Що розповіли читачі «Мінфіну»
Напади шахраїв на карткові рахунки, що почастішали, підтверджують і наші читачі.
Наприклад, клієнтка Приватбанку Ольга Чепур розповіла, як у неї викрали кошти з зарплатної картки, і запевнила, що сама не підтверджувала списання коштів.
Власниця картки monobank Наталія Руссу залишила у відгуках про роботу банків схожу історію — гроші зникли без жодних підстав, та ще й у нічний час. У цей час людині легко пропустити повідомлення банку про списання коштів, через що рахунки блокуються із запізненням та можуть бути повністю спустошені злочинцями.
Про незаконне списання коштів ми також дізналися від Ольги Мороженко, яка обслуговується у державному Приватбанку. Причому, у її випадку це були кредитні кошти. Тому в результаті у неї утворився борг, за яким банк ще й нараховує відсотки, і списує їх із рахунку.
У своєму звіті фінустанова свідчить, що скарги на дії шахраїв розглядаються до 120 днів. Тож відсотки можуть продовжувати нараховувати весь цей час. Людина стає заручником ситуації, і втратить гроші навіть, якщо будуть доведені злочинні дії шахраїв.
Читайте також: Як шахраї обманювали українців на початку війни
Шахраї вдарили разом із окупантами
У банках підтверджують активізацію карткових злочинців після початку війни.
«У середньому, до нас щомісяця надходить близько 1000 скарг клієнтів на шахрайські дії. Найзавантаженішими у 2022 році були лютий (особливо перші тижні після початку активних військових дій) та червень. У січні 2023 року ми отримали не більше 600 скарг, це співвідноситься з даними минулих років», — повідомив керівник центру моніторингу транзакцій ПУМБ В'ячеслав Пузанов.
Експерти пояснюють сплеск активності шахраїв як жагою наживи, що зростає, так і загальним збільшенням безготівкових платежів в Україні.
«Думаю, що нова хвиля шахрайства пов'язана зі сплеском онлайн-платежів. Повітряні тривоги та блекаути змусили багатьох українців змінити споживчі звички. Це стосується, зокрема, і тих, хто був не дуже активним учасником різних онлайн-платформ. Свою роль відіграв і ажіотажний попит на різні енергопристрої — генератори, павербанки, зарядні станції. У такі періоди шахраям особливо легко переконати людей», — уточнив «Мінфіну» керівник управління електронної комерції Юнекс Банку Олександр Козаченко.
Збільшення кількості розрахунків картками нещодавно підтвердила свіжа статистика Нацбанку. У ній відзначається зростання у III кварталі 2022 року кількості безготівкових операцій на 8% (до майже 2 млрд), обсягу — взагалі на 60% (до 1,3 трлн грн). Загальна кількість карткових транзакцій (безготівкові розрахунки + отримання готівки) досягла 2,2 млрд на загальну суму 1,9 трлн грн.
Регулятор порівняв дані січня-вересня 2022 року з аналогічним показником 2021-го, і відзначив зростання частки безготівкових платежів із 45% до 68,1% за останню п'ятирічку (в загальному обсязі операцій).
Читайте також: Платіжне шахрайство: старі технології — нові сценарії
Як обкрадають шахраї
Найпоширенішим методом крадіжки даних, а потім і грошей українців, є соціальна інженерія. В Українській міжбанківській Асоціації членів платіжних систем ЕМА «Мінфіну» повідомили, що оцінюють приріст таких крадіжок із 92% у 2021 році до 99% у 2022-му. Втрати в інтернеті незрівнянно менші.
У ЕМА оцінюють розрахунковий дохід карткових шахраїв у 2022 році на рівні 968,5 млн грн, а разом із інтернет-крадіжками — понад 1 млрд грн.
Фінансисти запевняють, що атаки хакерів і злами банківських баз даних відбуваються вкрай рідко.
«Безпосередніх спроб хакерських атак із метою крадіжки коштів із банківського рахунку практично не відбувається, тому що обійти систему банківського захисту в такий спосіб надто складно. Банки постійно удосконалюють свої системи безпеки. За нашими даними, 90% усієї шахрайської активності через віддалені канали доступу до рахунку (мобільний додаток, десктоп-версія інтернет-банкінгу) відбувається виключно за участю клієнта, а не за допомогою злому», — наголосив В'ячеслав Пузанов.
