В России зафиксирована новая схема мошенничества с полисами ОСАГО, в рамках которой злоумышленники научились обходить двухфакторную аутентификацию. Используя фишинговые сайты, они похищают деньги и персональные данные граждан, которые впоследствии могут быть использованы для оформления кредитов. Эксперты и правоохранительные органы предупреждают о рисках и разъясняют методы защиты.
Согласно материалам МВД России, на которые ссылается ТАСС, злоумышленники регистрируют фальшивые доменные имена, имитирующие официальные адреса известных страховых компаний, часто с добавлением слова «osago». На этих доменах размещаются фишинговые сайты, которые практически полностью копируют дизайн и функционал оригинальных ресурсов. Потенциальной жертве предлагают рассчитать стоимость полиса, для чего просят заполнить анкету с личными данными: ФИО, датой рождения, номером водительского удостоверения, информацией об автомобиле, телефоном и электронной почтой. После этого для оплаты поддельного полиса пользователь вводит данные банковской карты. Ключевой элемент схемы заключается в том, что жертву перенаправляют на поддельную страницу для ввода кода подтверждения из СМС, что позволяет мошенникам обойти защиту и списать средства. Редакция «Известий» направила запрос в МВД, но на момент публикации ответ не поступил.
Главная опасность описанной схемы заключается в том, что преступники научились обходить двухфакторную аутентификацию, которая ранее считалась надежным способом защиты, подчеркивает кандидат юридических наук, директор исследовательского центра «Аналитика. Бизнес. Право» Венера Шайдуллина. По словам генерального директора Национальной страховой информационной системы (НСИС) Николая Галушина, мошенники давно создают сайты-близнецы, завлекая жертв рекламой с обещанием больших скидок. «Потенциальная жертва покупается на звучную рекламу, предлагающую ОСАГО дешевле в два раза, переходит на сайт псевдостраховщика. Там она указывает все необходимые данные, предоставляя информацию мошенникам, и даже оплачивает липовые полисы», — разъясняет алгоритм собеседник «Известий». Вице-президент Всероссийского союза страховщиков Сергей Ефремов отмечает, что РСА, Банк России и сами страховые компании постоянно отслеживают и блокируют такие ресурсы, однако они существуют достаточно долго, чтобы обмануть часть граждан.
Злоумышленники эксплуатируют доверие граждан к онлайн-сервисам, что может привести не только к финансовым потерям, но и к утечке личной информации для дальнейших мошеннических действий, отмечает доцент Финансового университета при правительстве РФ Петр Щербаченко. Венера Шайдуллина дополняет, что похищенный полный набор персональных данных может быть использован для оформления кредитов или получения доступа к другим сервисам. Кроме того, по словам эксперта проекта «Народный фронт. Аналитика» Александры Пожарской, при переходе на фишинговый сайт существует риск заражения устройства вредоносным программным обеспечением.
Для защиты от мошенников эксперты рекомендуют придерживаться правил кибербезопасности. Покупать полисы следует только на официальных сайтах страховых компаний, переходя на них через ресурсы Российского союза автостраховщиков (РСА) или Банка России. Петр Щербаченко советует проверять URL-адрес сайта, который должен начинаться с https:// и содержать официальное название компании, а Венера Шайдуллина напоминает о значке замка в адресной строке. Также необходимо с осторожностью относиться к подозрительным ссылкам и слишком щедрым предложениям. Легитимные сервисы никогда не просят вводить код из СМС для подтверждения оплаты непосредственно на странице сайта. Для онлайн-платежей рекомендуется использовать виртуальные карты с ограниченным балансом. После заключения договора от НСИС должно прийти подтверждение на электронную почту, что свидетельствует о подлинности полиса.
Если мошенникам все же удалось похитить деньги, Александра Пожарская настоятельно рекомендует незамедлительно обратиться в банк, правоохранительные органы и страховую компанию. Уже год действуют поправки в закон «О национальной платежной системе», которые позволяют компенсировать потери при своевременном обращении. По закону клиент может оспорить операцию в течение суток с момента получения уведомления о ней. Однако, как предупреждает Венера Шайдуллина, если жертва сама ввела код из СМС на фишинговом сайте, банк может отказать в возврате средств. За подобные преступления предусмотрена серьезная уголовная ответственность по статьям УК РФ «Мошенничество», «Мошенничество в сфере компьютерной информации», «Неправомерный доступ к компьютерной информации», а также за незаконное получение банковской тайны, с наказанием вплоть до лишения свободы на срок до десяти лет.