Картки, гроші, телефон: як шахраї крадуть гроші з банківських рахунків

Шахраї вигадують нові хитрощі, щоб виманити гроші з банківських карток. Один із найпоширеніших способів — клонування sim-карти мобільного телефону. Фінансовий номер клієнта банку відкриває злочинцям доступ до всіх рахунків і дозволяє здійснювати будь-які маніпуляції із грошима.

«Середня сума втрат від соціальної інженерії із заміною sim-карт на 50% вища від звичайної соціальної інженерії і в 42 рази вища від шахрайства в інтернеті», — зазначає заступник директора ЄМА Олеся Данильченко.

Банкомати

Звичне шахрайство c банкоматами не втрачає актуальності і в 2019 році навіть активізувалося. Україна стала для Європи джерелом інформації про те, якими можуть бути пристрої для вчинення крадіжок. Адже наші зловмисники в цьому плані дуже винахідливі.

Скіммінг

За даними Української міжбанківської асоціації членів платіжних систем ЄМА, в першому півріччі 2019 шахраї рідше крали реквізити банківських карт.

За перше півріччя 2019 року було зафіксовано 28 випадків скіммінгу в 21 банкоматі. Для порівняння: за весь 2018 рік їх було більше сотні.

Працює схема просто. Шахраї встановлюють на картрідер банкомату спеціальний зчитувальний пристрій, що копіює дані магнітної смуги банківської картки. Таким чином зловмисники отримують всі дані про пластик і можуть створити клон картки.

Кеш-трепінг

Для крадіжки готівки з банкоматів стали частіше використовувати спеціальні пастки, при виготовленні яких використовується двосторонній скотч. Він не дозволяє купюрам вийти назовні. Власник карти думає, що банкомат несправний, і йде ні з чим, а його готівка дістається шахраям.

За даними ЄMA, за першу половину 2019 року зафіксовано 108 випадків кеш-трепінгу. Якщо порівнювати два квартали, то в другому кількість випадків зросла вдвічі — 78 проти 30. А в минулому році було всього 24 аналогічних інциденти.

Читайте також: Шахрайство з картками: пастки для довірливих

Фізичні атаки

Із розвитком інформаційних технологій стали популярними логічні атаки на банкомати і термінали. Зловмисники встановлюють шкідливе ПЗ на комп'ютер банкомату (локально чи віддалено через мережу) або підключають спеціальні пристрої, щоб управляти видачею грошей.

Проте статистика за січень-червень 2019 року показує, що злочинці повертаються до старих методів розкрадання грошей — фізичної атаки. Механічний вплив на банківський пристрій приносить гарний «улов» без особливих турбот.

Якщо в першому кварталі 2019 року був зафіксований тільки один випадок фізичної атаки на банкомат, то в другому — вже 20. Злочинці вдавалися до використання газу, крали касети з ПТКС (програмно-технічного комплексу самообслуговування), вирізали стінки банкоматів і навіть підривали пристрої.

Фізичні атаки 2019

Середня сума викрадених грошей у 2019 році, у зв'язку з фізичними атаками на банкомати, склала 806 444 гривні. А загальна сума збитку сягнула 10 141 556 гривень.

Середня сума збитку від атак на термінали самообслуговування у першому півріччі 2019 року склала 47 467 гривень, а загальна сума втрат — 142,4 тис. гривень.

Соціальна інженерія та інтернет

У першому півріччі 2019 року зафіксували:

1. Шахрайство з перевипуском sim-карт фінансових телефонів;
2. Стрімке зростання кількості шахрайських сайтів при стабільно невисокій кількості фішингових сайтів;
3. Зростання кількості інцидентів friendly-fraud — оплати дітьми сервісів в інтернеті без відома батьків.

Соціальна інженерія — збірна назва цілого ряду схем, за допомогою яких аферисти отримують доступ до закритої фінансової інформації банківських клієнтів. Часто жертви добровільно розкривають дані про свої рахунки, картки та інше.

У соціальній інженерії безліч інструментів, серед яких:

• фейкові веб-сайти;
• телефонні дзвінки;
• фальшиві смс-повідомлення;
• фіктивні продавці;
• несанкціонований перевипуск sim-карти.

Свіжа статистика

За даними ЄМА, схеми на основі соціальної інженерії та махінації в інтернеті принесли зловмисникам за минулий рік 245 тис. гривень.

Якщо середня сума збитку від шахрайських операцій в інтернеті склала всього 85 гривень, то від застосування соціальної інженерії — 2 478 гривень.

У першому півріччі 2019 року в базу даних було внесено 687 номерів телефонів, з яких телефонували шахраї. А в міжбанківський чорний список потрапило 1 004 людини, які отримували несанкціоновані перекази грошей.

Кількість людей, занесених у міжбанківський чорний список, осіб

Кількість номерів телефонів шахраїв, занесених в базу даних інцидентів, од.

