Операторы, читаем почту

Очередной обзор «по мотивам» ваших писем. На этот раз интересное про Сбербанк и сайт Avito, неожиданное решение по воровству денег с баланса, про отмену в последний момент блокировки опций БИТ Promo. Читайте и принимайте к сведению, «хозяйке на заметку».

БИТ Smart A,B,C пока поживут

Недавно писал о том, что в МТС таки решили закрыть свои promo-опции БИТ Smart для самых экономных, почитать про эту новость можно в нашем обзоре здесь. Неожиданно за два дня до назначенной даты отключения (18 апреля) передумали и решили оставить. Новые подключения запретили ещё первого апреля, но ранее подключенным эти опции сохранили. Что это было и почему так сделали? Сперва «отрекламировать» непопулярную меру, а потом в последний момент от неё отказаться — странный манёвр. Так или иначе, пользователи БИТ Smart A,B,C пока могут не переживать, должно продолжать работать.

И, как правильно написали в комментариях, на главной странице личного кабинета подключенная опция может не отображаться, проверяйте полный список подключенных услуг.

Про «сбор дани» с подарочных SIM-карт

Речь идёт о подаренных симкартах с необыкновенно привлекательным тарифом «по акции». Единственное условие — необходимость пополнить баланс на приличную сумму для «активации» этого чудо-тарифа. Положенные на баланс деньги исчезают, несуществующий чудо-тариф не материализуется. В недавнем обзоре я предположил, что деньги с баланса жертв утягивают через заранее подключенный Личный кабинет, и советовал как минимум завести свой пароль в Личный кабинет до того, как положите на счёт заметную сумму. Особенно в тех случаях, когда симкарта получена от промоутера, а не куплена в салоне связи. Если верить пришедшему мне письму, то схема мошенничества гениально проста. Как это мне самому в голову не пришло? Цитата с некоторым сокращениями:

«Немного приоткрою завесу и расскажу как выводят деньги с таких номеров. Если кратко, то симкарты сами по себе мертвые, кусок пластика. Заказываются печатные материалы и прочие атрибуты "акции", буклеты, стикеры, наклейки и пр. Далее через подставное лицо нанимаются студенты для раздачи этих самых карт в местах большого скопления людей, типа выход из метро, ТЦ, площади и пр.

Итак, про вывод денег. Имеется, скажем, 10 активных номеров, которые анонимны. В памятках на симкарту наклеивается не родной номер, а один из этих десяти номеров. Таким образом человек пополняет не свой номер, а номер мошенника. Соответственно, чем больше номеров, тем меньше шанс спалиться при раздаче симкарт.

Одновременно работает от 2-3 групп по раздаче до 10-15 и даже больше. Время раздачи должно совпадать у всех групп. Обычно время раздачи 1-2 часа.

Затем человек сидит и ждет когда на его номера люди начнут класть деньги. Выводят по-разному, раньше выводили через анонимные киви-кошельки, как сейчас не знаю. Чистый выхлоп за такую акцию обычно начинается от 100 тыс. рублей».

Согласитесь, просто и красиво. Никакой мороки с активацией Личного кабинета, отслеживания балансов всех симкарт и вывода денег с сотен номеров. Люди сами переводят свои деньги мошенникам, ведь мало кому придёт в голову проверять номер телефона на стикере. В общем, не попадайтесь. Как уже писал в прошлый раз, должны настораживать необычно выгодный тариф, общедоступная «акция» с распространителем и требование пополнить баланс для активации. А лучше не приобретать симкарты у распространителей на улице, даже если симку вам предлагают в подарок и без регистрации паспортных данных.

Опять про Avito и Сбербанк

Много жалоб на мошенничество с кредитными картами и счетами. Уже стало походить на эпидемию, не только на Avito и не только Сбербанк. Просто сбербанковских карт очень много на руках, а на Avito мошенникам удобно выбирать себе подходящих клиентов и связываться с ними, плюс необходимость перемещения денег. Уже не раз писал о том, что категорически нельзя сообщать посторонним пришедшие на телефон цифры кода, ничем хорошим это не кончается. В последнем письме тоже всё началось с кода. Есть и полезная информация, поэтому привожу письмо здесь, хоть и в сильно сокращенном виде.

