Обережно: шахраї. Як з карткових рахунків українців зникають гроші
Злочини без покарання
Чим активніше громадяни освоюють пластик, тим наполегливіше стають шахраї, які намагаються дістатися до їх карткових рахунків. За даними Української міжбанківської асоціації членів платіжних систем ЕМА, у 2016 р. злочинці вкрали у власників карт понад 340 млн грн. Це в чотири рази більше, ніж у 2015 р., коли сума збитку склала лише 84,36 млн грн. Зараз з шахрайством стикається кожен вісімдесятий українець. Для порівняння: рік тому мова йшла лише про кожен двохсотий нашому співвітчизнику. "Оцінити суми збитку за 2017 рік поки що досить складно, як і підрахувати співвідношення кількості спроб і реальних крадіжок. Але зрозуміло, що з часом успішних спроб стає все менше, оскільки громадяни тепер набагато краще обізнані в питаннях карткової безпеки", - констатують у ЕМА.
Радує і те, що кількість кіберзлочинів в Україні поки нижче, ніж у більшості європейських країн. А ось відсоток розкриття таких афер у нас залишається дуже низьким. Так, у першому півріччі управління Нацполиции по боротьбі з кіберзлочинністю виявило 2385 злочинів у сфері електронної комерції. З них трохи менше половини - 956 - з використанням платіжних інструментів. Але покараний був лише кожен десятий злочинець - обвинувальних вироків винесли 230. Не дивно, що, відчуваючи безкарність, шахраї знову і знову вирішуються на порушення закону.
Шахраї виявляють неабияку винахідливість - хоча б одна нова схема обману з'являється чи не кожен квартал. "Злочинці також удосконалюють вже існуючі методи і механізми, що застосовуються для вчинення злочинів. Вони доповнюють їх новими технічними та інтелектуальними доопрацюваннями", - розповів "ВД" директор з ризиків банку "Кредит Дніпро" Олег Пахомов.
Найпопулярніші способи крадіжки грошей пов'язані з соціальною інженерією (т. зв. вішинг і фішинг). Як і раніше процвітає банкоматна шахрайство. За словами Олега Пахомова, найбільш руйнівними для жертв є скіммінг і вішинг. Саме з їх допомогою шахраї забирають з рахунків найбільш значні суми.
"У 2016 році 276 млн грн (а це більше 80% від загальної суми коштів - розрахункового доходу шахраїв) було вкрадено в результаті виманювання реквізитів карт по телефону. У 2017-му телефонні шахраї теж у лідерах - їм досі вдається ловити на вудку тисячі довірливих українців", - констатують у ЕМА.
Кеш-трепінг
Кеш-фільтри, або пастка для кеша, може бути використаний як для карт із магнітною смугою, так і чіпових, і не вимагає від шахраїв великих зусиль. Це досить простий фокус: на банкомат встановлюється спеціальна планка з клейким скотчем, яка блокує шторку пристрої, що видає купюри. Коли банкомат відраховує гроші, готівка прилипають до липкої стрічки, а планка не дозволяє їм вийти назовні. Довірливий клієнт, почекавши трохи, зазвичай вирішує, що машина несправна, гроші повернулися на картковий рахунок, і спокійно йде. Дочекавшись, коли жертва віддалиться, аферисти забирають прилип кеш з машини.
"Найчастіше зловмисники орудують в районах, де банкоматами для зняття готівки користується багато людей. Це можуть бути як місця великого скупчення народу (торгово-розважальні центри, парки відпочинку, транспортні розв'язки, банкомати близько великих підприємств і бізнес-центрів), так і магазини в спальних районах. Злочинці обирають дні, коли люди частіше знімають гроші: свята, вихідні, дати отримання зарплати тощо", - розповідають у ЕМА.
Здогадатися, що кеш потрапив у капкан, нескладно. Як правило, видаючи готівку, банкомат інформує про це власника картки за допомогою повідомлення на екрані. Якщо таке повідомлення є і при цьому прийшло повідомлення від банку про списання суми з рахунку, а гроші так і не з'явилися, сумнівів бути не повинно - ваш кеш "влип" у розставлену злочинцями пастку. В такому разі не можна відходити від банкомата, щоб ніхто не зміг забрати готівку. Можна навіть спробувати самому добути з машини гроші (пастка зазвичай сидить неглибоко і нещільно, щоб шахраї могли її вийняти в два рахунки). Альтернативний варіант - зателефонувати в банк і повідомити про подію співробітник контакт-центру.
