Кража паролей и ПИН-кодов от банковских карт, списание денег со счета без ведома владельца, продажа фиктивных товаров в интернете – все это виды финансового мошенничества, на которые все еще попадаются украинцы. Преступники маскируются под сотрудников банков и даже представителей Нацбанка, спекулируют на чувствах доверчивых клиентов, делая все, чтобы выманить как можно больше денег. Как распознать мошенника и уберечь свои средства, об этом Maanimo рассказали банкиры.
КомментарииСергей Соловей, начальник отдела информационной безопасности АО «АБ «РАДАБАНК»:
В последнее время мошенники все больше используют инструменты социальной инженерии с целью незаконного завладения средствами. В частности, это касается как звонков с неизвестных номеров на телефоны клиентов банков Украины, так и объявлений на интернет-страницах о продаже фиктивных товаров. В последнее время стала поступать информация, что при звонках на мобильные телефоны мошенники начали представляться сотрудниками Национального банка Украины, которые осуществляют мониторинг за оборотом средств на платежных карточках, и пытались получить конфиденциальную информацию у держателей платежных карточек.
Конечно, за время пандемии экономическая ситуация в стране ухудшилась, и граждане несколько снизили свою активность на интернет-аукционах и сайтах, где размещаются объявления о продаже подержанных товаров. Поэтому мошенникам стало сложнее незаконно завладеть тем количеством средств, которым они могли легко завладеть раньше.
Банковская система Украины, конечно же, предпринимает ряд мер, призванных обезопасить граждан Украины (клиентов украинских банков) от неосторожных действий и потери средств в конечном итоге.
АО «АБ «РАДАБАНК» разработал ряд документов для своих клиентов, в которых четко описаны простые правила, которые нужно соблюдать при работе с безналичными средствами. Это касается не только правил работы с системами дистанционного обслуживания счетов (интернет-банкинг, мобильный банкинг и т. п.), но и при использовании платежных карт. РАДАБАНК постоянно проводит информирование своих клиентов о необходимости соблюдения простых правил использования платежных карточек, создаются и новые документы, которые размещаются в свободном доступе на официальном сайте банка в разделе «О банке - Информация, подлежащая обязательному опубликованию банками Украины - Обеспечение безопасности информации».
РАДАБАНК является активным участником информационной кампании Национального банка Украины «#ШахрайГудбай», целью которой является научить граждан Украины правилам безопасности безналичных и онлайн-платежей.
Обезопасить себя от мошенников очень легко, нужно придерживаться трех основных принципов:
- Никто и никогда из сотрудников любого банка Украины, и тем более Национального банка Украины, не будет звонить на мобильный телефон и делать попытки выяснить номер карты, остаток на счету, сумму последней операции, PIN-код и тому подобное. Единственное что могут сделать сотрудники банка при телефонном звонке клиенту, это сообщить о наступлении какого-то события, например, необходимости прохождения периодической идентификации клиента, истечении срока действия платежной карты и прочее, но просьба будет одна - взять удостоверение личности и для выяснения всех необходимых моментов лично прибыть в отделение банка.Если вам позвонили «сотрудник банка» и спрашивает конфиденциальную информацию - сразу кладите трубку, это - мошенники.
- Никогда и ни в коем случае не перечисляйте средства на платежные карточки незнакомым лицам, когда вы хотите приобрести товар в сети интернет, и объявление размещено на сайтах бесплатных объявлений. Лучше немного переплатить и приобрести товар с использованием наложенного платежа. Да, это будет дороже, но безопаснее. Вы будете четко понимать, за что именно вы перечисляете средства. Этот принцип не относится к официальным интернет-магазинам, уже длительное время работающим в Украине, в которых есть возможность зарегистрироваться, где ведется статистика по заказам, и вы уже ранее делали в этом интернет-магазине покупки.
