Сделать на банкомате: мошенники стали воровать деньги с Apple и Google Pay

   Мошенники стали обманывать россиян с помощью Pay-сервисов: они убеждают подвязать карту злоумышленника к смартфону клиента под видом "защищенного" средства платежа, а затем через банкомат зачислить туда деньги, якобы оказавшиеся под угрозой. Затем преступники, у которых остается на руках "пластик", выводят средства. Об этом "Известиям" рассказали в крупных банках. Сценарий стал возможен благодаря распространению АТМ с NFC-датчиками, где можно обслуживаться без карты - только с помощью смартфона.

Нашли банкомат

   Сценарий обмана, в соответствии с которым клиента убеждают перевести деньги через мобильное приложение на якобы безопасный счет, в последнее время стал менее эффективным, поэтому мошенники придумали новый вариант - с использованием таких сервисов, как Apple Pay или Google Pay, рассказал "Известиям" представитель "Тинькофф". Он пояснил: злоумышленники стали убеждать россиян привязывать карту преступника в свои мобильные приложения для платежей под предлогом того, что деньги клиента пытаются украсть и их необходимо зачислить на "безопасную" карту.
   Клиент использует банкомат с NFC-считывателем, в котором не нужно предъявлять "пластик": прикладывает телефон с установленным Pay-сервисом и пополняет "защищенную" карту, рассказали в "Тинькофф". Однако средства перечисляются мошеннику, у которого находится физическая карта. Он может вывести деньги, например снять их в другом АТМ. В "Тинькофф" отметили, что сценарий с токенизированными картами относительно новый. Количество таких кейсов растет с июня 2021 года, добавили в ВТБ.
   Сложность с выявлением таких мошенничеств состоит в том, что клиент фактически становится держателем карты, пояснили в банке. Там добавили, что благодаря антифрод-технологиям и "Тинькофф Защите" с держателями карт кредитной организации таких случаев не наблюдалось.
   О схеме мошенничества с Pay-сервисами через банкоматы знают в Газпромбанке, МКБ, "Открытии", ВТБ, ПСБ. Apple Pay - это одна из современных технологий совершения платежа через терминальное устройство с соответствующим считывателем, при этом сама схема обмана остается классической, отметил замначальника департамента защиты информации Газпромбанка Алексей Плешков. Он напомнил, что основная суть этого сценария - с помощью социальной инженерии убедить жертву совершить платеж или перевод. Подобные схемы с Pay-сервисами нетрадиционные, поэтому клиент может не подозревать, что "попался на крючок", предупреждают в МТС Банке.
   Новый сценарий обмана стал возможен благодаря распространению банкоматов с NFC-модулем, где можно обслуживаться без предъявления физической карты. Такие технологии уже внедрены в Райффайзенбанке, "Открытии", МКБ, ВТБ, "Альфе", Росбанке, ПСБ, Сбербанке, "Тинькофф", писали ранее "Известия". При работе с АТМ без "пластика" клиенты проходят предварительную регистрацию в Pay-сервисах и авторизуются с помощью пин-кода, уточнили в ВТБ.

Остановит сложность

   Самое узкое место в безопасности технологий токенизации - в том числе в мобильных платежных сервисах - это момент осуществления привязки карты, считает директор департамента информбезопасности банка "Открытие" Илья Сулоев. Он напомнил, что есть похожая схема обмана, при которой путем ввода в заблуждение клиента вынуждают привязать собственную карту на устройство злоумышленника, и далее преступник может расплачиваться ею.
   Сейчас банки и платежные системы научились бороться с этой схемой путем сверки персональных клиентских идентификаторов при привязке карты и кошелька, знают в "Ренессанс Кредите", полагая, что для борьбы с обратной мошеннической схемой можно использовать те же методы защиты. Банкам необходимо проработать механизмы анализа всех событий по привязке карт - значительную часть процесса можно автоматизировать, согласны в МКБ.
   - Впрочем, описанный механизм социальной инженерии довольно сложный в плане реализации. Он не является масштабным и массовым, так как требует от клиента значительного количества шагов. Также должно совпасть сразу несколько факторов: техническая возможность телефона "здесь и сейчас" провести привязку карты и осуществить на неё перевод, - полагает управляющий директор центра развития сотрудничества с клиентами УБРиР Александр Дарданов.
   Вряд ли эта схема получит широкое распространение в силу сложности, согласен основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян. Он пояснил, что доля использующих Apple и Google Pay в нашей стране невелика на фоне общего числа картхолдеров, а добавление "пластика" в кошелек без его фотографии - непростая процедура даже для них. Кроме того, вряд ли привязка карты к Apple и Google Pay прибавит этой схеме доверия: скорее в процессе у пользователя появятся лишние сомнения в правильности того, что он делает, считает эксперт.
   В "Лаборатории Касперского" также не ожидают массового распространения схемы, отмечая, что главная защита от таких мошенничеств - это скептическое отношение к телефонным звонкам и электронным письмам.
   В Банке России знают об этой схеме. Как правило, злоумышленники используют ее вместе с побуждением клиента оформить на себя кредит и перевести заемные деньги на "защищенные счета", сообщили там "Известиям". В ЦБ добавили, что потребителю, который столкнулся с таким обманом, рекомендуется прекратить разговор со злоумышленником.
"Известия" направили запрос в Apple и Google.

Источник: Известия https://iz.ru/1228458/natalia-ilina/sdelat-na-bankomate-moshenniki-stali-vorovat-dengi-s-apple-i-google-pay

30.09.2021