/img/tv1.svg
RU KZ
Лжебанкиры и простачки: почему в Казахстане растет оборот рынка мошеннических операций

Лжебанкиры и простачки: почему в Казахстане растет оборот рынка мошеннических операций

О том, как легко украсть деньги с банковских счетов казахстанцев и почему банки не обязаны защищать своих клиентов от мошенников, но вынуждены это делать, – в материале inbusiness.kz.

08:00 19 Декабрь 2019 11737

Лжебанкиры и простачки: почему в Казахстане растет оборот рынка мошеннических операций

Автор:

Катерина Клеменкова

История, связанная с кражей 200 млн тенге с банковских счетов казахстанцев кибермошенниками из России, не потрясла гигантов банковской сферы. По большому счету, это не самое крупное хакерское хищение в истории человечества. Как сообщили в МВД, по фактам краж расследуется 42 уголовных дела. В пересчете на одного – менее пяти миллионов тенге получается. Совокупно достаточно внушительная сумма, в среднем эквивалентна приличным накоплениям на банковском депозите. Впрочем, скорее всего, дела обстоят несколько хуже. И озвученная замминистра внутренних дел Маратом Кожаевым на пленарном заседании мажилиса сумма в 200 млн тенге – всего лишь часть киберворовского размаха.

Социальная инженерия

По данным Нацбанка Казахстана, ежеминутно через национальные платежные системы проходит 5,4 млрд тенге, а в день – 3,3 трлн. Сколько из них попадают под определение «мошеннические» – таких данных нет. Или есть, но скрыты в отчетностях правоохранительных органов.

KPMG (аудиторская фирма, входящая в «большую четверку») в результате рутинного исследования внезапно обнаружила, что каждый второй банк страдает от растущих потерь из-за мошенников. Более 60% респондентов из числа банковских служащих утверждают, что так или иначе, но с мошенничеством уже сталкивались. По данным этого международного исследования, посвященного банковским рискам, социальная инженерия вошла в топ-5 вызовов, стоящих перед банками.

Между тем от турецких кибермошенников уже пострадало более двух тысяч казахстанцев. Аферисты создают клоны сайтов Народного банка и казахстанского филиала Сбербанка России и завлекают доверчивых граждан высокими бонусами, разместив рекламу в соцсетях Facebook и Instagram. Ради бонусов люди переходят по ссылке и авторизуются в личном кабинете на фейковом сайте-клоне. Передав данные по карте злоумышленникам, вместо дополнительных бонусов казахстанцы лишаются всех денег на счете.

По словам экспертов IT-индустрии, турецкие грабители, специализирующиеся на кражах со счетов и депозитов, – просто классика киберворовского жанра. Такой вид мошенничества на языке профессионалов называется «фишинг» (фишинг – разновидность социальной инженерии, основанный на человеческой беспечности, доверчивости и незнании основ сетевой безопасности. – Прим.).

«Зачастую люди сами проявляют неосторожность, оставляя данные своей карты на сомнительных сайтах, отключая уведомления об операциях, снимая деньги в непроверенном банкомате, отдавая карту в руки какому-то официанту, который ее куда-то потом уносит», – объясняет причины участившихся краж с банковских карт Кирилл Сарсенов, руководитель направления противодействия транзакционному мошенничеству SAS Россия/СНГ.

Классика киберворовского жанра

«К сожалению, сегодня самым слабым звеном остается человек, и злоумышленники активно этим пользуются, – говорит Евгений Питолин, управляющий директор «Лаборатории Касперского» в Казахстане и Центральной Азии. – К целевой атаке на финансовые учреждения злоумышленники готовятся заранее, изучают потенциальных жертв в социальных сетях, собирают информацию из открытого доступа, после этого пишут именное фишинговое письмо. В случае массовых атак у злоумышленников нет всей информации, но они легко узнают ее у самих пользователей с помощью социальной инженерии. В переписках с людьми, на различных сервисах объявлений граждане сами добровольно раскрывают данные своих карт, остальное – дело мошенника. Кстати, за последний год Казахстан настигло несколько крупных утечек баз данных, и достаточно просто обзвонить людей из базы и проверить их на наличие одной-двух карт ведущих банков – вероятность попадания в точку крайне высока». 

