Автор: Нина Глущенко
Самые популярные методы банковского мошенничества. И как от них защититься
По данным Украинской межбанковской ассоциации членов платежных систем, в 2016 году жертвами платежных мошенничеств в Украине стал каждый восьмой. Злоумышленники используют для этого почтовые и SMS-рассылки, вредоносное ПО для мобильных и настольных операционных систем, устройства для банкоматов, доверчивость сограждан и неограниченную фантазию. Редакция AIN.UA разбирается, какими методами часто пользуются мошенники и как защититься от их действий.

Материал подготовлен при поддержке «Альфа-Банк Украина»
Что это значит?

Этот материал подготовлен журналистами AIN.UA по редакционным стандартам и опубликован при поддержке рекламодателя.
Фишинг

Фишинг — это способ интернет-мошенничества, при котором у пользователя воруются данные: логины, пароли, информация о банковских картах. Для воровства данных о банковских картах злоумышленники используют фишинговые сайты. Это могут быть копии известных и надежных платежных ресурсов или «авторские» сайты. Обычно эти сайты позволяют пополнять мобильный, переводить деньги между картами, оплачивать коммуналку или другие услуги через интернет. Пользователь вводит данные, в 90% случаев транзакция проходит по назначению или не проходит в принципе, а информация о карте оказывается в руках мошенников. В дальнейшем они смогут списать с нее средства в любой момент.

По данным EMA, чаще всего в прошлом году в Украине подделывался сайт Portmone, а самой «популярной» оказалась услуга пополнения мобильного.
Список сайтов-подделок сервиса Portmone. Проверить сайт можно по ссылке
Сайты-имитаторы

Мошенники создают сайты, имитирующие известные сайты для перевода денег и оплаты услуг. Вы заходите на один из таких из поисковой системы, вводите реквизиты, отправляете средства, банк их списывает, но до получателя деньги не доходят. Все потому, что сайт подменяет данные платежной карты и деньги отправляются злоумышленникам. По данным EMA, таким промышляют 10% фишинговых сайтов и в 2017 году в Украине было совершено 1764 таких операции на 1,6 млн гривен. Некоторые ресурсы научились менять не только номер карты, но и сумму транзакции, естественно, в большую сторону.

Что делать

Пользоваться надежными ресурсами, причем желательно хранить их в закладках.

Если вы уже оплатили услугу на сомнительном ресурсе, заблокируйте карту немедленно, о сайте сообщите Киберполиции.
Как понять, что сайт с финансовыми услугами надежный

1.
Он использует безопасное https-соединение;
2. Это старый сайт (срок его жизни можно проверить тут) с репутацией или как минимум отзывами в интернете;
3. Сайт маскирует введение реквизитов при помощи звездочек или виртуальной клавиатуры;
4. Сайт находится в национальной доменной зоне .ua (такую рекомендацию дает EMA), мошенники выбирают домены, где нет ограничений в регистрации, например, kiev.ua, org.ua и т.д.;
5. Его нет в черном списке фишинговых сайтов.
Письма с вирусами якобы от банка, налоговой или других финансовых учреждений

Спам от «нигерийского дядюшки» находит новые формы проявления — теперь это могут быть письма якобы от финансовых учреждений, государственных органов и прочих служб, которые наконец вышли в интернет. По данным EMA, массированная спам-атака от лица «сотрудников банка» была произведена во втором квартале 2016 года — ее целью было похищение данных пользователей, для этого пользователям надо было пройти по ссылке в письме. В марте 2017 года спамеры разослали письма от имени «ПриватБанка», в которых содержалась ссылка на вредоносное ПО семейства шифровальщиков. Оно шифрует файлы на компьютере пользователя и требует выкуп за дешифровку.
Такие письма от имени «ПриватБанка» рассылали мошенники
Что делать

Не открывайте подозрительные письма, Их можно узнать по темам вроде «У вас задолженность», «Срочно погасите кредит» и т.д. Банк никогда не напишет письмо в таком стиле.

