Мошенники продолжают обогащаться за счет доверчивых пользователей банковских и интернет-услуг. За 2019 год они похитили с банковских счетов граждан 362 млн грн.
13 мошеннических схем, которые позволили украсть у украинцев 362 миллиона
В 2018 году речь шла о значительно меньшей сумме — 245 млн грн. Об этом, во время пресc-брифинга о платежном и банкоматном мошенничестве, рассказала заместитель директора Украинской межбанковской ассоциации членов платежных систем ЕМА Олеся Данильченко.
«Минфин» изучил основные «изобретения» мошенников и разузнал о методах защиты от них.
Топ-5 актуальных схем платежного мошенничества
-
Развлекательное мошенничество (Entertaiment fraud)
Выманивание денег или реквизитов карты, замаскированное под онлайн-бронирование жилья или автомобиля, онлайн-продажу транспортных документов или туристических путешествий, билетов в кинотеатры, на концерты или спортивные события
-
Мошенничество с трудоустройством (Employment fraud)
Аферы с трудоустройством и заработком в интернете, когда мошенники выманивают денежные средства, реквизиты карты и паспортные данные, втягивают в преступную деятельность.
-
Подменные веб-сайты
Мошеннические веб-сайты, замаскированные под сайты банков, финансовых сервисов и торговых площадок, выманивают у граждан деньги, реквизиты карточки, ключи и пароли доступа к интернет-банкингу или приложению на телефоне.
-
Телефонное мошенничество
Злоумышленники с помощью манипуляций выманивают во время телефонного звонка реквизиты карты, SMS-пароли и идентификационные данные.
-
Перевыпуск сим-карты
Дистанционная замена сим-карты без ведома ее владельца, чтобы вывести деньги с его банковского счета, оформить мошеннические кредиты на его имя или завладеть частной информацией и шантажировать жертву
Старые и проверенные методы до сих пор успешно работают, но постоянно модифицируются. Киберпреступники пугают свои жертвы, морочат им головы, и даже заманивают романтикой.
Читайте также: Позвони мне, позвони: какие смс присылают мошенники
Новые изобретения мошенников
Переадресация
Злоумышленники придумали, как получить доступ к входящим звонкам и сообщениям жертвы. Благодаря психологическому влиянию они заставляют набрать на телефоне определенную последовательность символов. Такая комбинация является согласием на переадресацию сим-карты.
«Все адресованные вам звонки и смс-сообщения окажутся на мобильном телефоне мошенника. Понятно, что их интересуют только уведомления от банков», — объясняет Раиса Федоровская.
Голосовое меню
Мошенники используют советы банков, чтобы завоевать доверие граждан. «Никому не передавайте код, который придет в сообщении», — уверяют жертву. Зато рекомендуют включить интерактивное голосовое меню и продиктовать цифры в тоновом режиме после сигнала. Сами тем временем прослушивают секретный код.
Код-подтверждения для входа в интернет-банкинг или иных операций с банковской картой таким образом оказывается в руках злоумышленников.
Удаленный доступ
По словам руководителя ЕМА Academy Раисы Федоровской, мошенники звонят от имени сотрудника банка и просят установить на телефон программу удаленного доступа. Такую просьбу они объясняют заботой банка о клиенте: мол, устройство заражено вирусом, который уничтожит все данные, и банк хочет предупредить эту ситуацию.
Жертва устанавливает «антивирусное обеспечение» — значит, дает полный доступ к своему устройству. После этого аферисты выводят средства. «Если у вас iPhone, мошенник получит частичный доступ только на просмотр экрана. И это не помешает управлять шагами клиента, а тот уже самостоятельно перечислит средства злоумышленнику», — говорит Раиса Федоровская.
«Безопасный» счет
Самый эффективный способ заставить жертву выполнять желания злоумышленников — предупредить об опасности. Звонок от работника банка" извещает, что счет клиента заблокирован или воры пытаются вывести деньги. Все, что следует сделать, — перевести средства на «безопасный» счет. Главное условие — действовать немедленно. Это толкает неудачника отправить деньги на счет мошенника.
Схемы с трудоустройством
Появилось два новых распространенных способа выманить деньги у тех, кто ищет работу.
«Первый — кадровое агентство, которое обещает много предложений от работодателей. Но сначала кандидат должен сделать и отправить селфи с паспортом. Второй — работа дома, например, набор текста или сортировки кофейных зерен, за которую аферисты просят заплатить задаток, своеобразный гарантийный взнос», — рассказывает Раиса Федоровская.
