Сергей остался без 2000 евро: «Я слышал о том, что в Эстонии орудуют мошенники, которые звонят людям и представляются работниками банка. Я – разумный человек, я был готов к этому, но…»

Они знали все

Мошенники обработали Сергея по устоявшейся схеме: ему позвонили на телефон с номера, практически один в один совпадающего с номером Swedbank. Сообщили, что обнаружили попытку взлома счета своего клиента и теперь вместе с ним хотят заблокировать счет, чтобы не произошло ничего дурного. «Я никогда не повелся бы на такой развод, но они были очень подготовлены. Во-первых, они сразу обратились ко мне по имени, во-вторых, они сами назвали мне мой личный код. Они даже знали мой признак пользователя и то, что у меня потеря трудоспособности, и я не могу приехать в контору сам», - рассказал Сергей.

А дальше началось самое интересное и, к сожалению, не самое приятное для Сергея: «Я не называл вслух ни одной цифры. Они задавали вопросы, а на телефон стали приходить извещения от Smart-ID. Вопросы были простые, мол, вас зовут так-то? Подтвердите, введя на своем телефоне код. Так я вводил не меньше 13 раз, ни разу не назвав вслух ни одной цифры и только подтверждая ту информацию, которую называли они».

На прощание «работники банка», а их было двое: начала разговор женщина, после которой тут же перезвонил мужчина, решающий технические вопросы, попросили передать службе безопасности банка: «...две лозы. Я так понял, что пороть их нужно».

Каков же результат? Во-первых, со счета Сергея были сняты 2000 евро, которые только что на него поступили – именно поэтому наш читатель уверен, что и в банке имеется утечка информации о клиентах. Во-вторых, от его имени во время разговора пытались взять кредит: «Но тут мне повезло, как человеку с нетрудоспособностью, о чем банк знает, мне в кредите отказали. Иначе ущерб был бы еще больше». В-третьих, на его странице в банке была изменена практически вся контактная и прочая информация. Зачем? Скорее всего, мошенники тянули время, чтобы дождаться решения банка о выдаче кредита.

Если раньше казалось, что в нашей стране полно подпольных миллионеров, поэтому суммы нанесенного мошенниками ущерба оказывались такими большими, теперь стало понятно, что преступники не только обчищают под ноль счет, но и берут от имени своих жертв кредиты, которые сегодня можно получить молниеносно, ни разу не встретившись с работником банка. Кстати, оценить возможный личный ущерб каждый из нас может прямо сейчас: сложите то, что у вас лежит на счету, с той суммой, которую предлагает банк на вашей страничке в банке в персональных предложениях. Впечатляет? А это гарантированный улов бандитов, поскольку эту сумму банк готов дать без лишних вопросов и раздумий, зная вашу кредитную историю.

Дыру мы прорубаем сами

История Сергея не нова. С момента появления телефонных мошенников, жители Эстонии уже отдали им около 100 000 евро. Все банки предупреждают о происходящем, а полиция через день присылает информацию об очередном эпизоде преступления. Однако конкретно эта встреча потерпевшего с мошенниками заинтересовала нас больше всего и вот чем: Сергей уверяет, что не скачивал никаких программ, не переходил по присланным на почту ссылкам. Он неотрывно говорил по телефону, не приближаясь к компьютеру, на телефон же приходили уведомления от Smart-ID, безопасность которого гарантирована на 97 процентов. Как? Дыра в программе идентификации? Тогда дырявы все аналогичные программы, поскольку первое, что спрашивают мошенники: «Чем вы пользуетесь: Smart-ID, Mobiil-ID, ID-картой со считывателем или PIN-калькулятором?» И каждая из них позволяла обчистить счет потерпевшего.

«Нет, в этих способах идентификации дыр не обнаружено, - сказал представитель Swedbank Мартин Кырв. – Не  нашли мы и признаков утечки информации в банке. Проблема в том, что люди сами открывают мошенникам доступ к своему счету».

