14 февраля 2020, 8:07 Читати українською

13 мошеннических схем, которые позволили украсть у украинцев 362 миллиона

Мошенники продолжают обогащаться за счет доверчивых пользователей банковских и интернет-услуг. За 2019 год они похитили с банковских счетов граждан 362 млн грн

Платежное мошенничество, деньги, украли деньги, аферисты, мошенники, банковские карты, реквизиты карты, конфиденциальные данные, социальная инженерия, мошенничество в интернете
фото: psm7.com

В 2018 году речь шла о значительно меньшей сумме — 245 млн грн. Об этом, во время пресc-брифинга о платежном и банкоматном мошенничестве, рассказала заместитель директора Украинской межбанковской ассоциации членов платежных систем ЕМА Олеся Данильченко.

«Минфин» изучил основные «изобретения» мошенников и разузнал о методах  защиты от них.

Топ-5 актуальных схем платежного мошенничества

  • Развлекательное мошенничество (Entertaiment fraud)

Выманивание денег или реквизитов карты, замаскированное под онлайн-бронирование жилья или автомобиля, онлайн-продажу транспортных документов или туристических путешествий, билетов в кинотеатры, на концерты или спортивные события и т.п.

  • Мошенничество с трудоустройством (Employment fraud)

Аферы с трудоустройством и заработком в интернете, когда мошенники выманивают денежные средства, реквизиты карты и паспортные данные, втягивают в преступную деятельность.

  • Подменные веб-сайты

Мошеннические веб-сайты, замаскированные под сайты банков, финансовых сервисов и торговых площадок, выманивают у граждан деньги, реквизиты карточки, ключи и пароли доступа к интернет-банкингу или приложению на телефоне.

  • Телефонное мошенничество

Злоумышленники с помощью манипуляций выманивают во время телефонного звонка реквизиты карты, SMS-пароли и идентификационные данные.

  • Перевыпуск сим-карты

Дистанционная замена сим-карты без ведома ее владельца, чтобы вывести деньги с его банковского счета, оформить мошеннические кредиты на его имя или завладеть частной информацией и шантажировать жертву и т.д.

Старые и проверенные методы до сих пор успешно работают, но постоянно модифицируются. Киберпреступники пугают свои жертвы, морочат им головы, и даже заманивают романтикой.

Читайте также: Позвони мне, позвони: какие смс присылают мошенники

Новые изобретения мошенников

Переадресация

Злоумышленники придумали, как получить доступ к входящим звонкам и сообщениям жертвы. Благодаря психологическому влиянию они заставляют набрать на телефоне определенную последовательность символов. Такая комбинация является согласием на переадресацию сим-карты.

«Все адресованные вам звонки и смс-сообщения окажутся на мобильном телефоне мошенника. Понятно, что их интересуют только уведомления от банков», — объясняет Раиса Федоровская.

Голосовое меню

Мошенники используют советы банков, чтобы завоевать доверие граждан. «Никому не передавайте код, который придет в сообщении», — уверяют жертву. Зато рекомендуют включить интерактивное голосовое меню и продиктовать цифры в тоновом режиме после сигнала. Сами тем временем прослушивают секретный код.

Код-подтверждения для входа в интернет-банкинг или иных операций с банковской картой таким образом оказывается в руках злоумышленников.

Удаленный доступ

По словам руководителя ЕМА Academy Раисы Федоровской, мошенники звонят от имени сотрудника банка и просят установить на телефон программу удаленного доступа. Такую просьбу они объясняют заботой банка о клиенте: мол, устройство заражено вирусом, который уничтожит все данные, и банк хочет предупредить эту ситуацию.

Жертва устанавливает «антивирусное обеспечение» — значит, дает полный доступ к своему устройству. После этого аферисты выводят средства. «Если у вас iPhone, мошенник получит частичный доступ только на просмотр экрана. И это не помешает управлять шагами клиента, а тот уже самостоятельно перечислит средства злоумышленнику», — говорит Раиса Федоровская.

