Шахраї 24/7

Просування cashless-економіки і популяризація карткових платежів створюють сприятливий грунт для карткового шахрайства, але ситуація в цій сфері в Україні почала поліпшуватися. В Асоціації ЄМА підрахували, що через протиправні дій шахраїв українці в 2018 році втратили близько 250 млн грн. Хоча роком раніше обсяг їхніх втрат досягав 669,6 млн грн. «Сплеск звернень від клієнтів про спроби шахрайства ми спостерігали в 2017 році, на сьогодні він знизився», - підтверджує головний спеціаліст відділу моніторингу ризику шахрайства та протидії кіберзагрозам ПУМБ Олександр Савченко.

В НБУ мають попередні дані: за I півріччя 2018 року здійснено 32,6 тис. незаконних дій або сумнівних операцій з використанням платіжних карток. Збитки оцінюються у 83,3 млн грн, що на 21% більше, ніж в першій половині 2017 року. І хоча в середньому кожен такий випадок може призвести до втрати клієнтами по 2,6 тис. грн, в НБУ заспокоюють магією великих чисел: обсяг збитків становить всього 0,0064% від обсягу всіх операцій за картками і «не має значного впливу на ринок платіжних карток в Україні». Про проблеми з несанкціонованими списаннями і зникненням грошей клієнтів повідомили 30 банків.

Найчастіше шахраї використовували методи соціальної інженерії та фішингові сайти – протягом року на них припадало сумарно від 65% до 74% усіх шахрайських транзакцій, розповіла заступник директора Асоціації ЄМА Олеся Данильченко.

З методом соціальної інженерії вішингом (vishing) українці стикаються, коли невідомі випитують у них телефоном конфіденційну інформацію про платіжну картку (номер картки, термін дії, CVV-код), про транзакцію, що проводиться (код, надісланий банком в SMS), або про самого клієнта (дата народження, дівоче прізвище матері тощо). Щоб приспати пильність, шахраї представляються співробітниками банку, НБУ, СБУ або інших структур.

Часто шахраї використовують смішинг (smishing) – масову розсилку SMS про нібито блокування картки клієнта, навіть вказуючи банк, послугами якого людина не користується, або взагалі надсилають SMS без зазначення назви банку. Ці повідомлення повинні викликати у клієнта паніку, «відключити» критичне мислення і змусити власника картки самостійно вийти на зв'язок і повідомити шахраям усю інформацію, за допомогою якої вони потім зможуть вкрасти гроші з картки.

«Шахраї роблять ставку на довіру клієнтів - розсилають SMS або дзвонять самі і, представившись різними співробітниками банку, а також операторами мобільного зв'язку, намагаються отримати особисту інформацію від клієнта, яка в подальшому використовується для виведення грошей. Шахраї спеціально вибирають для своїх дзвінків такий час, коли клієнти не запідозрять шахрайства. А головне, як самі дзвінки, так і SMS надходять з номерів телефонів, що не відносяться до банків або операторам», - розповів FinClub Олександр Савченко.

До методів соціальної інженерії відноситься фіктивна онлайн-торгівля, коли шахраї під маскою «продавця» отримують передоплату за неіснуючі товари (відповідно не можна висилати передоплату, а товар оплачувати тільки післяплатою) або дізнаються платіжні дані клієнта і його «фінансовий» номер. Після чого шахраї перевипускають SIM-картку оператора мобільного зв'язку власника платіжної картки та отримують усі коди і паролі, які банк висилає клієнту для підтвердження транзакцій. «Отримання шахраями дублікатів SIM-карток для подальшого управління рахунками відбувається завдяки спрощеній дистанційній процедурі відновлення SIM-картки», – розповіли FinClub в Ощадбанку.

За підрахунками Олесі Данильченко, середня сума шахрайської операції з використанням методів соціальної інженерії коливається від 2333 грн (без заміни SIM-картки) до 3620 грн (із заміною SIM-картки). Для порівняння: середня сума втрат в Інтернеті складає всього 85 грн. «У більшості випадків клієнти добровільно повідомляють конфіденційну інформацію (наприклад, код підтвердження із SMS) або самі переводять гроші на рахунки шахраїв (наприклад через термінали поповнення)», - пояснює пан Савченко.

