В 2018 році йшлося про значно меншу суму — 245 млн грн. Про це, під час прес-брифінгу про платіжне та банкоматне шахрайство, заявила заступник директора Української міжбанківської асоціації членів платіжних систем ЄМА Олеся Данильченко. «Мінфін» зібрав основні «винаходи» шахраїв та головні методи захисту від них.

Топ-5 актуальних схем платіжного шахрайства

  • Entertaiment fraud, або розважальне шахрайство

Виманювання грошових коштів або реквізитів картки, замасковане під онлайн-бронювання житла чи авто, онлайн-продаж транспортних документів чи туристичних подорожей, квитків у кінотеатри, на концерти чи спортивні події тощо.

  • Employment fraud, або шахрайство з працевлаштуванням

Афери з працевлаштуванням та заробітком в інтернеті, коли шахраї виманюють грошові кошти, реквізити картки та паспортні дані, втягують у злочинну діяльність.

  • Підмінні веб-сайти

Шахрайські веб-сайти, замасковані під сайти банків, фінансових сервісів та торговельних майданчиків, виманюють у громадян гроші, реквізити картки, ключі та паролі доступу до інтернет-банкінгу чи додатку на телефоні.

  • Телефонне шахрайство

Зловмисники через маніпуляції виманюють під час телефонного дзвінка реквізити картки, SMS-паролі та ідентифікаційні дані.

  • Перевипуск сім-картки

Дистанційна заміна сім-картки без відома її власника, щоб вивести гроші з його банківського рахунку, оформити шахрайські кредити на його ім'я або заволодіти приватною інформацією і шантажувати жертву тощо.

Старі та перевірені методи досі успішно працюють, але постійно модифікуються. Кіберзлочинці навіюють страх, задурюють голову та навіть манять романтикою.

Читайте також: Подзвони мені, подзвони: які смс надсилають шахраї

Нові винаходи шахраїв

Переадресація

Зловмисники вигадали, як отримати доступ до вхідних дзвінків та повідомлень жертви. Завдяки психологічному впливу, вони змушують набрати на телефоні певну послідовність символів. Така комбінація є згодою на переадресацію сім-картки.

«Всі адресовані вам телефонні дзвінки та смс-повідомлення опиняться на мобільному телефоні шахрая. Зрозуміло, що їх цікавлять тільки сповіщення від банків», — пояснює Раїса Федоровська.

Голосове меню

Шахраї використовують поради банків, щоб завоювати довіру громадян. «Нікому не передавайте код, який надійде в повідомленні», — запевняють жертву. Натомість рекомендують включити інтерактивне голосове меню і продиктувати цифри в тоновому режимі після сигналу. Самі тим часом прослуховують секретний код.

Код-підтвердження для входу в інтернет-банкінг чи інших операцій з банківською карткою, таким чином, опиняється в руках зловмисників.

Віддалений доступ

За словами керівника ЄMA Academy Раїси Федоровської, шахраї телефонують від імені співробітника банку і просять встановити на телефон програму віддаленого доступу. Таке прохання вони пояснюють турботою банку про клієнта: мовляв, пристрій заражений вірусом, який знищить всі дані, і банк хоче попередити цю ситуацію.

Жертва встановлює «антивірусне забезпечення» — отже, дає повний доступ до свого пристрою. Після цього аферисти виводять кошти. «Якщо у вас iPhone, шахрай отримає частковий доступ, лише на перегляд екрану. Та це не завадить керувати кроками клієнта, а той вже власноруч перерахує кошти зловмиснику», — говорить Раїса Федоровська.

«Безпечний» рахунок

Найефективніший спосіб змусити жертву виконувати бажання зловмисників — попередити про небезпеку. Дзвінок «від працівника банку» сповіщає, що рахунок клієнта заблокований або злодії намагаються вивести гроші. Все, що варто зробити, — переказати кошти на «безпечний» рахунок. Головна умова — діяти негайно. Це штовхає невдаху надіслати гроші на рахунок шахрая.

Схеми з працевлаштуванням

З’явилося два нових розповсюджених способи виманити кошти у тих, хто шукає роботу.