Небагато трапляється й випадків внутрішніх розкрадань даних про рахунки українців. Хоча вони є. Про один із них стало відомо з офіційної інформації Офісу Генпрокурора та СБУ якраз у середині лютого після затримання злочинців. Їх звинуватили у розкраданні 100 млн грн із рахунків мешканців окупованого Маріуполя. Працівники правоохоронних органів повідомили, що шахраї викрали персональні дані майже 4 тис. мешканців після захоплення філій місцевих банків. У тому числі загиблих українців та людей, які примусово вивезені до РФ.
Після крадіжки інформації про карткові рахунки та їх власників зловмисники зверталися до українських банків від імені вкладників, отримували доступ до їхніх сторінок в онлайн-банкінгах, а потім обкрадали рахунки. До організації причетне злочинне угруповання з тимчасово окупованого Донецька, яке, як запевняють наші силовики, координувало свої дії зі спецслужбами РФ.
У Генпрокуратурі уточнили, що вкрадені гроші далі перераховувалися через криптобіржі (зокрема, представникам «Л/ДНР») та використовувалися на користь терористичних організацій. Після проведення обшуків у ході кримінального розслідування було накладено арешти на криптоактиви вартістю 65 млн грн.
«Подібні історії не мають масового характеру, хоча це й не перший подібний випадок. Ще є кейс із крадіжкою даних про карткові рахунки військових, які зникли безвісти. Щодо нього ще триває слідство. Якби таких схем було багато, це було б відомо. Тому впевнений, що вони не надто поширені», — прокоментував «Мінфіну» ситуацію директор Української міжбанківської Асоціації членів платіжних систем ЕМА Олександр Карпов.
Як обдурюють людей
Найпопулярніша серед аферистів соціальна інженерія має одну мету — виманити в людини реквізити її карткового рахунку або обманом змусити жертву самостійно переказати шахраям гроші.
В'ячеслав Пузанов із ПУМБу розповів «Мінфіну» про три найпоширеніші схеми:
• Телефонне шахрайство. Злочинці можуть зателефонувати власникові карткового рахунку, наприклад, від імені співробітника банку, та розповісти, що його рахунок заблоковано або з нього зняли гроші. Наголошуючи, що, для усунення проблеми, їм потрібно отримати дані картки. Довірливу жертву також можуть попросити переказати гроші з нібито «заблокованого» рахунку на новий.
• Перевипуск sim-картки та крадіжка фінансового номера, прив'язаного до платіжної картки. Таким чином шахраї отримують доступ до кодів та паролів, які банк надсилає клієнту для підтвердження платіжних операцій.
• Шахрайство за допомогою SMS. Аферисти часто використовують sms-повідомлення як підготовку до фішингу. Поширений прийом: повідомлення про те, що користувач виграв грошовий приз чи допомогу від держави/благодійних фондів. Нібито для отримання цих грошей людині потрібно надати додаткову інформацію, тобто дані картки. Щоб не стати жертвою злодіїв, у жодному разі не можна повідомляти стороннім персональні дані: CVV-код зі звороту банківської картки, секретні коди з sms, паролі, ПІН — коди від картки та логін-пароль від інтернет-банкінгу.
Найактивніше аферисти зараз крадуть карткові дані, обіцяючи українцям виплатити різну міжнародну допомогу.
«Як приклад, можу навести sms-повідомлення або новини в соцмережах/месенджерах про виплату допомоги від міжнародних організацій, де відразу вказується і посилання на сайт, на якому потрібно внести свої дані за карткою. Таким чином шахраї отримують конфіденційні дані. Насправді заявку на отримання допомоги можна оформити лише на платформі Єдопомога. Єдине достовірне джерело інформації щодо виплат — це офіційні сайти держорганів та банків», — розповіли «Мінфіну» у пресслужбі Приватбанку.
Ще одна популярна схема побудована на підроблених вебформах введення даних картки при оплаті товарів онлайн.
Найчастіше точкою входу на ці фейкові вебінтерфейси стають онлайн-майданчики різних дощок оголошень. Шахраї просять передоплату за товар, направляючи користувача на таку фейкову вебформу. Зловмисник в онлайн-режимі бачить усі дані, які вводить власник картки та паралельно ініціює звичайний p2p-переказ із його картки на сторонньому сайті на ту ж саму суму, тим самим викликаючи реальну процедуру двофакторної автентифікації 3DS", — пояснив Олександр Козаченко.
Він уточнив, що власник картки в цей момент спрямовує цілком реальний захисний код (у вигляді SMS або push-повідомлення в мобільний банкінг), навіть не підозрюючи, що він стосується абсолютно іншої операції.