За желание работать дома придется заплатить, но один раз. Зато, отправляя фото документа, вы рискуете получить несколько кредитов в МФО, которые дают займы онлайн, и долго платить задолженность.
Онлайн-обменники
Все больше товаров и услуг мы ищем и оплачиваем онлайн. Чтобы проверить сайт, достаточно за несколько минут почитать отзывы в интернете или посмотреть черный список. К сожалению, граждане игнорируют меры безопасности и ведутся на удобство и легкость совершения операций. Поэтому часто средства исчезают на неизвестных счетах или номерах мобильных телефонов.
Свежий пример. Аферисты создали мошеннический сайт mobilpay.com.ua, который работает под видом обменника и имеет множество страниц-клонов. Через него пользователи осуществляли денежные переводы с личного мобильного счета на банковскую карточку. Злоумышленники подменяли номер получателя. Таким образом, деньги списывались с мобильного счета, а на банковскую карту не попадали, пополняя баланс карты мошенника.
По данным только одного платежного сервиса, благодаря mobilpay.com.ua за 54 суток мошенники получили более 120 тыс. грн чистой прибыли. Киберполиция ведет следствие.
Сети для романтиков
Чем больше аферисты знают о человеческих слабостях и желаниях, тем легче им создавать новые приманки. Романтическое мошенничество пришло к нам из Европы. Злоумышленники ищут жертв в социальных сетях и на сайтах знакомств. Затем рассылают им романтичные электронные письма — и любым способом выманивают деньги.
Приобрела популярность схема с кинотеатром. Одинокая женщина или мужчина соблазняются на приглашение незнакомца провести романтический вечер вместе. Аферист выбирает на свой вкус частный кинотеатр для двоих. Далее — просит купить билеты в кино. Жертва оплачивает их по ссылке на мошенническом сайте, например, worldlotteryplace.com, после чего «прекрасный» незнакомец или незнакомка исчезает.
Часто злоумышленники манипулируют чувствами близких людей. Не теряют действенности фразы: «любимая, я в беде» или «мама, я в больнице».
Фальшивые инвойсы
Новый вид мошенничества — схемы с инвойсами, то есть документами, которые посылает продавец покупателю при оплате товара. Инвойс содержит информацию о ценах и количестве товаров и услуг, которые заказывает покупатель.
Мошенники, узнав о том, что жертва ждет определенный заказ, присылают на почту фальшивые письма с другими реквизитами. «В таком случае это уже касается не только физических, но и юридических лиц. Крупные компании перечисляют большие суммы на мошеннические номера», — комментирует Олеся Данильченко.
Читайте также: Карты, деньги, телефон: как мошенники крадут деньги с банковских счетов
Сколько выманивают у жертвы
В 65% от общего количества всех инцидентов мошенники использовали интернет и психологическое воздействие на жертву. Примененные психологические приемы позволяют аферистам узнать конфиденциальные данные клиентов банков или заманить фейковыми предложениями.
Совокупный расчетный доход мошенников 2018/2019 (млн грн)
Источник: ЕМА
В 2019 году средняя сумма мошеннических операций с использованием методов психологического воздействия (социальной инженерии) выросла с 2 333 до 3 400 грн. Для сравнения: средняя сумма кражи в интернете в 2019 году составила 336 грн. Наибольший доход принесла злоумышленникам замена сим-карты — в среднем 6 200 грн.
Средняя сумма мошеннической операции 2018/2019 (грн)
Источник: ЕМА
По данным ЕМА, в течение 2019 года было выявлено 352 мошеннических и фишинговых сайтов. А в межбанковский «черный» список попали 1268 мобильных телефонов аферистов.
Внесено в межбанковский черный список (ед. лиц)
Источник: ЕМА
Как защититься от психологического воздействия
Наиболее эффективным оружием против мошенников может быть только финансовая грамотность.
7 правил мудрого параноика:
- Не используйте ваш финансовый номер в социальных сетях, объявлениях, не оставляйте его для контактов с клиентами. Перейдите на контрактное обслуживание финансового номера. Если не хотите платить лишнее, можно остаться на подписке. Для этого надо предоставить свои документы мобильному оператору, по которым вас будут идентифицировать, зарегистрироваться в персональном кабинете и отключить удаленный перевыпуск сим-карты.
