Как мошенники крадут деньги с карточных счетов

Украинцы постепенно отказываются от кеша.  По данным НБУ, за 9 месяцев 2017 года объем безналичных операций с помощью платежных карт вырос более чем на 40% и достиг 216 млрд грн. Злоумышленники пользуются ростом популярности безнала, выманивают деньги у украинцев.

Больше всего страдают держатели пластика ПриватБанка. Это не удивительно, ведь на него приходится более половины (18, 9 млн штук на 1.10.2017) от всех активных платежных карт.

Условно, мошенничество с приватовскими картами можно разделить на два вида.

Первый, когда держатель карты почти беспомощен, а в утере денег больше виноваты лазейки в банковской инфраструктуре. Второй — клиент доверчив, неосторожен. Он не пользуется здравым смыслом, не задумываясь «проглатывает» ложь и, соответственно, помогает мошеннику отобрать у него деньги (такой вид мошенничества еще называют социальным инжинирингом). 

Совсем недавно в такую схему был втянут и «Минфин».  Только благодаря бдительности нам удалось не попасть на удочку аферистов.

Ради общей безопасности, редакция решила напомнить о популярных мошеннических схемах. В статье описали некоторые ситуации, в которых участвовали держатели карт.  Мы использовали, в том числе, отзывы читателей «Минфина», которые стали (или едва не стали) жертвами преступников. 

Карта, OLX и два смартфона

Для реализации одной из самых старых и распространенных мошеннических схем  нужно совсем немного: жертва (продавец мобильного телефона, как правило, б/у), товар (то есть тот самый телефон) и подвешенный язык.

Один из членов редакции «Минфина» продавал смартфон на популярной торговой площадке — OLX. Ему позвонил покупатель (как выяснилось позднее — жулик) и заявил, что хочет купить телефон. Товар попросил передать курьеру: мол, «живу под Киевом, жене подарок хочу сделать, а деньги на карту скину». Нетерпеливый «покупатель» был готов безотлагательно идти к терминалу, чтобы пополнить карту продавца и сократить время ожидания. Состояние товара, возможные дефекты и т.д. его не сильно интересовали — ведь «вы же добросовестный продавец, и все как в объявлении». 

За телефоном явился таксист, который выступал в роли курьера. Его использовали вслепую. Злоумышленники рассказали «сказку» о забытом телефоне, который нужно забрать, и пообещали оплатить поездку (обычно «извозчики» не сильно любят возиться с техникой на продажу). Сам покупатель утверждал, что он уже находится возле терминала и готов пополнить карту, как только таксист увидит телефон. 

Итак, суть схемы: продавец подходит к таксисту, чтобы передать телефон. В это время «покупатель» якобы стоит возле терминала и отправляет деньги на указанный карточный счет. И... вуаля, через минуту на телефон приходит СМС, якобы от ПриватБанка с подтверждением зачисления. 

Скриншот СМС-подтверждения, полученного «Минфином»

На первый взгляд, все правильно. Но если присмотреться внимательно — номер телефона отправителя не приватовский, а фамилия получателя неправильно транслитерирована на английский язык. Самое странное, конечно то, что продавец уже как пару лет получает все сервисные сообщения от ПриватБанка не в виде СМС, а в Sender мобильного приложения Приват24. 

Так как в Sender оповещения не пришло, да и баланс прежний, пришлось позвонить покупателю и узнать, где деньги. Горе-аферист уверял, что деньги скоро придут, мол, - «Приват тормозит». И вправду, через минуту пришло еще одно оповещение — точно такая же СМС. Но баланс прежний, а в Sender — никаких сообщений. 

Разумеется, телефон остался у хозяина, а таксист уехал с пустыми руками. Позднее «Минфин» пытался дозвониться «покупателю», чтобы получить комментарий по этой ситуации, но телефон уже не отвечал. 

Эта «бородатая» схема достаточно проста. Наверное именно поэтому на нее продолжают «вестись» сотни доверчивых держателей пластика. 

