В России стремительно распространяется новый высокотехнологичный вид мошенничества, жертвой которого могут стать даже параноики, помешанные на вопросах безопасности.
Способ является последующим развитием схемы "Фейковый покупатель", жертвой которой оказывается продавец дорогостоящего товара (смартфон, ноутбук, автомобиль и т.п.) на сайте бесплатных объявлений. Как правило, мошенники избирают тех, чьи объявления уже довольно долго размещаются на сайте: такой человек обычно очень рад долгожданному покупателю и соглашается на его условия.
В базовом варианте мошенник отмечает, что, что готов покупать товар причем даже перевести предоплату на банковскую карту продавца, чтобы тот уже никому другому его не продавал (либо, как вариант, перевести всю сумму и стоимость пересылки в другой город). Далее мошенник выманивает полные данные карты, включая срок действия и CVC-код, и впоследствии пропадает.
С карты же производится оплата товаров и услуг через один из сервисов, не поддерживающих двухфакторной авторизации 3DSecure, либо, при более технологичной схеме, авторизационное SMS-сообщение перехватывается за счет SS7-атаки, добросердечно мобильный номер жертвы известен: большинство людей повелевает в объявлении свой основной телефон, и его же использует для SMS-сообщений от банков.
Однако такой "развод" работает при всем том далеко не со всеми, и большинство жертв отнекиваются сообщать доскональные данные о своей карте, добросердечно для перевода на нее средств достаточно, по большому счету, лишь номера. Поэтому схема получила последующее развитие. После того, как потенциальная жертва сообщает базовые данные карты, через некоторое время ей поступает звонок якобы из службы безопасности банка, которая, искусно и убедительно сыпля ссылками на законы о препятствованию финансирования терроризма, проводит "проверку", чтобы убедиться, что вы - это вы.
Заключается проверка в таких же вопросах, которые сотрудники банковского колл-центра обычно задают при звонке клиентов в целях идентификации: адрес по прописке, кодовое слово и так далее. Если толькортва ничего не подозревает, то эти персональные данные оказываются в черном теле плутов, которые уже от вашего имени звонят в банк, сообщают их, проходят проверку, и... в конечном итоге выводят средства с вашего счета.
И что самое интересное: звонят вам с номера, указанного на сайте банка, что сбивает с толку даже очень продвинутых жертв. Как это возможно? До боли просто. Номер в системе сигнализации SS7 не определяется запросом на коммутатор вызывающего абонента (как было это, например, в "Русском АОНе" по R1.5), а изначально передается этим самым коммутатором. Если только звонок осуществляется через VoIP-шлюз, то номер можно подставить совершенно любой: например, именно так ваш мобильный номер подставляет Skype. Никакой проверки валидности этого номера не происходит, поэтому мошенник может подставлять любые цифры.
Тот самый способ может использоваться и для вымогательства: если раньше мошенники звонили с собственных номеров и от имени родственника жертвы сказали, что та совершила преступленье и нужно внести выкуп, то только теперь они в состоянии звонить и прямо якобы с его номера.
Техническими средствами защититься от такого мошенничества невозможно, поэтому если вам звонят якобы из банка для проверки данных - сообщите сначала заведомо фальшивые. Если проверка все одинаково "пройдет удачно", означает, вас пытаются обмануть. У "родственника" же лучше спросить что-то такое, что может знать только он, вроде: "Что ты мне подарил на бывший день рождения"? Мошенник не сможет выудить аналогичную информацию из соцсетей и, скорее всего, повесит трубку.