«Безопасный» счет

Самый эффективный способ заставить жертву выполнять желания злоумышленников — предупредить об опасности. Звонок от работника банка» извещает, что счет клиента заблокирован или воры пытаются вывести деньги. Все, что следует сделать, — перевести средства на «безопасный» счет. Главное условие — действовать немедленно. Это толкает неудачника отправить деньги на счет мошенника.

Схемы с трудоустройством

Появилось два новых распространенных способа выманить деньги у тех, кто ищет работу.

«Первый — кадровое агентство, которое обещает много предложений от работодателей. Но сначала кандидат должен сделать и отправить селфи с паспортом. Второй — работа дома, например, набор текста или сортировки кофейных зерен, за которую аферисты просят заплатить задаток, своеобразный гарантийный взнос», — рассказывает Раиса Федоровская.

За желание работать дома придется заплатить, но один раз. Зато, отправляя фото документа, вы рискуете получить несколько кредитов в МФО, которые дают займы онлайн, и долго платить задолженность.

Онлайн-обменники

Все больше товаров и услуг мы ищем и оплачиваем онлайн. Чтобы проверить сайт, достаточно за несколько минут почитать отзывы в интернете или посмотреть черный список. К сожалению, граждане игнорируют меры безопасности и ведутся на удобство и легкость совершения операций. Поэтому часто средства исчезают на неизвестных счетах или номерах мобильных телефонов.

Свежий пример. Аферисты создали мошеннический сайт mobilpay.com.ua, который работает под видом обменника и имеет множество страниц-клонов. Через него пользователи осуществляли денежные переводы с личного мобильного счета на банковскую карточку. Злоумышленники подменяли номер получателя. Таким образом, деньги списывались с мобильного счета, а на банковскую карту не попадали, пополняя баланс карты мошенника.

По данным только одного платежного сервиса, благодаря mobilpay.com.ua за 54 суток мошенники получили более 120 тыс. грн чистой прибыли. Киберполиция ведет следствие.

Сети для романтиков

Чем больше аферисты знают о человеческих слабостях и желаниях, тем легче им создавать новые приманки. Романтическое мошенничество пришло к нам из Европы. Злоумышленники ищут жертв в социальных сетях и на сайтах знакомств. Затем рассылают им романтичные электронные письма — и любым способом выманивают деньги.

Приобрела популярность схема с кинотеатром. Одинокая женщина или мужчина соблазняются на приглашение незнакомца провести романтический вечер вместе. Аферист выбирает на свой вкус частный кинотеатр для двоих. Далее — просит купить билеты в кино. Жертва оплачивает их по ссылке на мошенническом сайте, например, worldlotteryplace.com, после чего «прекрасный» незнакомец или незнакомка исчезает.

Часто злоумышленники манипулируют чувствами близких людей. Не теряют действенности фразы: «любимая, я в беде» или «мама, я в больнице».

Фальшивые инвойсы

Новый вид мошенничества — схемы с инвойсами, то есть документами, которые посылает продавец покупателю при оплате товара. Инвойс содержит информацию о ценах и количестве товаров и услуг, которые заказывает покупатель.

Мошенники, узнав о том, что жертва ждет определенный заказ, присылают на почту фальшивые письма с другими реквизитами. «В таком случае это уже касается не только физических, но и юридических лиц. Крупные компании перечисляют большие суммы на мошеннические номера», — комментирует Олеся Данильченко.

Читайте также: Карты, деньги, телефон: как мошенники крадут деньги с банковских счетов

Сколько выманивают у жертвы

В 65% от общего количества всех инцидентов мошенники использовали интернет и психологическое воздействие на жертву. Примененные психологические приемы позволяют аферистам узнать конфиденциальные данные клиентов банков или заманить фейковыми предложениями.

