Salut, je m'appelle Oleg. Je suis responsable des risques de paiement chez Tinkoff.ru.
L'ingénierie sociale est arrivée en tête dans la manière de voler de l'argent sur les comptes et les cartes des individus. À l'aide d'astuces psychologiques, les fraudeurs trompent les clients à des fins lucratives. Le schéma classique d'une telle fraude consiste à supposer que le service de sécurité de la banque appelle la victime.
Cependant, l'arsenal ne se limite pas à la persuasion. Nous avons collecté cinq outils frauduleux populaires avec lesquels nous avons «détourné» de l'argent de vos collègues et connaissances en 2019. Pas de théorie - seulement des cas réels.
Toutes les grandes banques disposent de systèmes anti-fraude qui analysent les transactions, recherchent les anomalies et les schémas frauduleux.
Le développement d'outils et de systèmes contre les intrus qui leur sont opposés est similaire à l'évolution des armures et des obus - c'est un processus sans fin. Pour des raisons évidentes, l'article ne décrira pas quoi et comment exactement les banques peuvent calculer, mais il est important de comprendre: comme le feu, il vaut mieux prévenir la fraude.
Dans les Tinkoff Stories de l'application mobile, nous parlons régulièrement de la façon de ne pas tomber dans le piège des attaquants inventifs et de lancer également plusieurs projets thématiques à la fois, y compris la série animée.
Schéma de base
Les fraudeurs sont représentés par le service de sécurité de la banque et signalent une tentative de prélèvement de fonds sur le compte du client. Pour annuler une opération non autorisée, il leur est demandé de donner le numéro de carte complet et les codes de confirmation par SMS. En fait, à ce moment, ils entrent dans votre compte bancaire ou effectuent des transactions sur Internet - alors ils demanderont une autre période de validité et un code à trois chiffres au dos de la carte.
S'il y avait auparavant des portraits typiques de ces victimes, dont les plus courantes sont des personnes âgées, les visages sont maintenant effacés. Ni le sexe ni l'âge n'affectent désormais la capacité de résister à divers schémas d'astuces.
IVR
Le moins évident du scénario standard pour les escrocs est la lutte inévitable avec les peurs des clients, leurs questions, qui se posent souvent. Par exemple, dans le même SMS, il est écrit que personne ne devrait recevoir de code.
Cependant, la technologie n'aide pas seulement les citoyens décents. L'escroc dit que le code de confirmation ne peut être signalé à personne - cela coïncide avec le texte du SMS et inspire confiance à la victime.
Le fraudeur demande à entrer le code en mode tonalité après être passé à IVR (menu vocal interactif), qui dit dans la voix d'un annonceur standard que vous devez entrer le code en mode tonalité après le signal.
Accès à distance
L’appel d’un escroc prend généralement le client par surprise. L'appelant est présenté par un employé de banque et signale la détection de logiciels malveillants sur l'appareil du client. Pour le résoudre, vous devez fournir l'accès à l'appareil. La victime doit télécharger un programme d'accès à distance sur son smartphone - TeamViewer, Anydesk ou autre.
Après l'installation, le faux employé de la banque demande au client de nommer le code affiché dans l'application. Un fraudeur entre ce code dans un programme sur son appareil. Une fois que la victime a fourni toutes les autorisations (si nécessaire, télécharge l'addon pour un contrôle total), l'attaquant reçoit, selon le système d'exploitation et le fabricant du smartphone de la victime:
- Android (par exemple, Samsung) - accès complet à distance à l'appareil client. Un fraudeur effectue des paiements à partir d'un appareil client, car des codes de confirmation de transaction lui parviennent.
- iOS et certains appareils Android (par exemple Nexus) - accès à la vue. Un fraudeur gère les actions du client («Cliquez ici, et maintenant - ici»). En conséquence, le client transfère lui-même les fonds au fraudeur.
Usurpation de numéro d'escroquerie
Certains attaquants appellent à partir de simples sims achetés par une poignée dans le métro. Dans ce cas, la victime reçoit un appel des faux employés de la banque d’un numéro portant les préfixes typiques 926, 916 et autres.
