Added by on 2015-05-28

Где секретный код на карточке приватбанка

Мошенники продолжают атаковать владельцев карт ПриватБанка

Тогда как «Приват сотовые» операторы и Банк отрицают очевидные «дыры» в безопасности, с каждым днем возрастает количество мошеннических схем с банковскими картами.

В редакцию «proIT» от двух свободных источников поступили сообщения о мошеннических атаках с элементами социальной инженерии. Два случая объединяют схожие черты, что разрешает сказать о системности новой преступной схемы:

1) атакуют владельцев карт «Приватбанка»;

2) «наводка» на жертву через сайты частных объявлений;

3) входящие звонки якобы от сотрудников «Приватбанка».

Первый случай

• Жертва приобретает входящий звонок по поводу товара, реализовываемого через сайт объявлений. Мнимый клиент быстро интересуется возможными способами и характеристиками товара доставки, позволяя понять жертве, что возможность сделки высока.

• В ходе дискуссии условий продажи «клиент», имитируя нехорошую сообщение, пара раз требует жертву перезвонить, т.е. совершить исходящий вызов. В ходе дискуссии всплывает еще один заинтересованный приобретением фигурант — якобы окончательный реципиент получаемого товара (в соответствии с легенде, дядя делает презент племяннику), и у него также появляются «неприятности со связью».

• В ходе дискуссии навязывается следующая схема расчета: «клиент» перечисляет цена на указанный продавцом номер карты «Приватбанка», а продавец отправляет товар на указанное отделение «Новой Почты» до востребования.

• Скоро жертва приобретает входящий звонок с неизвестного номера. На втором финише провода представляются «работой безопасности Приватбанка» и, обращаясь к жертве по имени-отчеству, задают вопросы, вправду ли ожидается пополнение карточки на совершенно верно указанную сумму. «Офицер безопасности» информирует, что платеж временно не может быть принят в силу некоторых ограничений по карточке.

Ограничения возможно отключить прямо на протяжении телефонного беседы, но для этого необходимо пройти стандартную процедуру аутентификации «на от случай, в случае если ваш телефон забрал кто-то второй». Жертва отвечает на стандартные тайные вопросы, задаваемые на протяжении процедуры аутентификации. «Офицер безопасности» подтверждает «зачисление» средств на карточный счет.

• В течение получаса по окончании звонка от «работы безопасности», SIM-карта жертвы перестает восприниматься телефоном, обнаруживается невозможность зайти в совокупность «Приват24», а скоро — и пропажа средств с карточного счета.

Второй случай во многом повторяет первый — выход на жертву через сайт объявлений, удаленная продажа товара методом зачисления денег на карточку «Приватбанка», входящий звонок от «работы безопасности». Отличие в том, что во втором случе мошенники реализуют более стремительную схему, без завладения дубликатом SIM-карты.

• Жертва, согласившись на предложенные условия дистанционной приобретения, отправляет SMS с реквизитами карточки, но через 5 мин. приобретает звонок от «клиента», что говорит, что не взял SMS и требует продиктовать номер карты и ФИО. Получив данные, он исчезает на 2 часа, разумеется, дабы вызвать у жертвы острое чувство и чувство неопределённости ожидания звонка. Наконец «клиент» звонит и говорит, что деньги перечислил.

• Спустя 5 мин. жертве поступает звонок со человек и скрытого номера на том финише провода, представившись сотрудником департамента «ПриватБанка» по работе с корпоративными клиентами, именует жертву по ФИО и задаёт вопросы, ожидает ли она поступление совершенно верно указанной суммы на собственный счет. Взяв положительный ответ, «сотрудник банка» говорит: «Платеж на вашу карту осуществлен со счета юрлица, а потому, что ваша карта не авторизована на получение средств от юрлиц, вам нужно совершить такую авторизацию.

