Новини Корупції

Банківські шахраї взяли на озброєння соціальну інженерію

чт, 31/01/2019 — 17:42

Злочинці навчилися «влазити в голови своїх жертв.

Втрати від карткових шахрайств знизилися в Україні більш ніж удвічі, але самим небезпечним методом крадіжки грошей залишається соціальна інженерія, коли шахраї дистанційно дізнаються у клієнтів інформацію, що дозволяє красти гроші з їхніх карток. Боротися з цими шахраями складно, оскільки жертви самостійно видають конфіденційні дані, пише в інтернет-виданні FinClub Вікторія Руденко.

Шахраї 24/7

Просування cashless-економіки та популяризація карткових платежів створюють сприятливий ґрунт для карткового шахрайства, але ситуація в цій сфері в Україні почала поліпшуватися. В Асоціації ЕМА підрахували, що за протиправних дій шахраїв українці в 2018 році втратили близько 250 млн грн. Хоча роком раніше обсяг їхніх втрат досягав 669,6 млн грн. «Сплеск звернень від клієнтів про спроби шахрайства ми спостерігали в 2017 році, на сьогодні він знизився», – підтверджує головний спеціаліст відділу моніторингу ризику шахрайства та протидії кіберзагрозам ПУМБ Олександр Савченко.

В НБУ мають попередніми даними за I півріччя 2018 року було здійснено 32,6 тис. незаконних дій або сумнівних операцій з використанням платіжних карток. Збитки оцінюються у 83,3 млн грн, що на 21% більше, ніж у першій половині 2017 року. І хоча в середньому кожен такий випадок загрожує втратою клієнтами по 2,6 тис. грн, в НБУ заспокоюють магією великих чисел: обсяг збитків становить всього 0,0064% від обсягу всіх операцій по картах і «не має значного впливу на ринок платіжних карток в Україні». Про проблеми з несанкціонованими списаннями і зникненням грошей клієнтів повідомили 30 банків.

Найчастіше шахраї використовували методи соціальної інженерії і фішингові сайти – протягом року на них припадало сумарно від 65% до 74% всіх шахрайських транзакцій, розповіла заступник директора Асоціації ЕМА Олеся Данильченко.

Шахрайство з картками
Infogram

З методом соціальної інженерії вишингом (vishing) українці стикаються, коли невідомі випитують у них по телефону конфіденційну інформацію платіжної картки (номер картки, строк дії, CVV-код), про проведеної транзакції (код, присланий банком SMS) або клієнта (дата народження, дівоче прізвище матері тощо). Щоб приспати пильність, шахраї представляються співробітниками банку, НБУ, СБУ чи інших структур.

Часто шахраї використовують смишинг (smishing) – масову розсилку SMS про нібито блокування картки клієнта, навіть вказуючи банк, послугами якого людина не користується, або зовсім надсилають SMS без вказівки назви банку. Ці повідомлення повинні викликати у клієнта паніку, «відключити» критичне мислення і змусити власника картки самостійно вийти на зв’язок і повідомити шахраям всю інформацію, з допомогою якої вони потім зможуть вкрасти гроші з картки.

«Шахраї роблять ставку на довіру клієнтів – розсилають SMS або дзвонять самі і, представившись різними працівниками банку, а також операторами мобільного зв’язку, намагаються отримати особисту інформацію від клієнта, яка в подальшому використовується для виводу грошей. Шахраї спеціально вибирають для своїх дзвінків такий час, коли клієнти не запідозрять шахрайства. А головне, як самі дзвінки, так і SMS надходять з номерів телефонів, не належать до банків або операторів», – розповів FinClub Олександр Савченко.

До методів соціальної інженерії відноситься фіктивна онлайн-торгівля, коли шахраї під маскою «продавця» отримують передоплату за неіснуючі товари (відповідно не можна висилати передоплату, а товар оплачувати тільки післяплатою) або дізнаються платіжні дані клієнта та його «фінансовий» номер. Після чого шахраї перевипускають SIM-карту оператора мобільного зв’язку держателя платіжної картки отримують всі коди та паролі, які банк надсилає клієнту для підтвердження транзакцій. «Отримання шахраями дублікатів SIM-карт для подальшого управління рахунками відбувається завдяки спрощеній дистанційної процедурі відновлення SIM-карти», – розповіли FinClub в Ощадбанку.

За підрахунками Олесі Данильченко, середня сума шахрайської операції з використанням методів соціальної інженерії коливається від 2333 грн (без заміни SIM-карти) до 3620 грн (з заміною SIM-карти). Для порівняння: середня сума втрат в Інтернеті складає всього 85 грн. «У більшості випадків клієнти добровільно повідомляють конфіденційну інформацію (наприклад, код підтвердження з SMS) або самі переводять гроші на рахунки шахраїв (наприклад через термінали поповнення)», – пояснює пан Савченко.

Шахрайство з картками 2018
Infogram

Щоб не постраждати від таких шахраїв, фахівці радять використовувати «фінансовий номер» лише для спілкування з друзями та родичами і не відповідати на дзвінки з незнайомих номерів. Рекомендується встановити PIN-код SIM-карту, а також підписати контракт з оператором зв’язку, тоді заміна SIM-карти буде можлива лише при пред’явленні паспорта.

До найбільш поширених способів обману клієнтів експерти ЕМА відносять і фішингові (phishing) сайти – фіктивні сайти для несакционированного збору даних про платіжні картки (номер, термін дії, CVV-код). В минулому році був виявлений 31 новий фішинговий сайт, тоді як роком раніше – 108 сайтів. Як правило, шахраї створюють фіктивні сайти під виглядом надання послуг з переказу коштів на карткові рахунки або поповнення рахунків мобільних операторів.

Дохід шахраїв від соціальної інженерії і інтернет-шахрайства склав 240,92 млн грн і 4,89 млн грн відповідно.

Обсяги вкрадених шахраями грошей, млн грн
Infogram

На частку банкоматного шахрайства припадає 22-28% «лаві». Фахівці розрізняють кілька видів таких операцій. Один з них – кеш-треппінг (cash trapping), коли шахраї встановлюють насадки на отвір для видачі купюр, які блокують видачу готівки. У минулому році було зафіксовано 90 таких випадків (у 2017-му – 191).

Поширений і скіммінг (skimming) – установка на кардрідер спеціальних пристроїв, які копіюють дані з магнітної смуги платіжної картки. Цю інформацію шахраї надалі використовують для зняття готівки. У 2018-му було виявлено 102 скимминговых пристрою, майже стільки ж, скільки і в 2017-му (113).

Випадки шахрайства при використанні дистанційного банківського обслуговування досить рідкісні – 3-9% від усієї кількості виявлених злочинів. Найнижча ймовірність стати жертвою карткового шахрайства у тих, хто розплачується картами в POS-терміналах (1-3%).

При цьому саме в даному сегменті українці витрачають найменше грошей – 268 млрд грн за січень-вересень 2018 року. Найбільше грошей українці переслали з карти на карту (301 млрд грн) і заплатили в мережі Інтернет (312 млрд грн), підрахували в Нацбанку.

Різне шахрайство
Infogram
Строго конфіденційно

Повну інформацію про обсяги карткового шахрайства експерти ринку зібрати не можуть: банки не розкривають всі дані, посилаючись на вимоги міжнародних платіжних систем. Їм невигідно повідомляти ринку про реальному масштабі проблеми. Крім того, деякі клієнти соромляться того, що їх ошукав шахрай, тому вони не повідомляють банк, або ж вони вважають, що таке звернення не призведе до повернення грошей. Ще рідше ошукані громадяни звертаються в Національну поліцію, в якій навіть створено спеціальний підрозділ – киберполиция.

Директор Асоціації ЕМА Олександр Карпов каже, що результати дослідження «Поінформованість населення про методи боротьби з платіжним шахрайством» свідчать про те, що переважній більшості опитаних не доводилося звертатися до Нацполицию з питань шахрайства з платіжними картками. Тільки 3% зверталися в карний розшук, а лише 0,3% – до киберполицейским. Серед тих, хто звертався до Нацполицию, 61% зробили це за допомогою дзвінка в кол-центр «102», 41% – зробивши усну заяву співробітникові поліції, а 22% – написавши звернення в поліцейській ділянці.

На початку минулого року поліція затримала в Чернівцях банду молдавських скімерів, які працювали в Одесі, Києві та Миколаєві. Затримання відбувалися і у Києві.

Співробітники департаменту кіберполіції в 2018 році виявили 2398 кримінальних правопорушень у сфері платіжних систем, що становить левову частку – 40% – виявлених ними правопорушень. Для порівняння: в сфері е-комерції зафіксовано 1598 правопорушень (26,6%), кібербезпеки – 1325 (22%), сфері протиправного контенту – 680 (11,4%). При цьому департамент у минулому році супроводжував 3697 кримінальних проваджень у сфері платіжних систем, що становить 33% від загальної кількості супроводжуваних ними виробництв.

Захисти себе сам

Опитані FinClub банки підтверджують статистику: соціальна інженерія є основним інструментом шахраїв. «У 2018 році глобальною проблемою для нас залишалася соціальна інженерія, яка є найпоширенішою схемою для шахраїв. Ефективною боротьбою з даним видом шахрайства є постійна робота з клієнтами: ЗМІ, розсилання, консультування клієнтів про правила користування картками для запобігання такого виду шахрайства», – каже начальник сектору моніторингу та розслідування шахрайських операцій ОТП Банку Ярослав Захарченко.

«Як і інші банки, ми постійно нагадуємо власникам платіжних карт, що у нас є вся інформація для обслуговування їх рахунків і що всі паролі і коди конфіденційні. Їх ніколи і нікому не треба передавати, ким би він не здавався», – підкреслив начальник управління підтримки карткового бізнесу Райффайзен Банку Аваль Сергій Кратенко. У ПУМБ закликають пам’ятати, що шахраї добре підготовлені і володіють психологічними прийомами, які активно використовують для того, щоб увійти в довіру».

Для поширення інформації про можливих шахрайських схемах банки використовують всі доступні їм комунікаційні канали. Менеджери банків не запитують у клієнтів паролі і цифри на звороті карти (це CVV-коди, які шахраї називають нібито «номером відділення»), залишок по рахунку, в якому банку ви обслуговуєтесь, цифри прийшли SMS. Ця інформація доступна тільки клієнту і не підлягає розголошенню. «При особистому спілкуванні з клієнтами при видачі карт співробітники Ощадбанку постійно попереджають їх про те, що банк ніколи не здійснює запити і телефонні дзвінки, у тому числі під виглядом служби безпеки або контакт-центру, з метою уточнення реквізитів платіжної картки або персональних даних. Також нами введена опція під номером «1» в автоматичному меню контакт-центру для повідомлення про шахраїв та оперативного блокування картки, розміщені попереджувальні заставки на банкоматах», – перераховують в Ощадбанку.

Банки радять встановлювати низькі добові ліміти на суму та кількість операцій, що максимально знизить ризики великих грошових втрат у випадку шахрайських дій. При цьому клієнт може за допомогою мобільного додатку або кол-центру оперативно підняти ліміт безпосередньо перед зняттям грошей з карти або проведенням великого онлайн-платежу. Для оплати онлайн-покупок багато банків дозволяють випускати віртуальні інтернет-карти.

Сергій Кратенко зауважив, що із зростанням інтернет-операцій шахраї більше зусиль направляють на отримання даних про клієнта при здійсненні онлайн-транзакцій. Для протидії таким діям банки використовують новітні способи шифрування даних. «Ми рекомендуємо клієнтам користуватися онлайн-банкінгом – там є можливість блокування картки/рахунку. Пройти у оператора зв’язку додаткову ідентифікацію та посилити безпеку. До таких дій слід вдатися, якщо є ризик крадіжки грошей з картки. Наприклад, якщо в ході розмови з шахраєм клієнт все-таки розкрив якусь інформацію, необхідно максимально оперативно заблокувати картки і рахунку. Після цього необхідно зв’язатися з банком за номером контакт-центру, зазначеним на картці, та повідомити про інцидент і слідувати рекомендаціям працівників банку», – розповідає Олександр Савченко.

Але якщо клієнт самостійно розголосив реквізити картки та конфіденційну інформацію, йому не повернуть гроші. «Втрачена сума однозначно не буде відшкодована клієнту, якщо дані карти були розголошені і операції були підтверджені введення реквізитів платіжної картки (номер, термін дії, коди CVV2 / CVC2, унікальні коди верифікації та коди підтвердження 3D-Secure для одноразової операції в мережі Інтернет), одноразових кодів доступу до систем дистанційного банківського обслуговування «Інтернет-банкінг», «Мобільний банкінг», які були відправлені на мобільний телефон клієнта», – нагадують в Ощадбанку.

Вікторія Руденко, FinClub

Підписуйтесь на наш Telegram-канал.

Источник

Click to comment

Оставить комментарий

Most Popular

To Top