Для тех,
кто не делает
поспешных выводов

Осторожно: мошенники. Как с карточных счетов украинцев исчезают деньги

Четверг, 2 Ноября 2017, 07:30
Пластиковые карты — уже вполне привычный для украинцев платежный инструмент. По данным НБУ, количество активных платежных карт в первом полугодии этого года составило более 32,6 млн штук. Доля безналичных расчетов с использованием карт превысила 38%

Преступления без наказания

Чем активнее граждане осваивают пластик, тем настойчивее становятся мошенники, которые пытаются добраться до их карточных счетов. По данным Украинской межбанковской ассоциации членов платежных систем ЕМА, в 2016 г. преступники украли у держателей карт более 340 млн грн. Это в четыре раза больше, чем в 2015 г., когда сумма ущерба составила только 84,36 млн грн. Сейчас с мошенничеством сталкивается каждый восьмидесятый украинец. Для сравнения: год назад речь шла лишь о каждом двухсотом нашем соотечественнике. "Оценить суммы ущерба за 2017 год пока что достаточно сложно, как и подсчитать соотношение количества попыток и реальных краж. Но понятно, что со временем успешных попыток становится все меньше, поскольку граждане теперь гораздо лучше осведомлены в вопросах карточной безопасности", - констатируют в ЕМА.

Радует и то, что количество киберпреступлений в Украине пока ниже, чем в большинстве европейских стран. А вот процент раскрываемости таких афер у нас остается очень низким. Так, в первом полугодии управление Нацполиции по борьбе с киберпреступностью выявило 2385 преступлений в сфере электронной коммерции. Из них чуть меньше половины - 956 - с использованием платежных инструментов. Но наказан был лишь каждый десятый преступник - обвинительных приговоров вынесли 230. Неудивительно, что, чувствуя безнаказанность, жулики снова и снова решаются на нарушение закона.

Мошенники проявляют недюжинную изобретательность - хотя бы одна новая схема обмана появляется чуть ли не каждый квартал. "Преступники также совершенствуют уже имеющиеся методы и механизмы, применяемые для совершения преступлений. Они дополняют их новыми техническими и интеллектуальными доработками", - рассказал "ВД" директор по рискам банка "Кредит Днепр" Олег Пахомов.

Самые популярные способы кражи денег связаны с социальной инженерией (т. н. вишинг и фишинг). По-прежнему процветает и банкоматное мошенничество. По словам Олега Пахомова, наиболее разорительными для жертв являются скимминг и вишинг. Именно с их помощью жулики уводят со счетов наиболее значительные суммы.

"В 2016 году 276 млн грн (а это больше 80% от общей суммы средств - расчетного дохода мошенников) было украдено в результате выманивания реквизитов карт по телефону. В 2017-м телефонные мошенники тоже в лидерах - им до сих пор удается ловить на удочку тысячи доверчивых украинцев", - констатируют в ЕМА.

Кеш-треппинг

Кеш-треппинг, или ловушка для кеша, может быть использован как для карт с магнитной полосой, так и чиповых, и не требует от мошенников больших усилий. Это довольно простой фокус: на банкомат устанавливается специальная планка с клейким скотчем, которая блокирует шторку устройства, выдающего купюры. Когда банкомат отсчитывает деньги, наличные прилипают к липкой ленте, а планка не позволяет им выйти наружу. Доверчивый клиент, подождав немного, обычно решает, что машина неисправна, деньги вернулись на карточный счет, и спокойно уходит. Дождавшись, когда жертва удалится, аферисты забирают прилипший кеш из машины.

"Чаще всего злоумышленники орудуют в районах, где банкоматами для снятия наличных пользуется много людей. Это могут быть как места большого скопления народа (торгово-развлекательные центры, парки отдыха, транспортные развязки, банкоматы около крупных предприятий и бизнес-центров), так и магазины в спальных районах. Преступники выбирают дни, когда люди чаще снимают деньги: праздники, выходные, даты получения зарплаты и т.  д.", - рассказывают в ЕМА.

Догадаться, что кеш попал в капкан, несложно. Как правило, выдавая наличность, банкомат информирует об этом владельца карты с помощью сообщения на экране. Если такое сообщение есть и при этом пришло сообщение от банка о списании суммы со счета, а деньги так и не появились, сомнений быть не должно - ваш кеш "влип" в расставленную преступниками ловушку. В таком случае нельзя отходить от банкомата, чтобы никто не смог забрать наличку. Можно даже попытаться самому добыть из машины деньги (ловушка обычно сидит неглубоко и неплотно, чтобы мошенники могли ее вынуть в два счета). Альтернативный вариант - позвонить в банк и сообщить о случившемся сотруднику контакт-центра.

