Менше, але більше

Частка шахрайства в операціях з платіжними картками скорочується, запевняють у Нацбанку. З кожного 1 млн транзакцій лише 25 платіжних операцій у 2017-му виявлялися шахрайськими. У грошовому вираженні ситуація виглядає навіть оптимістично. «На 1 млн грн видаткових операцій з використанням платіжних карток тільки 77 грн припадали на незаконні операції, тоді як в 2016 році ця сума становила майже 110 грн», – підрахував директор департаменту платіжних систем та інноваційного розвитку НБУ Олександр Яблунівський. Зменшилася за минулий рік і загальна кількість шахрайських операцій з картками – з 95 тис. до 77,6 тис.

Але якщо від дій шахраїв постраждаєте ви, ваші збитки будуть більше, ніж раніше: за рік середній чек втрат виріс з 1900 грн до 2100 грн. Виросли ризики втрат для жителів великих населених пунктів. «Найбільша кількість шахрайських випадків припадає на великі міста (населення понад 1 млн) і найбільші області – 97%», – зазначили в НБУ.

Найчастіше ваша картка знаходиться в безпеці під час роботи з офлайновою інфраструктурою (POS-термінали і банкомати). Директор Української міжбанківської асоціації членів платіжних систем ЄМА Олександр Карпов назвав розрахунки в торговельних мережах найбільш безпечним способом оплати карткою. «Якщо клієнт банку використовує картку в торговельній мережі, то тільки в 2% випадків можуть виникнути проблеми. Три роки тому цей показник становив 12%», – запевняє він.

Частка шахрайств через банкомати скоротилася з 38% до 29%. Йдеться про скімінгові накладки, що зчитують магнітну картку і запам'ятовують пін-код, або ж про кеш-трепінг – встановлення на банкомат шахрайського пристрою, який не дозволяє клієнту отримати готівку при проведенні транзакції зняття готівки. Банки борються з цим. За підрахунками ЄМА, якщо в 2015 році виявлено 991 випадок кеш-трепінгу, то в 2017-му – лише 191.

Телефон довіри

Шахрайства перейшли в онлайн, слідом за платежами українців. «З I кварталу 2015 року частка проблемних операцій в Інтернеті та під час переказів з картки на картку зросла з 50% практично до 70%», – підрахував Олександр Карпов. Вже кожна друга гривня розкрадається в Інтернеті: онлайн у банків було вкрадено 84,1 млн грн, а загальні втрати – 163,7 млн грн.

Банкіри визнають, що платіжне шахрайство постійно вдосконалюється, з'являються нові способи обдурити українців. Відбувається зміна фокусу зловмисників з технологічних методів шахрайства на людський фактор. Якщо в 2016 році середня сума крадіжки за допомогою соціальної інженерії становила 1403 грн, то в 2017-му – вже 2543 грн.

Найчастіше клієнти банків самі віддають шахраям персональну інформацію або переказують їм гроші. Через неуважність вони страждають від фішингу: шахрай створює підроблену сторінку популярного сайту, яка майже не відрізняється від справжньої та спонукає жертву ввести свої дані. Мета фейкового сайту – отримати дані картки клієнта і перевести в готівку її. Це можуть бути фейкові сайти переказу грошей з картки на картку або оплати мобільного зв'язку.

Українців можуть «розвести» на дані про платіжну картку, якщо пообіцяти їм виплатити грошовий приз, як це було використано в шахрайській схемі в соціальній мережі Instagram. «У зв'язку із значним зростанням оплат через браузери мобільних телефонів варто звертати увагу, що рядок адреси на мобільному телефоні не візуалізує усі символи, як це відбувається на персональному комп'ютері, і часто шахраям достатньо лише додати пробіли після справжньої адреси сайту, щоб «зловити» клієнта», – розповів начальник відділу операційних ризиків управління ризик-менеджменту Банку Кредит Дніпро Михайло Лабунський.

