Снял деньги с чужой карты

Хакерский форум | Безопасность | Программирование | Общение

Нет вирусов по ссылке.

Хочу предупредить всех держателей карт Сбербанка, что придумал и только что опробовал методику, как снять деньги с любой карты Сбербанка любого человека без ведома владельца.

Делается это через услугу «мобильный банк Сбербанка».
Достаточно отправить СМС на телефон +79262000900 (полный аналог короткого номера 900) с суммой, а в качестве номера отправителя СМС подставить мобильный номер владельца карты. Только что снял 100 рублей с карты друга, с его согласия, конечно, в качестве эксперимента.

А отправить СМС с подменой номера отправителя — элементарно. Поиском нашел в Яндексе около тысячи разных сайтов по отправке СМС с подменой номера отправителя на любой требуемый. Одним из таких сайтов и воспользовался. Деньги успешно сняты с карты моего друга, при этом он не говорил мне ни тип карты, ни номер карты, ровным счетом ничего! Я только знал номер мобильного телефона моего друга. Правда деньги были зачислены на баланс мобильного моего же друга, но сам факт того, что снять деньги с карты Сбербанка без ведома владельца карты оказалось так легко и просто — удивляет. СБЕРБАНК — ОТСТОЙ! Я как владелец карты сбербанка завтра собрался закрывать мою карту. Такая нулевая безопасность меня никак не устраивает. Предлагаю всем отказаться от услуг Сбербанка. Это опасно.
Даже то, что деньги не украдены, а зачислены с карты владельца на мобильник владельца без его ведома — недопустим. Зачислив 100 рублей, никто не мешает любому снять и 100 000 рублей, и зачислить их на баланс мобильного! Владелец карты точно не будет этому рад.
Сбербанк допустил недопустимую брешь в системе безопасности.

Но это только первый шаг. Если подумать, то также просто как дважды два оказывается можно перечислить деньги и на счет злоумышленника! Даже номера карты знать не нужно. Даже завладевать мобильником жертвы — не нужно.

Я удивлен, что столь долгое время никто не догадывался об этой бреши!
Уважаемая служба безопасности Сбербанка, прошу Вас немедленно приостановить не только сервис «Мобильный банк», но и сервис «Сбербанк Онлайн» по всей стране. А потом думать, как закрыть брешь.

Как крадут деньги с карты Сбербанка, зная номер карты? Осторожно!

Рост интернет преступлений растет пропорционально росту количества пользователей!

Жулики не дремлют и только в одном 2015 году мошеннические операции по банковским картам составили около 20%, что в денежном эквиваленте равняется 2.5 млрд. долларов!

Сюда входит:

1. и скимминг, когда мошенники используют считывающие устройства, которые размещают на банкоматах с целью скопировать данные для изготовления дубликата вашей карты (вы их не замечаете, просто вставляете карту в банкомат, и все вы уже в руках мошенника, поэтому нужно быть крайне осторожным, пользуясь уличными банкоматами, там мошеннику проще всего разместить считывающее устройство на банкомат)

Пин-код при этом может быть заснят мини камерой или подсмотрен одним из мошенников, но и без пин-кода снять деньги с такого дубликата не проблема!

2. и фишинг, когда ваши данные просто крадут через интернет, либо подсовывают вам ненастоящую странницу банка, где вы вбив свои данные, передаете их тем самым мошенникам или SMS с номера 900. Способов много (о каждом мы будем писать в отдельности, чтобы предупредить вас тем самым о возможностях мошенников и как себя в этих случаях обезопасить).

В этой статье я расскажу о способе, как могут стырить ваши деньги с карты Сбербанка, о котором мало кто знает, и я сам на него совсем недавно наткнулся…

Имея на руках всего навсего номер вашей карты сбербанка (они наиболее уязвимы в этом плане), у мошенников уже есть возможность стащить ваши деньги!

Данному приему подвержены карты Visa Classic и MasterCard Standard, все те, по которым можно оплатить в интернет. Зарплатные карты типа Maestro и прочих Momentum данному приёму не подвержены!

А все дело в том, что в Сбербанке реализована возможность переводить деньги с карты на карту зная только ее номер, этим все активно пользуются при расчетах между собой.

Так же есть возможность узнать имя владельца карты, достаточно просто сделать перевод минимальной суммы через Сбербанк онлайн, и в процессе перевода выйдет фамилия, имя и отчество тому, кому вы делаете перевод.

Тем самым, зная номер карты, а узнать его проще простого, один из способов — договорится о покупке товара на Авито с условием перевода на карту Сбербанка, злоумышленник уже знает номер и может выяснить ФИО через онлайн кабинет и оплатить с вашей карты любую покупку на тех платежных шлюзах где не нужен ввод CVV (CVC) и не нужен контрольный код MasterCard SecureCode.