Кеш-трепінг масово використовувався шахраями в Україні в останні роки. Однак у цьому році кількість таких злочинів впала. За даними ЕМА, за січень-червень було виявлено лише 66 випадків перехоплення готівки. За аналогічний період 2016 р. таких випадків було 468. Причина проста: зараз українці більше знають про злочини подібного роду і не легко попадаються на гачок аферистів. До того ж у боротьбу з пастками включилися банки. Вони розміщують антикештреппинговые накладки на шторках банкоматів і не дають шахраям можливість встановити капкани.
Скіммінг
Один з поширених видів обману - традиційний скіммінг. Або, простіше кажучи, крадіжка даних пластикових карт для виготовлення підробленого пластику. У першому півріччі 2017 р. було зафіксовано 50 випадків встановлення скиммингового обладнання на банкоматах України. Велика їх частина припала на Київ і Одесу.
Найчастіше зустрічається фізичний скіммінг. Зловмисники встановлюють на банкоматах спеціальні пристрої, які дозволяють копіювати дані карт, - накладки на клавіатуру, крихітні відеокамери, вставки і накладки на приймач карток і т. п. Після цього вони виготовляють дублікат картки і, знаючи ПІН-код, знімають гроші з рахунку.
Ще один різновид скіммінгу - кібернетичний. Але, по суті, зводиться до тієї ж крадіжки даних. Тільки в цьому випадку злочинці отримують інформацію з магнітної смуги карти за допомогою спеціального шкідливого програмного забезпечення, яке встановлюють на кеш-
машинах.
Банки намагаються активно боротися зі скіммінгом - встановлюють на банкомати сигналізації, антискіммінгові пристрої, додаткове програмне забезпечення, у тому числі антивірусне. Але багато залежить і від обережності самих власників карток. Наприклад, перш ніж скористатися кеш-машиною, банкіри радять порівняти зовнішній вигляд банкомату і отвори для прийому карт з картинкою на екрані. Якщо кардрідер відрізняється від зображення на картинці, готівку краще взагалі не знімати.
Не всі накладки можна побачити неозброєним оком. Скімери часто використовують приховані пристрої, наприклад, глибоку вставку. Тому єдино вірний і надійний спосіб захисту - не дати злочинцям підглянути ПІН-код. Тоді вони ні за яких умов не зможуть отримати доступ до картки. Найпростіший шлях - прикривати клавіатури під час введення коду або долонею, або якимось іншим предметом.
"Також краще не знімати кошти в підозрілих банкоматах, а використовувати машини, розташовані безпосередньо у відділеннях банку", - рекомендує директор департаменту роздрібного бізнесу банку "Південний" Артем Семейнов.
"Якщо вам не подобається зовнішній вигляд банкомату (АТМ): складно вставити в нього картку, хтось сторонній довго стоїть біля банкомату або просто зовнішній вигляд не сподобався, то наша порада: не знімайте в ньому гроші, не перевіряйте баланс. Краще виберіть інший банкомат. А якщо вам щось не сподобалося при розрахунку карткою або знятті грошей, зв'яжіться з банком і заблокуйте її відразу", - говорить керівник управління платіжних карт Піреус Банку Олена Горлушко.
Поради мандрівникам
Власники карток схильні ризикам не тільки в Україні, але і при поїздках у зарубіжні країни. Накладки на банкоматах, скіммінг і пастки для кеша - все це поширене і за кордоном. "При виборі платіжної картки в банку краще зупинитися на карті з чіпом (або безконтактної картки). Дані, які містяться на такій платіжній картці, зашифровані з допомогою складних цифрових кодів і простим скиммером їх не можна вважати", - радить Артем Семейнов.
Але є ряд країн, які банки вважають особливо небезпечними з точки зору шахрайства. У кожного банку є свій чорний список. "В залежності від банку на розрахунки в таких країнах встановлюються обмеження. Наприклад, "0" на зняття грошей в банкоматі (АТМ) або "0" на безготівковий розрахунок (магазини, готелі і т. д.). Відповідно, якщо клієнт виїжджає в таку країну, йому необхідно звернутися в банк і скасувати обмеження. У кожного банку на сайті є список ризикових країн. Про нього також можна дізнатися, звернувшись до контакт-центру банку", - розповідає Олена Горлушко.
Наприклад, багато фінустанов включають у цей перелік Тайвань, Перу, Індії, Чилі, Гонконг, Китай, Індонезію, Філіппіни, Малайзію, Таїланд, Туніс, Шрі-Ланку, ПАР. На деяких банківських сайтах ми також виявили в чорних списках Марокко, Мавританію, Домініканську Республіку, Бразилії і навіть Болгарію.
