З кожним роком українці все інтенсивніше користуються банківськими картками, розраховуються онлайн за товари та послуги. Однак разом з цим представники кримінального світу також вигадують нові способи крадіжок, але вже за допомогою інтернету й інших сучасних технологій.
Олександр Савченко, головний фахівець відділу моніторингу ризику шахрайства та протидії кіберзагрозам банку ПУМБ, розповів Tech Today про найбільш розповсюджені методи зловмисників та навів рекомендації щодо захисту.
1. Вішинг (vishing — voice phishing)
Шахраї телефонують потенційній жертві, попередньо зібравши початкову інформацію про неї в інтернеті або із інших джерел, з метою отримання додаткової персональної інформації та конфіденційних даних про картку.
Аби отримати додаткові персональні дані про жертву та реквізити її картки, під час розмови потенційній жертві інколи погрожують, що картку буде заблоковано, якщо такі дані не надати. Іноді передзвонюють ніби від імені служб безпеки або правоохоронних органів з вимогою негайно надати персональну інформацію у зв’язку з тим, що за карткою клієнта відбуваються шахрайські операції. Також можуть телефонувати ніби з приводу працевлаштування, надання послуг або щодо купівлі товарів, які продає потенційна жертва, тощо. Бувають випадки, коли шахраї тримають людину «на дроті» до години заради того, щоб виманити дані або змусити самостійно переказати або ввести на телефоні відповідні коди.
Також поширена легенда шахрайських дзвінків для виманювання коштів про те, що хтось із родичів потрапив у біду.
У деяких випадках шахраї заволодівають номером телефону потенційної жертви, який прикріплений до банківської картки, звертаються до мобільних операторів з приводу втрати телефона, отримують нову SIM-картку, а потім отримують на цей номер паролі сервісу 3D Secure та можуть підтверджувати несанкціоновані онлайн-транзакції за карткою жертви. Аби підтвердити мобільному оператору право на якийсь телефонний номер, шахраї попередньо можуть здійснити на цей номер декілька дзвінків, поповнити рахунок на незначну суму, а потім ці дії вказати як останню активність за номером.
2. Шкідливі програмні засоби
Це один зі складних шахрайських засобів, аби за допомогою комп’ютерних вірусів заволодіти конфіденційними даними власників карток, паролів та логінів до інтернет-банкінгу. Віруси шахраї надсилають на поштові скриньки довірливих громадян, або ж віруси завантажуються автоматично із зараженого сайту, який відвідав користувач. Після дій шкідливих програмних засобів шахраї можуть отримати віддалений доступ до комп’ютера користувача та здійснити несанкціоновані перекази з рахунків. При цьому вказані платежі будуть містити легальні реквізити клієнтів банків.
3. Підробні сайти та фішинг
Щоб отримати дані про картки в мережі інтернет, шахраї створюють підроблені сайти, так звані фішингові, нібито для переказу коштів або поповнення мобільних номерів телефонів. На такому сайті клієнт вводить реквізити своєї картки, і ці дані компрометуються. Потім шахраї використовують зібрані реквізити карток уже на справжніх ресурсах для переказу з них грошей на інші картки або поповнення електронних гаманців.
Хоча такі фішингові сайти постійно викривають, все одно їх лишається чимало. Вони постійно оновлюються, змінюють хостинг, реєструють співзвучні доменні імена. Зараз шахраї навіть почали використовувати сертифікати безпеки HTTPS-версії, аби маскувати свої сайти під надійні.
Іноді шахраї розсилають SMS із повідомленням про виграш автомобілів та з посиланням на сайти автосалонів або «фейкові сайти», внаслідок чого довірливі громадяни переказують кошти на рахунки зловмисників.
4. Скімінг
Засоби для скімінгу – це різноманітні накладки на банкомати, які використовуються з метою отримання даних картки в той час, коли клієнт користується банкоматом. Вони зчитують інформацію з магнітної стрічки картки. Потім на основі цих даних, використовуючи технічні та програмні засоби, зловмисники виготовляють підроблені картки – так званий «білий пластик» – або продають отримані реквізити в інтернет.
Банківські установи постійно протидіють шахраям, використовують різноманітні антискімінгові пристрої, тому зловмисники вдосконалюють скімінгові пристрої залежно від виду банкомата. На сьогодні скімінгові накладки ще більш мініатюрні та зовні майже не помітні. Трапляються також випадки використання шиммерів –пристроїв у вигляді тонкої прокладки, які розміщуються між карткою і зчитувальним пристроєм банкомата, при цьому дані з картки зберігаються одночасно з її зчитуванням.
5. Кеш-трепінг
Кеш-трепінг для злодіїв став одним із простих з точки зору виготовлення засобів для заволодіння коштами громадян при використанні банкоматів. Пристрої у вигляді планки зі скотчем з іншого боку шахраї наклеюють на вікно видачі грошей на банкоматі. Громадяни, замовивши гроші, очікують на них, однак купюри не з’являються: вони прилипають до скотчу та знаходяться у вікні видачі, але закриті планкою. Жертви сприймають це як проблему банкомата, а іноді навіть ідуть від нього та не передзвонюють на гарячу лінію банку. А шахраю достатньо повернутися до банкомата і, відірвавши планку, забрати гроші, які не отримали жертви.
Як від цього вберегтися? Як користувачу банківських послуг не стати жертвою шахраїв?
Працівники банків та правоохоронні органи ніколи не телефонують клієнтам, щоб дізнатися номери карток чи частину номера картки, різні дані, коди, не перепитують про цифри в SMS-повідомленнях, не питають та не озвучують вам баланс картки чи суми операцій, не уточнюють, клієнтом якого банку ви є.
При будь-яких подібних дзвінках не бійтеся просто перервати розмову та зателефонувати на гарячу лінію банку. Номери банку вказані на картці та на сайті банку.
Якщо ви вже надали якусь інформацію про себе та картку шахраям, повідомте свій банк про такий випадок. Відразу блокуйте картку, змініть слово-пароль, номер телефону, який прив’язаний до картки, тощо.
Встановіть обмеження на використання картки в інтернеті. Зазвичай це можна зробити самостійно в онлайн-банкінгу. Встановіть ліміти на операції в мережі інтернет, банкоматах і торговельних точках. Якщо розраховуєтесь в інтернеті часто, замовте в банку іншу картку спеціально для онлайн-операцій.
Підключіть за можливості додаткові послуги: SMS-інформування про транзакції за карткою та протокол безпеки 3D Secure. Тоді кожна окрема транзакція в інтернеті буде підтверджуватися окремим паролем на мобільний телефон.
Оплачуйте лише на знайомих, перевірених, з позитивними відгуками інтернет-сервісах. Не оплачуйте та не переказуйте кошти незнайомим людям, не робіть передоплату тощо.
При використанні банкоматів спочатку огляньте їх. На екран банкомата виводяться еталонні зображення банкомата – звіряйте їхній зовнішній вигляд із цим зображенням. У разі наявності сторонніх предметів зателефонуйте на гарячу лінію банку.
Якщо ви стали жертвою шахрайства, обов’язково зверніться в обслуговуючий банк та банк отримувача переказу, якщо він відомий, правоохоронні органи, зокрема, зареєструйте звернення на сайті кіберполіції cybercrime.gov.ua, а також розмістить інформацію на сайті http://ema.com.ua, щоб вона стала доступною для широкого загалу користувачів інтернету.