- Никогда и никому не передавайте свои учетные данные для доступа к интернет-банкингу (логин, номер финансового телефона и пароль) и PIN-код к платежной карточке. Также избегайте осуществления записи такой информации на обратной стороне платежной карты, на куске бумаги, вложенном в кошелек, и других мест, где эти данные могут быть легко считаны. Также будьте внимательны при использовании логина и пароля для доступа к Интернет-банкингу в общественных местах и при введении PIN-кода к платежной карте при работе с банкоматами и расчетах в торговых сетях. Вводите данные так, чтобы их не могли увидеть граждане, находящиеся рядом.
Есть очень много других правил безопасности и методов защиты от мошенников, но даже соблюдение этих трех принципов защитит вас от попыток мошенников незаконно завладеть вашими средствами.
Богдан Горохивский, исполнительный директор направления безопасности АО «Кредобанк»:
Социальная инженерия - это один из самых распространенных видов мошенничества и один из методов несанкционированного доступа к информации или к хранению информации без использования технических средств.
Смишинг (СМС-сообщения, сообщения в мессенджерах) - проведение мошенниками массовой рассылки сообщений с целью получения карточных реквизитов или иной конфиденциальной информации, или указанный в сообщении номер телефона, по которому предлагается позвонить для дальнейшей реализации сценария Вишинг, или же имеется ссылка на фишинговый сайт (sms + phishing).
Вишинг (Телефонные звонки) - метод мошенничества, который заключается в том, что злоумышленники, используя телефонную коммуникацию и играя определенную роль, выманивают карточные реквизиты, логин и пароль онлайн-банкинга, просят выполнить действия с платежной картой в банкомате.
Фишинг - метод мошенничества, цель которого получить конфиденциальную информацию, которую клиент самостоятельно вводит на подменном сайте (похожем на легитимный) для дальнейшего незаконного вывода средств. Фишинг проявляется как в рассылке смс, так и в электронных письмах. Это проведение мошенниками массовых рассылок писем по электронной почте, содержащие в себе ссылки на мошенническую копию официальной веб-страницы банка, платежной системы или компании.
Во время пандемии изменилась специфика мошенников при использовании мошенничества методом социальной инженерии.
С целью сохранения средств клиентов банк:
- На сайте разместил информацию о мерах безопасности при использовании БПК, СДБО (система дистанционного банковского обслуживания);
- При обслуживании в отделении делается акцент на мерах безопасности при использовании банковских платежных карт;
- Периодически информирует клиентов о новых видах мошенничества и мерах безопасности:
- на сайте банка в рубрике новостей
- на странице банка в фейсбук
- средствами Viber/SMS
- Осуществляет мониторинг операций клиента при использовании БПК и систем дистанционного банковского обслуживания.
Что нужно мошеннику?
- реквизиты платежной карты (номер, срок действия, CVV-код, коды с SMS-сообщений)
- логины и пароли к системам дистанционного обслуживания
- коды банков и мобильных операторов (подтверждение операций)
- кодовые слова
- снять лимиты с карты жертвы
- убедить жертву осуществить перевод средств в свою пользу
Как уберечься от социальной инженерии:
- помните, что настоящие работники банка не спрашивают у вас конфиденциальную информацию, а именно срок действия БПК, CVV-код, смс-пароли, логин и пароль к системе онлайн-банкинга;<span
- помните, что мошенники часто работают по несколько человек, а именно один притворяется покупателем, другой - работником банка с целью получить реквизиты вашей карты;
- для зачисления средств на ваш счет отправителю достаточно знать только номер платежной карточки;
- проверяйте, действительно ли вам звонят из банка;
- проверяйте адрес отправителя электронного письма - ложный можно распознать, если внимательно к нему присмотреться;
- будьте рациональны, не доверяйте нереальным акциям, проверяйте наполнение сайта, оплачивайте услуги на проверенных ресурсах;
- обсуждайте детали продажи/покупки товара в пределах личного кабинета на оригинальном сайте торговой площадки. Не переходите в мессенджеры (Viber, Skype, Telegram, WhatsApp и т.д.);
- внимательно проверяйте вебсайты, на которых вы находитесь, если они покажутся вам подозрительными, не указывайте там никаких своих данных.
