Как с вашей карты могут украсть деньги: пять актуальных схем

На фиктивных платежных операциях украинские мошенники заработали 246 млн грн в 2018 году, следует из отчета Межбанковской ассоциации членов платежных систем ЕМА. Основные направления злоумышленников – социальная инженерия, когда у клиентов банков обманом выманивают реквизиты платежных карт, кража данных в интернете через фишинговые сайты и взлом систем доступа к счетам компаний.

Как промышляют платежные мошенники и как обезопасить от них свои деньги? LIGA.net публикует основные выводы доклада ЕМА.

Общие тренды

Мошенничество с платежными картами становится менее прибыльным бизнесом, констатируют в Ассоциации. В 2017 году был зафиксирован пик подобных преступлений: только социальная инженерия принесла злоумышленникам 509 млн грн. Еще 159 млн составил доход от работы фишинговых сайтов, которые имитируют системы перевода денег или пополнения мобильного.

Основные причины сокращения масштабов платежного мошенничества – распространение доступа к финансовым услугам, что повышает финансовую грамотность населения. Дополнительные факторы - массовая блокировка фиктивных сайтов в интернете и увеличение доли чипированных карт, которые дают почти стопроцентную защиту от взлома, рассказала на презентации отчета замдиректора ЕМА Олеся Данильченко.

По статистике НБУ, в первой половине 2018 года на каждом миллионе платежных операций мошенники зарабатывали 64 грн. В 2017-м было 77 грн, в 2016-м – 110 грн. Из-за усиления защиты карт от подделки и банкоматов - от считывающих устройств, злоумышленники переориентировались на социальную инженерию и дистанционный взлом платежных систем предприятий, отмечает начальник отдела Департамента платежных систем НБУ Владислав Дикий.   В «кибердепартаменте»  Национальной полиции Украины приводят следующую статистику: выявлено около 2400 преступлений, связанных с работой платежных систем, еще 1 600 – в сфере e-commerce.

Несмотря на уменьшение общего количества случаев мошенничества с использованием социнженерии, средняя сумма таких операций остается стабильной – 2400 грн, добавляет Данильченко. 

Мошенники по-прежнему пользуются слабой финансовой грамотностью населения и недостаточно защищенной платежной инфраструктурой. По данным исследования GFK за август 2018 года, 35% респондентов не получали от своих банков никакой информации о возможном мошенничестве с платежными картами. Только 15% от всего количества платежных карт в Украине (по данным Нацбанка 36,6 млн штук на конец первого полугодия 2016 года) оснащены чипами, отмечает директор ЕМА Александр Карпов.

Как работает социальная инженерия

Самый популярный вид мошенничества - когда злоумышленники представляются сотрудниками банка, НБУ или других госорганов (Служба занятости etc) и выманивают у жертвы реквизиты ее платежной карты: номер, пин и CVV-код (три цифры с обратной стороны карты). По данным ЕМА, в прошлом году в черный список попало 5 139 номеров телефонов, с которых мошенники звонят потенциальным жертвам или рассылают смс-сообщения от имени банков или госструктур.

«Мошенники действуют очень изобретательно, например, пытаясь узнать CVV-код, они просят собеседника сказать номер отделения, в котором выпущена карта, – рассказывает руководитель EMA Academy Раиса Федоровская. – Неопытным жертвам объясняют, что CVV-код – это и есть номер отделения».

Другой вариант социальной инженерии – мошенники выясняют номер финансового телефона клиента банка (к нему привязаны счета, с помощью номера банки идентифицируют клиента), подделывают сим-карту и таким образом обманывают уже менеджеров финучреждения, получая доступ к счету пострадавшего. По данным ЕМА, «средний чек» таких операций существенно выше – 3,6 тыс. грн против 2,3 тыс. при "классической" социнженерии.

Как воруют данные на интернет-сайтах

Несмотря на то, что в 2018 году количество фишинговых сайтов сократилось более чем в 3 раза, а средняя сумма одной кражи через них составляет всего 86 грн, этот вид мошенничества не утрачивает популярности: украинский потребитель все еще не научился отличать реальные сервисы денежных переводов или пополнения счета мобильного.

