Карточные мошенники грабят украинцев сильнее: какие схемы изобретают и как защититься

Национальный банк предоставил тревожную динамику по росту масштабов карточного мошенничества в 2023 году:

• количество незаконных действий с картами, в ходе которых владельцы понесли убытки, выросло на 25%, и достигло 272 тыс. операций;
• сумма убытков от незаконных действий подскочила на 73%, и достигла 833 млн грн;
• средняя сумма одной незаконной операции увеличилась на 39%, и достигла 3 065 грн (было — 2 200 грн).

Регулятор уточнил, что большинство случаев карточного мошенничеств было зафиксировано в сети интернет — 83%, где средняя сумма незаконной операции поднялась с 2 408 грн до 3 150 грн (+31%).

Намного реже воровство денег происходило через физические устройства — 17% случаев. Речь об использовании банкоматов, POS-терминалов в кассах магазинов и терминалов самообслуживания, которые стоят чуть ли не в каждом ТРЦ или супермаркете.

Отдельно НБУ отметил, что 80% атак на карточные счета людей приходится на социальную инженерию, и привел несколько примеров:

1. Рассылка мошенниками поддельных сообщений о том, что человек может получить разнообразную соцпомощь — от государства или соцфондов. Под этим соусом жулики выпытывают у жертв банковскую информацию, которая позволяет их обворовывать.
2. Обзвоны украинцев под видом службы безопасности банка или даже Нацбанка, в ходе которых у украинцев снова-таки выуживают данные для краж — реквизиты платежных карт, одноразовые пароли и пр.
3. Распространение в соцсетях и мессенджерах сообщений о возможности дополнительного заработка или фейковых рассылок с информацией об очень выгодных покупках. Также для выуживания финансовой информации.
4. Изготовление дубликата электронной sim-карты от финансового номера телефона человека (номера, к которому привязан счет), чтобы выманить коды к банковским приложениям и ограбить их счета.

Из заявления Нацбанка понятно, что он связывает рост убытков от карточного мошенничества с высокой активностью преступников, уязвимостью людей к их схемам и общим увеличением количества карточных операций. НБУ уточнил, что в 2023 году количество активных карт в Украине выросло на 13%.

Из других отчетов регулятора видно, что количество активных карт (по которым за месяц была хоть одна операция) в Украине достигло 52,1 млн штук, что в два раза меньше общего числа выпущенных карт (115,1 млн штук).

Как видно из официальной статистики, количество POS-терминалов в стране за 2023 год выросло на 25% (до 449,5 тыс. штук), терминалов самообслуживания — на 5% (до 13,3 тыс. штук), а банкоматов — на 1,3% (до 15,8 тыс. штук)

Читайте также: Новые виды мошенничества во время войны и как не попасться на удочку аферистов

Как на практике выглядят схемы мошенников

Раньше, в качестве примеров социальной инженерии, фишинга, чаще всего приводили происшествия с обманом стариков по телефону, которых пугали бедой близких, и просили срочно перевести деньги. Теперь же она все чаще переходит в другую плоскость — передача владельцами карт своих данных через поддельные сайты, сервисы.

Начальник управления транзакционных продуктов Юнекс Банка Денис Гавриков рассказал нам, что в последнее время преступники чаще всего применяют схему с так называемой «потерянной посылкой». Людям массово рассылают уведомления (в основном, в виде смс-сообщений) с информацией о почтовом отправлении: что посылку якобы не удается отправить получателю по некорректному адресу. Отправителем могут указываться разные фейковые «компании». Чаще всего в Украине используют мифическую «Почту Украины», но известны случаи и поступления таких сообщений от якобы DHL и других операторов.

В сообщении получателя просят перейти по ссылке и ввести корректный адрес. Сайт выглядит вполне аутентично, хотя в адресной строке содержится довольно странная ссылка. Система просит заполнить несколько полей с корректным адресом доставки, что также не вызывает больших подозрений, а затем оплатить небольшую сумму — обычно, в пределах 10−20 грн, — за якобы пересылку потерянной посылки на новый адрес.

«Человек соглашается, ведь сумма сугубо символическая, и вводит номер карты, срок действия и код CVV/CVC. В это время мошенники начинают токенизировать карту, то есть добавлять ее в бумажник GooglePay/ApplePay. Для удачного завершения данной операции им нужен пароль от банка. И они его получают опять же от жертвы, когда она вводит его в форму подтверждения якобы платежа за пересылку. В дальнейшем мошенники достаточно быстро переводят деньги несколькими транзакциями с карты с помощью сторонних p2p-сервисов», — уточнил нам Гавриков.