Совокупный расчетный доход мошенников 2018/2019 (млн грн)

Источник: ЕМА

В 2019 году средняя сумма мошеннических операций с использованием методов психологического воздействия (социальной инженерии) выросла с 2 333 до 3 400 грн. Для сравнения: средняя сумма кражи в интернете в 2019 году составила 336 грн. Наибольший доход принесла злоумышленникам замена сим-карты — в среднем 6 200 грн.

Средняя сумма мошеннической операции 2018/2019 (грн)

Источник: ЕМА

По данным ЕМА, в течение 2019 года было выявлено 352 мошеннических и фишинговых сайтов. А в межбанковский «черный» список попали 1268 мобильных телефонов аферистов.

Внесено в межбанковский черный список (ед. лиц)

Источник: ЕМА

Как защититься от психологического воздействия

Наиболее эффективным оружием против мошенников может быть только финансовая грамотность.

7 правил мудрого параноика:

  1. Не используйте ваш финансовый номер в социальных сетях, объявлениях, не оставляйте его для контактов с клиентами. Перейдите на контрактное обслуживание финансового номера. Если не хотите платить лишнее, можно остаться на подписке. Для этого надо предоставить свои документы мобильному оператору, по которым вас будут идентифицировать, зарегистрироваться в персональном кабинете и отключить удаленный перевыпуск сим-карты.
  2. Немедленно реагируйте на замену сим-карты. Если пришло предупреждение о запланированном перевыпуске оператором, вы можете отказаться, на всякий случай сменив пароли в интернет-банкинге. Если сим-карта просто перестала работать, позвоните сначала в банк и заблокируйте банковские карты, счета, доступ в интернет-банкинг. Позже — сообщите мобильному оператору, что желаете вернуть номер и немедленно заблокируйте все финансовые аккаунты, к которым привязан номер.
  3. Номер банковской карты — единственное, что можно разглашать по телефону. Для получения перевода денег этого достаточно. Ни при каких условиях не сообщайте трехзначный cvv-код карты. Никогда и никому не сообщайте смс-пароли от банка и мобильного оператора.
  4. Получив неожиданное известие от «сотрудника банка», прекратите разговор и самостоятельно позвоните в банк. Номер указан на обратной стороне банковской карточки или официальном сайте финучреждения. В ответ на смс «срочно позвоните» — наберите номер банка.
  5. Не доверяйте знакомым номерам. Номер банка и мобильного оператора можно подменить. Но поддельное смс-сообщение не попадет в цепь предыдущих реальных сообщений от банка. Лучше позвоните в банк самостоятельно и проверьте информацию.
  6. Покупая товар на olx.ua или оплачивая заказ, отправленный Новой Почтой, используйте безопасную доставку. Не переходите в мессенджеры, так как мошенникам легко направить вас на фишинговый сайт-клон OLX и похитить деньги и банковские реквизиты. Проверяйте веб-сайты. Прежде чем платить деньги, убедитесь, что сайт давно зарегистрирован и имеет хорошую репутацию.
  7. Никому не отправляйте копию паспорта или идентификационного кода в интернете. Никогда не подтверждайте личность с помощью паспорта и ИНН для трудоустройства. Не оплачивайте задатки. Реальные работодатели не просят этого. Будьте осторожны с легким заработком. Критически оценивайте вакансии в интернете.

Банкоматы до сих пор в зоне риска

В течение 2019 года 24% мошеннических афер пришлись на банкоматы. Как и раньше, в тренде скимминг, кэш-треппинг и физические атаки.

По сравнению с 2018 годом, уменьшились случаи скимминга, то есть клонирования карты, благодаря специальному считывающему устройству на банкомате, — до 80 из 102. Больше всего таких краж случилось накануне Нового года.

Скимминг 2015-2019

Источник: ЕМА

«При снятии наличных в банкомате нужно обязательно прикрывать рукой введение пин-кода, чтобы миниатюрная камера не записала ваши данные», — советует Олеся Данильченко.

