Смартфон вместо карты: мошенники заставляют жертв самостоятельно переводить деньги через NFC-терминалы

by Опубликовано

Мошенники начали выводить деньги россиян через NFC, превращая смартфоны в «чужие» банковские карты

«Приложите телефон к банкомату»: преступники научились использовать токенизацию для обналичивания чужих счетов

Мошенники адаптировали бесконтактные технологии под новые схемы хищения. Если раньше жертву просили назвать код из SMS или перейти по фишинговой ссылке, то теперь злоумышленники заставляют человека самостоятельно прийти к банкомату и приложить собственный смартфон к считывателю. Деньги при этом уходят не на «левый» счет, а проходят через процедуру токенизации, что существенно осложняет расследование. Подробности схемы раскрыли в РИА Новости, а эксперты по кибербезопасности подтвердили рост подобных инцидентов в последние недели.

Сценарий выглядит обманчиво простым. Гражданину поступает звонок от якобы сотрудника банка или правоохранительных органов. Под разными предлогами — от необходимости защитить сбережения до обновления приложения — у жертвы выманивают SMS-код, а также убеждают установить стороннее программное обеспечение. Именно это приложение, оставаясь незаметным на экране, выполняет ключевую функцию: оно эмулирует цифровую банковскую карту, привязанную к счету мошенников, прямо в память NFC-модуля смартфона жертвы.

Далее человека направляют к банкомату. Ему объясняют, что для «проверки счета» или «отмены ошибочного перевода» необходимо внести наличные через купюроприемник, а затем приложить телефон к терминалу для подтверждения. Потерпевший, полагая, что участвует в легитимной банковской операции, самостоятельно зачисляет деньги на карту, токен которой только что был установлен в его устройство. В результате наличные уходят напрямую злоумышленникам, а жертва лишь фиксирует списание средств со своего счета.

Эксперт Евгения Лазарева, чей комментарий приводится в публикации, подтвердила: схема не просто теоретическая, она активно применяется. По ее словам, преступники целенаправленно добавляют карту на третьих лиц в платежное приложение жертвы, чтобы запутать следы. Технология токенизации, используемая в Apple Pay, Samsung Pay и аналогичных сервисах, призвана повышать безопасность, заменяя реальный номер карты уникальным цифровым кодом. Но здесь она сыграла на руку аферистам: для банка операция выглядит как обычный бесконтактный платеж, совершенный владельцем смартфона.

Сложность раскрытия таких эпизодов связана с тем, что потерпевший физически сам вносит деньги и сам прикладывает телефон. В выписке отражается транзакция, совершенная через его устройство. Установить, что в момент операции на смартфоне была активна чужая карта, без детального исследования практически невозможно. Именно на это и рассчитывают преступники, вынуждая человека становиться невольным соучастником перевода.

В январе текущего года Госдума в первом чтении рекомендовала к принятию законопроект, который вводит так называемый «период охлаждения» по потребительским кредитам. Однако документ содержит важный пункт, способный повлиять и на NFC-мошенничество. Речь идет об ограничении на зачисление наличных денежных средств на токенизированные карты. Предполагается, что если карта была выпущена в цифровом виде (то есть добавлена в платежный сервис), то в течение 48 часов после выпуска нельзя будет внести на нее более 50 тысяч рублей через кассы или банкоматы.

Именно такой механизм, по мнению Лазаревой, способен существенно сократить число успешных атак. Ведь сейчас жертву просят внести суммы, далеко превышающие 50 тысяч, и делают это сразу после того, как мошенники инициируют выпуск токена. Если закон будет принят, злоумышленникам придется либо дробить операции на мелкие части, что повышает риск их обнаружения, либо отказываться от схемы вовсе. Кроме того, банки получат временное окно для блокировки подозрительных цифровых карт до того, как на них поступят крупные суммы.

Пока же сотрудники финансовых организаций и специалисты по информационной безопасности призывают граждан к предельной бдительности. Ни один сотрудник банка не вправе требовать установки сторонних приложений, а тем более просить подойти к банкомату и приложить телефон для «зачисления» или «возврата» средств. Любое упоминание NFC и токенизации в телефонном разговоре с незнакомцем должно расцениваться как безусловный признак мошенничества.

Таким образом, технологический прогресс, призванный упрощать повседневные платежи, стал новым полем для социальной инженерии. И пока законодатели готовят инструменты сдерживания, единственной надежной защитой остается осведомленность самих держателей карт и их умение вовремя прервать разговор.