как мошенники снимают деньги с банковских карт украинцев
В начале июля киберполиция раскрыла преступную группу, которая обокрала банковские карты полусотни украинцев. Мошенники звонили жертвам под видом сотрудников банков, поэтому те сами давали им данные своих карт. Этот сценарий - не новый. В прошлом году на подобных схемах преступники заработали около 300 млн гривен. В то же время, банки не готовы возмещать ущерб. Разглашая персональные данные, пользователи нарушают условия договора с финансовым учреждением. Подробнее о том, какие схемы обмана самые популярные в Украине, сколько зарабатывают мошенники и как не попасться на "удочку" злоумышленников -в материале РБК-Украина.
Сами виноваты
По данным Украинской межбанковской ассоциация членов платежных систем, в прошлом году каждый сотый собственник платежной карты в стране стал жертвой мошенников. "Любимая" схема преступников - вишинг. Она предполагает, что злоумышленники под разными предлогами вынуждают людей разглашать персональные данные или данные карты. Например, в разговоре по телефону с жертвой они представляются разными людьми, в том числе и сотрудниками банка. Если в 2015 году каждый третий случай мошенничества происходил именно по этому сценарию, то в прошлом году - уже каждый второй. Средняя сумма, которую терял человек во время таких мошеннических операций, в 2015-м составляла около 800 гривен. В 2016-м она достигла 1,5 тыс. гривен.
В то же время, прибыль мошенников от атак на банковские счета с каждым годом растет. В 2015 году преступники "заработали" 85 млн гривен, из них на вишинге - 52 млн гривен. В 2016-м эта цифра уже достигла 340 млн гривен, в том числе от вишинга 275 млн гривен. Как отмечают в Ассоциации, чаще всего жертвами мошенничества с карточками становятся пенсионеры.
Одним из пожилых людей, которые попались на удочку мошенников, стал Александр. Как рассказала РБК-Украина его дочь Ирина, в апреле этого года злоумышленники сняли с его карты 30 тыс. гривен. Александр работает на государственном предприятии, и у него была зарплатная карта в Ощадбанке.
"Ему позвонили на мобильный с неизвестного номера, представившись службой безопасности банка и сказали, что с его картой якобы проводят какие-то манипуляции злоумышленники. В первый раз отец не поверил и бросил трубку", - поделилась Ирина. Александр на всякий случай стал звонить в контактный центр Ощадбанка, а также по номеру, указанному на карте. Трубку никто не брал. Позже преступники позвонили мужчине второй раз, уже с другого номера и продиктовали данные Александра: фамилию, имя, отчество, дату рождения, количество средств на карте. Они знали, что кроме зарплатной программы он обслуживается по пенсионной.
Ему еще раз сообщили про манипуляции с картой и попросили назвать все цифры с передней и задней частей карты, чтобы предотвратить кражу средств со счета. "После того, как отец услышал свои личные данные, он доверился и продиктовал эти цифры. Позже он пытался заблокировать карту через ближайший банкомат, но тот не работал, в Ощадбанке номер по-прежнему не отвечал", - поделилась Ирина. Спустя несколько часов денег на карте уже не было. Мужчина вместе с бухгалтером предприятия написали заявление в банк и полицию. В банке рассказали, что деньги были перечислены в два захода и часть средств даже не обналичивали, а купили за них какие-то вещи. Заявление в полиции остается там до сих пор. Но, по мнению Ирины, преступников вряд ли станут искать - для оперативников это немасштабные хищения.
"Для моего отца это серьезные деньги, которые он долго копил, зарабатывая своим трудом. Но все выглядит так, как будто отец добровольно рассказал данные карты. Поэтому тяжело найти виновных и что-то доказать", - посетовала Ирина. Она отметила, что к мошенничеству могли быть причастны сотрудники банка, так как у преступников были данные ее отца. В самом же банке Александру объяснили: то, что он разгласил персональную информацию - его вина.
Еще одной жертвой мошенников на прошлой неделе стала клиентка банка ПУМБ Антонина. В 7.30 утра ее разбудил звонок якобы от сотрудника учреждения. Тот заявил, что банк решил установить новую систему безопасности. Убедительным голосом преступник объяснил, что для проверки карты им нужно получить ее данные. В случае отказа он угрожал штрафом и блокировкой карты на два месяца. Как рассказала Антонины РБК-Украина, она заподозрила что-то неладное, когда мужчина попросил назвать СVV-код. Но угроза о блокировке карты стала весомой причиной, чтобы его продиктовать.
