Olá, meu nome é Oleg. Sou responsável pelos riscos de pagamento no Tinkoff.ru.
A engenharia social se destacou nas formas de roubar dinheiro de contas e cartões de indivíduos. Com a ajuda de truques psicológicos, os fraudadores enganam os clientes com o objetivo de obter lucro. O esquema clássico de tal fraude é quando o serviço de segurança do banco supostamente liga para a vítima.
No entanto, o arsenal não se limita à persuasão. Reunimos cinco ferramentas fraudulentas populares com as quais "desviámos" o dinheiro de seus colegas e conhecidos em 2019. Sem teoria - apenas casos reais.
Todos os principais bancos possuem sistemas antifraude que analisam transações, procuram anomalias e padrões fraudulentos.
O desenvolvimento de ferramentas e sistemas intrusos que se opõem a eles é semelhante à evolução da armadura e do escudo - esse é um processo sem fim. Por razões óbvias, o artigo não descreverá o que e como exatamente os bancos podem calcular, mas é importante entender: como incêndio, é melhor evitar fraudes.
Nas histórias Tinkoff no aplicativo móvel, falamos regularmente sobre como não cair nos truques dos intrusos inventivos e também lançamos vários projetos temáticos ao mesmo tempo, incluindo a série animada.
Esquema básico
Os fraudadores são representados pelo serviço de segurança do banco e relatam uma tentativa de debitar fundos da conta do cliente. Para cancelar uma operação não autorizada, é solicitado que você forneça o número completo do cartão e os códigos de confirmação do SMS. De fato, nesse momento, eles entram na sua conta bancária ou fazem transações na Internet - depois solicitam outro período de validade e um código de três dígitos na parte de trás do cartão.
Se anteriormente havia retratos típicos dessas vítimas, as mais comuns são pessoas em idade avançada, agora os rostos estão sendo apagados. Agora, gênero e idade não afetam a capacidade de suportar diversos padrões de truques.
IVR
O menos óbvio do cenário padrão para os golpistas é a luta inevitável com os medos dos clientes, suas perguntas, que geralmente surgem. Por exemplo, no mesmo SMS está escrito que ninguém deve receber um código.
No entanto, a tecnologia não ajuda apenas cidadãos decentes. O vigarista diz que o código de confirmação não pode ser relatado a ninguém - isso coincide com o texto do SMS e inspira confiança na vítima.
O fraudador pede para inserir o código no modo de tom depois de mudar para IVR (menu interativo de voz), que diz na voz de um anunciador padrão que você precisa digitar o código no modo de tom após o sinal.
Acesso remoto
Uma chamada de golpista geralmente pega o cliente de surpresa. O chamador é apresentado por um funcionário do banco e relata a detecção de malware no dispositivo do cliente. Para resolvê-lo, você deve fornecer acesso ao dispositivo. A vítima precisa baixar um programa de acesso remoto para seu smartphone - TeamViewer, Anydesk ou outro.
Após a instalação, o falso funcionário do banco solicita ao cliente o nome do código exibido no aplicativo. Um fraudador insere esse código em um programa em seu dispositivo. Depois que a vítima fornece todas as permissões (se necessário, baixa o complemento para controle total), o atacante recebe, dependendo do SO e do fabricante do smartphone da vítima:
- Android (por exemplo, Samsung) - acesso remoto completo ao dispositivo cliente. Um fraudador faz pagamentos a partir de um dispositivo cliente, pois os códigos de confirmação de transação chegam até ele.
- iOS e alguns dispositivos Android (por exemplo, Nexus) - acesso para visualização. Um fraudador gerencia as ações do cliente ("Clique aqui e agora - aqui"). Como resultado, o cliente transfere os fundos para o próprio fraudador.
Falsificação de número de fraude
Alguns atacantes ligam de sims simples comprados por um punhado do metrô. Nesse caso, a vítima recebe uma ligação dos funcionários falsos do banco de um número com prefixos típicos 926, 916 e outros.
