Hai, nama saya Oleg. Saya bertanggung jawab atas risiko pembayaran di Tinkoff.ru.
Rekayasa sosial muncul di atas dengan cara mencuri uang dari rekening dan kartu individu. Dengan bantuan trik psikologis, penipu menyesatkan pelanggan untuk tujuan keuntungan. Skema klasik penipuan semacam itu adalah ketika layanan keamanan bank seharusnya memanggil korban.
Namun, arsenal tidak terbatas pada persuasi. Kami telah mengumpulkan lima alat penipuan populer yang dengannya kami "mengalihkan" uang dari kolega dan kenalan Anda di 2019. Tidak ada teori - hanya kasus nyata.
Semua bank besar memiliki sistem anti-penipuan yang menganalisis transaksi, mencari anomali, dan pola penipuan.
Pengembangan alat pengganggu dan sistem yang menentangnya mirip dengan evolusi armor dan shell - ini adalah proses tanpa akhir. Untuk alasan yang jelas, artikel tidak akan menjelaskan apa dan bagaimana tepatnya bank dapat menghitung, tetapi penting untuk dipahami: seperti kebakaran, lebih baik untuk mencegah penipuan.
Dalam Tinkoff Stories dalam aplikasi seluler, kami secara teratur berbicara tentang bagaimana agar tidak jatuh pada tipuan pengganggu inventif, dan juga meluncurkan beberapa proyek tematis sekaligus, termasuk seri animasi.
Skema dasar
Penipu diwakili oleh layanan keamanan bank dan melaporkan upaya untuk mendebit dana dari akun klien. Untuk membatalkan operasi yang tidak sah, mereka diminta untuk memberikan nomor kartu lengkap dan kode konfirmasi dari SMS. Bahkan, pada saat itu mereka baik memasukkan rekening bank Anda atau melakukan transaksi di Internet - maka mereka akan meminta periode validitas lain dan kode tiga digit di belakang kartu.
Jika sebelumnya ada potret khas korban seperti itu, yang paling umum adalah orang-orang usia lanjut, sekarang wajah sedang dihapus. Baik gender maupun usia sekarang tidak memengaruhi kemampuan untuk menahan beragam pola trik.
IVR
Yang jelas minus dari skenario standar untuk scammers adalah perjuangan yang tak terelakkan dengan ketakutan pelanggan, pertanyaan mereka, yang sering muncul. Misalnya, dalam SMS yang sama tertulis bahwa tidak ada yang harus diberi kode.
Namun, teknologi tidak hanya membantu warga negara yang layak. Penipu mengatakan bahwa kode konfirmasi tidak dapat dilaporkan kepada siapa pun - ini bertepatan dengan teks SMS dan menginspirasi kepercayaan pada korban.
Penipu meminta untuk memasukkan kode dalam mode nada setelah beralih ke IVR (menu suara interaktif), yang mengatakan dalam penyiar suara standar bahwa Anda harus memasukkan kode dalam mode nada setelah sinyal.
Akses jarak jauh
Panggilan scammer biasanya mengejutkan klien. Penelepon diperkenalkan oleh karyawan bank dan melaporkan deteksi malware di perangkat klien. Untuk mengatasinya, Anda harus memberikan akses ke perangkat. Korban perlu mengunduh program akses jarak jauh ke ponsel cerdasnya - TeamViewer, Anydesk, atau lainnya.
Setelah instalasi, karyawan palsu bank meminta klien untuk memberi nama kode yang ditampilkan dalam aplikasi. Penipu memasukkan kode ini ke program di perangkatnya. Setelah korban memberikan semua izin (jika perlu, unduh addon untuk kontrol penuh), penyerang menerima, tergantung pada OS dan produsen ponsel cerdas korban:
- Android (misalnya, Samsung) - akses jarak jauh penuh ke perangkat klien. Penipu melakukan pembayaran dari perangkat klien, karena kode konfirmasi transaksi datang kepadanya.
- iOS dan beberapa perangkat Android (mis. Nexus) - akses untuk melihat. Penipu mengelola tindakan klien ("Klik di sini, dan sekarang - di sini"). Akibatnya, klien mentransfer sendiri dana kepada penipu.
Spoofing nomor penipuan
Beberapa penyerang memanggil dari sim sederhana yang dibeli oleh segelintir dari kereta bawah tanah. Dalam hal ini, korban menerima panggilan dari karyawan palsu bank dari nomor dengan awalan khas 926, 916 dan lainnya.
