Мошенники чаще всего выводят средства с банковских карт россиян с помощью онлайн-сервисов по переводу денег с карты на карту (Card2Card). Подобное происходит в 80% случаев хищения денег с карты при использовании методов социальной инженерии: злоумышленники, представляясь сотрудниками служб безопасности банков, просят клиентов назвать код из SMS. После этого деньги оказываются на виртуальных картах мошенников.
Злоумышленник, как пояснили "Известиям" в пресс-службе Сбербанка, вводит на Card2Card-платформе данные карты, с которой хочет снять деньги, и информацию о виртуальной карте, куда они должны быть зачислены. Владелец карты-отправителя получает SMS с кодом подтверждения, а мошенники под видом сотрудников службы безопасности банка просят назвать им код из сообщения. Так деньги оказываются на чужих картах, в том числе и виртуальных.
Например, такие возможности перевода средств с карты на карту есть у сервисов "Яндекс.Деньги", QIWI или Webmoney. В конечном итоге средства переводят на физический "пластик", с которого можно снять наличные. Источник в службе безопасности одного из банков рассказал, что случаи кражи денег через Card2Card участились. В 2019 году подобное происходит до 4 раз в месяц, тогда как в прошлом не было зафиксировано ни одного инцидента. Раньше мошенники чаще всего обналичивали украденные средства, покупая вещи в иностранных интернет-магазинах на адрес посредника. При этом им доставалось около 40% от украденной суммы. После перехода на виртуальные карты можно получить всю сумму.
По словам заместителя директора департамента инфобезопасности ФК "Открытие" Ильи Сулоева, такой способ хищения обусловлен упрощенными процедурами идентификации пользователя и наличием различных способов ее обхода для получения доступа к финансовым сервисам третьими лицами. В то же время технический директор компании DeviceLock Ашот Оганесян рассказал газете, что популярность виртуальных карт для вывода денег мошенниками объясняется простотой их покупки на подставных лиц, а также отметил, что на интернет-форумах можно найти много предложений по продаже авторизованных онлайн-кошельков.
В середине октября в ЦБ предупредили об использовании при звонках клиентам банков технологии подмены номеров злоумышленников на телефоны реальных call-центров. По данным регулятора, с сентября 2018 года по август 2019-го на блокировку было отправлено 4936 номеров, задействованных в мошеннических SMS-рассылках.