Если есть желание продать товар и получить оплату на карту, никогда не стоит доверять СМС о зачислении денег. Обязательно стоит проверить свой баланс с помощью мобильного приложения, или же позвонить в контакт-центр банка. 

Немного посложнее

Есть схема посложнее. С ее помощью жулики «выуживают» у жертвы ее платежные данные. Как правило, в ней задействовано два человека — «покупатель» какого-то товара и мнимый «сотрудник банка». 

Покупатель договаривается с продавцом о покупке и просит назвать номер карты, чтобы перевести деньги. Далее он кладет трубку и жертве уже звонит «сотрудник банка», который заявляет, что платеж невозможно совершить без дополнительных данных (обычно требуют срок действия карты, ПИН-код, CVV-код). Как только жертва раскрывает информацию, злоумышленники получают доступ к ее деньгам. 

Есть вариация на эту схему, в которой фигурирует банкомат. В начале все происходит так, как описано выше. Только покупатель уверяет, что для того, чтобы получить деньги, продавцу нужно сходить к банкомату. А когда его телефон поступит еще один звонок, он должен продиктовать последние 3 цифры с номера которого звонили. Мол, «они необходимы, чтобы завершить платеж». 

На самом деле, получив три заветные цифры, злоумышленники смогут сами снять деньги в банкомате со счета жертвы, даже без его карты. Это довольно распространенная услуга Привата, ею может воспользоваться любой клиент банка. Все что нужно: ввести по запросу банкомата номер карты и номер финансового телефона клиента. Банк сделает «вызов» и попросит ввести 3 последние  цифры, с которого вам звонили. Правда, еще понадобится авторизация по ПИН-коду карты. Но его обычно выведывает «сотрудник банка», который предварительно «обрабатывает» жертву. 

Обезопасить себя от этой схемы очень просто. Во-первых, следует запомнить, что никакой денежный перевод на карту не требует присутствия картодержателя возле банкомата (кеш-машины не имеют ни малейшего отношения к этой услуге). Во-вторых, ни в коем случае не делитель ни с кем вашими «секретными» платежными данными. Наиболее безопасный вариант - продавать товар с помощью наложенного платежа.

Только телефон

Вишинг — телефонное мошенничество. Его цель - выведать у жертвы платежные данные карты. Яркий пример — ситуация, в которой в прошлом году оказался Ощадбанк. Его клиентам стали приходить СМС о блокировке карты. За подробностями, злоумышленники предлагали обратиться в якобы «инфоцентр». Номера телефона прилагались. 

Если жертва заглатывала наживку и звонила в «инфоцентр», мошенники всяческими методами выведывали у нее данные карты. Например, для ее разблокировки.  

«Минфин» также едва не стал жертвой этой аферы. Ради любопытства мы перезвонили в «контакт-центр», но не получили вразумительного ответа. Более того, после нескольких наших наводящих вопросов, «оператор» разразился отборным матом. Разумеется, никаких данных от «жертвы» он не узнал.

Вариаций телефонного мошенничества очень и очень много. Например, наш читатель Qwerty 1999 сообщил, что ему и сотрудникам предприятия, где он работает, стали приходить СМС на корпоративные мобильные телефоны. Их отправители  требовали погасить какой-то кредит, и предлагали перезвонить по нескольким номерам для уточнения суммы. Любопытно, что по одному из телефонов (в списке фигурировал и один cdma-номер) отвечало «Центральное управление НБУ», где звонившему бодро предложили «погасить кредит». 

«На недоуменный вопрос, а почему номер не киевский, объясняют, что часть сотрудников переехала в Киев из Днепра и сразу же требуют предоставить номер банковской карты для уточнения общей суммы задолженности», — пишет Qwerty 1999. К счастью, пользователь на удочку не попался. После его уточняющих вопросов мошенники бросили трубку, и перестали отвечать на звонки. 

Почти не виноват

Во всех вышеописанных схемах жертва фактически является соучастником  мошенников. Ведь именно потерпевший раскрывает жуликам свои данные, не проверяет баланс карты и т.д. Будь то спешка, или просто небрежность, но пострадавший также ответственен за потерю денег, если не соблюдает элементарных правил платежной безопасности. 

