За даними Української міжбанківської асоціації членів платіжних систем ЕМА у 2019 році аферисти «кинули» українців майже на 362 млн грн. Причому у дві треті всіх випадків люди самі повідомляли конфіденційні дані картки. Чому ж українці продовжують вестися на шахрайські схеми?

СОЦІАЛЬНА ІНЖЕНЕРІЯ. Здавалося б, всі знають, що не потрібно відповідати на дзвінки, типу «Шановний клієнте, вашу картку заблоковано! Повідомте дані для перевірки», або «Вас турбує служба безпеки банку, скажіть номер відділення – три цифри на зворотному боці картки» і т. п. І тим не менше, соціальна інженерія – шахрайство, коли, використовуючи різні психологічні прийоми, змушують жертву повідомити конфіденційні дані її картки, ще в «тренді». Давайте докладніше розглянемо, як працюють шахрайські схеми.

Вішинг: виманювання даних за телефоном

Мета: виманити реквізити банківської картки або іншу персональну інформацію, примусити до переказу коштів на картку злодіїв.

Схема дій. Можуть дзвонити та  представлятися особами, що викликають довіру – співробітником банку, пенсійного фонду чи правоохоронних органів або ж потенційним покупцем, оператором мобільного зв’язку. Шахраї вже навіть навчилися за допомогою спеціального програмного забезпечення підмінювати номери телефонів, щоб ви думали – що нібито спілкуєтеся з банком. Під час розмови шахраї залякують блокуванням картки чи обіцяють виграш, поступово вивідуючи необхідні їм реквізити картки.
Результат. Заволодівши конфіденційною інформацією, позбавляють жертву коштів.

Фішинг: перехід за посиланням на підроблений сайт

Мета: отримати доступ до конфіденційних даних користувачів (логінів і паролів).

Журнал «Народний банкір» №13/2020

Схема дій. Власникові картки на електронну пошту чи в SMS приходить повідомлення з проханням підтвердити персональні дані та реквізити картки, для цього пропонується перейти за посиланням, за яким знаходиться неіснуюча або підроблена копія сайту банку. Фішингові сайти зазвичай відрізняються від реальних кількома літерами, тому потрібно бути дуже уважними, знати напам’ять сайт вашого банку та інтернет-банкінгу. 
Результат. Може бути викрадена персональна інформація.

Найновіші, комбіновані схеми

Мета: виманити конфіденційні дані та вивести гроші.

Схеми дій

• Дзвонить ніби фінансовий консультант банку. Уточнює клієнтом якого банку є людина, і далі промовляє від імені згаданого у розмові банку. Запитує, коли і які операції проводив клієнт. Уточнює номер картки. Повідомляє, що по картці ніби пройшли операції. Запитує строк дії картки. Пропонує, щоб попередити шахрайство, CVV-код заблокувати. Переводить ніби на службу безпеки. Якщо клієнт не вірить, що відбувались певні операції, йому відправляють SMS з сайту оператора з нібито сумою блокування. Клієнту пропонують новий CVV-код і просять його записати. Щоб розблокувати картку, пропонують назвати старий CVV-код, який ніби вже недійсний.

Результат. Шахраї дізнаються всю інформацію по картці та виводять з неї кошти.

Журнал «Народний банкір» №13/2020

• Клієнту телефонує ніби співробітник банку з номеру, схожого на гарячу лінію банку. Повідомляє, що відбувалась якась операція нещодавно – списання або блокування коштів. За потреби для підтвердження цього надсилають SMS з якогось інтернет-ресурсу. Пропонують пройти додаткову ідентифікацію та кажуть, що необхідно терміново «зберегти та повернути кошти». Для цього у SMS вказується посилання на підроблений сайт. Переходячи за посиланням, клієнт потрапляє на спеціальну шахрайську сторінку, ніби з логотипом банку, де клієнт вводить логін та пароль. Шахраї одразу їх перехоплюють і заходять  у справжній інтернет-банкінг або роблять платіж з картки клієнта через платіжні сервіси. При цьому у клієнта на телефоні вже відображується нове вікно для відмови проведення операції. І в той же час йому надходить SMS з паролем для підтвердження платежу, що виконали шахраї. Він вводить отриманий пароль, шахраї його перехоплюють, вводять на сторінці підтвердження операції.

Результат. Шахраї переводять кошти з рахунку клієнта на картки в інших банках або виконують платіж.

Журнал «Народний банкір» №13/2020

 ПРАВИЛА БЕЗПЕКИ

1. Чітко пам’ятати, що таке конфіденційні дані картки і не повідомляти їх нікому!

Конфіденційні дані картки:

• термін дії картки
• тризначний код безпеки зі зворотного боку картки (код CVV)
• PIN-код
• пароль з SMS від банку
• номер картки
• будь-які логіни та паролі, зокрема для входу до інтернет- та мобільного банкінгу

2. Хто б не телефонував – «працівник» банку,  СБУ, поліції,  Пенсійного Фонду, якщо він вимагає конфіденційні дані – це шахрай, одразу завершуйте розмову. Також негайно припиніть розмову, якщо:

• вам повідомляють про надходження, списання або перерахунки пов’язані з картками;
• надходить SMS-повідомлення з додаванням контакту;
• у розмові кажуть, що перевипустять ваш СVV-код;
• повідомляють, що надішлють SMS або Viber-повідомлення та їх треба перевірити;
• просять перейти з повідомлення на сторінку інтернет-банкінгу та у спливаючому вікні ввести код відмови від операції.

3. Якщо у вас є сумніви, самостійно зателефонуйте до банку за номером, указаним на звороті вашої картки, повідомте щодо спроби шахрайства та з’ясуйте усі подробиці.
4. Ваш фінансовий номер, який вказаний у договорі, має бути прив’язаним до паспорту та не має бути у вільному доступі.
5. Банк не телефонує з номерів, вказаних на сайті. Це номери для дзвінків клієнтів.
6. Вивчіть напам’ять адресу сайту та онлайн-банкінгу вашого банку. Наприклад, www.pumb.ua та https://online.pumb.ua .
 

Ви вже назвали свої конфіденційні дані шахраю? Ваші кроки:

• Терміново зателефонуйте в банк і заблокуйте свою картку.
• Заблокуйте свій інтернет-банкінг.
• Зверніться до поліції.

Журнал «Народний банкір» №13/2020

Прикмети телефонного шахрая

• Телефонує з невідомого номеру
• Квапить вас
• Залякує блокуванням картки, втратою грошей
• Намагається дізнатися конфіденційні дані картки та коди підтвердження з SMS

Прикмети SMS-шахрая

• Номер мобільного виглядає, як приватний +380... або повідомлення надходить з надписом INTERNET
• У повідомленні вам не дають часу проаналізувати ситуацію та просять терміново перетелефонувати за вказаним номером чи перейти за посиланням
• Намагаються отримати ваші конфіденційні дані, коди підтвердження.

Контакт-центр банку з питань протидії шахрайству
У деяких великих та надійних банках створюється спеціальний підрозділ у контакт-центрі, який протидіє шахрайству. Як, наприклад, це працює у банку ПУМБ? Телефонуєте на гарячу лінію банку та повідомляєте оператору, що стикнулися з шахрайством. Вас одразу переведуть на експерта з безпеки. Він оперативно може вплинути на ситуацію: заблокувати картку чи рахунок, повідомити інші банки щодо виявленої ситуації. Якщо гроші вже вкрали і вивели в інший банк: оператор контактує з профільним підрозділом іншого банку для блокування коштів, недопущення їх виводу чи отримання готівкою.

Переглянути весь випуск