як шахраї знімають гроші з банківських карток українців
На початку липня кіберполіція розкрила злочинну групу, яка обікрала банківські картки півсотні українців. Шахраї телефонували жертвам під виглядом співробітників банків, тому ті самі давали їм дані своїх карт. Цей сценарій - не новий. У минулому році на подібних схемах злочинці заробили близько 300 млн гривень. У той же час, банки не готові відшкодовувати збиток. Розголошуючи персональні дані, користувачі порушують умови договору з фінансовою установою. Детальніше про те, які схеми обману найпопулярніші в Україні, скільки заробляють шахраї і як не попастися на "вудку" зловмисників -у матеріалі РБК-Україна.
Самі винні
За даними Української міжбанківської асоціації членів платіжних систем, у минулому році кожен сотий власник платіжної картки в країні став жертвою шахраїв. "Улюблена" схема злочинців - вішинг. Зловмисники під різними приводами змушують людей розголошувати персональні дані або дані карти. Наприклад, у розмові по телефону з жертвою вони представляються різними людьми, в тому числі й співробітниками банку. Якщо в 2015 році кожен третій випадок шахрайства відбувався саме за цим сценарієм, то в минулому році - вже кожен другий. Середня сума, яку втрачала людина під час таких шахрайських операцій, в 2015-му становила близько 800 гривень. У 2016-му вона досягла 1,5 тис. гривень.
У той же час, прибуток шахраїв від атак на банківські рахунки з кожним роком зростає. У 2015 році злочинці "заробили" 85 млн гривень, з них на вішинзі - 52 млн гривень. У 2016-му ця цифра вже досягла 340 млн гривень, у тому числі від вішингу 275 млн гривень. Як зазначають в Асоціації, найчастіше жертвами шахрайства з картками стають пенсіонери.
Одним з літніх людей, які попалися на вудку шахраїв, став Олександр. Як розповіла РБК-Україна його дочка Ірина, у квітні цього року зловмисники зняли з його картки 30 тис. гривень. Олександр працює на державному підприємстві, і у нього була зарплатна картка в Ощадбанку.
"Йому зателефонували на мобільний з невідомого номера, представившись службою безпеки банку і сказали, що з його карткою нібито проводять якісь маніпуляції зловмисники. У перший раз батько не повірив і кинув трубку", - поділилася Ірина. Олександр провсяк випадок став дзвонити в контактний центр Ощадбанку, а також за номером, зазначеним на картці. Слухавку ніхто не брав. Пізніше злочинці зателефонували чоловікові другий раз, вже з іншого номера і продиктували дані Олександра: прізвище, ім'я, по батькові, дату народження, кількість коштів на карті. Вони знали, що крім цієї програми він обслуговується по пенсійній.
Йому ще раз повідомили про маніпуляції з картою і попросили назвати всі цифри з передньої і задньої частин карти, щоб запобігти крадіжці коштів з рахунку. "Після того, як батько почув свої особисті дані, він довірився і продиктував ці цифри. Пізніше він намагався заблокувати картку через найближчий банкомат, але той не працював, в Ощадбанку номер, як і раніше, не відповідав", - поділилася Ірина. Через кілька годин грошей на карті вже не було. Чоловік разом з бухгалтером підприємства написали заяву в банк і поліцію. У банку розповіли, що гроші були перераховані в два заходи і частина коштів навіть не переводили в готівку, а купили за них якісь речі. Заява в поліції залишається там до цих пір. Але, на думку Ірини, злочинців навряд чи стануть шукати - для оперативників це немасштабні розкрадання.
"Для мого батька це серйозні гроші, які він довго збирав, заробляючи своєю працею. Але все виглядає так, ніби батько добровільно розповів дані карти. Тому важко знайти винних і щось довести", - скаржиться Ірина. Вона зазначила, що до шахрайства могли бути причетні співробітники банку, так як у злочинців були дані її батька. У самому ж банку Олександру пояснили: те, що він розголосив персональну інформацію - його вина.
Ще однією жертвою шахраїв на початку липня стала клієнтка банку ПУМБ Антоніна. В 7.30 ранку її розбудив дзвінок нібито від співробітника установи. Той заявив, що банк вирішив встановити нову систему безпеки. Переконливим голосом злочинець пояснив, що для перевірки карти їм потрібно отримати дані. У разі відмови він погрожував штрафом і блокуванням карти на два місяці. Як розповіла Антоніна РБК-Украина, вона запідозрила щось недобре, коли чоловік попросив назвати СVV-код. Але загроза про блокування картки стала вагомою причиною, щоб продиктувати його.