Обычно для «развода» выбирают людей, которые в соцсетях оставляют много информации о себе: где были, что купили, сколько потратили и прочие подробности, еще лучше, если для привлечения внимания пост иллюстрируется фотографией чека или скриншотом выписки по карте…

«Один из самых распространенных способов мошенничества сегодня – это звонок от якобы службы поддержки или безопасности банка. Говорящий очень настойчиво и убедительно просит сообщить информацию, необходимую для получения доступа к его счетам в онлайн-банке. Причем, если злоумышленник обладает какой-то личной информацией о пользователе, то такой разговор может выглядеть очень достоверным, – рассказывает Питолин. – Остаток на счете, выписка с историей операций, последние покупки – такая информация может очень многих убедить, что речь идет о реальном звонке из банка, соответственно, много людей могут потерять деньги, если у мошенников будет к ней доступ. Для осуществления денежного перевода злоумышленникам обычно необходимо выведать одноразовые пароли, которые банк направит на номер телефона владельца карты».

«Также очень распространенная схема – это подложный сайт системы интернет-банкинга. Для таких сайтов мошенники могут даже запустить рекламу в соцсетях, чтобы привести трафик. Или еще бесконтактные переводы через банкомат, когда злоумышленник начинает транзакцию без использования карты, вводит сумму, но не завершает операцию, а следующий человек прикладывает свою карту, сам не зная, переводит деньги на телефон, – продолжает Сарсенов. – В этом случае, мы советуем внимательно смотреть, что пишет устройство. Возможно, сначала придется отменить чужую незаконченную транзакцию, а уже потом вставлять или прикладывать свою карту».

Как защититься? Специалисты говорят, самое главное – не поддаваться панике и помнить, что социальная инженерия работает только потому, что выглядит и звучит очень реалистично.

«Злоумышленники часто звонят рано утром или поздно вечером, чтобы звонок был неожиданным. Если звонит кто-то незнакомый по поводу вашего банковского счета и очень настойчиво что-то требует, надо ставить этот звонок под сомнение. Самое главное – никогда и никому не сообщайте CVV и полученный в SMS код, а также другую информацию о карте, даже если это реальный сотрудник банка. Важно также донести до максимально широких кругов пользователей, как выглядит мошенничество, в том числе телефонное, и как ему противостоять», – говорит Питолин.

Почему банк меня не защитит?

На самом деле банк не обязан стоять на страже беспечности клиентов. Банковская карта для того и предназначена, чтобы максимально упростить процедуры оплаты, обналичивания, переводов. При этом банк никак не контролирует все то, что происходит с картой.

Однако репутационные риски для банка не пустой звук. Ограбленные клиенты, как правило, начинают обвинять банк в том, что не заморозил вовремя карту, не приостановил операцию, которая прошла два-три дня назад, не запустил процедуру chargeback (возвратный платеж), не провел полное и квалифицированное расследование.

Поэтому банки вынуждены тратить силы на то, чтобы обеспечить безопасность денег своих клиентов.

«Начиналось все когда-то очень просто, когда карты только появились, для того чтобы заплатить в интернет-магазине, достаточно было сообщить номер карты, и только на этом основании магазин снимал деньги, – рассказывает Константин Пак, директор центра финансовых технологий и инноваций АФК. – Потом стало понятно, что номер карты не самый секретный реквизит. Следующим шагом платежных систем был придуман секретный номер, который называется CVC/CVV. Это дополнительные цифры которые не так явно напечатаны на карте и совместно с номером карты используются для подтверждения платежа. Когда стало понятно, что и эти цифры, в принципе, тоже можно украсть, как дополнительный уровень безопасности для кредитных и дебетовых карт придумали то, что называется 3D-Secure. Это некая комбинация символов, которая хранится отдельно в базе данных, которая не напечатана на карточке и вводится не на сайте интернет-магазина, а на сайте банка в момент транзакции. Когда транзакция пошла, система перенаправляет на сайт банка, и там дальше идет 3D-Secure. Иногда 3D-Secure замещается или сопровождается одноразовым кодом в SMS – так называемая двухфакторная аутентификация, когда часть данных поступает по одному каналу и часть – по второму. Есть и другие технологии, к примеру, система токенизации, когда для платежа используются токены – виртуальные представления карты».