Кеш-треппинг массово использовался мошенниками в Украине в последние годы. Однако в этом году количество таких преступлений упало. По данным ЕМА, за январь-июнь было выявлено только 66 случаев перехвата наличных. За аналогичный период 2016 г. таких случаев было 468. Причина проста: сейчас украинцы больше знают о преступлениях подобного рода и не попадаются легко на крючок аферистов. К тому же в борьбу с ловушками включились банки. Они размещают антикештреппинговые накладки на шторках банкоматов и не дают мошенникам возможности установить капканы.

Скимминг

Один из распространенных видов обмана - традиционный скимминг. Или, проще говоря, кража данных пластиковых карт для изготовления поддельного пластика. В первом полугодии 2017 г. было зафиксировано 50 случаев установки скиммингового оборудования на банкоматах Украины. Большая их часть пришлась на Киев и Одессу.

Чаще всего встречается физический скимминг. Злоумышленники устанавливают на банкоматах специальные устройства, которые позволяют копировать данные карт, - накладки на клавиатуру, крошечные видеокамеры, вставки и накладки на приемник карточек и т. п. После этого они изготавливают дубликат карты и, зная ПИН-код, снимают деньги со счета.

Еще одна разновидность скимминга - кибернетический. Но, по сути, он сводится к той же краже данных. Только в этом случае преступники получают информацию с магнитной полосы карты с помощью специального вредоносного программного обеспечения, которое устанавливают на кеш-
машинах.

Банки пытаются активно бороться со скиммингом - устанавливают на банкоматы сигнализации, антискимминговые устройства, дополнительное программное обеспечение, в том числе антивирусное. Но многое зависит и от осторожности самих держателей карт. Например, прежде чем воспользоваться кеш-машиной, банкиры советуют сравнить внешний вид банкомата и отверстия для приема карт с картинкой на экране. Если кардридер отличается от изображения на картинке, наличные лучше вообще не снимать.

Не все накладки можно увидеть невооруженным глазом. Скиммеры часто используют скрытые устройства, например, глубокую вставку. Поэтому единственно верный и надежный способ защиты - не дать преступникам подсмотреть ПИН-код. Тогда они ни при каких условиях не смогут получить доступ к карте. Самый простой путь - прикрывать клавиатуру во время введения кода либо ладонью, либо каким-то другим предметом.

"Также лучше не снимать средства в подозрительных банкоматах, а использовать машины, расположенные непосредственно в отделениях банка", - рекомендует директор департамента розничного бизнеса банка "Пивденный" Артем Семейнов.

"Если вам не нравится внешний вид банкомата (АТМ): сложно вставить в него карту, кто-то посторонний долго стоит возле банкомата или просто внешний вид не понравился, то наш совет: не снимайте в нем деньги, не проверяйте баланс. Лучше выберите другой банкомат. А если вам что-то не понравилось при расчете картой или снятии денег, свяжитесь с банком и заблокируйте ее сразу", - говорит руководитель управления платежных карт Пиреус Банка Алена Горлушко.

Советы путешественникам

Держатели карт подвержены рискам не только в Украине, но и при поездках в зарубежные страны. Накладки на банкоматах, скимминг и ловушки для кеша - все это распространено и за границей. "При выборе платежной карты в банке лучше остановиться на карте с чипом (или бесконтактной карте). Данные, которые содержатся на такой платежной карте, зашифрованы с помощью сложных цифровых кодов и простым скиммером их нельзя считать", - советует Артем Семейнов.

Но есть ряд стран, которые банки считают особенно опасными с точки зрения мошенничества. У каждого финучреждения есть свой черный список. "В зависимости от банка на расчеты в таких странах устанавливаются ограничения. Например, "0" на снятие денег в банкомате (АТМ) или "0" на безналичный расчет (магазины, гостиницы и т.  д.). Соответственно, если клиент выезжает в такую страну, ему необходимо обратиться в банк и отменить ограничение. У каждого банка на сайте есть список рисковых стран. О нем также можно узнать, обратившись в контакт-центр банка", - рассказывает Алена Горлушко.

К примеру, многие финучреждения включают в этот перечень Тайвань, Перу, Индию, Чили, Гонконг, Китай, Индонезию, Филиппины, Малайзию, Таиланд, Тунис, Шри-Ланку, ЮАР. На некоторых банковских сайтах мы также обнаружили в черных списках Марокко, Мавританию, Доминиканскую Республику, Бразилию и даже Болгарию.

"Перед каждым путешествием за границу мы советуем клиентам сообщить в банк, в какую страну и на какой срок они отправляются. Это позволит избежать блокирования карты и дополнительных затрат на телефонные звонки в том случае, если служба мониторинга операций банка сочтет ваши операции подозрительными", - говорит Артем Семейнов.

Также стоит помнить, что передавать карту в третьи руки небезопасно. Ее реквизиты - номер, срок действия, CVV2/CVC2 коды - могут быть скопированы или сфотографированы. Такой вид мошенничества чаще всего встречается в аэропортах.

Безотказное средство защиты карточного счета - установка суточного лимита на операции. Нужно только прикинуть, сколько денег вы собираетесь тратить в путешествии, и ограничить сумму снятия наличных. Такой же лимит должен быть установлен и для безналичных расчетов. Это можно сделать через интернет-банкинг или подать заявление в отделении банка. Тогда даже в самом худшем случае мошенники смогут снять не больше суточного лимита. Основная сумма на счету останется недоступной.

Также можно завести два карточных счета - основной и дополнительный. На первом необходимо держать всю основную часть средств, на втором - деньги на текущие расходы.

Телефонное мошенничество (вишинг)

Все большие обороты набирает так называемый вишинг - телефонные звонки для выманивания реквизитов банковских карт. По данным ЕМА, в 2016 г. средняя сумма, которую преступники выманивали у одной жертвы при помощи вишинга, составляла 1403 грн.

Жулики под разными предлогами выпытывают по телефону секретные данные карт. Например, рассказывают людям о несуществующих акциях или крупных выигрышах. Разумеется, для получения денежного приза секретные данные карты якобы просто необходимы.

Любопытно, что более 90% телефонных мошенников представляются потенциальной жертве сотрудниками того или иного банка (иногда даже сотрудниками Национального банка Украины). Например, человеку могут рассказать, что его карта из-за какого-то сбоя в программе будет заблокирована. Чтобы ее "разблокировать", сотруднику нужны секретные реквизиты - срок действия карты, трехзначный код безопасности с обратной стороны карты, или код CVC2/CVV2. После того как доверчивая жертва сообщает эти данные жуликам, те получают доступ к ее банковскому счету и могут распоряжаться деньгами на свое усмотрение.

Преступники используют и другие легенды: якобы "по карте проводятся подозрительные операции"; "нужно перерегистрировать карту и пройти верификацию"; "вам пришел платеж, но, чтобы зачислить деньги, нужны все данные карты". Иногда звонят под предлогом оценки банковского обслуживания. Они спрашивают мнение о банке, и как бы между прочим выуживают секретные данные карты.

Бывает, что мошенники обзванивают людей, представляясь службой безопасности Национального банка, и спрашивают, в каком конкретно банке те обслуживаются. А спустя короткое время болтуну уже звонят из того самого банка, чтобы выудить остальные данные.

Иногда жертве звонит не сам преступник, а робот, запрограммированный через систему IVR (интерактивных голосовых ответов). С его помощью мошенники создают видимость звонка из банка, который якобы собирает информацию о клиенте. Для "уточнения или проверки информации" робот спрашивает данные карт, логины-пароли для входа в интернет-банк, CVV-коды, PIN-коды. Часто робот говорит, что собирает информацию, поскольку произошел сбой системы.

В конце прошлого и в нынешнем году мошенники воплотили еще одну хитрую схему. Они массово рассылали на телефоны украинцев смс от имени крупнейших розничных банков с угрозой заблокировать платежную карту. В сообщении указывался номер телефона, по которому владельцу пластика рекомендовали срочно связаться с якобы колл-центром. Там на звонок отвечали липовые сотрудники и выведывали данные карты.

Финансисты без устали твердят, что настоящий сотрудник банка ни под каким предлогом не станет спрашивать конфиденциальные данные карты клиента. Если вам звонят и требуют сообщить секретные реквизиты - это мошенники. В таком случае лучше прекратить разговор и перезвонить непосредственно в банк, чтобы подтвердить, что с картой все в порядке. Или, если что-то не так, предпринять необходимые меры.

Осторожно - соцсети!

