Мы часто сталкиваемся с довольно однотипной схемой мошенничества, которую прозвали «Получение приза на банковскую карту». Суть схемы проста: мошенники обещают потенциальной жертве перевести крупную сумму, для чего просят ее сообщить данные банковской карты. Но несмотря на простоту, подобные схемы работают «на ура». Причин тому масса и главная из них – множество людей по-прежнему не знают, чем грозит передача данных своей карты третьим лицам. Давайте рассмотрим данную схему на примере, который уже не первый месяц гуляет по Сети, меняя лишь адреса фишинговых страничек.
В отличие от множества других схем, в рассматриваемом случае приманка для жертвы распространяется не посредством почтового спама, а с помощью поп-ап рекламы. Страница с призывом получить денежный приз автоматически открывается в браузере при посещении некоторых сайтов, в том числе вполне легитимных, но использующих всплывающие окна для рекламы. Для повышения доверия со стороны жертвы мошенники используют в этих окнах логотипы известных банков. Всего за последние месяцы нами было обнаружено более тысячи страниц, на которых размещалась эта мошенническая схема.
Как это работает
На странице, которая открывается в отдельном окне браузера, посетителю сообщают, что сразу несколько популярных банков запустили акцию для лояльных клиентов, и что именно он, посетитель, стал счастливым победителем акции и обладателем денежного приза.
Нажимаем «Получить приз» и попадаем на страницу с запросом данных банковской карты. В частности, нужно ввести номер карты и срок ее действия.
Вводим запрошенные данные, нажимаем «получить деньги». Счастье близко!
Далее в целях «идентификации владельца» мошенники запрашивают сумму остатка на карте — это необходимо «для безопасности зачисления средств», уверяют они. Стоит отметить, что на мошеннических ресурсах очень часто звучат призывы к безопасности и предупреждения об угрозах, своей мнимой заботой они стараются усыпить бдительность потенциальной жертвы.
Вводим сумму и нажимаем «Подтвердить». Интересно, что при введении слишком маленькой суммы появляется сообщение, что данная карта непригодна для подобных операций, так что лучше напишем побольше – от 300 рублей. Ну и конечно для завершения «идентификации» мошенникам требуется трехзначный код проверки подлинности карты (CVC2/CVV2). Данный код используется при проведении транзакций в среде Card not present и находится на обратной стороне банковской карты.
Вводим код, «подтверждаем».
Увы, вместо обещанных денег получаем сообщение «Данная карта непригодна для данной операции». Настойчивые пользователи могут попробовать ввести данные всех имеющихся карточек – мошенникам это понравится, ведь чем больше карт скомпрометирует жертва, тем больше денег смогут они украсть.
Что в итоге получают мошенники? Всю необходимую информацию для снятия денег с банковской карты без участия владельца карты и сумму, которая доступна для снятия. А если очень повезет, то данные нескольких карт одного человека.
Заключение
Многие пользователи банковских карт по-прежнему не знают, что для оплаты в интернет-магазинах или перевода денег с банковской карты достаточно данных, указанных на карте. И то, что сама карта при этом находится на руках у ее владельца, не помешает мошенникам ее использовать.
Подключение системы подтверждения оплаты по SMS также не всегда может защитить пользователя от кражи средств с карты, так как данная система не может запретить использование карты на ресурсах, ее не поддерживающих. Более того, для некоторых разновидностей карт мошенникам даже нет необходимости знать трехзначный код проверки подлинности карты, так как он не всегда является необходимым условием для проведения транзакций по карте.
Из этого следует, что вводить данные банковской карты следует только на известных, доверенных ресурсах и при наличии защищенного соединения. Для сохранности денежных средств также рекомендуем держать отдельную карту для операций в интернете с установленными лимитами.
Поп-ап мошенники