- Немедленно реагируйте на замену сим-карты. Если пришло предупреждение о запланированном перевыпуске оператором, вы можете отказаться, на всякий случай сменив пароли в интернет-банкинге. Если сим-карта просто перестала работать, позвоните сначала в банк и заблокируйте банковские карты, счета, доступ в интернет-банкинг. Позже — сообщите мобильному оператору, что желаете вернуть номер и немедленно заблокируйте все финансовые аккаунты, к которым привязан номер.
- Номер банковской карты — единственное, что можно разглашать по телефону. Для получения перевода денег этого достаточно. Ни при каких условиях не сообщайте трехзначный cvv-код карты. Никогда и никому не сообщайте смс-пароли от банка и мобильного оператора.
- Получив неожиданное известие от «сотрудника банка», прекратите разговор и самостоятельно позвоните в банк. Номер указан на обратной стороне банковской карточки или официальном сайте финучреждения. В ответ на смс «срочно позвоните» — наберите номер банка.
- Не доверяйте знакомым номерам. Номер банка и мобильного оператора можно подменить. Но поддельное смс-сообщение не попадет в цепь предыдущих реальных сообщений от банка. Лучше позвоните в банк самостоятельно и проверьте информацию.
- Покупая товар на olx.ua или оплачивая заказ, отправленный Новой Почтой, используйте безопасную доставку. Не переходите в мессенджеры, так как мошенникам легко направить вас на фишинговый сайт-клон OLX и похитить деньги и банковские реквизиты. Проверяйте веб-сайты. Прежде чем платить деньги, убедитесь, что сайт давно зарегистрирован и имеет хорошую репутацию.
- Никому не отправляйте копию паспорта или идентификационного кода в интернете. Никогда не подтверждайте личность с помощью паспорта и ИНН для трудоустройства. Не оплачивайте задатки. Реальные работодатели не просят этого. Будьте осторожны с легким заработком. Критически оценивайте вакансии в интернете.
Банкоматы до сих пор в зоне риска
В течение 2019 года 24% мошеннических афер пришлись на банкоматы. Как и раньше, в тренде скимминг, кэш-треппинг и физические атаки.
По сравнению с 2018 годом, уменьшились случаи скимминга, то есть клонирования карты, благодаря специальному считывающему устройству на банкомате, — до 80 из 102. Больше всего таких краж случилось накануне Нового года.
Скимминг 2015−2019
Источник: ЕМА
«При снятии наличных в банкомате нужно обязательно прикрывать рукой введение пин-кода, чтобы миниатюрная камера не записала ваши данные», — советует Олеся Данильченко.
Зато кэш-треппинг — ловушки с двусторонним скотчем, которые не дают наличным выйти из банкомата, — наоборот, участился. За 2019 год зарегистрировали 193 инцидента, за 2018 год — всего 90.
Кэш-треппинг 2015−2019
Источник: ЕМА
Чтобы завладеть наличностью, преступники нередко просто взламывают банкомат. Количество физических атак на банкоматы в 2019 году выросла с 20 до 77, в сравнении с 2018 г. В большинстве случаев, злоумышленники использовали взрывчатый газ. Больше всего подобных инцидентов в прошлом году было зафиксировано в городе Днепр и областе.
Физические атаки на банкоматы 2019
Источник: ЕМА
Светлана Тартасюк
Комментарии - 24
Часть клиентов банков всё-равно не прислушиваются к умным советам,
не придерживаются рекомендованных правил и поэтому периодически
наступают на одни и те же грабли…
Также списки с данными держателей карт как минимум Сбера ходят по интернету, но там не помню признали ли слив или внешний взлом.
Я бы уточнил - не банки, а некоторые нечистоплотные на руку сотрудники банков,
акцентировав внимание на слове - некоторые.
Как и в любой конторе с большим количеством разнообразных по образованию и уровню ответственности наёмных сотрудников, в банках тоже могут работать люди с воровскими наклонностями и именно для борьбы с инсайдерским воровством клиентских средств - банки придумывают всё новые и новые методы защиты...
Если сотрудничество с одним банком проходит годами без инцидентов, а второй сливает ваши данные через 2 недели после открытия карты - это как раз и есть маркер системных проблем с менеджментом и неэффективностью контролей. Для себя я принял решение не размещать там значительных сумм. Каждый, конечно, волен рисковать, основываясь на своей логике. Я в своей отталкиваюсь от PCI DSS. :-D
Чаще всего это происходит при переходе сотрудника из одного банка в другой, когда за сотрудником уходит и инфа о его клиентах, которые он обслуживал.