Дублікат sim-карти

Користувачі прив'язують банківські сервіси, поштові аккаунти і соціальні мережі до номера мобільного телефону. Але біда в тому, що sim-карту можуть вкрасти разом із телефоном або відновити за номером.

Цікава деталь: застосування соціальної інженерії без заміни sim-карти призводило в середньому до збитку в 2 333 гривні, а з заміною sim-карти — значно вище — 3 620 гривень.

Злочинці відновлюють або замінюють карту дистанційно, без відома власника. Шахрай просто звертається до мобільного оператора з повідомленням про крадіжку телефону і проханням відновити sim-карту.

Зробити це просто. Потрібно лише виконати одну з умов:

• відповісти на ідентифікаційне питання про останні дзвінки. Щоб знати номери, зловмисник може сам кілька разів набрати жертву та змусити її перетелефонувати;
• увійти через особистий кабінет мобільного оператора. Злочинець може зареєструвати його самостійно, виманивши у жертви sms-код оператора;
• подати скан-копію або фальшивий паспорт жертви в магазині оператора.

Останнім часом поширення набули випадки блокування і перевипуску sim-карт. Такі махінації дають доступ до:

• банківських рахунків та платіжних додатків;
• персональних даних;
• акаунтів в соцмережах;
• е-mail листування;
• фото і відео абонента.

Шахраї використовують у своїх цілях облікові записи в соціальних мережах (Facebook, Instagram, Twіtter), месенджерах (Viber, Telegram), Google акаунт, пошту, мультимедіа і, звичайно ж, BankID.

Головна мета — гроші на вашому рахунку. Підробивши sim-карту, шахраї реєструються в мобільному додатку банку. Як тільки вони отримують доступ до рахунку жертви, відразу переказують гроші на свої рахунки інших банків. Банк надсилає одноразові паролі та смс-повідомлення про операції вже на новий фінансовий номер, який зареєстрував шахрай.

«Банки ідентифікують клієнта за номером телефону, а також підтверджують онлайн-транзакції за допомогою секретних паролів, які приходять у sms. Відповідно до договору між клієнтом і банком, введення таких паролів прирівнюється до операцій із введенням pin-коду», — пояснюють в Ощадбанку.

Так відкривається широке поле для різноманітних схем: викрадаються гроші, оформлюються кредити. Де-факто відбувається викрадення вашої цифрової особистості, втрата особистої інформації.

Як зберегти свої гроші

Найбільш дієвий метод — реєстрація мобільного номера. Чим точніше ідентифікують особу, якій належить sim-карта, тим менший ризик. Є два варіанти: перехід на «контракт» або прив'язка свого pre-paid номера до паспорта.

«Щоб здійснити заміну sim, нам необхідно переконатися, що вона дійсно належить абоненту, який звернувся до нас. Контрактні абоненти показують паспорт, а незареєстровані pre-paid абоненти, оскільки вони обслуговуються знеособлено, проходять багатокрокову процедуру ідентифікації», — розповідають у «Lifecell».

Така процедура проходить у фірмовому магазині або поштою. Користувач повинен назвати секретне слово, встановлене абонентом, два номери, на які він дзвонить найчастіше, серійний номер sim-карти (при наявності картхолдера) та інші додаткові питання.

Як підвищити безпеку:

• вимкніть можливість віддаленого перевипуску sim-карти;
• створіть унікальні паролі до інтернет-банку, мобільних платіжних додатків і електронної пошти;
• самостійно зареєструйтеся в онлайн-кабінеті мобільного оператора. Ніколи і нікому не передавайте sim-коди мобільних операторів, puk-код, серійний номер sim-карти, кодове слово або номери телефонів абонентів, з якими ви спілкуєтеся;
• не «світіть» фінансовий номер в соціальних мережах, на дошках оголошень, анкетах тощо;
• будьте пильні в соцмережах — не вказуйте там свою дату народження і номер телефону, не додавайте в «друзі» незнайомців, навіть якщо це друзі ваших друзів.

Зберегти та примножити гроші допоможе «Бонус від Мінфіну«

Що робити, якщо SIM-карта фінансового номеру припинила працювати

Необхідні заходи безпеки:

• негайно змініть пароль до інтернет-банку;
• негайно зверніться до банку, заблокувавши платіжну картку, банківські рахунки та доступ до інтернет-банку. Обов'язково зверніться у всі банки, де маєте рахунки, дуже важливо чітко пояснити банківському працівнику про те, що є ризик перевипуску sim-карти злочинцями;
• негайно зверніться до мобільного оператора та виконайте інструкції. Якщо оператор не повертає номер відразу, вимагайте заблокувати обидві картки (стару і нову) до завершення розгляду справи;
• негайно блокуйте акаунти у всіх фінансових сервісах, до яких прив'язані ваші банківські картки. Також вимкніть доступ до персональних кабінетів компаній, що видають мікрофінансові позики онлайн.

