Hola, me llamo Oleg. Soy responsable de los riesgos de pago en Tinkoff.ru.
La ingeniería social ocupó el primer lugar en la forma de robar dinero de cuentas y tarjetas de personas. Con la ayuda de trucos psicológicos, los estafadores engañan a los clientes con fines de lucro. El esquema clásico de tal fraude es cuando el servicio de seguridad del banco supuestamente llama a la víctima.
Sin embargo, el arsenal no se limita a la persuasión. Hemos reunido cinco herramientas fraudulentas populares con las que "desviamos" dinero de sus colegas y conocidos en 2019. Sin teoría, solo casos reales.
Todos los principales bancos tienen sistemas antifraude que analizan las transacciones, buscan anomalías y patrones fraudulentos.
El desarrollo de herramientas de intrusos y los sistemas que se les oponen es similar a la evolución de armaduras y proyectiles: este es un proceso interminable. Por razones obvias, el artículo no describirá qué y cómo pueden calcular exactamente los bancos, pero es importante entenderlo: como el fuego, es mejor prevenir el fraude.
En Tinkoff Stories en la aplicación móvil, hablamos regularmente sobre cómo no caer en los trucos de los intrusos inventivos, y también lanzamos varios proyectos temáticos a la vez, incluida la serie animada.
Esquema básico
Los estafadores están representados por el servicio de seguridad del banco e informan un intento de debitar fondos de la cuenta del cliente. Para cancelar una operación no autorizada, se les pide que den el número completo de la tarjeta y los códigos de confirmación de SMS. De hecho, en ese momento ingresan a su cuenta bancaria o realizan transacciones en Internet, luego solicitarán otro período de validez y un código de tres dígitos en el reverso de la tarjeta.
Si antes había retratos típicos de tales víctimas, las más comunes son personas de edad avanzada, ahora se están borrando las caras. Ni el género ni la edad afectan ahora la capacidad de soportar diversos patrones de trucos.
IVR
La desventaja obvia del escenario estándar para los estafadores es la lucha inevitable con los temores de los clientes, sus preguntas, que a menudo surgen. Por ejemplo, en el mismo SMS se escribe que a nadie se le debe dar un código.
Sin embargo, la tecnología no solo ayuda a los ciudadanos decentes. El estafador dice que el código de confirmación no se puede informar a nadie, esto coincide con el texto del SMS e inspira confianza en la víctima.
El estafador solicita ingresar el código en modo de tono después de cambiar a IVR (menú de voz interactivo), que dice en un anunciador de voz estándar que debe ingresar el código en modo de tono después de la señal.
Acceso remoto
La llamada de un estafador generalmente toma al cliente por sorpresa. La persona que llama es presentada por un empleado del banco e informa la detección de malware en el dispositivo del cliente. Para resolverlo, debe proporcionar acceso al dispositivo. La víctima necesita descargar un programa de acceso remoto a su teléfono inteligente: TeamViewer, Anydesk u otro.
Después de la instalación, el empleado falso del banco le pide al cliente que nombre el código que se muestra en la aplicación. Un estafador ingresa este código en un programa en su dispositivo. Después de que la víctima proporciona todos los permisos (si es necesario, descarga el complemento para un control total), el atacante recibe, según el sistema operativo y el fabricante de teléfonos inteligentes de la víctima:
- Android (por ejemplo, Samsung): acceso remoto completo al dispositivo cliente. Un estafador realiza pagos desde un dispositivo cliente, ya que los códigos de confirmación de transacción le llegan.
- iOS y algunos dispositivos Android (por ejemplo, Nexus): acceso para ver. Un estafador gestiona las acciones del cliente ("Haga clic aquí y ahora, aquí"). Como resultado, el cliente transfiere los fondos al estafador.
Estafa número de suplantación de identidad
Algunos atacantes llaman desde simples sims comprados por un puñado del metro. En este caso, la víctima recibe una llamada de los empleados falsos del banco de un número con los prefijos típicos 926, 916 y otros.