К примеру Amazon.com обслуживается именно таким образом, для прохождения оплаты требуется ввести только номер карты, имя владельца и срок действия!!!

Как все происходит при “помощи” Авито!

• Происходит все следующим образом, мошеннику для начала нужен номер вашей карты, он может его получить как на Авито (и подобных ему ресурсах), к примеру договорится, о покупке телефона или другой вещи с вами (если вы выставили на подобном сервисе какой-то предмет на продажу) и попросить у вас номер карты для расчета с вами (якобы ему так удобнее будет приобрести ваш предмет), так и другим образом, например, запомнить ваш номер карты или записать его на микрокамеру при расчетах в обычном магазине, кафе и т.п.



• Вторым шагом мошеннику нужно узнать ваше ФИО, здесь может сработать как вопрос вам, кому перевести деньги, тем самым. выудив в разговоре из вас информацию, так и выше упомянутый вариант с переводом денег на вашу карту со своего онлайн кабинета (перевод до конца ему проводить даже не понадобиться, нужно только дойти до момента проверки данных).





• Дальше мошеннику нужно перевести вашу ФИО в транслит, то есть привести ваши данные в тот вид, как у вас написано на карте, что не составит для него никакого труда, используя любой онлайн транслит сервис.



• Все, теперь жулик подготовлен идти тратить ваши деньги, и например, переходит на магазин Amazon.com, где CVV карты (код, который находится на задней стороне вашей карты) при оплате заказа не спрашивается, переброски на SecureCode не происходит, одноразовые пароли Сбербанка тоже не запрашивает. Вуаля, и вы уже практически стали жертвой… остается только узнать всего два параметра, это тип карты и срок действия карты, и ваши деньги тогда уйдут в гору.



• Типа карты узнать не составит труда, имея номер карты перед глазами, поскольку номер карточки международной платежной системы VISA состоит из 16 цифр (четыре группы по четыре цифры) или из 13 цифр (первая группа из четырех цифр и три группы из трех). При этом номера карточки VISA всегда начинаются с цифры «4», номера карточек MasterCard всегда начинаются с цифры «5» и состоят из 16 цифр, а номера карточек Maestro начинается с цифр “3”, “5” “6” (в большинстве случаев в Украине с цифры “6”) и может состоять из 13,16 или 19 цифр. Поэтому прикинуть информацию по номеру карту к какому типу ваша карта относится дело пяти секунд…



• Последним шагом будет подбор срока действия, но и здесь простым перебором этого можно добиться потратив какое-то время, осуществляя все новые и новые запросы на покупку, потому что сроки выдачи карт обычно 3-4 года обычно на 12 значений месяцев в году это не более 36 вариантов для перебора, тем более защиты от дурака нет, ни капчи, ни ограничений ввода, перебирай варианты пока карта не добавится, это не долго, минут 10 максимум, 36 переборов, и все деньги ваши “улетели”!

Вот такой, казалось бы, невинный поступок, сообщили номер карты, может привести к финансовым потерям соизмеримым с балансом карты, а он может быть любой и хорошо еще 500 рублей, а если 200-300 тыс.рублей…

Чтобы обезопасить себя не при подобных расчетах можно использовать для них карты типа Cirrus/Maestro Momentum, которые выдают в Сбербанке, они непригодны для платежей в интернете и мошенники не смогут воспользоваться этой лазейкой даже зная номер и ФИО владельца.

Будьте осторожны, берегите себя:)

И помните, завладеть вашими данными легко, отдав всего лишь карту в кафе для расчетов, пока ее носят туда сюда, все данные можно переписать, отсканировать, можно полностью считать вашу карту через специальное устройство, и в дальнейшем выпустить в кустарных условиях дубликат вашей карты, и у мошенника в таком случае будет даже CVV (CVC) код вашей карты…

Среди одной из важных задач для банка – это создание максимальной защиты средств, находящихся на счете клиента. Но между тем, злоумышленники активно обманывают людей, опустошая их счета. Следовательно, большинству людей интересен вопрос: как мошенники снимают деньги с карты? Ведь зная про эти методы, можно дополнительно обезопасить себя, не попавшись на крючок злоумышленников.

Как воруют деньги с карты?

Подобные попытки обмана распространяются на все существующие банки. Даже «Сбербанк», являясь наиболее надежным для клиентов, показывает неутешительную статистику: достаточное количество мошенников пытаются «увести» деньги именно через этот банк. В связи с вышеописанной ситуацией, данная статья будет с уклоном именно на этот банк. Но это не значит, что приведенные ниже методы не пригодны для защиты среди других банков: все махинации проходят по тому же принципу.

