Як шахраї крадуть гроші з карткових рахунків

Українці поступово відмовляються від кеша. За даними НБУ, за 9 місяців 2017 року обсяг безготівкових операцій за допомогою платіжних карт зріс більш ніж на 40% й досяг 216 млрд грн. Зловмисники користуються зростанням популярності безготівки та виманюють гроші в українців.

Найбільше страждають власники пластику ПриватБанку. Це не дивно, адже на нього припадає більше ніж половина (18, 9 млн штук на 1.10.2017) від усіх активних платіжних карт.

Умовно, шахрайство з приватівськими картами можна розділити на два види.

Перший, коли власник картки майже безпорадний, а в втраті грошей більше винні лазівки в банківській інфраструктурі. Другий — клієнт довірливий, необережний. Він не користується здоровим глуздом, не замислюючись «проковтує» брехню й, відповідно, допомагає шахраєві відібрати у нього гроші (такий вид шахрайства ще називають соціальним інжинірингом).

Зовсім недавно в таку схему було втягнуто й «Мінфін». Тільки завдяки пильності нам вдалося не потрапити на вудку аферистів.

Заради загальної безпеки, редакція вирішила нагадати про популярні шахрайські схеми. У статті описали деякі ситуації, в яких брали участь власники карток. Ми використовували, в тому числі, відгуки читачів «Мінфіну», які стали (або ледь не стали) жертвами злочинців.

Карта, OLX та два смартфона

Для реалізації однієї з найстаріших та найпоширеніших шахрайських схем потрібно зовсім небагато: жертва (продавець мобільного телефону, як правило, б/у), товар (тобто той самий телефон) та язик без кісток.

Один з членів редакції «Мінфіну» продавав смартфон на популярній торговій площадці — OLX. Йому зателефонував покупець (як з'ясувалося пізніше — шахрай) і заявив, що хоче купити телефон. Товар попросив передати кур'єру: мовляв, «живу під Києвом, дружині подарунок хочу зробити, а гроші на карту скину». Нетерплячий «покупець» був готовий невідкладно йти до термінала, щоб поповнити карту продавця та скоротити час очікування. Стан товару, можливі дефекти й т.д. його не сильно цікавили — адже «ви ж сумлінний продавець, і все як в оголошенні».

За телефоном з'явився таксист, який виступав в ролі кур'єра. Його використовували наосліп. Зловмисники розповіли «казку» про забутий телефон, який потрібно забрати, й пообіцяли оплатити поїздку (зазвичай «візники» не сильно люблять возитися з технікою на продаж). Сам покупець стверджував, що він вже знаходиться біля термінала та готовий поповнити карту, як тільки таксист побачить телефон.

Отже, суть схеми: продавець підходить до таксиста, щоб передати телефон. У цей час «покупець» нібито стоїть біля термінала й відправляє гроші на вказаний картковий рахунок. І… вуаля, через хвилину на телефон приходить СМС, нібито від ПриватБанку з підтвердженням зарахування.

Скріншот СМС-підтвердження, отриманого «Мінфіном»

На перший погляд, все правильно. Але якщо придивитися уважно — номер телефону відправника не приватівський, а прізвище одержувача неправильно транслітеровано на англійську мову. Найдивніше, звичайно те, що продавець вже як пару років отримує всі сервісні повідомлення від ПриватБанку не у вигляді СМС, а у Sender мобільного додатка Приват24.

Оскільки в Sender оповіщення не прийшло, та й баланс колишній, довелося зателефонувати покупцеві та дізнатися, де гроші. Горе-аферист запевняв, що гроші скоро прийдуть, мовляв, — «Приват гальмує». І справді, через хвилину прийшло ще одне сповіщення — точно така ж СМС. Але баланс колишній, а в Sender — ніяких повідомлень.

Зрозуміло, телефон залишився у господаря, а таксист поїхав з порожніми руками. Пізніше «Мінфін» намагався додзвонитися «покупцеві», щоб отримати коментар щодо цієї ситуації, але телефон уже не відповідав.

Ця «бородата» схема досить проста. Напевно саме тому на неї продовжують «вестися» сотні довірливих власників пластику.