А также не отвечайте на СМС, где требуют реквизиты платежной карты, пароль к системе онлайн-банкинга или личные данные.
Эксперты Forward Bank:
Наиболее популярными видом мошенничества с платежными картами является мошенничество с использованием методов социальной инженерии (дистанционное мошенничество).
Суть его заключается в том, чтобы под любым предлогом узнать у клиента данные платежной карты (№ карты, срок действия, CVV-код). Для этого чаще всего мошенники звонят клиентам или рассылают СМС-сообщения с ложной информацией о блокировке карты, мошеннических операциях, а для решения вопроса указывают свой номер телефона, на который клиент сам и звонит. В телефонном разговоре с клиентом мошенники могут представляться сотрудником банка, службой безопасности, сотрудником НБУ, полиции, представителем мобильного оператора и т.д. Главное - испугать клиента и в ходе разговора узнать конфиденциальные и личные данные, в том числе данные платежной карты, код подтверждения операции, который приходит клиенту на финансовый номер телефона.
Еще одна распространённая финансовая афера реализуется на торговых площадках (сайты продаж товаров, услуг, трудоустройства и т.п.), в соцсетях. Ее суть - убедить человека внести оплату (предоплату) за товар, которого на самом деле нет. Для этого мошенники размещают объявление о продаже товара, услуги по привлекательной цене (как правило, ниже рыночной), требуют от клиента частичную или полную предоплату. После получения денежных средств, клиента блокируют или перестают отвечать на звонки.
Также имеют место быть такие виды мошенничества, как угон СИМ-карты, установка вредоносного ПО на мобильный телефон через вредоносные ссылки, фишинговые сайты, устройства считывания данных карты в платежных банкоматах(терминалах) и многое другое…
В период карантина, количество мошеннических операций увеличивается, особенно речь идет о дистанционных видах мошенничества, которые не предполагают физический контакт с держателем платежных карт.
Год за годом технологии стремительно продвигаются вперед в своих достижениях и возможностях. Forward Bank пытается быть в тренде, поэтому постоянно работает над модернизацией и усовершенствованием продуктов и сервисов. Для удобства наших клиентов и с целью дополнительной защиты пользователей платежных карт от мошенничества, с начала года мы внедрили две новейшие технологии: обновленный протокол 3D Secure 2.1 и сервис Mobile Check.
Это дополнительный уровень безопасности при осуществлении транзакций наших клиентов в Forward Online. Например, 3D Secure 2.1 позволяет в режиме реального времени осуществлять безопасный обмен данными между продавцом, эмитентом карты и потребителем для подтверждения того, что транзакция инициирована настоящим владельцем счета. Mobile Check - это пока единственный универсальный способ проверки статуса замены SIM-карты перед выполнением высокорисковых операций. Сервис позволяет банку за доли секунды осуществлять проверки сразу у трех крупнейших мобильных операторов. И если замена SIM-карты подтвердится, возможность предоставления дистанционной финансовой услуги будет заблокирована.
Для того, чтобы не попасть в мошенническую схему, рекомендуем придерживаться следующих правил:
- Никому не сообщайте свои пароли и коды
ПИН-код от карты — это секрет, который никому нельзя раскрывать. Лучше не сохранять его в телефоне и тем более не записывать на карте. А при вводе ПИН-кода в банкомате или в магазине желательно прикрывать клавиатуру рукой. На обратной стороне карточки есть CVC/CVV-код — три секретные цифры. Они нужны для оплаты покупок в интернете. Чтобы мошенники не смогли потратить деньги с вашей карты, ни в коем случае не диктуйте и не показывайте никому этот код. Сотрудники банка никогда не спрашивают код с карты, ПИН-код, а также коды из СМС, которые присылает банк. Секретными кодами интересуются только мошенники. Обманщик готов прикинуться кем угодно, чтобы их выведать: не только работником банка, но и родственником, другом или даже незнакомцем, попавшим в беду. Они могут притворяться вашим знакомым, который хочет скинуть деньги вам на карту. И якобы для перевода им нужны номер карты, срок ее действия и CVC/CVV-код. Это тоже обман. Для того, чтобы перечислить деньги, достаточно номера карты. Никакие другие данные не требуются.