Вариант 1

SMS-сообщения

Стандартный метод – к вам на телефон приходят СМС (якобы от банка), с призывом совершить то или иное действие. Притом у вас даже не возникают подозрений: номер службы, стиль сообщения, даже некоторые данные будут совпадать. После совершения требуемого от вас действия, средства благополучно «исчезают» с вашего счета.
Разберем ситуацию на примере того же Сбербанка. Допустим, к вам поступило сообщение, с номера 900. У вас не вызывает подозрений содержимое СМС, да и все данные совпадают. Как вас могут обмануть, прикинувшись службой банка? Вариантов много:

1. Оповестить вас, что ваша карточка заблокирована. Ниже будут указаны номера, на которые нужно позвонить. Что происходит дальше? Либо деньги будут списаны сразу, либо же вас могут попросить сделать какое-нибудь действие. Например, сообщить некоторые данные вашей карточки.
2. Текст сообщения уведомляет вас о том, что на ваш счет поступили денежные средства. Чуть позже приходит следующее СМС, с просьбой вернуть деньги на такой-то номер. Бывали даже случаи, что мошенники практически шантажом требовали сообщить данные карты.
3. СМС может информировать о том, чтобы вы загрузили мобильное приложение, или любой другой файл. Дальше все просто: скачанный файл может содержать код, пересылающий злоумышленникам необходимые данные.

Не реагировать на подобные SMS. Не звонить, не отправлять ответные СМС, и уж тем более, не доверяться и выполнять действия, указанные в тексте сообщения. Всю необходимую информацию, а также достоверность полученного SMS можно проверить через официальный сайт или мобильное приложение банка. Лучше всего, если вы позвоните в банк, и сообщите о случившемся, если вы на самом деле подверглись мошенническим действиям.

Вариант 2 (онлайн способы)

Фишинг

Интернет – целый полигон для мошенничества, что неудивительно: в сети присутствует обилие самых разнообразных, а порой даже и изощренных способов, с помощью которых можно обмануть человека. Ниже приведены наиболее распространенные способы обмана на данный момент:

Перенаправление пользователя на фишинговый сайт. Что это значит? Фишинговый сайт – это ресурс, полностью (или частично) копирующий дизайн и структуру оригинального сайта. В данном случае, имитируется дизайн банка. Дальше все понятно: вы, думая, что это настоящий сайт, вводите свой идентификатор и пароль, а они, в свою очередь, благополучно «утекают» в руки мошенников.

Не будем заострять внимание на способах, которые позволяют злоумышленникам перенаправлять вас на созданные ими сайты. Их большое количество. Вы можете перейти на сайт банка напрямую с интернет-ресурса (с подозрительных сайтов, или даже с соц.сетей, в которых мошенники указали ссылку), или «подцепить» на свое устройство вредоносный код, который будет перенаправлять вас, когда вы захотите войти в личный кабинет.

Внимательно перепроверять адрес сайта. Как правило, чтобы не вызывать подозрений, мошенники изменяют или добавляют в адрес один-два символа. К примеру, вид ссылки официального сервиса «Сбербанк Онлайн» выглядит следующим образом:

Соответственно, если в данном адресе (до доменной зоны .ru) будут сторонние (или замененные) символы, то сайт фишинговый.

Интернет-магазины

Через Интернет-магазины, сторонние сервисы и т.п. Если ресурс кажется вам подозрительным, то лучше воздержаться от покупки. Конечно, данный вариант маловероятен, тут злоумышленник скорее использует вашу карту, чтобы расплатиться в обычных Интернет-магазинах (читайте далее в этой же статье «можно ли украсть деньги на карте, зная только номер карты»).

Совершать покупки в надежных, и проверенных магазинах. Перед осуществлением покупки лучше проверить историю магазина, отзывы других людей, и т.д.

Остальные методы

Через все остальные, простые способы (рассылка писем на почтовый ящик, просьба передать логин и пароль, данные карты и т.п.)

Не передавать свои личные данные, информацию о карте, даже номер карты третьим лицам. Если к вам поступило предложение ввести реквизиты карты чтобы забрать приз, проверить ваши данные и т.п. – это обман.

Вариант 3

Телефонный разговор

На данный момент, распространены махинации с SMS и телефонным звонком. Сначала на ваш телефон приходит сообщение, что ваша карта заблокирована, или обнулена. Притом, SMS имеет стиль написания как у сообщений-информирований от банков, что делает их практически неотличимыми.
Далее, на ваш телефон звонит мошенник, представляясь сотрудником банка, и просит назвать данные, которые ему на самом деле нужны для взлома. Или другой вариант: злоумышленник может попросить вас «проверить» карточку в банкомате. И таким способом, опять же обнулить ваш счет. Как, спросите вы? С помощью скиммера, установленного в банкомате (о данном методе обмана читайте чуть ниже).

