Если вы не передаете мошенникам из “службы безопасности ВТБ” коды из СМС, они все равно могут попасть в ваш личный кабинет online.vtb.ru через QR-код. При этом, мошенникам не нужно знать ни номер карты, ни взламывать ваш смартфон, достаточно запугать жертву и затуманить ей мозги. Как это может произойти?
Описание реального случая, размещенного на banki.ru и vc.ru:
В пятницу моя мама столкнулась с мошенниками, действующими от лица ВТБ, и установки “не сообщать кодов, паролей”, оказалось недостаточно.
Вводные данные:
- Счёт в ВТБ, основная сумма на накопительном счёте
- Мобильное приложение ВТБ Онлайн установленное на iPhone (не рутованый, приложения только из Appstore)
Хроника событий:
- В 16:37 маме начинают звонить мошенники. Звонки были с различных номеров, все они начинались +495, в том числе номер ВТБ Страхование +7(495) 644-44-40, что говорит о том что номера телефонов подделаны
- Диалог подробно описывать не буду, главные цели мошенников – удержать жертву на линии как можно дольше, и попросить её зайти в личный кабинет в приложении ВТБ Онлайн по их ссылке (об этом ниже). Ошибка #1 – вступать в диалог
- В 16:49 в мессенджер приходит ссылка формата `online.vtb.ru/i/qrauth/…`, при нажатии на неё открывается ВТБ Онлайн – всё как говорит “оператор”. В ВТБ онлайн после перехода по ссылке появляется окно “Подтвердите вход в интернет-банк. Вы совершаете вход с такого-то устройства, такого-то браузера“. Мама перешла по ссылке и подтвердила вход. Ошибка #2 – не прочитать весь текст в этом сообщении
- 17:06 – мошенники перевели деньги с накопительного счёта на мастер счёт, мама увидела уведомление на телефоне об этой операции (но никакого СМС подтверждения не было!)
- 17:09 – Из-за операции по выводу денег с вклада стало понятно что дело плохо, поэтому мама поставила мошенников на удержание и позвонила в горячую линию
– Мошенники попытались перевести деньги с мастер счёта, операция была отменена (либо автоматически, либо благодаря звонку в горячую линию), карта и личный кабинет заблокированыКак это работает:
- Во время разговора, на сайте https://online.vtb.ru/login мошенник генерирует QR код для входа в личный кабинет, из него извлекается ссылка и отправляется жертве в мессенджер
- Домен ссылки является настоящим и опасений не вызывает – `online.vtb.ru/i/qrauth/…`
- Переход по ссылке и подтверждение входа авторизует в личный кабинет тот компьютер, на котором был сгенерирован QR код
Вопросы к ВТБ:
- Почему операция по переводу денег с накопительного счёта на мастер счёт произошла без СМС подтверждения?
- При авторизации по QR коду, в ситуации, когда телефон, сканирующий код и ПК, где этот код был показан, имеют разные IP адреса или геопозицию, не стоит ли добавить дополнительную защиту? Например, СМС код
- Почему в истории авторизаций, авторизация по QR коду не показывает реальный IP адрес зашедшего в личный кабинет?
- Авторизация по QR открывает новые возможности для мошенников. Предоставьте возможность отключить её в настройках в личном кабинете
Выводы:
- Установки “не сообщать коды и пароли по телефону” недостаточно. Если сотрудник банка что-то от вас хочет, необходимо не вступать в диалог, сбрасывать звонок и перезванивать самостоятельно
- Новые способы авторизации в личный кабинет = новые опасности
- Надо знать приемы мошенников, начиная с подменного номера. Звонок с номера, принадлежащего группе ВТБ – еще ничего не значит
Итак, разберем еще раз происходящее со стороны мошенника
- Мошенник звонит жертве, подделав номер звонящего
- Параллельно он заходит на страницу online.vtb.ru и нажимает первую кнопку “Быстрый вход по QR-коду”:
Время действия выданного QR-кода – 5минут:
- В обычной ситуации клиент банка должен запустить мобильное приложение, найти в разделе “Избранное” функцию QR-код и навести смартфон на QR-код.
При этом приложение производит запрос по ссылке из QR-кода вида https://online.vtb.ru/i/qrauth/a374207e-ec44-423b-8d0b-6e8c5a5a**** (вполне нормальная ссылка на официальный сайт банка ВТБ).
Но в нашем случае клиент ничего этого не делает, вместо этого мошенник смартфоном считывает из этого QR-кода ссылку, копирует ее и передает жертве в мессенджер, убеждая ее нажать на ссылку (больше от жертвы ничего не требуется). - Жертва нажимает ссылку и … мошенник тут же попадает в его личный кабинет и начинает там хозяйничать.
Вероятно, мошенники действуют вдвоем: один забалтывает жертву по телефону, не давая ему времени зайти в мобильное приложение или позвонить в банк и понять, что происходит, а второй – производит необходимые манипуляции с помощью компьютера и смартфона.
Будьте бдительны: предупрежден – значит вооружен.
Кроме того, 18.11.2021 ВТБ Онлайн внедрил опцию бесплатных денежных переводов по персональному QR-коду. Что это такое, и есть ли тут новые риски для денег клиентов – надо разбираться. В любом случае, дополнительные функции – это новые потенциальные возможности для мошенников увести деньги у жертвы.
Новости
13.01.2023 – QR в банкоматах ВТБ
ВТБ добавил во все банкоматы с функцией приема наличных (в отличии от Сбера ранее) опцию внесения по QR коду. Работает так: сканируете смартфоном QR с экрана банкомата и выбираете в приложении дебетую или кредитную карту для зачисления. Функция работает в приложении для Android версии 17.7 и выше. Для пользователей iOS функцию добавят в мобильной версии интернет-банка.