Преступники изобрели новые способы получать деньги с банковских карт, данные которых выманивают онлайн или по телефону.
Как сообщает «Лаборатория Касперского», мошенники придумали еще одну схему с ретрансляцией NFC-сигнала и успешно обкатали ее на пользователях из России. В этой схеме от жертвы даже не требуется вводить данные своей карты, вместо этого злоумышленники, пользуясь методами социальной инженерии, убеждают ее установить на свой смартфон якобы «полезное» приложение, маскирующееся под сервисы «Госуслуг», налоговой службы, банковские приложения и так далее.
Поскольку в России многие подобные приложения банков и государственных сервисов были удалены из официальных магазинов приложений из-за санкций, не подозревающие подвоха пользователи легко соглашаются на установку. Далее жертве предлагают для «авторизации» или «верификации» приложить банковскую карту к смартфону и ввести ПИН-код.
Однако установленное приложение не имеет ничего общего с заявленным. В первой волне подобных атак жертве присылали все тот же NFC-ретранслятор, «перелицованный» под полезное приложение. Он считывал приложенную к смартфону карту и передавал ее данные вместе с ПИН-кодом злоумышленнику. А тот с ее помощью оплачивал покупки или снимал деньги в банкомате с NFC.
Антифрод-системы крупных российских банков достаточно быстро научились идентифицировать такие платежи из-за несовпадения геолокации жертвы и плательщика, поэтому сейчас изменилась схема – но не суть мошенничества.
Теперь жертве присылают приложение для создания дубликата карты, а ретранслятор ставит себе злоумышленник. Далее жертву под надуманным предлогом риска кражи убеждают положить деньги на некий «безопасный счет» через банкомат, приложив смартфон для авторизации платежа. Когда жертва подносит телефон к банкомату, мошенник транслирует на него данные своей карты, и деньги в результате поступают на счет мошенника. Это затрудняет отслеживание подобных операций автоматическими антифрод-системами, поскольку операция выглядит совершенно легитимно – некто подошел к банкомату и внес наличные на карту. То, что карта оказалась чужой, антифроду неизвестно.
«Лаборатория Касперского» рекомендует использовать виртуальные банковские карты для оплаты в Интернете. При этом не хранить на них много денег и пополнять прямо перед интернет-покупками.
Еще один совет – выпускать новую виртуальную карту и блокировать старую хотя бы раз в год.
Кроме того, чтобы физически расплачиваться в магазинах, можно привязать другую банковскую карту к Apple Pay, Google Wallet или одному из национальных сервисов-аналогов. Но карту в этом случае придется никогда не применять онлайн, а в магазинах придется пользоваться мобильным кошельком на смартфоне.
«Очень настороженно относитесь к требованиям приложений приложить вашу банковскую карту к смартфону, а уж тем более – ввести ПИН-код от нее. Если это проверенное и давно знакомое банковское приложение – тогда ладно, а если только что установленная по непонятной ссылке и не из официального магазина приложений подделка – не надо. В банкоматах используйте пластиковые карты, а не смартфон с NFC. Используйте комплексное защитное решение на всех компьютерах и смартфонах, чтобы минимизировать вероятность попадания на фишинговые сайты и установки вредоносных приложений. Включите компонент «Безопасные платежи», предназначенный для защиты финансовых операций и покупок в Интернете, в любом из наших защитных решений. Подключите для всех банковских карт максимально быстрые способы оповещения об операциях (SMS, Push) и немедленно обращайтесь в банк при появлении любых сомнительных операций», – заключают эксперты.
