ВТБ и QR-коды, мошенники и ваш личный кабинет

Безопасность

Если вы не передаете мошенникам из «службы безопасности ВТБ» коды из СМС, они все равно могут попасть в ваш личный кабинет online.vtb.ru через QR-код. При этом, мошенникам не нужно знать ни номер карты, ни взламывать ваш смартфон, достаточно запугать жертву и затуманить ей мозги. Как это может произойти?

Описание реального случая, размещенного на banki.ru и vc.ru:

В пятницу моя мама столкнулась с мошенниками, действующими от лица ВТБ, и установки «не сообщать кодов, паролей», оказалось недостаточно.

Вводные данные:

  • Счёт в ВТБ, основная сумма на накопительном счёте
  • Мобильное приложение ВТБ Онлайн установленное на iPhone (не рутованый, приложения только из Appstore)

Хроника событий:

  • В 16:37 маме начинают звонить мошенники. Звонки были с различных номеров, все они начинались +495, в том числе номер ВТБ Страхование +7(495) 644-44-40, что говорит о том что номера телефонов подделаны
  • Диалог подробно описывать не буду, главные цели мошенников — удержать жертву на линии как можно дольше, и попросить её зайти в личный кабинет в приложении ВТБ Онлайн по их ссылке (об этом ниже). Ошибка #1 — вступать в диалог
  • В 16:49 в мессенджер приходит ссылка формата `online.vtb.ru/i/qrauth/…`, при нажатии на неё открывается ВТБ Онлайн — всё как говорит «оператор». В ВТБ онлайн после перехода по ссылке появляется окно «Подтвердите вход в интернет-банк. Вы совершаете вход с такого-то устройства, такого-то браузера«. Мама перешла по ссылке и подтвердила вход. Ошибка #2 — не прочитать весь текст в этом сообщении
  • 17:06 — мошенники перевели деньги с накопительного счёта на мастер счёт, мама увидела уведомление на телефоне об этой операции (но никакого СМС подтверждения не было!)
  • 17:09 — Из-за операции по выводу денег с вклада стало понятно что дело плохо, поэтому мама поставила мошенников на удержание и позвонила в горячую линию
    — Мошенники попытались перевести деньги с мастер счёта, операция была отменена (либо автоматически, либо благодаря звонку в горячую линию), карта и личный кабинет заблокированы

Как это работает:

  • Во время разговора, на сайте https://online.vtb.ru/login мошенник генерирует QR код для входа в личный кабинет, из него извлекается ссылка и отправляется жертве в мессенджер
  • Домен ссылки является настоящим и опасений не вызывает — `online.vtb.ru/i/qrauth/…`
  • Переход по ссылке и подтверждение входа авторизует в личный кабинет тот компьютер, на котором был сгенерирован QR код

Вопросы к ВТБ:

  • Почему операция по переводу денег с накопительного счёта на мастер счёт произошла без СМС подтверждения?
  • При авторизации по QR коду, в ситуации, когда телефон, сканирующий код и ПК, где этот код был показан, имеют разные IP адреса или геопозицию, не стоит ли добавить дополнительную защиту? Например, СМС код
  • Почему в истории авторизаций, авторизация по QR коду не показывает реальный IP адрес зашедшего в личный кабинет?
  • Авторизация по QR открывает новые возможности для мошенников. Предоставьте возможность отключить её в настройках в личном кабинете

Выводы:

  • Установки «не сообщать коды и пароли по телефону» недостаточно. Если сотрудник банка что-то от вас хочет, необходимо не вступать в диалог, сбрасывать звонок и перезванивать самостоятельно
  • Новые способы авторизации в личный кабинет = новые опасности
  • Надо знать приемы мошенников, начиная с подменного номера. Звонок с номера, принадлежащего группе ВТБ — еще ничего не значит

Итак, разберем еще раз происходящее со стороны мошенника

  1. Мошенник звонит жертве, подделав номер звонящего
  2. Параллельно он заходит на страницу online.vtb.ru и нажимает первую кнопку «Быстрый вход по QR-коду»: Вход по QR-коду в личный кабинет ВТБВремя действия выданного QR-кода — 5минут:
  3. В обычной ситуации клиент банка должен запустить мобильное приложение, найти в разделе «Избранное» функцию QR-код и навести смартфон на QR-код.
    При этом приложение производит запрос по ссылке из QR-кода вида https://online.vtb.ru/i/qrauth/a374207e-ec44-423b-8d0b-6e8c5a5a**** (вполне нормальная ссылка на официальный сайт банка ВТБ).
    Но в нашем случае клиент ничего этого не делает, вместо этого мошенник смартфоном считывает из этого QR-кода ссылку, копирует ее и передает жертве в мессенджер, убеждая ее нажать на ссылку (больше от жертвы ничего не требуется).
  4. Жертва нажимает ссылку и мошенник тут же попадает в его личный кабинет и начинает там хозяйничать.

Вероятно, мошенники действуют вдвоем: один забалтывает жертву по телефону, не давая ему времени зайти в мобильное приложение или позвонить в банк и понять, что происходит, а второй — производит необходимые манипуляции с помощью компьютера и смартфона.

Будьте бдительны: предупрежден — значит вооружен.

Кроме того, 18.11.2021 ВТБ Онлайн внедрил опцию бесплатных денежных переводов по персональному QR-коду. Что это такое, и есть ли тут новые риски для денег клиентов — надо разбираться. В любом случае, дополнительные возможности это новые потенциальные возможности для мошенников.

Оцените статью
Денег накопи и квартиру купи
Добавить комментарий

Нажимая на кнопку "Отправить комментарий", я даю согласие на обработку персональных данных и принимаю политику конфиденциальности.