"Найцікавіше, що для активації послуги потрібно було побути на лінії тридцять секунд. Я тільки потім зрозуміла, що це ідеальна пастка: поки висиш на лінії - не можна зателефонувати в банк і заблокувати картку. Навіть якщо бачиш, що прийшло SMS зі зняттям грошей", - поділилася Антоніна. Після того, як дівчина "повисіла" на лінії, зв'язок обірвався. Вона відразу ж зателефонувала в банк, так як з рахунку були зняті гроші, і попросила оператора заблокувати карту. Крім того, сказала, що хоче повідомити про випадок шахрайства. Співробітник ПУМБу пообіцяв зафіксувати випадок, але навіть не поцікавився, з якого номера телефонували. Тоді Антоніна сама попросила його записати номер і час дзвінка. "Мене дуже здивувала фраза оператора гарячої лінії "Ну так, ви можете нам продиктувати номер телефону, але шахраї зараз дуже винахідливі, так що навряд чи ця інформація чимось допоможе", - поскаржилася дівчина. Пізніше оператор сказав, що передасть заявку службі безпеки, яку будуть розглядати п'ять робочих днів. Сума на карті була невеликою, тому в поліцію вона звертатися не стала, а банк ніяк не відреагував на інцидент.
В Національній поліції у відповідь на запит РБК-Україна повідомили, що в 2016 році правоохоронцям надійшло понад 4 тис. заяв про інтернет-шахрайство. Серед найбільш поширених схем були дзвінки, коли зловмисники повідомляли про вигадане блокування банківських карт, а також SMS-розсилки про виграш авто. За перше півріччя 2017 року поліція отримала майже 2,5 тис. подібних заяв. В минулому році співробітники кіберполіції виявили 800 таких кримінальних правопорушень, і оголосили про підозру 80 особам. Але тільки за перші шість місяців цього року було виявлено близько тисячі таких правопорушень, а про підозру оголошено 70 людям.
Схеми шахрайства
Іноді шахраї набирають по телефону самостійно, також можуть надсилати SMS від імені банку з проханням передзвонити. В Ощадбанку відзначають: найчастіше вони надсилають повідомлення клієнтам великих банків з найбільшою кількістю платіжних карт. У відповідь на запит РБК-Україна в Ощадбанку повідомили, що злочинці влаштовують масові розсилки по телефонних базах навмання. Іноді такі СМС отримують навіть ті, у кого немає платіжних карт. Злочинці можуть оповіщати в повідомленні про блокування картки, необхідність сплатити внесок або про виграш автомобіля. В Ощадбанку радять не відповідати на такі повідомлення і підкреслюють, що співробітники ніколи не просять їм передзвонити. Крім того, коли клієнтові приходить повідомлення від Ощадбанку, у графі "відправник" завжди значиться Oschadbank латинськими літерами.
Під час телефонної розмови шахраї можуть представлятися працівниками служби безпеки банків, Національного банку, Пенсійного фонду або установ соціальної сфери. Вони можуть повідомляти про блокування картки або про інтерес до неї з боку міфічних зловмисників. Літнім людям розповідають легенду про надбавку до пенсії.
На співрозмовника психологічно тиснуть, наполягаючи повідомити конфіденційну інформацію про карту. Номер картки, термін її дії, CVV2 і CVC2 коди на звороті, одноразові паролі для операцій в Інтернеті, PIN-код, кодове слово, паролі доступу в інтернет-банкінг не можна повідомляти нікому. Шахраї можуть цікавитися даними паспорта, а отримавши їх - збільшити ліміт на платежі і зняти велику суму. "Часто шахраї називають перші чотири цифри банківської картки для того, щоб переконати людину, що дзвонить саме співробітник банку. Але не всі знають, що вони завжди однакові в межах певного карткового продукту", - повідомляють в Ощадбанку. Якщо в банку запідозрять шахрайські дії з карткою, то не стануть дзвонити клієнту, а відразу її заблокують. При отриманні підозрілого SMS або дзвінка в Ощадбанку рекомендують повідомити про нього в їх контакт-центр.
В Ощадбанку відзначають: після недавньої кібератаки у телефонних шахраїв з'явилася нова легенда. Вони представляються співробітниками банку, розповідають про втрату бази і просять надати персональні дані для її відновлення. В установі просять не йти на контакт з такими людьми і повідомляти про дзвінок в контакт-центр.
Але клієнти банків часто безпечні в цьому питанні. "У березні клієнту одного із українських банків з французьким капіталом шахраї зателефонували більш двадцяти разів, і він вісімнадцять разів повідомив їм одноразові паролі, які приходили в SMS. Злочинцям вдалося зняти з рахунку 140 тисяч гривень", - розповів РБК-Україна директор Української міжбанківської асоціації членів платіжних систем Олександр Карпов.
Пізніше у банку повідомили, що не допоможуть у поверненні суми. Адже в кожній SMS говорилося, що код - це конфіденційна інформація, призначена виключно для здійснення платежу. Її не можна передавати кому-небудь по телефону. "Коли ви передаєте по телефону або іншим способом вашу платіжну інформацію, це те ж саме, якби ви самі віддали грабіжникові ключі від квартири", - підкреслює Карпов.
