Украсть и не попасться
Нынче развелось столько разнообразных видов мошенничества и воровства денег, что можно было бы писать только об этом. И есть ресурсы, которые так и поступают. Я стараюсь писать только об особо изощрённых схемах или технологически интересных решениях в этой области. Нынешний «объект» объединяет в себе несколько технологий, так что можно считать его комплексным решением. Основной инструмент — поддельная платежная страница. Пишут, что в процессе подготовки материала обнаружились фейковые страницы Avito, Youla, Xiaomi, BOOM Music, банка «Открытие» и другие.
Если коротко, то ключевой технический инструмент — поддельная страница оплаты, к которой перед оплатой покупки мошенник подключает интерфейс перевода денег с карты на карту. Дальше всё катится как по рельсам: оплата покупки, код подтверждения на телефон. Только вот вместо оплаты покупки жертва оформляет перевод денег с карты на карту. Цитата из публикации:
«Прелесть» схемы в том, переводы с карты на карту банки отказываются аннулировать, «что с возу упало, то пропало». А мошенник в качестве контрольного выстрела в голову написал жертве о том, что обстоятельства изменились и он не может доставить покупку. Прислал ссылку на форму возврата денег на карту, и... вы уже догадались, заполнив «форму возврата», жертва вместо денег поимела второе такое же списание со своей карты.
На чём жертва «споткнулась»? Изначально на том, что вышла с сайта «Авито», согласившись перенести обсуждение деталей сделки в «Вацап». Но это и ошибкой-то назвать трудно. Ключевая ошибка — нажатие на присланную ссылку, вот этого делать не следовало. Дальше жертву ласково берут под локоток и заботливо проводят через схему мошенничества с поддельной страницей. Человек пребывает в счастливой уверенности в том, что в худшем случае придётся опротестовать покупку, ведь это же «Авито», а не покупка с рук в подворотне! Опять-таки ничего не вызывает подозрений, реквизитами карты и циферками CVV продавец не интересуется, мамой ни в чём не клянётся и продиктовать пришедший в SMS код тоже не просит. Антивирус молчит, ему не на что ругаться. То есть, сделана одна ошибка (открыта присланная незнакомцем ссылка), и была одна маленькая оплошность (жертва покинула официальный сайт «Авито»), всё! Неприятная ситуация, обычно любое мошенничество связано с цепочкой подозрительных действий, и потенциальная жертва успевает насторожиться.
В той же публикации не очень длинный список советов и типичных ошибок, которые специалисты очень не рекомендуют допускать:
Про дополнительные номера
Иметь дополнительную дебетовую карту для покупок всегда было желательно, сейчас, как видим, это становится суровой необходимостью. Как насчет дополнительного номера телефона? Это уже актуально в большей степени для продавца, чем для покупателя, хотя сценарии бывают всякие. Спрашивается, чем не устраивает ещё одна симкарта? Слава богу, это не дефицит, выбирай хоть по цвету. Не устраивает по нескольким причинам. Операторы борются за повышение ARPU каждого клиента, наращивание абонентской базы тоже важно, но это не главный приоритет. Из этого факта естественным образом вытекают все неудобства использования лишней симки для дополнительного номера. Прежде всего, это морока «подготовки» симкарты. Перейти на тариф без абонплаты, причем сделать это быстро, потом несколько дней тщательно «выпасать» номер, последовательно отключая весь платный мусор, который будет последовательно материализовываться в прямом смысле слова «из воздуха». Потом не забывать периодически совершать платное действие. Наконец, нужен аппарат на две симкарты или дополнительный аппарат, и тут встаёт вопрос отключения мобильного интернета. Забот хватает, и всё это мы с вами неоднократно обсуждали. Не каждый готов устраивать себе такой комплект развлечений только ради дополнительного номера.
«Пристегнутый» к основному номеру дополнительный — неплохая альтернатива, хотя эта услуга и платная. Основной недостаток в том, что дополнительный номер у того же оператора. Форматы услуги «дополнительный номер» у операторов разные, но выбора нет. Пользуемся тем, что дают.
