Українські інтернет-форуми зарясніли скаргами на нові підходи шахраїв. Зловмисники, використовуючи різні сценарії афери, змушують жертв буквально своїми руками віддавати їм гроші з банківських карток.
Для цього злочинці застосовують психологічні прийоми, які професіонали називають «елементами соціального інжинірингу». «Вести» з’ясовували, як розпізнавати таких шахраїв і що потрібно зробити, щоб уникнути значних втрат, навіть якщо встояти перед ними не вдалося.
Соціальний інжиніринг в даному випадку – це спосіб спілкування шахрая з клієнтом банку, що дозволяє вивести щось (наприклад, гроші з карткового рахунку), дізнавшись всі необхідні дані у самої людини. Основна ознака шахрайства – це дуже незвичайне прохання від незнайомої людини, велика терміновість, загроза негативних наслідків у разі невиконання. Злочинець нерідко видає себе за важливу особу і називає багато знайомих імен.
«Шахраї використовують актуальні соціальні теми, наприклад, збір коштів для добровольців в зоні АТО або особисті прихильності, такі, як неспокій за близьких родичів, – уточнив провідний спеціаліст служби захисту платіжних систем Фідобанку Ігор Попов. – Коли людина отримує тривожні новини, їй складно спокійно проаналізувати ситуацію, тому її легше обдурити».
Через те, що людина робить операцію своїми руками, за формальними ознаками такі перекази виділити дуже складно, а заблокувати немає можливості. Тому фахівці з безпеки, проаналізувавши типові сценарії, виділили ті ключові моменти, які повинні насторожувати людину при спілкуванні зі сторонніми, і поділилися ними з «Вести».
«Підійдіть до банкомату, і я розповім, що зробити, щоб перевести на вашу карту гроші», – це ключова фраза, за якою можна визначити шахрая. «Через банкомат гроші можна не тільки зняти зі своєї картки, що всі вміють робити, а й відправити на чужу. А ось переказати собі з чужої карти категорично неможливо!» – хором нагадують банківські фахівці.
Однак жертви найчастіше піддаються на вмовляння маніпуляторів, які, користуючись неграмотністю людей в частині користування банкоматами і терміналами, за допомогою «підказок» і «інструкцій» обманом змушують перевести гроші. При цьому людина може навіть не здогадуватися, що замість отримання коштів відправила свої накопичення в невідомому напрямку.
Парадокс полягає в тому, що вони навіть не помічають, що вводять номер телефону або карти, не замислюються над тим, які пункти меню в банкоматі вибирають, і не читають текст на екрані, що повідомляє, що здійсюється відправка коштів на чужий рахунок.
ВАРІАНТ 1
Ролей, які розігрує шахрай, щоб підвести жертву до банкомату, може бути декілька. Наприклад, турботливого татка, який хоче купити через інтернет коляску для свого сина. Такий шахрай телефонує продавцю (частіше – жінці, яка заморочена клопотами з маленькою дитиною і залишила оголошення про продаж в інтернеті) і каже, що готовий купити її коляску і відправити гроші прямо на картку, для чого питає номер. «Картка зазвичай є, оскільки на неї зараховуються соціальні виплати на дитину. І навіть якщо жінка достатньо просунута, таке прохання її не насторожило, оскільки ніяких інших особистих даних у неї не питають, а для переказу номер справді необхідний», – розповіла керівник системи дистанційного навчання ЕМА Academy Раїса Федоровська.
Через деякий час «покупець» передзвонює і каже, що переках чомусь не пройшов, і навіть може пред’явити квитанцію, що намагався відправити гроші. Зокрема, він може сказати, що знаходиться в зоні АТО, а банк обмежив перекази за картками клієнтів звідти, тому, щоб отримати переказ, жінка повинна підійти до банкомата і виконувати інструкції.
ВАРІАНТ 2
Шахрай видає себе за спонсора, який готовий допомогти у складній ситуації, але якісь технічні складності заважають йому відправити кошти на рахунок людини. «Можуть зателефонувати нібито співробітники пенсійного фонду та розповісти, що Порошенко перед виборами підписав разову надбавку до пенсії, але грошей вистачає не всім, тому треба швидко її забрати, а то завтра вже не буде, – розповіли в Українській міжбанківській асоціації членів платіжних систем. – А наскільки наше старше покоління «не дружить» з банкоматами, всім відомо, їх заплутати нескладно».