По итогам эксперимента, который в марте прошлого года провела ЕМА, за 12 дней существования созданного ассоциацией фишингового сайта, его посетило 7 400 человек. 4 172 посетителя оставили на сайте реквизиты своих карт.

«На главной странице сайта было так и написано: «зарабатываем не на комиссиях, а на доверии людей», но средняя продолжительность посещения составила 2 минуты – люди даже не изучали совершенно неизвестный им сайт, – говорит Федоровская. – Тем, кто ввел свои реквизиты, мы выводили на экран большую памятку, как в следующий раз не стать жертвой мошенничества».

Еще один формат фишинга – ненастоящие интернет-торговцы, которые требуют предоплату за товар, но поставок фактически не производят. Их цель - не столько получить аванс, сколько увидеть реквизиты платежной карты.

Банкоматы-мошенники

Пик банкоматного мошенничества пришелся на 2015-2016 годы, когда особой популярностью пользовались устройства для «кэш-треппинга» – накладки на купюроприемник банкомата, которые блокировали выдачу наличных (клиент уходил, воспринимая это как неисправность банкомата, деньги забирали мошенники). Сейчас количество таких случаев резко сократилось – в ЕМА даже решили больше не отслеживать информацию по ним, говорит Данильченко.

По-прежнему популярными остаются «скимминговые» комплекты: видео-камера для кражи пин-кодов и считыватель информации с магнитной ленты карточек. По словам Евгения Даценко из департамента киберполиции НПУ, если раньше такой набор стоил около 5 000 евро, то сейчас устройство можно купить за $350 – 700.

«С одной стороны это увеличивает их доступность, количество попыток установки скиммеров на банкоматы растет, – говорит Даценко. – Но с другой – качество устройств очень низкое, выявить их намного проще».

Сравнительно новые способы мошенничества с платежным «железом» – поддельные POS-терминалы (полиция фиксировала подобные случаи в ломбардах) и фиктивное пополнение карт через терминалы самообслуживания с помощью специальных банкнот, которыми мошенники обманывают валидатор терминала.

«В прошлом году мы задержали группу из шести человек, которые таким образом нанесли убытки на 5,5 млн грн, работали через терминалы ПриватБанка, – рассказывает Даценко. – Сейчас мы видим локальные всплески похожих случаев в регионах, поэтому банкам стоит приготовиться к большему распространению этой схемы».

Вирус для бизнеса

9% от количества всех мошеннических операций с платежами в 2018 году пришлось на взлом счетов компаний. В киберполиции отмечают похожий почерк преступлений: мошенники присылают бухгалтерам предприятий один и тот же вирус или его модификации по электронной почте, проникая таким образом в их компьютеры.

«Часто проблема в том, что компании экономят на безопасности, например, отказываясь платить банкам за услугу токенизации (создание временного номера карты или счета при каждой платежной операции, - Ред.), – говорит Даценко. – Также проблема на стороне самих сотрудников: многие жертвы хранили ключи доступа к клиент-банку компании прямо на рабочем столе компьютера».

Часть претензий киберполиция предъявляет и к банкам, менеджеры которых не всегда перезванивают клиентам, чтобы уточнить подлинность операций на крупные суммы.

Как не стать жертвой

Первый совет экспертов ЕМА – отказаться от карты на магнитной ленте в пользу чипированной. «Пока ни в Украине, ни в Европе не было ни единого случая, чтобы мошенники могли изготовить дубликат чипированной карты, – отмечает Данильченко. - То же самое касается и бесконтактных карт: еще не было прецедентов, чтобы с них кто-то мог считать информацию".

Второе – в качестве финансового телефона стоит использовать номер, через который вы общаетесь только с родственниками или близкими, говорит замдиректора департамента Fraud-менеджмента ПриватБанка Виктор Кос.

«На сим-карте важно поставить нормальный, а не стандартный пин-код, финансовый телефон желательно не раздавать посторонним людям, – советует он. – Также нужно максимально идентифицировать себя у мобильного оператора: пусть лучше у него будет копия паспорта».

Предпринимателям в ПриватБанке рекомендуют не использовать финансовый номер для платежей с контрагентами. «Для этого лучше завести контрактный номер», – уточняет Кос.

При оплате в интернете лучше избегать продавцов, которые требуют обязательную предоплату. Перед покупкой стоит поискать информацию о торговце в интернете, советуют в Привате.