Речь пойдет о вишинге (англ. vishing, от Voice phishing) — методе мошенничества с применением социальной инженерии, суть которого заключается в телефонной коммуникации, введении в заблуждение, притворяясь сотрудником банка, покупателем и так далее, и выманивании под разными предлогами у держателя платежной карты конфиденциальной информации или стимулировании к совершению определенных действий со своим банковским счетом и/или платежной картой.
Данный тип мошенничества стал очень активно применяться в отношении граждан Республики Беларусь начиная с 2019 года. Лишь за последних два месяца 2020 года на территории г. Горки зафиксировано более десятка подобных случаев. Звонят чаще всего со скрытого номра, что сразу должно насторожить вызываемого абонента, но в последнее время злоумышленники не уделяют этому особого внимания, так как полностью полагаются на наивность, доверчивость граждан, которые не обращают на вызываемый номер никакого внимания, а зря.
Согласно международному формату набора номера – код страны, в частности Республики Беларусь, является +375ххххххххх. Злоумышленники часто звонят с номеров начинающихся +371 ххх…, +372 ххх…, 374 ххх… и так далее, которые принадлежат странам постсоветского пространства (Литва, Латвия, Эстония, Молдавия) и в ходе телефонного разговора представляются сотрудниками банка.
Бывают случаи, когда злоумышленники звонят с похожего на настоящий номер банка либо подмененного с помощью специального программного обеспечения (то есть отображается при звонке настоящий номер банковской службы). Причем стоит отметить очень важный момент, который значительно повышает доверие к мошеннику. Звоня, он уже знает часть или весь номер карточки, услугами какого банка пользуется человек, а также может обратиться по имени и отчеству.
Сразу возникает логичный и резонный вопрос: откуда у мошенника может быть столько информации о человеке? Ответ на него прост: вишинг всегда начинается с получения сведений о будущей жертве. Источники могут быть самые разнообразные:
— утечки клиентских и/или пользовательских баз сайтов, форумов, чатов, сообществ в соцсетях, торговых площадок, онлайн-игр, интернет-магазинов, банков и многих других, не обеспечивающих должный уровень защиты для предоставленной информации или торгующие/обменивающиеся ею. Халатное отношение владельцев указанных баз к доверенным данным позволяет злоумышленникам постоянно обновлять и пополнять свои списки жертв, так как сейчас во всем мире, начиная от индивидуального предпринимателя и заканчивая крупными организациями частного и государственного секторов, все собирают и хранят наши персональные данные, в том числе паспортные и банковские, но не все используют их в заявленных целях или защищают как следует;
— получение сведений из открытых источников, например, открытых страниц соцсетей или объявлений торговых площадок. Распространены случаи вишинговых звонков после публикации объявлений якобы по поводу покупки товара, где законопослушный гражданин сталкивается с новым для нашего времени вызовом —ФИШИНГОМ, то есть злоумышленники под видом покупателя заверяет продавца о якобы желании приобретения продаваемого товара, за который он уже заплатил, а продавцу необходимо только забрать деньги, перейдя по представленной покупателем ссылке, которая является фишинговой (создана злоумышленником для получения реквизитов банковских платежных карт и дальнейшего хищения с них денежных средств), на что и поддаются наши граждане. Перейдя по ссылке, вводят все данные своих банковских платежных карт, а затем СМС-коды подтверждения, что в конечном итоге приводит к хищении с их банковских платежных карт всей суммы денежных средств. Данный вид мошенничества особенно характерен для торговой площадки «Kufar.by».
Основным примером вишинга можно привести случай, когда клиенту одного из банков позвонил неизвестный мужчина и представился сотрудником службы безопасности. Он сообщил о том, что аккаунт интернет-банкинга взломан и сейчас происходит кража денег со счета. Чтобы заблокировать банкинг, необходимо сообщить логин и пароль, а потом для подтверждения того, что именно клиент является владельцем аккаунта, назвать «секретный код», который придет ему на телефон. Испугавшись, клиент сделал все, как просил «сотрудник банка», и после этого ему пришло оповещение о списании со счета крупной суммы денег.
Однако представленный пример не является единым способом. Злоумышленники с целью завладения реквизитами банковских платежных карта и идентифицирующим (персональным) номером разрабатывают различные сценарии о якобы хищении принадлежащих клиентам денежных средств, открытии счетов, кредитов и так далее, но во всех вариантах конечным результатом является хищение денежных средств с банковского счета, к которому могут быть прикреплены несколько банковских платежных карта, с которых и будет совершено хищение денежных средств.
Мошенники, завладев реквизитами банковского счета, банковской платежной карты, похищают всю сумму денежных средств, имеющуюся на счете, а та в некоторых случаях исчисляется в тысячах.
Что же нужно делать, чтобы не стать жертвой мошенников?
— при ответе на вызываемый номер уделите внимание, кто Вам звонит, скрыт ли номер или нет, откуда вам звонят (в современных телефонах уже установлена функция распознавания международного кода страны и под звонящим номером указана страна, откуда исходит звонок). Сотрудники банка не звонят с территории другого государства;
— всегда нужно быть начеку и помнить, что банкам нет необходимости так поступать. Потому что, во-первых, абсолютно вся информация о своих клиентах у них есть. Во-вторых, они способны без вашего участия проводить операции по блокировке переводов, счетов, аккаунтов и не только.
— в случае возникновения малейшего подозрения, что вы разговариваете не с сотрудником банка, просто завершите разговор и сами перезвоните по номеру телефона с официального сайта (номера указаны на оборотной стороне банковской платежной карты) или обратитесь в учреждение банка по месту регистрации/жительства для уточнения всех вопросов либо сообщите о попытке украсть у вас данные или деньги.
В заключение хотелось бы сказать, что в современном мире невозможно гарантированно уберечь себя от утечки персональных данных, а, следовательно, и попыток использовать их против нас (обмануть, украсть деньги или подставить), так как в тех или иных ситуациях их предоставление обязательно, а скомпрометирована может быть информационная система любой компании или организации. Но можно значительно снизить вероятность возникновения подобных ситуаций.
Достичь этого можно лишь за счет ответственного и внимательного отношения к своим данным:
— быть бдительным в отношении передачи и предоставления любых персональных данных;
— не выкладывать их в публичный доступ;
— не передавать и не отправлять по почте или в мессенджерах сведения из документов, а также их сканы и фотографии сомнительным и непроверенным сервисам, магазинам, организациям, незнакомым людям;
— постараться исключить случаи пересылки данных даже знакомому и надежному контакту, которому они необходимы, например, для оформления документов, поскольку вы не сможете проследить, будут ли ваши данные переправлены далее посторонним людям. Если альтернативного способа передать данные нет, то после использования отправителю и получателю необходимо удалить их с почтового сервера, а при пересылке сканов и фотографий документа рекомендуется ставить непосредственно на них пометку (например, водяной знак), с какой целью они пересылаются, чтобы сложнее было использовать в преступных целях.
Валерий Дрюков, старший следователь следственного отделения Горецкого районного отдела Следственного комитета Республики Беларусь