З кожним роком питання безпеки даних стає все гостріше. Платіжні картки використовуються повсюдно, зняти гроші з банківського рахунку вже можливо практично в будь-якій точці світу, а електронні сервіси допомагають проводити більшість розрахунків без застосування готівки. Але паралельно зі сферою нових фінансових послуг зростають і ризики, яким піддаються карткові дані. Кібербезпека стала одним з пріоритетів для банківської системи в цілому.
Щодня в світі відбуваються тисячі хакерських атак. Шахраї атакують не тільки віртуальні рахунки, а й банкомати і термінали. Сотні схем обману створюються і удосконалюються.
Fraud News – дайджест, який попередить вас про нові методи, що застосовуються шахраями в Україні. Захистіть свої гроші!
1. Хакери, які запустили «Петю», пішли у відпустку до осені
Компанія CyS Centrum спеціалізується на проактивному моніторингу кіберзагроз та дослідженні інцидентів інформаційної безпеки. На їх думку, атака 27.06.2017, здійснена за допомогою програми-руйнівника Diskcoder.C і бекдора в програмі MEDoc, яку багато ЗМІ помилково «охрестили» атакою вірусу-шифрувальника Petya.A, – всього лише заключна фаза одного з етапів безперервної низки атак, спрямованих на порушення процесів державної ваги, нанесення кіберударів і відповідного збитку (матеріального, іміджевого і ін.). Генеральний директор компанії Микола Коваль констатує, що одна і та ж група невстановлених осіб, причетних до проведення цієї низки атак, з року в рік демонструє зростаючу якість планування і здійснення руйнують несанкціонованих впливів. Разом з тим, в більшості випадків можливість реалізації загрози обумовлюється банальними дірами в захисті, не дивлячись на те, що, з першого погляду, атака з використанням M.E.Doc виглядає як «удар в спину».
«Безперечно, помітити аномалію було дуже складно, тому що атакуючі, як вектор атаки, використовували легітимну програму MEDoc, а в якості керуючого компонента – інфраструктуру самої компанії (один з серверів забезпечував переадресацію запитів на сервер зловмисників), пояснив Микола Коваль в ході доповіді на Форумі безпеки розрахунків і операцій з платіжними інструментами і кредитами. З усього цього випливає, що будь-яка компанія, банк, виробник-постачальник може стати мимовільною точкою компрометації (до слова кажучи, в минулому році сайт одного з українських банків був зламаний, в наслідок чого на комп’ютери відвідувачів сайту завантажувалася шкідлива програма).
На думку Миколи Коваля, дана атака і використаний вектор її здійснення – злом постачальника (хоч уже давно не новий і зустрічається в цільових атаках в Україні як мінімум з 2014 року), ще раз нагадує про необхідність серйозного і відповідального ставлення до інформаційної безпеки та ІТ в цілому. Кожен розпорядник, власник інформаційних систем, мереж (веб-ресурсів, програм і т.п.), піклуючись про безпеку останніх, повинен також розуміти, що його інфраструктура / продукт може перетворитися в точку компрометації. Сучасні реалії такі, що ставитися до продуктів і інфраструктурі постачальника слід з «нульовим» довірою. Також, важливо забезпечити належну сегментацію мережі / систем, фільтрацію інформаційних потоків і розмежування прав доступу.
Споживач повинен вимагати від постачальника забезпечення безпеки а) своїх продуктів (наприклад, перевірка цілісності); б) своєї ІТ-інфраструктури.