D'autres escrocs, dans le but de convertir des appels en argent volé, se tournent vers les services de télécommunication pour remplacer un numéro de téléphone.
Techniquement, la substitution de numéros est possible en raison de l'exploitation des vulnérabilités du protocole de connexion téléphonique, telles que SIP et ISDN PRI, qui ne fournissent pas de mécanisme pour surveiller l'authenticité de l'expéditeur du message.
Un beau numéro du type 8 (495) xxx-xx-xx qui apparaît sur l'écran du smartphone émousse la vigilance de la victime.
Paiement sur un compte sécurisé
Un client d'une banque aurait reçu un appel d'un service de sécurité bancaire. Au cours de la conversation, il s'avère que le compte du client est en danger et que des fonds peuvent lui être retirés à tout moment.
Les escrocs demandent un numéro de carte et un code de vérification pour entrer dans leur compte personnel afin d'aider le client. Ayant accédé à une énorme quantité d'informations (données sur les opérations, les comptes, les soldes), les fraudeurs frottent facilement leur confiance, levant les derniers doutes («Les escrocs ne peuvent pas en savoir autant sur moi», pense le client).
Une victime formée est déclarée que le seul moyen d'économiser de l'argent est de le retirer sur un compte sécurisé. De plus, deux scénarios sont possibles.
La traduction Il est proposé au client de transférer de manière indépendante des fonds vers un compte sécurisé. Les fraudeurs à l'aide d'une pression psychologique convainquent de faire un virement sur le compte de dépôt. Drop est une personne qui établit une carte de débit ordinaire pour une somme modique, puis la transfère à des fraudeurs qui l'utilisent pour encaisser de l'argent volé.
ATM Les fraudeurs peuvent utiliser les distributeurs automatiques de billets à leurs propres fins.
Le client est informé qu'il doit de toute urgence se rendre au distributeur le plus proche et retirer tout l'argent. Pour les victimes particulièrement importantes (et les escrocs en ce moment voient combien d'argent est dans les comptes), ils peuvent même appeler un taxi.
Après avoir retiré de l'argent, la victime est invitée à déposer de l'argent sur le compte frauduleux. Ils intimident avec des amendes et des pénalités, et d'un autre côté, ils les attirent avec des promesses de compenser les inconvénients avec une compensation monétaire. En fin de compte, les escrocs prennent le dessus et le client reconstitue son compte avec de l'argent fraîchement retiré.
Transmission du numéro de la victime
Les banques ne dorment pas et, ayant révélé une transaction suspecte, sont pressées de contacter les clients.
Habituellement, la fausse sécurité repose sur leur capacité de persuasion: ils opposent le client aux vrais employés de banque et inspirent la nécessité de confirmer les transactions. Cela peut ressembler à un syur, mais telles sont les réalités.
Mais certains escrocs comptent davantage sur des solutions technologiques. Au lieu d'un traitement complexe, le client est invité à composer une séquence de caractères sur le téléphone, qui est en réalité une commande USSD pour permettre le renvoi des appels entrants de la victime vers le nombre de fraudeurs. En outre, ils demandent des données d'identification, selon lesquelles ils essaieront de se faire passer pour un client lors de l'appel de ce service de sécurité.
Conclusion
Les fraudeurs peuvent utiliser plusieurs fonds de cette liste à la fois. Par conséquent, il est important d'être sur vos gardes pour tous les appels de la banque et de ne pas vous précipiter pour faire confiance à l'appelant. Il peut menacer les amendes de la banque et séduire les bonus pour répondre à ses besoins.
Par conséquent, vous devez vous rappeler que les vrais employés de banque ne demanderont jamais:
- Dites-leur le code de confirmation de la transaction.
- Installez des programmes sur un smartphone, en particulier avec une fonctionnalité d'accès à distance.
- Exécutez les commandes USSD sur le téléphone.
- Transférez ou via un guichet automatique déposez votre argent sur des comptes de tiers.
Dans le prochain article - encore plus sur la façon de confronter les escrocs qui vous attendent littéralement à chaque étape: dans les réseaux sociaux, les investissements, sur les babillards électroniques et les sites de rencontres.
Et maintenant, vous pouvez vous familiariser avec les matériaux
www.tinkoff.ru/secure .