Національний банк надав тривожну динаміку зі зростання масштабів карткового шахрайства у 2023 році:
- кількість незаконних дій з картками, в ході яких власники зазнали збитків, зросла на 25%, і досягла 272 тис. операцій;
- сума збитків від незаконних дій підскочила на 73%, і досягла 833 млн грн;
- середня сума однієї незаконної операції збільшилася на 39%, і досягла 3 065 грн (було — 2 200 грн).
Регулятор уточнив, що більшість випадків карткового шахрайства були зафіксовані в мережі інтернет — 83%, де середня сума незаконної операції підвищилася з 2 408 грн до 3 150 грн (+31%).
Набагато рідше крадіжки грошей відбувалися через фізичні пристрої — 17% випадків. Йдеться про використання банкоматів, POS-терміналів у касах магазинів та терміналів самообслуговування, які стоять чи не в кожному ТРЦ чи супермаркеті.
Окремо НБУ зазначив, що 80% атак на карткові рахунки людей припадає на соціальну інженерію, і навів декілька прикладів:
- Розсилка шахраями підроблених повідомлень про те, що людина може отримати різноманітну соцдопомогу — від держави чи соцфондів. Під цим соусом шахраї випитують у жертв банківську інформацію, яка дозволяє їх обкрадати.
- Обдзвони українців під виглядом служби безпеки банку або навіть Нацбанку, в ході яких в українців знову ж таки дізнаються дані для крадіжок — реквізити платіжних карток, одноразові паролі тощо.
- Розповсюдження в соцмережах та месенджерах повідомлень про можливість додаткового заробітку або фейкових розсилок із інформацією про дуже вигідні покупки. Також для отримання фінансової інформації.
- Виготовлення дублікату електронної sim-картки від фінансового номера телефону людини (номера, до якого прив'язаний рахунок), щоб виманити коди до банківських додатків та пограбувати їхні рахунки.
Із заяви Нацбанку зрозуміло, що він пов'язує зростання збитків від карткового шахрайства з високою активністю злочинців, уразливістю людей до їхніх схем та загальним збільшенням кількості карткових операцій. НБУ уточнив, що у 2023 році кількість активних карток в Україні зросла на 13%.
З інших звітів регулятора видно, що кількість активних карток (за якими за місяць була хоча б одна операція) в Україні досягла 52,1 млн штук, що вдвічі менше загальної кількості випущених карток (115,1 млн штук).
Як видно з офіційної статистики, кількість POS-терміналів у країні за 2023 рік зросла на 25% (до 449,5 тис. штук), терміналів самообслуговування — на 5% (до 13,3 тис. штук), а банкоматів — на 1,3% (до 15,8 тис. штук)
Читайте також: Нові види шахрайства під час війни та як не потрапити на вудку аферистів
Як на практиці виглядають схеми шахраїв
Раніше, як приклади соціальної інженерії, фішингу, найчастіше наводили події з обманом літніх людей за телефоном, яких лякали лихом близьких, і просили терміново переказати гроші. Тепер же вона все частіше переходить в іншу площину — передача власниками карток своїх даних через підроблені сайти, сервіси.
Начальник управління транзакційних продуктів Юнекс Банку Денис Гавриков розповів нам, що останнім часом злочинці найчастіше застосовують схему із так званою «втраченою посилкою». Людям масово розсилають повідомлення (переважно, у вигляді смс-повідомлень) з інформацією про поштове відправлення: що посилку нібито не вдається відправити одержувачу на некоректну адресу. Відправником можуть вказуватися різні фейкові компанії. Найчастіше в Україні використовують міфічну «Пошту України», але відомі випадки та надходження таких повідомлень від нібито DHL та інших операторів.
У повідомленні одержувача просять перейти за посиланням та ввести коректну адресу. Сайт виглядає цілком автентично, хоча адресний рядок містить досить дивне посилання. Система просить заповнити декілька полів із коректною адресою доставки, що також не викликає великих підозр, а потім сплатити невелику суму — зазвичай, у межах 10−20 грн, — за нібито пересилання втраченої посилки на нову адресу.
«Людина погоджується, адже сума суто символічна, і вводить номер картки, термін дії та код CVV/CVC. У цей час шахраї починають токенізувати карту, тобто додавати її до гаманця GooglePay/ApplePay. Для успішного завершення цієї операції їм потрібен пароль від банку. І вони його отримують знову ж таки від жертви, коли вона вводить його у форму підтвердження нібито платежу за пересилання. Надалі шахраї досить швидко переказують гроші декількома транзакціями з картки за допомогою сторонніх p2p-сервісів», — уточнив Гавриков.