Если уже открыли — проверьте адрес отправителя. Если речь идет об известной вам организации, посмотрите ее контактные данные на сайте: название почтового ящика, адрес сайта, номера телефонов). Если организация неизвестная, а тема письма сомнительная — скорее всего, речь идет о спаме.

Какие бы золотые горы или штрафные санкции не обещало письмо, не переходите по ссылкам и не открывайте вложение, если адресат вызывает сомнение. Но даже если источник надежный, не спешите — злоумышленник мог взломать почтовый ящик. Позвоните в организацию (если это банк, посмотрите номер на вашей карте) и все у них выясните.

Пользуйтесь антивирусом, обновляйте программное обеспечение на своем компьютере и отказывайтесь от установки ПО из непроверенных источников.

Если вы все-таки попали на уловку мошенников, бесплатно дешифровать данные поможет этот ресурс от глобального проекта No More Ransom, который занимается противодействием мошенникам в интернете.

И, конечно же, расскажите о случившемся Киберполиции.
Полезные сайты:

1. Сайт Киберполиции.
2. Проверка информации о сайте.
3. Черный список фишинговых сайтов.
4. Сайт, который поможет бесплатно дешифровать данные на компьютере.
Вишинг

Вишинг — это вид мошенничества, при котором злоумышленники выведывают у владельца данные о его банковской карте под видом проведения какой-то транзакции или угрозы, что карта будет заблокирована. По данным «Альфа-Банка», 70% владельцев карточек выдают под давлением персональные данные. Но единственное, что нужно для получения перевода – это номер банковской карты (более того, есть сервисы, которые умеют переводить деньги по номеру телефона или адресу электронной почты). А блокировкой и разблокировкой карты по телефону по собственной инициативе сотрудники банка заниматься не будут.

Если у вас пытаются выяснить по телефону следующую информацию, значит, перед вами мошенник:
  • срок действия карты;
  • PIN-код;
  • CVV-код карты;
  • кодовое слово для идентификации клиента банком;
  • SMS-пароль от банка.

Что делать

Положить трубку и сообщить контакты звонивших Киберполиции. И немедленно заблокировать карту, если вы все-таки попались на уловку.
Принцип нулевой ответственности

С 2016 года VISA и MasterCard ввели принцип нулевой ответственности в Украине и на глобальном уровне. Это значит, что если владелец карт этих платежных систем стал жертвой мошенников и смог это доказать, то банки должны компенсировать ему средства.

Если такая ситуация имела место, нужно обратиться в банк. Банк проведет свое расследование, если подтвердится, что пользователь действительно стал жертвой, деньги компенсируют.
Зараженные приложения

Смартфоны стали самым персональным и самым близким человеку гаджетом, поэтому неудивительно, что злоумышленники пытаются пробраться и в них. В Google Play регулярно обнаруживаются зараженные приложения, а некоторые устройства (в основном дешевые китайские смартфоны «ноунейм») попадают на прилавки магазинов уже с «троянами» и другим вредоносным ПО. Оно может собирать данные пользователя на устройстве, просить ввести их у себя (например, если это мошенническое приложение для покупки билетов или оплаты услуг) или перехватывать сообщения от банка.

В этом плане смартфоны на iOS более надежные — Apple просто не позволяет устанавливать приложения не из официального маркета, а в нем все проходит тщательную модерацию. Но, угроза существует для пользователей, которые ставят джейлбрейк и загружают на свое устройства непроверенные приложения.

Что делать

Тут нет универсального совета. Для начала — постараться не устанавливать приложения из неизвестных источников. Но тот же Google Play как единственный кладезь приложений — не панацея от всех бед. Стоит обращать внимание на рейтинг и отзывы, разрешения, которые оно запрашивает, искать отзывы в интернете, если сервис вызывает сомнение, и ни в коем случае не соглашаться загрузить дополнительный софт. Кроме того, стоит периодически проверять, какие приложения стоят на вашем смартфоне — некоторое ПО умеет самостоятельно загружать вредоносный софт.

Еще один источник проблем в смартфоне — это подделки под официальные приложения, содержащие вредоносный код. Например, так было с Prisma, популярность которого обгоняла бдительность пользователей, в итоге некоторые установили его копию.
Пример приложения-копии, которое может содержать вредоносный код
Лучше всего скачивать приложения по ссылкам с оригинальных сайтов: там всегда будет стоять прямая ссылка.

Если используете финансовое приложение на своем смартфоне, не пренебрегайте максимальной защитой. Доступ по отпечатку пальцев — на сегодня самый надежный из распространенных способов, и украинские банки (например, Альфа-Банк и ПриватБанк) внедрили его в свой софт.

Антивирус частично защитит от проблемы, но это тоже не панацея. Не у всех антивирусов одинаковое отношение к вредоносным программам (подробнее об этом написано по ссылке выше) и не все они успевают отследить.

Если все-таки выяснилось, что в вашем смартфоне есть вредоносное ПО, произведите сброс настроек до заводских, предварительно сохранив личные данные, так как в противном случае их нельзя будет восстановить (например, в облаке).
Скимминг

Использование считывающего устройства, которое собирает данные банковских карт. Устанавливается в слот для карты, из-за этого она может заходить в него слишком туго. По данным EMA, за прошлый год в Украине было выявлено 71 скимминговое устройство.
Как выглядит скимминговое устройство:
Шимминг

По сути, то же самое, что и скимминг, правда в роли главного действующего лица выступает более тонкая плата, которая настолько мала, что не влияет на легкость вхождения карты в слот, из-за этого ее сложнее обнаружить.

Кеш-треппинг

Это использование насадки на отверстие для выдачи денег в банкомате. Когда вы снимаете деньги, они остаются под этой насадкой, а банкомат показывает, что транзакция завершилась успешно.

Что делать

Осмотреть банкомат перед использованием. Заподозрить неладное, если карточка входит слишком туго или слишком легко. Посмотреть, нет ли накладок на клавиатуре или камер над ней.

Прикрывать рукой клавиатуру, когда вводите пароль.

Если банкомат не выдает деньги, проверить рукой, нет ли на отверстии для выдачи средств накладки. Звонить в банк, не отходя от него, и сообщать о проблеме.

Заблокировать карточку или поменять PIN-код, если банкомат вел себя подозрительно. Кстати, банк также может заблокировать вашу карту, если вы пользовались ею в банкомате, где было найдено стороннее оборудование. В таком случае вы можете разблокировать ее на свой риск и страх или перевыпустить.

Сообщить банку о подозрительном поведении банкомата, указав его адрес и номер.

Неожиданные призы

Популярным видом мошенничества в Украине являются разного рода лотереи и розыгрыши. Особой популярностью пользуются розыгрыши автомобилей.

Жертва получает сообщение (email или SMS) о победе в розыгрыше, в котором не принимала участия, подарке от банка, интернет-магазина или другой организации, клиентом которой она может быть. В сообщении будет информация о призе и контактные данные. В частности, адрес сайта, где можно узнать, как его забрать. Скорее всего это спам, и сайт, как и операторы контакт-центра — злоумышленники, которые попросят перевести деньги (от нескольких тысяч гривен) якобы в счет налога.

Что делать

Не переходить по ссылкам, не отправлять личные данные в ответ в почте или сообщении и не платить. История с налогами и псевдо-выигрышами стара как мир. Обо всех подобных действиях мошенников нужно сообщать Киберполиции.

Как себя защитить

Технологии и методы, которые используют злоумышленники, постоянно развиваются, и сложно предугадать все возможные сценарии поведения. Но в любой подозрительной ситуации важно реагировать быстро. Как минимум — блокировать карту и обращаться в банк самостоятельно, а также оповещать о подозрительных действиях Киберполицию.

Мошенники зарабатывают на тех, кто пренебрежительно относится к защите данных. Поэтому всегда проверяйте ресурсы, на которых или в пользу которых вы хотите совершить оплату, не снимайте деньги в малолюдных местах, где проще установить скимминговое оборудование, не передавайте информацию о своих банковских картах чужим людям.
© 1999—2017 AIN.UA
[email protected]
Made on
Tilda