Нова схема шахрайства. Під ударом клієнти ПриватБанку і не тільки

За даними EMA, з 1 серпня по 26 вересня 2017 року кількість шахрайських операцій за картами досягла 1 928. Сума, яку зловмисникам вдалося вкрасти з рахунків менш ніж за два місяці, оцінюється приблизно в 238 млн грн. І це при тому, що за весь 2016 рік злочинці вкрали з карток українців 340 млн грн.

Схеми, які використовують «кіберзлочинці», в основному не нові: левова частка припадає на вішинг (телефонні афери) і фішинг (крадіжку даних платіжних карт на різних сайтах — «клонах» офіційних сервісів).

Але в жовтні з'явилися нові схеми. Так, відразу кілька читачів «Мінфіну» повідомили про шахрайство з їх платіжними картами. Скарги пов'язували загальні деталі: всі постраждалі були клієнтами ПриватБанку, вони нещодавно отримали нову карту, в кожному з випадків фігурувала платіжна система Interkassa та несанкціановане списання грошей з карти в період з 8 по 9 листопада.

Що трапилося

Першим про крадіжку грошей у відгуках на «Мінфіні» заявив користувач boobelik 9 листопада. За його словами, з особистої картки ПриватБанку класу Gold (отримана місяць назад) зловмисники списали гроші через платіжну систему Interkassa. Банк не верифікував дану транзакцію, а служба підтримки заявила, що клієнт сам винен в події.

«Ніяких повідомлень по СМС або повідомлень з боку банку про верифікацію даної транзакції я не отримував. Звернувшись до служби підтримки, отримав відповідь: «А що ви хотіли, у вас відкритий доступ на оплату в інтернеті. Якщо необхідно здійснювати оплату в інтернеті, користуйтеся віртуальною картою», — розповів boobelik.

Незабаром на «Мінфіні» з'явився інший схожий відгук. Його залишив ще один «щасливий» власник карти Gold від ПриватБанку — користувач під ніком Vvv VVV. Спроба несанкціонованого списання з його карти також проходила через систему Interkassa. Але в цей раз шахраям не пощастило — сума, яку намагалися списати, перевищила встановлений ліміт за інтернет-оплатами. Йому також не відправили одноразовий пароль, який підтверджує транзакцію.

У ніч на 10 листопада свій відгук додав користувач під ніком privatuser. За його словами, 8 листопада шахраї вкрали гроші з його нової приватівської «золотої» карти. Як й в інших випадках, платіж пройшов через Interkassa.

Правда, цього разу зловмисникам довелося докласти більше зусиль. Спочатку вони хотіли вкрасти гроші з гривневої карти, але спроба зазнала фіаско через перевищення інтернет-ліміту. Потім аферисти добралися до валютної карти, на якій за кілька днів до цього користувач підвищив ліміт. Потерпілий намагався заблокувати карту, але не встиг — гроші потрапили в руки шахраїв.

Здивувало те, що зі старою картки ПриватБанку, на якій також була «немаленька сума», шахраї навіть не намагалися списати гроші. Як й інші, privatuser стверджує, що дані платіжних карт ніде не «світив» й розплачувався ними тільки закордоном.

Про четвертий випадок «Мінфіну» стало відомо ще через день. У користувача sumar вночі 9 листопада 4 рази списали по 1000 грн через Interkassa. Як й інші, він не отримував повідомлень з верифікацією транзакції. Його платіжну карту ПриватБанк видав в кінці вересня.

Реакція сторін

Сам вид шахрайства далеко не новий. Зловмисники тим чи іншим способом заволодівають даними карти. Потім, в силу недосконалості систем безпеки банків та платіжних систем, крадуть з неї гроші. Але в цей раз виявилося занадто багато збігів. Тому «Мінфін» попросив ПриватБанк та Interkassa пояснити, що сталося насправді.

У Приватбанку заявили, що витоків даних про клієнтів не було. І нинішня хвиля шахрайства пов'язана не тільки з Приватом. Мовляв, страждають й клієнти інших банків, а сам Приват ще з 8 листопада 2011 припинив приймати платежі від Interkassa на вимогу фінмоніторингу.

«Оскільки ПриватБанк припинив співпрацю з даними мерчантем, Interkassa змінила канал проведення платежів через інший банк (ТАС), на стороні якого не був включений 3D Secure», — пояснює прес-секретар ПриватБанку Олег Серьга.

При цьому досить небагато клієнтів звернулося в банк за відшкодуванням вкрадених грошей. Але сума — значна.

«На даний момент кільком десяткам клієнтів, які заявили про списання коштів, з боку Interkassa відшкодовано близько 300 000 грн. При надходженні додаткових звернень клієнтів — Interkassa зробить обов'язкове повернення, враховуючи відключення 3D Secure на стороні еквайра», — стверджує Серьга.

Interkassa не заперечую проблему, яка виявилася зовсім недавно.