Для отримання даних про картку шахраї можуть телефонувати людині, представляючись співробітниками банку (вішинг), або відправляти смс, яке змушує її напряму зв'язатися з шахраями (смішинг). Українцям масово розсилають смс про те, що їхня картка заблокована і треба терміново зв'язатися з банком для розблокування картки. Оскільки в таких повідомленнях згадуються банки з найбільшою кількістю клієнтів – ПриватБанк і Ощадбанк, то багато хто, будучи реальними клієнтами цих банків, вірять в реальність подібних повідомлень і переводять гроші.

Шахраї стежать за ситуацією і активно використовують нові можливості. Після кібератаки на банки в червні 2017-го шахраї почали обдзвонювати клієнтів Ощадбанку, щоб під виглядом «оновлення баз даних, які постраждали від кібератаки», випитати персональні дані клієнтів. Про випитування в соціальних мережах даних про картки клієнтів повідомляв також УкрСиббанк.

За словами Михайла Лабунського, шахраї хочуть вивідати повний номер картки (16 цифр), термін її дії та CVV-код: «Але співробітники банку за жодних умов не запитують таку інформацію у клієнтів. Максимум, що вони можуть запитати – це останні чотири цифри номера».

Зловмисники навіть говорять, що вони співробітники НБУ, проте це брехня.

Кіберполіція на сторожі

Схема «фіктивний продавець» дозволяє отримувати передоплату за неіснуючі товари. З'явилися навіть «фіктивні покупці», яким для проведення оплати нібито потрібні карткові дані продавця, які в подальшому використовуються для крадіжки грошей у жертви. «Шахрай, увійшовши в довіру, випитує реквізити картки або змушує провести операцію з переказу коштів зі своєї картки на картку шахрая. Часто даний метод використовують шахраї під час купівлі або продажу лотів на онлайн-аукціонах», – кажуть в ОТП Банку.

Для розслідування карткового шахрайства Нацполіція навіть створила окремий департамент, який у 2017 році почав 3820 кримінальних проваджень, з них 1330 – в сфері платіжного шахрайства. Відшкодувати вдалося близько 65% від усіх понесених збитків. «Якщо говорити про шахрайство в сфері соціальної інженерії, то сума збитку становить 275 млн грн, з них відшкодовано близько 50%», – підрахував начальник відділу протидії злочинам у сфері платіжних систем департаменту кіберполіції Нацполіціі Максим Вольвак.

Директор департаменту електронної комерції та платіжних коштів Ощадбанку Володимир Москаленко визнає, що методи шахраїв постійно еволюціонують. «Під час виявлення нового типу шахрайства, коли клієнти ще не знайомі з ним, простежується певний сплеск шахрайських дій. Але після комплексних заходів, які вживаються спільно усіма учасниками банківської системи у взаємодії з правоохоронними органами, тенденція знижується», – пояснив він. Володимир Москаленко розповів, що Ощадбанк виявив кілька шахрайських груп, які шляхом дзвінків і розсилок смс-повідомлень нібито від імені банку намагалися вивідати персональні дані власників карток. «Звичайно ж, Ощадбанк активно співпрацює з операторами мобільного зв'язку, повідомляє їм (для блокування. – Ред.) номери телефонів, які використовують зловмисники», – говорить експерт. Тільки за минулий рік, за даними ЄМА, до чорних списків було внесено 3430 телефонних номерів.

Українці повинні вміти захиститися від шахраїв. «Специфіка фішингу по-українськи в тому, що не так шахраї шукають свого «клієнта», скільки клієнти самі потрапляють на «вудку». Тому ми велику увагу приділяємо інформуванню і навчанню клієнтів заходам безпеки поводження з карткою та її реквізитами», – каже Михайло Лабунський.

Крім того, в Інтернеті можна знайти чорні списки шахрайських сайтів, якими не можна користуватися. «Знаходження підозрілого сайту в чорному списку підтверджує, що в жодному разі не можна вказувати на ньому будь-які персональні або карткові дані. Втім, відсутність сайту в списку також не є гарантією повної безпеки, адже фішингові сайти з'являються набагато частіше, ніж оновлюється інформація», – нарікає Михайло Лабунський.

Подписывайтесь на новости FinClub в Telegram, Viber, Twitter и Facebook.