嗨,我叫奥列格。 我在Tinkoff.ru承担付款风险。
社会工程在从个人帐户和卡中窃取金钱的方式中脱颖而出。 在心理技巧的帮助下,欺诈者以牟利为目的误导客户。 此类欺诈的经典方案是银行的安全部门据称要呼叫受害者。
但是,武库不限于说服力。 我们已收集了五种流行的欺诈工具,并在2019年使用这些工具从您的同事和熟人中``挪用了''资金。 没有理论-只有真实案例。
所有主要银行都有反欺诈系统,可以分析交易,查找异常情况和欺诈模式。
入侵者工具和与之对抗的系统的开发类似于装甲和炮弹的演变-这是一个无休止的过程。 出于明显的原因,本文将不会描述银行可以计算出什么以及如何进行精确计算,但重要的是要理解:像火灾一样,最好防止欺诈。
在移动应用程序的“ Tinkoff故事”中,我们定期谈论如何不落入发明者的the俩,并同时启动多个主题项目,包括动画系列。
基本方案
欺诈者由银行的安全服务代表,并报告企图从客户帐户中借记资金。 要取消未经授权的操作,要求他们提供SMS的完整卡号和确认码。 实际上,那时他们要么输入您的银行帐户,要么在Internet上进行交易-然后他们会要求另一个有效期和卡背面的三位数代码。
如果早些时候有典型的此类受害者的肖像,其中最常见的是高龄人士,那么现在这些面孔就被抹掉了。 现在,性别和年龄都不会影响承受各种花样的能力。
IVR
对于诈骗者而言,标准方案的明显缺点是不可避免地与客户的恐惧和他们的问题经常发生的斗争。 例如,在同一个SMS中,写明任何人都不应给出代码。
但是,技术不仅可以帮助体面的公民。 骗子说,不能向任何人报告确认码-这与SMS文本一致,并激发了对受害者的信心。
欺诈者在切换到IVR(交互式语音菜单)后要求输入音频模式的代码,该命令在标准播音员的语音中说您需要在信号后以音频模式输入代码。
远程访问
诈骗电话通常会使客户感到惊讶。 呼叫者是由银行员工介绍的,并报告在客户端设备上检测到恶意软件。 要解决此问题,您必须提供对设备的访问权限。 受害者需要将远程访问程序下载到他的智能手机-TeamViewer,Anydesk或其他。
安装后,银行的假员工要求客户命名应用程序中显示的代码。 欺诈者将此代码输入他设备上的程序。 受害者提供所有权限后(如有必要,下载插件以进行完全控制),攻击者将收到消息,具体取决于受害者的操作系统和智能手机制造商:
- Android(例如Samsung)-对客户端设备的完全远程访问。 欺诈者从客户设备进行付款,因为交易确认码传给了他。
- iOS和某些Android设备(例如Nexus)-可以查看。 欺诈者管理客户的行为(“单击此处,现在-此处”)。 结果,客户将资金转移给欺诈者本人。
诈骗号码欺骗
一些攻击者从少数人从地铁那里购买的简单模拟电话中拨打电话。 在这种情况下,受害人会从银行的假员工那里接到电话,这些电话来自具有典型前缀926、916和其他前缀的号码。
为了将电话转换为赃物,其他诈骗者转向了替换电话号码的电信服务。
从技术上讲,由于利用了电话连接协议漏洞(例如SIP和ISDN PRI),因此号码替换是可能的,这些漏洞没有提供监视消息发送者真实性的机制。
智能手机屏幕上出现的漂亮的8(495)xxx-xx-xx类型数字会使受害者的机敏性变钝。
兑现到安全帐户
银行客户据称从银行安全服务处接到电话。 在对话过程中,事实证明该客户的帐户存在危险,可以随时提取资金。
诈骗者要求输入卡号和验证码来输入其个人帐户以帮助客户。 欺诈者获得了大量信息(有关交易,账户,余额的数据)后,便轻而易举地信任了他们,消除了最后的疑惑(“诈骗者对我的了解不多,”客户认为)。
一名受过训练的受害者被宣布,唯一省钱的方法是将钱取出到安全帐户中。 此外,两种情况是可能的。
笔译 提供给客户独立地将资金转移到安全帐户。 欺诈者在心理压力的帮助下说服将资金转入存款账户。 Drop是一个需要支付少量费用即可提取常规借记卡,然后将其转移给诈骗者的人,利用这些诈骗者可以兑现赃款。
自动取款机 欺诈者可以将自动提款机用于自己的目的。
通知客户,他们急需前往最近的ATM机取款。 对于特别大的受害者(骗子现在可以查看帐户中有多少钱),他们甚至可以叫出租车。
提款后,要求受害者将现金存入诈骗帐户。 他们受到罚款和处罚的威吓,另一方面,他们诱使他们承诺用金钱赔偿来弥补不便。 最后,诈骗者占了上风,客户用新提取的现金补充了他们的帐户。
转发受害者的号码
银行没有睡着,并且在发现可疑交易之后,急于联系客户。
通常,虚假的安全性依赖于他们的说服技巧:他们使客户对真正的银行雇员不利,并激发了确认交易的需求。 它可能看起来像一个syur,但事实就是如此。
但是某些诈骗者更多地依赖技术解决方案。 代替复杂的处理,而是要求客户端在电话上拨打一个字符序列,实际上这是一个USSD命令,用于将受害者的来电转接到欺诈者的数量。 此外,他们还请求标识数据,根据这些数据,他们将在调用此安全服务时尝试模拟客户端。
结论
欺诈者可以一次使用此列表中的几笔资金。 因此,重要的是要警惕来自银行的任何呼叫,不要急于信任呼叫者。 他可以威胁银行罚款,并为实现自己的要求引诱奖金。
因此,您需要记住,真正的银行员工永远不会问:
- 告诉他们交易确认码。
- 在智能手机上安装程序,尤其是具有远程访问功能的程序。
- 在电话上运行USSD命令。
- 转帐或通过ATM将您的钱存入第三方帐户。
在下一篇文章中-有关如何面对面的骗子的更多信息,这些骗子在社交网络,投资,留言板和约会网站等各个步骤中正等着您。
现在,您可以熟悉材料
www.tinkoff.ru/secure 。