Я вам помогу это сделать». «Сотрудник банка» растолковывает жертве, что необходимо подойти к банкомату «ПриватБанка», зайти в определенное меню, ввести собственный номер телефона, пин-код карты и продиктовать код, полученный в SMS. Мошенник задаёт вопросы, через какое время жертва будет пребывать рядом с банкоматом, дабы в телефонном режиме он имел возможность оказать помощь совершить нужные манипуляции с банкоматом. «Сотрудник» «ПриватБанка» перезванивает на 15 мин. позднее оговоренного времени, по всей видимости с целью сыграть на эмоциональном состоянии жертвы, ожидающей получение большого финансового перевода — разумеется ожидание большой продажи должно нивелировать подозрение жертвы о чрезмерной легкости «сделки».

А странных фактов более, чем достаточно. скорость и Тут сделки, и отсутствие торга, перечисление большой суммы денег без каких-либо обеспечений, перечисление средств со счета не физического, а юрлица, безразличие «клиента» к выбору почтового оператора, щедрость «клиента», легко согласившегося на оплату пересылки, легкое согласие на оплату рабочей группы за отсутствие возражений и перевод средств на конвертацию цены упомянутой в долларах в гривны по большому курсу.

Во втором случае «сделка» сорвалась. Жертву выручила излишняя щепетильность. В частности, был сделан звонок оператору колл-центра «ПриватБанка» с целью узнать, вправду ли нужно «авторизовывать» карту чтобы получить платёж от юрлица. Вопрос привёл к недоумению у оператора, но в то время, когда ему сказали подробности «сделки», он предотвратил о ее мошенническом характере.

Необходимо подчеркнуть, что и сам клиент заблаговременно подстраховал себя от вероятного мошенничества и для аналогичных сделок применял намерено выпущенную карту с нулевым балансом.

Как ясно из описаний, успех преступной схемы обеспечен, среди другого, успешной эксплуатацией большой «дыры» в безопасности совокупности ДБО и мобильных операторов, о которой редакция «proIT» уже писала — несанкционированное получение дубликата SIM-карты, что употребляется для доступа к ДБО. Помимо этого, привлекают внимание пара вторых уязвимостей:

1) При вводе номера карты в любом терминале «Приватбанка» с целью пополнения,

на экран высвечивается ФИО обладателя всецело — как раз так мошенники определят полные ФИО жертвы для звонков в «Приватбанк» от её лица.

2) Ни в одном из документов «Приватбанка», каковые клиент подписывает при оформлении банковской карточки, нет предупреждения о том, что процедура аутентификации (ответы на тайные вопросы) может осуществляться лишь при инициировании звонка самим клиентом, но ни при каких обстоятельствах – при поступлении входящего звонка.

3) Что бы ни говорили операторы о якобы принципиальной неосуществимости преступного завладения дубликатом SIM-карты, редакция получает фактические подтверждения того, что предоставления истории исходящих звонков де-факто есть вполне достаточно для получения SIM-дубликата преступниками.

Отвечая на вопрос редакции, знают ли в «ПриватБанке» о перечисленных и аналогичных схемах и как с ними борются, Олег Серга, пресс-секретарь «ПриватБанка», отмечает, что такие «схемы» практиковались мошенниками, в большинстве случаев, в первой половине 2012 года.

«Мы деятельно противодействуем подобным схемам мошенничества с картами клиентов. Во-первых, любой клиент приобретает от банка данные о том, как обезопасить себя от мошенничества, что сотрудники банка не имеют права связываться с клиентом по телефону и уточнять его индивидуальные эти, что другая информация и пароли от банка это тайная информация.

Во-вторых, и самое основное, по каждому факту мошенничества мы проводим срочное расследование, легко посредством камер наблюдения и другой информации определяем личность мошенника и передаем материалы в МВД для начала уголовного производства. За последний год привлечено к суду более двух десятков групп мошенников, на расследовании на данный момент находится свыше сотни аналогичных дел.

Отечественные совокупности информационной безопасности разрешают весьма скоро выйти на мошенников и привлечь к ответственности. В-третьих, по итогам расследования, если не распознана вина и причастность к мошенничеству самого клиента (а таких случаев много), клиенту банк компенсирует потерянные средства и потом возмещает их за счет завлекаемых к ответственности мошенников».