Otros estafadores, en busca de convertir las llamadas en dinero robado, recurren a los servicios de telecomunicaciones para sustituir un número de teléfono.
Técnicamente, la sustitución de números es posible debido a la explotación de las vulnerabilidades del protocolo de conexión telefónica, como SIP e ISDN PRI, que no proporcionan un mecanismo para monitorear la autenticidad del remitente del mensaje.
Un hermoso número del tipo 8 (495) xxx-xx-xx que aparece en la pantalla del teléfono inteligente atenúa el estado de alerta de la víctima.
Efectivo en una cuenta segura
Un cliente del banco recibe una llamada supuestamente de un servicio de seguridad bancaria. Durante la conversación, resulta que la cuenta del cliente está en peligro y se le pueden retirar fondos en cualquier momento.
Los estafadores solicitan un número de tarjeta y un código de verificación para ingresar a su cuenta personal para ayudar al cliente. Habiendo obtenido acceso a una gran cantidad de información (datos sobre operaciones, cuentas, saldos), los estafadores frotan fácilmente su confianza, eliminando las últimas dudas ("Los estafadores no pueden saber tanto sobre mí", piensa el cliente).
Una víctima capacitada se declara que la única forma de ahorrar dinero es retirarlo a una cuenta segura. Además, dos escenarios son posibles.
Traducción Se le ofrece al cliente transferir fondos de forma independiente a una cuenta segura. Los estafadores con la ayuda de la presión psicológica convencen para hacer una transferencia a la cuenta de drop. Drop es una persona que saca una tarjeta de débito regular por una pequeña tarifa, luego la transfiere a los estafadores que la usan para retirar dinero robado.
Cajero automático Los estafadores pueden usar cajeros automáticos para sus propios fines.
Se informa al cliente que necesita ir urgentemente al cajero automático más cercano y retirar todo el dinero. Para las víctimas especialmente grandes (y los estafadores en este momento ven cuánto dinero hay en las cuentas), incluso pueden llamar a un taxi.
Después de retirar el dinero, se le pide a la víctima que deposite efectivo en la cuenta de estafa. Los intimidan con multas y sanciones y, por otro lado, los atraen con promesas de compensar los inconvenientes con una compensación monetaria. Al final, los estafadores ganan ventaja y el cliente repone su cuenta con efectivo recién retirado.
Reenviar el número de la víctima
Los bancos no están dormidos y, tras revelar una transacción sospechosa, tienen prisa por contactar a los clientes.
Por lo general, la falsa seguridad se basa en su habilidad de persuasión: ponen al cliente en contra de empleados bancarios reales e inspiran la necesidad de confirmar las transacciones. Puede parecer un syur, pero tales son las realidades.
Pero algunos estafadores confían más en soluciones tecnológicas. En lugar de un procesamiento complejo, se le pide al cliente que marque una secuencia de caracteres en el teléfono, que en realidad es un comando USSD para permitir el desvío de llamadas entrantes al número de estafadores. Además, solicitan datos de identificación, según los cuales intentarán hacerse pasar por un cliente cuando llamen a este servicio de seguridad.
Conclusión
Los estafadores pueden usar varios fondos de esta lista a la vez. Por lo tanto, es importante estar atento a cualquier llamada del banco y no apresurarse a confiar en la persona que llama. Puede amenazar con multas del banco y seducir bonos por cumplir con sus requisitos.
Por lo tanto, debe recordar que los empleados bancarios reales nunca preguntarán:
- Dígales el código de confirmación de la transacción.
- Instale programas en un teléfono inteligente, especialmente con la funcionalidad de acceso remoto.
- Ejecute comandos USSD en el teléfono.
- Transfiera a través de un cajero automático o deposite su dinero en cuentas de terceros.
En el siguiente artículo, aún más sobre cómo enfrentar a los estafadores que te están esperando literalmente en cada paso: en las redes sociales, las inversiones, los tableros de mensajes y los sitios de citas.
Y ahora puede familiarizarse con los materiales
www.tinkoff.ru/secure .