У CyS Centrum переконані, що атака 27 червня була остаточною фазою нікого етапу спільної операції, яка проводиться проти України вже кілька років. Вірус-руйнівник вже одного разу був зафіксований в травнем 2017 роки (очевидно, атакуючі «репетирували» атаку), причому використовувалися так само бухгалтерські програми. Загальна риса обох хвиль атаки – руйнівник «йшов у парі» з шифрувальником. Дані виявилися зашифровані, але вже через кілька днів в загальному доступі в Інтернет з’явився ключ для розшифровки. Всі зітхнули з полегшенням. Однак вектор атаки не було визначено. Експерти вважають, що в атаці 27 червня шифрувальник (якраз той, що в пресі було названо «Petya.A») служив відволікаючим чинником, заплутував і обманював користувачів з приводу цілей атаки. Однак фахівцям практично відразу стало зрозуміло, що справа не в зашифровки даних, а в масовому виведенні українських компаній з ладу.
Всі ті повідомлення, якими рясніли західні ЗМІ, – також лише наслідки неправильного трактування того, що сталося. На жаль, розмивання географічних рамок атаки створювало враження, що вона носить «міжнародний» характер. Тим самим справжня мета атаки залишалася незрозумілою.
«Як стало відомо з переговорів з колегами з Європи, випадки атаки за межами України так чи інакше стосувалися України (це були або українські компанії, або представництва іноземних компаній в Україні, або співпрацюють з Україною – ред.). З чого очевидно, що метою атаки все ж були саме українські компанії», – резюмує Микола Коваль.
Експерт вважає, що на цьому хакери не зупиняться. «Почерк» хакерів проглядається: і вказує на якусь групу, з «діяльністю» якої вже стикалися борці з кіберзлочинністю в Україні. З огляду на, що атака 27 червня аж ніяк не перша (перші прояви «характерного почерку» відзначені ще кілька років тому), то немає і причин вважати, що нічого такого більше не буде. Українським компаніям слід бути готовими (у тому числі – зміцнити свою систему безпеки).
У ЗМІ вже не раз говорили про те, що атака може повторитися в будь-який момент. До слова, експерти безпеки вважають, що такі «чутки» (можливо, запущені в Інтернет навмисне) теж працюють на руку атакуючим.
«Хакери у відпустці, – сумно жартує Микола Коваль. – Не виключено, що вже восени (з початком нового «ділового сезону» – ред.) Атака або щось подібне їй може статися знову. Потрібно зміцнювати свій захист ».
2. Шахраї стали рідше «перехоплювати» готівку в банкоматах України
Кількість випадків кеш-трепінгу впала в 8 разів (у порівнянні з першим півріччям 2016 року)!
Кеш-трепінг – це вид шахрайства, при якому зловмисники розміщують спеціальну планку з клейкою стрічкою в отворі для видачі готівки в банкоматі. У момент видачі купюр банкомат піднімає захисну металеву «штору» і виштовхує гроші. Однак, якщо на банкоматі встановлено злочинне обладнання (планка зі стрічкою скотчу), то банкноти приклеюються до стрічки, а шахрайська планка не “випускає» їх з банкомату.
В результаті, клієнт не може отримати свої гроші, вважаючи, що в роботі банкомату стався збій. Але варто користувачеві відійти від банкомату, як з’явиться шахрай, які вилучить планку разом готівкою, що приклеїлися до неї.
Ознаки кеш-трепінгу:
- якщо банкомат повідомив про видачу готівки, але не видав їх (при цьому може з’явиться повідомлення, що клієнт забув гроші в банкоматі, але ніяке повідомлення про збій в роботі банкомату на екрані не висвітлюється) – є ризик шахрайства!
- якщо при цьому клієнт ще й отримав повідомлення про зняття готівки з картки (у разі, коли мобільний банкінг підключений), але гроші так і не з’явилися з банкомату – є ризик шахрайства!
Щоб злочинці не вкрали гроші, слід залишатися поруч з банкоматом, не відходити від нього. Зателефонувати в банк (номер телефону банку вказано на банкоматі або на банківській картці), повідомити про подію і чекати вказівок банківського працівника.
До слова, злочинці вішають свої планки так, щоб їх можна було без особливих зусиль зняти. Так що і звичайний користувач здатний це зробити – посмикати за планку на отворі для видачі готівки.