За його словами, у шахраїв є багато способів отримати контактні дані, а також інформацію по банківських карткам людей. Наприклад, через соціальні мережі. Крім того, якщо на комп'ютері встановлено неліцензійне програмне забезпечення, платіжну інформацію може зчитувати специфічний вірус. Карпов також зазначає, що недобросовісні співробітники торгових мереж можуть продавати персональні анкети, які покупці заповнюють при оформленні дисконтних карт. Зазвичай там є прізвище, ім'я та по батькові людини, а також мобільний телефон та адреса. Також клієнтськими базами можуть торгувати колишні або працюючі співробітники банків. Але подібні випадки легше всього виявити і вони, як правило, закінчуються в'язницею.
В Ощадбанку не виключають, що шахраї купують бази телефонних номерів. Однак заперечують можливість розголошення персональних даних клієнтів з боку своїх працівників. "Конфіденційна інформація про карти клієнтів надійно зберігається в процессингу банку. До неї має доступ обмежене коло співробітників", - підкреслюють в прес-службі.
В Приватбанку РБК-Україна розповіли, що для профілактики шахрайських дій перевіряють кандидатів на вакансію і вже працюючих співробітників на благонадійність. Спеціальні тести дозволяють визначити схильність до шахрайства. За виявлені випадки шахрайства працівникам виплачують бонуси до тисячі доларів. Співробітників Приватбанку, викритих у шахрайстві, звільняють, незалежно від суми завданого збитку і посади.
Ще одна улюблена схема шахраїв - розсилка повідомлень про виграш призу. Частіше всього автомобіля. На телефон жертви приходить SMS з текстом "Вітаємо! Ви виграли автомобіль. Для подальшої інформації контактуйте за вказаним телефоном і зайдіть на наш сайт." Для цих цілей злочинці створюють сторінки-клони відомих автодилерів. На фальшивому сайті може бути написано, що саме на ваш номер телефону випав приз - нова машина. Зателефонувавши по телефону, жертва зв'язується з представником call-центру, який дуже впевнено розповідає, що вона виграла шляхом випадкової генерації номеру, і може забрати авто. Олеся Данильченко каже, що людям повідомляють про необхідність попередньо сплатити певний податок. "Сама людина прагне якомога швидше перевести необхідну суму. Йому здається, що десять-двадцять тисяч гривень - дрібниця в порівнянні з вартістю авто. Але виходить, що він просто віддає свої гроші, нічого не отримавши взамін", - зазначає Данильченко. Щоб змусити швидко прийняти рішення, злочинці кажуть, що термін акції обмежений, і потрібно внести гроші до кінця робочого дня. За словами експерта, поліція періодично розкриває такі справи, але повернення грошей через суд - тривала процедура.
Як захищатися?
Проте жертви шахраїв нерідко звинувачують самі банки у співпраці з злочинцями. Це пояснюють тим, що у зловмисників спочатку був номер банківської карти та інша персональна інформація людини. Керівник Форуму безпеки розрахунків і операцій з платіжними інструментами і кредитами Олеся Данильченко зазначає, що більшість даних розголошують самі власники карток, тому що ними вправно маніпулюють.
"Я неодноразово слухала записи таких розмов. Виявлялося, що злочинці не називали номер карт або іншу персональну інформацію. Вони так вправно вели розмову, що співрозмовникам здавалося, що про них щось знають", - зазначила в коментарі РБК-Україна Данильченко. Вона розповіла, що зловмисники часто кваплять жертв, щоб вони почали панікувати і змусити швидко прийняти рішення. Наприклад, погрожують, що якщо не отримають інформацію для розблокування карт, її довго не можна буде відновити. Данильченко радить скидати підозрілі дзвінки та телефонувати на перевірений номер банку - телефон, зазначений на картці, або в контакт-центр. "Якщо навіть карта насправді побуде заблокованою п'ять хвилин, нічого страшного не трапиться", - підкреслює вона.
Тим, хто все-таки розкрив свої дані, необхідно якомога швидше звернутися в банк. Рахунок часу йде на хвилини, тому що шахраї миттєво переводять кошти з картки на картку. Хтось із їхніх спільників може стояти під банкоматом, щоб їх зняти. Данильченко звернула увагу, що банки часто намагаються йти на зустріч, хоч і не зобов'язані цього робити в разі добровільного розголошення даних. Вони намагаються зв'язатися з іншими банками, куди шахраї переводять гроші, щоб вони не встигли перевести в готівку.
Ощадбанк також дає поради, як убезпечити себе від зловмисників. Наприклад, можна підключити sms-банкінг: він дає доступ до історії руху коштів на рахунку. Ще один спосіб - встановити ліміти на зняття готівки, розрахунки в торговельній мережі та географічні ліміти, щоб гроші не могли зняти люди з іншого регіону. Для безпечних онлайн-покупок можна відкрити віртуальну карту. Її можна завести самостійно через веб-банкінг і поповнювати безпосередньо перед здійсненням покупки. При підозрі, що хтось використовує вашу конфіденційну інформацію, слід негайно заблокувати картку.