- Подключите СМС-оповещения по карте
Вы будете оперативно получать от банка СМС обо всех действиях по карте. Например, о покупках, которые оплачены картой. Эти сообщения нужно читать очень внимательно. Если пришло сообщение о покупке, которую вы не совершали, скорее всего, картой воспользовался мошенник. Стоит сразу позвонить в банк, сообщить о подозрительном СМС и попросить заблокировать карту. Номер горячей линии банка есть на обратной стороне карты. Лучше всего сохранить этот номер в контактах на своем телефоне и, в случае проблем с картой, звонить только по нему.
- Пользуйтесь антивирусами
Очень важно установить антивирусные программы на всех устройствах, которыми вы пользуетесь, — на компьютере, планшете и мобильном телефоне. Антивирус защитит от вредоносных программ и сайтов, с помощью которых мошенники крадут деньги. В интернете можно найти бесплатные версии антивирусных программ с ограниченным функционалом. Главное — скачивать их из официальных магазинов приложений или на сайтах известных разработчиков антивирусов.
- Выбирайте безопасные сайты
Мошенники создают сайты-двойники популярных онлайн-ресурсов. Например, они могут сделать копию сайта банка или вашего любимого онлайн-магазина. Если вы введете там свои пароли, коды, данные карты, то они попадут к мошенникам. Прежде чем вводить данные карты или паспорта на каком-либо сайте, важно внимательно изучить его, почитать отзывы в интернете.
- Не оплачивайте покупки с чужих гаджетов
Делать покупки, заходить на сайт банка или в банковское приложение надо только с личного компьютера, планшета и телефона. Установите пароли на все свои гаджеты. Если потеряете телефон или планшет, на которых было банковское мобильное приложение и куда приходили уведомления и пароли, срочно звоните в банк. Попросите отключить от этого номера телефона все услуги и заблокировать доступ к счету с потерянного гаджета. Поменяйте логин и пароль от личного кабинета в интернет-банке. Когда вы восстановите свой номер у мобильного оператора, можно будет снова подключить к нему СМС-уведомления.
- Не переходите по сомнительным ссылкам из сообщений
Никогда не переходите по ссылкам из писем и СМС от незнакомцев. Это может быть вредоносная программа, которая крадет персональные данные. Но даже если ссылку прислал кто-то из друзей, не спешите ее открывать. Мошенники могли зайти в чужой аккаунт и разослать сообщения от имени знакомого. Обычно за подобными ссылками и архивами скрываются «троянские» программы. Они сами устанавливаются на гаджет, воруют и подделывают ваши данные, в том числе могут переводить мошенникам деньги с ваших счетов. Мошенники очень надеются, что вы им сразу поверите. Они специально торопят вас, чтобы не дать времени перепроверить информацию. Но в денежных вопросах спешка не уместна.
Чаще всего мошенники используют такие схемы:
- Звонит незнакомец и сообщает, что ваши родственники или друзья попали в беду. Мошенник попросит срочно перечислить деньги, чтобы их выручить. Он надеется, что вы испугаетесь и поведетесь на обман. Не спешите переводить деньги: сначала позвоните родным или друзьям и проверьте, все ли у них в порядке.
- Приходит СМС о том, что вам зачислены деньги. Сообщение похоже на уведомление от банка. Тут же звонит какой-то растяпа, говорит, что по ошибке перевел деньги, и просит их вернуть. Просто бросайте трубку. Скорее всего, это мошенник, деньги вам не приходили, а СМС от банка липовое. Позвоните в банк и спросите, приходили ли деньги на счет?
