Топ-5 новин в сфері шахрайства з платіжними інструментами

З кожним роком питання безпеки даних стає все гостріше. Платіжні картки використовуються повсюдно, зняти гроші з банківського рахунку вже можливо практично в будь-якій точці світу, а електронні сервіси допомагають проводити більшість розрахунків без застосування готівки. Але паралельно зі сферою нових фінансових послуг зростають і ризики, яким піддаються карткові дані. Кібербезпека стала одним з пріоритетів для банківської системи в цілому.

Щодня в світі відбуваються тисячі хакерських атак. Шахраї атакують не тільки віртуальні рахунки, але і банкомати і термінали. Сотні схем обману винаходяться і удосконалюються.

Fraud News – дайджест, який попередить вас про нові методи, що застосовуються шахраями в Україні. Захистіть свої гроші!

1. Тільки 66% українців вважають, що невідомий веб-сервіс використовувати небезпечно

Багато співвітчизників все ще не знайомі з небезпекою, яку представляють шахрайські сайти. За результатами дослідження, проведеного компанією «Gemius Україна» і Української міжбанківської асоціацією членів платіжних систем ЄМА в 2016 році, лише 66% українців вважають використання нового, невідомого веб-сервісу небезпечним.

При цьому десята частина опитаних не побачила нічого ризикованого в тому, щоб скористатися послугами такого веб-сервісу. 24% респондентів не впевнені, як вчинили б в такій ситуації – стали використовувати веб-сервіс чи ні.

Тим часом, відсутність репутації – одна з основних ознак фішингових сайтів. Такі веб-ресурси імітують сервіси для здійснення грошових переказів, поповнення мобільного телефону, продажу авіаквитків та ін. Фішингові сайти створюються на короткий термін, але для їх просування використовують інструменти веб-маркетингу, так що найчастіше шахрайські сайти виявляються вгорі пошукової видачі (наприклад, при введенні пошукового запиту «поповнити мобільний» або «перевести гроші на картку»).

Втім, перший в пошуку – не означає легітимний. Фішингові сайти досить вдало маскуються під справжні сервіси для здійснення грошових переказів або поповнення мобільного телефону, або надання інших послуг в Інтернеті. Однак фішингові сайти все ж мають ряд характерних ознак, які користувач повинен знати, щоб не стати жертвою шахраїв.

Наприклад, в текстах шахрайських веб-ресурсів часто допускаються неточності формулювань, граматичні та стилістичні помилки. Як показують результати дослідження ЄМА, 68% українських користувачів вважають помилки на сайті небезпечною ознакою і, швидше за все, не стануть вдаватися до послуг такого сайту. Однак 12% опитаних не бачать нічого дивного в помилках на сайті, а 20% респондентів не визначилися з відповіддю.

Ще одна ознака фішингового веб-ресурсу – це незахищене з’єднання на сторінці, на якій користувач робить оплату. Якщо захисне з’єднання відсутнє, то в адресному рядку такої сторінки вказано http, а не https. Зверніть увагу: https повинен бути в адресному рядку саме на сторінці оплати, а не на головній сторінці сайту!

Тільки 41% опитаних нами користувачів вважає ризикованим використовувати такий сайт. При цьому 40% респондентів вагалися з відповіддю, а ще 19% впевнені, що сайт з адресою, який починається з http, безпечний …

Легітимні веб-ресурси створюються на тривалий термін і реєструються на доменах національного рівня (таких як .UA). Натомість фішингові сайти зазвичай розміщують всього на 1 рік на доменах, на яких відсутні обмеження при реєстрації: .ru, .com.ua, .in.ua, .pp.ua, .kiev.ua, .dp.ua ,. te.ua, .org, .net, .com, .info, .biz, .top, .in, .cc і т.д. Дослідження ЄМА показало, що тільки 18% респондентів вважають ризикованим поповнювати мобільний телефон і здійснювати грошові перекази за допомогою вітчизняного платіжного сервісу, який зареєстрований на одному зі згаданих вище доменів.

Щоб перевірити, на який термін і на якому домені зареєстрований веб-сайт, введіть «whois.com \ whois \ назва сайту» в пошуку.

Завжди переконуйтеся, що використовуєте легальний веб-сервіс! Перевірте, чи немає сайту в Чорному списку шахрайських веб-ресурсів, який оновлюється щодня в режимі онлайн на сайті ЄМА.

За статистикою ЄМА, щодня на одному фішинговому сайті, в середньому, 800 користувачів залишає реквізити карток. Був і «рекорд» – в новорічні свята на одному з фішингових сайтів залишили реквізити 2600 користувачів …

В цілому, тільки в 2016 році кількість фішингових сайтів зросла в 4,5 рази (у 2015 році їх було 38, а в 2016 році – вже 174).

2. Хто «заблокував» картку: Ощадбанк або злочинець?