"Перед кожним подорожжю за кордон ми радимо клієнтам повідомити в банк, в яку країну і на який термін вони вирушають. Це дозволить уникнути блокування картки та додаткових витрат на телефонні дзвінки у тому випадку, якщо служба моніторингу операцій банку вважатиме ваші операції підозрілими", - говорить Артем Семейнов.
Також варто пам'ятати, що передавати картку в треті руки небезпечно. Її реквізити - номер, термін дії, CVV2/CVC2 коди можуть бути скопійовані або сфотографовані. Такий вид шахрайства найчастіше зустрічається в аеропортах.
Безвідмовний засіб захисту карткового рахунку - установка добового ліміту на операції. Потрібно тільки прикинути, скільки грошей ви збираєтеся витрачати в подорожі, і обмежити суму зняття готівки. Такий же ліміт повинен бути встановлений і для безготівкових розрахунків. Це можна зробити через інтернет-банкінг або подати заяву у відділенні банку. Тоді навіть у найгіршому випадку шахраї зможуть зняти не більше добового ліміту. Основна сума на рахунку залишиться недоступною.
Також можна завести два карткових рахунку - основний і додатковий. На першому необхідно тримати всю основну частину коштів, на другому - гроші на поточні витрати.
Телефонне шахрайство (вішінг)
Все більші обороти набирає так званий вішинг - телефонні дзвінки для виманювання реквізитів банківських карт. За даними ЕМА, у 2016 р. середня сума, яку злочинці виманювали у однієї жертви за допомогою вішинг, становила 1403 грн.
Шахраї під різними приводами випитують по телефону секретні дані карт. Наприклад, розповідають людям про неіснуючих акціях або великі виграші. Зрозуміло, для отримання грошового призу секретні дані карти нібито просто необхідні.
Цікаво, що понад 90% телефонних шахраїв представляються потенційній жертві працівниками того чи іншого банку (іноді навіть співробітниками Національного банку України). Наприклад, людині можуть розповісти, що його карта з-за якогось збою в програмі буде заблокована. Щоб її "розблокувати", працівникові потрібні секретні реквізити - термін дії картки, тризначний код безпеки із зворотного боку картки, або код CVC2/CVV2. Після того як довірлива жертва повідомляє ці дані шахраям, ті отримують доступ до банківського рахунку і можуть розпоряджатися грошима на свій розсуд.
Злочинці використовують і інші легенди: нібито "по карті проводяться підозрілі операції"; "потрібно перереєструвати карту і пройти верифікацію"; "вам прийшов платіж, але, щоб зарахувати гроші, потрібні всі дані карти". Іноді дзвонять під приводом оцінки банківського обслуговування. Вони запитують думку про банк, і як би між іншим вивуджують секретні дані карти.
Буває, що шахраї обдзвонюють людей, представляючись службою безпеки Національного банку, і питають, в якому конкретно банку ті обслуговуються. А через короткий час базіці вже дзвонять з того самого банку, щоб вивудити інші дані.
Іноді жертву дзвонить не сам злочинець, а робот, запрограмований через систему IVR (інтерактивних голосових відповідей). З його допомогою шахраї створюють видимість дзвінка з банку, який нібито збирає інформацію про клієнта. Для уточнення або перевірки інформації" робот запитує дані карт, логіни-паролі для входу в " інтернет-банк, CVV-коди, PIN-коди. Часто робот каже, що збирає інформацію, оскільки стався збій системи.
Наприкінці минулого і в нинішньому році шахраї втілили ще одну хитру схему. Вони масово розсилали на телефони українців смс від імені найбільших роздрібних банків з загрозою заблокувати платіжну картку. У повідомленні вказувався номер телефону, по якому власнику пластику рекомендували терміново зв'язатися з нібито колл-центром. Там на дзвінок відповідали липові співробітники і вивідували дані карти.
Фінансисти невтомно повторюють, що справжній співробітник банку ні під яким приводом не стане питати конфіденційні дані картки клієнта. Якщо вам телефонують і вимагають повідомити секретні реквізити - це шахраї. В такому випадку краще припинити розмову і звернутися безпосередньо в банк, щоб підтвердити, що з картою все в порядку. Або, якщо щось не так, вжити необхідні заходи.
Обережно - соцмережі!
