В России появился новый способ мошенничества с банковскими картами. Аферисты списывают деньги с карт через мобильные приложения агрегаторов такси.
Так, обозреватель “Российской газеты” проснулся утром в Москве и обнаружил, что всю ночь катался на такси по Нижнему Новгороду, Тамбову и Екатеринбургу. С карты, привязанной к профилю пользователя сервиса “Яндекс.Такси”, были списаны средства за несколько поездок, хотя ни он, ни другие члены семьи услугами агрегатора не пользовались. Если бы к карте не была подключена услуга смс-информирования, о списании средств не узнали бы еще долго.
Пока владелец карты спит, кто-то катается на такси за его счет. Фото: Сергей Куксин/РГПока владелец карты спит, кто-то катается на такси за его счет. Фото: Сергей Куксин/РГ Пока владелец карты спит, кто-то катается на такси за его счет.
По всем правилам кибергигиены банковская карта была заблокирована, владелец связался с технической поддержкой агрегатора. Сотрудник службы поддержки посоветовал проверить номер телефона, привязанный к профилю. Он оказался чужим и абсолютно незнакомым, как и история поездок за год. Только по ней уже можно было судить о том, что с аккаунтом что-то не так: поездки на такси совершались в одно и то же время в разных городах страны практически круглосуточно.
В профиле пользователя “Яндекса” незнакомый номер телефона был указан как дополнительный, а история посещений показала, что в аккаунт только за последний месяц заходили с разных устройств в Ханое, Киеве, Ставрополе, Куала-Лумпур, Ростове-на-Дону и т.д.
– Скорее всего, кто-то взломал аккаунт и подключил дополнительный номер телефона для совершения поездок за чужой счет. Мошенничество может быть как на уровне сотрудников агрегатора, так и на уровне третьих лиц, – комментирует Андрей Арсентьев, руководитель отдела аналитики и спецпроектов InfoWatch. – По мере развития электронных услуг и новых форм оплаты становится все больше попыток взломов аккаунтов и мошеннического использования сервисов. Кроме того, по данным ряда исследований, многие подобные приложения имеют массу уязвимостей и не обладают высокой степенью защиты от взломов. Жертвам мошенничества прежде всего стоит заблокировать скомпрометированную карту и сменить пароли в личных кабинетах всех сервисов.
Поскольку приложение и карта, да и не одна, привязаны к мобильному телефону, мошенники могут использовать номер для регистрации в других приложениях. Правда, по мнению Андрея Арсентьева, горизонт использования мошеннического аккаунта может оказаться довольно узким – как правило, владелец учетной записи при поддержке компании-агрегатора быстро блокирует нелегитимный доступ. Но даже частично актуальные данные аккаунтов представляют интерес для злоумышленников – такая информация может служить для фишинговых компаний и попыток взлома других учетных записей пользователя, например, почты, каршеринга или электронного кошелька.
В пресс-службе “Яндекс.Такси” сообщили, что это единичные случаи. “В целом банки проводят достаточно обширные информационные кампании по защите личных платежных средств. Если кто-то использует для поездок данные чужой карты, мы готовы оказать всю необходимую помощь полиции, чтобы найти мошенников. Мы рекомендуем не передавать никому номер карточки и CVV-код, чтобы исключить проблемы с недобросовестным использованием средств, – отметила представитель сервиса Наталья Рожкова. – Логин и пароль к аккаунту могут увести так же, как банковскую карту. Поэтому мы советуем подключить для входа в аккаунт двухфакторную аутентификацию”. Это дополнительный уровень безопасности, который гарантирует, что доступ к учетной записи сможет получить только ее владелец. Например, даже если логин и пароль известен мошенникам, они не смогут зайти в аккаунт, миновав второй уровень защиты. В его качестве могут выступать одноразовый пароль (через смс или push), биометрические данные (например, отпечаток пальца).
Судя по рекомендации агрегатора, аккаунт пользователя был взломан злоумышленником и привязан к другому номеру, подчеркивает руководитель Агентства кибербезопасности Евгений Лифшиц, “но скорее это единичный случай, потому как мы не наблюдали массовый характер, а сервисом “Яндекс.Такси” пользуется большое количество пользователей”.
Несколько подобных историй с мобильными приложениями “Яндекс.такси” удалось найти в интернете, но их число минимально. Представитель Gett в России Дина Мостовая сообщила “РГ”, что у сервиса таких ситуаций не было. В компании “Ситимобил” на запрос “РГ” не ответили.
При этом аккаунты пользователей взламывают ежедневно и достаточно много. “Данные нужно обновлять в связанных аккаунтах для избежания дополнительных потерь, – говорит Евгений Лифшиц. – Именно в этом случае аферисты зарабатывают на поездках, привязанных на ничей номер, а в остальном на всем, от шантажа и возврата аккаунтов, на банковских транзакциях и вплоть до покупки криптовалюты”.
Чтобы обезопасить себя от такого мошенничества, необходимо регулярно менять пароли к личным кабинетам, использовать сложные пароли. “Для оплаты различных услуг, включая такси и каршеринг, целесообразно привязывать к своим аккаунтам не основную, а резервную банковскую карту, на которую можно переводить небольшие суммы по мере необходимости. Кроме того, не стоит отдавать свои документы посторонним, размещать на своих страницах в соцсетях фото с документами”, – советует Андрей Арсентьев.
А Евгений Лифшиц напоминает, что интернет – зона повышенной опасности и ценности данных, за которыми идет непрерывная охота. “Как правило, взламывается почтовый сервис, на который приходят пароли и инструкция по смене в случае если вы забыли пароль. Поэтому постоянно рекомендуют не использовать один пароль для различных ресурсов и помнить, что потеря одного аккаунта может привести к потере целой цепочки аккаунтов”, – резюмирует он.