«Шахрай бачить код, коли користувач вводить його у фейкову форму. Йому залишається лише завершити „свою“ операцію, підтвердивши її реальним кодом підтвердження. Якщо операцію здійснено з введенням 3DS-коду, оскаржити її дуже складно. Такі кейси існують, але базово вважається, що, якщо транзакція пройшла з 3DS, її ініціював користувач. У переважній більшості випадків, понад половини, винним буде визнаний користувач», — визнав Козаченко.
Як захистити гроші
Головне правило безпеки, про яке банкіри закликають завжди пам'ятати, — збереження в таємниці реквізитів карткового рахунку та кодів до нього.
«Це — PIN-код, пароль до банківського додатка, будь-яке повідомлення від банку, CVV-код, термін дії картки — фактично, це всі дані, окрім номера рахунку. Тому неважливо яку причину називає той, хто до вас телефонує і представляється, наприклад, службою безпеки банку. Не існує ситуації, в якій працівник банку вимагав би повідомити конфіденційні дані», — наголосили у пресслужбі Приватбанку.
Опитані «Мінфіном» експерти дали декілька порад людям для безпечного користування картками:
• Придбайте окрему sim-картку, яка використовуватиметься лише як фінансовий номер (підв'язаний до банківського рахунку). Фінансовий номер бажано прив'язати до паспорту. Для цього достатньо пройти віддалену ідентифікацію за допомогою одного із засобів верифікації: Mobile ID, BankID або електронного цифрового підпису (ЕЦП). Якщо немає Mobile ID, BankID або ЕЦП, можна зареєструвати номер, звернувшись до магазину мобільного оператора з паспортом (або документом, що його замінює). Реєстрація номера забезпечить додатковий захист від посягань шахраїв без переходу на контракт.
• Увімкніть 3D-серверну безпеку для безпечних платежів в інтернеті, та активуйте push-повідомлення. У момент здійснення платежу система надсилатиме смс із кодом для підтвердження транзакції. Також можна активувати 3D Secure 2.0 — підтвердження транзакції за допомогою Touch ID/Face ID.
• Завжди перевіряйте адресний рядок браузера, коли робите покупки в інтернеті. Шахраї непогано копіюють реальні сайти, особливо досить прості в реалізації форми введення карткових даних, і навіть отримують сертифікати безпеки https (той самий «замочок» в адресному рядку браузера), проте вони не можуть підробити адресу сайту. Тому після назви банку йтиме якась дивна зайва приписка.
• Вимкніть можливість віддаленого перевипуску існуючої sim-картки. Це найпоширеніша схема, за якою працюють кіберзлодії.
«Хоча майже щодня ми стикаємося з новими видами атак злочинців — від спроб дістатися до конфіденційних даних клієнтів за допомогою програм віддаленого доступу AnyDesk/TeamViewer до фішингових розсилок у месенджерах», — каже В'ячеслав Пузанов.
Також у деяких банках власникам карток пропонують купити страховку від шахраїв, яка в середньому коштує близько 200 грн на рік. Але тут потрібно враховувати, що фінустанова розглядатиме можливість виплати лише після офіційної реєстрації вашого повідомлення про крадіжку грошей з картки у поліції. Тож, наприклад, якщо ви перебуваєте за кордоном і у вас немає можливості звернутися до правоохоронних органів, наявність такої страховки буде марною.
Як повернути жертвам вкрадене
Банкіри запевняють, що людина завжди зможе повернути вкрадені гроші, якщо дотримуватиметься правил безпеки.
«Якщо власник картки сам видав шахраям конфіденційну інформацію, повідомив, наприклад, PIN-код або CVV-код, то його, найімовірніше, визнають винним в інциденті, та не виплатять компенсацію. Це ж зона відповідальності клієнта. Але якщо буде доведено, що дані про рахунок опинилися в руках злочинців не з вини його власника, він, найвірогідніше, зможе повернути втрачене. У кожному окремому випадку банком проводиться розслідування та встановлюються обставини», — запевнив Олександр Карпов.
Найскладніше з платежами в інтернеті, які фінансисти радять підписувати кодом 3D Secure.
«Якщо операцію проведено з введенням 3DS-коду, оскаржити її дуже складно. Такі кейси існують, але базово вважається, що, якщо транзакція відбулася з 3DS, її ініціював користувач. У переважній більшості випадків, понад половини, винною буде визнана людина. Якщо операцію було проведено без 3DS — провину з високою ймовірністю буде покладено на торговця», — навів приклад Олександр Козаченко.
На банк фінансова відповідальність покладається при зламі баз даних, при крадіжці клієнтської інформації.