Outros golpistas, em busca da conversão de chamadas em dinheiro roubado, recorrem aos serviços de telecomunicações para substituir um número de telefone.
Tecnicamente, a substituição de número é possível devido à exploração de vulnerabilidades do protocolo de conexão telefônica, como SIP e PRI ISDN, que não fornecem um mecanismo para monitorar a autenticidade do remetente da mensagem.
Um número bonito do tipo 8 (495) xxx-xx-xx que aparece na tela do smartphone diminui o estado de alerta da vítima.
Retirada de dinheiro em uma conta segura
Um cliente do banco recebe uma chamada supostamente de um serviço de segurança bancária. Durante a conversa, a conta do cliente está em perigo e os fundos podem ser retirados a qualquer momento.
Os golpistas pedem um número de cartão e um código de verificação para inserir sua conta pessoal para ajudar o cliente. Tendo obtido acesso a uma enorme quantidade de informações (dados sobre operações, contas, saldos), os fraudadores facilmente esfriam sua confiança, removendo as últimas dúvidas (“Os golpistas não sabem muito sobre mim”, o cliente pensa).
Uma vítima treinada é declarada que a única maneira de economizar dinheiro é retirá-lo para uma conta segura. Além disso, dois cenários são possíveis.
Tradução É oferecido ao cliente a transferência independente de fundos para uma conta segura. Os fraudadores com a ajuda da pressão psicológica convencem a fazer uma transferência para a conta suspensa. Drop é uma pessoa que elabora um cartão de débito regular por uma pequena taxa e depois o transfere para os golpistas que o usam para sacar dinheiro roubado.
ATM Os fraudadores podem usar caixas eletrônicos para receber seus próprios propósitos.
O cliente é informado de que precisa urgentemente ir ao caixa eletrônico mais próximo e sacar todo o dinheiro. Para vítimas especialmente grandes (e scammers, neste momento, ver quanto dinheiro há nas contas) elas podem até chamar um táxi.
Depois de sacar dinheiro, a vítima é solicitada a depositar dinheiro na conta fraudulenta. Eles se intimidam com multas e multas e, por outro lado, os seduzem com promessas de compensar inconvenientes com compensação monetária. No final, os golpistas ganham vantagem e o cliente reabastece sua conta com dinheiro sacado recentemente.
Encaminhamento no número da vítima
Os bancos não estão dormindo e, tendo revelado uma transação suspeita, têm pressa para entrar em contato com os clientes.
Normalmente, a segurança falsa depende de sua habilidade de persuasão: eles colocam o cliente contra funcionários reais do banco e inspiram a necessidade de confirmar transações. Pode parecer um syur, mas essa é a realidade.
Mas alguns golpistas confiam mais em soluções tecnológicas. Em vez de um processamento complexo, o cliente é solicitado a discar uma sequência de caracteres no telefone, que na verdade é um comando USSD para permitir o encaminhamento de chamadas recebidas para o número do fraudador. Além disso, eles solicitam dados de identificação, de acordo com os quais tentam se passar por um cliente ao chamar este serviço de segurança.
Conclusão
Os fraudadores podem usar vários fundos dessa lista de uma só vez. Portanto, é importante estar atento a todas as chamadas do banco e não se apressar em confiar no chamador. Ele pode ameaçar multas do banco e seduzir bônus por cumprir seus requisitos.
Portanto, você deve se lembrar que os funcionários bancários reais nunca perguntarão:
- Diga a eles o código de confirmação da transação.
- Instale programas em um smartphone, especialmente com a funcionalidade de acesso remoto.
- Execute comandos USSD no telefone.
- Transferir ou através de um caixa eletrônico deposita seu dinheiro em contas de terceiros.
No próximo artigo - ainda mais sobre como enfrentar os golpistas que estão esperando por você literalmente a cada passo: em redes sociais, investimentos, em quadros de mensagens e sites de namoro.
E agora você pode se familiarizar com os materiais
www.tinkoff.ru/secure .