«Звернення клієнтів почали надходити 8 листопада 2017 року. Запити були від клієнтів різних українських банків, не тільки від ПриватБанку. Всі грошові кошти, про несанкціонований списання яких клієнти повідомили в систему Interkassa, були повернуті », — стверджує прес-служба Interkassa.

Правда, платіжна система оцінює рівень збитку набагато скромніше, ніж ПриватБанк. «Звернення не носили масового характеру. На дані момент ми отримали 24 звернення, на загальну суму до 14 000 грн», — кажуть в Interkassa.

Оплати проводилися на одному з сайтів, який уподобали шахраї. Зараз Interkassa та банки-партнери спільними зусиллями проводять розслідування. При необхідності вони можуть «задіяти спецслужби».

Як стверджує платіжна система, на їх сервісі використовується верифікація платежів 3D Secure.

«Interkassa використовує протокол обробки інтернет-транзакцій 3-D Secure від міжнародних платіжних систем Visa та MasterCard. Система прийому платежів пройшла аудит безпеки та комплексно захищає дані своїх користувачів від шахраїв. Це підтверджено відповідним сертифікатом PCI DSS. Також надійність та захищеність нашого ресурсу підтверджена SSL-сертифікатом від GeoTrust, що дозволяє шифрувати всю інформацію, передану між нами, користувачем сайту, торговцем й банками», — запевнили« Мінфін» у прес-службі.

Як же тоді вийшло, що шахраї знайшли в системі безпеки прогалину? За версією Interkassa, причин декілька.

По-перше, це переключення частини трафіку з одного з банків-партнерів на інший. По-друге, експеримент з відключенням 3-D Secure авторизації на одному з довірених мерчантів для підвищення конверсії. По-третє, глобальні проблеми на OVH (хостинг, який обслуговує Microsoft, Google й нас, в тому числі). По-четверте, порушення бізнес-логіки на стороні продавця. «Проблеми куповані. Наслідки цих порушень ми зараз усуваємо», — кажуть в прес-службі.

Але платіжна система не знімає з себе відповідальності та обіцяє відшкодувати гроші всім постраждалим.

«Ми на зв'язку майже з усіма банками-емітентами, та в оперативному порядку відшкодовуємо кошти користувачам у разі підтвердженого шахрайства. Interkassa завжди діє в інтересах своїх клієнтів та моментально реагує на звернення від користувачів», — пояснюють в Interkassa.

Клієнтам, які постраждали від шахраїв й ще не звернулися в платіжну систему, Interkassa рекомендує писати на поштову скриньку техпідтримки (support@interkassa.com). Вони також можуть звернутися в банк, де їм відшкодують вкрадені кошти.

Заходи безпеки

Для клієнтів Привату, один з найнадійніших способів убезпечити гроші на карті — встановити нульовий ліміт на інтернет-оплати. Благо, в ПриватБанку зробити це просто, й не потрібно йти до відділення.

У мобільному додатку досить зайти в список сервісів, знайти меню карт та відкрити «ліміти на оплату онлайн».

Далі вибираємо необхідну карту, встановлюємо ліміт на день або місяць, та вводимо пароль.

Сам ліміт встановлюється протягом хвилини. Тому якщо потрібно терміново щось оплатити через інтернет, його можна швидко змінити.

Інший варіант — оформити віртуальну карту для інтернет-платежів. Незручність тут є, адже кожен раз, перш ніж зробити платіж, на неї доведеться переказувати гроші. Радує те, що Приват не стягує комісії при переказах з карт «Універсальна» та «Для виплат».

«Мінфін» також наводить кілька рекомендацій по безпеці від Interkassa:

• Ніколи не надавайте інформацію про свої карти третім особам, навіть якщо вони звертаються до вас від імені банку
• Зберігайте ПІН-код, логін та пароль від клієнт-банку в недоступному для інших місці й нікому їх не називайте
• Будьте пильні, якщо вам приходять SMS невідомого авторства із проханням відправити отриманий код або дивний набір команд на інший номер
• При оплаті покупок в Інтернеті необхідно вказувати тільки номер карти, термін дії та CVV2-код. З метою безпеки ніколи не передавайте код CVV2 вашої карти стороннім!
• Якщо ви часто робите покупки в мережі Інтернет, відкрийте спеціальну Інтернет-карту. Так ви максимально захищаєте свою основну карту, адже її номер та інші реквізити ніде не вказуються
• Якщо вам дзвонять з незнайомого номера, а коли ви відповідаєте на дзвінок, запитують: «Ви мене чуєте?» — потрібно покласти трубку без відповіді. Шахраї можуть записати ваш відповідь «Так», щоб використовувати в телефонному шахрайстві
• Будьте уважні при роботі з електронною поштою. Шахраї можуть відправляти листи від імені банку з неправдивою інформацією: у вас величезний прострочений борг, призупинено надання послуг і т. д.

Олекса Рябуха

«Мінфін» дякує своїм читачам, які проявили активну позицію та розповіли про проблему. Редакція працює для вас й заради вас, та постійно стежить за коментарями, блогами, а також відгуками про банки.