Tele2. Вроде недавно запустили этот сервис, или мне раньше просто на глаза не попадалось. Не проверял, но предполагаю, что в других регионах те же условия и цена. Очень «спартанский» формат, зато цена 50 руб./месяц (2 руб./сутки на тарифах с посуточным списанием) вполне демократичная. Второй номер работает только на приём входящих звонков и SMS, самому звонить с него нельзя. Выбора номера нет, присваивается автоматически, в случае отключения услуги в следующий раз дадут другой. Городской номер пристегнуть нельзя. В принципе, годится для продаж на всяких «Авито» и рекламы.
МТС. Услуга есть и давно работает, но описание выложить на сайт забыли или «забыли», поэтому информации у меня мало и возможны неточности. Доступно подключение до 10 дополнительных номеров, 150 руб. за подключение и 200 руб./месяц абонентская плата за каждый (!) номер. Выбрать номер можно. Дополнительные номера доступны только для входящих звонков. Судя по параметрам, услуга «заточена» под профессиональное использование в корпоративном секторе, за такие деньги можно и повозиться с новой симкартой.
«МегаФон». Это, доложу я вам, такой монстр! Разработчики очень серьёзно отнеслись к поставленной задаче и предусмотрели, кажется, вообще всё, что пользователь может возжелать. Доступно до трёх дополнительных номеров, за подключение каждого дополнительного берут 30 руб., абонентка - 2 руб./сутки за федеральный, 20 руб./сутки за городской в коде 495 и 10 руб./сутки за городской в коде 499. С дополнительных номеров можно звонить и отправлять SMS, с дополнительного городского - только звонить. При этом расходуется баланс основного номера, в том числе расходуются пакеты минут и SMS, если таковые предусмотрены тарифом основного номера. Все входящие переадресовываются на основной, режим отображения входящих можно настраивать: в упрощенном варианте вы видите только номер телефона входящего вызова, в режиме с префиксом перед номером входящего появляется префикс 10, 20 или 30 в зависимости от того, на какой из дополнительных номеров пришел звонок. Отображение ваших исходящих звонков у адресата тоже настраивается. Дефолтно адресату покажут ваш основной номер, но если при наборе его номера в начале поставить префикс 10, 20 или 30, то адресат увидит соответствующий дополнительный номер. Если у вас только один дополнительный номер, то можно настроить систему всегда отображать его. Услуга «Я в сети» может раскрыть адресату ваш основной номер, поэтому при подключении дополнительного номера «Я в сети» автоматически отключается. Вашей душеньке угодно ещё чего-то? Лично мне придумать «хотелку» фантазии не хватило, попробуйте вы. Надеюсь, что в этом монстре всё работает как заявлено.
«Компенсации» живее всех живых?
Пришлось «в тему» свеженькое про мифические выплаты компенсаций. Когда-то писал об этом во времена, когда интернет захлестнула волна спам-ссылок на мгновенно расплодившиеся сайты с предложениями «выбить» из государства несуществующие, но такие симпатичные «выплаты». За предварительную оплату своих ценных услуг, разумеется. Давно это было, мы посмеялись наивности жадных «клюнувших» на приманку и забыли. Оказывается, схема до сих пор жива и радует мошенников, кто бы мог подумать!
Я это к тому, что в интернетно-воровском «бизнесе» любая удачная находка быстро тиражируется и нередко даёт вторую жизнь старым, казалось бы, уже давно исчерпавшим свой потенциал схемам. Количество найденных в сети отличного качества реплик страниц оплаты сайтов бирж, банков и т.п. ясно говорит об актуальности и востребованности такого товара. Значит, нам с вами тоже нужно быть готовыми к этому тренду и внимательно контролировать то, как и откуда мы пришли на страницу оплаты товаров и услуг.