Щоб не постраждати від таких шахраїв, фахівці радять використовувати «фінансовий номер» лише для спілкування з друзями та родичами і не відповідати на дзвінки з незнайомих номерів. Рекомендується встановити PIN-код на SIM-картку, а також підписати контракт з оператором зв'язку, тоді заміна SIM-картки буде можлива лише за умови пред'явлення паспорта.

До найбільш поширених способів обману клієнтів експерти ЄМА відносять і фішингові (phishing) сайти – фіктивні сайти для несакціонірованного збору даних про платіжні картки (номер, термін дії, CVV-код). Минулого року було виявлено 31 новий фішинговий сайт, тоді як роком раніше – 108 сайтів. Як правило, шахраї створюють фіктивні сайти під виглядом надання послуг з переказу коштів на карткові рахунки або поповнення рахунків мобільних операторів.

Дохід шахраїв від соціальної інженерії та інтернет-шахрайства склав 240,92 млн грн і 4,89 млн грн відповідно.

На частку банкоматного шахрайства припадає 22-28% «скаму». Фахівці розрізняють кілька видів таких операцій. Один з них – кеш-трепінг (cash trapping), коли шахраї встановлюють насадки на отвір для видачі купюр, які блокують видачу готівки. Минулого року було зафіксовано 90 таких випадків (у 2017-му – 191).

Поширений також скімінг (skimming) – встановлення на кардрідер спеціальних пристроїв, які копіюють дані з магнітної смуги платіжної картки. Цю інформацію шахраї надалі використовують для зняття готівки. У 2018-му було виявлено 102 скімінгових пристроя, майже стільки ж, скільки і в 2017-му (113).

Випадки шахрайства при використанні дистанційного банківського обслуговування досить рідкісні – 3-9% від усієї кількості виявлених шахрайств. Найнижча ймовірність стати жертвою карткового шахрайства у тих, хто розплачується картками у POS-терміналах (1-3%).

При цьому саме в даному сегменті українці витрачають найменше грошей – 268 млрд грн за січень-вересень 2018 року. Більше грошей українці переслали з картки на картку (301 млрд грн) і заплатили в мережі Інтернет (312 млрд грн), підрахували в Нацбанку.

Суворо конфіденційно

Повну інформацію про обсяги карткового шахрайства експерти ринку зібрати не можуть: банки не розкривають усі дані, посилаючись на вимоги міжнародних платіжних систем. Їм невигідно повідомляти ринку про реальний масштаб проблеми. Крім того, деякі клієнти соромляться того, що їх обдурив шахрай, тому вони не повідомляють банк, або ж вони вважають, що таке звернення не призведе до повернення грошей. Ще рідше ошукані громадяни звертаються до Національної поліції, в якій навіть створено спеціальний підрозділ – кіберполіція.

Директор Асоціації ЄМА Олександр Карпов каже, що результати дослідження «Поінформованість населення про методи боротьби з платіжним шахрайством» свідчать про те, що переважній більшості опитаних не доводилося звертатися до Нацполіції з питань шахрайства з платіжними картками. Тільки 3% зверталися до карного розшуку, а лише 0,3% – до кіберполіцейських. Серед тих, хто звертався до Нацполіції, 61% зробили це за допомогою дзвінка до кол-центру «102», 41% – зробивши усну заяву співробітнику поліції, а 22% – написавши звернення у поліцейській дільниці.

На початку минулого року поліція затримала в Чернівцях банду молдавських скімерів, які працювали в Одесі, Києві та Миколаєві. Затримання відбувалися і в Києві.

Співробітники департаменту кіберполіції в 2018 році виявили 2398 кримінальних правопорушень у сфері платіжних систем, що становить левову частку – 40% – виявлених ними правопорушень. Для порівняння: в сфері е-комерції зафіксовано 1598 правопорушень (26,6%), кібербезпеки – 1325 (22%), сфері протиправного контенту – 680 (11,4%). При цьому департамент минулого року супроводжував 3697 кримінальних проваджень у сфері платіжних систем, що становить 33% від загальної кількості супроводжуваних ними виробництв.

