Несмотря на попытки Google отключить бесконтактные платежи в России, они никуда не делись. Даже в отсутствие Google Pay и Samsung Pay многие продолжили пользоваться этой функцией своих смартфонов, оплачивая покупки в магазинах, проезд в транспорте и различные услуги на ежедневной основе. Однако технология NFC оказалась вовсе не такой безопасной, как о ней было принято думать. Эксперты Доктор Веб выявили новую схему мошенничества, в которой преступники используют модуль ближнего поля в Android-устройствах для кражи данных наших банковских карт. Причем, чтобы получить к ним доступ, им даже не требуется узнавать ни CVC-код, ни реквизиты самого «пластика».
Карту к смартфону прикладывают для считывания реквизитов. Но это не всегда безопасно. Фото: SoyaCincau
Для начала небольшое введение. Наверняка вы знаете, что NFC в Android-смартфонах работает не только на отдачу, но и на прием. Таким образом при добавлении банковской карты в какой-то онлайн-сервис необязательно перебивать ее данные вручную. Достаточно просто приложить «пластик» к задней крышке аппарата, и он все считает. Так вот мошенники в России решили использовать этот механизм в своих целях.
Все начинается с телефонного звонка якобы от представителей социальных служб или банковских организаций. Злоумышленники сообщают жертве, что она может претендовать на те или иные государственные выплаты, положенные правительством. Таким образом сразу удается вызвать если не доверие, то по крайней мере интерес.
ПОДПИШИСЬ НА ТЕЛЕГРАМ-КАНАЛ СУНДУК АЛИБАБЫ И ПОКУПАЙ ТОЛЬКО ТОПОВЫЕ ТОВАРЫ С АЛИЭКСПРЕСС
Доверие формируется уже на следующем этапе, когда жертве объясняют, что, само собой, для зачисления выплат реквизитов банковской карты называть не надо. В конце концов, их запрашивают только мошенники. Не нужно даже подавать никаких заявлений. Достаточно просто скачать специальное приложение, запустить его и приложить карту к смартфону. Звучит безопасно. Но только в теории. Потому что на практике все совсем иначе. Да и с Госуслуг вам звонить никто и никогда не будет.
Привычные приложения. Но на самом деле это всё фейк. Фото: Dr.Web
Правда, установить приложение из Google Play нельзя, уточняют злоумышленники, потому что злобный Google удалил его из своего каталога. Поэтому скачать мобильный клиент нужно по ссылке, которую жертве отправят в смс.
Стоит ли говорить, что ссылка ведет на сайт, где размещено не доброкачественное, а вредоносное приложение. Программа маскируется под сервис, аналогичный Госуслугам или личный кабинет Центробанка. Поэтому проблем с доверием пользователей, как правило, не возникает. Все-таки Google действительно удаляет из Плей Маркета все российское, а заявиться на выплату действительно можно через Госуслуги.
ПОДПИСЫВАЙСЯ НА НАШ ЧАТ В ТЕЛЕГРАМЕ, ТАМ ТЕБЕ ОТВЕТЯТ НА ЛЮБЫЕ ВОПРОСЫ ПО ТЕМЕ АНДРОИД
После установки вредоносного приложения пользователю предлагается пройти процедуру авторизации, которая требует приложить банковскую карту к задней части смартфона. Программа также запрашивает PIN-код, якобы необходимый для входа в личный кабинет. В действительности в этот момент происходит считывание данных с банковской карты через NFC-модуль и их передача злоумышленникам.
Сразу после того, как ничего не подозревающий пользователь приложит карту к смартфону в ожидании авторизации, преступники могут начать использовать полученные данные для снятия наличных через банкомат.
Скачали? Теперь главное не «слить» свою карту. Фото: Dr.Web
Альтернативным сценарием является использование украденной информации для бесконтактной оплаты покупок с помощью телефона мошенника, который получает цифровой отпечаток банковской карты жертвы. Правда, тут придется получить уже CVC-код. Но для злоумышленников и это чаще всего не является большой проблемой.
ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ ЛУЧШИЕ СТАТЬИ НАШИХ АВТОРОВ, ПОКА ЕЩЁ МОЖНО
Целевая аудитория этой мошеннической схемы — люди старшего поколения. Пожилые часто не обладают достаточными навыками для распознавания поддельных приложений и могут не заметить подозрительные элементы в интерфейсе программы. Тем более, что называть какие-либо данные, кроме пин-кода, их обычно и не просят.
А ведь для защиты от подобных схем достаточно придерживаться нескольких простых правил безопасности.
Даже если вы приложили карту, все еще можно спасти. Главное — не ввести пин-код. Фото: Dr.Web
Во-первых, следует устанавливать приложения только из проверенных источников, таких как официальные магазины Google Play, RuStore или AppGalery. Это значительно снижает риск установки вредоносного программного обеспечения.
Во-вторых, необходимо проявлять бдительность при получении звонков от лиц, представляющихся сотрудниками государственных органов, банков или социальных служб. В случае подобных звонков рекомендуется немедленно прекращать разговор и самостоятельно связываться с организацией по официальным контактным данным для проверки информации.
ПОДПИШИСЬ НА ТЕЛЕГРАМ-КАНАЛ ТЕХНОКОТ. ЭТО АГРЕГАТОР ЛУЧШИХ СТАТЕЙ, НОВОСТЕЙ И ИНСТРУКЦИЙ ПО ВЕРСИИ РЕДАКЦИИ ANDROIDINSIDER.RU. ТЕБЕ ПОНРАВИТСЯ
Ну, и, в-третьих, использование антивирусного программного обеспечения также может стать не последним элементом защиты. Современные антивирусы способны выявлять и блокировать вредоносные приложения еще до их установки на устройство. А дополнительный уровень безопасности никогда не повредит.