Как с этим явлением будут бороться? Не знаю, но бороться будут. У нас любят подолгу разрабатывать-принимать новые законы и поправки там, где можно отряхнуть пыль с давно существующих, но не применяющихся. Если, к примеру, с ответственностью за воровство и разглашение персональных данных вопрос действительно сложный, то с воровством денег через фальшивые платежные страницы всё выглядит достаточно просто: воровство денег оно и есть воровство. Всё материально, и уголовный кодекс вполне применим. Сарафанное радио в этой среде работает отлично, и десяток-другой прецедентов с реальными сроками наверняка остановят начинающуюся эпидемию. Будем надеяться на лучшее, но приведённые выше рекомендации всё-таки примите к сведению.
Про подписки и контент
Давным-давно я уже писал о том, что проблема контентных подписок начинает терять свою остроту. На то есть две причины: операторы начали активнее бороться с контентными мошенниками, а в среде контентных воров хорошие профессионалы начали переключаться на воровство со счетов и банковских карт, так как это оказалось несравнимо прибыльнее. Так оно всё и получилось, сегодня это уже очевидно для всех. Нет, я не хочу сказать, что о богомерзком контенте пора совсем забыть. Можно ненароком и «Настроение» подцепить, и подписку, и позвонить случайно на платный номер, и много ещё чего можно. Но прежней массовой охоты на кошельки абонентов с помощью контента уже нет. Хорошо это или плохо? На мой взгляд, скорее плохо, как это ни парадоксально.
Повторюсь: хорошие профи ушли из контента в банковское мошенничество. Это прибыльнее для них и, соответственно, намного болезненнее для нас с вами. С потерями на контенте можно было смириться по принципу «черт с вами, подавитесь!», да и операторы нередко возвращали хотя бы часть потерь. С воровством денег с банковских карт и счетов всё хуже, теряем много, а вернуть потерянное удаётся редко. Так что если не хотите перегружать мозги ваших пожилых родичей, лучше сосредоточьтесь на основах гигиены обращения с картами и счетами.
Немного про кэшбэки в телекоме
Зубодробительная тема, которую мы с вами уже неоднократно обсуждали. К сожалению, вернее, к счастью, лично я с этим почти не пересекаюсь: кэшбэк за покупки с карты банк перечисляет на баланс телефона, и это обычные деньги, делай с ними что хочешь. Кэшбэки операторов в связке с банками — целая поэма, здесь, как пишут девушки в профилях соцсетей, «всё сложно». Мне тут напомнили про эволюцию кэшбэка в МТС, наглядно и пошагово основные этапы:
Нынче развелось столько разнообразных видов мошенничества и воровства денег, что можно было бы писать только об этом. И есть ресурсы, которые так и поступают. Я стараюсь писать только об особо изощрённых схемах или технологически интересных решениях в этой области. Нынешний «объект» объединяет в себе несколько технологий, так что можно считать его комплексным решением. Основной инструмент — поддельная платежная страница. Пишут, что в процессе подготовки материала обнаружились фейковые страницы Avito, Youla, Xiaomi, BOOM Music, банка «Открытие» и другие.
Если коротко, то ключевой технический инструмент — поддельная страница оплаты, к которой перед оплатой покупки мошенник подключает интерфейс перевода денег с карты на карту. Дальше всё катится как по рельсам: оплата покупки, код подтверждения на телефон. Только вот вместо оплаты покупки жертва оформляет перевод денег с карты на карту. Цитата из публикации:
Давно прошли времена топорно сделанных фишинговых страниц, когда минимальной внимательности хватало для обнаружения подделки. Компания Avast опросила более 1 000 пользователей, предложив им отличить поддельную стартовую страницу «Вконтакте» от настоящей, ошиблись 57%. Семь процентов — разница в пределах погрешности, а результат говорит о том, что нынешние фейковые страницы выглядят как минимум не хуже настоящих.«Интерфейс и оформление страницы онлайн-платежа на фишинговых сайтах — поддельные. Это маска, за которой скрывается подлинный интерфейс, принадлежащий сервису по переводу денег с карты на карту. Оные есть у всех больших банков. Слева пользователь вводит данные своей карты, а справа от него скрывается уже заполненная форма с данными карты мошенника. Когда жертва нажимает "Продолжить", активируется перевод, который подтверждается коротким SMS-кодом. Рядовая операция при любой онлайн-покупке. Отсюда и впечатление именно о платеже, а не о переводе. Хотя, конечно же, в истории операций в банковском приложении видно, что был произведён перевод.
