Будьте бдительны, особенно с карточками ПриватБанка
+Додати тему
Відповісти на тему
Перелік фінансових компаній, які були під підозрою в шахрайстві. Фінансові піраміди та лохотрони в Україні. Все, що пов'язано з фінансовими схемами, націленими на обман довірливих учасників.
Дерзкое мошенничество с картами «ПриватБанка» поставлено на поток
В редакцию «proIT» обратился очередной пострадавший от одной из популярных мошеннических схем, где используется карта «ПриватБанка». Несмотря на схожесть с ранее описанными случаями данный инцидент имеет ряд весьма примечательных особенностей, которые позволяют судить о налаженности и дерзости преступного конвейера.
Начало «схемы» типично: выставление товара на продажу на сайте бесплатных объявлений, звонок «покупателя», его заверения, что деньги за товар отправлены на карту «ПриватБанка», затем звонок якобы «сотрудника» «ПриватБанка» по корпоративным клиентам, который утверждает, что деньги отправлены с корпоративной карты, поэтому получатель должен в банкомате соответствующим образом настроить свою кредитную карту.
Как раз после звонка подставного «банковского специалиста» по корпоративным клиентам этот случай начинает приобретать нехарактерные черты. Далее рассказывает пострадавший от действий мошенников Александр: «Вся эта ситуация у меня вызвала определенное подозрение и я решил пойти не к банкомату а в отделение «ПриватБанка» проконсультироваться по данному вопросу. Тогда было 30 августа примерно 16:00. Я обратился к сотруднице «ПриватБанка», которая ранее выдала мне карту, и рассказал, что на мою карту перевели 4000 грн, но эта сумма не может зайти, потому что моя карта не настроена на получение платежей с корпоративных счетов. Она ничего не поняла. Тогда я предложил ей лично пообщаться со «специалистом по корпоративным клиентам «ПриватБанка». Общались они более 2 минут, после чего сотрудница «ПриватБанка» сказала, поскольку она специалист по физическим лицам, а он по корпоративным клиентам, он вам сейчас перезвонит и поможет.
После того, как сотрудник банка мне это лично сказал, у меня пропали сомнения в том, что Сикорский (так по телефону мошенник представился пострадавшему — прим. Авт.) является сотрудником «ПриватБанка» и хочет мне помочь. После, я подошел к банкомату, вставил карточку, и начал делать то, что говорил на тот момент сотрудник «ПриватБанка». Минут через 20 на мой номер пришла SMS, что с моего счета списано 21105 грн., из которых 21000 грн. кредитный лимит банка, а 105 грн. комиссия за операцию перевода (всего на карточном счету было 21241 грн.). Я был в шоке, подумал ошибка, но когда зашел в «Приват24» убедился, что деньги действительно списаны».
По словам Александра, через час-полтора он позвонил на горячую линию банка, заявил о мошенничестве и попросил заблокировать выплату украденных денег мошеннику. Здесь стоит отметить, что по данным «ПриватБанка» деньги были списаны со счета в 16:12, а заявка о мошенничестве была зафиксирована в этот же день в 18:42. И, тем не менее, на следующий день 31 августа мошенник беспрепятственно снял всю украденную сумму через банкомат того же «ПриватБанка». Причем, как впоследствии удалось установить силами службы безопасности банка, деньги снял тот же человек, на имя которого был осуществлен перевод.
Однако самое парадоксальное в этом случае то, что милиция вот уже более полутора месяцев не предпринимает совершенно никаких действий по поиску и привлечению к ответственности мошенника, хотя и милиции и СБ банка и пострадавшему известна личность мошенника, есть его фотографии и адрес проживания. Александр подал заявление в милицию еще 2 сентября. «Но с тех пор следователь меня ни разу не вызывал и за 1,5 месяца он так и не удосужился официально обратиться в банк, чтобы получить данные клиента-мошенника. Странно, раньше находили по отпечаткам пальцев, реализации краденного, а сейчас есть ФИО, адрес прописки, фото, но оказывается еще чего-то не хватает», — удивляется Александр.