ВАРІАНТ 3
Інша роль: злочинці видають себе за волонтерів, які збирають гроші на користь клієнта без його відома. Наприклад, дізналися, що для сина-бійця в зоні АТО потрібен бронежилет або що він в госпіталі і потрібно купити ліки, або терміново потрібні кошти на хірургічну операцію, а їх не вистачає, і ось зібрали, хочуть перерахувати. Необхідність підійти до банкомата в цьому випадку пояснюють, наприклад, бажанням заощадити на податку, який інакше доведеться заплатити з зібраної суми. Це неправда: благодійність ніякими податками не обкладається, але знають про це далеко не всі, тому піддаються.
ВАРІАНТ 4
Шахраї можуть прикинутися і співробітниками кредитного відділу якогось банку, які приносять радісну звістку, що у людини переплата по кредиту і її можна отримати назад, тому що в банку ребрендинг (зміна назви), злиття, продаж іноземцям абощо.
«А може подзвонити і «співробітник банку», щоб переконатися, що ваша картка не була вкрадена, а для цього потрібно підійти до банкомата – і далі за сценарієм», – каже Раїса Федоровська.
ВАРІАНТ 5
Найбільш небезпечний для шахраїв спосіб вкрасти гроші з рахунку – роздобути дублікат sim-карти мобільного номера власника банківської картки. В цьому випадку міняти номер, прив’язаний до банківської картки, не потрібно: телефон жертви просто буде заблокований, а шахраї, як і в попередньому випадку, отримають паролі і коди підтвердження операцій в інтернеті або за допомогою sms-банкінгу і спокійно очистять рахунок до того моменту, як господар схаменеться.
Особливо легко таке проходить з продавцями товару в інтернеті, які розміщують оголошення на інтернет-аукціонах, тому не дивуються дзвінкам з незнайомих номерів.
Щоб роздобути дублікат сімки, шахраї або змушують людину кілька разів поспіль їм подзвонити і не беруть трубку, або телефонують самі й обривають зв’язок. Після цього на мобільний рахунок картодержателя приходить поповнення на мінімальну суму від невідомої особи, а потім номер «раптом» блокується. Маючи інформацію про останні набрані номери, часу останнього дзвінка з номера і останньому поповненні, шахраї замовляють у мобільного оператора дублікат sim-карти. За нею є підставна особа.
Правда, мобільні оператори запевняють, що отримати дубль сімки досить складно. «Якщо абонент користується контрактним обслуговуванням, для заміни sim-карти йому потрібно пред’явити документ, що засвідчує особу. А якщо це абонент, який обслуговується знеособлено, тобто на умовах припейд-тарифів, він повинен довести, що є власником номера телефону, з яким пов’язана sim-карта. Для цього існує спеціальний алгоритм ідентифікації.
Неможливо просто назвати будь-який номер мобільного телефону, перерахувати дві-три останні дії з цим номером телефону і отримати нову sim-карту, пов’язану з номером цього телефону, – заспокоїли нас в «Київстарі». – Абонент повинен правильно відповісти на запитання і повідомити інформацію, пов’язану з використанням номера, яку може знати тільки він. При найменшому сумніві експерт може відмовити в послузі відновлення sim-карти».
ВАРІАНТ 6
Як відомо, багато українців користуються банківською послугою sms-банкінгу: банк повідомляє людину повідомленнями на мобільний телефон про всі зроблені карткових операціях. Тому хакери, які готуються зламати рахунок людини (зазвичай того, хто активно платить в інтернеті – через інтернет-банкінг або на сайтах компаній) і почати розграбування карткового рахунку, провертають багатоходову операцію. Мета – зробити так, щоб власник рахунку перестав отримувати банківські sms. Найчастіше намагаються підсунути банку інший номер телефону.
Для початку у власника рахунку виманюють номер його телефону, який прив’язаний до банківського рахунку і на який приходять повідомлення банку (а також коди підтвердження платежів, якщо мова про покупки на різних сайтах) – інформація про списання коштів. «А потім, щоб людина нібито отримала гроші, шахраї вимагають підтвердити номер мобільного в банкоматі. Номер ніби як не перевіряється, тому просять ввести той, який вони продиктують.
Таким чином, вони підв’язують вашу картку до свого номера телефону, отримують на нього коди і виконують переказ грошей, а на ваш телефон повідомлення про списання вже не приходить, тому оперативно зреагувати на крадіжку ви не можете», – розповів на інтернет-форумі Андрій, постраждалий від такої схеми шахрайства.