Якщо ви отримали повідомлення про заплановану оператором заміну sim-карти, то дотримуйтеся всіх рекомендацій. Але, важливий момент: спочатку зателефонуйте мобільному оператору і зупиніть перевипуск картки.

Дивіться також: Що вам відомо про шахрайство з банківськими картами? (тест)

Ризики, пов'язані з переходом банків на IBAN

Перехід банків на міжнародний стандарт нумерації рахунків IBAN створив грунт для нового виду платіжного шахрайства. Зловмисники розсилають sms-повідомлення про те, що через перехід на новий стандарт банківський рахунок заблокований. Наведемо текст реального повідомлення від аферистів: Vash rakhunok zablokovano u zv'yazku z zaminou rozrakhunkovogo rakhunku. Balance 0.00.UAH 044*****.

«Мета шахраїв — налякати і змусити одержувача sms передзвонити на вказаний номер. Здійснюючи дзвінок, аферист представляється співробітником банку і виманює конфіденційні дані, щоб викрасти гроші своєї жертви», — розповідають в ПУМБі.

Інциденти friendly-fraud

«Дружнім шахрайством» називають дитячу самодіяльність, яка зараз набирає обертів. Клієнти банків звертаються до фінансових установ зі скаргами на загадкові платежі, яких не робили.

Під час розгляду справи з'ясовується, що це зовсім не шахрайство, а дитяча забаганка. Найбільш поширені випадки — оплата в інтернеті онлайн-ігор та послуг сайтів знайомств.

Фішинг

В інтернеті продовжують діяти фішингові сайти. Це фіктивні web-сторінки. Часто вони замасковані під реальні сервіси грошових переказів або оплати послуг мобільного зв'язку.

Мета шахраїв — зібрати реквізити платіжних карт: номер, термін дії, код безпеки, що дасть їм можливість проводити з рахунків жертв несанкціоновані грошові операції в інтернеті.

За статистикою ЄМА, у першому півріччі 2019 року було виявлено 9 фішингових сайтів. Для порівняння: лише за 2018 рік виявили 30 фіктивних сайтів.

Зараз найбільш популярна схема у шахраїв «телефон за долар» — фіктивний сайт, що пропонує товар або послугу за смішну ціну. Це приманка, яка дає можливість вивідати персональні дані жертв.

Під час безкоштовної реєстрації, жертва залишає реквізити своєї платіжної картки, ніби для сплати «одного долара». Насправді казка на цьому закінчується. Гроші зникають з банківського рахунку або з'являються несанкціоновані щомісячні платежі.

Вішинг і смішинг

Методи соціальної інженерії досі не здають позицій. Психологічний вплив на клієнта банку дозволяє зловмисникам отримати бажані конфіденційні дані. Пастки шахраїв і гра на довірі з часом стають все витонченішими.

Телефонне шахрайство ділять на два види: вішинг і смішинг. У першому випадку банківські реквізити та ідентифікаційні дані виманюють під час телефонного дзвінка, у другому — через sms-повідомлення, яке штовхає жертву зателефонувати зловмисникам. Часто потерпілі самостійно здійснюють перекази грошей на картки аферистів.

При банкоматному шахрайстві банки іноді компенсують збитки, якщо можна підтвердити факт крадіжки. Але у випадку соціальної інженерії підстав для компенсації немає, адже клієнт сам розкрив конфіденційну інформацію або вчинив неприпустимі дії.

Найбільш ініціативні банки блокують переказ коштів на рахунки, якщо відомо, що вони належать шахраям. Але, якщо ви вже здійснили операцію, повернути гроші складно. Для вирішення цієї проблеми банкам спільно з НБУ потрібно змінювати внутрішні нормативні документи. Зараз повернення можливе за умови визнання факту злочину судом.

Рекомендації банків щодо захисту коштів на платіжній картці:

1. Нікому не розголошуйте конфіденційну інформацію: номер банківської картки, термін її дії, cvv-код, pin-код, логін і пароль інтернет-банку, інформацію з sms-повідомлення, фінансовий номер телефону.
2. Не телефонуйте за номерами телефонів, вказаними у повідомленні, яке нібито надіслав банк. При виникненні питань бажано зв'язатися із співробітником банку за номером телефону, зазначеним на звороті карти або на офіційному сайті фінансової установи.
3. Встановлюйте ліміти на суму транзакцій та геоліміти платіжних карток (обмеження за операціями одним містом, країною).
4. Не користуйтеся підозрілими сайтами. Не залишайте свої особисті дані в онлайн-анкетах.
5. Не прив'язуйте публічний основний номер телефону до платіжної картки.

Якщо зловмисники отримали ваші конфіденційні дані:

• негайно зателефонуйте до банку і заблокуйте свій рахунок;
• заблокуйте інтернет-банкінг;
• зверніться до співробітників кіберполіції.

Світлана Тартасюк