А его коллеги говорят, что после кражи жулики также могут быстро все потратить на разнообразные покупки за границей. В последнее время деньги украинцев активно выводят в Мексику, Японию и Объединенные Арабские Эмираты.

Дублированные симки и взлом соцсетей

«Мошенники постоянно ищут и используют разнообразные уязвимости правил платежных операций, установленных МПС (международных платежных систем), банковских продуктов и процессов, систем защиты терминального оборудования, систем защиты интернет-торговцев и т. д. Установка любым способом вирусного программного обеспечения любого приложения, ссылки, перейдя по которому, автоматически загружается вирус, который похищает данные и т. д.», — рассказала «Минфину» начальник управления операций с платежными картами Ukrsibbank BNP Paribas Group Мария Ботвиникова.

А также отметила, что преступники нередко действуют путем дублирования или перевыпуска sim-карты с номером телефона жертвы, не зарегистрированным у мобильного оператора (предоплаченные карты). После чего третьи лица могут восстановить доступ к учетной записи пользователя в интернет-банкинге, в iCloud, Gmail и т. д. К тем местам, где люди часто хранят копии документов, пароли, контакты. Всех этих данных может оказаться достаточно для получения удаленного доступа к счету.

Воровство персональных данных также может приводить к взлому доступа к разным соцсетям, после чего жулики начинают просить о финансовой помощи от имени своих жертв, и таким образов красть уже у их друзей немалые суммы. Еще в соцсетях все чаще, к сожалению, встречаются фейковые сборы на ВСУ, лечение/переселение пострадавших от обстрелов и пр. Преступники не гнушаются никаким обманом.

Читайте также: Как бизнес мобильных операторов по перепродаже номеров сталкивает лбами банкиров и их клиентов

Как обманывают предпринимателей

Бывает, что в мошеннические схемы втягиваются предприниматели.

«В течение 2023 года действительно было несколько кейсов мошенничества, где получателями были физлица-предприниматели, но пока речь не идет о концентрации. Кроме того, со стороны банка был настроен усиленный мониторинг по ФЛП с рисковыми исходными данными», — сообщил «Минфину» заместитель руководителя направления «Риск-менеджмент» — руководитель департамента управления операционным риском A-Банка Евгений Рудь.

«Для мошенничества с юридическими лицами используются другие схемы. Например, открытие поддельных банковских счетов, на которые получают средства от потенциального покупателя и в дальнейшем используют без ведома реального собственника. Но они гораздо сложнее, чем просто заблуждение социально незащищенных слоев населения», — дополнил его адвокат, управляющий партнер ЮК Winner Игорь Ясько.

Иногда и сами владельцы карт пытаются заработать на обмане, инициируя то, что называется chargeback.

«Сначала владелец счета делает покупку онлайн или в магазине, используя свою карту. После получения товара или услуги мошенник обращается в банк-эмитент карты и заявляет, что транзакция была несанкционированной. Банк проводит расследование и, вероятно, выносит решение в пользу мошенника, аннулируя транзакцию. В итоге, продавец терпит убытки, теряя как товар, так и деньги», — заметила нам заместитель председателя правления Глобус Банка Анна Довгальская.

Кто попадает в зону риска

Она подчеркивает важность правильного выбора интернет-источников выехавшими за границу украинцами.

«Многие люди, выехавшие за границу, совершают больше онлайн-покупок, что делает их более уязвимыми к мошенничеству. Кроме того, не последнюю роль играет незнакомая среда: люди, находящиеся в новом месте, могут быть более рассеянными и чаще становятся жертвами мошенников. Опять же, отсутствие защищенного интернета заставляет использовать непроверенные сети Wi-Fi, тогда как мошенники как раз могут использовать незащищенные сети Wi-Fi, чтобы перехватить данные с карты», — сказала Довгальская.

«Важно понимать, что во всех случаях мошенники, прежде всего, пытаются вызвать у потенциальной жертвы чувство катастрофического дефицита времени для принятия решения. В одних случаях речь может идти о посылке, которую либо уничтожат, либо вернут отправителю. В другом — о блокировке аккаунта, в третьем — о потере «прекрасного предложения». Следовательно, любые попытки поставить вас в ситуацию спешки, угрозы и давление, в первую очередь, должны вызвать «красный флажок», — считает Денис Гавриков.

