Анализ материалов уголовных дел анализируемой категории свидетельствует о незнании потерпевшими элементарных мер по обеспечению безопасности своего карт-счета. Большинство хищений денежных средств с банковских счетов, доступ к которым обеспечивается при использовании банковских платежных карт совершаются после того, как потерпевшие сами сообщали необходимые реквизиты своих банковских карточек.
В связи с чем, предлагаем довести до подчиненных сотрудников и учащихся следующие нижеприведенные типичные ситуации совершения преступлений в сфере высоких технологий и меры по профилактике совершения данных преступлений.
Типичные ситуации совершения преступлений в сфере высоких технологий:
Злоумышленник после несанкционированного доступа к страницам пользователей в социальных сетях рассылает пользователям, находящимся в разделе «Друзья», сообщения, носящие в себе просьбы в оказании помощи в переводе денежных средств под различными предлогами: «Привет не мог ли ты одолжить мне денег, отдам через пару дней», «Привет положи пожалуйста 10 рублей на телефон, я отдам», «Привет, можно я переведу тебе на карту свои деньги, а то у меня закончился срок действия карты (или не получается перевести на свою)». Далее неравнодушным пользователям он вбивается в доверие и, якобы для перевода им денежных средств, просит сообщить реквизиты банковских платежных карт и коды из смс-сообщений, после чего пользователь, будучи введенным в заблуждение относительно лица, осуществившего указанную рассылку и не догадываясь о преступности его намерений, сообщает ему указанные сведения ввиду чего злоумышленник получает доступ к денежным средствам пользователя и совершает их хищение. Проведя несанкционированную операцию по переводу денежных средств, злоумышленник за частую сообщает пользователю, что у него что-то не получается и просит повторить указанные действия с какой-либо другой картой (родственников или знакомых).
На торговой площадке «Куфар», «Барахолка» и т.д. злоумышленник находит объявление, размещенное пользователем о продаже какого-либо имущества, после чего в различных мессенджерах пишет указанному пользователю, о том, что хотел бы приобрести его имущество, указанное в объявлении, однако по различным причинам не имеет возможности за ним приехать. Он предлагает произвести оплату путем перевода денежных средств на банковскую платежную карту пользователя и после того, как пользователь соглашается, высылает в его адрес ссылку с фишинговой страницей сайта какого-либо банковского учреждения (страница может быть визуально схожа со страницей интернет-банкинга и отличаться только символом в адресной строке доменного имени сайта). Переходя по указанной ссылке, пользователь не замечает, что находится не на действующей странице интернет-банкинга определенного банка. В открывшемся окне на указанном сайте пользователю, как правило, предлагается ввести свой логин и пароль от интернет-банкинга, либо паспортные данные, а также коды из смс-сообщений. Введя указанную информацию, пользователю, как правило, сообщается об ошибке либо отсутствия платежа. В это время всю введенную информацию видит злоумышленник и вводит на действительном сайте банка, после чего получает доступ к денежным средствам пользователя и совершает их хищение. Проведя несанкционированную операцию по переводу денежных средств, злоумышленник за частую сообщает пользователю, что у него что-то не получается, и просит повторить указанные действия с какой-либо другой картой (родственников или знакомых).
На мобильный телефон физического лица поступает входящий звонок от злоумышленника. Как правило, в указанном способе злоумышленник пользуется сервисом по подмену номера телефона и указывает абонентский номер, принадлежащий какому-либо банку или схожий с ним. Далее злоумышленник представляется сотрудником банка (он может назвать пользователя по имени и отчеству, а также назвать часть номера банковской карты, либо информацию о недавно совершенных оплатах). Злоумышленник сообщает о подозрительных операциях по переводу денежных средств на крупные суммы на карт- счета иностранных банков. Когда пользователь сообщает, что никаких операций он не производил, злоумышленник сообщает, что указанные операции необходимо заблокировать, в связи с чем просит пользователя сообщить отдельные реквизиты банковской платежной карты, либо паспортные данные, после чего сообщает, что в адрес пользователя он высылает смс-сообщения с кодами, которые ему необходимо будет назвать после звукового сигнала. В это время всю полученную информацию злоумышленник вводит на действительном сайте банка, после чего получает доступ к денежным средствам пользователя и совершает их хищение.