Крім того, українські банки стали розміщувати антикештрепінгові накладки на «шторки» банкоматів, які не дозволяють шахраям встановити «свою» планку зі скотчем.
Найчастіше зловмисники орудують в районах, де багато людей користується банкоматом для зняття готівки. Це можуть бути як місця великого скупчення людей (торгово-розважальні центри, парки відпочинку, транспортні розв’язки, банкомати близько великих підприємств і бізнес-центрів), так і магазини в спальних районах. Злочинці вибирають дні, коли люди частіше знімають гроші – свята, вихідні, дати отримання зарплати тощо.
При всій винахідливості шахраїв, кількість випадків кеш-трепінгу скоротилося з 468 до 66. Приголомшливий результат боротьби з шахрайством, який не був би досягнутий, якби не дві основних складових боротьби:
- Адекватна і швидка реакція банків на небезпеку – установка антикештрепінгових накладок, які застосовують найбільші банки України;
- Масштабна інформаційна кампанія проти банкоматного шахрайства, завдяки чому користувачі знають ознаки небезпечної ситуації і діють відповідно (не відходять від банкомату, самостійно знімають планку до якої приклеїлися гроші, дзвонять в банк і в поліцію).
Статистика банкоматного шахрайства в першому півріччі 2017 року, поквартально:
При скімінгу злочинці прагнуть скопіювати дані карти (встановлюють в отвір для прийому карт записуючий обладнання) і зняти на камеру процес введення ПІН-коду до карти. Здобуті дані потім використовуються для створення карт-дублікатів (з них злочинці згодом знімають гроші жертви). Скімінгових обладнання на картрідер може бути візуально помітно: тому більшість банків розміщує на екрані зображення банкомату (або тільки картрідера). Якщо в реальності картрідер відрізняється – такий банкомат використовувати не можна! Іноді скімінговий пристрій буває встановлено глибоко всередині картрідера. Устаткування по типу «глибока вставка» було знайдено в банкоматах Києва двічі протягом минулої зими. Обидва рази пристрої виявилися несправні (що, однак, не означає, що лиходії не робитимуть подальші спроби!). У такій картрідер карта заходить насилу, що теж небезпечна ознака.
Випадки скімінгу були зафіксовані в великих містах України – Києві та Одесі.
На жаль, в порівнянні з показниками річної давності, кількість випадків Transaction Reversal Fraud (TRF) зросла в 10 разів (з 2 до 20)! TRF – це вид шахрайства, коли зловмисник механічним способом викликають збій в роботі банкомату і дістають з нього гроші.
3. Банки активніше блокують рахунки дропів
Боротьба з кібершахрайством вийшла на новий рівень. Завдяки новим IT-рішенням, розроблена схема найбільш ефективної взаємодії між банками, платіжними онлайн-сервісами, онлайн-платформами продажів і кіберполіції.
Першаі основна ланка цієї співпраці – міжбанківська система обміну інформацією про випадки шахрайства з платіжними картами «Exchange-online», яку з 2012 року використовували банки і правоохоронці. Платформа служить майданчиком для обміну інформацією про нові види шахрайських афер. Співробітники служб безпеки банків консультують один одного, банки отримують відомості про нові загрози – і доносять до клієнтів.
Але одного інформування про шахрайські прийоми недостатньо, щоб повністю зупинити шахрайство. Для цього потрібно підключати правоохоронців і «руку закону» в особі прокурорів і суддів. З огляду на те, що кіберзлочинність – відносно новий вид злочинності в нашій країні, в судовій практиці недостатня кількість прикладів для «охоплення» всіх видів кібершахрайства і всього різноманіття злочинних афер в цій області.
