Рубрика: Безопасность

Аналитическая информация о финансовой безопасности

Махачкалинская схема Сбербанк-развода

Наш читатель из Дагестана рассказал о хитром способе мошенничества, при котором на жертву вешают кредит в Сбербанке, а деньги выманивают. Скоро и в других регионах.

Начинается как обычно. С городского московского номера звонят жертве якобы из службы безопасности Сбербанка и сообщают о попытке вывода денег с карты. Далее, жертве предлагают сделать некоторые операции, которые проверят целостность денег на карте жертвы и предотвратят их несанкционированный вывод.

ШАГ ПЕРВЫЙ

Мошенник предлагает перевести на счёт жертвы деньги, которые затем надо перевести якобы на счёт банка (обычный перевод на карту). Жертва, поверившая словам мошенников, соглашается на их условия и едет к банкомату Сбербанка, который указывает мошенник. Всё это время мошенники не кладут трубку, и передавая трубку друг другу имитируют кропотливую заботу о клиенте. Жертве сообщают, что сейчас при переводе на его карту денег придёт проверочный код. С РЕАЛЬНОГО номера 900 приходит код, и жертва сообщает его мошеннику.

ШАГ ВТОРОЙ

Далее происходит приход средств на карту жертвы, которые он должен снять и перевести на уже другую карту. Жертва так и поступает: получает деньги в банкомате и вносит уже на другой счёт. В моем случае жертва получила на счёт 90 тысяч, 45 из которых она вывела и перевела на другую карту. При попытке получить остальные 45 произошла какая-то ошибка и мошенник перевёл жертву на якобы службу безопасности Почта Банка, офис которого находился рядом, чтобы попытаться вывести оставшуюся сумму.

Пострадавший, придя в офис Почта Банка, обратился к служащему и только потом, после объяснения, понял, что происходит афера.
Всё это длилось более часа. Мошенник не даёт жертве положить трубку. Что произошло на самом деле? На деле, мошенник отправляя получая код на номер жертвы, оформляет кредит на жертву и выводит их на свою карту. Пострадавший в данном случае «оформил» на себя кредит в 90 тысяч в Сбербанке, перевёл 45 тысяч мошенникам.

Остальные 45 тысяч остались на его карте, но уже в виде кредита, который он должен погасить. Примечателен тот факт, что такая дичь происходит в течение буквально 30 минут или часа, то есть оператор Сбербанка одобряет выдачу кредита в 90 тысяч по СМС-коду без никаких дополнительных условий. При этом не видит получателя, не слышит его голос, не контролирует с каких устройств осуществляется вход в онлайн-службу Сбербанка.

И это при многомиллионных вложениях в безопасность. Вполне возможно, что схема новая, и будет сейчас внедрятся повсеместно.

Осторожно, жулики используют Awesun

Новый телефон службы Финансового мониторинга Сбербанка: +74954490250. Плюс используют защищённую линию для звонков по Вотсапп +79510634037.

Суть: Операция подозрительная, блокируем. Что у вас где есть? Карты каких банков? Скажите все данные карт, мы должны сообщить в Российскую ассоциацию банков. Когда понял, что ничего не может, рассказал что он с Украины. Зарабатывает по 2000-2500 долларов. Молодёжь вся в курсе, в основном разводят пенсионеров.

При разводе просил скачать программу на андроид Awesun, мотивируя тем что это антивирус для банковских приложений. 😀 На самом деле, это программа удалённого доступа. Может использоваться для кражи денег и персональных данных.

Ранее жулики для того, чтобы красть данные у людей чаще использовали программы Teamviewer и Anydesk.

Странные SMS по долгу МТС-банку

Наш читатель, у которого нет кредитов (и не клиент МТС банка), получил такое SMS.
«Предоставляем Вам 2 дня с даты СМС, для принятия решения о добровольной оплате ДОЛГА перед ПАО МТС банк(89162О8977О), далее последуют наши рекомендации Кредитору по реализации принудительного взыскания через суд. ООО МБА Финансы 88005555105».
Начал выяснять. Оказалось, в базе банка номер, на который было прислано SMS, закреплён за другим человеком.

Вообще SMS странное, размер долга не указан, в первом номере 89162089770 вместо нолей буквы «O» стоят, как гасить долг (если он в реальности есть) не указано.

На подобные SMS есть жалобы в интернете.

В мае 2020 года человек сообщил:
«Спустя долгий срок, перезвонили оповестили о том, что убрали мой номер. В общем либо, мой номер раньше принадлежал текущему должнику. Либо они плохо верифицируют номера».

Николай Метлюк, Илья Трусов и атака на Вкладер

Наш сайт Вкладер с 23 января 2020 года атакуют злоумышленники с переменным успехом. С помощью специалиста по компьютерной безопасности удалось выяснить, кому принадлежат сервера, с которых шла атака.