А його колеги кажуть, що після крадіжки шахраї можуть швидко все витратити на різноманітні покупки за кордоном. Останнім часом гроші українців активно виводять до Мексики, Японії та Об'єднаних Арабських Еміратів.
Дубльовані сімки та злом соцмереж
«Шахраї постійно шукають і використовують різноманітні вразливості правил платіжних операцій, встановлених МПС (міжнародних платіжних систем), банківських продуктів і процесів, систем захисту термінального обладнання, систем захисту інтернет-торговців тощо. Встановлення будь-яким способом вірусного програмного забезпечення будь-якого додатку, посилання, перейшовши за яким, автоматично завантажується вірус, який викрадає дані тощо», — розповіла начальниця управління операцій з платіжними картками Ukrsibbank BNP Paribas Group Марія Ботвінікова.
А також зазначила, що злочинці нерідко діють шляхом дублювання або перевипуску sim-картки з номером телефону жертви, який не зареєстрований у мобільного оператора (передоплачені картки). Після цього треті особи можуть відновити доступ до облікового запису користувача в інтернет-банкінгу, в iCloud, Gmail тощо. До тих місць, де люди часто зберігають копії документів, паролі, контакти. Всіх цих даних може виявитися достатньо для отримання віддаленого доступу до рахунку.
Крадіжка персональних даних також може призводити до злому доступу до різних соцмереж, після чого шахраї починають просити про фінансову допомогу від імені своїх жертв, і таким чином красти вже у їхніх друзів чималі суми. Ще в соцмережах все частіше, на жаль, зустрічаються фейкові збори на ЗСУ, лікування/переселення постраждалих від обстрілів тощо. Злочинці не гребують жодним обманом.
Читайте також: Як бізнес мобільних операторів із перепродажу номерів зіштовхує лобами банкірів та їх клієнтів
Як обманюють підприємців
Буває, що до шахрайських схем втягуються підприємці.
«Протягом 2023 року дійсно було декілька кейсів шахрайства, де одержувачами були фізособи-підприємці, але поки що не йдеться про концентрацію. Крім того, з боку банку був налаштований посилений моніторинг щодо ФОП із ризиковими вихідними даними», — повідомив «Мінфіну» заступник керівника напряму «Ризик-менеджмент» — керівник департаменту управління операційним ризиком A-Банку Євген Рудь.
«Для шахрайства з юридичними особами використовуються інші схеми. Наприклад, відкриття підроблених банківських рахунків, куди отримують кошти від потенційного покупця й надалі використовують без відома реального власника. Але вони набагато складніші, ніж просто омана соціально незахищених верств населення», — доповнив його адвокат, керуючий партнер ЮК Winner Ігор Ясько.
Іноді й самі власники карток намагаються заробити на обмані, ініціюючи те, що називається chargeback.
«Спочатку власник рахунку здійснює покупку онлайн чи в магазині, використовуючи свою картку. Після отримання товару або послуги шахрай звертається до банку-емітенту картки і заявляє, що транзакція була несанкціонованою. Банк проводить розслідування та, ймовірно, виносить рішення на користь шахрая, анулюючи транзакцію. Зрештою, продавець зазнає збитків, втрачаючи як товар, так і гроші», — зауважила нам заступниця голови правління Глобус Банку Ганна Довгальська.
Хто потрапляє до зони ризику
Вона наголошує на важливості правильного вибору інтернет-джерел українцями, які виїхали за кордон.
«Багато людей, які виїхали за кордон, роблять більше онлайн-покупок, що робить їх уразливішими до шахрайства. Крім того, не останню роль відіграє незнайоме середовище: люди, які перебувають у новому місці, можуть бути розсіянішими і частіше стають жертвами шахраїв. Знову ж таки, відсутність захищеного інтернету змушує використовувати неперевірені мережі Wi-Fi, тоді як шахраї можуть використовувати незахищені мережі Wi-Fi, щоб перехопити дані з картки», — сказала Довгальська.