Тому, паралельно з розвитком «Exchange-online» (до платформи приєдналися основні платіжні онлайн-сервіси, а в минулому році – платформа приватних оголошень «OLX»), фахівці стали думати над тим, як правильно структурувати отриману з різних джерел (від банків, від кіберполіції, від ошуканих користувачів) інформацію – і як зробити її максимально корисною в справі протистояння шахрайству.
Три кроки до ефективного об’єднання зусиль в боротьбі з кібершахрайством:
Крок 1. Створення спільного чорного списку шахрайських рахунків.
Коли власник картки попадається на гачок шахрая, від цього страждає не тільки клієнт і його банк. Зловмисники створюють сайти-підробки, маскуючи їх під легітимні сервіси для поповнення мобільного, здійснення грошових переказів, покупки авіаквитків або отримання онлайн-кредитів. Таким чином легітимні сервіси теж виявляються «втягнуті» в боротьбу з кіберзлочинністю.
Та ж ситуація і з Інтернет-магазинами і платформами продажів. Шахраї знаходять собі жертв серед користувачів, які розмістили оголошення в Інтернет. Або, навпаки, створюють магазини-підробки, в яких «продають» неіснуючі речі.
Не так давно кожен учасник платіжного ринку в якійсь мірі був «одним у полі воїном»: тобто, протистояв шахрайству, практично, в поодинці (розслідував випадки обману, інформував своїх клієнтів про небезпеку, іноді вдавався до допомоги кіберполіції). Така ситуація була дуже «вигідною» для шахраїв – їх ставало все більше, адже боротьба з ними не була ні масової, ні досить ефективною.
«Exchange-online» став платформою для обміну не тільки досвідом, а й інформацією про конкретних злочинців і злочини.
На базі платформи створений чорний список шахраїв, який стали активно поповнювати банки, веб-сервіси, небанківські організації-учасниці ЄМА і онлайн-магазини. Наслідки такого рішення важко переоцінити: банк, отримавши відомості про те, що на один з його рахунків пішли гроші обманутого користувача, може застосувати свої інструменти (наприклад, заблокувати цей рахунок) і не дозволити шахраю зняти вкрадені гроші.
Зараз фахівці ЄМА відзначають, що всі учасники системи (банки, платіжні сервіси та онлайн-майданчики) набагато активніше передають в чорний список інформацію про рахунки шахраїв і дропів.
Крок 2. Скорочення часу отримання інформації для слідства.
У справі розслідування кіберзлочинів без надання взаємодопомоги банкам і кіберполіції не обійтися. Тільки банк «знає», як переміщаються гроші на його рахунках. Тільки кіберполіція займається пошуком шахрая, який використовує банківський рахунок в своїх цілях. Обчислити і заблокувати рахунок злочинця треба якомога швидше – в окремих випадках це навіть допомагає врятувати вкрадені гроші. З огляду на всі складнощі процедури надання інформації для ведення слідства (потрібно письмовий запит, лист-відповідь і т.д.) на всі йшли дорогоцінні дні, а часом і тижні. Шахрай мав більше шансів сховатися.
Сьогодні на базі «Exchange-online» вже розроблена система, яка допомагає скоротити час на взаємодії кіберполіції і банків. Протягом доби (!) Банк відповідає на запит системи про той чи інший шахрайський рахунок. Кіберполіцейські через систему отримують інформацію про те, де були переведені в готівку гроші з карти шахрая (який ці гроші краде у своїх жертв).
Нова система отримала назву CrimeCheck. Зараз її використання знаходиться на стадії пілотної експлуатації. У наступних випусках Fraud Digest ми докладніше розповімо про новинку.
Крок 3. Запуск бази знань про маркери кіберзлочинів.
Недостатні знання про механізм і види кіберзлочинів ускладнювали визначення шахрайства і розуміння його наслідків. А відсутність прецедентів у судовій практиці дозволяли шахраям виходити сухими з води.