Якщо є бажання продати товар та отримати оплату на карту, ніколи не варто довіряти СМС про зарахування грошей. Обов'язково варто перевірити свій баланс за допомогою мобільного додатку, або ж зателефонувати до контакт-центру банку

Трохи складніше

Є схема складніше. З її допомогою шахраї «вивуджують» у жертви її платіжні дані. Як правило, в ній задіяно дві людини — «покупець» якогось товару та уявний «співробітник банку».

Покупець домовляється з продавцем про покупку та просить назвати номер карти, щоб переказати гроші. Далі він кладе трубку й жертві вже дзвонить «співробітник банку», який заявляє, що платіж неможливо здійснити без додаткових даних (зазвичай вимагають термін дії картки, ПІН-код, CVV-код). Як тільки жертва розкриває інформацію, зловмисники отримують доступ до її грошей.

Є варіація на цю схему, в якій фігурує банкомат. На початку все відбувається так, як описано вище. Тільки покупець запевняє, що для того, щоб отримати гроші, продавцеві потрібно сходити до банкомата. А коли його телефон надійде ще один дзвінок, він повинен продиктувати останні 3 цифри з номера якого дзвонили. Мовляв, «вони необхідні, щоб завершити платіж».

Насправді, отримавши три заповітні цифри, зловмисники зможуть самі зняти гроші в банкоматі з рахунку жертви, навіть без його карти. Це досить поширена послуга Привату, нею може скористатися будь-який клієнт банку. Все що потрібно: ввести за запитом банкомату номер карти і номер фінансового телефону клієнта. Банк зробить «виклик» і попросить ввести 3 останні цифри, з якого вам дзвонили. Правда, ще знадобиться авторизація по ПІН-коду карти. Але його зазвичай вивідує «співробітник банку», який попередньо «обробляє» жертву.

Убезпечити себе від цієї схеми дуже просто. По-перше, слід запам'ятати, що ніякий грошовий переказ на карту не вимагає присутності власника картки біля банкомата (кеш-машини не мають ні найменшого відношення до цієї послуги). По-друге, ні в якому разі не ділитися ні з ким вашими «секретними» платіжними даними. Найбільш безпечний варіант — продавати товар за допомогою післяплати.

Тільки телефон

Вішинг — телефонне шахрайство. Його мета — вивідати у жертви платіжні дані карти. Яскравий приклад — ситуація, в якій в минулому році виявився Ощадбанк. Його клієнтам стали приходити СМС про блокування картки. За подробицями, зловмисники пропонували звернутися в нібито «інфоцентр». Номери телефону додавалися.

Якщо жертва ковтала наживку та дзвонила в «інфоцентр», шахраї всілякими методами вивідували в неї дані карти. Наприклад, для її розблокування.

«Мінфін» також ледь не став жертвою цієї афери. Заради цікавості ми передзвонили в «контакт-центр», але не отримали зрозумілої відповіді. Більш того, після декількох наших навідних запитань, «оператор» вибухнув добірним матом. Зрозуміло, ніяких даних від «жертви» він не впізнав.

Варіацій телефонного шахрайства дуже й дуже багато. Наприклад, наш читач Qwerty 1999 повідомив, що йому та співробітникам підприємства, де він працює, стали приходити СМС на корпоративні мобільні телефони. Їх відправники вимагали погасити якийсь кредит, та пропонували передзвонити за кількома номерами для уточнення суми. Цікаво, що по одному з телефонів (в списку фігурував й один cdma-номер) відповідало «Центральне управління НБУ», де Qwerty бадьоро запропонували «погасити кредит».

«На здивоване запитання, а чому номер не київський, пояснюють, що частина співробітників переїхала до Києва з Дніпра й почали відразу ж вимагати надати номер банківської карти для уточнення загальної суми заборгованості», — пише Qwerty 1999. На щастя, користувач на вудку не потрапився. Після його уточнюючих питань шахраї кинули трубку, й перестали відповідати на дзвінки.

Майже не винен

У всіх вищеописаних схемах жертва фактично є співучасником шахраїв. Адже саме потерпілий розкриває шахраям свої дані, не перевіряє баланс карти й т.д. Будь то поспіх, чи просто недбалість, але потерпілий також відповідальний за втрату грошей, якщо не дотримується елементарних правил платіжної безпеки.

