» до востребования.
• Вскоре жертва получает входящий звонок с анонимного номера. На другом конце провода представляются «службой безопасности Приватбанка» и, обращаясь к жертве по имени-отчеству, спрашивают, действительно ли ожидается пополнение карточки на точно указанную сумму. «Офицер безопасности» сообщает, что платеж временно не может быть принят в силу некоторых ограничений по карточке. Ограничения можно отключить прямо в ходе телефонного разговора, но для этого нужно пройти стандартную процедуру аутентификации «на от случай, если ваш телефон взял кто-то другой». Жертва отвечает на стандартные секретные вопросы, задаваемые в ходе процедуры аутентификации. «Офицер безопасности» подтверждает «зачисление» средств на карточный счет.
• В течение получаса после звонка от «службы безопасности», SIM-карта жертвы перестает восприниматься телефоном, обнаруживается невозможность зайти в систему «Приват24», а вскоре - и пропажа средств с карточного счета.
Второй случай во многом повторяет первый - выход на жертву через сайт объявлений, удаленная продажа товара путем зачисления денег на карточку «Приватбанка», входящий звонок от «службы безопасности». Отличие в том, что во втором случе мошенники реализуют более быструю схему, без завладения дубликатом SIM-карты.
• Жертва, согласившись на предложенные условия дистанционной покупки, отправляет SMS с реквизитами карточки, но через 5 минут получает звонок от «покупателя», который говорит, что не получил SMS и просит продиктовать номер карты и ФИО. Получив информацию, он пропадает на 2 часа, очевидно, чтобы вызвать у жертвы чувство неопределенности и острое чувство ожидания звонка. Наконец «покупатель» звонит и говорит, что деньги перечислил.
• Спустя 5 минут жертве поступает звонок со скрытого номера и человек на том конце провода, представившись сотрудником департамента «ПриватБанка» по работе с корпоративными клиентами, называет жертву по ФИО и спрашивает, ожидает ли она поступление точно указанной суммы на свой счет. Получив утвердительный ответ, «сотрудник банка» говорит: «Платеж на вашу карту осуществлен со счета юридического лица, а поскольку ваша карта не авторизована на получение средств от юридических лиц, вам необходимо провести такую авторизацию. Я вам помогу это сделать». «Сотрудник банка» объясняет жертве, что нужно подойти к банкомату «ПриватБанка», зайти в определенное меню, ввести свой номер телефона, пин-код карты и продиктовать код, полученный в SMS. Мошенник спрашивает, через какое время жертва будет находиться рядом с банкоматом, чтобы в телефонном режиме он смог бы помочь провести необходимые манипуляции с банкоматом. «Сотрудник» «ПриватБанка» перезванивает на 15 минут позже оговоренного времени, видимо с целью сыграть на эмоциональном состоянии жертвы, ожидающей получение крупного денежного перевода - очевидно ожидание крупной продажи должно нивелировать подозрение жертвы о чрезмерной легкости «сделки».
А подозрительных фактов более, чем достаточно. Тут и скорость сделки, и отсутствие торга, перечисление крупной суммы денег без каких-либо гарантий, перечисление средств со счета не физического, а юридического лица, безразличие «покупателя» к выбору почтового оператора, щедрость «покупателя», легко согласившегося на оплату пересылки, легкое согласие на оплату комиссии за перевод средств и отсутствие возражений на конвертацию стоимости указанной в долларах в гривны по максимальному курсу.
Во втором случае «сделка» сорвалась. Жертву выручила излишняя щепетильность. В частности, был сделан звонок оператору колл-центра «ПриватБанка» с целью выяснить, действительно ли необходимо «авторизовывать» карту для получения платежа от юридического лица. Вопрос вызвал недоумение у оператора, но когда ему сообщили детали «сделки», он предупредил о ее мошенническом характере. Стоит отметить, что и сам клиент заблаговременно подстраховал себя от возможного мошенничества и для подобных сделок использовал специально выпущенную карту с нулевым балансом.
Как понятно из описаний, успех преступной схемы обеспечен, среди прочего, успешной эксплуатацией крупной «дыры» в безопасности системы ДБО и мобильных операторов, о которой редакция «proIT» уже писала - несанкционированное получение дубликата SIM-карты, который используется для доступа к ДБО. Кроме того, обращают на себя внимание несколько других уязвимостей:
1) При вводе номера карты в любом терминале «Приватбанка» с целью пополнения, на экран высвечивается ФИО владельца полностью - именно таким образом мошенники узнают полные ФИО жертвы для звонков в «Приватбанк» от её лица.