Но бывают случаи, когда клиент банка становится заложником ситуации. Так, например, произошло с держателями карт ПриватБанка в ноябре прошлого года.

Тогда сразу несколько владельцев приватовского пластика сообщили «Минфину», что злоумышленники украли с их счетов значительные суммы. Мошенники нашли брешь в платежной системе Interkassa и списывали деньги клиентов без их ведома при совершении покупки в интернет-магазине. Жертвам даже не приходило подтверждение об оплате, потому что у торговца не была включена система верификации транзакций 3D-Secure.

В комментариях «Минфину», Interkassa и ПриватБанк заявили, что неполадка устранена, а пострадавшим клиентам выплатят компенсацию.

Совсем недавно – 3 января 2018 года – 2 пользователя «Минфина» сообщили о еще одном подобном случае. Проблема снова коснулась клиентов ПриватБанка, но на этот раз, вместо Interkassa, в схеме фигурировал российский интернет-ресурс бесплатных объявления Avito.ru. Каким-то образом, мошенники заполучили платежные данные клиентов и списали с их карт деньги в пользу  Avito.ru. 

3 января 2018 года у меня внезапно телефон стал показывать транзакции оплаты каких-то рекламных услуг на AVITO.RU, Moscow. Было всего 5 транзакций с промежутком ровно в 1 минуту между ними, — утверждает пользователь Leonid Cool Sky

По его словам, злоумышленники списали с карты 6 000 грн. Этого можно было бы избежать, если бы ПриватБанк быстрее среагировал. Или если бы пользователь поставил нулевой лимит на интернет-платежи. 

Скриншот я предоставил Привату буквально в течении 5-ти минут после ограбления, знаю что транзакцию можно отменить(приостановить) в первые 15 минут с момента отправки денег, чего Приватбанк не сделал после моего сигнала им.

Сейчас получаю от Привата только отписки в виде «ваша заявка на рассмотрении, сроки не установлены, мы вам позвоним ...", — комментирует Leonid Cool Sky

Тоже же самое произошло и с другим пользователем. 

В мене вкрадено з моєї кредитної банківської картки Приватбанк Універсальна кредитні кошти та здійснено несанкціонований переказ грошових коштів в розмірі 7500 руб з конвертацією по курсу 0,47 грн. Усього 3 525 грн, — утверждает пользователь elena7775. 

ПриватБанк также не прислал ей подтверждения. А деньги ушли на оплату рекламных услуг на Avito.ru

Представители банка ответили пострадавшим, что разбираются в ситуации.  

Единственный способ обезопасить себя от подобных действий мошенников — установить нулевой лимит на интернет-операции. Сделать это можно в онлайн банкинге Привата или мобильном приложении. Устанавливается он в течение одной минуты. При необходимости лимит всегда можно изменить.   

Что делать

Преступники придумали тысячи способов, как заполучить деньги клиента. Но, как правило, это «старые песни на новый лад». Особенно это касается телефонного мошенничества. Жулики запугивают или уговаривают жертву всеми возможными способами, чтобы та выдала необходимые данные. Но что бы они не говорили, есть одно золотое правило — никому не раскрывать свои секретные реквизиты - ПИН-код и CVV. Даже если звонящий представляется сотрудником банка или новым главой НБУ.  Исключением может быть только 16-значный номер карты. 

Никогда не стоит расплачиваться картой в сомнительных интернет-магазинах. Очень часто именно там мошенники получают данные клиентов. оптимальный вариант - открыть интернет-карту для расчетов в «сети». Процесс покупки может замедлиться, так как каждый придется переводить на нее деньги, но безопасность при расчетах вырастает в разы.

Если по карте происходит несанкционированное списание

Первое, не нужно паниковать. Второе, карту нужно заблокировать или звонком в контакт-центр, или с помощью интернет-банкинга. В мобильном банкинге некоторых финучерждений это также возможно. В любом случае необходимо написать заявление в банк и правоохранительные органы. 

Алексей Рябуха