«Перший — кадрове агентство, яке обіцяє багато пропозицій від роботодавців. Але спочатку кандидат має зробити і надіслати селфі з паспортом. Другий — робота вдома, наприклад, набір тексту чи сортування кавових зерен, за яку аферисти просять заплатити завдаток, своєрідний гарантійний внесок», — розповідає Раїса Федоровська.

За бажання працювати вдома доведеться заплатити, але один раз. Натомість, надсилаючи фото документу, ви ризикуєте отримати кілька кредитів в МФО, які дають позики онлайн, та довго сплачувати заборгованість.

Онлайн-обмінники

Все більше товарів та послуг ми шукаємо і оплачуємо онлайн. Щоб перевірити сайт, достатньо за кілька хвилин почитати відгуки в інтернеті чи подивитися чорний список. На жаль, громадяни ігнорують заходи безпеки та купуються на зручність і легкість здійснення операцій. Тому часто кошти зникають на невідомих рахунках чи номерах мобільних телефонів.

Свіжий приклад. Аферисти створили шахрайський сайт mobilpay.com.ua, який працює під виглядом обмінника і має безліч сторінок-клонів. Через нього користувачі здійснювали грошові перекази з особистого мобільного рахунку на банківську картку. Зловмисники підмінювали номер отримувача. Таким чином, гроші списувалися з мобільного рахунку, а на банківську картку не потрапляли, поповнюючи баланс картки шахрая.

За даними лише одного платіжного сервісу, завдяки mobilpay.com.ua за 54 доби шахраї отримали понад 120 тис. грн чистого прибутку. Кіберполіція веде слідство.

Тенета для романтиків

Чим більше аферисти знають про людські слабкості та бажання, тим легше їм створювати нові приманки. Романтичне шахрайство прийшло до нас з Європи. Зловмисники шукають жертв у соціальних мережах та на сайтах знайомств. Потім розсилають їм романтичні електронні листи — і будь-яким способом виманюють гроші.

Набула популярності схема з кінотеатром. Самотня жінка чи чоловік спокушаються на запрошення незнайомця провести романтичний вечір разом. Аферист обирає на свій смак приватний кінотеатр для двох. Далі — прохає придбати квитки у кіно. Жертва оплачує їх за посиланням на шахрайському сайті, наприклад, worldlotteryplace.com, після чого «прекрасний» незнайомець чи незнайомка зникає.

Часто зловмисники маніпулюють почуттями до близьких людей. Не втрачають дієвості фрази: «кохана, я в біді» або «мама, я в лікарні».

Фальшиві інвойси

Новий вид шахрайства — схеми з інвойсами, тобто документами, які надсилає продавець покупцеві при оплаті товару. Інвойс містить інформацію про ціни та кількість товарів і послуг, які замовляє покупець.

Шахраї, довідавшись про те, що жертва чекає певне замовлення, надсилають на пошту фальшиві листи з іншими реквізитами. «В такому випадку це вже стосується не тільки фізичних, а й юридичних осіб. Великі компанії перераховують великі суми на шахрайські номери», — коментує Олеся Данильченко.

Читайте також: Картки, гроші, телефон: як шахраї крадуть гроші з банківських рахунків

Скільки виманюють у жертви

В 65% від загальної кілокості усіх інцидентів шахраї використовували інтернет та психологічний вплив на жертву. Застосовані психологічні прийоми дозволяють аферистам дізнатися конфіденційні дані клієнтів банків або заманити фейковими пропозиціями.

Сукупний розрахунковий дохід шахраїв 2018/2019 (млн грн)

Джерело: ЄМА

У 2019 році середня сума шахрайських операцій з використання методів психологічного впливу (соціальної інженерії) зросла з 2 333 до 3 400 грн. Для порівняння: середня сума крадіжки в інтернеті в 2019 році становила 336 грн. Найбільший дохід принесла зловмисникам заміна сім-картки — в середньому 6 200 грн.

Середня сума шахрайської операції 2018/2019 (грн)

Джерело: ЄМА

За даними ЄМА, протягом 2019 року було викрито 352 шахрайських та фішингових сайти. А до міжбанківського «чорного» списку потрапили 1268 мобільних телефонів аферистів.