В государственном Приватбанке нам сообщили, что большинство мошеннических операций (60% случаев) укладываются в сумму до 2 тыс. грн, там согласны с обозначенной НБУ тенденцией по социнженерии.

«За 2023 год нами наблюдается рост случаев социнженерии и фишинга, по отношению к аналогичному периоду 2022 года, ориентировочно на 20%. Этому способствуют доверчивость населения, которое оказалось в сложных жизненных условиях, и преступники с легкостью к этому адаптируются, меняя свои мошеннические схемы под нынешние условия», — говорится в комментарии пресс-службы Приватбанка для «Минфина».

Из-за этого, по словам финансистов, впоследствии чаще всего и возникают споры между клиентом и банком — человек не понимает, что был обманут жуликами.

«Основные споры связаны с тем, что большинство клиентов могут не отдавать себе отчет в том, что они стали жертвами мошенничества. Мошенники удачно имитируют процесс получения таких услуг, вместе с тем, выманивая всю необходимую информацию для получения доступа к счетам клиентов», — объяснила «Минфину» главный эксперт по вопросам информационной безопасности Райффайзен Банка Екатерина Мащенко.

Читайте также: Блокировка счетов, странные боты и мошенничество на вьетнамские донги

Как защитить счет

В пресс-службе Приватбанка заявляют, что останавливают почти 90% попыток мошеннических платежей в автоматическом режиме. В других банках говорят о более низких показателях, а реально вернуть удается совсем немного из украденного, хотя финансисты уверяют, что в каждом случае проводят отдельное расследование.

«В среднем удается сохранить и в дальнейшем вернуть пострадавшим до 30% украденных средств», — сообщил Евгений Рудь из A-Банка.

Кроме базовых правил безопасности, в которых говорится о неразглашении банковских информации третьим лицам, хранении карты в безопасном месте (чтобы не украли, не потерялась), использовании sms-информирования и 3D-Secure, Катерина Мащенко из Райффайзен Банка дала владельцам карт еще несколько советов:

• Заблокировать телефон паролем.
• Запретить вывод sms/Viber-сообщений (и приложений, где вы получаете сообщение от банка) на заблокированном экране вашего телефона.
• Включить пароль для разблокировки sim-карты.
• Не хранить в мессенджерах, сообщениях или заметках телефона данные карт, логин и пароль для входа в онлайн-банкинг.
• Настроить двухфакторную аутентификацию для мессенджеров.

Все финансисты отмечают, что всегда нужно быть внимательными и осмотрительными, и не переходить по подозрительным ссылкам, не скачивать неизвестные приложения/программы. В идеале, использовать для интернет-платежей отдельную карту.

В некоторых банках также советуют купить страховку от мошенников, которая покрывает ущерб, даже если владелец нарушил правила пользования счетом и сам вольно/невольно передал финансовую информацию преступникам. Это может стоить не очень дорого — 20−30 грн в месяц.

Однако, всегда стоит изучать условия рассмотрения заявок на выплату по таким страховкам. Нередко они подходят только тем, кто не выехал за границу, а остается в Украине. Поскольку от пострадавшей стороны требуется лично подать заявление о краже в правоохранительные органы, и предоставлять копию документа банку. Что не всегда можно сделать в удаленном формате, нужно находиться в стране.

У банков выигрывают суды

В тоже время, финансисты признают, что краж со счетов не всегда удается избежать, даже принимая нужные меры предосторожности. Потому настоятельно рекомендуют максимально оперативно сообщать о несанкционированных перечислениях и заблокировать счет. А еще любят повторять, что не будут возмещать ущерб, если в нем виноват владелец счета.

«Замечу, что банк будет нести ответственность только в том случае, если кража возникла по его вине и вина будет доказана. Однако, вина банка в условиях полной защиты персональных данных маловероятна. При этом, если виноват конкретный сотрудник банка по личным мотивам, ответственность будет возложена именно на этого человека, а не на банк», — пояснила нам Анна Довгальская.

