Если вы не передаете мошенникам из «службы безопасности ВТБ» коды из СМС, они все равно могут попасть в ваш личный кабинет online.vtb.ru через QR-код. При этом, мошенникам не нужно знать ни номер карты, ни взламывать ваш смартфон, достаточно запугать жертву и затуманить ей мозги. Как это может произойти?
Описание реального случая, размещенного на banki.ru и vc.ru:
В пятницу моя мама столкнулась с мошенниками, действующими от лица ВТБ, и установки «не сообщать кодов, паролей», оказалось недостаточно.
Вводные данные:
- Счёт в ВТБ, основная сумма на накопительном счёте
- Мобильное приложение ВТБ Онлайн установленное на iPhone (не рутованый, приложения только из Appstore)
Хроника событий:
- В 16:37 маме начинают звонить мошенники. Звонки были с различных номеров, все они начинались +495, в том числе номер ВТБ Страхование +7(495) 644-44-40, что говорит о том что номера телефонов подделаны
- Диалог подробно описывать не буду, главные цели мошенников — удержать жертву на линии как можно дольше, и попросить её зайти в личный кабинет в приложении ВТБ Онлайн по их ссылке (об этом ниже). Ошибка #1 — вступать в диалог
- В 16:49 в мессенджер приходит ссылка формата `online.vtb.ru/i/qrauth/…`, при нажатии на неё открывается ВТБ Онлайн — всё как говорит «оператор». В ВТБ онлайн после перехода по ссылке появляется окно «Подтвердите вход в интернет-банк. Вы совершаете вход с такого-то устройства, такого-то браузера«. Мама перешла по ссылке и подтвердила вход. Ошибка #2 — не прочитать весь текст в этом сообщении
- 17:06 — мошенники перевели деньги с накопительного счёта на мастер счёт, мама увидела уведомление на телефоне об этой операции (но никакого СМС подтверждения не было!)
- 17:09 — Из-за операции по выводу денег с вклада стало понятно что дело плохо, поэтому мама поставила мошенников на удержание и позвонила в горячую линию
— Мошенники попытались перевести деньги с мастер счёта, операция была отменена (либо автоматически, либо благодаря звонку в горячую линию), карта и личный кабинет заблокированыКак это работает:
- Во время разговора, на сайте https://online.vtb.ru/login мошенник генерирует QR код для входа в личный кабинет, из него извлекается ссылка и отправляется жертве в мессенджер
- Домен ссылки является настоящим и опасений не вызывает — `online.vtb.ru/i/qrauth/…`
- Переход по ссылке и подтверждение входа авторизует в личный кабинет тот компьютер, на котором был сгенерирован QR код
Вопросы к ВТБ:
- Почему операция по переводу денег с накопительного счёта на мастер счёт произошла без СМС подтверждения?
- При авторизации по QR коду, в ситуации, когда телефон, сканирующий код и ПК, где этот код был показан, имеют разные IP адреса или геопозицию, не стоит ли добавить дополнительную защиту? Например, СМС код
- Почему в истории авторизаций, авторизация по QR коду не показывает реальный IP адрес зашедшего в личный кабинет?
- Авторизация по QR открывает новые возможности для мошенников. Предоставьте возможность отключить её в настройках в личном кабинете
Выводы:
- Установки «не сообщать коды и пароли по телефону» недостаточно. Если сотрудник банка что-то от вас хочет, необходимо не вступать в диалог, сбрасывать звонок и перезванивать самостоятельно
- Новые способы авторизации в личный кабинет = новые опасности
- Надо знать приемы мошенников, начиная с подменного номера. Звонок с номера, принадлежащего группе ВТБ — еще ничего не значит
Итак, разберем еще раз происходящее со стороны мошенника
- Мошенник звонит жертве, подделав номер звонящего
- Параллельно он заходит на страницу online.vtb.ru и нажимает первую кнопку «Быстрый вход по QR-коду»:
Время действия выданного QR-кода — 5минут:
- В обычной ситуации клиент банка должен запустить мобильное приложение, найти в разделе «Избранное» функцию QR-код и навести смартфон на QR-код.
При этом приложение производит запрос по ссылке из QR-кода вида https://online.vtb.ru/i/qrauth/a374207e-ec44-423b-8d0b-6e8c5a5a**** (вполне нормальная ссылка на официальный сайт банка ВТБ).
Но в нашем случае клиент ничего этого не делает, вместо этого мошенник смартфоном считывает из этого QR-кода ссылку, копирует ее и передает жертве в мессенджер, убеждая ее нажать на ссылку (больше от жертвы ничего не требуется). - Жертва нажимает ссылку и … мошенник тут же попадает в его личный кабинет и начинает там хозяйничать.
Вероятно, мошенники действуют вдвоем: один забалтывает жертву по телефону, не давая ему времени зайти в мобильное приложение или позвонить в банк и понять, что происходит, а второй — производит необходимые манипуляции с помощью компьютера и смартфона.
Будьте бдительны: предупрежден — значит вооружен.
Кроме того, 18.11.2021 ВТБ Онлайн внедрил опцию бесплатных денежных переводов по персональному QR-коду. Что это такое, и есть ли тут новые риски для денег клиентов — надо разбираться. В любом случае, дополнительные функции — это новые потенциальные возможности для мошенников увести деньги у жертвы.
Новости
13.01.2023 — QR в банкоматах ВТБ
ВТБ добавил во все банкоматы с функцией приема наличных (в отличии от Сбера ранее) опцию внесения по QR коду. Работает так: сканируете смартфоном QR с экрана банкомата и выбираете в приложении дебетую или кредитную карту для зачисления. Функция работает в приложении для Android версии 17.7 и выше. Для пользователей iOS функцию добавят в мобильной версии интернет-банка.