Под "включением" фейковых платёжных страниц мы подразумеваем то, что злоумышленник в нужное время подключает к пустой болванке вроде trustedpay.ru интерфейс CARD2CARD. К слову, если именно в этот момент начать ковыряться в HTML-коде страницы, можно найти номер карты злодея».
«Прелесть» схемы в том, переводы с карты на карту банки отказываются аннулировать, «что с возу упало, то пропало». А мошенник в качестве контрольного выстрела в голову написал жертве о том, что обстоятельства изменились и он не может доставить покупку. Прислал ссылку на форму возврата денег на карту, и... вы уже догадались, заполнив «форму возврата», жертва вместо денег поимела второе такое же списание со своей карты.
На чём жертва «споткнулась»? Изначально на том, что вышла с сайта «Авито», согласившись перенести обсуждение деталей сделки в «Вацап». Но это и ошибкой-то назвать трудно. Ключевая ошибка — нажатие на присланную ссылку, вот этого делать не следовало. Дальше жертву ласково берут под локоток и заботливо проводят через схему мошенничества с поддельной страницей. Человек пребывает в счастливой уверенности в том, что в худшем случае придётся опротестовать покупку, ведь это же «Авито», а не покупка с рук в подворотне! Опять-таки ничего не вызывает подозрений, реквизитами карты и циферками CVV продавец не интересуется, мамой ни в чём не клянётся и продиктовать пришедший в SMS код тоже не просит. Антивирус молчит, ему не на что ругаться. То есть, сделана одна ошибка (открыта присланная незнакомцем ссылка), и была одна маленькая оплошность (жертва покинула официальный сайт «Авито»), всё! Неприятная ситуация, обычно любое мошенничество связано с цепочкой подозрительных действий, и потенциальная жертва успевает насторожиться.
В той же публикации не очень длинный список советов и типичных ошибок, которые специалисты очень не рекомендуют допускать:
- Заведите отдельную банковскую карту и переводите на неё столько денег, сколько необходимо для конкретной покупки. Для простоты можно использовать виртуальную карту, которая создаётся в приложении банка за пару минут. Так вы избежите хотя бы повторного списания под предлогом возврата.
- Ни в коем случае не уходите из фирменного приложения или с сайта онлайн-магазина. Просьба перейти в мессенджер должна служить сигналом тревоги.
- Если же вы перешли в онлайн-магазин из поисковой выдачи, обязательно убедитесь в том, что он настоящий. Фишинговые сайты, как правило, используют доменные имена, которые отличаются от оригинальных. Например: не youla.ru, а youula.ru. Сторонитесь всех ресурсов, которые не являются оригинальными.
- Создайте белый список счетов для перевода денег. Так как мошенники под видом платежа используют именно функцию перевода, список отменит операцию.
- Не совершайте покупки с того же устройства, на которое приходит код подтверждения. Дело в том, что существуют сайты и сервисы, которые автоматически подтягивают коды безопасности.
- По возможности избегайте покупок с предоплатой.
Про дополнительные номера
Иметь дополнительную дебетовую карту для покупок всегда было желательно, сейчас, как видим, это становится суровой необходимостью. Как насчет дополнительного номера телефона? Это уже актуально в большей степени для продавца, чем для покупателя, хотя сценарии бывают всякие. Спрашивается, чем не устраивает ещё одна симкарта? Слава богу, это не дефицит, выбирай хоть по цвету. Не устраивает по нескольким причинам. Операторы борются за повышение ARPU каждого клиента, наращивание абонентской базы тоже важно, но это не главный приоритет. Из этого факта естественным образом вытекают все неудобства использования лишней симки для дополнительного номера. Прежде всего, это морока «подготовки» симкарты. Перейти на тариф без абонплаты, причем сделать это быстро, потом несколько дней тщательно «выпасать» номер, последовательно отключая весь платный мусор, который будет последовательно материализовываться в прямом смысле слова «из воздуха». Потом не забывать периодически совершать платное действие. Наконец, нужен аппарат на две симкарты или дополнительный аппарат, и тут встаёт вопрос отключения мобильного интернета. Забот хватает, и всё это мы с вами неоднократно обсуждали. Не каждый готов устраивать себе такой комплект развлечений только ради дополнительного номера.
