Позвонили из службы безопасности банка: как вовремя заметить подвох
В 2018 году мошенники увели с карт российских банков 1,384 миллиарда рублей.
Если бы эти деньги теряли только москвичи, то каждый житель лишился бы 110 рублей. Если бы мошенники переключились на екатеринбуржцев, то потери были бы больше — 933 рубля с каждого.
Причем в 97 случаях из 100 мошенники похищают деньги с помощью социальной инженерии — то есть вводят клиента в заблуждение и буквально заставляют перевести им деньги.
Рассказываем, что точно не скажет настоящий сотрудник банка.
«Здравствуйте, это служба безопасности. Назовите номер карты»
Липовый сотрудник службы безопасности звонит с номера, который начинается на 8-800 или 8-495, — кажется, что звонок действительно от банка. Обращается по имени-отчеству и предупреждает о страшном: кто-то пытается вывести деньги со счета.
Опасность: позвонить могут с любого номера. Мошенники научились использовать уязвимости протоколов телефонных соединений: так они подставляют «красивый» номер, клиент банка видит знакомые цифры — и не сомневается, что разговаривает с настоящим сотрудником.
Что слышит жертва | Что это значит |
---|---|
Мы остановили подозрительную транзакцию. Кто-то пытается подобраться к вашим деньгам — нужно заблокировать карту. | Я уточняю данные, чтобы зайти в твой кабинет. Я уже залогинился по номеру телефона — осталось получить код. |
Что слышит жертва | Что это значит |
Мы остановили подозрительную транзакцию. Кто-то пытается подобраться к вашим деньгам — нужно заблокировать карту. | Я уточняю данные, чтобы зайти в твой кабинет. Я уже залогинился по номеру телефона — осталось получить код. |
Как на самом деле. Банк использует для уличения мошенников разные способы, в том числе специальные алгоритмы, которые отслеживают изменения счетов клиентов. Поэтому нельзя заранее сказать, какие операции банк посчитает подозрительными, — но в первую очередь это переводы на новые реквизиты.
Главное отличие настоящей службы безопасности от мошенника — банку достаточно услышать, что вы не подтверждаете операцию. Никаких кодов для блокировки никогда не запрашивают.
Что делать. Спросите, по какой именно карте подозрительная операция. Настоящий сотрудник без труда скажет последние 4 цифры номера карты, а мошенник, наоборот, будет просить у клиента номер, еще и целиком.
«Помогите нам сохранить ваши деньги»
Мошенник предлагает заблокировать карту: конечно же, клиент соглашается. В этот же момент — прямо во время разговора — жертва слышит «динь». Это смс от банка, которое якобы подтверждает блокировку.
Опасность: мошенники уже научены, что не все говорят код из смс. Поэтому переключают на IVR — интерактивное голосовое меню, а потом уже просят ввести код в тоновом режиме после сигнала. Жертва вводит код на смартфоне, а не диктует человеку — это создает иллюзию безопасности.
Что слышит жертва | Что это значит |
---|---|
Сообщите, пожалуйста, цифры из сообщения, чтобы я смог заблокировать счет. | Ахаха, спасибо за код, сейчас я зайду в твой личный кабинет. |
Что слышит жертва | Что это значит |
Сообщите, пожалуйста, цифры из сообщения, чтобы я смог заблокировать счет. | Ахаха, спасибо за код, сейчас я зайду в твой личный кабинет. |
Когда банку нужны пароли из смс: при телефонном разговоре — никогда.
Что делать. Прервать разговор и срочно заблокировать карту, если успели сообщить код. Мошенник уже вошел в личный кабинет — теперь ему нужно вывести деньги.
«Помогите поймать мошенника»
Жертву успокаивают — карта заблокирована, деньги заморожены — и просят поговорить еще и с сотрудником внутренней службы безопасности. Якобы именно работник банка пытался вывести деньги со счета, а не какой-то посторонний мошенник — помогите его вычислить.
Опасность: клиента максимально долго держат на линии — нужно провернуть аферу в течение одного разговора. Поэтому мошенник никогда не скажет «передал информацию, вам перезвонят», а сразу же переключит на коллегу.
Что слышит жертва | Что это значит |
---|---|
У вас чуть не украли деньги, хорошо, что мы успели вовремя. Помогите нам найти преступника! | Ты уже в игре: у нас есть доступ к личному кабинету, а сейчас мой сообщник поможет обнулить счета. |
Что слышит жертва | Что это значит |
У вас чуть не украли деньги, хорошо, что мы успели вовремя. Помогите нам найти преступника! | Ты уже в игре: у нас есть доступ к личному кабинету, а сейчас мой сообщник поможет обнулить счета. |
Как должно быть. Служба безопасности банка никогда не привлекает клиентов к поиску нечестных сотрудников. И уж тем более сотрудник банка не попросит обманывать своего коллегу.