2) Ни в одном из документов «Приватбанка», которые клиент подписывает при оформлении банковской карточки, нет предупреждения о том, что процедура аутентификации (ответы на секретные вопросы) может осуществляться только при инициировании звонка самим клиентом, но никогда - при поступлении входящего звонка.
3) Что бы ни говорили операторы о якобы принципиальной невозможности преступного завладения дубликатом SIM-карты, редакция продолжает получать фактические подтверждения того, что предоставления истории исходящих звонков де-факто является вполне достаточно для получения SIM-дубликата злоумышленниками.
Отвечая на вопрос редакции, знают ли в «ПриватБанке» о перечисленных и подобных схемах и как с ними борются, Олег Серга, пресс-секретарь «ПриватБанка», отмечает, что такие «схемы» практиковались мошенниками, как правило, в первой половине 2012 года. «Мы активно противодействуем подобным схемам мошенничества с картами клиентов. Во-первых, каждый клиент получает от банка информацию о том, как обезопасить себя от мошенничества, что сотрудники банка не имеют права связываться с клиентом по телефону и уточнять его личные данные, что пароли и другая информация от банка это секретная информация. Во-вторых, и самое главное, по каждому факту мошенничества мы проводим срочное расследование, легко с помощью камер наблюдения и других данных определяем личность мошенника и передаем материалы в МВД для начала уголовного производства. За последний год привлечено к уголовной ответственности более двух десятков групп мошенников, на расследовании сейчас находится более сотни подобных дел. Наши системы информационной безопасности позволяют очень быстро выйти на мошенников и привлечь к ответственности. В-третьих, по результатам расследования, если не выявлена вина и причастность к мошенничеству самого клиента (а таких случаев довольно много), клиенту банк компенсирует потерянные средства и далее возмещает их за счет привлекаемых к ответственности мошенников».
В то же время, в «ПриватБанке» считают, что ФИО клиента надежно защищены, поскольку выдаются только после авторизации через карту. «При проведении операции в терминалах требуется обязательная идентификация клиента через его карту. При пополнении карты по номеру подтверждающая информация о владельце карты появляется на экране только на финальной стадии операции после валидации клиента и подтверждения операции паролем. Таким образом, информацию о владельце карты на которую перечисляются деньги может видеть только идентифицированный клиент банка после подтверждения операции перевода», - утверждает Олег Серга.
Тем не менее, практический эксперимент, проведенный редакцией «proIT» доказывает обратное - чтобы заполучить ФИО жертвы с помощью терминала пополнения карта «ПриватБанка» вовсе не нужна. Терминал предлагает и другой - гораздо более «дырявый» - способ авторизации, путем введения одноразового пароля, пришедшего в SMS на указанный в терминале номер. В данном случае идентификатором выступает не банковская карта, а номер телефона. Поскольку стартовый пакет любого оператора можно купить на каждом углу, а после заполучения ФИО жертвы попросту выкинуть, редакция считает де-факто доказанной незащищенность персональных данных клиентов «ПриватБанка».
Что касается предупреждения клиента о том, что процедура аутентификации (ответы на секретные вопросы) может осуществляться только при инициировании звонка самим клиентом, но никогда - при поступлении входящего звонка, пресс-секретарь «ПриватБанка» говорит, что каждый клиент при получении карты банка подписывает стандартную оферту, где четко прописана процедура защиты личных данных. «Кроме того, данная информация сообщается клиентов в ходе коммуникаций с ним от имени банка по СМС, на чеках банкоматов, в информационных материалах банка», - говорит Олег Серга.
Особое внимание он обращает на тот факт, что никогда и ни при каких обстоятельствах сотрудники банка не звонят клиентам с личных мобильных номеров и никогда не требуют диктовать пароли. «Пароли банка никому передавать нельзя никаким способом», - подчеркивает представитель банка. Однако, как подсказывает практика, мало кто из клиентов об этом знает.
Примечательно, что жертва во втором случае была прекрасно осведомлена о нюансах подобных мошеннических схем, но когда ее саму взяли в «оборот» что-то неладное она заподозрила лишь в последний момент. Выходит, если такого рода схемы еще пользуются популярностью, значит у мошенников есть и положительные результаты. А это говорит о отм, что банкам, особенно тем, которые активно внедряют новые услуги, следуют более интенсивно вести разъяснительную деятельность среди клиентов об основах финансовой безопасности и особенностях своей политики безопасности.
А вот у жертвы первого случая перспективы вернуть средства, к сожалению, неутешительные. В «ПриватБанке» её попросту отфутболили с формулировкой «не можем оказать правовой помощи, так как вами была разглашена конфиденциальная информация». После определенного давления, «ПриватБанк» указал жертве ФИО владельца и номер карточки, на которую были переброшены украденные деньги, и показал видеозапись процесса снятия наличности в одном из банкоматов Донецка, на которой мало что можно разобрать. На этом «ПриватБанк» умыл руки. Заявление, принятое Святошинской милицией (по месту проживания жертвы), отфутболили в Донецк - по месту снятия денег. «И всё. Ни слуху, ни духу. Следователя местного поймать по телефону просто нереально», - подводит печальный итог жертва первого случая.
Кирилл Князев
ТЕГИ
ТОП-НОВИНИ
ТОП-НОВИНИ
ПІДПИСКА НА НОВИНИ
Для підписки на розсилку новин введіть Вашу поштову адресу :


Європейський парламент висловив занепокоєння повільними темпами
реалізації 10-пунктного плану пріоритетних реформ, відомого як "план
Качка-Кос", та закликав Україну якнайшвидше перейти від обговорень до
практичних результатів.
Під час пресконференції американський президент натякнув, що Штати нададуть Україні ліцензію на виробництво ракет Patriot.
Європарламент схвалив комплексний документ щодо прогресу України на
шляху до ЄС - у якому, поруч з іншим, підтримав пункт від польських
євродепутатів з критикою президента України за найменування підрозділу
на честь героїв УПА.
Лідери НАТО заявили про подальшу підтримку України в розміні 140 млрд
євро у 2026-2027 роках та констатували, що Україна сприяє
трансатлантичній безпеці.
Канада анонсувала виділення пакета військової допомоги Україні на суму 900 мільйонів доларів. До нього входять засоби ППО.
Страхова компанія VUSO (ВУСО) за
підсумками 2025 року сплатила понад 348 мільйонів гривень податків до
бюджетів усіх рівнів. Водночас загальний обсяг допомоги компанії Силам
оборони України з початку повномасштабної війни наближається до 100
мільйонів гривень.
Довідковий курс гривні до долара США на міжбанківському валютному ринку
станом на 12:00 кч 9 липня 2026 року.
Національна комісія з цінних паперів та фондового ринку (НКЦПФР)
розширила перелік ненадійних фінансових проєктів, до якого
потрапили платформи LambdaTrade та Sevlushfoods.
Binance Research опублікувала
звіт про роль стейблкоїнів у трансформації фінансового ландшафту. У
ньому поєднано власні дані Binance Research та метрики екосистеми, які
раніше не публікувалися, повідомили Incrypted у компанії.
Курс долара США знижується щодо євро, єни та фунта стерлінгів у четвер вранці.
Міністерство фінансів України 7 липня 2026 року на аукціоні з розміщення
облігацій внутрішньої державної позики (ОВДП) залучило до державного
бюджету 19,06 млрд гривень в еквіваленті.
Національний банк України у червні 2026 року застосував заходи впливу
до чотирьох банків та однієї небанківської фінансової установи за
порушення законодавства у сфері фінансового моніторингу та валютного
регулювання.
Поки світові автовиробники обережно дискутують про темпи переходу на
електротягу, китайська корпорація BYD продовжує агресивну експансію
інфраструктури
Вища судова інстанція Європейського Союзу - Європейський суд
справедливості (ECJ) - ухвалила остаточне рішення у справі проти
компанії Google та її материнського холдингу Alphabet.
За словами CEO Microsoft Commercial
Business Джадсона Олтгоффа, компанії вже концентруються не на тестуванні
ШІ, а на отриманні вимірюваної віддачі від інвестицій.
За шість місяців 2026 року в Україні продали
близько 33 тис. нових легкових автомобілів, що на 0,5% більше, ніж за
аналогічний період минулого року.
OpenAI веде попередні переговори про передачу уряду США 5% акцій
компанії. За задумом генерального директора Сема Альтмана, аналогічну
частку державі могли б передати й інші провідні американські розробники
штучного інтелекту, повідомляє Financial Times із посиланням на джерела.
Компанія Microsoft оголосила про
прискорення ініціативи Quantum Safe Program (QSP) та заявила про намір
перевести свої продукти й сервіси на постквантову криптографію (PQC) до
2029 року.
Samsung Foundry відновила розробку 1,4-нм технологічного процесу після
паузи, однак масове виробництво таких чипів тепер заплановане лише на
2029 рік.