З цієї причини експерти ЄМА створили веб-додаток Investigate-online – своєрідну онлайн-енциклопедію з довідковою інформацією про ознаки, сліди і схемах шахрайства з платіжними картами і банкоматами. Там же незабаром будуть описані і нові алгоритми взаємодії банків і правоохоронних органів для запобігання та розслідування кіберзлочинів. Зараз веб-ресурс знаходиться в режимі пілотної експлуатації. Доступ до енциклопедії вже мають співробітники кіберполіції і банків. В майбутньому доступ також отримають співробітники слідства, прокуратури і учні профільних ВНЗ).
4. Блокування рахунків шахраїв з «OLX» тепер відбувається швидше
Найбільша в Україні платформа приватних оголошень вже давно веде особисту «війну» з шахраями. В тому числі, надає кіберполіції дані про шахрая після того, як ошуканий клієнт «OLX» звертається в кіберполіцію із заявою.
Тепер же інформація про всі шахраїв, які «засвітилися» на сайті, потрапляє в спеціальний перелік на базі міжбанківської системи «Exchange-online». Тобто, кожен банк дізнається про рахунки шахраїв і може розпочати різні заходи, наприклад, заблокувати рахунок. Якщо розслідування виявить реальні факти шахрайства – зловмисники будуть затримані і покарані відповідно до норм закону.
У службу безпеки порталу «OLX» регулярно надходять повідомлення від користувачів, які були обмануті. В цілому, число таких звернень досягало майже 50 тисяч за рік. Навіть в кіберполіцію звертається менше людей! А все тому, що шахраї знайшли способи обманювати довірливих користувачів.
Не всі заяви в підсумку стосувалися саме шахрайства (могли бути просто непорозуміння покупця і продавця, і навіть проста дезінформація), але кожен випадок був детально розібраний представниками порталу.
Тим часом, на думку співробітників порталу, аж ніяк не всі потерпілі повідомляють про те, що їх обдурили. Люди звинувачують себе в «власної дурості» і не вірять, що гроші можна ще повернути. Це помилка!
Після того, як співробітники безпеки «OLX» передадуть дані про шахрая в кіберполіцію, номер карти шахрая (після розслідування) буде внесений до чорного списку. Банк-емітент карти отримає законну можливість провести блокування картки. Так що при співробітництві з кіберполіцією шанси повернути втрачені гроші виростають в рази. Крім того, шахрай буде викритий у злочині і не зможе обманювати інших людей.
Найбільш часті схеми обману:
- Продавець товару під різними приводами вимагає оплатити покупку наперед (при цьому наполягає на переведенні вартості покупки на карту) і, отримавши гроші, зникає. Відомі випадки, коли лже-продавець неодноразово підвищував вартість покупки, а жертва продовжувала платити (йшлося про дорогий ліки, які зловмисник «пропонував» купити зі знижкою, але в підсумку все підвищував і підвищував суму, а ліки, звичайно ж, так і не вислав).
- Продавець вимагає велику передоплату за товар. Чи не занадто велика передоплата – це визначає вартість товару. Наприклад, шахрай імітував продаж оптом 20 офісних крісел по 200 гривень, вимагаючи передоплату в 100 гривень за кожне. Неважко підрахувати, який «прибуток» міг отримати лиходій, якби знайшов покупця, який погодився б на такі умови. В іншій ситуації при спробі купити ноутбук жінка перевела брехунам понад 5 тисяч гривень, а техніку так і не отримала. Фахівці «OLX» в розділі, присвяченому безпеці угод, нагадують: не варто платити гроші наперед (хоч передоплату, хоч всю вартість). Якщо вже робити передоплату, то в сумі не більше 5-10% від ціни товару. Або скористатися послугою Безпечна угода
- Шахрай видає себе за покупця товару, виставленого на продаж в Інтернеті. Лже-покупець дзвонить продавцеві, домовляється про переказ грошей за товар (повному або частковому), бере номер карти. Потім продавцеві дзвонить інший шахрай, хто вдає співробітником банку, через який, нібито, відбувається переказ коштів на карту продавця. Уявний співробітник банку вмовляє користувача повідомити конфіденційні дані його карти – для того, щоб «прийняти платіж». Насправді, секретні дані карти потрібні шахраям для того, щоб вкрасти з неї гроші!