Фахівці ЄМА відзначають зростання кількості випадків телефонного шахрайства. Користувачі скаржаться на те, що отримують смс про блокування їх банківських карт. Смс нібито приходять від імені Ощадбанку.

У тексті повідомлення йдеться «Ваша карта заблокована на 62 дні. Інфоцентр за номером +380919286625 та www.oschad-bank.com.ua». Однак за вказаним номером відповідає шахрай, який вдає співробітника Ощадбанку, а зазначений в смс сайт – насправді, фішинговий (тобто – підробка під сайт Ощадбанку), і теж спрямовує зателефонувати в той же «інфоцентр», де трубку знімають шахраї.

Злочинець, який зображає співробітника банку, переконує користувача повідомити дані своєї картки. Надалі шахрай використовує отримані дані для того, щоб здійснювати грошові перекази з картки обманутого клієнта.

Спрацьовує класична вже схема шахрайства: користувача лякають (повідомленням про блокування картки), потім пропонують швидке «рішення проблеми». І розгублена особа повідомляє шахраям дані своєї картки. А для більшої переконливості злочинці створили ще й сайт, схожий на банківський.

Щоб не стати жертвою такого шахрайства, потрібно пам’ятати – будь-яку інформацію про банківську картку треба уточнювати безпосередньо в банку. Якщо вам пишуть або телефонують, повідомляючи про блокування картки, не варто відразу впадати в паніку і поспішати зняти блокування. Краще заспокоїтися (в разі, якщо вам подзвонили – покласти трубку), а потім передзвонити за офіційним номером банку, який зазначений на банківській картці або є на офіційному сайті банку. У банку вам розкажуть, чи все в порядку з вашим рахунком.

Не слід переходити за будь-якими посиланнями, які прийшли в повідомленні. Такі посилання можуть вести на фішингові сайти або сайти з шкідливим програмним забезпеченням (вірусами).

За даними ЄМА, в 2016 році середня сума, на яку шахраї обдурили користувачів за допомогою вішингу, становила 1403 гривні.

3. Як шахраї отримують інформацію про свої жертви

Багато користувачів, які постраждали від шахрайства, не можуть повірити, що самі повідомили злочинцям свої особисті дані. Але саме так найчастіше і відбувається.

У січні служби безпеки українських банків були схвильовані появою нової хвилі шахрайства по телефону. Жертвам дзвонили двічі, причому перший дзвінок виглядав дуже «безпечно»: користувачеві дзвонили від імені співробітника Пенсійного фонду (або іншої державної організації, або банку) і під слушним приводом запитували ім’я, дату народження і залишок на рахунку.

Через деякий час шахрай телефонував знову, причому в цей раз – від імені банківського співробітника. «Співробітник» повідомляв про блокування банківської карти, при цьому називаючи користувача ім’ям. Для більшої переконливості злочинець називав дату народження і повідомляв залишок на рахунку. Оскільки шахрай розмовляв діловим тоном і «знав багато подробиць», люди вірили йому. Повідомляли дані своєї картки, які не можна повідомляти нікому, в тому числі справжнім співробітникам банку.

Далі шахрай дзвонив вже до банку і представлявся … користувачем, дані якого встиг дізнатися. Від імені користувача шахрай міняв встановлені на картці ліміти для оплати через Інтернет (після чого міг здійснювати з карти грошові перекази), встановлював переадресацію смс від банку на свій телефон, щоб отримувати паролі в смс від банку і розпоряджатися чужим банківським рахунком.

Як не стати жертвою шахрайства

Секретні дані карти, які не можна повідомляти нікому:

• Термін дії картки;
• Тризначний код безпеки на зворотному боці картки (код CVC2 / CVV2);
• Паролі із смс-повідомлень від банку.

Справжній співробітник банку (навіть Національного банку України) ніколи не запитає такі дані. А шахрай запитає! При цьому він може представитися ким завгодно: банківським службовцем (за статистикою ЄМА, в 94% випадків шахраї представляються саме співробітниками банків), правоохоронцем, представником Пенсійного або будь-якого благодійного фонду, співробітником компанії, яка вирішила зробити вам подарунок, покупцем речі, яку ви продаєте через Інтернет. Ким би не представився той, хто телефонує, пам’ятайте: якщо він запитує більше, ніж просто номер вашої банківської картки, значить, це шахрай!

Найважливіше – не приймати поспішних рішень, що б вам не повідомив той, хто дзвонив. Навіть якщо мова йде про нібито зняття з вашої картки великої суми грошей (іноді шахраї, прикидаючись банківськими співробітниками, можуть повідомляти про «махінації» з вашою карткою і обіцяти врятувати «вкрадені» гроші, якщо ви терміново повідомите їм секретні дані вашої картки). Зупиніться і подумайте: якщо вас лякають або кваплять – це ознака шахрайства. Якщо від вас вимагають дані вашої картки – це ознака шахрайства. Припиніть розмову, покладіть трубку – а потім передзвоніть в банк за офіційним номером, вказаним на картці або на сайті банку.