Є ще схема «підтвердження переказу через sms», яка набагато простіша від попередніх. Жертву просять набрати комбінацію цифр і букв і відправити на сервісний номер банку, щоб підтвердити, що клієнт готовий прийняти кошти на свій рахунок. Причому цей набір цифр і букв шахраї диктують або надсилають в sms. Насправді ж вони використовують команду sms-банкінгу про переказ коштів з карти жертви. Наприклад, для клієнтів ПриватБанку вона виглядає так:
«PAY100+(чотири останні цифри карти жертви)+XXXXXXXXXX» або «SEND100UAH+(чотири останні цифри карти жертви)+YYYYYYYYYYYYYYYY». У першому випадку клієнт переказує гроші на мобільний рахунок шахрая, у другому – прямо на його картку. Очевидно, що спосіб найкраще працює з тими власниками карток, які раніше ніколи не користувалися послугою переказів.
КЛАСИКА ЖАНРУ
Співробітники банківської безпеки і борці з картковими шахраями зазначають, що з початку року в Україні в кілька разів зменшилася кількість «класичних» злочинів – скімінгу і фішингу. Як відомо, скімінг – шахрайство з банківськими картами, коли на банкомат встановлюють пристрій (скімер), який копіює всі дані з магнітної смуги і запам’ятовує ПІН-код, який вводить людина, знімаючи гроші з рахунку. А фішинг – коли дані про картку випитують у людини за допомогою електронних листів або створюючи підроблені сайти, які крадуть таку інформацію і передають зловмисникам. В обох випадках шахрайство пов’язане з крадіжкою інформації про карту з її подальшим використанням для очистки банківського рахунку.
Зате зросла кількість випадків крадіжок готівки, зокрема сash-тrapping (буквально перекладається як потрапляння готівкових грошей в пастку), коли на банкомат монтується накладка з клейкою прозорою стрічкою (так професійно, що вона не помітна, якщо уважно не придивитися), до якої готівкові буквально прилипають. Клієнт, не дочекавшись грошей, йде, а шахраї спокійно відклеюють банкноти і ставлять планку, яку зняли з банкомату, назад.
Проблема боротьби з таким видом шахрайства в тому, що банк від нього не страждає – гроші пропадають вже після того, як списалися з рахунку. Це приблизно те ж саме, як якщо б у вас витягли гаманець через 5 хвилин після того, як ви отримали в банкоматі зарплату. Тобто до банку пред’явити претензії можна – він все чесно видав, що підтвердиться при перевірці записів банкомата. Тому банкіри не завжди вчасно дізнаються, що на банкоматі стоїть липучка, і протидіяти встановленню такого обладнання їм складніше, ніж скімінгу.
ТЕХНІКА БЕЗПЕКИ
- Ніколи і нікому не можна повідомляти свій ПІН-код.
- Не довіряти карту третім особам, не залишати її без нагляду, не записувати ПІН-код в легкодоступних місцях (тим більше на самій картці).
- Обов’язково залишати зразок свого підпису на зворотному боці картки відразу ж після її отримання.
- Перевіряти, чи все було взято з банкомату. Після завершення операції у держателя повинні залишитися картка, гроші і виписка про здійснену операцію.
- Якщо чогось не вистачає, а банкомат не повідомив ніякої додаткової інформації, то тут щось не так.
- Не користуватися порадами третіх осіб і не вдаватися до допомоги незнайомців при виникненні проблем в роботі з банкоматом.
- Негайно повідомити в банк за телефоном гарячої лінії, якщо картка або гроші залишилися в банкоматі, затягнулися назад або з ними щось ще сталося.
- Негайно повідомляти в банк про втрату або крадіжку платіжної карти.
- Не залишати дані про себе і свою картку на інтернет-сайтах ні в оголошеннях, ні при розрахунках.
- Не використовувати для оплати в інтернеті картки, на яких постійно знаходяться великі суми грошей. Краще завести для таких цілей окрему «картку для інтернету» і переводити туди рівно стільки грошей, скільки потрібно для оплати покупки, прямо перед її здійсненням.
- Підключитися до sms-банкінгу, і банк буде надсилати звіти про всі операції по рахунку.
- Встановити ліміт зняття готівки з картки: добовий і на кожну операцію.