Шахраї продовжують збагачуватися на довірливих користувачах банківських та інтернет-послуг. Протягом 2019 року вони викрали з банківських рахунків громадян 362 млн грн.
13 шахрайських схем, які дозволили поцупити в українців 362 мільйони
В 2018 році йшлося про значно меншу суму — 245 млн грн. Про це, під час прес-брифінгу про платіжне та банкоматне шахрайство, заявила заступник директора Української міжбанківської асоціації членів платіжних систем ЄМА Олеся Данильченко. «Мінфін» зібрав основні «винаходи» шахраїв та головні методи захисту від них.
Топ-5 актуальних схем платіжного шахрайства
- Entertaiment fraud, або розважальне шахрайство
Виманювання грошових коштів або реквізитів картки, замасковане під онлайн-бронювання житла чи авто, онлайн-продаж транспортних документів чи туристичних подорожей, квитків у кінотеатри, на концерти чи спортивні події тощо.
- Employment fraud, або шахрайство з працевлаштуванням
Афери з працевлаштуванням та заробітком в інтернеті, коли шахраї виманюють грошові кошти, реквізити картки та паспортні дані, втягують у злочинну діяльність.
- Підмінні веб-сайти
Шахрайські веб-сайти, замасковані під сайти банків, фінансових сервісів та торговельних майданчиків, виманюють у громадян гроші, реквізити картки, ключі та паролі доступу до інтернет-банкінгу чи додатку на телефоні.
- Телефонне шахрайство
Зловмисники через маніпуляції виманюють під час телефонного дзвінка реквізити картки, SMS-паролі та ідентифікаційні дані.
- Перевипуск сім-картки
Дистанційна заміна сім-картки без відома її власника, щоб вивести гроші з його банківського рахунку, оформити шахрайські кредити на його ім'я або заволодіти приватною інформацією і шантажувати жертву тощо.
Старі та перевірені методи досі успішно працюють, але постійно модифікуються. Кіберзлочинці навіюють страх, задурюють голову та навіть манять романтикою.
Читайте також: Подзвони мені, подзвони: які смс надсилають шахраї
Нові винаходи шахраїв
Переадресація
Зловмисники вигадали, як отримати доступ до вхідних дзвінків та повідомлень жертви. Завдяки психологічному впливу, вони змушують набрати на телефоні певну послідовність символів. Така комбінація є згодою на переадресацію сім-картки.
«Всі адресовані вам телефонні дзвінки та смс-повідомлення опиняться на мобільному телефоні шахрая. Зрозуміло, що їх цікавлять тільки сповіщення від банків», — пояснює Раїса Федоровська.
Голосове меню
Шахраї використовують поради банків, щоб завоювати довіру громадян. «Нікому не передавайте код, який надійде в повідомленні», — запевняють жертву. Натомість рекомендують включити інтерактивне голосове меню і продиктувати цифри в тоновому режимі після сигналу. Самі тим часом прослуховують секретний код.
Код-підтвердження для входу в інтернет-банкінг чи інших операцій з банківською карткою, таким чином, опиняється в руках зловмисників.
Віддалений доступ
За словами керівника ЄMA Academy Раїси Федоровської, шахраї телефонують від імені співробітника банку і просять встановити на телефон програму віддаленого доступу. Таке прохання вони пояснюють турботою банку про клієнта: мовляв, пристрій заражений вірусом, який знищить всі дані, і банк хоче попередити цю ситуацію.
Жертва встановлює «антивірусне забезпечення» — отже, дає повний доступ до свого пристрою. Після цього аферисти виводять кошти. «Якщо у вас iPhone, шахрай отримає частковий доступ, лише на перегляд екрану. Та це не завадить керувати кроками клієнта, а той вже власноруч перерахує кошти зловмиснику», — говорить Раїса Федоровська.
«Безпечний» рахунок
Найефективніший спосіб змусити жертву виконувати бажання зловмисників — попередити про небезпеку. Дзвінок «від працівника банку» сповіщає, що рахунок клієнта заблокований або злодії намагаються вивести гроші. Все, що варто зробити, — переказати кошти на «безпечний» рахунок. Головна умова — діяти негайно. Це штовхає невдаху надіслати гроші на рахунок шахрая.
Схеми з працевлаштуванням
З’явилося два нових розповсюджених способи виманити кошти у тих, хто шукає роботу.
«Перший — кадрове агентство, яке обіцяє багато пропозицій від роботодавців. Але спочатку кандидат має зробити і надіслати селфі з паспортом. Другий — робота вдома, наприклад, набір тексту чи сортування кавових зерен, за яку аферисти просять заплатити завдаток, своєрідний гарантійний внесок», — розповідає Раїса Федоровська.
За бажання працювати вдома доведеться заплатити, але один раз. Натомість, надсилаючи фото документу, ви ризикуєте отримати кілька кредитів в МФО, які дають позики онлайн, та довго сплачувати заборгованість.
Онлайн-обмінники
Все більше товарів та послуг ми шукаємо і оплачуємо онлайн. Щоб перевірити сайт, достатньо за кілька хвилин почитати відгуки в інтернеті чи подивитися чорний список. На жаль, громадяни ігнорують заходи безпеки та купуються на зручність і легкість здійснення операцій. Тому часто кошти зникають на невідомих рахунках чи номерах мобільних телефонів.
Свіжий приклад. Аферисти створили шахрайський сайт mobilpay.com.ua, який працює під виглядом обмінника і має безліч сторінок-клонів. Через нього користувачі здійснювали грошові перекази з особистого мобільного рахунку на банківську картку. Зловмисники підмінювали номер отримувача. Таким чином, гроші списувалися з мобільного рахунку, а на банківську картку не потрапляли, поповнюючи баланс картки шахрая.
За даними лише одного платіжного сервісу, завдяки mobilpay.com.ua за 54 доби шахраї отримали понад 120 тис. грн чистого прибутку. Кіберполіція веде слідство.
Тенета для романтиків
Чим більше аферисти знають про людські слабкості та бажання, тим легше їм створювати нові приманки. Романтичне шахрайство прийшло до нас з Європи. Зловмисники шукають жертв у соціальних мережах та на сайтах знайомств. Потім розсилають їм романтичні електронні листи — і будь-яким способом виманюють гроші.
Набула популярності схема з кінотеатром. Самотня жінка чи чоловік спокушаються на запрошення незнайомця провести романтичний вечір разом. Аферист обирає на свій смак приватний кінотеатр для двох. Далі — прохає придбати квитки у кіно. Жертва оплачує їх за посиланням на шахрайському сайті, наприклад, worldlotteryplace.com, після чого «прекрасний» незнайомець чи незнайомка зникає.
Часто зловмисники маніпулюють почуттями до близьких людей. Не втрачають дієвості фрази: «кохана, я в біді» або «мама, я в лікарні».
Фальшиві інвойси
Новий вид шахрайства — схеми з інвойсами, тобто документами, які надсилає продавець покупцеві при оплаті товару. Інвойс містить інформацію про ціни та кількість товарів і послуг, які замовляє покупець.
Шахраї, довідавшись про те, що жертва чекає певне замовлення, надсилають на пошту фальшиві листи з іншими реквізитами. «В такому випадку це вже стосується не тільки фізичних, а й юридичних осіб. Великі компанії перераховують великі суми на шахрайські номери», — коментує Олеся Данильченко.
Читайте також: Картки, гроші, телефон: як шахраї крадуть гроші з банківських рахунків
Скільки виманюють у жертви
В 65% від загальної кілокості усіх інцидентів шахраї використовували інтернет та психологічний вплив на жертву. Застосовані психологічні прийоми дозволяють аферистам дізнатися конфіденційні дані клієнтів банків або заманити фейковими пропозиціями.
Сукупний розрахунковий дохід шахраїв 2018/2019 (млн грн)
Джерело: ЄМА
У 2019 році середня сума шахрайських операцій з використання методів психологічного впливу (соціальної інженерії) зросла з 2 333 до 3 400 грн. Для порівняння: середня сума крадіжки в інтернеті в 2019 році становила 336 грн. Найбільший дохід принесла зловмисникам заміна сім-картки — в середньому 6 200 грн.
Середня сума шахрайської операції 2018/2019 (грн)
Джерело: ЄМА
За даними ЄМА, протягом 2019 року було викрито 352 шахрайських та фішингових сайти. А до міжбанківського «чорного» списку потрапили 1268 мобільних телефонів аферистів.
Внесено до міжбанківського чорного списку (од. осіб)
Джерело: ЄМА
Як захиститися від психологічного впливу
Найефективнішою зброєю проти шахраїв може бути тільки фінансова грамотність.
7 правил мудрого параноїка:
- Не використовуйте ваш фінансовий номер в соціальних мережах, оголошеннях, не залишайте його для контактів з клієнтами. Перейдіть на контрактне обслуговування фінансового номеру. Якщо не бажаєте платити зайве, можна залишитись на передплаті. Для цього треба надати свої документи мобільному оператору, за якими вас будуть ідентифікувати, зареєструватися в персональному кабінеті та відключити віддалений перевипуск сім-картки.