Поведение отдельного IP-адреса во время атаки в целом можно расценить как похожее на поведение пользователей (если не знать контекста), но в массе с огромным числом подобных обращений это создаёт избыточную нагрузку и временами рушит сайт.

Мы заметили, что многие зловредные IP принадлежат российской структуре с указанным адресом для жалоб abuse@pinspb.ru.

На сайте pinspb расположено Общество с ограниченной ответственностью «Петербургская Интернет Сеть» (ООО «ПИН»; ОГРН 1077847448997 от 14.06.2007; Юридический адрес: 192289, Санкт-Петербург, ул. Малая Балканская, д. 58; Почтовый адрес 192171, Санкт-Петербург, ул. Седова, д.80, лит. А, оф. 30).

Согласно государственным базам, владельцем 100% компании является Метлюк Николай Валерьевич. Он же с 2007 года выступает генеральным директором.

Недавно Николай Метлюк выступал на конференции Comnews (руководитель Леонид Коник).

В качестве сотрудников ПИН указаны Вера Метлюк, Евгений Струков, Сергей Стополянский, Анастасия Антоненкова.

6 февраля мы обратились по адресу abuse@pinspb.ru с просьбой принять меры, чтобы злоумышленники не атаковали нас с IP, принадлежащих компании. В ответ нас попросили прислать IP-адреса участников атаки.

Мы дали данный список (далеко не полный):

  • 37.9.45.0 — 37.9.45.255
  • 5.8.46.0 — 5.8.46.127
  • 5.189.205.0 — 5.189.205.127
  • 5.8.44.0 — 5.8.44.127
  • 37.9.46.0 — 37.9.46.255
  • 5.101.222.128 — 5.101.222.255
  • 193.93.195.0 — 193.93.195.255
  • 5.189.207.128 — 5.189.207.255
  • 91.243.90.128 — 91.243.90.255
  • 91.243.91.128 — 91.243.91.255
  • 5.188.217.0 — 5.188.217.255
  • 91.243.91.128 — 91.243.91.255
  • 5.188.219.0 — 5.188.219.255
  • 5.101.219.128 — 5.101.219.255
  • 5.189.206.128 — 5.189.206.255

Ответ был такой:

«Здравствуйте!

К Вашей заявке службой поддержки было оставлено сообщение:

"Здравствуйте.

Этот диапазон ip принадлежит нам, но теперь он арендован и анонсирован AS50896. Ссылка на базу данных RIPE по данным текущего владельца:

https://apps.db.ripe.net/db-web-ui/query?bflag=true&dflag=false&rflag=true&searchtext=AS50896&source=RIPE. 


P.S. При переписке, пожалуйста, сохраняйте цитирование.
Если у Вас есть жалобы на работу наших служб или сотрудников,
пожалуйста, направляйте претензии на адрес: support@pinspb.ru

===================================================
С Уважением, Служба Техподдержки Pin!
старший специалист сектора технической поддержки ЦОД Лакомый Алексей Александрович
-------------------------------------------------
ООО "Петербургская Интернет Сеть"
192171, Санкт-Петербург, ул. Седова, д.80
Email: support@pinspb.ru - Web: http://www.pinspb.ru
Tel: (812)677-25-25, (495)721-84-58 -- Fax: (812)309-39-16".

То есть ООО «Петербургская Интернет Сеть» признало, что IP принадлежат ей, но не считает проблемой, что с её оборудования совершается уголовное преступление (статья 273 УК РФ «Создание, использование и распространение вредоносных программ для ЭВМ»).

Что же это за AS50896?

В качестве ответственной организации указан Trusov Ilya Igorevych (Трусов Илья Игоревич), контакт для жалоб: abusemail@depo40.ru. Мы 7 февраля написали по данному адресу, но ответа не получили.

При этом данный субъект указан и в массе других IP, которые атаковали сайт в январе-феврале 2020 года. Так, email указан как контактный для некой сети QUALITYNETWORK. Контакты даны следующие:

person: QUALITY NETWORK CORP
address: Office 14, Trinity House, Victoria, Mahe, Seychelles. SC-12
phone: +35722007451
nic-hdl: GS19550-RIPE
mnt-by: QNSC
created: 2017-07-31T17:49:28Z
last-modified: 2018-01-20T19:02:47Z

В данных IP указаны следующие контакты Трусова Илья Игоревича: Trusov Ilya Igorevych; address: Moscow Street 258, office 16; 248021; Kaluga; phone: +79533100064; Kaluga Data Center Depo; Калуга, Московская улица, дом 258, офис 16). В базе данных указан email iluxa85@inbox.ru.

