С карточных счетов украинцев в 2022 году украли миллиард: почему грабежей становится больше

Что рассказали читатели «Минфина»

Участившиеся нападения мошенников на карточные счета подтверждают и наши читатели.

Например, клиент Приватбанка Ольга Чепур рассказала, как у нее похитили средства с зарплатной карты, и заверила, что сама не подтверждала списание средств.

Держатель карты monobank Наталия Руссу оставила в отзывах о работе банков похожую историю — деньги исчезли без каких-либо оснований, да еще и в ночное время. В это время человеку легко пропустить сообщение банка о списании средств, из-за чего счета блокируются с опозданием и могут быть полностью опустошены преступниками.

О незаконном списании средств мы также узнали от Ольги Мороженко, которая обслуживается в государственном Приватбанке. Причем, в ее случае это были кредитные средства. Поэтому в результате у нее образовался долг, по которому банк еще и насчитывает проценты, и списывает их со счета.

В своем отчете финучреждение говорит о том, что жалобы на действия мошенников рассматриваются до 120 дней. Так что проценты могут продолжать насчитывать все это время. Человек становится заложником ситуации, и потеряет деньги даже, если будут доказаны преступные действия жуликов.

Жулики ударили вместе с оккупантами

В банках подтверждают активизацию карточных преступников после начала войны.

«В среднем, к нам ежемесячно поступает около 1000 жалоб клиентов на мошеннические действия. Наиболее загруженными в 2022 году были февраль (особенно первые недели после начала активных военных действий) и июнь. В январе 2023 года мы получили не более 600 жалоб, это соотносится с данными прошлых лет», — сообщил «Минфину» руководитель центра мониторинга транзакций ПУМБ Вячеслав Пузанов.

Эксперты объясняют всплеск активности жуликов как растущей жаждой наживы, так и общим увеличением безналичных платежей в Украине.

«Думаю, что новая волна мошенничества связана со всплеском онлайн-платежей. Воздушные тревоги и блекауты вынудили многих украинцев сменить потребительские привычки. Это касается в том числе и тех, кто был не слишком активным участником всевозможных онлайн-платформ. Свою роль сыграл и ажиотажный спрос на различные энергоустройства — генераторы, павербанки, зарядные станции. В такие периоды мошенникам особенно легко убедить людей», — уточнил «Минфину» начальник управления электронной коммерции Юнекс Банка Александр Козаченко.

Увеличение числа расчетов картами недавно подтвердила свежая статистика Нацбанка. В ней отмечается рост в III квартале 2022 года количества безналичных операций на 8% (до почти 2 млрд), объема — вообще на 60% (до 1,3 трлн грн). Общее число карточных транзакций (безналичные расчеты + получение наличных) достигло 2,2 млрд на общую сумму 1,9 трлн грн.

Регулятор сравнил данные января-сентября 2022 года с аналогичным показателем 2021-го, и отметил рост доли безналичных платежей с 45% до 68,1% за последнюю пятилетку (в общем объеме операций).

Как обворовывают мошенники

Наиболее распространенный метод кражи данных, а потом и денег украинцев, — социальная инженерия. В Украинской межбанковской Ассоциации членов платежных систем ЕМА «Минфину» сообщили, что оценивают прирост таких краж с 92% в 2021 году до 99% в 2022-ом. Потери в интернете несоизмеримо меньше.

В ЕМА оценивают расчетный доход карточных мошенников в 2022 году на уровне 968,5 млн грн, а вместе с интернет-кражами — свыше 1 млрд грн.

Финансисты уверяют, что хакерские атаки и взломы банковских баз данных происходят крайне редко.

«Прямых попыток хакерских атак с целью кражи средств с банковского счета практически не происходит, потому что обойти систему банковской защиты таким путем слишком сложно. Банки постоянно усовершенствуют свои системы безопасности. По нашим данным, 90% всей мошеннической активности через удаленные каналы доступа к счету (мобильное приложение, десктоп-версия интернет-банкинга) происходит исключительно с участием клиента, а не с помощью взлома», — подчеркнул Вячеслав Пузанов.