"Самое интересное, что для активации услуги нужно было побыть на линии тридцать секунд. Я только потом поняла, что это идеальная уловка: пока висишь на линии - нельзя позвонить в банк и заблокировать карту. Даже если видишь, что пришло SMS со снятием денег", - поделилась Антонина. После того, как девушка "повисела" на линии, связь оборвалась. Она тут же перезвонила в банк, так как со счета были сняты деньги, и попросила оператора заблокировать карту. Кроме того, сказала, что хочет сообщить о случае мошенничества. Сотрудник ПУМБа пообещал зафиксировать случай, но даже не поинтересовался, с какого номера звонили. Тогда Антонина сама попросила его записать номер и время звонка. "Меня очень удивила фраза оператора горячей линии "Ну да, вы можете нам продиктовать номер телефона, но мошенники сейчас очень изобретательны, так что вряд ли эта информация чем-то поможет", - пожаловалась девушка. Позже оператор сказал, что передаст заявку службе безопасности, которую будут рассматривать пять рабочих дней. Сумма на карте была небольшой, поэтому в полицию она обращаться не стала, а банк никак не отреагировал на инцидент.
В Национальной полиции в ответ на запрос РБК-Украина сообщили, что в 2016 году правоохранителям поступило свыше 4 тыс. заявлений об интернет-мошенничестве. Среди наиболее распространенных схем были звонки, когда злоумышленники сообщали о вымышленной блокировке банковских карт, а также SMS-рассылки о выигрыше авто. За первое полугодие 2017 года полиция получила почти 2,5 тыс. подобных заявлений. В прошлом году сотрудники киберполиции выявили 800 таких уголовных правонарушений, и объявили о подозрении 80 лицам. Но только за первые шесть месяцев этого года было выявлено около тысячи таких правонарушений, а о подозрении объявлено 70 людям.
Схемы "развода"
Иногда мошенники набирают по телефону сами, также могут присылать SMS от имени банка с просьбой перезвонить. В Ощадбанке отмечают: чаще всего они присылают сообщения клиентам крупных банков с наибольшим количеством платежных карт. В ответ на запрос РБК-Украина в Ощадбанке сообщили, что преступники устраивают массовые рассылки по телефонным базам наугад. Иногда такие СМС получают даже те, у кого нет платежных карт. Преступники могут оповещать в сообщении о блокировке карты, необходимости оплатить взнос или о выигрыше автомобиля. В Ощадбанке советуют не отвечать на такие сообщения и подчеркивают, что сотрудники никогда не просят им перезвонить. Кроме того, когда клиенту приходит сообщение от Ощадбанка, в графе "отправитель" всегда значится Oschadbank латинскими буквами.
Во время телефонного разговора мошенники могут представляться сотрудниками службы безопасности банков, Национального банка, Пенсионного фонда или учреждений социальной сферы. Они могут сообщать о блокировке карты или об интересе к ней со стороны мифических злоумышленников. Пожилым людям рассказывают легенду о прибавке к пенсии.
На собеседника психологически давят, настаивая сообщить конфиденциальную информацию о карте. Номер карточки, срок ее действия, CVV2 и CVC2 коды на обратной стороне, одноразовые пароли для операций в Интернете, PIN-код, кодовое слово, пароли доступа в интернет-банкинг нельзя сообщать никому. Мошенники могут интересоваться данными паспорта, а получив их - увеличить лимит на платежи и снять большую сумму. "Часто мошенники называют первые четыре цифры банковской карты для того, чтобы убедить человека, что звонит именно сотрудник банка. Но не все знают, что они всегда одинаковые в рамках определенного карточного продукта", - сообщают в Ощадбанке. Если в банке заподозрят мошеннические действия с картой, то не станут звонить клиенту, а сразу ее заблокируют. При получении подозрительного SMS или звонка в Ощадбанке рекомендуют сообщить о нем в их контакт-центр.
В Ощадбанке отмечают: после недавней кибератаки у телефонных мошенников появилась новая легенда. Они представляются сотрудниками банка, рассказывают об утере базы и просят предоставить персональные данные для ее восстановления. В учреждении просят не идти на контакт с такими людьми и сообщать о звонке в контакт-центр.
Но клиенты банков часто беспечны в этом вопросе. "В марте клиенту одного из украинских банков с французским капиталом мошенники позвонили более двадцати раз, и он восемнадцать раз сообщил им одноразовые пароли, которые приходили в SMS. Преступникам удалось снять со счета 140 тысяч гривен", - рассказал РБК-Украина директор Украинской межбанковской ассоциация членов платежных систем Александр Карпов.
Позже в банке сообщили, что не помогут в возвращении суммы. Ведь в каждой SMS говорилось, что код - это конфиденциальная информация, предназначенная исключительно для совершения платежа. Ее нельзя передавать кому-либо по телефону. "Когда вы передаете по телефону или другим способом вашу платежную информацию, это то же самое, если бы вы сами отдали грабителю ключи от квартиры", - подчеркивает Карпов.