Работники Сбербанка редкий раз звонят сами. Лучше всего перезвонить по официальному номеру банка, и узнать у консультанта, действительно ли были произведены какие-либо действия с картой. Или проверить лично, через онлайн-сервисы банка. С большой вероятностью, с вашим счетом на самом деле все в порядке.

Вариант 4

Скимминг

Мошенники устанавливают в банкомат специальное устройство, которое может считывать данные карты. Позже, на их основе, мошенники создают дубликат карты. Зачастую, установка подобного устройства сопровождалась дополнительно оснащением банкомата миниатюрной камерой, с целью узнать пин-код. Далее будет несложно обнулить счет клиента банка.

Это может быть интересно: Как досрочно погасить ипотеку?

• Не снимать деньги в банкоматах, стоящих «вне банка». Другими словами, мошенникам будет проще установить все необходимое оборудование в те банкоматы, которые расположены около магазинов, переходов и т.д. Другое дело, когда аппарат находится в банке, под «взором» камер и сотрудников банка.
• Проверять состояние банкомата (нет ли следов клея в картоприемнике, на клавиатуре).
• Прикрывать рукой клавиатуру, в момент набора пин-кода.

Как это происходит?

Как уже говорилось выше, злоумышленникам необходимо узнать только номер карты. Как они это могут сделать? К примеру, через Интернет-магазин, или на сайте объявлений. Проще говоря, на всех тех ресурсах, где нужно передать свой номер (к примеру, для перевода денег, чтобы купить/продать товар). Даже в ресторане, если вы оплачиваете счет картой, можно по пути «подглядеть» ее цифры.

Номер есть. Что дальше? Мошенникам остается лишь узнать ваше ФИО (если это покупка продажа/товара, то они могут спросить его у вас прямолинейно), тип карты и срок его действия. ФИО можно узнать в процессе перевода в «Сбербанк Онлайн»: когда осуществляется перевод денег на другую карту, перед подтверждением транзакции, всегда предоставляется ФИО человека, на карту которого осуществляется перевод.

Определить тип карты несложно: его можно определить, зная номер. У каждой платежной системы номер начинается на определенную цифру (к примеру, у «Визы» с цифры «4»). Данный процесс занимает очень малое количество времени.

Узнать срок действия карты также легко. Как правило, карты выдаются в среднем на 4 года. А значит, «протестировав» небольшое количество комбинаций, мошенники, в конечном итоге, выйдут на «выигрышный» вариант.

Как «уходят» средства с карты

Сначала может показаться, что вышеприведенных данных будет недостаточно, чтобы снять деньги. Да, напрямую снять средства с такой информацией не получится. Поэтому, мошенники могут воспользоваться крупными Интернет-магазинами (например, Amazon.com), и оформить заказ там. Какой-либо проверки через СМС нет (только оповещение о снятии средств), пароли вводить не надо, CVV (код, располагающийся на обратной стороне карты) не нужен.
Примечательно, но с помощью Интернет-магазина легко подобрать верный срок действия карты. Никакой капчи, или иной защиты. Комбинации можно сменять одной за другой, пока не «наткнешься» на правильный результат.
Вот и все. Далее, вы будете получать SMS-сообщения об операциях, пока злоумышленники не опустошат карту. А ведь на счету может лежать приличная сумма.

Может быть интересно: Можно ли получить кредит с плохой кредитной историей?

Как защититься?

1. Используйте карты, не предназначенные для Интернет-платежей (к примеру, карта Maestro)
2. Блокировать карту при первых же подозрениях в мошенничестве
3. Не передавать номер карты третьим лицам
4. Установить «лимит» на совершение операций
5. Не использовать карту для покупки в подозрительных Интернет-магазинах
6. Если есть возможность, не расплачиваться картой, с которой потенциально можно украсть деньги подобным способом.

Вопросы и ответы

Что делать, если мошенники украли деньги с карты?

Если злоумышленникам каким-либо способом все же удалось «стащить» деньги, то первым делом сразу же блокируйте карточку. Далее, пишете заявление в банк, и в случае надобности, в милицию. Делать все нужно как можно быстрее.

Вернут ли деньги, украденные с карты?

Касательно возврата. Все зависит от того, КАК были украдены деньги:

1. Если мошенники использовали Интернет-магазин, и «обошли» 3D-secure (протокол, требующий подтверждения платежа через СМС), то маловероятно, что деньги будут возвращены.
2. Не вернут деньги, если вы сами дали фактическое согласие на списание (к примеру, поддались на убеждения мошенников, и сами передали им пароли, коды подтверждения и пр.)
3. В случае, если у вас украли деньги посредством скимминга (установкой считывающих устройств в банкомат), то большая вероятность, что деньги вам вернут.

Каждый вопрос рассматривается индивидуально. Повторюсь, что огромную роль будет играть то, каким методом были украдены деньги, и оказали ли вы, сами того не подозревая, помощь мошенникам.