З кожним роком питання безпеки даних стає все гостріше. Платіжні картки використовуються повсюди, зняти гроші з банківського рахунку вже можливо практично в будь-якій точці світу, а електронні сервіси допомагають проводити більшість розрахунків без застосування готівки. Але паралельно зі сферою нових фінансових послуг зростають і ризики, яким піддаються карткові дані. Кібербезпека стала одним з пріоритетів для банківської системи в цілому.
Щодня в світі відбуваються тисячі хакерських атак. Шахраї атакують не тільки віртуальні рахунки, а й банкомати і термінали. Сотні схем обману створюються і удосконалюються.
Fraud News – дайджест, який попередить вас про нові методи, що застосовуються шахраями в Україні. Захистіть свої гроші!
1. Українці стали краще розпізнавати шахрайство з платіжними картами
Підбито підсумки другої хвилі соціального дослідження «Оцінка рівня обізнаності щодо ознак і способів захисту від шахрайства в сфері використання платіжних карток серед Інтернет-користувачів України». Дослідження здійснюється Асоціацією ЄМА і компанією «Gemius Україна» в рамках Національної програми сприяння безпеці електронних платежів і карткових розрахунки SafeCard. Ця програма розроблена Асоціацією ЄМА і реалізується за підтримки Посольства США в Україні.
Про що говорить зростання кількості ситуацій, коли користувачі особисто стикаються з платіжним шахрайством?
- Стало більше випадків шахрайства (це підтверджує і моніторинг, який проводять фахівці Асоціації ЄМА);
- Більше користувачів навчилися «бачити» шахрайство, розпізнавати його ознаки – і тому можуть впевнено сказати, що особисто стикалися з подібним.
Крім того, 40% респондентів підтверджують, що їхні знайомі або родичі потрапляли в ситуації платіжного шахрайства. Не знайшлося жодного опитаного, хто б взагалі не чув про такого роду злочини.
Звертайтеся до кіберполіції!
Дані кіберполіції теж побічно підтверджують «тенденцію»: левова частка звернень (близько 80%) – це заяви про шахрайство. Сотні скарг на вішинг (телефонне шахрайство) і фішинг (шахрайство в Інтернеті за допомогою фальшивих «сервісів» для поповнення мобільного телефону або здійснення грошових переказів), а також банкоматне шахрайство, «липові» Інтернет-магазини, онлайн-афери тощо.
Мішенню кіберзлочинців, як і раніше, залишаються звичайні користувачі (не спроби хакерських атак банківських рахунків, а «робота» з власниками карт безпосередньо – взаємодія злочинця і жертви по телефону, через Інтернет-сайт…).
Проте, все більша кількість користувачів знає, як правильно діяти в разі шахрайства. Так, 89% респондентів підтвердили, що, в першу чергу, заблокують картку. Це, і справді, найбільш дієва міра: наприклад, якщо власник картки усвідомив, що міг скористатися шахрайським сайтом в Інтернет, то блокування карти не дасть можливості зняти (тобто – вкрасти!) з неї гроші нікому, навіть злочинцеві, обманним шляхом вивідати конфіденційні реквізити банківської картки.
Ризиковано чи ні?
Незважаючи на те, що все більше українців знає про шахрайство з платіжними картками (іноді – тому, що вже зіткнулися з цим особисто і виявилися обманутими, на жаль) багато хто все ще ігнорує елементарні заходи безпеки.
Скажімо, тільки 84% респондентів вважають ризикованим повідомляти по телефону секретні реквізити своєї картки (термін дії картки, тризначний код безпеки зі зворотного боку картки (код CVV2 / CVC2), а також пароль із смс від банку). Хоча ці дані – ключ до банківського рахунку клієнта. Знання секретних реквізитів дозволить шахраям здійснювати грошові перекази (і покупки) з картки.
Телефонні злочинці телефонують своїм жертвам, видаючи себе за співробітників банку, Пенсійного фонду або правоохоронців – та під слушним приводом випитують конфіденційні дані картки. Справжній же співробітник банку, Пенсійного фонду, поліції, СБУ (або будь-який інший організації або компанії) ніколи не запитає про секретні реквізити!
