ENG
Мошенники в России научились превращать телефоны граждан в свои банковские карты с помощью использования бесконтактной оплаты NFC. Об этом сообщает РИА Новости.
Злоумышленники сначала под бытовым предлогом выманивают код из СМС, чтобы зайти в «Госуслуги», а затем звонят «от имени ведомства» и пугают взломом. Дальше убеждают снять деньги, удалить банковское приложение и установить «защитное» — на деле это вредоносная программа с NFC. После установки жертву просят внести наличные в банкомат, приложив телефон: банкомат считывает его как «карту» мошенников, и деньги уходят им.
Мошенники больше не просят перевести деньги на «безопасный счет» реквизитами. Они заставляют человека самостоятельно превратить свой телефон в инструмент зачисления денег на чужую карту через NFC, отмечает экономист, партнер коммуникационного агентства Goldman Agency Ахмед Юсупов.
«Платформа “Мошеловка” фиксирует эту историю больше года, но важнее другое: появились вредоносы под Android типа SuperCard X, которые не ловятся антивирусами и считывают данные карт прямо через чип. Это смещает фокус с доверчивости бабушек на уязвимость самого процесса токенизации, — подчеркивает эксперт. — Поэтому ключевая история сейчас — даже не наказание жуликов, а технологическое изменение рефлексов банков».
С 1 января 2026 года ЦБ ввел в работу шесть новых признаков мошеннических переводов, и они напрямую бьют по NFC-схемам. Если банкомат видит аномально долгий обмен данными с токенизированной картой — это маркер, что телефоном управляет не хозяин, а программа-прослойка. Или если номер в «Госуслугах» сменился за двое суток до внесения наличных через банкомат — операция автоматически тормозится.
«Условно, если раньше банк спрашивал, зачем вы перевели деньги, теперь он обязан спросить, не мошенник ли управляет вашим NFC-модулем, — поясняет Ахмед Юсупов. — Период охлаждения в 50 тысяч рублей на 48 часов для токенизированных карт — безусловно, нужная мера, она лежит в Госдуме. Но текущие поправки ЦБ, которые уже работают с января, гораздо интереснее. Они ломают саму экономику атаки: мошеннику нужно не просто убедить жертву приложить телефон, а сделать это так, чтобы время сессии не превысило норматив НСПК, что технически сложно при удаленном управлении. Выходит, что регулятор и банки сейчас не догоняют схему, а создают условия, при которых она перестает быть массово рентабельной. Схема никуда не денется, но её конверсия упадет».