Ще одне кримінальне нововведення - виманювання даних у громадян через соціальні мережі та месенджери. Шахраї зламують аккаунт соціальної мережі, скайп, whatsApp, viber або інший чат. Після цього вони роблять розсилку по всьому списку контактів жертви. Наприклад, просять допомогти другу до зарплати або запитують дані банківської картки, паролі і телефон, щоб терміново перекинути кошти на карту одного, оскільки "у моєї закінчився термін дії". Таким способом злочинці дістають дані платіжної карти або відразу отримують гроші від "соціального френда". Буває і так, що злочинці встигають повністю спустошити картковий рахунок, перш ніж людина додумується передзвонити одному і запитати, чи дійсно прохання виходила від нього.
Маніпулятори часто користуються неписьменністю людей, які не цілком знайомі з особливостями користування банкоматами і терміналами. "Популярною серед шахраїв залишається схема обману, коли жертву "ведуть" до банкомату, обіцяючи, що там вона отримає гроші на карту (надбавку до пенсії, матеріальну допомогу, виграш у лотерею, грошовий приз від магазину тощо). Людину переконують піти до банкомату, вставити свою картку та виконати інструкції, продиктовані по телефону. В результаті він, нічого не підозрюючи, відправляє гроші зі своєї карти на карту злочинця", - розповідають в асоціації ЕМА.
Фішинг
Все більше українців розплачується карткою в інтернеті. Сьогодні на онлайн-платежі припадає приблизно 15% від усіх платежів карткою. Кількість таких операцій збільшилася на 27%, якщо порівнювати з показниками минулого року. Це не вислизнуло від уваги шахраїв - слідом за банківськими клієнтами вони стали впроваджуватися і в віртуальний світ.
Хіт останніх кількох років - так званий фішинг. Це створення спеціальних сайтів-клонів, за допомогою яких злочинці збирають реквізити платіжних карт. Вони переконують користувачів вводити конфіденційні дані своїх платіжних карток і таким чином отримують доступ до їх рахунків.
Сайти-привиди дублюють відомі інтернет-магазини, сервіси поповнення мобільного телефону, здійснення грошових переказів, покупки авіаквитків онлайн або отримання кредитів. За даними ЕМА, з початку 2017 р. виявлено 82 фішингових сайту. Велика частина (64) з яких маскувалася під веб-сервіси для електронних платежів. У минулому році сайтів-клонів було приблизно на третину більше.
Одна з останніх знахідок - фішинговий сайт "Приват 24", який видурював у користувачів паролі доступу до інтернет-банкінгу Приватбанку. Адреса фішингових веб-ресурсу - http://pb24corp.at.ua. Коли людина заходила на цю сторінку, сайт просив ввести номер телефону і пароль доступу до "Приват 24".
Шахраї правдами і неправдами намагаються переконати користувача, що той використовує офіційний ресурс. Їх липові сайти часто виглядають дуже правдоподібно. Наприклад, адресна рядок деяких фішингових веб-ресурсів тепер починається з https, що є ознакою захищеного з'єднання. Побачивши у рядку https, користувач розслабляється і легко потрапляє в пастку.
Серйозну небезпеку представляють сторінки-клони, які копіюють сервіси грошових переказів. Як правило, вони забезпечені програмою, яка підміняє номер картки одержувача грошей. Нічого не підозрюючи користувач надсилає переклад, а програма в останній момент змінює номер карти, а іноді і суму, і в кінцевому підсумку гроші потрапляють на рахунок шахрая. Безтурботний відправник отримує смс про списання коштів з картки і навіть не підозрює, що потрапив у пастку.
Як борються з шахраями
Банки, платіжні онлайн-сервіси, онлайн-платформи продажу і киберполиция все щільніше співпрацюють між собою, об'єднуючись проти аферистів. Наочний приклад - міжбанківська система обміну інформацією Exchange-online. Її ще з 2011 р. використовували для обміну даними про шахраїв і здійснених ними злочинах не тільки банки, але і правоохоронці. В рамках цієї платформи був створений чорний список шахраїв. Так, тільки за січень-червень в нього внесли 1700 записів з телефонами та юридичними адресами шахраїв.
Фінансисти констатують, що часто жертви аферистів навіть не намагаються заявити про злочин, вважаючи, що гроші втрачені безповоротно. Насправді це не так. Необхідно повідомити дані про шахрая (зокрема, номер його рахунку) і скоєний злочин у киберполицию і банк. У цьому випадку банк може втрутитися - заблокувати рахунок і не дозволити шахраєві зняти вкрадені кошти.
"На базі Exchange-online також розроблена система, яка допомагає скоротити час на взаємодію кіберполіції і банків. Протягом доби банк відповідає на запит про те чи іншому шахрайському рахунку. Киберполицейские через систему одержують інформацію, де були зняті гроші з картки шахрая (який ці гроші краде у своїх жертв)", - кажуть у ЕМА. Нова система отримала назву CrimeCheck. Зараз її використання знаходиться на стадії пілотної експлуатації.