Внесено до міжбанківського чорного списку (од. осіб)

Джерело: ЄМА

Як захиститися від психологічного впливу

Найефективнішою зброєю проти шахраїв може бути тільки фінансова грамотність.

7 правил мудрого параноїка:

  1. Не використовуйте ваш фінансовий номер в соціальних мережах, оголошеннях, не залишайте його для контактів з клієнтами. Перейдіть на контрактне обслуговування фінансового номеру. Якщо не бажаєте платити зайве, можна залишитись на передплаті. Для цього треба надати свої документи мобільному оператору, за якими вас будуть ідентифікувати, зареєструватися в персональному кабінеті та відключити віддалений перевипуск сім-картки.
  2. Негайно реагуйте на заміну сім-картки. Якщо прийшло попередження про запланований перевипуск оператором, ви можете відмовитися, на всякий випадок змінивши паролі в інтернет-банкінгу. Якщо сім-картка просто перестала працювати, зателефонуйте спочатку в банк і заблокуйте банківські картки, рахунки, доступ в інтернет-банкінг. Пізніше — повідомте мобільного оператора, що бажаєте повернути номер та негайно заблокуйте всі фінансові акаунти, до яких прив’язаний номер.
  3. Номер банківської картки — єдине, що можна розголошувати телефоном. Для отримання переказу грошей цього достатньо. За жодних умов не повідомляйте трьохзначний cvv-код картки. Ніколи і нікому не повідомляйте смс-паролі від банку та мобільного оператора.
  4. Отримавши несподівану звістку від «співробітника банку», припиніть розмову та самостійно зателефонуйте в банк. Номер вказаний на звороті банківської картки чи офіційному сайті фінустанови. У відповідь на смс «терміново зателефонуйте» — наберіть номер банку.
  5. Не довіряйте знайомим номерам. Номер банку та мобільного оператора можна підмінити. Але підроблене смс-повідомлення не потрапить в ланцюг попередніх реальних повідомлень від банку. Краще зателефонуйте в банк самостійно та перевірте інформацію.
  6. Купуючи товар на olx.ua чи оплачуючи замовлення, відправлене Новою Поштою, використовуйте безпечну доставку. Не переходьте в месенджери, оскільки так шахраям легко направити вас на фішинговий сайт-клон OLX і викрасти гроші та банківські реквізити. Перевіряйте веб-сайти. Перш, ніж сплачувати гроші, переконайтеся, що сайт давно зареєстрований та має гарну репутацію.
  7. Нікому не надсилайте копію паспорту чи ідентифікаційного коду в інтернеті. Ніколи не підтверджуйте особу за допомогою паспорту та ІПН для працевлаштування. Не сплачуйте завдатки. Реальні роботодавці не просять цього. Будьте обережні з легким заробітком. Критично оцінюйте вакансії в інтернеті.

Банкомати досі в зоні ризику

Протягом 2019 року 24% шахрайських афер припали на банкомати. Як і раніше, в тренді скімінг, кеш-трепінг і фізичні атаки.

У порівнянні з 2018 роком, зменшились випадки скіммінгу, тобто клонування картки завдяки спеціальному зчитуючому пристрою на банкоматі, — до 80 зі 102. Найбільше таких крадіжок трапилося напередодні Нового року.

Скіммінг 2015−2019

Джерело: ЄМА

«При знятті готівки в банкоматі треба обов’язково прикривати рукою введення пін-коду, щоб мініатюрна камера не записала ваші дані», — радить Олеся Данильченко.

Натомість кеш-трепінг — пастки з двостороннім скотчем, які не дають готівці вийти з банкомату, — навпаки, почастішав. За 2019 рік зареєстрували 193 інциденти, за 2018 рік — всього 90.

Кеш-треппінг 2015−2019

Джерело: ЄМА

Аби заволодіти готівкою, злочинці нерідко просто зламують банкомат. Кількість фізичних атак на банкомати у 2019 році зросла з 20 до 77, у порівнянні з 2018 р. У більшості випадків зловмисники використовували вибуховий газ. Найбільше подібних інцидентів минулого року зафіксували у місті Дніпро та області.

Фізичні атаки на банкомати 2019

Джерело: ЄМА

Світлана Тартасюк