Сеть состоит из огромного числа IP, и на неё в интернете много жалоб за спам и вредительские действия на сайтах.

В атаке участвовали, в частности, IP из следующих диапазонов:

  • 185.46.84.0 — 185.46.87.255
  • 193.93.194.0 — 193.93.195.255
  • 91.216.3.0 — 91.216.3.255
  • 185.46.87.128 — 185.46.87.255
  • 185.46.85.128 — 185.46.85.255

Также мы заметили, что многие IP имеют Abuse contact ‘abuse@quality-network.eu’ и пожаловались туда 7 февраля, не получив ответа. Это IP из диапазонов:

  • 188.68.0.0 — 188.68.0.254
  • 185.13.32.128 — 185.13.32.255
  • 185.101.70.0 — 185.101.70.255
  • 5.62.158.0 — 5.62.158.255
  • 95.181.182.0 — 95.181.182.255
  • 5.62.158.0 — 5.62.158.255
  • 95.181.182.0 — 95.181.182.255
  • 5.62.159.0 — 5.62.159.255
  • 79.133.107.0 — 79.133.107.254
  • 5.62.152.0 — 5.62.152.254
  • 185.101.68.0 — 185.101.68.255
  • 95.181.183.0 — 95.181.183.127
  • 79.133.106.128 — 79.133.106.255
  • 79.133.106.0 — 79.133.106.127
  • 95.181.182.0 — 95.181.182.255

Для этой сети указано имя QUALYTYNETWORK, адрес на Сейшельских островах (person: QUALITY NETWORK CORP; address: Office 14, Trinity House, Victoria, Mahe, Seychelles. SC-12; phone: +35722007451) и тот же самый origin: AS50896.

В атаках также участвовали:

origin: AS200557
Abuse contact: abuse@atomohost.com
person: QUALITY NETWORK CORP
address: Office 14, Trinity House, Victoria, Mahe, Seychelles. SC-12
В частности, вот IP адреса из этих диапазонов (далеко не все).
91.204.15.0 — 91.204.15.127
185.89.101.128 — 185.89.101.255
185.89.100.128 — 185.89.100.255
79.110.31.0 — 79.110.31.127
91.204.14.128 — 91.204.14.255
91.204.15.0 — 91.204.15.127

origin: AS35624
Abuse contact: abuse@fitz-isp.uk
organisation: ORG-FIL15-RIPE
person: Aleksei Filippenko

origin: AS206485
origin: AS200557
Abuse contact: noc@finetransit.eu
org-name: FineTransit OU

origin: AS206485
Abuse contact: abuse@fast-telecom.net’
role: Qualitynetwork OU
address: Estonia pst 5-309B

origin: AS49453
Abuse contact: abuse@fast-telecom.net
role: Qualitynetwork OU
address: Estonia pst 5-309B

origin: AS50896
% Abuse contact for ‘212.60.20.0 — 212.60.21.255’ is ‘abuse@fitz-isp.uk’
org-name: FITZ ISP LTD (20-22 Wenlock Road, London, England, person: Aleksei Filippenko, Алексей Филиппенко).

 

В завершение хочется попросить Николая Метлюка, Илью Трусова и других уполномоченных персон прекратить сдавать сервера в аренду злоумышленникам, вероятно, анонимным.

+74954490318: развод, не сообщайте персональные данные

Александр Лихтман рассказывает об адаптированном виде телефонной разводки:

Звонок с номера +74954490318. На фоне гул колл-центра.
Девушка (Д): Здравствуйте, Александр Симхович?
Я: Да?
Д: Я такая-то, младший специалист банка Банк ВТБ, вы оставляли заявку на кредит? Миллион наличными?
Я: Нет
Д: А вот нам пришла заявка, скажите, вы передавали свои доступы доверенным лицам?
Я: Да
Д: Значит, произошла утечка. Кому вы передавали данные?
Я: Почему утечка? Вы позвонили, уточнили, спасибо за бдительность. Я отказываюсь. Все нормально
Д: Нет, нам надо проверить факт утечки
Я: Ну проверяйте, вы же банк
Д: Но ваши персональные данные скомпрометированы, кому вы давали доступ?
Я: Вы банк, вам виднее
..короткие гудки

Вопрос. Что они пытались выяснить? Имя? Или развести меня на смену пароля по телефону?

Комментарий ВТБ:

Здравствуйте! Благодарим Вас за бдительность! Мы направили номер в службу безопасности банка.

Нередки случаи, когда мошенниками используются крупные бренды банков в своих целях.

Звонки поступают выборочно, в надежде таки попасть на нужного им клиента.

Важно при подобных звонках ничего не сообщать собеседнику, тем более какие-либо коды, поступающие в СМС от банка.