Между тем, «ПриватБанк» и милиция имеют свое видение данного инцидента, его последствий и перспектив. Так Олег Серга, пресс-секретарь «ПриватБанка» говорит: «Клиент немного не точно рассказывает ход реальных событий, в частности, процесс общения с сотрудником банка до совершения действий, которые требовал предпринять мошенник. В частности, клиент зашел в отделение, дал трубку сотруднику банка. Мошенник сказал сотруднику: «Мы разобрались, это наше дело, все нормально». Сотрудник банка тут же отдал телефон клиенту, клиент послушал мошенника и пошел к банкомату выполнять операцию. Я сам видел этот диалог клиента с сотрудником. Т.е. все фактические данные говорят о том, что клиент самостоятельно выполнил указания мошенников, и только после осуществления перевода мошенникам, а операция была выполнена в виде обычного срочного денежного перевода, а не пополнения карты, обратился в банк с сообщением о мошенничестве». По мнению редакции, достаточно странно, что сотрудник банка, после телефонного разговора с мошенником, даже ничего не заподозрил. Ведь в предыдущем описанном случае сотрудники колл-центра «ПриватБанка» сразу сообщили потенциальной жертве, что её «ведут» мошенники.
Таким образом, банк отрицает обвинения Александра в причастности своего сотрудника к совершению мошеннической операции. Банк также снимает с себя всю ответственность за получение денег мошенником, несмотря на предупреждение клиента. В финансовом учреждении утверждают, что не имеют никакой возможности заблокировать выплату срочного денежного перевода (в данном случае мошенник перевел 21000 грн. через систему PrivatMoney, и в Украине с помощью своей карты «ПриватБанка» снял в банкомате этого же банка все деньги — прим. Авт.), несмотря на заявление о мошеннической операции. «Этот перевод по контрольному номеру может получить любой человек даже в России. В то же время, подобные мошеннические переводы с карты на карту мы блокируем мгновенно, — утверждает Олег Серга и подводит итог — Однозначно вины банка в этой транзакции нет».
Редакции «proIT» также удалось неформально поговорить с оперуполномоченным уголовного розыска, которые принимал заявление от Александра. По его словам, основная причина бездеятельности силовой структуры заключается в том, что потерпевший написал заявление в отношении сотрудников «ПриватБанка», что якобы они мошенническим путем завладели деньгами. При этом он указал номера телефонов «покупателя» и «специалиста по корпоративным клиентам «ПриватБанка», но проведенная проверка установила, что ни один их перечисленных номеров не принадлежит сотрудникам банка. По этой причине уголовное дело не было возбуждено и расследование не ведется. А без уголовного дела даже, если следователь и направит запрос в банк о предоставлении информации о получателе украденных средств, банк, сославшись на закон о банковской тайне, запрос отклонит.
«В банке в частном порядке говорят, материалы есть, мы их вам показать не можем, но если вы придете с запросом, мы вам их предоставим, — объясняет милиционер. — Я ему (Александру — прим. Авт.) объяснил, как правильно написать заявление, чтобы были достаточные основания для внесения информации в Единый реестр досудебных расследований (ЕРДР). Когда он напишет заявление, мы внесем его в ЕРДР и на основании этого получим информацию в банке».
Олег Серга также подтвердил готовность банка предоставить милиции всю необходимую информацию о мошеннике: «Клиент в банке может свободно и бесплатно получить информацию по своим картам, счетам, где будет указана информация о том, что у него сняты средства и кому они направлены. Этого достаточно для начала уголовного производства».
Вчера Александр сообщил «proIT», что намерен повторно подать в милицию заявление. А тем временем, в «ПриватБанке» сообщили, что до конца разбирательства по данному инциденту заморозили свои требования к Александру по погашению образовавшегося кредита в размере 21000 грн.
