С любопытной (и пренеприятной) ситуацией столкнулся один мой знакомый. У него украли деньги с карты, при этом он даже не пользовался мобильным приложением банка.
Произошло всё следующим образом.
У него есть карта в одном банке (название банка роли не играет, боюсь, с чем-то подобным могут столкнуться клиенты самых разных банков). Мобильного приложения банка у него не установлено по принципиальным мотивам — боялся хакеров, вирусов и всего такого. При этом он активно пользовался онлайн-банком на сайте банка — отправлял переводы родственникам.
Однажды он обнаружил, что деньги с карты испарились после перевода с карты на карту. Получатель платежа — лицо неизвестное.
Общение с банком ни к чему не привело: «Вы совершили перевод, используя мобильное приложение, код для подтверждения операции был направлен вам на телефон».
При этом SMS-сообщений о списании (необходимых для подтверждения перевода) он не получал, да и вообще не пользовался мобильным приложением, как я уже писал выше.
В итоге в банке ему предложили обращаться в полицию. В полицию он не пошёл — сумма не такая, чтобы заморачиваться.
Но ситуация стоит того, чтобы в ней разобраться.
Как мошенники провернули операцию по списанию средств через мобильное приложение
Ситуация развивалась следующим образом.
- Мой знакомый открыл сайт банка и ввёл там имя и пароль для входа.
- Ему предложили ввести код для входа в онлайн-банк, отправленный по SMS.
- Он ввёл код и получил сообщение об ошибке — код введён неверно.
- Тогда он попробовал войти ещё раз, но в этот раз код очень долго не присылался и он закрыл сайт.
- Через некоторое время он попробовал снова зайти в личный кабинет на сайте банка и в этот раз уже обнаружил, что денег нет.
Выглядит всё очень обыденно и странно, если не знать, что первый раз, заходя на сайт банка, он набрал название банка в поисковике и перешёл по ссылке.
Первая ссылка в результатах поиска оказалось рекламной, и привела в итоге на фишинговый сайт.
Фишинг — это вид интернет-мошенничества, при котором с помощью сайтов, оформленных как сайты известных компаний, выманивается конфиденциальная информация, необходимая для получения доступа к реальным ресурсам.
Рекламные сервисы должны модерировать то, что рекламируют, но периодически злоумышленникам удаётся прорекламировать что-то, что не должно проходить модерацию.
Кроме того, ссылки в результатах поиска могут подменяться и расширениями для браузера — в цифровых магазинах Google Chrome и Firefox модерация тоже оставляет желать лучшего.
Таким образом, SMS-код, который ввёл на сайте мой знакомый, был кодом для установки мобильного приложения на телефон злоумышленника. После этого, приложение автоматически переключилось на работу с Push-уведомлениями.
Эти уведомления отправляются через интернет прямо на устройство, вместо SMS-уведомлений. Т.е. после этого с помощью мобильного приложения можно было бы делать всё что угодно, — владелец счёта об этом бы не узнал.
Короче всё оказалось следствием невнимательности моего знакомого, «помноженное» на плохую модерацию в поисковике и то, что переключение на пуш-уведомления происходило без дополнительного согласия клиента.
Как не оказаться в такой ситуации
Самая главная ошибка, которая была совершена в этой ситуации, заключается в том, что для перехода на сайт банка был использован поисковик.
Это не страшно, просто в таких случаях нужно избегать рекламных ссылок и проверять адрес сайта на который они приводят. Но ещё лучше вводить адрес сайта банка вручную.
Самое забавное в этой ситуации заключается в том, что если бы мой знакомый изначально установил мобильное приложение, то не оказался бы в такой ситуации. То есть использование мобильного приложения защищает вас от угрозы фишинга — вы не переходите по ссылкам, а запускаете приложение, которые достаточно установить один раз.
Конечно, не стоит забывать и об ответственности банка — переключение на Push-уведомления, на мой взгляд, должно подтверждаться через SMS, и об ответственности рекламной службы.
Только без денег в этом случае рискует остаться клиент, поэтому ему нужно полагаться, в первую очередь, только на себя.