Збиток, який завдали кіберзлодії у 2018 році, перевищує 25 мільйонів гривень. З них вдалося повернути тільки 16 мільйонів. Зловмисники дуже винахідливі: коли старі методи втрачають ефективність, в хід ідуть нові хитрощі.
Свіжу статистику кіберзлочинів за 2018 рік і ключові тенденції інтернет-шахрайства оприлюднила Українська міжбанківська асоціація членів платіжних систем ЄМА. «Мінфін» обрав для читачів найактуальнішу інформацію.
Старе недобре банкоматне шахрайство
Ще пару років тому шахраї масово використовували технологію кеш-треппінг (Cash Trapping). На отвір для видачі грошей встановлювали накладку зі скотчем, яка зовні не відрізняється від «шторки» банкомату. Така пастка не дозволяла купюрам вийти назовні — вони прилипали зсередини до двостороннього скотчу. Власник карти думав, що банкомат несправний і йшов ні з чим. А його готівка діставалася шахраям. У 2015-16 рр. було безліч подібних випадків, але вже до 2017-го ситуація змінилася. Масштабна інформаційна кампанія дала свої плоди. У 2018 році було зафіксовано всього 90 випадків кеш-треппінга.
Кількість випадків кеш-треппінга
Дані Асоціації ЄМА
Ще один популярний вид банкоматного шахрайства — скіммінг (skimming). Злочинці встановлюють в картрідер банкомату спеціальний пристрій, який копіює дані магнітної смуги банківської карти. За допомогою цієї інформації злочинці виготовляли дублікат карти і потім без зусиль спустошували рахунок. Дізнатися пін-код — теж не проблема. Для цього зловмисники встановлюють веб-камери неподалік від кеш-машин.
Деякі пристрої виявити візуально практично нереально, тому порада — прикривайте клавіатуру рукою, коли вводите пін-код.
Оскільки банки стали випускати більше чіпових карт, частота даного виду шахрайства трохи знизилася, але все-одно залишається досить високою.
Кількість випадків скіммінгу
Дані Асоціації ЄМА
Нові технології — нові види шахрайств
За останні пару років в Україні різко збільшилася кількість безготівкових транзакцій: поповнення мобільних, переказ між рахунками, покупки в інтернеті. А в минулому році наша країна стала четвертою в світі за кількістю безконтактних платежів. І це величезне поле можливостей для інтернет-шахраїв.
Тенденції розвитку шахрайства за видами
Дані Асоціації ЄМА
Особливо популярні й ефективні способи шахрайства із застосуванням методів соціальної інженерії. Про них розповімо докладніше.
Термін соціальна інженерія має на увазі, що зловмисники отримують доступ до закритої фінансової інформації, використовуючи знання людської психології та низький рівень фінансової грамотності населення. У соціальній інженерії безліч інструментів, серед них — фейкові веб-сайти, дзвінки по телефону, фальшиві смс-повідомлення, фіктивні продавці та несанкціонований перевипуск SIM-карти.
Фішингові сайти ловлять легковірних «рибок»
Фішингові сайти — це фіктивні інтернет-ресурси, які часто копіюють сайти справжніх інтернет-магазинів, платіжних систем і т.д. Аферисти створюють їх спеціально для збору даних платіжних карт: номера, періоду дії, CVV-коду.
Довірливим користувачам пропонують послуги переказів з картки на картку або поповнення мобільного телефону. На «липові» сайти заманюють низькими тарифами і мінімальними сумами комісій. Зібрані дані потім використовують для транзакцій в інтернеті — злочинці переказують гроші на заздалегідь підготовлений рахунок або оплачують ними покупки. Пік популярності фішингових сайтів припав на 2016 рік. Зараз це вже не найприбутковіший спосіб інтернет-шахрайства.
Показовим є експеримент «Гуманний фішинг», який проводили співробітники Асоціації ЄМА у 2018 році. Вони створили фіктивний сайт для онлайн-платежів з вельми красномовним слоганом «Заробляємо не на комісії, а на довірі людей». Його активно рекламували за допомогою контекстної реклами. За 13 днів експерименту в «сітки» потрапило більше 7,5 тисячі «рибок». Перед тим, як користувач здійснював оплату, йому пропонували почитати умови договору, в якому розповідалося про те, що сайт не справжній. Однак більше 4 тис. людей, а це 55%, перейшли далі, не читаючи.
Цього разу для «рибок» все закінчилося добре, але в цілому результати експерименту гнітючі. Примітно, що 48% користувачів, які попалися на вудку, — це молоді люди 25-34 років, 60% з них — жінки.
Вішинг (vishing) та смішинг (smishing): гра на довірі
Вішинг — телефонне шахрайство. Злочинці можуть зателефонувати власнику платіжної картки, наприклад, від імені співробітника банку і розповісти, що його рахунок заблокований або з нього зняли гроші. Щоб вирішити цю проблему, їм потрібно отримати дані карти. Довірливого власника картки також можуть попросити перевести гроші з нібито «заблокованого» рахунку на новий.
Діють винахідливо, наприклад, просять назвати номер відділення, в якому була відкрита карта. Більшість людей цього не знає, а шахраї «підказують», що номер відділення — це 3 цифри на звороті картки (код CVV).
Смішинг — це схожий виверт, але за допомогою SMS. Аферисти часто використовують його як підготовку до вішингу. Поширений прийом — повідомлення про те, що користувач виграв грошовий приз або автомобіль і йому потрібно надати додаткову інформацію, тобто дані карти.
Фіктивні покупці і продавці. Перші зазвичай працюють в парі: перший «переводить» гроші за товар, другий — інформує продавця від імені банку, що гроші зараховані на рахунок, але для підтвердження операції потрібні дані карти. Фіктивні продавці маскуються під реальних, виманюючи передоплати за неіснуючий товар.
Порада: якщо ви часто робите покупки через інтернет, для онлайн-оплат краще користуватися віртуальною картою.
Перевипуск SIM-карти фінансового номера, який прив'язаний до платіжної картки — ще один популярний спосіб інтернет-шахрайства. Під загрозою — передплачені номери: з їх допомогою шахраї отримують доступ до кодів і паролів, які банк відправляє клієнту для підтвердження платіжних операцій.
Позитивна тенденція 2018 року — все більше клієнтів при підозрілих обставинах звертаються на гарячу лінію банків, а не йдуть на поводу у шахраїв. Тому сукупний розрахунковий дохід інтернет-зловмисників за останній рік впав в рази.
Сукупний розрахунковий дохід шахраїв, млн грн.
Дані Асоціації ЄМА
Якщо розглядати середню суму шахрайської операції, то методи соціальної інженерії із заміною SIM-карти приносять аферистам набагато більший дохід. Щоб зменшити ймовірність злому, в Приватбанку радять завести окремий, захищений 8-значним пін-кодом фінансовий номер.
Допоможе зменшити кількість подібних злочинів тісніша співпраця банків і мобільних компаній.
Середня сума шахрайської операції у 2018 році, грн.
Дані Асоціації ЄМА
У більшості випадків уберегтися від шахраїв допомагає уважність, здоровий глузд і моніторинг інформації через Google. Наприклад, номер підозрілого телефону можна перевірити на сайті Чертофон — це чорний список телефонів шахраїв, який оновлюється щодня. У 2018 році база налічувала вже 5 139 телефонів та 2 288 ІПН.
Світлана Волкова