Если дело все же дойдет до судебной тяжбы между клиентом и банком по поводу выплаты кредита, то Дмитрий Гадомский, адвокат, партнер практики IT и медиа права АО «Юскутум», говорит: «Если будет доказано, что клиент уведомил банк о подозрительной операции, а также постфактум сообщил о краже, то позиция клиента будет явно сильной. Однако, банки как правило предусматривают подобные ситуации в договорах, следовательно, в этом процессе многое будет зависеть от адвокатов, ведущих дело с той и другой стороны. Кроме того, правовую позицию необходимо оценивать в каждом отдельном случае, судить о том, кто прав в данном процессе без глубокого анализа документов невозможно», — отмечает Дмитрий Гадомский.
Он также советует пострадавшим в случае затягивания правоохранительными органами расследования подобных случаев мошенничества вести себя активно в уголовном процессе. «Новый УПК предоставляет возможность пострадавшему подавать доказательства, инициировать проведение экспертиз. При возможности необходимо максимально содействовать следствию. Необходимо пользоваться также и правом на подачу жалобы на действия следственных органов; однако, этим инструментом стоит пользоваться разумно.
Редакция «proIT» будет следить за дальнейшей динамикой расследования данного дела.
Как не попасться на удочку мошенников
Для получения перевода на карту любого банка и не только на территории Украины достаточно только номера карты. Это правила международных платежных систем. Они действуют во всем мире и для всех банков. Сотрудники «ПриватБанка» не звонят клиентам с целью узнать их пароли и личные данные. Если незнакомый собеседник представляется сотрудником службы безопасности банка — завершайте разговор и перезванивайте по известному вам номеру. Ни при каких обстоятельствах не сообщайте свои персональные данные по телефону, особенно цифровые коды из SMS-оповещений банка. Закрепите за своими банковскими счетами новый телефонный номер ("финансовый» номер), лучше всего оформите его на контракт. Изучите, какую информацию по вашему номеру телефона, адресу электронной почты, ФИО, профилю соцсети могут получить потенциальные злоумышленники. Постарайтесь удалить опасную информацию. Не перезванивайте потенциальному покупателю, если он имитирует плохую связь. Никогда и ни при каких условиях не выполняйте с банкоматом действия, которые вам диктует по телефону незнакомец. Настройте у своего оператора SMS-уведомление о смене секретного слова-пароля. Для приема платежей в интернете используйте только карту с нулевым балансом. В случае подозрения о совершении мошеннической операции с вашим счетом, немедленно звоните, пишите в онлайн чат или идите в ближайшее отделение и требуйте заблокировать все Ваши счета и транзакции. Не верьте «идеальным» покупателям, которые не торгуются, безоговорочно оплачивают пересылку, комисию за осуществление платежа.
Пока «ПриватБанк» и сотовые операторы отрицают очевидные «дыры» в безопасности, мошенническая схема приобретает масштабы эпидемии
В редакцию «proIT» от двух независимых источников поступили сообщения о мошеннических атаках с элементами социальной инженерии. Два случая объединяют схожие черты, что позволяет говорить о системности новой преступной схемы:
1) атакуют владельцев карт «Приватбанка»; 2) «наводка» на жертву через сайты частных объявлений; 3) входящие звонки якобы от сотрудников «Приватбанка».
Первый случай
• Жертва получает входящий звонок насчет товара, продаваемого через сайт объявлений. Мнимый покупатель живо интересуется характеристиками товара и возможными способами доставки, давая понять жертве, что вероятность сделки высока.
• В процессе обсуждения условий продажи «покупатель», имитируя плохую связь, несколько раз просит жертву перезвонить, т.е. совершить исходящий вызов. В процессе обсуждения всплывает еще один заинтересованный покупкой фигурант — якобы окончательный реципиент приобретаемого товара (согласно легенде, дядя делает подарок племяннику), и у него тоже возникают «проблемы со связью».