Звонящие потенциальной жертве мошенники, судя по всему, действительно неплохо подготовлены. У них может иметься не только информация об имени владельца телефона, но и его личный код: «Эту информацию достать несложно. Мы очень часто даем свой личный код для различных сайтов, розыгрышей, мероприятий», - говорит Кырв. Личный код с именем есть в открытом доступе, например, в Коммерческом регистре, если человек является (или являлся) членом правления коммерческой фирмы или некоммерческой организации. Личные коды выкладываются в интернет на страницах социальных сетей. Их можно найти в списках участников разных спортивных соревнований и очень много где еще. Сам по себе личный код ничего особенного не раскрывает, только пол и дату рождения. Последние четыре цифры у каждого уникальны, но полный набор цифр важен для разных учреждений и бесполезен для обывателей.

Как мошенники смогли залезть на страницу Сергея? «Войти на свою страницу в банке вы можете, как через телефон, так и через компьютер. Но, если телефон находится у вас в руках, то открыть сайт банка можно где угодно, хоть в другой стране. Так было и в этот раз. Мошенники открыли сайт, ввели признак пользователя потерпевшего, а на его телефон начали поступать уведомления о необходимости ввести PIN-коды. Он их вводил, а преступники орудовали у него на счете», - объяснил технологию Кырв.

Как узнали признак пользователя? «Скорее всего, преступники получили эту информацию раньше. Человек мог принять участие в конкурсе, розыгрыше и незаметно для себя скачать на компьютер вредоносную программу. Так был получен доступ к информации, которую после говорили жертве, чтобы он поверил, что это действительно банк, который знает о нем многое», - объяснил представитель банка.

Сомневайтесь, прерывайте и спрашивайте

Что делать? «Если у вас возникло малейшее сомнение в том, что с вами говорят из банка, нужно прервать звонок,- сказал Кырв. – Дальше у вас есть две возможности: вы сами заходите на свою страницу в банке и проверяете, есть ли какие-то изменения или это блеф. Вторая - вы сбрасываете вызов и звоните в банк. Но не перезваниваете на тот номер, с которого вам звонили, а самостоятельно набираете телефон, который указан на банковской карточке, есть он и на сайте».

Представитель банка напомнил, что банковские работники никогда не будут делать нескольких вещей. Во-первых, работникам банка не нужно, как в случае Сергея, просить клиента зайти на свою страницу, чтобы заблокировать якобы взломанный счет. Банк это сделает сам, а после или сообщит человеку, или дождется его звонка и будет разбираться дальше. Во-вторых, работник банка никогда не будет спрашивать у клиента или просить его самостоятельно ввести PIN-код: «И уж тем более PIN-код 2, который фактически заменяет подпись человека и совершенно не нужен работникам банка». И, в-третьих: «Работник банка сам должен сомневаться в том, что говорит именно с тем человеком, с которым должен говорить. Поэтому он не будет называть тому имя, личный код и еще какую-то конфиденциальную личную информацию, он скорее будет задавать наводящие вопросы, ответить на которые может только клиент лично».

И последнее. Вся эта история должна научить нас главному: телефон и интернет не защищают нас ни от чего, скорее наоборот, поскольку личное общение и виртуальное – это, как говорится, две большие разницы. «Повторю еще раз, если возникло малейшее сомнение, нужно прервать звонок и самостоятельно обратиться в банк. Все это не должно привести к тому, что люди вовсе перестанут разговаривать с настоящими работниками банка по телефону – это нужно и банкам, и клиентам. Но нужно включить разум, скептически относиться к разного рода звонкам и требованиям рассказать свои коды, а если что-то смущает, прервать разговор, набрать номер телефона банка и спросить, что происходит», - еще раз напомнил представитель Swedbank Мартин Кырв, добавив, что если раньше людей обманывали, подсовывая им поддельные купюры, то теперь преступность переместилась в мир виртуальных денег, а значит, такого рода преступления будут происходить и дальше. К этому нужно быть готовыми.