Новая цель мошенников — получить доступ к электронным кошелькам, которые привязаны к аккаунтам пользователей в букмекерских конторах, чтобы использовать их для незаконного вывода денежных средств. Однако, по мнению специалистов, этот метод хищения пока не получил широкого распространения.
В условиях усиления мер по борьбе с “дропперами” (лицами, предоставляющими свои карты для обналичивания или транзита украденных средств), злоумышленники ищут новые способы проведения мошеннических операций. Один из таких методов, замеченный недавно, заключается в использовании персональных аккаунтов россиян на сайтах букмекерских компаний.
Схема, с которой уже столкнулся, например, один из сотрудников СМИ, начинается с фишингового звонка. Мошенник представляется сотрудником маркетплейса и под предлогом доставки заказа запрашивает проверочный код из SMS. При этом SMS приходит не от магазина, а от букмекерской конторы. Мошенник, возможно, уже располагая некоторыми персональными данными жертвы, подтверждает у нее фамилию, имя, отчество и дату рождения, чтобы зарегистрироваться на сайте букмекера, используя эти данные. Однако для полноценного пополнения или вывода средств с электронного кошелька, привязанного к аккаунту, требуется дополнительная верификация через портал “Госуслуги” или ЦУПИС (Единый центр учета переводов ставок).
Для прохождения такой верификации нужны полные паспортные данные. Эксперты отмечают, что эти сведения могут быть получены из баз данных, ранее скомпрометированных в результате утечек, или же выужены у жертвы с помощью методов социальной инженерии. После получения доступа к верифицированному электронному кошельку мошенники могут использовать его для транзита украденных денег. Тем не менее, специалисты сомневаются в массовости этой схемы.
Федор Музалевский, директор технического департамента RTM Group, эксперт в области информационной безопасности:
«На самом деле кражи аккаунтов в букмекерских конторах были столько же, сколько существовали сами аккаунты в букмекерских конторах. Использовать их для вывода денег очень странно, потому что в конечном счете деньги все равно выводятся на какую-либо карту. То есть это для мошенников, на самом деле, лишняя ступень. Для чего похищают аккаунты, так это для того, чтобы похитить с них деньги. Поскольку число таких аккаунтов в принципе невелико в стране, и люди, которые ими пользуются, довольно часто достаточно параноидально относятся к безопасности, вряд ли эта схема получит широкое распространение».
Финансовый эксперт Андрей Чирков напоминает, что ранее злоумышленники могли создавать электронные кошельки на чужие имена, чтобы получить приветственные бонусы (фрибеты), предлагаемые букмекерами. Он поясняет, что легальные онлайн-ставки на спорт в России осуществляются через кошелек единого ЦУПИСа, который выбран уполномоченной организацией. Для упрощенного открытия такого кошелька достаточно номера телефона и базовых паспортных данных (ФИО, дата рождения, номер паспорта и ИНН или СНИЛС). Эти данные могли утекать из различных источников, чем ранее активно пользовались игроманы для получения бонусов. Теперь, когда правила для “дропперов” ужесточаются, возможность открытия таких кошельков в упрощенной форме, видимо, привлекла внимание мошенников. Однако упрощенный кошелек имеет существенные ограничения по сумме операций. Привязка аккаунта к “Госуслугам” расширяет возможности его использования мошенниками.
Андрей Чирков, финансовый эксперт, автор телеграм-канала CardReview:
«Всем гражданам рекомендую: на сайте налоговой есть такая функция «заказ справок», и там есть справка об открытых на ваше имя банковских счетах, электронных средствах платежа в кредитных организациях РФ. Если обнаружите там не открытые вами электронные средства платежа, в частности, НКО «Мобильная карта», это как раз этот кошелек для ставок. В этом случае через форму на сайте Центрального банка рекомендую отправить претензию о том, что этот кошелек не принадлежит вам, и что его необходимо закрыть».
В середине июня вступили в силу поправки, вводящие уголовную ответственность за деятельность “дропперов”, предусматривающую лишение свободы на срок до шести лет со штрафами. Эксперты не исключают, что человек, ставший невинной жертвой мошенников, на которого был оформлен аккаунт на сайте букмекера и чей электронный кошелек использовался для транзита украденных средств, также может быть признан участником схемы.