Также, в нашей стране одной из распространенных разновидностей киберпреступлений, является хищение денежных средств абонента сотовой связи через мобильный банкинг. Мошенники под различными предлогами просят у граждан телефон, и, делая вид, что набирают номер, фактически при помощи USSD-запроса или выхода в Интернет активируют услугу мобильного банкинга, которая позволяет осуществить платежные операции с лицевого счета абонента и получить у оператора сотовой связи лимитированный микрозайм.
Меры по профилактике преступлений против информационной безопасности, а также о хищениях с использованием компьютерной техники:
не разглашать логины, финансовые номера телефонов пароли, ПИН-коды, реквизиты расчетных счетов, секретные CVC/CW- коды, данные касательно последних платежей и срока действия пластиковых карт третьим лицам;
в ходе использования карты подключить и использовать технологию «3D Secure». На настоящий момент это самая современная технология обеспечения безопасности платежей по карточкам в сети интернет. Позволяет однозначно идентифицировать подлинность держателя карты, осуществляющего операцию, и максимально снизить риск мошенничества по карте. При использовании этой технологии держатель банковской карты подтверждает каждую операцию по своей карте специальным одноразовым паролем, который он получает в виде SMS-сообщения на свой мобильный телефон.
исключить передачу посторонним лицам полученные в SMS- сообщениях временные пароли для подтверждения операций, а также своих банковских карт, каким бы то ни было способом;
вводить секретные данные только на сайтах, защищённых сертификатами безопасности и механизмами шифрования. Доменные имена этих ресурсов в адресной строке каждого браузера начинаются с https://; http://;
производить регулярный мониторинг выполненных операций, используя раздел с историей платежей;
не отказываться от дополнительного уровня безопасности (системы многоуровневой аутентификации);
подобрать сложный пароль, используя набор цифр, заглавных и строчных букв, который будет понятен лишь владельцу аккаунта. Менять пароль каждые 2-4 недели, если пользуетесь чужими компьютерами для входа в систему интернет-банкинга;
не применять автоматическое запоминание паролей в браузере, если к персональному компьютеру открыт доступ посторонним лицам или для входа на сайт пользуется общественный компьютер;
в ходе использования интернет-банкинга устанавливать антивирусную защиту, своевременно обновляя базы данных вирусов и шпионских утили;
вход в личный кабинет на сайте интернет-банкинга привязать к MAC или IP-адресу. Это действие обеспечит максимальный уровень безопасности;
— в целях предотвращения хищений денежных средств абонента сотовой связи через мобильный банкинг не следует передавать телефон другим лицам, а также необходимо установить на мобильном телефоне блокировку (с помощью пароля, сканера отпечатка пальца, фейсконтроля и т.п.).
В случае обнаружения утерянной кем-либо ВПК не стоит выкладывать ее фотографию в сети Интернет с целью поиска владельца. Информации, имеющейся на изображении ВПК, достаточно для совершения операций с использованием этих данных без ведома владельца банковской карты, чем и пользуются злоумышленники.
С учетом темпа развития информационных систем, внедрения новых цифровых технологий рекомендуем сотрудникам самостоятельно принимать дополнительные меры по безопасности использования банковских продуктов.
В целях предупреждения совершения противоправных действий полагаем необходимым на системной основе проводить информирование сотрудников о проявлении осторожности и бдительности, соблюдении установленных правил безопасности пользования персональными ВПК, предупредить о недопустимости игнорирования и пренебрежения действенных требований, направленных на сохранение благосостояния граждан.