Глобальная угроза. Хакеры воруют деньги с карт через приложения Uber и ВТБ

Поздно ночью 10 декабря Анне Козловой, отдыхавшей в Испании, клиентское приложение банка ВТБ прислало уведомление о том, что компания Uber списала с банковской карты два рубля. Небольшую сумму, которую часто списывают для проверки работоспособности счёта, сразу вернули. Зато сразу после этого последовало списание 2829 рублей якобы за оказанные сервисом Uber услуги.

В это время, как отмечает Анна, она спала, но через некоторое время всё же проснулась от мигавшего телефона, а уведомления сыпались одно за другим. К тому моменту, когда сквозь сон и непонимание ситуации Анна заблокировала карту, прошло всего 22 минуты. После первого списания девушка смогла заблокировать карту, однако к моменту блокировки с карты было сделано ещё четыре покупки "поездок" на общую сумму, лишь немного не дотягивающую до трёх тысяч рублей.

В общей сложности за 20 минут неизвестные смогли "увести" с карты 14 118 рублей, но даже после блокировки карты попытки списаний не прекратились. Любопытно, что все списания производились якобы международным сервисом Uber, который в России был поглощён компанией "Яндекс.Такси".

Анна обратилась в службу поддержки Uber, однако сотрудники компании не смогли предоставить данные о списаниях денег. После консультаций с поддержкой банка ВТБ Анна узнала, что последние списания были в Москве, и обратилась в поддержку компании Uber Russia — агрегатора, который зарегистрирован исключительно для российских проектов компании. Как раз там Анне заявили, что данные карты в приложение вводит либо сам человек, который имеет к ней физический доступ, либо данные карты, включая номер и код безопасности (CCV) на обратной стороне, попали куда-нибудь ещё.

В случае с кражей денег через приложение (или списаний, замаскированных под него) под подозрение попадают сразу все участники процесса. В первую очередь рассматривается неряшливость самого пользователя — сохранение данных карты в интернет-магазинах и браузерах вообще может стать поводом лишиться всех отложенных в банк денег. Для того чтобы не стать жертвой злоумышленников, нужно бережно хранить номер своей карты и код безопасности там, где никто не сможет его найти.

Специалисты "Лаборатории Касперского" пояснили, что схемы мошенничества через сервисы такси уже не редкость. По словам специалистов по компьютерной безопасности, в мессенджерах существуют каналы, где можно заказать такси с большой скидкой. Схема выглядит примерно так: пассажир отправляет сообщение в такой канал с указанием деталей поездки, а злоумышленник вызывает такси с помощью украденного аккаунта.

Завершив поездку, водитель получает деньги от владельца украденного аккаунта, а пассажир переводит деньги напрямую злоумышленнику. Чтобы как можно дольше оставаться незамеченными, злоумышленники могут отслеживать владельца взломанного аккаунта в социальных сетях и организовывать такие поездки ночью, когда велика вероятность, что человек спит, или во время путешествий жертвы за границу.

Другие приложения замаскированы под настоящие, и скачать вредоносную программу могут миллионы людей. К примеру, одно из приложений в официальном магазине Android Play Market скачали более двух миллионов раз, хотя при детальном разборе выяснилось, что программа на самом деле использовалась для фишинг-атак и кражи личной информации.

Два других участника — сторонний сервис и сам банк. У стартапов, выросших всего за несколько лет до огромных корпораций, с безопасностью традиционно не ладится. Применительно к Uber эта история ещё интереснее, чем кажется. Правительство США не раз предъявляло сервису претензии за ненадлежащее хранение персональных данных. В 2017 году под давлением со стороны правительства компания Uber подписала соглашение, по которому в течение 20 лет она будет каждые два года проходить проверку независимых аудиторов на соответствие требованиям безопасности.

В российском подразделении Uber не ответили на запрос Life.ru относительно инцидента со списанием с карты 14 тысяч рублей.

В ряде случаев мошенники умело маскируются под официальные кол-центры банков. Заказывают виртуальные номера, в которых от законного номера банка отличается только последняя цифра, и звонят будущему потерпевшему с предложением "обезопасить" счёт. А вот откуда эти данные для звонков берутся — другой вопрос. Скан паспорта, номер водительских прав и много чего ещё можно купить прямо через Telegram. Потом можно найти и все зарегистрированные номера, а мошенничество со счетами через перевыпуск сим-карт вообще считается "классикой" банковских преступлений.

Любопытно и другое. Служба безопасности ВТБ спокойно "пропустила" серию непонятных списаний денежных средств, и лишь после обнародования информации о произошедшем в СМИ пресс-служба банка включилась в процесс решения проблемы. С другой стороны, не привязывать карту к интернет-сервисам нельзя. Можно, конечно, оплачивать все покупки в Интернете через виртуальные карты, но тогда процесс максимально усложнится.

В пресс-службе ВТБ на запрос Life.ru относительно произошедшего инцидента со списанием средств через Uber никаких подробностей не сообщили, сославшись на банковскую тайну.

— При любых подозрениях на мошеннические действия мы рекомендуем клиентам моментально блокировать свою карту. Это можно сделать в мобильном приложении "ВТБ-онлайн" или в его веб-версии, в чате мобильного приложения, в контакт-центре банка или в ближайшем отделении ВТБ. Кроме того, клиенту необходимо обратиться в организацию, производившую списание, и оставить обращение на возврат средств. Если в течение десяти календарных дней транзакция (фактическое списание) не произойдёт, деньги вернутся клиенту на карту автоматически, — сообщили в пресс-службе ВТБ.

В пресс-службе ВТБ поясняют, что, согласно правилам международных платёжных систем, опротестование операции в банке происходит только после её обработки, т.е. после получения банком финансового подтверждения о списании средств.

— Поэтому обязательно рекомендуем опротестовать операцию в кредитной организации. Для этого в любом из офисов, по телефону контакт-центра или через специальную форму на сайте ВТБ нужно оставить обращение на возврат средств. Каждое заявление мы рассматриваем в индивидуальном порядке, — рассказали Life.ru в пресс-службе банка.

Что касается героини материала, у которой через Uber мошенники украли более 14 тысяч и попытались украсть ещё больше, но уже с заблокированной карты, то для неё всё закончилось хорошо. Uber Russia проследила транзакции и пообещала вернуть все деньги. Но так везёт не всем. К примеру, пользователь "Яндекс.Такси", проживающий в Москве, внезапно узнал, что за три тысячи рублей оплатил поездку в такси по Санкт-Петербургу. Моментальное обращение в службу поддержки результатов не дало, и лишь угрозы опубликовать детали произошедшего в СМИ увенчались успехом.

Схема почти один в один такая же, как при мошенничестве с картой девушки, уехавшей на отдых в Испанию и оплатившей счёт на 14 тысяч с помощью Uber и ВТБ. Идеального решения для таких проблем не существует. Разумеется, сначала нужно обращаться в службу поддержки сервиса и в банк, а затем писать заявление в полицию. Но обезопасить собственные деньги тоже можно. К примеру, чтобы через каршеринги и сервисы такси никто не мог украсть деньги, нужно использовать для оплаты лишь виртуальную карту, на которую будут переводиться небольшие суммы, необходимые как раз для оплаты поездок. Да, это сильно сложнее и не очень удобно, но накопленные на отпуск деньги удастся сберечь.