ВТБ и QR-коды, мошенники и ваш личный кабинет

Безопасность

Если вы не передаете мошенникам из “службы безопасности ВТБ” коды из СМС, они все равно могут попасть в ваш личный кабинет online.vtb.ru через QR-код. При этом, мошенникам не нужно знать ни номер карты, ни взламывать ваш смартфон, достаточно запугать жертву и затуманить ей мозги. Как это может произойти?

Описание реального случая, размещенного на banki.ru и vc.ru:

В пятницу моя мама столкнулась с мошенниками, действующими от лица ВТБ, и установки “не сообщать кодов, паролей”, оказалось недостаточно.

Вводные данные:

  • Счёт в ВТБ, основная сумма на накопительном счёте
  • Мобильное приложение ВТБ Онлайн установленное на iPhone (не рутованый, приложения только из Appstore)

Хроника событий:

  • В 16:37 маме начинают звонить мошенники. Звонки были с различных номеров, все они начинались +495, в том числе номер ВТБ Страхование +7(495) 644-44-40, что говорит о том что номера телефонов подделаны
  • Диалог подробно описывать не буду, главные цели мошенников – удержать жертву на линии как можно дольше, и попросить её зайти в личный кабинет в приложении ВТБ Онлайн по их ссылке (об этом ниже). Ошибка #1 – вступать в диалог
  • В 16:49 в мессенджер приходит ссылка формата `online.vtb.ru/i/qrauth/…`, при нажатии на неё открывается ВТБ Онлайн – всё как говорит “оператор”. В ВТБ онлайн после перехода по ссылке появляется окно “Подтвердите вход в интернет-банк. Вы совершаете вход с такого-то устройства, такого-то браузера“. Мама перешла по ссылке и подтвердила вход. Ошибка #2 – не прочитать весь текст в этом сообщении
  • 17:06 – мошенники перевели деньги с накопительного счёта на мастер счёт, мама увидела уведомление на телефоне об этой операции (но никакого СМС подтверждения не было!)
  • 17:09 – Из-за операции по выводу денег с вклада стало понятно что дело плохо, поэтому мама поставила мошенников на удержание и позвонила в горячую линию
    – Мошенники попытались перевести деньги с мастер счёта, операция была отменена (либо автоматически, либо благодаря звонку в горячую линию), карта и личный кабинет заблокированы

Как это работает:

  • Во время разговора, на сайте https://online.vtb.ru/login мошенник генерирует QR код для входа в личный кабинет, из него извлекается ссылка и отправляется жертве в мессенджер
  • Домен ссылки является настоящим и опасений не вызывает – `online.vtb.ru/i/qrauth/…`
  • Переход по ссылке и подтверждение входа авторизует в личный кабинет тот компьютер, на котором был сгенерирован QR код

Вопросы к ВТБ:

  • Почему операция по переводу денег с накопительного счёта на мастер счёт произошла без СМС подтверждения?
  • При авторизации по QR коду, в ситуации, когда телефон, сканирующий код и ПК, где этот код был показан, имеют разные IP адреса или геопозицию, не стоит ли добавить дополнительную защиту? Например, СМС код
  • Почему в истории авторизаций, авторизация по QR коду не показывает реальный IP адрес зашедшего в личный кабинет?
  • Авторизация по QR открывает новые возможности для мошенников. Предоставьте возможность отключить её в настройках в личном кабинете

Выводы:

  • Установки “не сообщать коды и пароли по телефону” недостаточно. Если сотрудник банка что-то от вас хочет, необходимо не вступать в диалог, сбрасывать звонок и перезванивать самостоятельно
  • Новые способы авторизации в личный кабинет = новые опасности
  • Надо знать приемы мошенников, начиная с подменного номера. Звонок с номера, принадлежащего группе ВТБ – еще ничего не значит

Итак, разберем еще раз происходящее со стороны мошенника

  1. Мошенник звонит жертве, подделав номер звонящего
  2. Параллельно он заходит на страницу online.vtb.ru и нажимает первую кнопку “Быстрый вход по QR-коду”: Вход по QR-коду в личный кабинет ВТБВремя действия выданного QR-кода – 5минут:
  3. В обычной ситуации клиент банка должен запустить мобильное приложение, найти в разделе “Избранное” функцию QR-код и навести смартфон на QR-код.
    При этом приложение производит запрос по ссылке из QR-кода вида https://online.vtb.ru/i/qrauth/a374207e-ec44-423b-8d0b-6e8c5a5a**** (вполне нормальная ссылка на официальный сайт банка ВТБ).
    Но в нашем случае клиент ничего этого не делает, вместо этого мошенник смартфоном считывает из этого QR-кода ссылку, копирует ее и передает жертве в мессенджер, убеждая ее нажать на ссылку (больше от жертвы ничего не требуется).
  4. Жертва нажимает ссылку и … мошенник тут же попадает в его личный кабинет и начинает там хозяйничать.

Вероятно, мошенники действуют вдвоем: один забалтывает жертву по телефону, не давая ему времени зайти в мобильное приложение или позвонить в банк и понять, что происходит, а второй – производит необходимые манипуляции с помощью компьютера и смартфона.

Будьте бдительны: предупрежден – значит вооружен.

Кроме того, 18.11.2021 ВТБ Онлайн внедрил опцию бесплатных денежных переводов по персональному QR-коду. Что это такое, и есть ли тут новые риски для денег клиентов – надо разбираться. В любом случае, дополнительные функции – это новые потенциальные возможности для мошенников увести деньги у жертвы.

Новости

13.01.2023 – QR в банкоматах ВТБ

ВТБ добавил во все банкоматы с функцией приема наличных (в отличии от Сбера ранее) опцию внесения по QR коду. Работает так: сканируете смартфоном QR с экрана банкомата и выбираете в приложении дебетую или кредитную карту для зачисления. Функция работает в приложении для Android версии 17.7 и выше. Для пользователей iOS функцию добавят в мобильной версии интернет-банка.

Оцените статью
Денег накопи и квартиру купи - блог
Добавить комментарий или отзыв

Нажимая на кнопку "Отправить комментарий", я даю согласие на обработку персональных данных и принимаю политику конфиденциальности.