Как с вашей карты могут украсть деньги: пять актуальных схем

На фиктивных платежных операциях украинские мошенники заработали 246 млн грн в 2018 году, следует из отчетеа Межбанковской ассоциации членов платежных систем ЕМА. Основные направления злоумышленников - социальная инженерия, когда у клиентов банков обманом выманивают реквизиты платежных карт, кража данных в интернете через фишинговые сайты и взлом систем доступа к счетам компаний.

Как промышляют платежные мошенники и как обезопасить от них свои деньги? LIGA.net публикует основные выводы доклада ЕМА.

Общие тренды

Основные причины сокращения масштабов платежного мошенничества - распространение доступа к финансовым услугам, что повышает финансовую грамотность населения. Дополнительные факторы - массовая блокировка фиктивных сайтов в интернете и увеличение доли чипированных карт, которые дают почти стопроцентную защиту от взлома, рассказала на презентации отчета замдиректора ЕМА Олеся Данильченко.

По статистике НБУ, в первой половине 2018 года на каждом миллионе платежных операций мошенники зарабатывали 64 грн. В 2017-м было 77 грн, в 2016-м - 110 грн. Из-за усиления защиты карт от подделки и банкоматов - от считывающих устройств, злоумышленники переориентировались на социальную инженерию и дистанционный взлом платежных систем предприятий, отмечает начальник отдела Департамента платежных систем НБУ Владислав Дикий. В "кибердепартаменте" Национальной полиции Украины приводят следующую статистику: выявлено около 2400 преступлений, связанных с работой платежных систем, еще 1 600 - в сфере e-commerce.

Несмотря на уменьшение общего количества случаев мошенничества с использованием социнженерии, средняя сумма таких операций остается стабильной - 2400 грн, добавляет Данильченко.

Мошенники по-прежнему пользуются слабой финансовой грамотностью населения и недостаточно защищенной платежной инфраструктурой. По данным исследования GFK за август 2018 года, 35% респондентов не получали информацию от своих банков никакой информации о возможном мошенничестве с платежными картами. Только 15% от всего количества платежных карт в Украине (по данным Нацбанка 36,6 млн штук на конец первого полугодия 2016) оснащены чипами, отмечает директор ЕМА Александр Карпов.

Как работает социальная инженерия

Самый популярный вид мошенничества - когда злоумышленники представляются сотрудниками банка, НБУ или других госорганов (Служба занятости etc) и выманивают у жертвы реквизиты ее платежной карты: номер, пин и CVV-код (три цифры с обратной стороны карты). По данным ЕМА, в прошлом году в черный список попало 5 139 номеров телефонов, с которых мошенники звонят потенциальным жертвам или рассылают смс-сообщения от имени банков или госструктур.

"Мошенники действуют очень изобретательно, например, пытаясь узнать CVV-код, они просят собеседника сказать номер отделения, в котором выпущена карта, - рассказывает руководитель EMA Academy Раиса Федоровская. - Неопытным жертвам объясняют, что CVV-код - это и есть номер отделения".

Другой вариант социальной инженерии - мошенники выясняют номер финансового телефона клиента банка (к нему привязаны счета, с помощью номера банки идентифицируют клиента), подделывают сим-карту и таким образом обманывают уже менеджеров финучреждения, получая доступ к счету пострадавшего. По данным ЕМА, "средний чек" таких операций существенно выше - 3,6 тыс. грн против 2,3 тыс. при "классической" социнженерии.

Как воруют данные на интернет-сайтах

По итогам эксперимента, который в марте прошлого года провела ЕМА, за 12 дней существования созданного ассоциацией фишингового сайта, его посетило 7 400 человек. 4 172 посетителя оставили на сайте реквизиты своих карт.

"На главной странице сайта было так и написано: "зарабатываем не на комиссиях, а на доверии людей", но средняя продолжительность посещения составила 2 минуты - люди даже не изучали совершенно неизвестный им сайт, - говорит Федоровская. - Тем, кто ввел свои реквизиты, мы выводили на экран большую памятку, как в следующий раз не стать жертвой мошенничества".

Еще один формат фишинга - ненастоящие интернет-торговцы, которые требуют предоплату за товар, но поставок фактически не производят. Их цель - не столько получить аванс, сколько увидеть реквизиты платежной карты.

Банкоматы-мошенники

Пик банкоматного мошенничества пришелся на 2015-2016 годы, когда особой популярностью пользовались устройства для "кэш-треппинга" - накладки на купюроприемник банкомата, которые блокировали выдачу наличных (клиент уходил, воспринимая это как неисправность банкомата, деньги забирали мошенники). Сейчас количество таких случаев резко сократилось - в ЕМА даже решили больше не отслеживать информацию по ним, говорит Данильченко.

По-прежнему популярными остаются "скимминговые" комплекты: видео-камера для кражи пин-кодов и считыватель информации с магнитной ленты карточек. По словам Евгения Даценко из департамента киберполиции НПУ, если раньше такой набор стоил около 5 000 евро, то сейчас устройство можно купить за $350 - 700.

"С одной стороны это увеличивает их доступность, количество попыток установки скиммеров на банкоматы растет, - говорит Даценко. - Но с другой - качество устройств очень низкое, выявить их намного проще".

Сравнительно новые способы мошенничества с платежным "железом" - поддельные POS-терминалы (полиция фиксировала подобные случаи в ломбардах) и фиктивное пополнение карт через терминалы самообслуживания с помощью специальных банкнот, которыми мошенники обманывают валидатор терминала.

"В прошлом году мы задержали группу из 6 человек, которые таким образом нанесли убытки на 5,5 млн грн, работали через терминалы ПриватБанка, - рассказывает Даценко. - Сейчас мы видим локальные всплески похожих случаев в регионах, поэтому банкам стоит приготовиться к большему распространению этой схемы".

Вирус для бизнеса

9% от количества всех мошеннических операций с платежами в 2018 году пришлось на взлом счетов компаний. В киберполиции отмечают похожий почерк преступлений: мошенники присылают бухгалтерам предприятий один и тот же вирус или его модификации по электронной почте, проникая таким образом в их компьютеры.

"Часто проблема в том, что компании экономят на безопасности, например, отказываясь платить банкам за услугу токенизации (создание временного номера карты или счета при каждой платежной операции, - Ред.), - говорит Даценко. - Также проблема на стороне самих сотрудников: многие жертвы хранили ключи доступа к клиент-банку компании прямо на рабочем столе компьютера".

Часть претензий киберполиция предъявляет и к банкам, менеджеры которых не всегда перезванивают клиентам, чтобы уточнить подлинность операций на крупные суммы.

Как не стать жертвой

Первый совет экспертов ЕМА - отказаться от карты на магнитной ленте в пользу чипированной. "Пока ни в Украине, ни в Европе не было ни единого случая, чтобы мошенники могли изготовить дубликат чипированной карты, - отмечает Данильченко. - То же самое касается и бесконтактных карт: еще не было прецедентов, чтобы с них кто-то мог считать информацию".

Второе - в качестве финансового телефона стоит использовать номер, через который вы общаетесь только с родственниками или близкими, говорит замдиректора департамента Fraud-менеджмента ПриватБанка Юрий Кос.

На сим-карте важно поставить нормальный, а не стандартный пин-код, финансовый телефон желательно не раздавать посторонним людям, - советует он. - Также нужно максимально идентифицировать себя у мобильного оператора: пусть лучше у него будет копия паспорта".

Предпринимателям в ПриватБанке рекомендуют не использовать финансовый номер для платежей с контрагентами. "Для этого лучше завести контрактный номер", - уточняет Кос.

При оплате в интернете лучше избегать продавцов, которые требуют обязательную предоплату. Перед покупкой стоит поискать информацию о торговце в интернете, советуют в Привате.