Тільки 73% українців вважають, що повідомлення про виграш великої суми (отримане по телефону або у вигляді смс) може виявитися пасткою (ці респонденти вважають ризикованим повідомляти секретні реквізити своєї картки по телефону нібито для «отримання виграшу» на картку).
Тільки 74% опитаних визнали, що ризиковано використовувати онлайн-сервіс для платежів (поповнення мобільного або грошового переказу), якщо в текстах на сайті є помилки, друкарські помилки, неточності. Хоча це один з найпоширеніших ознак фішингових сайтів!
Тільки 66% респондентів вважають ризикованим переривати роботу з банкоматом, якщо той повідомив про видачу готівки, але не видав їх. Такий вид шахрайства називається кеш-трепінг: зловмисники встановлюють в отвір для видачі готівки спеціальну планку з двостороннім скотчем, до якого приклеюються купюри. Планка не дозволяє готівці «вийти назовні», користувач не отримує свої гроші. Зате шахрай може забрати їх (зняти разом з накладною планкою), якщо користувач відійде від банкомату. Тому найважливіше в цій ситуації – не відходити від банкомата, а дзвонити до банку та слідувати інструкціям банківського співробітника!
Тим часом, за даними Асоціації ЄМА, в 2015 році жертвою кібершахрайства ставав кожен 220-й українець. У 2016 році – кожен 80-й.
Позитивна динаміка
На щастя, є позитивні зрушення: все більше українців поінформовані про існування кібершахрайства і знають, як йому протистояти. Практично за всіма показниками рівень знань користувачів про шахрайство вже вище, ніж ще півроку тому. Українці перестають бути настільки «наївними» і «доступними» жертвами кіберзлочинців! Наприклад, майже в два рази більше респондентів повідомили, що тепер прикривають клавіатуру під час введення ПІН-коду до карти (а це – основна міра безпеки, щоб не стати жертвою скімінгу, шахрайства з копіюванням даних карти і створенням її дубліката, а проте без знання ПІН-коду до карти злочинцям не вдасться використовувати її дублікат).
Третя хвиля дослідження «Оцінка рівня обізнаності щодо ознак і способів захисту від шахрайства в сфері використання платіжних карт серед Інтернет-користувачів України» буде проведена в серпні 2017 року.
2. Нова масова розсилка смс про уявне «блокування» карток
Співробітники служб безпеки українських банків повідомляють про масову розсилку повідомлень про «блокування» банківських карток. Текст наступний «Дія вашої картки заблокована банком. Служба безпеки для зворотного зв’язку 066-424-57-50 ».
Відмінний приклад того, що шахрайство може бути «шито білими нитками»:
- В смс немає жодної «індивідуальної» подробиці: номера картки, назви банку, П.І.Б. власника картки, нарешті. Таке повідомлення можна вислати кому завгодно. Реакція залежить лише від обізнаності користувача про види шахрайства по телефону.
- Обрана тривожна тема повідомлення ( «блокування картки») – це зроблено з метою дезорієнтувати користувача, налякати його, змусити надходити необдумано, наприклад, передзвонити за вказаною в смс номеру і повідомити шахраям всі вони вимагають «для розблокування карти» дані (в тому числі, конфіденційні дані банківської картки, які можна повідомляти нікому!).
- Для зворотного зв’язку даний не прямий міський, а чомусь мобільний телефон якоїсь «Служби безпеки». Одне це вже має насторожити. Офіційні номера банків – прямі міські. Іноді кіберзлодії, використовуючи можливості IP- телефонії, маскують мобільні номери під міські. Тому тут важливо запам’ятати головне: справжні банки не будуть розсилати подібні повідомлення. Для заблокування або розблокування карти банку не потрібні її конфіденційні дані. Справжній співробітник банку ніколи не буде дзвонити з подібною вимогою!
За даними Асоціації ЄМА, 94% телефонних злочинців видають себе за співробітників банку. У більшості випадків шахраї використовують саме лякають теми для повідомлень ( «блокування карти», «підозрілі операції по карті» – був навіть випадок «перерахування грошей з карти на фінансування тероризму», – і інші теми, які повинні налякати користувача). Щоразу для того, щоб «вирішити проблему», шахраї намагаються переконати жертву видати секретні реквізити її банківської карти.