- Негайно реагуйте на заміну сім-картки. Якщо прийшло попередження про запланований перевипуск оператором, ви можете відмовитися, на всякий випадок змінивши паролі в інтернет-банкінгу. Якщо сім-картка просто перестала працювати, зателефонуйте спочатку в банк і заблокуйте банківські картки, рахунки, доступ в інтернет-банкінг. Пізніше — повідомте мобільного оператора, що бажаєте повернути номер та негайно заблокуйте всі фінансові акаунти, до яких прив’язаний номер.
- Номер банківської картки — єдине, що можна розголошувати телефоном. Для отримання переказу грошей цього достатньо. За жодних умов не повідомляйте трьохзначний cvv-код картки. Ніколи і нікому не повідомляйте смс-паролі від банку та мобільного оператора.
- Отримавши несподівану звістку від «співробітника банку», припиніть розмову та самостійно зателефонуйте в банк. Номер вказаний на звороті банківської картки чи офіційному сайті фінустанови. У відповідь на смс «терміново зателефонуйте» — наберіть номер банку.
- Не довіряйте знайомим номерам. Номер банку та мобільного оператора можна підмінити. Але підроблене смс-повідомлення не потрапить в ланцюг попередніх реальних повідомлень від банку. Краще зателефонуйте в банк самостійно та перевірте інформацію.
- Купуючи товар на olx.ua чи оплачуючи замовлення, відправлене Новою Поштою, використовуйте безпечну доставку. Не переходьте в месенджери, оскільки так шахраям легко направити вас на фішинговий сайт-клон OLX і викрасти гроші та банківські реквізити. Перевіряйте веб-сайти. Перш, ніж сплачувати гроші, переконайтеся, що сайт давно зареєстрований та має гарну репутацію.
- Нікому не надсилайте копію паспорту чи ідентифікаційного коду в інтернеті. Ніколи не підтверджуйте особу за допомогою паспорту та ІПН для працевлаштування. Не сплачуйте завдатки. Реальні роботодавці не просять цього. Будьте обережні з легким заробітком. Критично оцінюйте вакансії в інтернеті.
Банкомати досі в зоні ризику
Протягом 2019 року 24% шахрайських афер припали на банкомати. Як і раніше, в тренді скімінг, кеш-трепінг і фізичні атаки.
У порівнянні з 2018 роком, зменшились випадки скіммінгу, тобто клонування картки завдяки спеціальному зчитуючому пристрою на банкоматі, — до 80 зі 102. Найбільше таких крадіжок трапилося напередодні Нового року.
Скіммінг 2015−2019
Джерело: ЄМА
«При знятті готівки в банкоматі треба обов’язково прикривати рукою введення пін-коду, щоб мініатюрна камера не записала ваші дані», — радить Олеся Данильченко.
Натомість кеш-трепінг — пастки з двостороннім скотчем, які не дають готівці вийти з банкомату, — навпаки, почастішав. За 2019 рік зареєстрували 193 інциденти, за 2018 рік — всього 90.
Кеш-треппінг 2015−2019
Джерело: ЄМА
Аби заволодіти готівкою, злочинці нерідко просто зламують банкомат. Кількість фізичних атак на банкомати у 2019 році зросла з 20 до 77, у порівнянні з 2018 р. У більшості випадків зловмисники використовували вибуховий газ. Найбільше подібних інцидентів минулого року зафіксували у місті Дніпро та області.
Фізичні атаки на банкомати 2019
Джерело: ЄМА
Світлана Тартасюк
Коментарі - 24
Часть клиентов банков всё-равно не прислушиваются к умным советам,
не придерживаются рекомендованных правил и поэтому периодически
наступают на одни и те же грабли…
Также списки с данными держателей карт как минимум Сбера ходят по интернету, но там не помню признали ли слив или внешний взлом.
Я бы уточнил - не банки, а некоторые нечистоплотные на руку сотрудники банков,
акцентировав внимание на слове - некоторые.
Как и в любой конторе с большим количеством разнообразных по образованию и уровню ответственности наёмных сотрудников, в банках тоже могут работать люди с воровскими наклонностями и именно для борьбы с инсайдерским воровством клиентских средств - банки придумывают всё новые и новые методы защиты...