Зато кэш-треппинг — ловушки с двусторонним скотчем, которые не дают наличным выйти из банкомата, — наоборот, участился. За 2019 год зарегистрировали 193 инцидента, за 2018 год — всего 90.

Кэш-треппинг 2015-2019

Источник: ЕМА

Чтобы завладеть наличностью, преступники нередко просто взламывают банкомат. Количество физических атак на банкоматы в 2019 году выросла с 20 до 77, в сравнении с 2018 г. В большинстве случаев, злоумышленники использовали взрывчатый газ. Больше всего подобных инцидентов в прошлом году было зафиксировано в городе Днепр и областе.

Физические атаки на банкоматы 2019

Источник: ЕМА

Светлана Тартасюк

Комментарии - 24

+
+45
Qwerty1999
Qwerty1999
14 февраля 2020, 10:36
#
Хороший обзор…

Часть клиентов банков всё-равно не прислушиваются к умным советам,
не придерживаются рекомендованных правил и поэтому периодически
наступают на одни и те же грабли…
+
0
Barmaley33
Barmaley33
14 февраля 2020, 13:49
#
Зато потом у них во всём виноваты банки, потому что сложно, запутанно и, вообще, это банк сам украл у них деньги)
+
+17
Alpenstein
Alpenstein
14 февраля 2020, 19:36
#
Вы правы, но банки тоже бывают хороши. Недавно стали названивать типа коллекторы на номер телефона, который у меня используется только в Ощаде. Помимо телефона они знали правильные ФИО и прописку. Якобы кто-то взял у них кредит и указал меня поручителем. Явно инсайдер в банке слил клиентскую базу налево. 

Также списки с данными держателей карт как минимум Сбера ходят по интернету, но там не помню признали ли слив или внешний взлом.
+
0
Qwerty1999
Qwerty1999
14 февраля 2020, 20:12
#
«но банки тоже бывают хороши.»

Я бы уточнил - не банки, а некоторые нечистоплотные на руку сотрудники банков,
акцентировав внимание на слове - некоторые.

Как и в любой конторе с большим количеством разнообразных по образованию и уровню ответственности наёмных сотрудников, в банках тоже могут работать люди с воровскими наклонностями и именно для борьбы с инсайдерским воровством клиентских средств - банки придумывают всё новые и новые методы защиты...
+
+37
Alpenstein
Alpenstein
17 февраля 2020, 12:09
#
Как человек, участвовавший в аудите многих крупных компаний, скажу вам так - любой аудит исходит из того, что нечистоплотные на руку сотрудники или внешние негодники всегда угрожают компании. Так вот устойчивость компании оценивается по наличию и эффективности мер, которые принимаются, чтоб «братва не дорвалась до власти» говоря образно.

Если сотрудничество с одним банком проходит годами без инцидентов, а второй сливает ваши данные через 2 недели после открытия карты - это как раз и есть маркер системных проблем с менеджментом и неэффективностью контролей. Для себя я принял решение не размещать там значительных сумм. Каждый, конечно, волен рисковать, основываясь на своей логике. Я в своей отталкиваюсь от PCI DSS. :-D
+
+37
Qwerty1999
Qwerty1999
17 февраля 2020, 14:40
#
Формально, во всех укрбанках за время их существования был локальный слив клиентских данных.
Чаще всего это происходит при переходе сотрудника из одного банка в другой, когда за сотрудником уходит и инфа о его клиентах, которые он обслуживал.
Кстати, хотелось бы узнать у аудитора — он видел хоть раз, как хранят и обрабатывают копии паспортов и копии справок инн-кодов в банках в стадии ликвидации — самые крупные и системные утечки идут именно оттуда…
+
0
Alpenstein
Alpenstein
17 февраля 2020, 16:25
#
Мой профиль - телеком, но наверное если дошло до ликвидации банка, то честным аудитом и хорошими контролями там с большой вероятностью и не пахло. То, что я и сказал выше: утечка - признак проблем в управлении. Разве не так? Или я вас не понял и вы считаете это нормой жизни по принципу «все ж люди» и кто без греха - пусть первый бросит камень )
+
0
tarick
tarick
14 февраля 2020, 20:51
#
Про переадресацию SMS-сообщений - сами придумали?
+
0
kingcity
kingcity
15 февраля 2020, 15:40
#
Колись була така послуга у Київстара. Здається і зараз є, але доступна лише ідентифікованим абонентам і замовити її можна лише в точці обслуговування Київстар.
+
0
Qwerty1999
Qwerty1999
15 февраля 2020, 15:56
#
Услуга «Переадресация SMS» доступна для всех абонентов Киевстар.