• В ходе торгов навязывается следующая схема расчета: «покупатель» перечисляет стоимость на указанный продавцом номер карты «Приватбанка», а продавец отправляет товар на указанное отделение «Новой Почты» до востребования.
• Вскоре жертва получает входящий звонок с анонимного номера. На другом конце провода представляются «службой безопасности Приватбанка» и, обращаясь к жертве по имени-отчеству, спрашивают, действительно ли ожидается пополнение карточки на точно указанную сумму. «Офицер безопасности» сообщает, что платеж временно не может быть принят в силу некоторых ограничений по карточке. Ограничения можно отключить прямо в ходе телефонного разговора, но для этого нужно пройти стандартную процедуру аутентификации «на от случай, если ваш телефон взял кто-то другой». Жертва отвечает на стандартные секретные вопросы, задаваемые в ходе процедуры аутентификации. «Офицер безопасности» подтверждает «зачисление» средств на карточный счет.
• В течение получаса после звонка от «службы безопасности», SIM-карта жертвы перестает восприниматься телефоном, обнаруживается невозможность зайти в систему «Приват24», а вскоре — и пропажа средств с карточного счета.
Второй случай во многом повторяет первый — выход на жертву через сайт объявлений, удаленная продажа товара путем зачисления денег на карточку «Приватбанка», входящий звонок от «службы безопасности». Отличие в том, что во втором случе мошенники реализуют более быструю схему, без завладения дубликатом SIM-карты.
• Жертва, согласившись на предложенные условия дистанционной покупки, отправляет SMS с реквизитами карточки, но через 5 минут получает звонок от «покупателя», который говорит, что не получил SMS и просит продиктовать номер карты и ФИО. Получив информацию, он пропадает на 2 часа, очевидно, чтобы вызвать у жертвы чувство неопределенности и острое чувство ожидания звонка. Наконец «покупатель» звонит и говорит, что деньги перечислил.
• Спустя 5 минут жертве поступает звонок со скрытого номера и человек на том конце провода, представившись сотрудником департамента «ПриватБанка» по работе с корпоративными клиентами, называет жертву по ФИО и спрашивает, ожидает ли она поступление точно указанной суммы на свой счет. Получив утвердительный ответ, «сотрудник банка» говорит: «Платеж на вашу карту осуществлен со счета юридического лица, а поскольку ваша карта не авторизована на получение средств от юридических лиц, вам необходимо провести такую авторизацию. Я вам помогу это сделать». «Сотрудник банка» объясняет жертве, что нужно подойти к банкомату «ПриватБанка», зайти в определенное меню, ввести свой номер телефона, пин-код карты и продиктовать код, полученный в SMS. Мошенник спрашивает, через какое время жертва будет находиться рядом с банкоматом, чтобы в телефонном режиме он смог бы помочь провести необходимые манипуляции с банкоматом. «Сотрудник» «ПриватБанка» перезванивает на 15 минут позже оговоренного времени, видимо с целью сыграть на эмоциональном состоянии жертвы, ожидающей получение крупного денежного перевода — очевидно ожидание крупной продажи должно нивелировать подозрение жертвы о чрезмерной легкости «сделки».
А подозрительных фактов более, чем достаточно. Тут и скорость сделки, и отсутствие торга, перечисление крупной суммы денег без каких-либо гарантий, перечисление средств со счета не физического, а юридического лица, безразличие «покупателя» к выбору почтового оператора, щедрость «покупателя», легко согласившегося на оплату пересылки, легкое согласие на оплату комиссии за перевод средств и отсутствие возражений на конвертацию стоимости указанной в долларах в гривны по максимальному курсу.