По его словам, у мошенников есть много способов получить контактные данные, а также информацию о банковских картах людей. Например, через социальные сети. Кроме того, если на компьютере установлено нелицензионное программное обеспечение, платежную информацию может считывать специфический вирус. Карпов также отмечает, что недобросовестные сотрудники торговых сетей могут продавать персональные анкеты, которые покупатели заполняют при оформлении дисконтных карт. Обычно там есть фамилия, имя и отчество человека, а также мобильный телефон и адрес. Также клиентскими базами могут торговать бывшие или работающие сотрудники банков. Но подобные случаи легче всего обнаружить и они, как правило, заканчиваются тюрьмой.
В Ощадбанке не исключают, что мошенники покупают базы телефонных номеров. Однако отрицают возможность разглашения персональных данных клиентов со стороны своих работников. "Конфиденциальная информация о картах клиентов надежно хранится в процессинге банка. К ней имеет доступ ограниченный круг сотрудников", - подчеркивают в пресс-службе.
В ПриватБанке РБК-Украина рассказали, что для профилактики мошеннических действий проверяют кандидатов на вакансию и уже работающих сотрудников на благонадежность. Специальные тесты позволяют определить склонность к мошенничеству. За выявленные случаи мошенничества сотрудникам выплачивают бонусы до тысячи долларов. Сотрудников ПриватБанка, уличенных в мошенничестве, увольняют, независимо от суммы нанесенного ущерба и должности.
Еще одна излюбленная схема мошенников - рассылка сообщений о выигрыше приза. Чаще всего автомобиля. На телефон жертвы приходит SMS с текстом "Поздравляем! Вы выиграли автомобиль. Для дальнейшей информации свяжитесь по указанному телефону и зайдите на наш сайт". Для этих целей преступники создают странички-клоны известных автодиллеров. На фальшивом сайте может быть написано, что именно на ваш номер телефона выпал приз - новая машина. Перезвонив по телефону, жертва связывается с представителем call-центра, который очень уверенно рассказывает, что человек выиграл путем случайной генерации номера, и может забрать авто. Алеся Данильченко говорит, что людям сообщают о необходимости предварительно заплатить определенный налог. "Сам человек стремится как можно быстрее перевести необходимую сумму. Ему кажется, что десять-двадцать тысяч гривен - мелочь в сравнении со стоимостью авто. Но получается, что он просто отдает свои деньги, ничего не получив взамен", - отмечает Данильченко. Чтобы заставить быстро принять решение, преступники говорят, что срок акции ограничен, и нужно внести деньги до конца рабочего дня. По словам эксперта, полиция периодически раскрывает такие дела, но возвращение денег через суд - длительная процедура.
Как защищаться?
Однако жертвы мошенников нередко обвиняют сами банки в сотрудничестве с преступниками. Это объясняют тем, что у злоумышленников изначально был номер банковской карты и другая персональная информация человека. Руководитель Форума безопасности расчетов и операций с платежными инструментами и кредитами Алеся Данильченко отмечает, что большинство данных разглашают сами владельцы карт, потому что ими ловко манипулируют.
"Я неоднократно слушала записи таких разговоров. Оказывалось, что преступники не называли номер карт или другую персональную информацию. Они так ловко вели разговор, что собеседникам казалось, что о них что-то знают", - отметила в комментарии РБК-Украина Данильченко. Она рассказала, что злоумышленники часто торопят жертв, чтобы они начали паниковать и заставить быстро принять решение. Например, угрожают, что если не получат информацию для разблокировки карт, ее долго нельзя будет восстановить. Данильченко советует сбрасывать подозрительные вызовы и перезванивать на проверенный номер банка - телефон, указанный на карточке, или в контакт-центр. "Если даже карта в действительности побудет заблокированной пять минут, ничего страшного не случится", - подчеркивает она.
Тем, кто все-таки раскрыл свои данные, необходимо как можно быстрее обратиться в банк. Счет времени идет на минуты, потому что мошенники мгновенно переводят средства с карты на карту. Кто-то из их сообщников может стоять под банкоматом, чтобы их снять. Данильченко обратила внимание, что банки зачастую стараются идти на встречу, хоть и не обязаны этого делать в случае добровольного разглашения данных. Они стараются связаться с другими банками, куда мошенники переводят деньги, чтобы они не успели их обналичить.
Ощадбанк также дает советы, как обезопасить себя от злоумышленников. Например, можно подключить sms-банкинг: он дает доступ к истории движения средств на счету. Еще один способ - установить лимиты на снятие наличных, расчеты в торговой сети и географические лимиты, чтобы деньги не могли снять люди из другого региона. Для безопасных онлайн-покупок можно открыть виртуальную карту. Ее можно завести самостоятельно через веб-банкинг и пополнять непосредственно перед совершением покупки. При подозрении, что кто-то использует вашу конфиденциальную информацию, следует немедленно заблокировать карту.