Переадресовывать SMS-сообщения вы сможете только на номера «Киевстар».

Для подключения переадресации SMS, отправьте USSD-команду *100#, выберите раздел «Услуги» — «Переадресация SMS» — «Подключение». После этого вам необходимо указать номер телефона, на который будут поступать переадресованные SMS. После подключения услуги все входящие SMS сообщения будут переадресованы на номер телефона, который вы указывали при установке переадресации. На номер телефона, с которого вы устанавливали переадресацию, сообщения приходить не будут.

https://kyivstar.ua/ru/mm/services/network/divert
+
0
kingcity
kingcity
15 февраля 2020, 17:21
#
Qwerty1999, ви якусь архівну сторінку знайшли, у нинішній версії сайту переадресації взагалі немає у переліку послуг.

https://kyivstar.ua/uk/mm/services
+
0
Qwerty1999
Qwerty1999
15 февраля 2020, 19:21
#
Скорее древняя чем архивная, но не страница сайта, а сама услуга — ведь её предоставляли ещё до эры смартфонов и мобильного интернета.
С тех пор ничего не изменилось.
Из-за её малой востребованности и бесплатности информация о ней
не бросается в глаза с основной страницы с перечнем услуг.
+
0
kingcity
kingcity
15 февраля 2020, 20:34
#
Та її і знайти з головної сторінки сайту не так просто. Щойно знайшов, але вдалось це не зразу. Якщо не знати про її існування, то може взагалі на очі і не попастись ніколи.
+
0
Qwerty1999
Qwerty1999
16 февраля 2020, 10:34
#
Это не проблема самой услуги а прокол исключительно дизайнеров сайта
+
0
kingcity
kingcity
16 февраля 2020, 11:33
#
«прокол исключительно дизайнеров сайта» - точніше спеціально спланований «прокол».
+
0
Qwerty1999
Qwerty1999
16 февраля 2020, 11:45
#
Ну да, специально на сайте запрятали информацию о бесплатной услуге,
чтобы не дай бог её кто-то из клиентов не нашёл...

А если вспомнить о российском участии в акционерном капитале Киевстара,
то вообще можно приписать диверсию вселенского масштаба.

+
0
kingcity
kingcity
16 февраля 2020, 12:25
#
"Ну да, специально на сайте запрятали информацию о бесплатной услуге,
чтобы не дай бог её кто-то из клиентов не нашёл..." - майже так.Щоб поменше абонентів нею скористалось. Доходу то від неї 0. Старий трюк, не думаю, що ви з цим не стикались.