3. Фальшиві поліцейські переконують клієнтів, що їх грабує … банк
Незвичайний дзвінок надійшов на телефон Руслани Руденко з Києва два тижні тому. Телефонувавший представився співробітником Служби безпеки України, назвав ім’я і посаду (фальшиві). Суворим діловим тоном «сбу-шник» взявся переконувати Руслану в тому, що гроші з її карти ось-ось будуть вкрадені … співробітниками банку. Мовляв, ці співробітники «на гачку», але Руслана повинна терміново вжити заходи, щоб її гроші «не списали». Шахрай переконав жінку відправитися до банкомату ( «Тільки не заходьте в відділення банку!» Просив лже-правоохоронець, натякаючи на змову банківських службовців).
Коли перелякана Руслана дісталася до найближчого банкомату, шахрай їй знову передзвонив і повідомив, що зараз її буде консультувати вже «начальник карткової безпеки СБУ». Подальша розмова був цілком в дусі телефонних шахраїв: «начальник» зажадав ввести ПІН до карти, вибрати перегляд балансу, назвати всі цифри на екрані. На щастя, Руслана стала підозрювати недобре і відмовилася повідомляти залишок на її рахунку і інші дані. Після невеликої суперечки злочинець поклав трубку.
Як показує практика, зазвичай шахраї багаторазово «відпрацьовують» нову «тему» ??або схему обману ( «блокування карти», «підозрілі операції», «фінансування тероризму» і т.п.). Так що випадки, подібні до того, який стався з Русланою, швидше за все, будуть повторюватися.
Яка була мета шахраїв? Очевидно, вони спробували б переконати клієнтку перевести гроші з її карти на чужу (це – найпоширеніша схема телефонного шахрайства, при якій жертву відправляють до банкомату). Рідше клієнт, слідуючи інструкціям дзвонить, встановлює переадресацію дзвінків і смс від банку зі свого фінансового телефону на телефон шахрая, переводить гроші на мобільний номер злочинця.
Пам’ятайте, що:
- Справжній співробітник банку або правоохоронець не стане переконувати вас йти до банкомату і щось там робити під його керівництвом (крім випадків, коли ви особисто попросіть про консультації співробітника банку).
- Ким би не представився той, хто телефонує, які б аргументи не використовував, а краще перевірити інформацію. Припиніть розмову і покладіть трубку. Передзвоніть в банк і дізнайтеся, чи дійсно з вашим рахунком і вашою карткою є якісь проблеми. Телефонуйте за офіційним телефону банку (є на карті або на офіційному сайті банку). Якщо ж той, хто телефонує прикидається правоохоронцем і намагається підірвати вашу довіру до банку, зателефонуйте і в банк і в поліцію.
- У банкоматі можна здійснити грошовий переказ тільки зі своєї карти (з тієї, яка вставлена ??вами в банкомат) на чужу. Для отримання платежу на карту (ще один привід, який часто називають шахраї, щоб переконати жертву відправитися до банкомату) – наприклад, передоплати за товар, або грошового виграшу, або надбавки до пенсії, або матеріальної допомоги – не потрібно йти до банкомату! Щоб відправник (фізична особа або компанія) міг перевести гроші на вашу карту, досить повідомити йому ТІЛЬКИ номер вашої картки. Не потрібно йти до банкомату, щоб отримати гроші на свою карту. Будь-які спроби переконати вас, що без вашої участі гроші на вашу карту «не прийдуть» – ознаки шахрайства!
4. У дні Євробачення “працювали” банкоматні злочинці
У період свят, тривалих вихідних або масових подій злочинці найбільш активні. Так, в банкоматах Києва виявлені сліди чотирьох шахрайських накладок, які, найімовірніше, були встановлені там в дні Євробачення і травневих свят (в період з 30 квітня по 12 травня).
За перший квартал в Україні було виявлено десять подібних накладок.
Як працюють шахрайські пристрої
Скіммінгові наліпки
Як встановлюють
Скіммінгова наліпка розміщується на отворі для прийому карт. Це пристрій записує дані з магнітних смуг карт, які користувачі вставляють в банкомат. Розташована окремо крихітна відеокамера (вона може бути настільки мініатюрною, що користувач банкомата просто не помічає її) записує процес введення ПІН-коду до карти.
Мета злочинця
Скопіювати дані карти, записати на відео процес введення ПІН-коду до карти, а потім зіставити дані. Виготовити дублікат карти (і отримати до нього доступ завдяки «підглянуті» ПІН-коду), щоб зняти гроші з карти.