Немного встречается и случаев внутренних хищений данных о счетах украинцев. Хотя они есть. Об одном из них стало известно из официальной информации Офиса Генпрокурора и СБУ как раз в середине феврале после задержания преступников. Их обвинили в хищении 100 млн грн со счетов жителей оккупированного Мариуполя. Работники правоохранительных органов сообщили, что жулики похитили персональные данные почти 4 тыс. жителей после захвата филиалов местных банков. В том числе погибших украинцев и людей, принудительно вывезенных в РФ.

После воровства информации о карточных счета и их владельцах злоумышленники обращались в украинские банки от имени вкладчиков, получали доступ к их страницам в онлайн-банкингах, а затем обворовывали счета. К организации причастна преступная группировка из временно оккупированного Донецка, которая, как уверяют наши силовики, координировала свои действия со спецслужбами РФ.

В Генпрокуратуре уточнили, что украденные деньги далее перечислялись через криптобиржи (в том числе представителям «Л/ДНР») и использовались в интересах террористических организаций. После проведения обысков в ходе уголовного расследования были наложены аресты на криптоактивы стоимостью 65 млн грн.

«Подобные истории не носят массового характера, хотя это и не первый подобный случай. Еще есть кейс с кражей данных о карточных счетах военных, которые пропали без вести. По нему еще проводится следствие. Если бы таких схем было много, это было бы известно. Потому уверен, что они не очень распространены», — прокомментировал «Минфину» ситуацию директор Украинской межбанковской Ассоциации членов платежных систем ЕМА Александр Карпов.

Как обманывают людей

Наиболее популярная среди аферистов социальная инженерия преследует одну цель — выманить у человека реквизиты его карточного счета или обманом вынудить жертву самостоятельно перевести жуликам деньги.

Вячеслав Пузанов из ПУМБа рассказал «Минфину» о трех наиболее распространенных схемах:

• Телефонное мошенничество. Преступники могут позвонить владельцу карточного счета, например, от имени сотрудника банка, и рассказать, что его счет заблокирован или с него сняли деньги. Отмечая, что для устранения проблемы, им нужно получить данные карты. Доверчивую жертву также могут попросить перевести деньги с якобы «заблокированного» счета на новый.

• Перевыпуск sim-карты и воровство финансового номера, привязанного к платежной карте. Таким образом мошенники получают доступ к кодам и паролям, которые банк отправляет клиенту для подтверждения платежных операций.

• Мошенничество с помощью sms. Аферисты часто используют sms-сообщение, как подготовку к фишингу. Распространенный прием: сообщение о том, что пользователь выиграл денежный приз или помощь от государства/благотворительных фондов. Якобы для получения этих денег человеку нужно предоставить дополнительную информацию, то есть данные карты. Чтобы не стать жертвой воров, ни в коем случае нельзя сообщать посторонним персональные данные: CVV-код с оборота банковской карты, секретные коды из sms, пароли, ПИН — коды от карты и логин-пароль от интернет-банкинга.

Активнее всего аферисты сейчас воруют карточные данные, обещая украинцам выплатить разного международную помощь.

«В качестве примера, могу привести sms-сообщения или новости в соцсетях/мессенджерах о выплате пособий от международных организаций, где сразу указывается и ссылка на сайт, на котором нужно внести свои данные по карте. Таким образом мошенники и получают конфиденциальные данные. На самом же деле заявку на получение помощи можно оформить только на платформе Єдопомога. Единственный достоверный источник информации по выплатам — это официальные сайты госорганов и банков», — рассказали «Минфину» в пресс-службе Приватбанка.

Еще одна популярная схема построена на поддельных веб-формах ввода данных карты при оплате товаров онлайн.

«Чаще всего точкой входа на эти фейковые веб-интерфейсы становятся онлайн-площадки различных досок объявлений. Мошенники просят предоплату за товар, направляя пользователя на такую фейковую веб-форму. Злоумышленник в онлайн-режиме видит все данные, которые вводит владелец карты и параллельно инициирует обычный p2p-перевод с его карты на стороннем сайте на ту же сумму, тем самым вызывая реальную процедуру двухфакторной аутентификации 3DS», — объяснил Александр Козаченко.

Он уточнил, что владелец карты в этот момент направляет вполне реальный защитный код (в виде sms или push-уведомления в мобильный банкинг), даже не подозревая, что он касается абсолютно другой операции.