Юристы подтвердили «Минфину», что, вместе с увеличением убытков от карточных мошенников, выросло и количество тяжб после краж денег со счетов. Правоохранительные органы чаще всего квалифицируют такие преступления по трем статьям Уголовного кодекса:

• ст. 190 — завладение чужим имуществом, или приобретение права на такое имущество путем обмана или злоупотребления доверием;
• ст. 200 — незаконные действия с платежными картами и другими средствами доступа к банковским счетам;
• ст. 361 — несанкционированное вмешательство в работу электронных информационно-коммуникационных систем.

Стандартная ситуация: потерпевшая сторона всегда старается доказать, что в краже средств со счета виноват банк, и тот обязан покрыть ущерб, а банк очень редко соглашается это принять и делает все, чтобы не платить, — пытается доказать, что во всем виноват клиент.

Впрочем, правоведы отмечают, что святой обязанностью владельца счета и правда является оперативное сообщение банку о пропаже денег, а вот дальше ответственность переходит на банк. И если банк в чем и попытается обвинить клиента, то именно он и обязан собирать под это доказательную базу. Человек не должен ничего доказывать.

«Владелец счета не несет ответственности за платежные операции, совершенные без аутентификации платежного инструмента и его держателя, кроме случаев, если доказано, что действия или бездействие владельца счета/держателя привели к потере, незаконному использованию ПИН или другой информации, позволяющей инициировать платежные операции. И это должен доказывать именно банк, а не клиент.

Банк почти всегда отказывает клиенту в заявлении о возмещении средств и приказывает обращаться в полицию и суд, потому что не может установить инициатора и правомерность платежной операции. Или ссылаясь на то, что возмещение должен делать тот, кто в судебном порядке был признан виновным и привлечен к ответственности.

Почему? Потому что только после открытия уголовного производства следователи могут получить данные о движении средств, так как такую информацию банки не предоставляют по запросу лица", — объяснил «Минфину» ситуацию Игорь Ясько из юрфирмы Winner.

А также рассказал, что нередко такие дела доходят до Верховного суда, и уже в ВС с банков взыскивают украденные суммы. Хотя многое зависит от конкретного спора.

Ясько рассказал о деле, в котором банк ссылался на «Условия и правила предоставления банковских услуг», по которым финучреждение не несет ответственности за несанкционированный доступ к ПИН-коду клиента в случае отсутствия у самого клиента соответствующего лицензионного программного обеспечения, отсутствия антивирусных и антишпионских программ, обеспечивающих защиту от несанкционированного доступа к информации к компьютеру владельца счета.

Но суд признал такую позицию необоснованной, к тому же ничего из этого банк не доказал.

«К примеру, постановление ВСУ по делу 202/10128/14-ц от 23.01.2018 или постановление КЦС ВС от 16 августа 2023 г. по делу № 176/1445/22. Там позиция состоит в том, что при отсутствии надлежащих и допустимых доказательств сомнения и предположения должны толковаться преимущественно в пользу потребителя, который, обычно, является слабой стороной в таких гражданских отношениях, поскольку правовые возможности банка и его клиента фактически не равны», — отметил Игорь Ясько.

Пострадавшим советуют пользоваться этими прецедентами для защиты своих интересов.

Читайте также: С карточных счетов украинцев в 2022 году украли миллиард: почему грабежей становится больше

Что еще советуют юристы

После заявления банку о мошенничестве и блокировки карты юристы советуют затребовать у банка квитанции о списании денежных средств или получить их в интернет-банкинге самостоятельно. А после обратиться в местное отделение полиции.

Нужно собрать информацию, подтверждающую факт совершения преступления: чеки об оплате, квитанции из банка о проведении денежных операций, распечатки объявлений, ссылки на сайт. После этого написать заявление и дать показания правоохранителям.

«Если виновник будет найден, после его привлечения к уголовной ответственности, можно обратиться в суд за возмещением материального и морального вреда. К тому же, можно обратиться в банк с заявлением об ошибочном переводе средств или в суд с иском о возврате безосновательно приобретенных средств к владельцу банковского счета, на который произведен зачисление средств. Плохая новость в том, что недостаточно успешных кейсов возвращения таких средств, поэтому очень важно не разглашать персональные данные, не сообщать никому данные банковских карт, покупать только в проверенных магазинах, проверяя безопасность соединения», — признал Ясько.

В тоже время, юристы признают, что, когда банку не удается доказать, что владелец счета разглашал финансовую информацию или грубо нарушал другие платежные правила, то чаще всего суд становится на его сторону, и заставляет банк покрыть ущерб.