Як захиститися
- Завжди закривати клавіатуру банкомату (долонею, сумкою, головним убором) при введенні ПІН-коду. У такому випадку, навіть якщо злочинці скопіюють дані з магнітної смуги карти, вони не зможуть ними скористатися.
- Порівняти зовнішній вигляд банкомату з тим, який зображений на фото на його екрані. Якщо вид отвори для прийому карт змінився (на ньому є додатковий виступ з щілиною для прийому карт і т.п.) – не використовуйте такий банкомат!
- Якщо карта входить в картоприймач з працею – не використовуйте такий банкомат! Можливо, в ньому встановлено шахрайське обладнання за типом «глибока вставка», яке є непомітним зовні.
Кеш-треппінгова накладка
Як встановлюють
Металеву планку того ж кольору, що і банкомат, злочинець чіпляє на отвір для видачі готівки. При звичайній роботі банкомату, коли він видає гроші, розташована в отворі для видачі купюр «шторка» підводиться, гроші подаються назовні. Шахрайське пристрій не зможе купюрам «вийти». Крім того, на накладкою планці є смужка двостороннього скотча, до яких приклеюються купюри.
Мета злочинця
Користувач, не отримавши грошей, відходить від банкомату. Шахрай підходить, швидко знімає планку з приклеїти до неї грошима, йде. Банкомат працює далі в звичайному режимі.
Як захиститися
- Перевірте отвір для видачі готівки. Злегка посмикайте за край. Шахрайські накладки встановлені з тим розрахунком, щоб їх можна було швидко і без особливих зусиль зняти.
- Зателефонуйте в банк (телефон є на банкоматі або на карті) і повідомте про те, що сталося. Не відходьте від банкомату, дотримуйтесь інструкцій банківського співробітника.
5. Фішингові сайти все активніше «пропонують кредити»
У травні співробітники Асоціації ЄМА виявлено два шахрайських веб-ресурси, які виманюють секретні реквізити банківських карт користувачів під приводом надання неіснуючих послуг кредитування:
- https:// kreditavtomat.jimdo .com/
- https:/ /www. pkamoney .org/
Обидві адреси, насправді, ведуть на один і той же сайт https://www.pkamoney.org/ (на другому ресурсі встановлена переадресація).
Візуально сайт виглядає дуже переконливим – написаний грамотною українською мовою, гарний дизайн, точні і зрозумілі формулювання в тексті. Однак при оформленні заявки на кредитування на другому етапі оформлення необхідно повідомляти конфіденційні дані своєї банківської картки. Дані карти потрібні, нібито, для верифікації карти. Насправді, для надання кредиту такі дані карти не потрібні – достатньо знати її номер. На перевірку виявляється, що сервіс не надає кредити, а краде гроші з карток клієнтів.
Щоб не стати жертвою фішингу, перевіряйте, чи не входить обраний вами веб-ресурс в Чорний список шахрайських сайтів від Асоціації ЄМА.
Ще два фішингових ресурсу імітували сайти для працевлаштування (http://trud11.xyz/ і http://rabota1.xyz/). Обидва пропонували працювати віддалено на державне підприємство «Укрпошта». Для отримання замовлення слід повідомити свої дані, в тому числі строк дії своєї банківської картки та тризначний код безпеки зі зворотного боку карти. Це конфіденційні реквізити карти, які потрібні її власнику для здійснення платежів в Інтернет. Отримавши ці дані, шахраї отримували доступ до грошей на карті і могли здійснювати грошові перекази з неї на свої рахунки.
Виявлено при моніторингу фішингові «сервіси», що пропонують неіснуючі послуги здійснення грошових переказів на карту (https://p2ycard.com/ іhttps://transfercard.net/), а також чотири фішингових ресурсу, які «пропонують» дві послуги: поповнити мобільний або зробити грошовий переказ::
- http:// popolnyphone .info/
- http:// popolnynatel .info/
- http:// popolny4phone .info/
- http:// cash4phone .info/
Будьте уважні, не станьте жертвою фішингових шахраїв! Детальна інформацію про те, як розпізнати фішингових сайтів, дізнайтеся в розділі «Фішинг» на сайті Асоціації ЄМА.