«Жулик видит код, когда пользователь вводит его в фейковую форму. Ему остается только завершить „свою“ операцию, подтвердив ее реальным кодом подтверждения. Если операция проведена с вводом 3DS-кода, оспорить ее очень сложно. Такие кейсы существуют, но базово считается, что, если транзакция прошла с 3DS, ее инициировал пользователь. В подавляющем большинстве случаев, более половины, виновным будет признан пользователь», — признал Козаченко.

Как обезопасить деньги

Главное правило безопасности, о котором банкиры призывают всегда помнить, — сохранение в тайне реквизитов карточного счета и кодов к нему.

«Это — PIN-код, пароль к банковскому приложению, любое сообщение от банка, CVV-код, срок действия карты, — фактически, это все данные, кроме номера счета. Поэтому неважно какую причину называет тот, кто вам звонит и представляется, например, службой безопасности банка. Не существует ситуации, в которой работник банка требовал бы сообщить конфиденциальные данные», — подчеркнули в пресс-службе Приватбанка.

Опрошенные «Минфином» эксперты дали несколько советов людям для безопасного пользования картами:

• Купите отдельную sim-карту, которая будет использоваться только как финансовый номер (будет подвязан к банковскому счету). Финансовый номер желательно привязать к паспорту. Для этого достаточно пройти удаленную идентификацию с помощью одного из средств верификации: Mobile ID, BankID или электронной цифровой подписи (ЭЦП). Если нет Mobile ID, BankID или ЭЦП, можно зарегистрировать номер, обратившись в магазин мобильного оператора с паспортом (или заменяющим его документом). Регистрация номера обеспечит дополнительную защиту от посягательств мошенников без перехода на контракт.

• Включите 3D-серверную безопасность для безопасных платежей в интернете, и активируйте push-сообщения. В момент осуществления платежа система будет направлять смс с кодом для подтверждения транзакции. Также можно активировать 3D Secure 2.0 — подтверждение транзакции с помощью Touch ID/Face ID.

• Всегда проверяйте адресную строку браузера, когда делаете покупки в интернете. Мошенники неплохо копируют реальные сайты, особенно довольно простые в реализации формы ввода карточных данных, и даже получают сертификаты безопасности https (тот самый «замочек» в адресной строке браузера), однако они не могут подделать адрес сайта. Поэтому после названия банка будет идти какая-то странная лишняя приписка.

• Отключите возможность удаленного перевыпуска существующей sim-карты. Это наиболее распространенная схема, по которой работают киберворы.

«Хотя почти каждый день мы сталкиваемся с новыми видами атак преступников — от попыток добраться до конфиденциальных данных клиентов с помощью программ удаленного доступа AnyDesk/TeamViewer до фишинговых рассылок в мессенджерах», — говорит Вячеслав Пузанов.

Также в некоторых банках владельцам карт предлагают купить страховку от мошенников, которая в среднем стоит около 200 грн в год. Но тут нужно учитывать, что финучреждение будет рассматривать возможность выплаты только после официальной регистрации вашего сообщения о краже денег с карты в полиции. Так что, например, если вы находитесь за границей и у вас нет возможности обратиться в правоохранительное органы, наличие такой страховки будет бесполезно.

Как вернуть жертвам украденное

Банкиры уверяют, что человек всегда сможет вернуть украденные деньги, если будет соблюдать правила безопасности.

«Если держатель карты сам выдал мошенникам конфиденциальную информацию, сообщил, например, PIN-код или CVV-код, то его, скорее всего, признают виновным в инциденте, и не выплатят компенсацию. Ведь это зона ответственности клиента. Но если будет доказано, что данные о счете оказались в руках преступников не по вине его владельца, то он, скорее всего, сможет вернуть утраченное. В каждом отдельном случае банком проводится расследование и устанавливаются обстоятельства», — заверил Александр Карпов.

Сложнее всего с платежами в интернете, которые финансисты советуют подписывать кодом 3D Secure.

«Если операция проведена с вводом 3DS-кода, оспорить ее очень сложно. Такие кейсы существуют, но базово считается, что, если транзакция прошла с 3DS, ее инициировал пользователь. В подавляющем большинстве случаев, более половины, виновным будет признан человек. Если операция была проведена без 3DS — вина с высокой вероятностью будет возложена на торговца», — привел пример Александр Козаченко.

На банк финансовая ответственность возлагается при взломе его баз данных, при краже клиентской информации.

Автор:

Финансовый журналист Лысенко Елена