«Пристегнутый» к основному номеру дополнительный — неплохая альтернатива, хотя эта услуга и платная. Основной недостаток в том, что дополнительный номер у того же оператора. Форматы услуги «дополнительный номер» у операторов разные, но выбора нет. Пользуемся тем, что дают.
Tele2. Вроде недавно запустили этот сервис, или мне раньше просто на глаза не попадалось. Не проверял, но предполагаю, что в других регионах те же условия и цена. Очень «спартанский» формат, зато цена 50 руб./месяц (2 руб./сутки на тарифах с посуточным списанием) вполне демократичная. Второй номер работает только на приём входящих звонков и SMS, самому звонить с него нельзя. Выбора номера нет, присваивается автоматически, в случае отключения услуги в следующий раз дадут другой. Городской номер пристегнуть нельзя. В принципе, годится для продаж на всяких «Авито» и рекламы.
МТС. Услуга есть и давно работает, но описание выложить на сайт забыли или «забыли», поэтому информации у меня мало и возможны неточности. Доступно подключение до 10 дополнительных номеров, 150 руб. за подключение и 200 руб./месяц абонентская плата за каждый (!) номер. Выбрать номер можно. Дополнительные номера доступны только для входящих звонков. Судя по параметрам, услуга «заточена» под профессиональное использование в корпоративном секторе, за такие деньги можно и повозиться с новой симкартой.
«МегаФон». Это, доложу я вам, такой монстр! Разработчики очень серьёзно отнеслись к поставленной задаче и предусмотрели, кажется, вообще всё, что пользователь может возжелать. Доступно до трёх дополнительных номеров, за подключение каждого дополнительного берут 30 руб., абонентка - 2 руб./сутки за федеральный, 20 руб./сутки за городской в коде 495 и 10 руб./сутки за городской в коде 499. С дополнительных номеров можно звонить и отправлять SMS, с дополнительного городского - только звонить. При этом расходуется баланс основного номера, в том числе расходуются пакеты минут и SMS, если таковые предусмотрены тарифом основного номера. Все входящие переадресовываются на основной, режим отображения входящих можно настраивать: в упрощенном варианте вы видите только номер телефона входящего вызова, в режиме с префиксом перед номером входящего появляется префикс 10, 20 или 30 в зависимости от того, на какой из дополнительных номеров пришел звонок. Отображение ваших исходящих звонков у адресата тоже настраивается. Дефолтно адресату покажут ваш основной номер, но если при наборе его номера в начале поставить префикс 10, 20 или 30, то адресат увидит соответствующий дополнительный номер. Если у вас только один дополнительный номер, то можно настроить систему всегда отображать его. Услуга «Я в сети» может раскрыть адресату ваш основной номер, поэтому при подключении дополнительного номера «Я в сети» автоматически отключается. Вашей душеньке угодно ещё чего-то? Лично мне придумать «хотелку» фантазии не хватило, попробуйте вы. Надеюсь, что в этом монстре всё работает как заявлено.
«Компенсации» живее всех живых?
Пришлось «в тему» свеженькое про мифические выплаты компенсаций. Когда-то писал об этом во времена, когда интернет захлестнула волна спам-ссылок на мгновенно расплодившиеся сайты с предложениями «выбить» из государства несуществующие, но такие симпатичные «выплаты». За предварительную оплату своих ценных услуг, разумеется. Давно это было, мы посмеялись наивности жадных «клюнувших» на приманку и забыли. Оказывается, схема до сих пор жива и радует мошенников, кто бы мог подумать!