- Шахрай (під виглядом покупця товару або співробітника банку) надсилає продавця товару (тобто, жертву) до банкомату: щоб «допомогти зробити переклад» з карти «покупця» на карту продавця. Важливо пам’ятати, що в банкоматі можна зробити переклад тільки зі своєї карти на чужу, і ніяк не навпаки!
Цей перелік обманних схем далеко не повний, адже кожен окремий випадок шахрайства може відрізнятися від інших.
Найважливіше, що варто пам’ятати тим, хто купує або продає в Інтернеті:
- Не можна робити повну передоплату товару! Бажано не погоджуватися навіть на передоплату. Існують альтернативні схеми розрахунку: післяплатою (оплата товару після його отримання в відділенні пошти), система «Безпечна угода» (сума списується з карти покупця, але зараховується на рахунок фінансового партнера «OLX» до моменту отримання товару покупцем через “Нову пошту”; потім сума автоматично надходить на рахунок продавця; таким чином ризик непостачання товару компенсується покупцеві і повністю зникає ризик виманювання реквізитів карти!).
- Слід звертати увагу на те, як потенційний покупець або продавець товару ведуть розмову. Якщо вас намагаються заплутати, нав’язують незрозумілі схеми розрахунку, неодноразово підвищують ціну – це ознаки, що співрозмовник не чистий на руку і з ним краще не мати справи.
- Нікому не можна повідомляти конфіденційні дані своєї карти (термін її дії, тризначний код безпеки зі зворотного боку карти або код CVV2 / CVC2, а також паролі з смс від банку). Для отримання платежу на карту досить сказати її номер!
- Якщо все ж попалися на вудку шахраїв – заявіть про це в поліцію. Найзручніше це зробити на сайті кіберполіції.
5. Кількість випадків фішингу падає, а винахідливість шахраїв – зростає
Згідно з даними статистики за перші шість місяців поточного року, кількість фішингових сайтів скоротилося на 29,5%, в порівнянні з показниками за той же період в 2016 році. Шахраї не втрачають час, розробляють нові схеми обману.
Але розслаблятися не варто: у другому кварталі 2017 року фішингових сайтів вже більше, ніж в першому.
Шахраї не втрачають час, розробляють нові обманні схеми:
- Все більше сайтів працюють за системою підміни даних картки одержувача.
Раніше зловмисники «збирали» дані карт жертв, щоб використовувати в подальшому (користувач залишав дані в платіжній формі підробленого сервісу для поповнення мобільного або грошового переказу; дані потрапляли в базу шахраїв; користувачеві показувалося повідомлення про невдалу операції і він йшов з фішингового сайту).
Тепер на фішинговому сайті можна зробити грошовий переказ – програма переадресовує операцію на легітимний веб-сервіс, в процесі підміняючи дані картки одержувача. А іноді – і суму. Переклад відбувається, гроші списуються з карти на користь шахрая, при цьому користувач отримує смс про зняття коштів і не здогадується, що вони пішли не тому адресату.
- Частіше стали створювати фішингові сайти, які імітують сайти працевлаштування.
Наприклад, пропонує віддалено працювати на підприємство «Укрпошта»:
Або навіть … працювати посередником при відмиванні грошей, роблячи «транзитні» переклади зі своєї карти на чужу):
З’явилися фішингові сайти-підробки під сервіси онлайн-кредитування.
Щоб не стати жертвою фішингових шахраїв, завжди перевіряйте сервіс, яким хочете скористатися. Переконайтеся, що сайт не потрапив в Чорний список шахрайських веб-ресурсів від ЄМА.