«Написать письмо Вам меня побудило одно пренеприятнейшее событие в моей жизни, случившееся накануне, 17.04.2016. Я очень давно пользуюсь сайтом для размещения бесплатных объявлений Avito.ru, счёт на покупки и продажи идёт на сотни.

Звонок покупателя-мошенника (М., по факту). Спустя несколько часов после размещения объявлений позвонил мужчина, обсудили вещи, которые ему нужны, предложил сегодня же забрать мебель транспортной компанией. Следующий этап – спрашивает как можно произвести расчёт, я сам же предлагаю перевод на карту сбербанка (пользуюсь таким способом постоянно). Следующий шаг должен был меня остановить, не остановил… М. предложил прикрепить мою карту к счету своей фирмы (на словах), попросил дать номер карты и пройти регистрацию через получаемые мною коды подтверждения, которые мне должны приходить, но и тут я как заговоренный следую его инструкциям. Мы с ним на связи, он прикрепляет мою карту к своим счетам (по факту проходит регистрацию в сбербанк онлайн в приложении на андроид), мне приходит код подтверждения, я его сообщаю М., далее приходит второй код, для входа уже в сам сбербанк онлайн и доступ ко всем моим счетам. Скажу сразу, что деньги мне удалось сохранить каким то чудом. <...> Во время второй паузы (перед вторым сообщением М. мною второго кода входа в сбербанк онлайн) и ожидания СМС, у меня что то ёкает и я успеваю зайти сам в ЛК сбербанка и перевести всю сумму на вторую карту (к слову, я сообщил М. номер моей зарплатной карты, на которой лежали все деньги). Как только я это делаю, мне начинают приходить СМС о попытке снятия 10 т.р., затем 5 т.р., 500 руб., оплаты Билайн на 2 т.р. <....>. Но деньги уже были переведены на другую карту».

Дальше в письме долгое описание процесса общения с техподдержкой Сбербанка (повезло, ответили сразу), доступ в Личный кабинет блокировали, хотя, по утверждению автора, кабинет был доступен ещё два часа. Также блокировали доступ ко всем счетам. Теперь интересное: пока автор общался с техподдержкой, мошенник успел добраться через Личный кабинет до второй карты и перебросил с неё деньги на сберегательный счёт автора. Зачем? Не знаю, но узнать было бы интересно. Может быть, со сберегательного счёта можно утянуть деньги без SMS-подтверждений, или расчёт был на то, что автор свои карты заблокирует, а про счет не подумает? И продолжение истории:

«До вечера я мучился, задавал себе вопросы, как я мог довериться и идти на поводу и, главное – почему злоумышленник не успел всё-таки перевести сумму на свои счета, а перевел лишь на мой же сберегательный счёт? И почему преступник пытался переводить деньги, когда я уже понял, что попался на удочку М.? Т.е. никаких кодов подтверждения о переводе сумм я уже ему не давал. В итоге я не выдержал и около 9 вечера позвонил ему. Он взял трубку сразу же, я у него узнавал как он это делал и как это работает. Он говорил, что мне повезло, он просто не успел. Из разговора я узнал, что при работе со Сбербанк онлайн через приложение на Андроид можно переводить суммы до 30 т.р. на другие счета клиентов сбербанка без кодов подтверждения! А с подтверждением до 500 т.р.».

На следующий день я пошёл и написал заявление в полицию по факту попытки кражи денег, это отдельная история. Я не берусь судить наши органы власти, заявление я подал, но суть такова – попытка хищения не является преступлением, аудио записи, номер телефона никому не нужны.

К чему я это написал? Во-первых, предупредить всех, что каждый может оказаться на моём месте. Во-вторых, я хотел бы, чтобы вы подняли тему работы приложений банков и описание их возможностей и слабых сторон. В-третьих, я не понимаю, как можно осуществлять переводы больших сумм без подтверждения пользуясь мобильным приложением, тогда как при пользовании ЛК Сбербанка через браузер это сделать не получится. Ну и в-четвертых, хочу предупредить, чтобы люди читали хотя бы СМС, в которых сам Сбербанк сообщает, что коды подтверждения сообщать нельзя никому!»