Scammers lain, dalam mengejar konversi panggilan menjadi uang curian, beralih ke layanan telekomunikasi untuk mengganti nomor telepon.
Secara teknis, penggantian nomor dimungkinkan karena eksploitasi kerentanan protokol koneksi telepon, seperti SIP dan ISDN PRI, yang tidak menyediakan mekanisme untuk memantau keaslian pengirim pesan.
Sejumlah indah tipe 8 (495) xxx-xx-xx yang muncul di layar ponsel pintar mengurangi kewaspadaan korban.
Tunai ke akun yang aman
Pelanggan bank menerima panggilan yang diduga dari layanan keamanan bank. Selama percakapan, ternyata akun klien dalam bahaya dan dana dapat ditarik darinya kapan saja.
Scammers meminta nomor kartu dan kode verifikasi untuk memasukkan akun pribadi mereka untuk membantu klien. Setelah mendapatkan akses ke sejumlah besar informasi (data tentang operasi, akun, saldo), penipu dengan mudah menggosok kepercayaan mereka, menghilangkan keraguan terakhir ("Scammers tidak bisa tahu banyak tentang saya," pikir klien).
Seorang korban yang terlatih dinyatakan bahwa satu-satunya cara untuk menghemat uang adalah dengan menariknya ke rekening yang aman. Lebih lanjut, dua skenario dimungkinkan.
Terjemahan Klien ditawarkan untuk secara mandiri mentransfer dana ke akun yang aman. Penipu dengan bantuan tekanan psikologis meyakinkan untuk melakukan transfer ke akun drop. Drop adalah orang yang mengambil kartu debit reguler dengan sedikit biaya, kemudian mentransfernya ke scammer yang menggunakannya untuk mencairkan uang curian.
ATM Penipu dapat menggunakan ATM tunai untuk keperluan mereka sendiri.
Klien diberitahu bahwa mereka harus segera pergi ke ATM terdekat dan menarik semua uang. Untuk korban besar (dan scammers pada saat ini melihat berapa banyak uang di rekening) mereka bahkan dapat memanggil taksi.
Setelah menarik uang, korban diminta untuk menyetor uang tunai ke rekening penipuan. Mereka mengintimidasi dengan denda dan hukuman, dan di sisi lain, mereka memikat mereka dengan janji untuk mengkompensasi ketidaknyamanan dengan kompensasi moneter. Pada akhirnya, scammers mendapatkan keunggulan, dan klien mengisi kembali akun mereka dengan uang tunai yang baru ditarik.
Meneruskan nomor korban
Bank tidak tertidur dan, setelah mengungkapkan transaksi yang mencurigakan, sedang terburu-buru untuk menghubungi pelanggan.
Biasanya keamanan palsu bergantung pada keterampilan persuasi mereka: mereka mengatur klien terhadap karyawan bank nyata dan menginspirasi kebutuhan untuk mengkonfirmasi transaksi. Ini mungkin terlihat seperti syur, tetapi itulah realitasnya.
Tetapi beberapa scammers lebih mengandalkan solusi teknologi. Alih-alih pemrosesan yang kompleks, klien diminta untuk memanggil urutan karakter di telepon, yang pada kenyataannya adalah perintah USSD untuk memungkinkan penerusan panggilan masuk korban ke sejumlah penipu. Selain itu, mereka meminta data identifikasi, yang menurutnya mereka akan mencoba menyamar sebagai klien ketika memanggil layanan keamanan ini.
Kesimpulan
Penipu dapat menggunakan beberapa dana dari daftar ini sekaligus. Karena itu, penting untuk berjaga-jaga jika ada panggilan dari bank dan tidak terburu-buru mempercayai penelepon. Dia dapat mengancam denda dari bank dan merayu bonus karena memenuhi persyaratannya.
Karena itu, Anda harus ingat bahwa karyawan bank nyata tidak akan pernah bertanya:
- Beri tahu mereka kode konfirmasi transaksi.
- Instal program pada smartphone, terutama dengan fungsi akses jarak jauh.
- Jalankan perintah USSD di telepon.
- Transfer atau melalui setoran ATM uang Anda ke rekening pihak ketiga.
Dalam artikel berikutnya - bahkan lebih banyak lagi tentang bagaimana menghadapi scammers yang sedang menunggu Anda secara harfiah di setiap langkah: di jejaring sosial, investasi, di papan pesan dan situs kencan.
Dan sekarang Anda dapat membiasakan diri dengan materi
www.tinkoff.ru/secure .