Одновременно с этим, в «ПриватБанке» уверены в том, что ФИО клиента надежно защищены, потому, что выдаются лишь по окончании авторизации через карту.

«При проведении операции в терминалах требуется необходимая идентификация клиента через его карту. При пополнении карты по номеру подтверждающая информация о обладателе карты появляется на экране лишь на финальном этапе операции по окончании валидации подтверждения и клиента операции паролем. Так, данные о обладателе карты на которую перечисляются деньги может видеть лишь идентифицированный клиент банка по окончании подтверждения операции перевода», — утверждает Олег Серга.

Однако, практический опыт, совершённый редакцией «proIT» обосновывает обратное — дабы заполучить ФИО жертвы посредством терминала пополнения карта «ПриватБанка» вовсе не нужна. Терминал предлагает и второй — значительно более «дырявый» — метод авторизации, методом введения одноразового пароля, пришедшего в SMS на указанный в терминале номер. В этом случае идентификатором выступает не банковская карта, а номер телефона.

Потому, что стартовый пакет любого оператора возможно приобрести на каждом углу, а по окончании заполучения ФИО жертвы попросту выбросить, редакция вычисляет де-факто доказанной незащищенность персональных данных клиентов «ПриватБанка».

Что касается предупреждения клиента о том, что процедура аутентификации (ответы на тайные вопросы) может осуществляться лишь при инициировании звонка самим клиентом, но ни при каких обстоятельствах — при поступлении входящего звонка, пресс-секретарь «ПриватБанка» говорит, что любой клиент при получении карты банка подписывает стандартную оферту, где четко прописана процедура защиты личных данных.

«Помимо этого, эта информация сообщается клиентов на протяжении коммуникаций с ним от имени банка по SMS, на чеках банкоматов, в информационных материалах банка», — говорит Олег Серга.

Особенное внимание он обращает на тот факт, что ни при каких обстоятельствах и никогда сотрудники банка не звонят клиентам с личных мобильных номеров и ни при каких обстоятельствах не требуют диктовать пароли.

«Пароли банка никому передавать запрещено никаким методом», — подчеркивает представитель банка. Но, как подсказывает практика, мало кто из клиентов об этом знает.

Любопытно, что жертва во втором случае была замечательно осведомлена о нюансах аналогичных мошеннических схем, но в то время, когда ее саму забрали в «оборот» что-то неладное она заподозрила только в последний момент. Выходит, в случае если для того чтобы рода схемы еще пользуются популярностью, значит у мошенников имеется и хорошие результаты. А это показывает, что банкам, в особенности тем, каковые деятельно внедряют новые услуги, следуют более интенсивно вести разъяснительную деятельность среди клиентов об базах особенностях и финансовой безопасности собственной политики безопасности.

А вот у жертвы первого случая возможности вернуть средства, к сожалению, неутешительные. В «ПриватБанке» её попросту отфутболили с формулировкой «не можем оказать правовой помощи, поскольку вами была разглашена тайная информация».

По окончании определенного давления, «ПриватБанк» указал жертве ФИО обладателя и номер карточки, на которую были переброшены похищенные деньги, и продемонстрировал запись процесса снятия наличности в одном из банкоматов Донецка, на которой мало что возможно разобрать. На этом «ПриватБанк» умыл руки. Заявление, принятое Святошинской милицией (по месту проживания жертвы), отфутболили в Донецк — по месту снятия денег.

«И всё. Ни слуху, ни духу. Следователя местного поймать по телефону легко невозможно», — подводит печальный результат жертва первого случая.

08 августа 2013 в 15:05

Мнения, высказанные в данной теме, передают взоры авторов и не обязательно отражают позицию администрации.

Источник: sovet.kidstaff.com.ua

Разоблачение секретов банкоматов

Увлекательные записи:

Подборка статей, которая Вас должна заинтересовать:

Comments are closed.