Некоторые банки идут еще дальше и предлагают за отдельную плату страховать пластиковые карты. В России эта услуга набирает популярность.

«В 2018 году продукт «Защита банковских карт» СК «Сбербанк страхование» приобрели более пяти миллионов человек, сборы по страхованию карт выросли на 30%, а по итогам 2019 года прогнозируется рост более чем на 20%», – цитирует «РГ» Олесю Дунаеву, руководителя управления разработки продуктов и маркетинга СК «Сбербанк страхование».

Однако, по словам Кирилла Сарсенова, все зависит от законодательства каждой отдельной страны.

«Но даже если государство изначально настаивает на возмещении ущерба, человеку предстоит доказать, что со своей стороны сделал все, что мог, и не раскрывал данные карты по неосторожности», – говорит Сарсенов.

То есть даже по застрахованной карте банк может отказать в компенсации украденных средств, если «было нарушение правил пользования застрахованной банковской картой, установленных банком, в том числе вследствие сообщения ПИН-кода карты третьим лицам».

Катерина Клеменкова

Фейковые аккаунты Тимура и Динары Кулибаевых появились в соцсетях

Анонимы публикуют общедоступные фотографии, подкрепленные «глубокомысленными» постами и мошенническими розыгрышами.

29 Июль 2020 18:22 2231

В соцсетях Facebook и Instagram появились лжеаккаунты главы НПП «Атамекен» и крупного предпринимателя Тимура Кулибаева, а также его супруги Динары Кулибаевой. Анонимный пользователь публикует от его имени общедоступные фотографии с незамысловатыми постами, всевозможные розыгрыши, а также якобы раздает денежные средства, вводя пользователей в заблуждение, пишет inbusiness.kz.

В частности, каждый пост зачастую подкрепляется некими рассуждениями, дабы создать иллюзию подлинности аккаунта. Добавим, что сейчас в соцсетях таким образом активно работают провокаторы и мошенники, создающие фальшивые аккаунты, которые организуют всевозможные розыгрыши, раздачу призов и другой контент дезинформирующего характера.

Аналогичные фейк-аккаунты создаются на первых лиц и других крупных деятелей государства и бизнеса, в связи с чем inbusiness.kz призывает пользователей быть более осмотрительными и не доверять непроверенной информации, включая ту, что размещается на подобных страницах в соцсетях.

Саян Абаев


Подпишитесь на наш канал Telegram!

Как распознать криптомошенника?

Советы эксперта.

12 Июнь 2020 08:13 3694

Каждый желающий сегодня может за несколько минут создать свою новую цифровую валюту. Такая свобода и децентрализация имеют свои минусы, предупреждают эксперты.

С каждым годом технический прогресс удивляет нас новыми открытиями, призванными облегчить нашу с вами жизнь. Но вместе с ними растут и видоизменяются технические ухищрения разного рода мошенников. Так, на днях во время онлайн-встречи с населением министр внутренних дел Казахстана Ерлан Тургумбаев сообщил: более миллиарда тенге (174 миллиона рублей) ущерба успела нанести гражданам группа лиц, организовавшая в Интернете проведение финансовых операций с лжекриптовалютой. Подозреваемые в афере были задержаны в Алматы.

«Распространение в режиме изоляции онлайн-покупок способствовало кратному увеличению роста интернет-мошенничеств. Буквально недавно в Алматы была разоблачена преступная группа, организовавшая интернет-махинации. Они ввели в обращение лжекриптовалюту и завладели деньгами в сумме более 1 млрд тенге», – рассказал тогда г-н Тургумбаев.

По предварительным данным, потерпевших по этому делу более 800 человек.