Що робити, якщо ви зрозуміли, що повідомили дані своєї картки шахраєві

• Терміново заблокуйте картку (зробіть це по телефону, зателефонувавши до банку, або скористайтеся послугами Інтернет-банкінгу).
• Повідомте про те, що трапилося до кіберполіції України. На сайті кіберполіції заяву можна залишити в будь-який час доби.

4. Асоціація ЄМА підбила підсумки 2016 року і склала класифікацію шахрайських веб-ресурсів.

Все фішингові сайти надають неіснуючі послуги. При цьому шахрайські веб-сервіси можна поділити на два типи. Одні просто пропонують здійснювати фінансові операції через Інтернет (поповнювати мобільний телефон, зробити грошовий переказ або ж отримати кредит онлайн), інші ж маскуються під реально існуючі сервіси (копіюють їх дизайн, використовують схожу назву).

Фішингові сайти в 2016 році імітували:

• Сервіс Portmone (47 фішингових сайтів з 174 були «підробками» під популярний веб-сервіс);
• Сайти інших сервісів для грошових переказів і поповнення мобільного (наприклад, «підробки» під сервіс ipay.ua);
• Сайт Укрпошти;
• Сервіс платежів Ощадбанку і ін.

За «наданих неіснуючим послуг» шахрайські ресурси можна розділити на:

• 35% – поповнення мобільного;
• 10% – грошові перекази з картки на картку;
• 16% – веб-сервіси, які нібито надавали обидві послуги (і поповнення мобільного та перекази з картки на картку);
• 27% – сайти-підробки під Portmone, які імітували, що надають послуги поповнення мобільного та здійснення грошових переказів з картки на картку;
• 11% – підробки інших сервісів;
• 1% – надання кредитів онлайн.

При цьому 90% всіх фішингових веб-ресурсів, які пропонували зробити грошовий переказ з картки на картку працювали за принципом збору даних карт користувачів для того, щоб згодом зробити перекази грошей з цих карт. При цьому користувачі отримували повідомлення про те, що операція, яку клієнт хотів зробити на сайті, виявилася неуспішною. Потім шахраї використовували отримані дані карт користувачів і здійснювали з них грошові перекази на свої рахунки.

Але 10% шахрайських сайтів працювали за іншим принципом: поки користувач вводив дані на фішинговому сайті, що пропонує послугу переказу грошей з картки на картку, спеціальна програма заміняла номер картки одержувача номером картки шахрая. Грошовий переказ на картку шахрая здійснювався в реальному часі, відправник отримував смс-повідомлення про списання грошей з рахунку, але не знав, що насправді гроші пішли на рахунок злочинця.

5. В Україні почалася інформаційна «війна» з кібершахрайством

У київському метрополітені з’являться інформаційні плакати, присвячені соціальній інженерії – фішингу, вішингу і кеш-трепінгу.

Фішинг – шахрайство, скоєне в Інтернеті за допомогою сайтів, створених злочинцями для того, щоб виманювати у користувачів дані їх банківських карток і згодом красти з карток гроші.

Вішинг – телефонне шахрайство, при якому злочинець зв’язується з жертвою по телефону (у вигляді дзвінка або смс-повідомлення) і вмовляє надати дані її банківської картки під слушним приводом (наприклад, представляючись співробітником банку).

Кеш-трепінг – вид банкоматного шахрайства, при якому в отвір для видачі готівки в банкоматі встановлюється планка з двостороннім скотчем – для перехоплення готівки при видачі. У підсумку, на екрані банкомату з’являється повідомлення про видачу коштів, а клієнт отримує смс-повідомлення від банку про списання грошей з рахунку, але гроші так і не з’являються з банкомату.

Інформаційні листівки розповідають українцям про небезпеку соціального шахрайства, його ознаках і способи протидії злочинцям. Також користувачі отримають інструкції, як діяти, якщо шахрай вже отримав дані картки, як зберегти свої гроші.

Фахівці Асоціації ЄМА підготували навчальні відеоролики і інфографіки, які допоможуть звичайному користувачеві навчитися:

• в лічені хвилини визначати шахрайські сайти;
• вирахувати телефонного шахрая вже по тому, як той будує розмову;
• правильно використовувати банкомат без ризику стати жертвою банкоматного шахрайства;
• правильно реагувати в тому випадку, якщо користувач розуміє, що став жертвою шахрайства (наприклад, повідомив дані своєї картки по телефону або ввів їх в платіжну форму на фішинговому сайті).

Всі матеріали розроблені в рамках Національної програми зі сприяння безпеки електронних платежів і карткових розрахунків Safe Card і будуть доступні на сайті Асоціації ЄМА. Програма Safe Card реалізується за підтримки Посольства США в Україні. Інформаційні матеріали програми Safe Card можна використовувати без додаткового узгодження з керівництвом Асоціації.