Але бувають випадки, коли клієнт банку стає заручником ситуації. Так, наприклад, сталося з держателями карток ПриватБанку в листопаді минулого року.

Тоді відразу кілька власників приватівського пластику повідомили «Мінфіну», що зловмисники вкрали з їх рахунків значні суми. Шахраї знайшли пролом в платіжній системі Interkassa та списували гроші клієнтів без їхнього відома при здійсненні покупки в інтернет-магазині. Жертвам навіть не приходило підтвердження про оплату, тому що у торговця не була включена система верифікації транзакцій 3D-Secure.

У коментарях «Мінфіну», Interkassa та ПриватБанк заявили, що проблему вирішено, а постраждалим клієнтам виплатять компенсацію.

Зовсім недавно — 3 січня 2018 року — 2 користувачі «Мінфіну» повідомили про ще один подібний випадок. Проблема знову торкнулася клієнтів ПриватБанку, але на цей раз, замість Interkassa, в схемі фігурував російський інтернет-ресурс безкоштовних оголошеннь Avito.ru. Якимось чином, шахраї отримали платіжні дані клієнтів та списали з їх карт гроші на користь Avito.ru.

3 января 2018 года у меня внезапно телефон стал показывать транзакции оплаты каких-то рекламных услуг на AVITO.RU, Moscow. Было всего 5 транзакций с промежутком ровно в 1 минуту между ними, — стверджуєкористувач Leonid Cool Sky

За його словами, зловмисники списали з карти 6 000 грн. Цього можна було б уникнути, якби ПриватБанк швидше зреагував. Або якби користувач поставив нульовою ліміт на інтернет-платежі.

Скриншот я предоставил Привату буквально в течении 5-ти минут после ограбления, знаю что транзакцию можно отменить(приостановить) в первые 15 минут с момента отправки денег, чего Приватбанк не сделал после моего сигнала им. Сейчас получаю от Привата только отписки в виде «ваша заявка на рассмотрении, сроки не установлены, мы вам позвоним ...", — комментує Leonid Cool Sky

Теж ж саме відбулося і з іншим користувачем.

В мене вкрадено з моєї кредитної банківської картки Приватбанк Універсальна кредитні кошти та здійснено несанкціонований переказ грошових коштів в розмірі 7500 руб з конвертацією по курсу 0,47 грн. Усього 3 525 грн, — стверджує користувач elena7775.

ПриватБанк також не надіслав їй підтвердження. А гроші пішли на оплату рекламних послуг на Avito.ru

Представники банку відповіли постраждалим, що розбираються в ситуації.

Єдиний спосіб убезпечити себе від подібних дій шахраїв — встановити нульовий ліміт на інтернет-операції. Зробити це можна в онлайн банкінгу Привату або мобільному додатку. Встановлюється він протягом однієї хвилини. При необхідності ліміт завжди можна змінити.

Що роботи

Злочинці придумали тисячі способів, як роздобути гроші клієнта. Але, як правило, це «старі пісні на новий лад». Особливо це стосується телефонного шахрайства. Шахраї залякують або вмовляють жертву всіма можливими способами, щоб та видала необхідні дані. Але що б вони не говорили, є одне золоте правило — нікому не розкривати свої секретні реквізити — ПІН-код та CVV. Навіть якщо той, хто телефонує представляється співробітником банку або новим главою НБУ. Винятком може бути тільки 16-значний номер карти.

Ніколи не варто розплачуватися картою в сумнівних інтернет-магазинах. Дуже часто саме там шахраї отримують дані клієнтів. оптимальний варіант — відкрити інтернет-карту для розрахунків в «мережі». Процес покупки може сповільнитися, бо кожен доведеться переводити на неї гроші, але безпека при розрахунках виростає в рази.

Якщо по карті відбувається несанкціоноване списання

Перше, не потрібно панікувати. Друге, карту потрібно заблокувати або дзвінком в контакт-центр, або за допомогою інтернет-банкінгу. У мобільному банкінгу деяких фінустанов це також можливо. У будь-якому випадку необхідно написати заяву в банк та правоохоронні органи.

Олекса Рябуха