Корреспондент inbusiness.kz обратился к специалистам в этой области, чтобы понять, как не попасться на удочку к подобного рода «продвинутым» мошенникам. На наши вопросы отвечал Дмитрий Волков, технический директор криптобиржи CEX.IO.

Господин Волков, министр внутренних дел призвал казахстанцев быть более бдительными при совершении операций с интернет-платежами. Он предупредил, что вначале необходимо убедиться в том, что все эти системы и рекламы являются реальными. Как избежать обмана?

Для начала поясню, что это такое криптовалюта. Это современный децентрализованный способ хранения активов, что делает его свободным от вмешательства банков и властей. Счет в криптовалюте нельзя заблокировать, а транзакцию нельзя отменить. Но криптовалюта – это просто набор формул и вычислений без центрального хранилища информации.

Сегодня каждый желающий может за несколько минут создать свою новую цифровую валюту. Такая свобода и децентрализация имеют свои минусы. В таких валютах нет центрального органа, который гарантирует ценность валюты, а ценность конкретной криптовалюты определяется только верой людей в ее ценность.

Вы можете за несколько минут создать у себя на компьютере свою криптовалюту. Она ничем принципиально не будет отличаться, например, от биткоина, за исключением того, что в ценность вашей криптовалюты никто не будет верить, кроме вас самих.

Ну, а теперь о самих мошенниках давайте поговорим…

Мошенники легко создают новую криптовалюту и путем обмана заставляют людей поверить в ее ценность. Они могут заставить вас поверить в ценность своей криптовалюты, заявив, что она называется так же или похожим образом, как и другая популярная криптовалюта.

Например, мошенники, пользуясь хайпом, создавали свою цифровую валюту и заявляли, что она называется Gram, а многие доверчивые покупатели верили в это.

Потом оказывалось, что купленная ими криптовалюта никакого отношения к Gram не имеет. Иными словами, мошенники продавали поддельную криптовалюту.

Если вы хотите купить конкретный цифровой актив, то до покупки убедитесь в его подлинности. Это можно сделать на официальном сайте, если он существует, либо на популярных доверенных сайтах, где описаны критерии настоящей криптовалюты и официальные кошельки.

Мошенники могут создать новую криптовалюту и заявить, что она даст вам в будущем какие-то права. Например, держатель этой криптовалюты в перспективе якобы получит акции какой-то компании или криптовалюту можно обменять на реальный актив (золото, авиабилет, недвижимость), и т. д. Тут важно помнить, что это право вам обеспечивает не сама цифровая валюта, а та компания, которая вам это обещание дает, а она может и не выполнить его по разным причинам.

Компания мошенников просто исчезает с деньгами, оставляя пользователей с криптовалютой, которая уже ничего не стоит. Чтобы избежать такого мошенничества, критически оценивайте компанию и ее обещания, проверяйте, где она зарегистрирована и кем регулируется, не выглядит ли обещание компании нереалистичным, что будет, если компания обанкротится.

В таком случае где получать достоверную информацию в Казахстане?

Проверить информацию о криптовалюте или блокчейн-проекте в Казахстане можно несколькими способами. Во-первых, в республике существует несколько блокчейн-ассоциаций – мы знаем как минимум пять. Ассоциации блокчейн-проектов аккумулируют игроков рынка, при выборе которых придерживаются определенных правил и условий.

Как правило, ассоциации могут провести экспертизу и рассказать про проект, изучив просто веб-сайт проекта, так как обладают уже сильной экспертизой. Не стесняйтесь задавать простые вопросы по форме обратной связи или телефону.

Во-вторых, в Казахстане в мае 2019 года было создано специальное агентство по регулированию и развитию финансовых рынков, в компетенцию которого как раз и входят надзорные функции за происходящим в индустрии. Если вас насторожило, что кто-то просит или настаивает о покупке сомнительного для вас актива, вы смело можете обращаться в агентство, где работают с обращениями физических лиц.

Это первые и минимальные действия, которые вы можете сделать для проверки того или иного проекта.

Кульпаш Конырова