Во втором случае «сделка» сорвалась. Жертву выручила излишняя щепетильность. В частности, был сделан звонок оператору колл-центра «ПриватБанка» с целью выяснить, действительно ли необходимо «авторизовывать» карту для получения платежа от юридического лица. Вопрос вызвал недоумение у оператора, но когда ему сообщили детали «сделки», он предупредил о ее мошенническом характере. Стоит отметить, что и сам клиент заблаговременно подстраховал себя от возможного мошенничества и для подобных сделок использовал специально выпущенную карту с нулевым балансом.
Как понятно из описаний, успех преступной схемы обеспечен, среди прочего, успешной эксплуатацией крупной «дыры» в безопасности системы ДБО и мобильных операторов, о которой редакция «proIT» уже писала — несанкционированное получение дубликата SIM-карты, который используется для доступа к ДБО. Кроме того, обращают на себя внимание несколько других уязвимостей:
1) При вводе номера карты в любом терминале «Приватбанка» с целью пополнения, на экран высвечивается ФИО владельца полностью — именно таким образом мошенники узнают полные ФИО жертвы для звонков в «Приватбанк» от её лица. 2) Ни в одном из документов «Приватбанка», которые клиент подписывает при оформлении банковской карточки, нет предупреждения о том, что процедура аутентификации (ответы на секретные вопросы) может осуществляться только при инициировании звонка самим клиентом, но никогда – при поступлении входящего звонка. 3) Что бы ни говорили операторы о якобы принципиальной невозможности преступного завладения дубликатом SIM-карты, редакция продолжает получать фактические подтверждения того, что предоставления истории исходящих звонков де-факто является вполне достаточно для получения SIM-дубликата злоумышленниками.
Отвечая на вопрос редакции, знают ли в «ПриватБанке» о перечисленных и подобных схемах и как с ними борются, Олег Серга, пресс-секретарь «ПриватБанка», отмечает, что такие «схемы» практиковались мошенниками, как правило, в первой половине 2012 года. «Мы активно противодействуем подобным схемам мошенничества с картами клиентов. Во-первых, каждый клиент получает от банка информацию о том, как обезопасить себя от мошенничества, что сотрудники банка не имеют права связываться с клиентом по телефону и уточнять его личные данные, что пароли и другая информация от банка это секретная информация. Во-вторых, и самое главное, по каждому факту мошенничества мы проводим срочное расследование, легко с помощью камер наблюдения и других данных определяем личность мошенника и передаем материалы в МВД для начала уголовного производства. За последний год привлечено к уголовной ответственности более двух десятков групп мошенников, на расследовании сейчас находится более сотни подобных дел. Наши системы информационной безопасности позволяют очень быстро выйти на мошенников и привлечь к ответственности. В-третьих, по результатам расследования, если не выявлена вина и причастность к мошенничеству самого клиента (а таких случаев довольно много), клиенту банк компенсирует потерянные средства и далее возмещает их за счет привлекаемых к ответственности мошенников».
В то же время, в «ПриватБанке» считают, что ФИО клиента надежно защищены, поскольку выдаются только после авторизации через карту. «При проведении операции в терминалах требуется обязательная идентификация клиента через его карту. При пополнении карты по номеру подтверждающая информация о владельце карты появляется на экране только на финальной стадии операции после валидации клиента и подтверждения операции паролем. Таким образом, информацию о владельце карты на которую перечисляются деньги может видеть только идентифицированный клиент банка после подтверждения операции перевода», — утверждает Олег Серга.
Тем не менее, практический эксперимент, проведенный редакцией «proIT» доказывает обратное — чтобы заполучить ФИО жертвы с помощью терминала пополнения карта «ПриватБанка» вовсе не нужна. Терминал предлагает и другой — гораздо более «дырявый» — способ авторизации, путем введения одноразового пароля, пришедшего в SMS на указанный в терминале номер. В данном случае идентификатором выступает не банковская карта, а номер телефона. Поскольку стартовый пакет любого оператора можно купить на каждом углу, а после заполучения ФИО жертвы попросту выкинуть, редакция считает де-факто доказанной незащищенность персональных данных клиентов «ПриватБанка».