История, конечно, занятная. Прежде всего, занятная тем, что автор действительно чудом не пострадал. Спасли быстрые действия после неосмотрительной выдачи кодов доступа. Мошенники зачастую неплохие психологи, да тут и особым психологом быть не нужно. Отрабатывая похожие сценарии по несколько раз в день, человек давно изучил все варианты поведения «клиента» и готов выдать правдоподобный и убедительный ответ на любой вопрос потенциальной жертвы. А уж если симкарту поменяли по липовой доверенности, то частично спасут только запреты «Мобильных платежей» и блокировки SMS, включающиеся на сколько-то часов после замены симки. И то не факт, что спасут, почитайте наш обзор здесь.

Посмотрите раздел «Безопасность» на сайте Avito. По делу, эту ссылку надо бы разместить на видном месте главной страницы сайта Avito. Там много наглядных примеров мошенничества именно с использованием телефона жертвы. Ну и, конечно, в очередной раз напомню о базовых мерах предосторожности:

Никогда и ни под каким предлогом не сообщайте другим цифры пришедших в SMS кодов. Даже если вы нигде не «светили» номер карты, а других банковских счетов у вас нет. Пришедший код может быть паролем от Личного кабинета оператора, и не дай бог, если у вас подключено автопополнение по остатку на балансе.
Не публикуйте в сети свой основной номер телефона. Привязывать этот номер к банковской карте тоже нельзя, можно ненароком заполучить троян. Лучше, если такой «публичный» номер будет в самой примитивной звонилке.
Активно пользоваться основной банковской картой для перевода и получения денег я бы тоже не рискнул, ни к чему это.
Если пользуетесь услугой «Автоплатёж», то не поленитесь оценить свои расходы и задать жёсткое ограничение максимальной суммы перевода денег с карты на баланс в месяц. Пять-десять потраченных на это минут могут уберечь от потери значительной суммы.
Если вам предлагают дойти до банкомата «получить перевод на карту», «ввести код разблокировки» или что-то «подтвердить», то на этом общение с «покупателем» или «службой безопасности банка» следует сразу прекратить. Вроде бы это должно быть очевидно, но идут «получать перевод» и сами переводят деньги мошеннику.
Иногда срабатывает и совсем простой подход вида «для перевода денег банк требуется полный номер карты, со всеми цифрами на обороте». И ведь диктуют...

Наконец, не переоценивайте свои интеллект с интуицией. Для вас попадание на мошенника будет первым опытом, а для него вы — сто двадцать первый, он подготовлен к разговору намного лучше вас. Помню, когда звонил по указанному в СМС «от банка» номеру («Ваша карта заблокирована, позвоните бла-бла...»), то искренне восхитился профессионализмом. Диалог был исполнен безупречно, и важные для мошенника детали уточнялись мимоходом, в общем потоке нейтральных вопросов. Да, 1 апреля ЦБ объявил о снижении объемов кибермошенничества в 2015 году до «всего-навсего» 1,14 млрд рублей, но пострадавших эта статистика не утешит.

P.S.

Текст был уже написан, когда прочитал свежую публикацию в «Известиях», ознакомиться можно здесь. Цитата:

«Подготовить рекламный ролик, который бы рассказывал о вреде покупки SIM-карт у продавцов с рук, поручил своим заместителям глава Роскомнадзора Александр Жаров. Ролик делается для показа по федеральным телеканалам.

Официальный представитель Роскомнадзора Вадим Ампелонский заявил, что создание ролика необходимо для информирования граждан о том, что покупка SIM-карт с рук небезопасна для их кошелька.

— Когда вы приобретаете SIM-карту с рук, то непонятно, с кем заключается договор на оказание услуг и когда он прекратит свое действие, — поясняет Ампелонский. — Например, купил человек себе SIM-карту, положил на нее 10 тыс. рублей, а утром она оказывается неработоспособной и деньги, положенные на счет, вернуть не получится».

То есть, речь в том числе и о том, про что я писал в разделе «Про «сбор дани» с подарочных SIM-карт», см. выше. Но в виде абстрактного ролика-страшилки без пояснений и конкретики. Наверное, тоже полезно. Важно, что сам факт подготовки ролика и комментарий про исчезновение денег подтверждают актуальность проблемы. Будьте осторожны и внимательны, не все симкарты одинаково полезны.

Ссылки по теме

Забавности сотового бизнеса

Сергей Потресов ([email protected])

Опубликовано - 25 апреля 2016 г.

Поделиться:

Мы в социальных сетях: