Власники пластикових карт дозволяють шахраям спустошувати не тільки свої рахунки, а й кредитні ліміти
Українці дедалі частіше й активніше починають користуватися пластиковими картками та можливостями грошових розрахунків, які надають банки власникам карткових рахунків. У безготівковому обігу крутиться дедалі більше коштів, і це не може не вабити шахраїв.
Вітчизняні банкіри відзначають бурхливе зростання шахрайства, спрямованого на заволодіння грішми користувачів пластикових банківських карток. При цьому до вже традиційних видів карткового шахрайства поступово додаються вдосконалені види несанкціонованого зняття грошей з пластику. Зловмисники опановують технології соціального і психологічного впливу та технології хакерських атак, пишуть нові віруси і створюють несправжні сайти в мережі. Наші співвітчизники, через свою недосвідченість, а іноді - й феноменальну довірливість та безтурботність, досить легко ловляться на вудку аферистів.
Нещодавно у мережі опублікували список 5925 інтернет-магазинів по всьому світу, сайти яких хакери заразили вірусом, що краде персональні дані покупців, у тому числі реквізити їхніх банківських карт. Інформація перехоплюється ще до початку оплати - у момент, коли покупець тільки вводить дані своєї платіжної карти, тому вона не захищена шифруванням за протоколом HTTPS. 67 сайтів із небезпечного списку - українські. Найстрашніше, що вітчизняні мережеві магазини здебільшого або не знали, що їхні сайти заражені і з них крадуть інформацію клієнтів, або, знаючи про зараження, нічого не робили. Ця ситуація досить характерна й показує нашу неготовність боротися з картковими шахраями. А їхня діяльність у нашій країні активізується приголомшливими темпами.
Українські банки у 2015 р. зазнали збитків на 181 млн грн від шахрайських операцій із платіжними картами, що вдвічі перевищує показники 2014 р., повідомляє Національний банк України. Ця офіційна інформація відображає тільки вершину реального айсберга проблем, оскільки багато банків або приховують, або применшують свої збитки від карткового шахрайства задля збереження репутації. До того ж зазначена статистика не враховує збитків клієнтів, яким банки найчастіше відмовляються відшкодовувати втрати, що виникли через їхню особисту необережність. А втрати клієнтів, очевидно, на порядок вищі за втрати банків. Щоб не стати жертвою карткових аферистів, власникові пластику необхідно, як мінімум, знати про основні методи відбирання коштів із карткового рахунку.
Методи ці дуже різноманітні, часом - дуже оригінальні, але при цьому їх можна умовно поділити на методи технічні та "соціальної інженерії": керування діями людини без використання технічних засобів, послуговуючись слабкістю людської психіки.
Кеш-трепінг
Найбільш, на перший погляд, примітивний, але досить дійовий і дуже поширений спосіб крадіжки грошей із банківської карти - украсти їх безпосередньо з прорізу для видачі готівки в банкоматі під час спроби клієнта зняти гроші зі своєї картки. При цьому зловмисники можуть як встановлювати на банкомат спеціальні, досить складні накладні пристосування з липкою стрічкою, так і примітивно заклеювати отвір скотчем. Принцип афери теж жахливо простий. Найчастіше атак зазнають банкомати, розміщені поблизу ресторанів та клубів у вечірній або нічний час. Людина, виходячи зі злачного закладу і наміряючись зняти гроші, вставляє пластикову картку, вводить пін-код, суму, а грошей банкомат не видає. Звісно, певний час вона обурюється, однак, максимум, через півгодини йде з бажанням завтра зранку розібратися з недбайливими банківськими працівниками. Шахраї ж, постійно спостерігаючи за банкоматом, одразу знімають гроші.
Згідно зі статистикою Європейської асоціації з безпеки операцій з готівкою, за першу половину 2016 р. цей спосіб відбирання грошей із банкоматів у Європі виявився найпопулярнішим.
Скіммінг
Цей спосіб крадіжки персональних даних клієнтів із допомогою спеціального обладнання на банкоматах або терміналах у 2013 р. був справжнім бичем усієї банківської системи карткових платежів України. Сьогодні зафіксованих випадків його використання поменшало втричі, однак він усе ще досить популярний. Злочинці, що вибрали цей спосіб, озброюються досить сучасними технічними приладами. Головний пристрій - скіммер, портативний сканер, що зчитує дані з карти жертви. Встановлюють його зазвичай як малопомітну накладку на щілину прийому карти банкомата. Обладнання пропускає через себе карту, зчитуючи при цьому дані з магнітної стрічки. Після чого шахраї виготовляють копію карти. Але для того, щоб скористатися такою картою-копією ("білим пластиком", як кажуть фахівці з інформаційної безпеки), злочинці мають знати пін-код карти. Зчитують цей код найчастіше з допомогою високоякісної відеокамери, встановленої неподалік, або з допомогою тонкої накладної клавіатури, встановлюваної на клавіатуру банкомата.
Щоб не стати жертвою цього виду шахрайства, інколи досить уважно оглянути банкомат, перш ніж ним скористатися. Накладні невластиві деталі можна помітити, оскільки вони змінюють стандартний вигляд апарата. До речі, багато вітчизняних банків з метою боротьби зі скіммінгом розміщують на екрані монітора зображення банкомата в стандартній комплектації. Вводячи пін-код, варто також прикривати його від можливого підглядання. Але найкраще захищає від скіммінгу використання карти з чіпом. Зробити копію такої карти занадто складно, й поки що таких випадків не зафіксовано.
Фішинг в Інтернеті
Фішинг (від англійського fishing - риболовля) охоплює величезний перелік прийомів шахраїв, спрямованих на отримання конфіденційних даних клієнтів та їхніх карткових рахунків у мережі Інтернет. Найчастіше аферисти створюють несправжні сайти банків, магазинів, ігрових порталів, провайдерів, платіжних систем та інших відомих компаній і організацій, а також розсилають електронні листи від імені цих компаній. Як і на риболовлі, використовуються або приваблива наживка, яку жертва має заковтнути, впіймавшись на гачок, або майстерно розкинуті сіті, в які потрапляють довірливі власники пластику.
Найтиповіший приклад - оголошення про можливість легкого заробітку в Інтернеті. Щоб почати роботу й отримувати гроші, слід зареєструватися на певному сайті, при цьому ввести дані своєї карти (номер, термін дії, CVV 2-код), на яку нібито проводитимуться виплати. У результаті, шахраї отримують доступ до карткових рахунків користувачів, які "клюнули" на можливість легкого підробітку, і списують із них усі кошти.
Останнім часом шахраї неабияк удосконалилися і в крадіжці персональних даних клієнтів з реальних серверів інтернет-магазинів, розважальних та ігрових сайтів. Приміром, аферисти-хакери нерідко технічно "доопрацьовують" сайти інтернет-магазинів. Над формою для відправки реквізитів карти вони розміщують власну форму. У результаті, клієнт вводить персональні дані в липове вікно й посилає їх шахраям. Інша поширена схема - реєстрація сайтів-клонів, створених спеціально для збору даних. Шахраї створюють сайт, абсолютно ідентичний тому, на якому відбуваються покупки. Відмінність можна помітити лише за незначними змінами в назві сайту (в адресному рядку браузера). Клієнти заходять на сайт-клон і залишають там свої персональні дані, які потім ідуть до зловмисників.
Окремий вид шахрайства, що нині набирає обертів, - усілякі віруси, котрі крадуть інформацію як із банкоматів, платіжних терміналів, так і з персональних комп'ютерів.
Аби захиститися від несанкціонованого доступу до коштів на карті, банкіри радять використовувати для розрахунків в Інтернеті так звані віртуальні карти з обмеженою сумою на рахунку, призначені виключно для розрахунків в Інтернеті.
Телефонний фішинг
Втім, виявляється найпростіший і досі ще дійовий спосіб заволодіти даними про карту користувача - це просто попросити його повідомити їх. Звучить це, на перший погляд, безглуздо, але - працює: із сотні клієнтів банків десяток особливо довірливих охоче діляться з незнайомцями по телефону конфіденційною інформацією. Зазвичай шахрай відрекомендовується працівником банку, який "просто уточнює необхідні дані".
У повсякденному житті люди здебільшого не очікують нападу в будь-який момент. Дзвінок захоплює їх зненацька, а досвідчені шахраї вміють цим успішно користуватися. Деякі злочинці діють так нахабно, що навіть просять прочитати код підтвердження, який "ви зараз одержите на свій телефон".
Вітчизняні власники пластикових карт демонструють чудеса довірливості, дозволяючи шахраям дощенту спустошувати не тільки власні рахунки, а й кредитні ліміти. Непрямим стимулятором розвитку цього виду шахрайства стало впровадження українськими банками низки оригінальних послуг, які, з одного боку, дають власникові карти ряд переваг (наприклад, можливість зняти гроші в банкоматі без карти або поповнити рахунок через мобільний банкінг), а з іншого - при безпечності картотримачів, значно полегшують шахраям зняття грошей із їхніх рахунків.
Влітку нинішнього року спеціалісти НБУ відзначили різке зростання кількості шахрайських операцій, які проводилися без фізичного використання пластикових платіжних карт.
Зловмисники, часто відрекомендовуючись працівниками банку, запитують у користувачів реквізити їхніх платіжних карт (повний номер карти, термін її дії, код CVV2/CVC2 та пін-код) і миттєво здійснюють операції зняття грошей із платіжних рахунків у мережі Інтернет або в банкоматах.
Найпоширеніша "наживка" - дзвінок за оголошенням. Шахраї телефонують людині, котра розмістила оголошення про продаж чого-небудь на одному з популярних сайтів, відрекомендовуються покупцем і домовляються про оплату на картковий рахунок продавця. Згодом жертві телефонує вже другий із шахраїв і відрекомендовується співробітником банку. Нібито з переказом виникли якісь проблеми і потрібно уточнити дані одержувача.
Щоб скористатися послугою зняття грошей без карти або провести платіж в інтернет-банкінгу, картотримач має зателефонувати в банк і пройти ідентифікацію - назвати номер та термін дії карти, іноді - паспортні дані. Після цього потрібно повідомити банківському співробітникові суму, яку ви хочете зняти, і ввести, як правило, код, що надходить у вигляді СМС на номер мобільного телефону, прикріплений до банківської карти. Тобто шахраї, як правило, не можуть отримати код прямо, оскільки він приходить власникові карти безпосередньо в процесі операції. Парадокс полягає в тому, що власник карти часто сам повідомляє код зловмисникам. Дарма що в СМС міститься попередження про неприпустимість його розголошення, необхідність назвати код шахраї пояснюють тим, що гроші нібито перераховуються "з корпоративного рахунку", "з депозиту" або ще якимось "нестандартним" способом. Насправді в жодному з цих випадків ідентифікація одержувача - зокрема через розголошення секретних кодів - непотрібна.
До речі, НБУ недавно попередив клієнтів банків про виникнення нового виду шахрайської крадіжки даних із платіжних карт з допомогою систем зовнішніх інтерактивних голосових відповідей (IVR). Власникам платіжних карток телефонують не самі шахраї, а запрограмовані ними роботи, які від імені "банку" просять надати інформацію про платіжну карту або логін/пароль від веб-банкінгу, необхідні для здійснення платежу.
Не стати жертвою
Щоб вимагати від банку компенсації втрат у разі несанкціонованого зняття грошей, власник карти має підтвердити свою непричетність до втрати або передачі даних третім особам. Та навіть при цьому відшкодування збитків він може очікувати місяцями. Відповідальність же за самостійну передачу своїх заощаджень до рук шахраям у випадку, наприклад, телефонного або інтернет-фішингу лежить на жертві. Щоб не стати жертвою, треба, як мінімум, міцно засвоїти кілька базових правил.
Щоб надіслати переказ, відправникові потрібно знати тільки номер карти і ваше ім'я. Паспортні дані, ІНПП, дата народження, термін дії карти та інші її реквізити при цьому не потрібні. Якщо ви домовляєтеся, наприклад, про продаж товару - не називайте покупцеві жодних зайвих даних. Якщо вам телефонують нібито з банку і просять назвати особисті дані - це привід насторожитися. Якщо ви сумніваєтеся, чи справді вам телефонує співробітник, - запитайте, коли і в яке відділення ви можете підійти, щоб вирішити проблему особисто, а не телефоном. Шахраї після таких слів зазвичай просто кладуть трубку. Хоч би яке СМС-повідомлення ви отримали від банку, завжди уважно його прочитайте. Ніколи не називайте третім особам (у тому числі співробітникам банку, а також знайомим, друзям, родичам, продавцям у магазині) пін-код від вашої карти, а також секретних одноразових кодів, що надсилаються на телефон.
Часто жертви шахрайства дивуються, звідки шахраї знають про них так багато. Насправді за номером карти легко дізнатися ім'я її власника, ініціювавши грошовий переказ на карту в системі Приват24 або в терміналі. Потім за іменем потенційної жертви в соцмережах шахраї можуть дізнатися її мобільний номер та інші дані, з допомогою яких вони й надалі гратимуть "усебічно обізнаного" співробітника банку.
У кожному разі, якщо ви підозрюєте, що дані карти потрапили до шахраїв, або вже виявили пропажу коштів, насамперед треба заблокувати карту. Якщо йдеться про шахрайство, то, крім звернення до банку, необхідно також написати заяву в поліцію.