Еще одно криминальное новшество - выманивание данных у граждан через социальные сети и мессенджеры. Мошенники взламывают аккаунт социальной сети, скайп, whatsApp, viber или другой чат. После этого они делают рассылку по всему списку контактов жертвы. Например, просят помочь другу до зарплаты или спрашивают данные банковской карты, пароли и телефон, чтобы срочно перекинуть средства на карту друга, поскольку "у моей закончился срок действия". Таким способом преступники выуживают данные платежной карты либо сразу получают деньги от "социального френда". Бывает и так, что преступники успевают полностью опустошить карточный счет, прежде чем человек додумывается перезвонить другу и спросить, действительно ли просьба исходила от него.

Манипуляторы часто пользуются неграмотностью людей, которые не вполне знакомы с особенностями пользования банкоматами и терминалами. "Популярной среди мошенников остается схема обмана, когда жертву "ведут" к банкомату, обещая, что там она получит деньги на карту (надбавку к пенсии, материальную помощь, выигрыш в лотерею, денежный приз от магазина и т. п.). Человека убеждают пойти к банкомату, вставить свою карточку и выполнить инструкции, продиктованные по телефону. В результате он, ничего не подозревая, отправляет деньги со своей карты на карту преступника", - рассказывают в ассоциации ЕМА.

Фишинг

Все больше украинцев расплачивается картой в интернете. Сегодня на онлайн-платежи приходится примерно 15% от всех платежей картой. Количество таких операций выросло на 27%, если сравнивать с показателями минувшего года. Это не ускользнуло от внимания мошенников - вслед за банковскими клиентами они стали внедряться и в виртуальный мир.

Хит последних нескольких лет - так называемый фишинг. Это создание специальных сайтов-клонов, с помощью которых преступники собирают реквизиты платежных карт. Они убеждают пользователей вводить конфиденциальные данные своих платежных карт и таким образом получают доступ к их счетам.

Сайты-призраки дублируют известные интернет-магазины, сервисы для пополнения мобильного телефона, совершения денежных переводов, покупки авиабилетов или получения онлайн-кредитов. По данным ЕМА, с начала 2017 г. выявлено уже 82 фишинговых сайта. Большая часть (64) из которых маскировалась под веб-сервисы для электронных платежей. В прошлом году сайтов-клонов было примерно на треть больше.

Одна из последних находок - фишинговый сайт "Приват 24", который выманивал у пользователей пароли доступа к интернет-банкингу Приватбанка. Адрес фишингового веб-ресурса - http://pb24corp.at.ua. Когда человек заходил на эту страницу, сайт просил ввести номер телефона и пароль доступа к "Приват 24".

Мошенники правдами и неправдами пытаются убедить пользователя, что тот использует официальный ресурс. Их липовые сайты часто выглядят очень правдоподобно. Например, адресная строка некоторых фишинговых веб-ресурсов теперь начинается с https, что является признаком защищенного соединения. Увидев в строке https, пользователь расслабляется и легко попадает в ловушку.

Серьезную опасность представляют страницы-клоны, которые копируют сервисы денежных переводов. Как правило, они снабжены программой, которая подменяет номер карты получателя денег. Ничего не подозревающий пользователь отправляет перевод, а программа в последний момент меняет номер карты, а иногда и сумму, и в конечном итоге деньги попадают на счет мошенника. Беспечный отправитель получает смс о списании средств с карты и даже не подозревает, что попался в ловушку.

Как борются с мошенниками

Банки, платежные онлайн-сервисы, онлайн-платформы продаж и киберполиция все плотнее сотрудничают между собой, объединяясь против аферистов. Наглядный пример - межбанковская система обмена информацией Exchange-online. Ее еще с 2011 г. использовали для обмена данными о мошенниках и совершенных ими преступлениях не только банки, но и правоохранители. В рамках этой платформы был создан черный список мошенников. Так, только за январь-июнь в него внесли 1700 записей с телефонами и юридическими адресами мошенников.

Финансисты констатируют, что часто жертвы аферистов даже не пытаются заявить о преступлении, считая, что деньги утеряны безвозвратно. На самом деле это не так. Необходимо сообщить данные о мошеннике (в частности, номер его счета) и совершенном преступлении в киберполицию и банк. В этом случае банк может вмешаться - заблокировать счет и не позволить мошеннику снять украденные средства.

"На базе Exchange-online также разработана система, которая помогает сократить время на взаимодействие киберполиции и банков. В течение суток банк отвечает на запрос системы о том или ином мошенническом счете. Киберполицейские через систему получают информацию, где были обналичены деньги с карты мошенника (который эти деньги ворует у своих жертв)", - говорят в ЕМА. Новая система получила название CrimeCheck. Сейчас ее использование находится на стадии пилотной эксплуатации.

(Mobile first + PCI DSS) х Face ID

вместе с Юрием Кучером рассчитываем формулу безопасности в сфере р2р переводов

Объем карточного мошенничества в интернете за последний год вырос более чем в четыре раза. По статистике практически каждый 80-й украинец пострадал от данного вида преступлений. Одной из важнейших задач компаний, предоставляющих услуги на рынке p2p переводов, является обеспечение информационной безопасности клиентов. Сегодня о безопасности в этой сфере мы говорим с Юрием Кучером, CIO MOSST Payments. MOSST Payments работает на украинском рынке денежных переводов и уже заслужил репутацию на-дежного инновационного сервиса, которому доверяют клиенты. В мобильном приложении MOSST Денежные переводы компания впервые в Европе и СНГ реализовала механизм аутентификации пользователя по биометрии лица (Face ID). Для осуществления денежного перевода клиенту достаточно знать только номер мобильного телефона или email получателя.

ВД: Является ли современный рынок денежных переводов Украины безопасным?

Ю.К. В сравнении с оффлайн-переводами мошенникам проще оперировать в поле электронных онлайн-каналов и использовать данные скомпрометированных платежных карт. Почти каждому из нас приходили смс или поступали звонки от якобы сотрудников банков либо государственных органов, в ходе которых преступники пытались выведать конфиденциальную информацию. Кроме того, широкое распространение получили фишинговые сайты, выполненные в стилистике известных игроков рынка, но работающие и рекламируемые под другими доменными именами. Как следствие, клиент сам вводит все свои карточные данные на подобных площадках, а мошенники в режиме реального времени используют их для пополнения своих мобильных телефонов (припейд-номера) или покупок.

ВД: Какие основные механизмы для обеспечения безопасности пользователей?

Ю.К. Самый важный фактор, на который мы сделали ставку в своей стратегии, - это концепция MobileFirst, то есть фокус на развитии мобильных приложений как инструмента переводов. Безусловно, у нас есть и веб-версия ресурса (www.mosst.ua), но именно наши мобильные приложения защищены от технологий фишинга, применяемых мошенниками, как я говорил выше.

В качестве мировой инновации, которую мы принесли в Украину как инструмент безопасности одновременно с удобством, - это технология аутентификации в приложение с помощью распознавания лица (Face ID). Таким образом, помимо уже традиционного способа аутентификации по отпечатку пальца (Touch ID), наш клиент может защищать свои данные с помощью Face ID. И доступна эта технология на любом смартфоне, на котором есть фронтальная камера и наше приложение. Как и отпечаток пальца, так и фото не передаются на сервера, хранятся в смартфоне в защищенной области, а проверка безопасности происходит по сгенерированному токену - криптограмме. В ближайшее время мы планируем дать пользователям возможность биометрической защиты по голосу.

ВД: Как финансовая деятельность MOSST коррелируется с международными платежными системам Visa и MasterСard?

Ю.К. И Visa, и MasterCard - наши стратегические партнеры, мы постоянно внедряем их наработки. Например, решение Visa CyberSource является многоуровневой системой защиты и проверки данных между участниками транзакций с помощью настраиваемых правил. Таким образом, мошенническая транзакция может быть остановлена как на уровне авторизации клиента, так и на уровне проведения платежа.

ВД: Какие международные ресурсы вовлечены в контроль безопасности платежей MOSST?

Ю.К. Мы используем наработки и экспертизу ведущих компаний в области IТ: Microsoft, Symantec, Fortinet и др. Нашим аудитором по PCI DSS и безопасности является крупная международная компания, представленная во многих странах мира.

ВД: Какие рекомендации с точки зрения безопасности вы бы могли дать пользователям, которые часто пользуются денежными переводами с карты на карту?

Ю.К. Первое - используйте для переводов мобильные приложения. Да, таких решений немного, но они появляются. Второе - никогда не сообщайте свои карточные данные незнакомым людям по телефону, не важно, кем они представляются или какие аргументы приводят для того, чтобы выманить у вас номер карты, срок действия и код безопасности CVV (трехзначный код на обороте карты). И третий совет - используйте сервисы провайдеров, которые инвестируют в безопасность, сертифицированы и контролируемые как международными аудиторами, так и Национальным банком Украины.

Больше новостей о финансах, бизнесе и промышленности читайте в рубрике Экономика