Что касается предупреждения клиента о том, что процедура аутентификации (ответы на секретные вопросы) может осуществляться только при инициировании звонка самим клиентом, но никогда — при поступлении входящего звонка, пресс-секретарь «ПриватБанка» говорит, что каждый клиент при получении карты банка подписывает стандартную оферту, где четко прописана процедура защиты личных данных. «Кроме того, данная информация сообщается клиентов в ходе коммуникаций с ним от имени банка по СМС, на чеках банкоматов, в информационных материалах банка», — говорит Олег Серга.
Особое внимание он обращает на тот факт, что никогда и ни при каких обстоятельствах сотрудники банка не звонят клиентам с личных мобильных номеров и никогда не требуют диктовать пароли. «Пароли банка никому передавать нельзя никаким способом», — подчеркивает представитель банка. Однако, как подсказывает практика, мало кто из клиентов об этом знает.
Примечательно, что жертва во втором случае была прекрасно осведомлена о нюансах подобных мошеннических схем, но когда ее саму взяли в «оборот» что-то неладное она заподозрила лишь в последний момент. Выходит, если такого рода схемы еще пользуются популярностью, значит у мошенников есть и положительные результаты. А это говорит о отм, что банкам, особенно тем, которые активно внедряют новые услуги, следуют более интенсивно вести разъяснительную деятельность среди клиентов об основах финансовой безопасности и особенностях своей политики безопасности.
А вот у жертвы первого случая перспективы вернуть средства, к сожалению, неутешительные. В «ПриватБанке» её попросту отфутболили с формулировкой «не можем оказать правовой помощи, так как вами была разглашена конфиденциальная информация». После определенного давления, «ПриватБанк» указал жертве ФИО владельца и номер карточки, на которую были переброшены украденные деньги, и показал видеозапись процесса снятия наличности в одном из банкоматов Донецка, на которой мало что можно разобрать. На этом «ПриватБанк» умыл руки. Заявление, принятое Святошинской милицией (по месту проживания жертвы), отфутболили в Донецк — по месту снятия денег. «И всё. Ни слуху, ни духу. Следователя местного поймать по телефону просто нереально», — подводит печальный итог жертва первого случая. http://proit.com.ua/article/telecom/201 ... 75208.html
Рекомендации, так как мало кто думает про мошеннические действия, когда и карта казалось бы на руках и сим-карта в телефоне.
1. Никогда не публикуйте в интернете свой основной номер мобильного телефона. (для объявлений в интеренете лучше иметь запосную сим-карту)
2. Если Вы все же публикуете свой номер телефона, то он должен быть контрактным, т.е. закреплен за пользователем по паспортным данным. Мошенники не смогут вопользоваться им.
3. Не держите на карте, которую предоставляете третьим лицам для пополнения, деньги. Или же минимально необходимый остаток.
4. Банально, но не пользуйтесь карточками ПриватБанка для операций с незнакомыми людьми.
Огромное спасибо за такие подробности. Смею ответить что сам стал жертвой подобной схемы , с одним маленьким НО. Успели вовремя перезвонить в ПриватБанк и заблокировал карточку , но перед этим деньги которые снимали злоумышленники вернулись на мой счет карты.
Когда попросил выписку то оказалось что ... выдержу паузу. Была оплатить комунальные услуги на фантастическую сумму (стыдно даже указывать). Сверил стрые и новые квитанции - уходило на РЕАЛЬНЫЙ счет ГИОЦ!!! Он им что доплачивает вгоняя меня в долги перед банком? Или это еще не конец РАЗВОДА по УКРИНСКИ? Уже незнаю чего ожидать.
походу нет ничего страшного в сообщении своего фио кому-то. Главное, не надо делать "доп.настроек" и сообщать действительно секретную информацию (СВВ коды, секретное слово, Пин-код и т.д.)