Los estafadores comenzaron a engañar en masa a los rusos emitiendo tarjetas virtuales o tokenizadas para pagar con un teléfono inteligente, dijo a Izvestia el Banco Central. Los atacantes convencen al cliente de que adjunte una determinada tarjeta a su billetera electrónica, por ejemplo en Mir Pay, y luego le transfiera dinero en efectivo a través de un cajero automático, supuestamente para guardarla, aunque el propietario ya no la verá. La persona no se preocupa por la seguridad porque utiliza su propio teléfono. Los bancos más grandes confirmaron que este tipo de escenario de engaño se utiliza ampliamente: el mercado está preocupado por este problema. Para proteger a los rusos, las autoridades proponen prohibir durante dos días los depósitos de fondos en tarjetas virtuales de nueva creación, informó el Banco Central.
Cómo funcionan las tarjetas virtuales
El esquema de engaño con tarjetas virtuales (o tokenizadas) se ha utilizado cada vez más en los últimos meses, según informó a Izvestia el Banco Central. Explicaron que dicha tarjeta se puede emitir en un teléfono inteligente mediante una aplicación bancaria o una utilidad especial separada, por ejemplo, Servicios de pago.
Actualmente, Google Pay y Apple Pay no funcionan en Rusia y es imposible realizar pagos con tarjetas Mir a través de Samsung Pay. Al mismo tiempo, los usuarios de Android aún pueden usar Mir Pay para pagos con un solo toque, así como, por ejemplo, Sber Pay.
Las mayores entidades de crédito también están preocupadas por la difusión del sistema de engaño con tarjetas tokenizadas: confirmaron a Izvestia que ahora se está utilizando a gran escala en Rusia. OTP Bank describió en detalle cómo funciona el escenario.
En primer lugar, la víctima recibe una llamada telefónica -de la forma habitual o a través de un mensajero- y bajo diversas leyendas (por ejemplo, que es necesario transferir urgentemente el dinero a una “cuenta segura”), en nombre de un agente de la ley o del Banco Central, los estafadores convencen a la víctima para que realice una serie de acciones. En primer lugar, necesita retirar todos los fondos, incluido el crédito, dijo Sergei Lapikhin, jefe del departamento de seguridad bancaria del OTP Bank.
Después de esto, si una persona tiene un teléfono con el sistema operativo Android, debe descargar Mir Pay a través de la tienda de aplicaciones. Si la víctima tiene un iPhone, incluso se le puede convencer para que compre cualquier teléfono económico con Android, señaló Lapikhin. Allí piden agregar una tarjeta virtual fraudulenta utilizando los datos dictados por el delincuente.
— Luego se convence a la persona de ir al cajero automático de cualquier institución de crédito que admita servicios sin contacto (ahora en Rusia son la mayoría). Luego, toque con el teléfono la etiqueta NFC (Near Field Communication) e introduzca el código PIN dictado por el estafador y luego recargue con su dinero la tarjeta fraudulenta vinculada a Mir Pay”, dijo Serguéi Lapikhin.
Además, según el especialista, en la mayoría de los casos el delincuente ordena a la víctima que borre la tarjeta previamente vinculada a Mir Pay para borrar sus huellas. De hecho, los atacantes tienen acceso a la tarjeta, destacó Sberbank. Los delincuentes pueden retirar estos fondos y utilizarlos.
Este esquema de engaño permite a los atacantes adormecer la vigilancia de una persona, ya que esta no ve información sobre el destinatario del dinero, resumió el Banco de Rusia. Además, en estos sistemas la mayoría de las veces se emite una tarjeta virtual inmediatamente antes de depositar dinero en un cajero automático, aclaró el Banco Central.
Cómo lidiar con los estafadores telefónicos
Para combatir el esquema con tarjetas tokenizadas, el Banco de Rusia propone endurecer los requisitos para depositar efectivo en ellas a través de cajeros automáticos, dijo el regulador. Se debe exigir a las instituciones de crédito que limiten la reposición de cuentas en cantidades superiores a 50 mil rublos dentro de las 48 horas siguientes a la fecha de emisión de la tarjeta virtual. Esta medida, entre otras cosas, está incluida en el proyecto de ley sobre el "período de enfriamiento" de los préstamos, que la Duma estatal podría considerar ya el 15 de enero.
A finales de diciembre se presentó a la Duma estatal un proyecto de ley sobre un “período de reflexión” para los préstamos. La principal innovación es que los ciudadanos no deben recibir préstamos inmediatamente después de su emisión: el banco podrá transferir fondos al prestatario en al menos cuatro horas para montos de 50 mil a 200 mil rublos y en al menos 48 horas para montos más de 200 mil. Esto es necesario para proteger a las personas de los efectos de la ingeniería social; ya habrá tiempo para que entre en razón. Rusia ya tiene un “período de reflexión” similar para transferencias sospechosas.
“Establecer límites y un período de enfriamiento para acreditar fondos en tarjetas tokenizadas es una medida que ayudará a evitar situaciones en las que una persona, bajo la influencia de un estafador, toma un préstamo en efectivo de un banco y luego acredita el dinero en una llamada caja fuerte. cuenta en otra”, dice la directora del proyecto “Frente Popular "Por los Derechos de los Prestatarios", coordinadora de la plataforma "Moshelovka", Evgenia Lazareva.
Los bancos VTB, Novikom, Dom.RF y Renaissance Credit también coinciden en que las propuestas de las autoridades serán efectivas en la lucha contra las tarjetas tokenizadas, dijeron a Izvestia.
Para aumentar la eficacia de la lucha contra el fraude, a partir de la primavera de 2025, NSPK (desarrollador de Mir Pay y operador de las tarjetas Mir) transmitirá información a los bancos sobre cuántas tarjetas virtuales se emitieron en una cuenta. Y también hace cuánto tiempo se emitieron, según informó la empresa a Izvestia. A su vez, las instituciones financieras podrán rastrear y limitar los depósitos en efectivo en una cuenta a través de tarjetas tokenizadas dentro de las 48 horas posteriores a su emisión.
Además, para combatir a los estafadores, NSPK planea lanzar en primavera un servicio opcional que permitirá a la compañía, en nombre del banco, limitar las transacciones para depositar fondos en una tarjeta tokenizada si fue emitida hace menos de dos días. añadió la organización.
Mientras tanto, para no sufrir las acciones de los atacantes, el Banco de Rusia recomienda a los ciudadanos no descargar aplicaciones o programas móviles, no realizar ninguna acción en aplicaciones bancarias u otras aplicaciones y no seguir enlaces desconocidos a petición de desconocidos, recordó el Banco Central. No puede revelar información personal y financiera a extraños, sin importar con qué pretexto o de cualquier manera intente averiguarlo.