Я это к тому, что в интернетно-воровском «бизнесе» любая удачная находка быстро тиражируется и нередко даёт вторую жизнь старым, казалось бы, уже давно исчерпавшим свой потенциал схемам. Количество найденных в сети отличного качества реплик страниц оплаты сайтов бирж, банков и т.п. ясно говорит об актуальности и востребованности такого товара. Значит, нам с вами тоже нужно быть готовыми к этому тренду и внимательно контролировать то, как и откуда мы пришли на страницу оплаты товаров и услуг.
Как с этим явлением будут бороться? Не знаю, но бороться будут. У нас любят подолгу разрабатывать-принимать новые законы и поправки там, где можно отряхнуть пыль с давно существующих, но не применяющихся. Если, к примеру, с ответственностью за воровство и разглашение персональных данных вопрос действительно сложный, то с воровством денег через фальшивые платежные страницы всё выглядит достаточно просто: воровство денег оно и есть воровство. Всё материально, и уголовный кодекс вполне применим. Сарафанное радио в этой среде работает отлично, и десяток-другой прецедентов с реальными сроками наверняка остановят начинающуюся эпидемию. Будем надеяться на лучшее, но приведённые выше рекомендации всё-таки примите к сведению.
Про подписки и контент
Давным-давно я уже писал о том, что проблема контентных подписок начинает терять свою остроту. На то есть две причины: операторы начали активнее бороться с контентными мошенниками, а в среде контентных воров хорошие профессионалы начали переключаться на воровство со счетов и банковских карт, так как это оказалось несравнимо прибыльнее. Так оно всё и получилось, сегодня это уже очевидно для всех. Нет, я не хочу сказать, что о богомерзком контенте пора совсем забыть. Можно ненароком и «Настроение» подцепить, и подписку, и позвонить случайно на платный номер, и много ещё чего можно. Но прежней массовой охоты на кошельки абонентов с помощью контента уже нет. Хорошо это или плохо? На мой взгляд, скорее плохо, как это ни парадоксально.
Повторюсь: хорошие профи ушли из контента в банковское мошенничество. Это прибыльнее для них и, соответственно, намного болезненнее для нас с вами. С потерями на контенте можно было смириться по принципу «черт с вами, подавитесь!», да и операторы нередко возвращали хотя бы часть потерь. С воровством денег с банковских карт и счетов всё хуже, теряем много, а вернуть потерянное удаётся редко. Так что если не хотите перегружать мозги ваших пожилых родичей, лучше сосредоточьтесь на основах гигиены обращения с картами и счетами.
Немного про кэшбэки в телекоме
Зубодробительная тема, которую мы с вами уже неоднократно обсуждали. К сожалению, вернее, к счастью, лично я с этим почти не пересекаюсь: кэшбэк за покупки с карты банк перечисляет на баланс телефона, и это обычные деньги, делай с ними что хочешь. Кэшбэки операторов в связке с банками — целая поэма, здесь, как пишут девушки в профилях соцсетей, «всё сложно». Мне тут напомнили про эволюцию кэшбэка в МТС, наглядно и пошагово основные этапы:
- Получить кэшбэк на телефон — прекрасно, однако эти фантики услуги связи оплачивали, но счётчик тикал и через 90 дней пресловутой «неактивности» начинала сниматься ежесуточная абонентка.
- Пофиксили. Кэшбэк начал учитываться как плата, проблема вроде бы решилась.
- А если номер уже «влип» в ежесуточные списания за неактивность и хозяин, ничтоже сумняшеся, закинул на него кэшбэк? Это засада, так как списания из кэшбэка в таком режиме «в зачёт» не идут и ежесуточная абонплата за неактивность не отключается.
- Рецепт лечения пока существует в виде варианта, придуманного «на коленке», но это работает, пользуйтесь! Подключаете «Обещанный платеж», через трое суток он отключается, с баланса за этот «обещак» списывают реальные деньги, и — победа! - ежесуточные списания за неактивность отключаются.