«Важливо розуміти, що у всіх випадках шахраї, передусім, намагаються викликати у потенційної жертви почуття катастрофічного дефіциту часу для ухвалення рішення. В одних випадках може йтися про посилку, яку або знищать, або повернуть відправнику. В іншому — про блокування облікового запису, в третьому — про втрату «чудової пропозиції». Отже, будь-які спроби поставити вас у ситуацію поспіху, погрози та тиск, насамперед, мають викликати «червоний прапорець», — вважає Денис Гавриков.
У державному Приватбанку нам повідомили, що більшість шахрайських операцій (60% випадків) вкладаються у суму до 2 тис. грн, там згодні із зазначеною НБУ тенденцією щодо соцінженерії.
«За 2023 рік нами спостерігається зростання випадків соцінженерії та фішингу, щодо аналогічного періоду 2022 року, орієнтовно на 20%. Цьому сприяють довірливість населення, яке опинилося у складних життєвих умовах, і злочинці з легкістю до цього адаптуються, змінюючи свої шахрайські схеми під нинішні умови», — йдеться у коментарі пресслужби Приватбанку для «Мінфіну».
Через це, за словами фінансистів, згодом найчастіше й виникають суперечки між клієнтом і банком — людина не розуміє, що була обдурена шахраями.
«Основні суперечки пов'язані з тим, що більшість клієнтів можуть не усвідомлювати, що вони стали жертвами шахрайства. Шахраї вдало імітують процес отримання таких послуг, натомість, виманюючи всю необхідну інформацію для отримання доступу до рахунків клієнтів», — пояснила «Мінфіну» головна експертка з питань інформаційної безпеки Райффайзен Банку Катерина Мащенко.
Читайте також: Блокування рахунків, дивні боти та шахрайство на в'єтнамські донги
Як захистити рахунок
У пресслужбі Приватбанку заявляють, що зупиняють майже 90% спроб шахрайських платежів в автоматичному режимі. В інших банках говорять про нижчі показники, а реально повернути вдається зовсім небагато із вкраденого, хоча фінансисти запевняють, що у кожному випадку проводять окреме розслідування.
«У середньому вдається зберегти і надалі повернути постраждалим до 30% вкрадених коштів», — повідомив Євген Рудь з A-Банку.
Окрім базових правил безпеки, в яких йдеться про нерозголошення банківської інформації третім особам, зберігання картки в безпечному місці (щоб не вкрали, не загубилася), використання sms-інформування та 3D-Secure, Катерина Мащенко з Райффайзен Банку дала власникам карток ще декілька порад:
- Заблокувати телефон паролем.
- Заборонити виведення sms/Viber-повідомлень (і додатків, де ви отримуєте повідомлення від банку) на заблокованому екрані телефону.
- Увімкнути пароль для розблокування sim-картки.
- Не зберігати в месенджерах, повідомленнях або нотатках телефону дані карток, логін та пароль для входу в онлайн-банкінг.
- Налаштувати двофакторну автентифікацію для месенджерів.
Усі фінансисти зазначають, що завжди потрібно бути уважними та обачними, і не переходити за підозрілими посиланнями, не завантажувати невідомі застосунки/програми. В ідеалі, використовувати для інтернет-платежів окрему картку.
У деяких банках також радять купити страховку від шахраїв, яка покриває збитки, навіть якщо власник порушив правила користування рахунком і сам мимоволі передав фінансову інформацію злочинцям. Це може коштувати не дуже дорого — 20−30 грн на місяць.
Проте, завжди варто вивчати умови розгляду заявок на виплату за такими страховками. Нерідко вони підходять лише тим, хто не виїхав за кордон, а залишається в Україні. Оскільки від постраждалої сторони потрібно особисто подати заяву про крадіжку до правоохоронних органів та надавати копію документа банку. Що не завжди можна зробити у віддаленому форматі, потрібно перебувати у країні.
У банків виграють суди
Водночас, фінансисти визнають, що крадіжок із рахунків не завжди вдається уникнути, навіть вживаючи необхідних запобіжних заходів. Тому настійно рекомендують максимально оперативно повідомляти про несанкціоновані перерахування та заблокувати рахунок. А ще люблять повторювати, що не відшкодовуватимуть збитків, якщо в них винен власник рахунку.
«Зауважу, що банк нестиме відповідальність тільки в тому випадку, якщо крадіжка виникла з його вини і вина буде доведена. Проте, вина банку за умов повного захисту персональних даних є малоймовірною. При цьому, якщо винен конкретний співробітник банку з особистих мотивів, відповідальність буде покладено саме на цю людину, а не на банк», — пояснила нам Ганна Довгальська.