Захисти себе сам

Опитані FinClub банки підтверджують статистику: соціальна інженерія є основним інструментом шахраїв. «У 2018 року глобальною проблемою для нас залишалася соціальна інженерія, яка є найпоширенішою схемою для шахраїв. Ефективною боротьбою з даним видом шахрайства є постійна робота з клієнтами: ЗМІ, розсилка, консультування клієнтів про правила користування картками для запобігання такому виду шахрайства», – каже начальник сектора моніторингу та розслідування шахрайських операцій ОТП Банку Ярослав Захарченко.

«Як і інші банки, ми постійно нагадуємо власникам платіжних карток, що у нас є вся інформація для обслуговування їхніх рахунків і що всі паролі та коди конфіденційні. Їх ніколи й нікому не треба передавати, ким би він не представлявся», – підкреслив начальник управління підтримки карткового бізнесу Райффайзен Банку Аваль Сергій Кратенко. У ПУМБ закликають «пам'ятати, що шахраї добре підготовлені і володіють певними психологічними прийомами, які активно використовують для того, щоб увійти в довіру».

Для поширення інформації про можливі шахрайські схеми банки використовують усі доступні їм комунікаційні канали. Менеджери банків не питають у клієнтів паролі і цифри на зворотному боці картки (це CVV-коди, які шахраї називають нібито «номером відділення»), залишок по рахунку, в якому банку ви обслуговуєтеся, цифри з тих, хто прийшов SMS. Ця інформація доступна тільки клієнту і не підлягає розголошенню. «При особистому спілкуванні з клієнтами під час видачі карт співробітники Ощадбанку постійно попереджають їх про те, що банк ніколи не здійснює запити та телефонні дзвінки, в тому числі під виглядом служби безпеки або контакт-центру, з метою уточнення реквізитів платіжної картки або персональних даних. Також нами запроваджено опцію під номером «1» в автоматичному меню контакт-центру для повідомлення про шахраїв і оперативного блокування картки, розміщено застережливі заставки на банкоматах», – перераховують в Ощадбанку.

Банки радять встановлювати низькі добові ліміти на суму і кількість операцій, що максимально знизить ризики великих грошових втрат у разі шахрайських дій. При цьому клієнт може за допомогою мобільного додатку або кол-центру оперативно підняти ліміт безпосередньо перед зняттям грошей з картки або проведенням великого онлайн-платежу. Для оплати онлайн-покупок багато банків дозволяють випускати віртуальні інтернет-картки.

Сергій Кратенко зауважив, що із зростанням інтернет-операцій шахраї більше зусиль спрямовують на отримання даних про клієнта при здійсненні онлайн-транзакцій. Для протидії таким діям банки використовують нові методи шифрування даних. «Ми рекомендуємо клієнтам користуватися онлайн-банкінгом - там є можливість блокування картки/рахунку. Пройти у оператора зв'язку додаткову ідентифікацію та посилити безпеку. До таких дій варто вдатися, якщо є ризик крадіжки грошей з карти. Наприклад, якщо в ході розмови з шахраєм клієнт все-таки розкрив якусь інформацію, необхідно максимально оперативно заблокувати картки та рахунки. Після цього необхідно зв'язатися з банком за номерами контакт-центру, зазначеним на карті, і повідомити про інцидент і слідувати рекомендаціям працівників банку», - розповідає Олександр Савченко.

Але якщо клієнт самостійно розголосив реквізити картки і конфіденційну інформацію, йому не повернуть гроші. «Втрачена сума однозначно не буде відшкодована клієнту, якщо дані картки були розголошені та операції були підтверджені введенням реквізитів платіжної картки (номер, термін дії, коди CVV2/CVC2, унікальні коди верифікації та коди підтвердження 3D-Secure для одноразової операції в мережі Інтернет), одноразових кодів доступу до систем дистанційного банківського обслуговування «Інтернет-банкінг», «Мобільний банкінг», які були відправлені на мобільний телефон клієнта», – нагадують в Ощадбанку.

Вікторія Руденко