- Знакомая, с которой вы давно не общались, внезапно пишет в соцсети и интересуется вашими делами. Завязывается переписка, во время которой она неожиданно просит одолжить ей денег. Это сразу должно насторожить. Скорее всего, аккаунт вашей знакомой взломали. И мошенника вовсе не интересует, как у вас дела, — ему нужны ваши деньги. Ни в коем случае ничего не переводите. Напишите знакомой в другой мессенджер или позвоните и уточните, действительно ли ей нужна помощь. Если это обман, пометьте сообщение как спам и напишите жалобу администрации соцсети.
Не забывайте, что мошенники постоянно изобретают новые схемы обмана. Ни в коем случае никому не передавайте секретную информацию по карте, даже тому, кто представился сотрудником банка. Никогда не переводите деньги, пока не разберетесь в ситуации. Перезвоните в банк самостоятельно по официальному номеру горячей линии и уточните интересующую вас информацию. Главное — не спешите.
Юрий Задоя, Председатель Правления Конкорд Банка:
Самый распространенный вид мошенничества - это социальная инженерия в самых разных ее проявлениях. Например, это могут быть звонки от так называемой «Службы безопасности», которая сообщает, что карта якобы заблокирована или идут попытки списания, и нужно срочно остановить платеж. Таким образом мошенники пытаются выведывать пароли от интернет-банкинга, номер карты, срок действия, СVV код и так далее.
Отдельной вид мошенничества - это «трейдинговые биржи», которые предлагают прибыль на торгах с ценными бумагами, криптовалютой и прочее. На самом деле они никакого отношения ни к биржам Nasdaq, ни к подобным фондовым биржам не имеют. Тем не менее, они красиво рассказывают о заработке, рисуют красивые графики и так далее. Поверив их словам, люди часто вносят большие суммы денег. Затем мошенники заявляют, что произошел обвал и все свои сбережения клиент потерял. При этом все платежи принимаются на криптокошельки, чтобы не было возможности их отследить.
Часто происходит обман на сайтах знакомств, когда с одинокой женщиной или мужчиной входят в контакт, втираются в доверие, а затем предлагают оформить визу, например, в Великобританию для встречи. Мошенники присылают форму для заполнения, куда человек вносит все свои данные, прилагает копии своих документов. Последний пункт - у будущей жертвы должна быть карта с определенной суммой денег. При верификации нужно ввести номер, срок действия, СVV код и пароль 3d-secure. Естественно, после этого вся сумма с карты утекает в чужой карман.
Подобная схема практикуется и при «оформлении визы на работу за границей». Человеку предлагают заполнить анкету и пройти верификацию карты, прикрываясь тем, что для въезда за границу необходима минимальная сумма на счету.
Распространенным является и скамминг – это разновидность мошенничества, когда организаторы рассылают письма, в которых говорится, что их получатели стали победителями лотерей или же письма, в которых получателям предлагается инвестировать в создание офшорных предприятий и недвижимости. Схема позволяет выманивать у жертв довольно крупные суммы.
Также существует множество фишинговых страниц, которые предлагают сделать перевод с меньшей комиссией, сайты, копирующие сайт банков, крупных компаний, продающих авиабилеты, ж/д билеты, ссылки безопасной сделки ОЛХ, которые кидают мошенники в мессенджерах покупателям.
Еще один из способов - перевыпуск сим-карты. У жертвы отключается телефон, а мошенники приходят в отделение и выпускают сим-карту, при этом они имеют доступ ко всем аккаунтам клиента, интернет банкингу, криптокошелькам, социальным сетям и так далее. Могут не только увести деньги из интернет-банкинга, но еще и взять кредиты на этого человека.
За время пандемии количество мошенников увеличилось, потому что люди в основном сидят дома и покупки совершают онлайн, попадаясь на поддельные магазины, фишинговые страницы оплат и в поиске дополнительного заработка.
Банки со своей стороны делают все, чтобы проинформировать о подобных угрозах своих клиентов: рассылаем предупреждающие смс, в мессенджерах и социальных сетях рассказываем, как соблюдать цифровую гигиену. Также создаются правила для анализа операций клиентов, чтобы предотвратить мошенничество.
Чтобы уберечься от мошенников, самое главное - не разглашать конфиденциальную информацию и не передавать информацию по карте. Назвать номер карты можно, но все остальное (срок действия, СVV-код, пароль 3d-secure и пароль от интернет-банкинга) - ни в коем случае.
Нельзя верить в выигрыши, если вы не участвовали ни в каких лотереях и розыгрышах. Если собираетесь вложить свои деньги в инвестиционную компанию, проверьте наличие лицензии, выданной в соответствии с украинским законодательством.
Отдать предпочтение стоит только вакансиями с официальным трудоустройством, и не стоит сообщать посторонним свои персональные данные, передавать фото документов, делать какие-либо вклады и предоплаты в рекрутинговые услуги или товары.
Также рекомендуется привязать свой паспорт к своей сим-карте. Это можно сделать в отделении сотовой связи. В таком случае перевыпустить карту можно только имея на руках паспорт.
Светлана Денисенко, ответственный сотрудник за проведение финансового мониторинга АО «ТАСКОМБАНК»:
Последние несколько лет первое место занимает социальная инженерия. Это когда клиентам продают «по выгодной цене» несуществующие товары, под видом акций и баснословных заработков заманивают в финансовые пирамиды, а также выманивают конфиденциальные данные о клиенте и его платежных средствах, представляясь службами безопасности банков и мобильных операторов. Пандемия в начале прошлого года и отсутствие средств защиты, запустили целый пул новых вариантов мошенничества с продажами дефицитной продукции в интернете. На сегодня доля социальной инженерии в общем объеме жалоб клиентов в банки продолжает расти. Поскольку никакие лимиты и одноразовые пароли на карте не защитят клиента от самого себя, банки работают в направлении повышения грамотности своих клиентов, публикуя полезные советы, рекомендации по мерам безопасности и предупреждения о распространенных схемах.
Как защитить себя от действий мошенников?
- Соблюдать гигиену финансовой и конфиденциальной информации: ваш финансовый номер телефона должен быть закреплен за вами у мобильного оператора – чтобы заменить внезапно «потерянную» SIM-карту могли только вы с вашим паспортом. Один визит с паспортом в сервисный центр оператора – и ваш номер в безопасности;
- Следить за гигиеной своих устройств: не ставить все подряд мобильные приложения на телефон – даже скачанные из официальных маркетов, они могут содержать вирусы и воровать ваши логины, пароли и даже СМС.
- Помнить о том, что ваши персональные данные – не только ФИО, но и адрес проживания, контактные телефоны и номера карт. Все это ваша финансовая информация и владеть ею должен как можно меньший круг лиц. Когда вы регистрируетесь в акциях или оформляете дисконтные карты, не стоит давать полную информацию о себе и оставлять ваш финансовый номер. К маркетинговым программам и магазинам нет таких строгих требований к защите персональных данных, как к Банкам, поэтому от утечки данных в интернет из маркетинговых баз мы полностью не застрахованы.
- Ну и последнее, ставшее уже классикой: для зачисления средств на вашу карту на ней не должен быть «остаток в том же размере», нет необходимости давать или вводить срок действия и код CVC, карту не нужно «регистрировать» или делать «проверочную авторизацию». Все, что нужно для перевода средств на вашу карту, – это ее номер. Все остальные просьбы и требования должны включать у вас «красную лампочку» тревоги и формировать автоматический отказ.
И, конечно же, старый добрый проверенный метод: установить расходные лимиты по карте в той сумме, которую вам не больно потерять. Это станет дополнительным барьером при потере средств, если другие предохранители не сработают.