Мошенники стали обманывать россиян с помощью Pay-сервисов: они убеждают подвязать карту злоумышленника к смартфону клиента под видом «защищенного» средства платежа, а затем через банкомат зачислить туда деньги, якобы оказавшиеся под угрозой. Затем преступники, у которых остается на руках «пластик», выводят средства. Об этом «Известиям» рассказали в крупных банках. Сценарий стал возможен благодаря распространению АТМ с NFC-датчиками, где можно обслуживаться без карты — только с помощью смартфона.
Сценарий обмана, в соответствии с которым клиента убеждают перевести деньги через мобильное приложение на якобы безопасный счет, в последнее время стал менее эффективным, поэтому мошенники придумали новый вариант — с использованием таких сервисов, как Apple Pay или Google Pay, рассказал «Известиям» представитель «Тинькофф». Он пояснил: злоумышленники стали убеждать россиян привязывать карту преступника в свои мобильные приложения для платежей под предлогом того, что деньги клиента пытаются украсть и их необходимо зачислить на «безопасную» карту.
Клиент использует банкомат с NFC-считывателем, в котором не нужно предъявлять «пластик»: прикладывает телефон с установленным Pay-сервисом и пополняет «защищенную» карту, рассказали в «Тинькофф». Однако средства перечисляются мошеннику, у которого находится физическая карта. Он может вывести деньги, например снять их в другом АТМ. В «Тинькофф» отметили, что сценарий с токенизированными картами относительно новый. Количество таких кейсов растет с июня 2021 года, добавили в ВТБ.
Сложность с выявлением таких мошенничеств состоит в том, что клиент фактически становится держателем карты, пояснили в банке. Там добавили, что благодаря антифрод-технологиям и «Тинькофф Защите» с держателями карт кредитной организации таких случаев не наблюдалось.
О схеме мошенничества с Pay-сервисами через банкоматы знают в Газпромбанке, МКБ, «Открытии», ВТБ, ПСБ. Apple Pay — это одна из современных технологий совершения платежа через терминальное устройство с соответствующим считывателем, при этом сама схема обмана остается классической, отметил замначальника департамента защиты информации Газпромбанка Алексей Плешков. Он напомнил, что основная суть этого сценария — с помощью социальной инженерии убедить жертву совершить платеж или перевод. Подобные схемы с Pay-сервисами нетрадиционные, поэтому клиент может не подозревать, что «попался на крючок», предупреждают в МТС Банке.
Новый сценарий обмана стал возможен благодаря распространению банкоматов с NFC-модулем, где можно обслуживаться без предъявления физической карты. Такие технологии уже внедрены в Райффайзенбанке, «Открытии», МКБ, ВТБ, «Альфе», Росбанке, ПСБ, Сбербанке, «Тинькофф», писали ранее «Известия». При работе с АТМ без «пластика» клиенты проходят предварительную регистрацию в Pay-сервисах и авторизуются с помощью пин-кода, уточнили в ВТБ.
Остановит сложность
Самое узкое место в безопасности технологий токенизации — в том числе в мобильных платежных сервисах — это момент осуществления привязки карты, считает директор департамента информбезопасности банка «Открытие» Илья Сулоев. Он напомнил, что есть похожая схема обмана, при которой путем ввода в заблуждение клиента вынуждают привязать собственную карту на устройство злоумышленника, и далее преступник может расплачиваться ею.
Сейчас банки и платежные системы научились бороться с этой схемой путем сверки персональных клиентских идентификаторов при привязке карты и кошелька, знают в «Ренессанс Кредите», полагая, что для борьбы с обратной мошеннической схемой можно использовать те же методы защиты. Банкам необходимо проработать механизмы анализа всех событий по привязке карт — значительную часть процесса можно автоматизировать, согласны в МКБ.
— Впрочем, описанный механизм социальной инженерии довольно сложный в плане реализации. Он не является масштабным и массовым, так как требует от клиента значительного количества шагов. Также должно совпасть сразу несколько факторов: техническая возможность телефона «здесь и сейчас» провести привязку карты и осуществить на неё перевод, — полагает управляющий директор центра развития сотрудничества с клиентами УБРиР Александр Дарданов.
Вряд ли эта схема получит широкое распространение в силу сложности, согласен основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян. Он пояснил, что доля использующих Apple и Google Pay в нашей стране невелика на фоне общего числа картхолдеров, а добавление «пластика» в кошелек без его фотографии — непростая процедура даже для них. Кроме того, вряд ли привязка карты к Apple и Google Pay прибавит этой схеме доверия: скорее в процессе у пользователя появятся лишние сомнения в правильности того, что он делает, считает эксперт.
В «Лаборатории Касперского» также не ожидают массового распространения схемы, отмечая, что главная защита от таких мошенничеств — это скептическое отношение к телефонным звонкам и электронным письмам.
В Банке России знают об этой схеме. Как правило, злоумышленники используют ее вместе с побуждением клиента оформить на себя кредит и перевести заемные деньги на «защищенные счета», сообщили там «Известиям». В ЦБ добавили, что потребителю, который столкнулся с таким обманом, рекомендуется прекратить разговор со злоумышленником.
«Известия» направили запрос в Apple и Google.