Если сотрудничество с одним банком проходит годами без инцидентов, а второй сливает ваши данные через 2 недели после открытия карты - это как раз и есть маркер системных проблем с менеджментом и неэффективностью контролей. Для себя я принял решение не размещать там значительных сумм. Каждый, конечно, волен рисковать, основываясь на своей логике. Я в своей отталкиваюсь от PCI DSS. :-D
Чаще всего это происходит при переходе сотрудника из одного банка в другой, когда за сотрудником уходит и инфа о его клиентах, которые он обслуживал.
Кстати, хотелось бы узнать у аудитора — он видел хоть раз, как хранят и обрабатывают копии паспортов и копии справок инн-кодов в банках в стадии ликвидации — самые крупные и системные утечки идут именно оттуда…
Переадресовывать SMS-сообщения вы сможете только на номера «Киевстар».
Для подключения переадресации SMS, отправьте USSD-команду *100#, выберите раздел «Услуги» — «Переадресация SMS» — «Подключение». После этого вам необходимо указать номер телефона, на который будут поступать переадресованные SMS. После подключения услуги все входящие SMS сообщения будут переадресованы на номер телефона, который вы указывали при установке переадресации. На номер телефона, с которого вы устанавливали переадресацию, сообщения приходить не будут.
https://kyivstar.ua/ru/mm/services/network/divert
https://kyivstar.ua/uk/mm/services
С тех пор ничего не изменилось.
Из-за её малой востребованности и бесплатности информация о ней
не бросается в глаза с основной страницы с перечнем услуг.
чтобы не дай бог её кто-то из клиентов не нашёл...
А если вспомнить о российском участии в акционерном капитале Киевстара,
то вообще можно приписать диверсию вселенского масштаба.
чтобы не дай бог её кто-то из клиентов не нашёл..." - майже так.Щоб поменше абонентів нею скористалось. Доходу то від неї 0. Старий трюк, не думаю, що ви з цим не стикались.
«вообще можно приписать диверсию вселенского масштаба» - приписати що завгодно можна.Це лише від польоту фантазії залежить. Але є і об`єктивні факти.
1. У світлі викладеного в матеріалі, як можна оцінити роботу монобанку, на адресу якого треба надіслати сканкопію паспорту і податкового коду для реєстрації і початку роботи з банком? Завдяки ним, ця операція переходить до розряду «нормальних», «звичайних». А потім хтось питатиме у людини, як може прийти в голову ідея власноруч відправити скани цих документів кому б то ні було.
2. Або як оцінити активне залучення «Універсал банком» своїх клієнтів до «Телеграму» зі стимулюванням підвищеними відсотками вкладів і іншими вигодами? Адже саме у «Телеграмі» працює їх чат-бот, через якій і відсотки стануть вищими, і додасться велика купа всіляких зручностей. «Чого вам боятися? Адже, це наш чат-бот, а не телеграмівський.» - пояснюють у банку. Але для виходу на універсалівського чат-боту потрібно спочатку зареєструвати свій номер телефону на «Телеграмі». І це має бути той самий «банківський» номер, якій автор цього матеріалу, як і інші фахівці з фінансової безпеки, категорично не рекомендують ніде «світити», особливо у соціальних мережах.
Окрім цих двох «кричущих» моментів, є інші, які також підтверджують правомірність фрази «банки тоже хороши», застосованої одним з коментаторів цього матеріалу.
1. Чтобы стать клиентом любого банка - надо предоставить оригиналы паспорта и справки с инн-кодом, с которых сотрудник банка снимает ксерокопии либо отсканирует их и отошлёт по электронке в головной офис.
Результат один и тот же - копии ваших документов уходят в банк, а дальше вам остаётся надеяться на чудо и честность всех сотрудников банка, причастных к обработке и хранению ваших персональных данных.
За всё время работы с более чем тридцатью банками, сотрудники всего двух банков - Надра и Укрпромбанка отличились и «слили» скан-копии моего паспорта и справки с инн-кодом мошенникам.
Не вижу никакого смысла упрекать сотрудников Монобанка в том,
что они ещё не совершили, да и вам не советую наводить тень на плетень...
2. Как оценить - да примерно также, как обслуживание в украинском Альфа-банке с российским частным капиталом.
Если вас это сильно смущает - не используйте ни «Телегу» ни его чат-бот, а заказывайте бонусы от Минфина.
Кстати, что у Киевстара что у Водафона в акционерном капитале есть и российские корни.
А по слухам, из этих компаний в 2014 и 2015 годах были утечки клиентских баз в РФ,
а значит ваш финансовый номер телефона там уже давно известен.
Резюмирую: волков бояться - в лес не ходить.
https://minfin.com.ua/blogs/kingcity/123428/