Кстати, хотелось бы узнать у аудитора — он видел хоть раз, как хранят и обрабатывают копии паспортов и копии справок инн-кодов в банках в стадии ликвидации — самые крупные и системные утечки идут именно оттуда…
Переадресовывать SMS-сообщения вы сможете только на номера «Киевстар».
Для подключения переадресации SMS, отправьте USSD-команду *100#, выберите раздел «Услуги» — «Переадресация SMS» — «Подключение». После этого вам необходимо указать номер телефона, на который будут поступать переадресованные SMS. После подключения услуги все входящие SMS сообщения будут переадресованы на номер телефона, который вы указывали при установке переадресации. На номер телефона, с которого вы устанавливали переадресацию, сообщения приходить не будут.
https://kyivstar.ua/ru/mm/services/network/divert
https://kyivstar.ua/uk/mm/services
С тех пор ничего не изменилось.
Из-за её малой востребованности и бесплатности информация о ней
не бросается в глаза с основной страницы с перечнем услуг.
чтобы не дай бог её кто-то из клиентов не нашёл...
А если вспомнить о российском участии в акционерном капитале Киевстара,
то вообще можно приписать диверсию вселенского масштаба.
чтобы не дай бог её кто-то из клиентов не нашёл..." - майже так.Щоб поменше абонентів нею скористалось. Доходу то від неї 0. Старий трюк, не думаю, що ви з цим не стикались.
«вообще можно приписать диверсию вселенского масштаба» - приписати що завгодно можна.Це лише від польоту фантазії залежить. Але є і об`єктивні факти.
1. У світлі викладеного в матеріалі, як можна оцінити роботу монобанку, на адресу якого треба надіслати сканкопію паспорту і податкового коду для реєстрації і початку роботи з банком? Завдяки ним, ця операція переходить до розряду «нормальних», «звичайних». А потім хтось питатиме у людини, як може прийти в голову ідея власноруч відправити скани цих документів кому б то ні було.
2. Або як оцінити активне залучення «Універсал банком» своїх клієнтів до «Телеграму» зі стимулюванням підвищеними відсотками вкладів і іншими вигодами? Адже саме у «Телеграмі» працює їх чат-бот, через якій і відсотки стануть вищими, і додасться велика купа всіляких зручностей. «Чого вам боятися? Адже, це наш чат-бот, а не телеграмівський.» - пояснюють у банку. Але для виходу на універсалівського чат-боту потрібно спочатку зареєструвати свій номер телефону на «Телеграмі». І це має бути той самий «банківський» номер, якій автор цього матеріалу, як і інші фахівці з фінансової безпеки, категорично не рекомендують ніде «світити», особливо у соціальних мережах.
Окрім цих двох «кричущих» моментів, є інші, які також підтверджують правомірність фрази «банки тоже хороши», застосованої одним з коментаторів цього матеріалу.
1. Чтобы стать клиентом любого банка - надо предоставить оригиналы паспорта и справки с инн-кодом, с которых сотрудник банка снимает ксерокопии либо отсканирует их и отошлёт по электронке в головной офис.
Результат один и тот же - копии ваших документов уходят в банк, а дальше вам остаётся надеяться на чудо и честность всех сотрудников банка, причастных к обработке и хранению ваших персональных данных.
За всё время работы с более чем тридцатью банками, сотрудники всего двух банков - Надра и Укрпромбанка отличились и «слили» скан-копии моего паспорта и справки с инн-кодом мошенникам.
Не вижу никакого смысла упрекать сотрудников Монобанка в том,
что они ещё не совершили, да и вам не советую наводить тень на плетень...
2. Как оценить - да примерно также, как обслуживание в украинском Альфа-банке с российским частным капиталом.
Если вас это сильно смущает - не используйте ни «Телегу» ни его чат-бот, а заказывайте бонусы от Минфина.
Кстати, что у Киевстара что у Водафона в акционерном капитале есть и российские корни.
А по слухам, из этих компаний в 2014 и 2015 годах были утечки клиентских баз в РФ,
а значит ваш финансовый номер телефона там уже давно известен.
Резюмирую: волков бояться - в лес не ходить.
https://minfin.com.ua/blogs/kingcity/123428/