«вообще можно приписать диверсию вселенского масштаба» - приписати що завгодно можна.Це лише від польоту фантазії залежить. Але є і об`єктивні факти.
+
+44
imfin
imfin
14 февраля 2020, 21:19
#
Таки, «банки тоже хороши».
1. У світлі викладеного в матеріалі, як можна оцінити роботу монобанку, на адресу якого треба надіслати сканкопію паспорту і податкового коду для реєстрації і початку роботи з банком? Завдяки ним, ця операція переходить до розряду «нормальних», «звичайних». А потім хтось питатиме у людини, як може прийти в голову ідея власноруч відправити скани цих документів кому б то ні було.
2. Або як оцінити активне залучення «Універсал банком» своїх клієнтів до «Телеграму» зі стимулюванням підвищеними відсотками вкладів і іншими вигодами? Адже саме у «Телеграмі» працює їх чат-бот, через якій і відсотки стануть вищими, і додасться велика купа всіляких зручностей. «Чого вам боятися? Адже, це наш чат-бот, а не телеграмівський.» - пояснюють у банку. Але для виходу на універсалівського чат-боту потрібно спочатку зареєструвати свій номер телефону на «Телеграмі». І це має бути той самий «банківський» номер, якій автор цього матеріалу, як і інші фахівці з фінансової безпеки, категорично не рекомендують ніде «світити», особливо у соціальних мережах.
Окрім цих двох «кричущих» моментів, є інші, які також підтверджують правомірність фрази «банки тоже хороши», застосованої одним з коментаторів цього матеріалу.
+
+7
Qwerty1999
Qwerty1999
15 февраля 2020, 13:38
#
Imfin

1. Чтобы стать клиентом любого банка  - надо предоставить оригиналы паспорта и справки с инн-кодом, с которых сотрудник банка снимает ксерокопии либо отсканирует их и отошлёт по электронке в головной офис.
Результат один и тот же - копии ваших документов уходят в банк, а дальше вам остаётся  надеяться на чудо и честность всех сотрудников банка, причастных к обработке и хранению ваших персональных данных.

За всё время работы с более чем тридцатью банками, сотрудники всего двух банков - Надра и Укрпромбанка отличились и «слили» скан-копии моего паспорта и справки с инн-кодом мошенникам.

Не вижу никакого смысла упрекать сотрудников Монобанка в том,
что они ещё не совершили, да и вам не советую наводить тень на плетень...

2. Как оценить - да примерно также, как обслуживание в украинском Альфа-банке с российским частным капиталом.
Если вас это сильно смущает - не используйте ни «Телегу»  ни его чат-бот, а заказывайте бонусы от Минфина. 
Кстати, что у Киевстара что у Водафона  в акционерном капитале есть и российские корни.
А по слухам, из этих компаний в 2014 и 2015 годах были утечки клиентских баз в РФ,
а значит ваш финансовый номер телефона там уже давно известен.

Резюмирую: волков бояться - в лес не ходить.
+
0
imfin
imfin
15 февраля 2020, 20:55
#
Сперечатися не буду. Ні щодо Вашого відгуку в цілому, ні щодо останньої фрази з резюме. Та вважаю невірним стиль повного ігнорування правил безпеки. За можливості, треба обирати найбільш безпечний спосіб виконання своїх дій.
+
+1
kingcity
kingcity
15 февраля 2020, 21:02
#
«Та вважаю невірним стиль повного ігнорування правил безпеки.» — абсолютно вірно. У мене є навіть є допис на цю тему. Якщо цікаво — почитайте, прокоментуйте:

https://minfin.com.ua/blogs/kingcity/123428/
+
0
imfin
imfin
16 февраля 2020, 17:15
#
Дякую за посилання. Побачив чимало цікавого і у Вашому дописі, і в дискусії навколо нього. Лишилися питання, задаватиму їх в міру запровадження чогось з описаного. Одне з питань напишу просто зараз.
+
0
adzhiev
adzhiev
30 марта 2020, 16:14
#
Знайшов корисне відео про захист картки під час оплат в інтернеті: https://www.youtube.com/watch?v=orzEszb_HTQ
+
+15
akapello
akapello
8 мая 2020, 18:52
#
Пильнуймо разом. Добре, що ділитеся інформацією. Не сумніваюся: багатьом це стало в нагоді.
Чтобы оставить комментарий, нужно войти или зарегистрироваться
 
Реклама