За 2016 год мошенники выманили у украинцев 340 миллионов гривен. В месяц они совершают десятки тысяч попыток украсть деньги с карт «относительно законным способом». Львиная доля схем построена на том, что жертва сама отдает важную информацию преступнику.
О том, какие способы кражи денег с карт самые популярные, клиенты каких банков больше всего рискуют получить звонок от «липовой» службы безопасности, как отличить надежный сайт от фишингового и почему не стыдно прикрывать ввод пин-кода, с корреспондентом ForUm`a говорил директор Украинской межбанковской ассоциации членов платежных систем EMA Александр Карпов.
- Начнем со статистики. Стало ли за последние несколько лет больше случаев мошенничества с банковскими картами?
- По данным межбанковской системы обмена информацией о платежном мошенничестве «Exchange-Online», за 2016 год сумма снятых мошенниками денег с платежных карт граждан в результате мошеннических действий выросла в 4 раза – до 339,13 миллионов гривен. Если в 2015 году эта сумма составляла 84,36 миллионов гривен и жертвой становился каждый 220-й владелец платежной карты, то в 2016 году – это уже каждый 80-й.То есть, количество случаев увеличилось почти в три раза, а сумма убытков за год увеличилась в 4 раза (за счет увеличения «среднего чека» потерь в результате мошеннической операции).
- И сколько попыток закончились кражей денег?
- Мы провели подсчеты совместно с банками. Результаты говорят, что за 2016 год фактически были украдены около 350 миллионов гривен. Сейчас достаточно сложно подсчитать, как соотносится количество попыток и краж. Но понятно, что со временем успешных попыток становилось все меньше. Клиенты понимали, что происходит и отказывались вести диалог с преступниками.
- Играет ли роль то, в каком банке открыт счет?
- Все зависит исключительно от фантазии мошенника. Например, вам звонят и говорят: «У вас заблокирована карта «Ощадбанка». Вы отвечаете: «Так, а я клиент «Приватбанка». Мошенник тут же ориентируется и говорит: «Так давайте проверим, не заблокирована ли карта «Привата». Потому, когда вам по ходу «пьесы» пытаются продать блокировку или разблокировку всех карт, это как минимум должно насторожить.
Но есть один существенный нюанс. Больше всего активных карт в Украине у «Приватбанка» и «Ощадбанка». Потому мошенники чаще всего действуют как будто от лица служб безопасности именно этих финансовых учреждений.
- На что еще хватает фантазии у мошенников?
- Согласно статистике, которую мы собираем совместно с департаментом киберполиции, более 90% мошеннических звонков совершается из мест лишения свободы. По правилам, мобильная связь должна быть доступна только в определенные часы. Но на зданиях колоний нет «глушилок», потому нельзя технически обеспечить работу мобильной связи только «с 10 до 14». А учитывая, что сотрудники колоний «в доле», поток сим-карт и мобильных устройств туда не иссякает.
Пенитенциарная служба, к сожалению, находится не в той степени информированности, чтобы обеспечить решение таких сложных проблем. Хотя, насколько мне известно, и киберполиция, и Нацполиция неоднократно обращали внимание руководства этой службы на то, что ситуация ненормальная, и с ней нужно что-то делать.
Мошенники используют типичные истории, которые можно «продать» клиенту. Например, это могут быть рассказы о повышении пенсии, возвратах по кредиту, блокировке или разблокировке карты, а также о проблемах с родственниками, которым нужно срочно помочь, чтобы те не попали в тюрьму.
Недавно был случай с рассылкой СМС с переадресацией на сайт якобы налоговой службы. Мошенники требовали уплатить задолженность по налогам. Те, кто исправно платил налоги, естественно, перечисляли деньги. Конечно, средства уходили по мошенническим реквизитам и к ГФС они не имели никакого отношения. Параллельно, пользователи, получали на устройство, с которого осуществлялся платеж, вирус. Он перехватывал информацию, которая использовалась для авторизации в системах интернет-банкинга. В результате чего злоумышленники получали платежные данные пользователей, которые затем использовались для осуществления незаконных операций с картами жертв. Это одна из новых схем. Мошенники делали ставку на добропорядочность граждан, которые не хотят иметь проблем с фискальной службой.
Еще один классический «развод», который массово используется в Украине, – «розыгрыши» автомобилей. Вас просят оплатить доставку авто от границы до дома, или КАСКО или оплатить хоть что-нибудь. В среднем, это 1-10% от стоимости автомобиля. Понятно, что здесь вы тоже добровольно отдаете деньги мошеннику.
- Как отбирают жертв?
- Никак. Используют простой метод подбора. Набирают 067 501 00 00, потом 067 501 99 99 и так далее. Это обычная математика и сплошной подбор номеров.
- Как тогда вычислить потенциальную жертву? Сколько владельцев набранных номеров будут клиентами того или иного банка?
- Клиентом «Приватбанка» будет каждый второй, клиентом «Ощадбанка» - каждый пятый. Но даже если мошенник «не попал», он начинает продавать историю про «Нет карты «Привата»? Есть карта «Райфайзена»? Так, может, с ней тоже проблемы, сообщите реквизиты». Вот и все.
- Что насчет фишинговых сайтов?
- Здесь все тоже достаточно просто. Мошенники играют на бедности, глупости, жадности, интересе к чему-то, что можно купить дешевле. Если вам продают iPhone за полцены чрез сайт непонятного интернет-магазина, платите и вы просто расстанетесь с деньгами.
Если вы хотите пополнить мобильный счет, имея карту какого-либо банка, идите на сайт банка и пополняйте счет через онлайн-банкинг. Да, возможно придется заплатить комиссию, но безопасность платежа будет гарантирована. Деньги придут, куда нужно. Но если вы гуглите «пополнить мобилку» или еще «лучше» пользуетесь поиском «Яндекса», то рискуете «найти» именно мошенников. Например, в «Яндексе» можно забить запрос «пополнить счет на мобильном» и получить четыре рекламы, ведущие на фишинговые сайты. При поиске через Google такая вероятность меньше, но все равно в топе поисковой выдачи тоже могут быть фишинговые сайты.
В общем, если вы попали на сервис, который вроде как предлагает услуги перевода средств, обращайте внимание на дизайн сайта. Если он явно «деревенского» вида и сделан вчера пту-шником, не стоит им пользоваться. Стоит найти сайт, которому точно можно доверять. Как это проверить? Есть сервис WHOIS, позволяющий узнать, когда был зарегистрирован любой сайт, кто его зарегистрировал, на какой период. Если сайт был зарегистрирован вчера на гражданина Беларуси, домен находится в Германии, а платежные услуги предоставляются для граждан Украины, ваши деньги уйдут безвозвратно.
Что характерно для надежных сервисов? Во-первых, домен должен оканчиваться на .ua. Украинская система регистрации доменных имен предполагает тщательный контроль и проверку того, кто регистрирует такой адрес. Если домен заканчивается на com.ua или kiev.ua и тем более на.net, .org или .pro – с вероятностью в 80% вы попали на мошенников. Хотя, из этого правила есть исключения. Некоторые безопасные сервисы работают на домене .net, если ориентированы на заграницу.
Любой незнакомый сервис, о котором вы узнали, к примеру, через рекламу, в первую очередь нужно проверить через WHOIS (для этого необходимо в адресной строке браузера ввести «whois.comwhoisназвание сайта» и обратить внимание на даты «created» и «expires») или через отзывы. Если о сервисе были негативные отзывы, вы их не пропустите. И тогда вы сами принимаете решение рисковать или нет.
Есть еще один момент. Если на сайте вы кликаете по разным закладкам, а в адресной строке ничего не меняется, то это сайт-однодневка. То есть, его очень быстро сделали. Он может красиво выглядеть, но те, кто его делал, не озаботились прорисовкой структуры. И это тот, случай, когда вам просто показывают красивую обертку.
Адрес сайта должен начинаться с защищенного соединения https. На сегодня это является показателем надежности. Но учитывая, что этот сервис продается, мошенники тоже будут его покупать. Потому через какое-то время проверка таким способом будет ненадежной.
Рекомендация следующая: вы точно знаете минимум три известных украинских сервиса, которые давно занимаются платежами. Пользуйтесь ими. Да, это будет с комиссией, но надежно и безопасно. На нашем сайте есть «белый список» компаний, которые мы рекомендуем. Также в него по умолчанию входят официальные страницы банков. На сайте любого банка есть ссылка на платежный сервис, через который платеж точно пройдет безопасно. Других рекомендаций быть не может.
- Чем опасны фишинговые сайты?
- Они собирают платежные реквизиты под видом оказания несуществующих услуг. Это может быть, например, пополнение мобильного счета или перевод средств с карты на карту. Когда пользователь вводит свои платежные реквизиты (номер карты, срок действия и трехзначный код безопасности на обратной стороне карты – код CVV2/CVC2) на таких сайтах, они сохраняются у мошенников. Ваш банк может обеспечивать сервис одноразовых паролей для безопасности платежей. Но и это можно обойти. Бывает, что мошеннический сервис требует ввести не только платежные данные, но и номер телефона. После ввода информации на этот номер приходит СМС от банка, с одноразовым паролем для подтверждения операции. Мошенник видит, что должно прийти сообщение, и у него есть ваш номер. Он перезванивает и говорит, что это служба безопасности банка, а пришедшая смс –проверка для того, чтобы удостовериться, что это именно вы платите. Вы сообщаете код, мошенник тут же на другой страничке использует этот код и делает фактически подмену отправления денег. И они тут же исчезают.
Еще бывают случаи, подмены суммы или подмены получателя. То есть, на сайте с вас будут собирать не данные, а деньги. Фактически вы заплатите по подставным реквизитам. Могут подставить другой номер для пополнения мобильного, другой номер счета. И вы этого не будете видеть.
Подмена суммы происходит так: вы вбили сумму в 100 гривен, сделали что нужно, получили СМС и ввели одноразовый пароль. Но мошенник ведь видит данные, которые вводите вы. Ему несложно до списания суммы 100 гривен изменить на 1000 и подтвердить операцию.
К сожалению, это будет трендом этого года. Сейчас мошенникам сложнее «коллекционировать» данные, но проще в онлайне зачислять деньги по другим реквизитам или менять суммы.
- Украсть деньги можно и через смартфон. Какие схемы для этого используются?
- Самый популярный способ – заразить ваше устройство вирусом, который его заблокирует. Потом вам присылают СМС, е-мейл или звонят, сообщая, что заплатив куда-то энную сумму, вы «вернете» доступ к смартфону. К слову, оплату не обязательно нужно будет проводить через привычный платежный сервис перевода с карты на карту, это может быть и Webmoney, и Bitcoin, что угодно. Но оплата такому шантажисту не гарантирует, что ваше устройство будет разблокировано.
У Европола есть специальный сайт с советами по разблокировке. Там вы описываете, что произошло, и вам советуют, что можно сделать с устройством при таком виде блокировки. Варианты решений есть. Хотя, и не со 100% гарантией. Но, как минимум, Еврокомиссия, Европол и страны ЕС ведут активную работу по противодействию такого рода махинациям.
Украинская киберполиция тоже настойчиво рекомендует гражданам не открывать на смартфонах ничего лишнего. Не стоит скачивать и устанавливать программы, которые вам явно не нужны, у неизвестных поставщиков. Также они советуют не скачивать приложения из неизвестных маркетов, не делать Jailbreak устройств, открывая доступ к системе любому пользователю.
- То есть, мы рискуем, просто скачивая приложения, кто знает где?
- Да, вероятность заражения устройства вирусом очень высокая при установке приложений не из официального маркета. Большинство украинцев не привыкли платить в маркете, поэтому у нас так популярен Jailbreak – когда открывается доступ к файловой системе устройства и полностью снимается ограничение на скачивание, а значит, можно загружать любые неофициальные бесплатные программы. Подобная экономия может привести к мошенникам и потере средств.
- Можно ли подцепить вирус, открыв случайную ссылку в сети?
- Случайных ссылок не бывает. Если мы кликнули на ссылку, значит, среагировали на что-то. Например, на какой-то контент, событие, предложение, связанное с деньгами. Мошенники предлагают то, что вы хотели бы получить. Они могут действовать через сайты, всплывающую рекламу, СМС, сообщения в мессенджере и так далее.
Тут совет один: вы всегда сами решаете, какой контент вам нужен. Следует понимать, что альтруистов, которые работают бесплатно, достаточно мало. И если вам что-то предлагают, то это, скорее всего, будет стоить денег. Вас или в какой-то момент попросят за что-то заплатить, или же это будет условно бесплатно, но с заражением вашего устройства.
- Если на телефон приходит подозрительное сообщение, в котором явно что-то не так, есть ли риск заражения, если удалить его, не читая?
- Удаляйте, не читая. Тогда никакого риска для устройства не существует. По крайней мере, нынешние технологии не предполагают такой возможности.
- Спасают ли от заражения лицензионные антивирусы?
- По умолчанию ответ, конечно же, да. Но нюансы бывают разные. Можно поставить легальный антивирус на взломанный телефон или планшет. Тогда он не сможет закрыть «дыры», которые вы собственноручно открыли. Или бывает, что антивирус долго не обновляется. Потому он может пропустить уязвимость, которую эксплуатирует свежая версия мошеннической программы. Потому здесь нет 100% гарантии, но это, безусловно, работает.
- Появилось ли что-то новое в «классических» схемах с банкоматами?
- Есть два типичных способа мошенничества с банкоматами. В первом используется специальная накладка на отверстие для выдачи наличных в банкомате. Это металлическая планка, окрашенная в цвет банкомата. С обратной стороны там есть двухсторонний скотч. Банкомат отсчитывает купюры, открывает шторку перед щелью, купюры упираются в двухсторонний скотч, прилипают, шторка не закрывается и операция фактически зависает. Вы можете получить смс о списании средств и все. В таком случае не нужно никуда уходить. Просто смотрите на эту часть банкомата, щупайте ее, если что-то отрывается – отрывайте и забирайте свои купюры. После этого звоните в службу безопасности банка или обращайтесь к патрульным полицейским, если они есть поблизости. Кэш-треппинг – это сейчас самый массовый вид банкоматного мошенничества.
Второй по популярности способ – скимминг. В этом случае мошенникам нужны данные с магнитной полосы карты и пин-код. Пин-код «подсматривают» при помощи скрытой видеокамеры, которая может быть установлена в любой части банкомата. Поэтому чем плотнее вы прикроете клавиатуру при вводе пин-кода, тем меньше шансов, что вы рискуете потерять деньги, даже если в этом банкомате установлено устройство для скимминга.
Если мошенники получат только данные магнитной полосы, им это ничем не поможет, а вам никак не повредит. Поскольку предотвратить снятие информации с магнитной полосы мы не можем, а прикрыть пин-код от его перехвата видеокамерой возможно, нужно сосредотачиваться именно на этом. К сожалению, технологии сейчас таковы, что видеокамера может быть крохотной, ее можно приклеить в любой части банкомата, так что найти практически невозможно. Но вам нет смысла искать какое-то постороннее устройство. Проще прикрыть введение пин-кода.
- Как насчет кражи данных при оплате через POS-терминалы?
- В этом случае данные можно перехватить в момент передачи по сети или украсть, физически скопировав с карты. Это может сделать кассир, официант или другой человек, получающий в руки карту клиента. Поэтому, во-первых, я рекомендую требовать во всех банках бесконтактные карты. Если ваш банк такие карты не выдает, меняйте банк. Ничего другого не остается. Большинство терминалов в Украине бесконтактные карты принимает. А если карту не выпускать из рук, то и риск перехвата информации за счет действий нечистоплотного персонала отсутствует. Если кто-то из кассиров переписывает данные с карты или копирует магнитную полосу, мониторинг и анализ информации довольно быстро выводят на этого человека. Таких людей вычисляют и как минимум увольняют, а как максимум они получают «волчий билет».
Риск перехвата данных по сети потенциально существует. Но последние попытки перехвата были в 2009-2010 году. Они стали возможными из-за отсутствия надлежащего уровня шифрования передаваемой информации по сети. Тогда сигнал просто расшифровывали. А если банк использовал открытые сети и не накладывал маску, предотвращающую доступ к информации и ее изменение, мошенники могли подключаться к этим публичным сетям. Если, конечно, знали, какую информацию они ищут, и что нужно для ее получения и дешифровки.
В последнее время, к счастью, такие риски для украинских банков отсутствуют. Это не означает, что их больше не будет вообще, что когда-нибудь не вскроют существующие системы шифрования и защиты информации. Но сегодня можно с уверенностью говорить, что таких преступлений в стране не зафиксировано.
- Насколько украинцы прислушиваются к «антимошенническим» кампаниям?
- Жадность и любопытство – это два порока, от которых лечит только попадание в неприятную ситуацию. Любые рекомендации, связанные с информационной безопасностью, до людей не доходят. Точнее, доходят, но особым образом.
В октябре 2016 года мы проводили совместное исследование с компанией Gemius. Там три четверти опрошенных говорят, что знают, что нельзя отдавать свои данные по телефону. При этом две трети участников исследования эти данные отдают. Цифры противоречивые. В апреле 2017 года мы повторно будем проводить такое исследование, чтобы понять, насколько сейчас граждане осознают риски, сообщая платежную информацию по телефону, через электронную почту, СМС. Будет интересно посмотреть, насколько изменилась ситуация, ведь мы потратили достаточно много времени на информационную кампанию против мошенников. Мы хотели, чтобы у украинцев выработалась типичная реакция на самые распространенные способы мошенничества. Будет интересно проверить, дошли ли наши месседжи. И будет очень приятно, если социология покажет, что людей, которые «готовы все отдать», стало меньше.
Здесь как никогда важна систематичность повышения финансовой грамотности, хотя это словосочетание уже набило оскомину. Недавно я присутствовал на открытии нового проекта USAID «Трансформация финансового сектора». Коллеги делились результатами исследования знаний потребителей о финансовых услугах. Сравнивали эти данные с результатами аналогичного исследования, проведенного 7 лет назад. Узнаваемость и реакция выросла только по одному показателю. Теперь 40% украинцев знают сумму покрытия по вкладам в банках-банкротах. Многие это прочувствовали, потому что миллионы людей держали средства в обанкротившихся банках.
Всему остальному нужно учить последовательно и долго. Европейские проекты по обучению граждан длятся от 2 до 5 лет. Например, в Бельгии по телевидению крутили два весьма жестких, я бы сказал, трешевых ролика о том, что может случиться, если раздавать личную информацию направо и налево. В том числе, там рассказывалось, как можно фактически подменить вашу личность, пользуясь вашими ID и платежными инструментами, а потом от вашего лица совершать действия, о которых вы даже не подозреваете.
В наших условиях, к счастью, такие случаи пока массово не фиксируются. Но любые действия мошенников, связанные со сбором персональной и финансовой информации, вредят людям. А отучить их от этой привычки достаточно сложно. Поэтому в нашей информационной кампании мы сосредотачивались на том, что человек может точно запомнить. Например, «Номер карты – единственное, что можно сообщить по телефону». Если ты это услышал, увидел, запомнил, то, когда тебе позвонят мошенники, должна сработать «тревожная кнопка», которая заставит или прекратить разговор, или продолжить его в таком ключе, чтобы у преступника на том конце трубки создалось правильное впечатление о перспективах его дальнейшей жизни.