Юристи підтвердили «Мінфіну», що, разом зі збільшенням збитків від карткових шахраїв, зросла й кількість позовів після крадіжок грошей з рахунків. Правоохоронні органи найчастіше кваліфікують такі злочини за трьома статтями Кримінального кодексу:
- ст. 190 — заволодіння чужим майном, або набуття права на таке майно шляхом обману або зловживання довірою;
- ст. 200 — незаконні дії з платіжними картками та іншими засобами доступу до банківських рахунків;
- ст. 361 — несанкціоноване втручання у роботу електронних інформаційно-комунікаційних систем.
Стандартна ситуація: потерпіла сторона завжди намагається довести, що в крадіжці коштів із рахунку винен банк, і той зобов'язаний покрити збитки, а банк дуже рідко погоджується це прийняти і робить все, щоб не платити, — намагається довести, що клієнт у всьому винен.
Втім, правознавці зазначають, що святим обов'язком власника рахунку й справді є оперативне повідомлення банку про зникнення грошей, а ось далі відповідальність переходить на банк. І якщо банк у чомусь і спробує звинуватити клієнта, то саме він і зобов'язаний збирати під це доказову базу. Людина не повинна нічого доводити.
«Власник рахунку не несе відповідальності за платіжні операції, скоєні без автентифікації платіжного інструменту та його власника, крім випадків, якщо доведено, що дії чи бездіяльність власника рахунку/власника призвели до втрати, незаконного використання ПІН чи іншої інформації, що дозволяє ініціювати платіжні операції. І це має доводити саме банк, а не клієнт.
Банк майже завжди відмовляє клієнту у заяві про відшкодування коштів і наказує звертатися до поліції та суду, бо не може встановити ініціатора та правомірність платіжної операції. Або посилаючись на те, що відшкодування має робити той, кого в судовому порядку було визнано винним і притягнуто до відповідальності.
Чому? Тому що тільки після відкриття кримінального провадження слідчі можуть отримати дані про рух коштів, оскільки таку інформацію банки не надають на запит особи", — пояснив «Мінфіну» ситуацію Ігор Ясько з юрфірми Winner.
А також розповів, що нерідко такі справи доходять до Верховного суду, і вже у ВС із банків стягують вкрадені суми. Хоча багато чого залежить від конкретної суперечки.
Ясько розповів про справу, в якій банк посилався на «Умови та правила надання банківських послуг», за якими фінустанова не несе відповідальності за несанкціонований доступ до ПІН-коду клієнта у разі відсутності у самого клієнта відповідного ліцензійного програмного забезпечення, відсутності антивірусних та антишпигунських програм, що забезпечують захист від несанкціонованого доступу до інформації до комп'ютера власника рахунку.
Але суд визнав таку позицію необґрунтованою, до того ж, нічого з цього банк не довів.
«Наприклад, ухвала ЗСУ у справі 202/10128/14-ц від
Постраждалим радять користуватись цими прецедентами для захисту своїх інтересів.
Читайте також: З карткових рахунків українців у 2022 році вкрали мільярд: чому збільшується кількість пограбувань
Що ще радять юристи
Після заяви банку про шахрайство та блокування картки юристи радять вимагати у банку квитанції про списання коштів або отримати їх в інтернет-банкінгу самостійно. А потім звернутися до місцевого відділення поліції.
Потрібно зібрати інформацію, що підтверджує факт скоєння злочину: чеки про оплату, квитанції з банку про проведення грошових операцій, роздруківки оголошень, посилання на сайт. Після цього написати заяву та надати свідчення правоохоронцям.
«Якщо винуватця буде знайдено, після його притягнення до кримінальної відповідальності, можна звернутися до суду за відшкодуванням матеріальної та моральної шкоди. Крім того, можна звернутися до банку із заявою про помилковий переказ коштів або до суду з позовом про повернення безпідставно набутих коштів до власника банківського рахунку, на який здійснено зарахування коштів. Погана новина у тому, що недостатньо успішних кейсів повернення таких коштів, тому дуже важливо не розголошувати персональні дані, не повідомляти нікому дані банківських карток, купувати лише у перевірених магазинах, перевіряючи безпеку з'єднання», — визнав Ясько.
Водночас, юристи визнають, що коли банку не вдається довести, що власник рахунку розголошував фінансову інформацію або грубо порушував інші платіжні правила, то найчастіше суд стає на його бік, і змушує банк покрити збитки.