Что делать. Вы не обязаны ничего объяснять и соглашаться ловить мошенников: просто бросьте трубку.
«Переведите деньги на страховой счет»
В разговор вклинивается второй мошенник — «охотник за нечестными сотрудниками банка» — и говорит точную сумму остатка на счете. Он не ошибается ни на копейку, потому что сидит в личном кабинете жертвы.
Мошенник уверяет, что всю сумму нужно перевести на страховой счет, чтобы деньги с «заблокированного» счета не потерялись. Он уже создал этот «страховой» счет и сам может его пополнить — от клиента требуется только назвать код из смс.
Но главное: во время этой операции можно вычислить тех самых нечестных сотрудников, которые пытались снять деньги. Якобы они следят за счетом — и обязательно позвонят, если увидят перевод.
Опасность: часто мошенники перехватывают звонки от настоящих сотрудников банка. Схема простая: они просят жертву набрать код, который якобы несет добро и счастье — защищает счет, подтверждает личность. Но на самом деле жертва настраивает переадресацию — и на все звонки отвечает мошенник.
Что слышит жертва | Что это значит |
---|---|
Когда позвонят из банка и спросят, переводите ли вы всю сумму, ничего не рассказывайте — это и есть те нехорошие сотрудники, которые чуть не украли ваши деньги. Будем их ловить. | Я уже создал черновик перевода в твоем кабинете. Если позвонят настоящие сотрудники — молчи. Проболтаешься — я ничего не получу. |
Что слышит жертва | Что это значит |
Когда позвонят из банка и спросят, переводите ли вы всю сумму, ничего не рассказывайте — это и есть те нехорошие сотрудники, которые чуть не украли ваши деньги. Будем их ловить. | Я уже создал черновик перевода в твоем кабинете. Если позвонят настоящие банкиры — молчи. Проболтаешься — я ничего не получу. |
Как должно быть. Когда счет заблокируют, то вместе с ним заблокируют и карту. Логин и пароль от личного кабинета станут недействительными — их придется придумывать заново. Обязательно уточнят, разглашены ли данные карты, если да — оформят перевыпуск.
Что делать. Шанс сохранить деньги есть — нужно отказаться от перевода на якобы страховой счет, когда вам позвонят настоящие сотрудники банка.
Запомните USSD-команду, которая включает переадресацию: **21*+7XXXXXXXXXX#. Все звонки, в том числе и настоящей службы безопасности, уйдут на номер мошенников. Сотрудник банка никогда не попросит вводить такую команду на телефоне.
«Если не переведете деньги — банк вас оштрафует»
Чтобы клиент скорее подтвердил перевод, мошенник сообщает, что в ином случае банк заберет 50% суммы. Якобы деньги нельзя просто заморозить — банк ими пользуется, поэтому их нужно скорее положить на другой счет.
Здесь две схемы: либо клиент сам переводит деньги, либо за него это делает мошенник. В первом случае мошенник сообщает реквизиты «страхового» счета, и клиент пополняет его. Во втором — сам создает операцию в личном кабинете жертвы и просит код подтверждения.
Опасность: «страховой» счет, на который просят перевести деньги, принадлежит подставному лицу — его называют дроп. Этот человек за небольшую плату оформляет на себя обычную дебетовую карту, а затем передает ее мошенникам. Поэтому вернуть деньги с карты дропа будет почти невозможно, даже если у жертвы будут его данные.
Что слышит жертва | Что это значит |
---|---|
Чтобы перевести деньги на страховой счет и избежать штрафа со стороны банка, продиктуйте код из смс. | Скажи код, и я нажму кнопку «перевести» в твоем кабинете. |
Что слышит жертва | Что это значит |
Чтобы перевести деньги на страховой счет и избежать штрафа со стороны банка, продиктуйте код из смс. | Скажи код, и я нажму кнопку «перевести» в твоем кабинете. |
Как должно быть. Нет никаких штрафов: все тарифы прописаны в договоре. Клиент может распоряжаться своими деньгами как угодно: захотел — снял деньги, захотел — перевел.
Что делать. Это последний шанс: не говорите код из смс. И не переводите сами: никаких «страховых счетов» не существует.
Если у вас есть банковская карта, почитайте, как с ней подружиться: