Крадіжка паролів і ПІН-кодів від банківських карт, списання грошей з рахунку без відома власника, продаж фіктивних товарів в інтернеті - все це види фінансового шахрайства, на які все ще трапляються українці. Злочинці маскуються під співробітників банків і навіть представників Нацбанку, спекулюють на почуттях довірливих клієнтів, роблячи все, щоб виманити якомога більше грошей. Як розпізнати шахрая і вберегти свої кошти, про це Maanimo розповіли банкіри.
КоментаріСергій Соловей, начальник відділу інформаційної безпеки АТ «АБ «РАДАБАНК»:
Останнім часом шахраї все більше використовують інструменти соціальної інженерії з метою незаконного заволодіння коштами. Зокрема це стосується як дзвінків з невідомих номерів на телефони клієнтів банків України, так і оголошень на інтернет-сторінках про продаж фіктивних товарів. Останнім часом почала надходити інформація, що при дзвінках на мобільні телефони шахраї почали представлятись співробітниками Національного банку України, які здійснюють моніторинг за обігом коштів на платіжних картках, і робили спроби отримати конфіденційну інформацію у держателів платіжних карток.
Звісно за час пандемії економічна ситуація в країні погіршилась і громадяни дещо знизили свою активність на інтернет-аукціонах та сайтах де розміщуються оголошення про продаж вживаних товарів. Отже шахраям стало складніше незаконно заволодіти тією кількістю коштів, якою вони могли легко заволодіти раніше.
Банківська система України звісно ж вживає ряд заходів, які призвані убезпечити громадян України (клієнтів українських банків) від необережних дій та втрати коштів у кінцевому результаті.
АТ «АБ «РАДАБАНК» розробив ряд документів для своїх клієнтів, в яких чітко описано прості правила, яких потрібно дотримуватись при роботі з безготівковими коштами. Це стосується не лише правил роботи з системами дистанційного обслуговування рахунків (інтернет-банкінги, мобільні банкінги тощо), а й при використанні платіжних карток. РАДАБАНК постійно проводить інформування своїх клієнтів про необхідність дотримання простих правил використання платіжних карток, створюються й нові документи, які розміщуються у вільному доступі на офіційному веб-сайті банку у розділі «Про банк – Інформація, яка підлягає обов’язковому опублікуванню банками України – Забезпечення безпеки інформації».
РАДАБАНК є активним учасником інформаційної кампанії Національного банку України «#ШахрайГудбай», метою якої є навчити громадян України правилам безпеки безготівкових та онлайн-платежів.
Убезпечити себе від шахраїв дуже легко, потрібно дотримуватись трьох основних принципів:
- Ніхто і ніколи із співробітників будь-якого банку України, і тим паче Національного банку України, не буде телефонувати на мобільний телефон і робити спроби з’ясувати номер картки, залишок на рахунку, суму останньої операції, PIN-код тощо. Єдине, що можуть зробити співробітники банку при телефонному дзвінку клієнту, це повідомити про настання якоїсь події, наприклад, необхідність проходження періодичної ідентифікації клієнта, спливання терміну дії платіжної картки та інше, але прохання буде одне – взяти посвідчення особи та для з’ясування всіх необхідних моментів особисто прибути до зручного відділення банку. Отже щойно вам зателефонували «співробітники банку» і запитують конфіденційну інформацію – відразу кладіть слухавку, це шахраї.
- Ніколи і ні в якому разі не перераховуйте кошти на платіжні картки незнайомим особам, коли ви хочете придбати товар в мережі Інтернет, і оголошення розміщене на сайтах безкоштовних оголошень. Краще трохи переплатити і придбати товар з використанням наложеного платежу. Так, це буде дорожче, але безпечніше. Ви будете чітко розуміти, за що саме ви перераховуєте кошти. Цей принцип не відноситься до офіційних інтернет-магазинів, які вже тривалий час працюють в Україні, в яких є можливість зареєструватись, ведеться статистика по замовленням і ви вже раніше робили в цьому інтернет-магазині покупки.
- Ніколи і нікому не передавайте свої облікові дані для доступу до Інтернет-банкінгу (логін, номер фінансового телефону та пароль) та PIN-код до платіжної картки. Також уникайте здійснення запису такої інформації на зворотній стороні платіжної картки, на шматку паперу, вкладеному в гаманець, та інших місць де ці дані можуть бути легко зчитані. Також будьте уважні при використанні логіну і паролю для доступу до Інтернет-банкінгу в громадських місцях та при введенні PIN-коду до платіжної картки при роботі з банкоматами та розрахунках у торгівельних мережах – вводьте данні так, щоб їх не могли побачити громадяни, що знаходяться поруч.
Є дуже багато інших правил безпеки та методів захисту від шахраїв, але навіть дотримання цих трьох принципів захистить вас від спроб шахраїв незаконно заволодіти вашими коштами.
Богдан Горохівський, виконавчий директор напрямку безпеки АТ «Кредобанк»:
Соціальна інженерія – це один із найбільш поширених видів шахрайства та один із методів несанкціонованого доступу до інформації або до зберігання інформації без використання технічних засобів.
Смішинг (СМС-повідомлення, повідомлення в месенджерах) – проведення шахраями масової розсилки повідомлень, з метою отримання карткових реквізитів чи іншої конфіденційної інформації, або вказаний у повідомленні номер телефону, за яким пропонується зателефонувати, для подальшої реалізації сценарію вішингу, або наявне посилання на фішинговий сайт (sms+phishing).
Вішинг (Телефонні дзвінки) – метод шахрайства, який полягає в тому, що зловмисники, використовуючи телефонну комунікацію та граючи певну роль, виманюють карткові реквізити, логін та пароль до Онлайн банкінгу, просять виконати дії з платіжною карткою в банкоматі
Фішинг – метод шахрайства, мета якого отримати конфіденційну інформацію, яку клієнт самостійно вводить на підмінному сайті (схожому на легітимний) для подальшого незаконного виведення коштів. Фішинг проявляється, як в розсилці смс так і в електронних листах. Листи електронної пошти – проведення шахраями масових розсилань листів електронною поштою, що містять в собі посилання на шахрайську копію офіційної веб-сторінки банку, платіжної системи чи компанії.
Під час пандемії змінилась специфіка шахраїв при використанні шахрайства методом соціальної інженерії.
З метою збереження коштів клієнтів банк:
- На сайті розмістив інформацію щодо заходів безпеки при використанні БПК, СДБО (системи дистанційно банківського обслуговування);
- Під час обслуговування у відділенні наголошує на заходах безпеки при використанні банківських платіжних карток;
- Періодично інформує клієнтів щодо нових видів шахрайства та заходів безпеки:
- на сайті банку в рубриці новин;
- на сторінці банку у фесбук;
- засобами Viber/SMS;
- Здійснює моніторинг операцій клієнта при використанні БПК та систем дистанційно банківського обслуговування.
Що потрібно шахраю?
- Реквізити платіжної картки (номер, термін дії, CVV-код, коди з SMS-повідомлень)
- Логіни та паролі до систем дистанційного обслуговування
- Коди банків та мобільних операторів (підтвердження операцій)
- Кодові слова
- Зняти ліміти з картки жертви
- Переконати жертву здійснити переказ коштів на свою користь.
Як вберегтись від соціальної інженерії:
- Пам'ятайте, що справжні працівники банку не запитують у вас конфіденційну інформацію, а саме термін дії БПК, CVV-код, смс-паролі, логін та пароль до системи Онлайн банкінгу;
- Пам'ятайте, що шахраї часто працюють по декілька осіб, а саме один прикидається покупцем, інший – працівником банку з метою отримати реквізити вашої картки;
- Для зарахування коштів на ваш рахунок відправнику достатньо знати лише номер платіжної картки;
- Перевіряйте чи дійсно телефонують до вас з банку;
- Перевіряйте адресу відправника електронного листа — несправжню можна розпізнати, якщо уважно до неї придивитися;
- Будьте раціональні. Не довіряйте нереальним акціям, перевіряйте наповненість сайту, сплачуйте послуги на перевірених ресурсах;
- Обговорюйте деталі продажу/купівлі товару в межах особистого кабінету на оригінальному сайті торговельного майданчику. Не переходьте в месенджери (Viber, Skype, Telegram, WhatsApp тощо);
- Уважно перевіряйте вебсайти, на яких ви перебуваєте, якщо вони будуть вам підозрілі - не вказуйте там жодних своїх даних.
А також не відповідайте на СМС, де вимагають реквізити платіжної картки, пароль до системи Онлайн банкінгу чи особисті дані.
Експерти Forward Bank:
Найбільш популярними видом шахрайства з платіжними картами є шахрайство з використанням методів соціальної інженерії (дистанційне шахрайство).
Суть його полягає в тому, щоб під будь-яким приводом дізнатися у клієнта дані платіжної карти (№ карти, термін дії, CVV-код). Для цього найчастіше шахраї телефонують клієнтам або розсилають СМС-повідомлення з помилковою інформацією про блокування картки, шахрайські операції, а для вирішення питання вказують свій номер телефону, на який клієнт сам і дзвонить.
У телефонній розмові з клієнтом шахраї можуть представлятися співробітником банку, службою безпеки, співробітником НБУ, поліції, представником мобільного оператора і т. д. Головне - налякати клієнта і в ході розмови дізнатися конфіденційні і особисті дані, в тому числі дані платіжної карти, код підтвердження операції, який приходить клієнту на фінансовий номер телефону.
Ще одна поширена фінансова афера реалізується на торгових майданчиках (сайти продажів товарів, послуг, працевлаштування тощо), в соцмережах. Її суть - переконати людину внести оплату (передоплату) за товар, якого насправді немає. Для цього шахраї розміщують оголошення про продаж товару, послуги за привабливою ціною (як правило, нижче ринкової), вимагають від клієнта часткову або повну передоплату. Після отримання грошових коштів, клієнта блокують або перестають відповідати на дзвінки.
Також мають місце бути такі види шахрайства, як викрадення СІМ-карти, встановлення зловмисного програмного забезпечення на мобільний телефон через шкідливі посилання, фішингові сайти, пристрої зчитування даних карти в платіжних банкоматах (терміналах) і багато іншого ...
У період карантину кількість шахрайських операцій збільшується, особливо мова йде про дистанційні види шахрайства, які не передбачають фізичний контакт з власником платіжних карт.
Рік за роком технології стрімко просуваються вперед у своїх досягненнях і можливостях. Forward Bank намагається бути в тренді, тому постійно працює над модернізацією та удосконаленням продуктів і сервісів. Для зручності наших клієнтів і з метою додаткового захисту користувачів платіжних карт від шахрайства, з початку року ми впровадили дві нові технології: оновлений протокол 3D Secure 2.1 і сервіс Mobile Check.
Це додатковий рівень безпеки при здійсненні транзакцій наших клієнтів в Forward Online. Наприклад, 3D Secure 2.1 дозволяє в режимі реального часу здійснювати безпечний обмін даними між продавцем, емітентом карти і споживачем для підтвердження того, що транзакція ініційована справжнім власником рахунку. Mobile Check - це поки єдиний універсальний спосіб перевірки статусу заміни SIM-карти перед виконанням високоризикових операцій. Сервіс дозволяє банку за частки секунди здійснювати перевірки відразу у трьох найбільших мобільних операторів. І якщо заміна SIM-карти підтвердиться, можливість надання дистанційної фінансової послуги буде заблокована.
Для того, щоб не потрапити в шахрайську схему, рекомендуємо дотримуватися наступних правил:
- Нікому не повідомляйте свої паролі і коди
ПІН-код від картки - це секрет, який нікому не можна розкривати. Краще не зберігати його в телефоні і тим більше не записувати на карті. А при введенні ПІН-коду в банкоматі або в магазині бажано прикривати клавіатуру рукою. На зворотному боці картки є CVC/CVV-код - три секретні цифри. Вони потрібні для оплати покупок в інтернеті. Щоб шахраї не змогли витратити гроші з вашої картки, ні в якому разі не диктуйте і не показуйте нікому цей код. Співробітники банку ніколи не питають код з картки, ПІН-код, а також коди з СМС, які надсилає банк. Секретними кодами цікавляться тільки шахраї. Обманщик готовий прикинутися ким завгодно, щоб їх вивідати: не тільки працівником банку, але і родичем, другом або навіть незнайомцем, що потрапив в біду. Вони можуть прикидатися вашим знайомим, який хоче скинути гроші вам на карту. І нібито для переказу їм потрібні номер карти, термін її дії та CVC/CVV-код. Це теж обман. Для того, щоб перерахувати гроші, досить номера карти. Ніякі інші дані не потрібні.
- Підключіть СМС-оповіщення по карті
Ви будете оперативно отримувати від банку СМС про всі дії по картці. Наприклад, про покупки, які оплачені карткою. Ці повідомлення потрібно читати дуже уважно. Якщо прийшло повідомлення про покупку, яку ви не робили, швидше за все, картою скористався шахрай. Варто відразу зателефонувати в банк, повідомити про підозрілий СМС і попросити заблокувати карту. Номер гарячої лінії банку є на зворотному боці картки. Найкраще зберегти цей номер у контактах на своєму телефоні і, в разі проблем з картою, дзвонити тільки по ньому.
- Користуйтеся антивірусами
Дуже важливо встановити антивірусні програми на всіх пристроях, якими ви користуєтеся, - на комп'ютері, планшеті і мобільному телефоні. Антивірус захистить від шкідливих програм і сайтів, за допомогою яких шахраї крадуть гроші. В інтернеті можна знайти безкоштовні версії антивірусних програм з обмеженим функціоналом. Головне - завантажувати їх з офіційних магазинів додатків або на сайтах відомих розробників антивірусів.
- Вибирайте безпечні сайти
Шахраї створюють сайти-двійники популярних онлайн-ресурсів. Наприклад, вони можуть зробити копію сайту банку або вашого улюбленого онлайн-магазину. Якщо ви введете там свої паролі, коди, дані карти, то вони потраплять до шахраїв. Перш ніж вводити дані карти або паспорта на будь-якому сайті, важливо уважно вивчити його, почитати відгуки в інтернеті.
- Не оплачуйте покупки з чужих гаджетів
Робити покупки, заходити на сайт банку або в банківський додаток треба тільки з особистого комп'ютера, планшета і телефону. Встановіть паролі на всі свої гаджети.Якщо втратите телефон або планшет, на яких було банківський мобільний додаток і куди приходили повідомлення і паролі, терміново телефонуйте в банк. Попросіть відключити від цього номера телефону всі послуги та заблокувати доступ до рахунку з втраченого гаджета. Поміняйте логін і пароль від особистого кабінету в інтернет-банку. Коли ви відновите свій номер у мобільного оператора, можна буде знову підключити до нього СМС-повідомлення.
- Не переходьте за сумнівними посиланнями з повідомлень
Ніколи не переходьте за посиланнями з листів і СМС від незнайомців. Це може бути шкідлива програма, яка краде персональні дані. Але навіть якщо посилання надіслав хтось із друзів, не поспішайте його відкривати. Шахраї могли зайти в чужий акаунт і розіслати повідомлення від імені знайомого. Зазвичай за подібними посиланнями і архівами ховаються «троянські» програми. Вони самі встановлюються на гаджет, крадуть і підробляють ваші дані, в тому числі можуть переводити шахраям гроші з ваших рахунків. Шахраї дуже сподіваються, що ви їм відразу повірите. Вони спеціально кваплять вас, щоб не дати часу перевірити інформацію. Але в грошових питаннях поспіх недоречний.
Найчастіше шахраї використовують такі схеми:
- Дзвонить незнайомець і повідомляє, що ваші родичі або друзі потрапили в біду. Шахрай попросить терміново перерахувати гроші, щоб їх виручити. Він сподівається, що ви злякаєтеся і поведе на обман. Не поспішайте переводити гроші: спочатку зателефонуйте рідним чи друзям і перевірте, чи все у них в порядку.
- Приходить СМС про те, що вам зараховані гроші. Повідомлення схоже на повідомлення від банку. Тут же дзвонить якийсь тюхтій, каже, що помилково переказав гроші і просить їх повернути. Просто кидайте трубку. Швидше за все, це шахрай, гроші вам не приходили, а СМС від банку липове. Зателефонуйте в банк і запитайте, чи приходили гроші на рахунок?
- Знайома, з якої ви давно не спілкувалися, раптово пише в соцмережі і цікавиться вашими справами. Зав'язується листування, під час якого вона несподівано просить позичити їй грошей. Це відразу повинно насторожити. Швидше за все, аккаунт вашої знайомої зламали. І шахрая зовсім не цікавить, як у вас справи, - йому потрібні ваші гроші. Ні в якому разі нічого не переказуйте. Напишіть знайомій в інший месенджер або зателефонуйте і уточніть, чи дійсно їй потрібна допомога. Якщо це обман, позначте повідомлення як спам і напишіть скаргу адміністрації соцмережі.
Не забувайте, що шахраї постійно винаходять нові схеми обману. Ні в якому разі нікому не передавайте секретну інформацію по картці, навіть тим, хто представився співробітником банку. Ніколи не переказуйте гроші, поки не розберетеся в ситуації. Передзвоніть в банк самостійно за офіційним номером гарячої лінії і уточніть інформацію, що вас цікавить. Головне - не поспішайте.
Юрій Задоя, Голова Правління Конкорд Банку:
Найпоширеніший вид шахрайства - це соціальна інженерія в самих різних її проявах. Наприклад, це можуть бути дзвінки від так званої «Служби безпеки», яка повідомляє, що карта нібито заблокована або йдуть спроби списання, і потрібно терміново зупинити платіж. Таким чином шахраї намагаються вивідувати паролі від інтернет-банкінгу, номер карти, термін дії, СVV код і так далі.
Окремою вид шахрайства - це «трейдингові біржі», які пропонують прибуток на торгах з цінними паперами, криптовалютами та інше. Насправді вони ніякого відношення ні до бірж Nasdaq, ні до подібних фондових бірж не мають. Проте, вони красиво розповідають про заробіток, малюють красиві графіки і так далі. Повіривши їх словами, люди часто вносять великі суми грошей. Потім шахраї заявляють, що стався обвал і всі свої заощадження клієнт втратив. При цьому всі платежі приймаються на криптогаманці, щоб не було можливості їх відстежити.
Часто відбувається обман на сайтах знайомств, коли з самотньою жінкою або чоловіком входять в контакт, втираються в довіру, а потім пропонують оформити візу, наприклад, до Великобританії для зустрічі. Шахраї присилають форму для заповнення, куди людина вносить всі свої дані, додає копії своїх документів. Останній пункт - у майбутньої жертви повинна бути карта з певною сумою грошей. При верифікації потрібно ввести номер, термін дії, СVV код і пароль 3d-secure. Авжеж після цього вся сума з карти йде в чужу кишеню.
Подібна схема практикується і при «оформленні візи на роботу за кордоном». Людині пропонують заповнити анкету і пройти верифікацію карти, прикриваючись тим, що для в'їзду за кордон необхідна мінімальна сума на рахунку.
Поширеним є і скаммінг - це різновид шахрайства, коли організатори розсилають листи, в яких йдеться про те, що їх одержувачі стали переможцями лотерей або ж листи, в яких одержувачам пропонується інвестувати в створення офшорних підприємств і нерухомості. Схема дозволяє виманювати у жертв досить великі суми.
Також існує безліч фішингових сторінок, які пропонують зробити переказ з меншою комісією, сайти, що копіюють сайт банків, великих компаній, що продають авіаквитки, з/д квитки, посилання безпечної угоди ОЛХ, які кидають шахраї в месенджерах покупцям.
Ще один із способів - перевипуск сім-карти. У жертви відключається телефон, а шахраї приходять до відділення і випускають сім-карту, при цьому вони мають доступ до всіх акаунтів клієнта, інтернет банкінгу, криптогаманцям, соціальним мережам і так далі. Можуть не тільки вивести гроші з інтернет-банкінгу, але ще і взяти кредити на цю людину.
За час пандемії кількість шахраїв збільшилася, тому що люди в основному сидять вдома і покупки здійснюють онлайн, потрапляючи на підроблені магазини, фішингові сторінки оплат і в пошуку додаткового заробітку.
Банки зі свого боку роблять усе, щоб проінформувати про подібні загрози своїх клієнтів: в смс, в месенджерах і соціальних мережах розповідаємо, як дотримуватися цифрової гігієни. Також створюються правила для аналізу операцій клієнтів, щоб запобігти шахрайству.
Щоб уберегтися від шахраїв, найголовніше - не розголошувати конфіденційну інформацію і не передавати інформацію по карті. Назвати номер карти можна, але все інше (термін дії, СVV-код, пароль 3d-secure і пароль від інтернет-банкінгу) - ні в якому разі.
Не можна вірити в виграші, якщо ви не брали участь ні в яких лотереях і розіграшах. Якщо збираєтеся вкласти свої гроші в інвестиційну компанію, перевірте наявність ліцензії, виданої відповідно до українського законодавства.
Віддати перевагу варто тільки вакансіями з офіційним працевлаштуванням, і не варто повідомляти стороннім свої персональні дані, передавати фото документів, робити будь-які вклади і передоплати в рекрутингові послуги або товари.
Також рекомендується прив'язати свій паспорт до своєї сім-карті. Це можна зробити у відділенні стільникового зв'язку. В такому випадку перевипустити карту можна тільки маючи на руках паспорт.
Світлана Денисенко, відповідальний співробітник за проведення фінансового моніторингу АТ «ТАСКОМБАНК»:
Останні кілька років перше місце займає соціальна інженерія. Це коли клієнтам продають «за вигідною ціною» неіснуючі товари, під виглядом акцій і нечуваних заробітків заманюють в фінансові піраміди, а також виманюють конфіденційні дані про клієнта і його платіжні засоби, представляючись службами безпеки банків і мобільних операторів. Пандемія на початку минулого року і відсутність засобів захисту, запустили цілий пул нових варіантів шахрайства з продажами дефіцитної продукції в інтернеті.
На сьогодні частка соціальної інженерії в загальному обсязі скарг клієнтів в банках продовжує зростати. Оскільки ніякі ліміти і одноразові паролі на карті не захистять клієнта від самого себе, банки працюють в напрямку підвищення грамотності своїх клієнтів, публікуючи корисні поради, рекомендації щодо заходів безпеки і попередження про найпоширеніші схеми.
Як захистити себе від дій шахраїв?
- Дотримуватися гігієни фінансової та конфіденційної інформації: ваш фінансовий номер телефону повинен бути закріплений за вами у мобільного оператора, щоб замінити раптово «втрачену» SIM-карту могли тільки ви з вашим паспортом. Один візит з паспортом в сервісний центр оператора - і ваш номер в безпеці;
- Стежити за гігієною своїх пристроїв: не ставити всі підряд мобільні додатки на телефон - навіть викачані з офіційних маркетів, вони можуть містити віруси і красти ваші логіни, паролі та навіть СМС.
- Пам'ятати про те, що ваші персональні дані - не тільки ПІБ, але і адреса проживання, контактні телефони та номери карт. Все це ваша фінансова інформація і володіти нею повинно якомога менше коло осіб. Коли ви берете участь в акціях або оформляєте дисконтні карти, не варто давати повну інформацію про себе і залишати ваш фінансовий номер. До маркетингових програм і магазинів немає таких суворих вимог до захисту персональних даних, як до Банків, тому від витоку даних в інтернет з маркетингових баз ми повністю не застраховані.
- Ну і останнє, що стало вже класикою: для зарахування коштів на вашу карту на ній не повинен бути «залишок в тому ж розмірі», немає необхідності давати або вводити термін дії та код CVC, карту не потрібно «реєструвати» або робити «перевірочну авторизацію ». Все, що потрібно для переказу коштів на вашу карту, - це її номер. Всі інші прохання і вимоги повинні включати у вас «червону лампочку» тривоги і формувати автоматичну відмову.
І, звичайно ж, старий добрий перевірений метод: встановити витратні ліміти по карті в тій сумі, яку вам не боляче втратити. Це стане додатковим бар'єром при втраті коштів, якщо інші запобіжники не спрацюють.