(Mobile first + PCI DSS) х Face ID
разом з Юрієм Кучером розраховуємо формулу безпеки у сфері р2р перекладів
Обсяг карткового шахрайства в інтернеті за останній рік виріс більш ніж в чотири рази. За статистикою практично кожен 80-й українець постраждав від даного виду злочинів. Однією з найважливіших завдань компаній, що надають послуги на ринку p2p перекладів, є забезпечення інформаційної безпеки клієнтів. Сьогодні про безпеку в цій сфері ми говоримо з Юрієм Кучером, CIO MOSST Payments. MOSST Payments працює на українському ринку грошових переказів і вже заслужив репутацію на-дежного інноваційного сервісу, яким довіряють клієнти. У мобільному додатку MOSST Грошові перекази компанія вперше в Європі та СНД реалізувала механізм аутентифікації користувача за біометрії обличчя (Face ID). Для здійснення грошового переказу клієнту достатньо знати тільки номер мобільного телефону або email одержувача.
ВД: Є сучасний ринок грошових переказів України безпечним?
Ю. К. В порівнянні з оффлайн-перекладами шахраям простіше оперувати в поле електронних онлайн-каналів і використовувати дані скомпрометованих платіжних карт. Майже кожному з нас приходили смс або надходили дзвінки від нібито співробітників банків або державних органів, в ході яких злочинці намагалися вивідати конфіденційну інформацію. Крім того, широке поширення одержали фішингові сайти, виконані в стилістиці відомих гравців ринку, але працюють і рекламовані під іншими доменними іменами. Як наслідок, клієнт сам вводить всі свої карткові дані на подібних майданчиках, а шахраї в режимі реального часу використовують їх для поповнення своїх мобільних телефонів (припейд-номери) або покупок.
ВД: Які основні механізми для забезпечення безпеки користувачів?
Ю. К. найважливіший фактор, на який ми зробили ставку у своїй стратегії, - це концепція MobileFirst, тобто фокус на розвиток мобільних додатків як інструменту перекладів. Безумовно, у нас є і веб-версія ресурсу (www.mosst.ua), але саме наші мобільні додатки захищені від технологій фішингу, застосовуваних шахраями, як я говорив вище.
В якості світової інновації, яку ми принесли в Україну як інструмент безпеки одночасно з зручністю, - це технологія аутентифікації в додаток з допомогою розпізнавання обличчя (Face ID). Таким чином, крім уже традиційного способу аутентифікації по відбитку пальця (Touch ID), наш клієнт може захищати свої дані за допомогою Face ID. І ця технологія доступна на будь-якому смартфоні, на якому є фронтальна камера і наш додаток. Як і відбиток пальця, так і фото не передаються на сервер, зберігаються в смартфоні в захищеній області, а перевірка безпеки відбувається за згенеровані токена - криптограмме. Найближчим часом ми плануємо дати користувачам можливість біометричної захисту по голосу.
ВД: Як фінансова діяльність MOSST корелюється з міжнародними платіжними системами Visa і MasterСard?
Ю. К. Та Visa і MasterCard - наші стратегічні партнери, ми постійно впроваджуємо їх напрацювання. Наприклад, рішення Visa CyberSource є багаторівневою системою захисту і перевірки даних між учасниками транзакцій за допомогою настроюваних правил. Таким чином, шахрайська транзакція може бути зупинена як на рівні авторизації клієнта, так і на рівні проведення платежу.
ВД: Які міжнародні ресурси залучені в контроль безпеки платежів MOSST?
Ю. К. Ми використовуємо напрацювання та експертизу провідних компаній у сфері ІТ: Microsoft, Symantec, Fortinet та ін. Нашим аудитором за PCI DSS і безпеки є велика міжнародна компанія, представлена в багатьох країнах світу.
ВД: Які рекомендації з точки зору безпеки ви б могли дати користувачам, які часто користуються грошовими переказами з карти на карту?
Ю. К. Перше - використовуйте для переказів мобільні додатки. Так, таких рішень небагато, але вони з'являються. Друге - ніколи не повідомляйте свої карткові дані незнайомим людям по телефону, не важливо, ким вони представляються або які аргументи наводять для того, щоб виманити у вас номер картки, термін дії та код безпеки CVV (тризначний код на звороті карти). І третя порада - використовуйте сервіси провайдерів, які інвестують у безпека, сертифіковані і контрольовані як міжнародними аудиторами, так і Національним банком України.