Разделы
Материалы

Деньги любят тишину. Как уберечься от банковских троянов и мошенничества при "угоне" сим-карты

Регина Дацюк
Фото: Anete Lusina from Pexels

Украинцы привыкли доверять свои сбережения и зарплаты банкам, размещая средства на счетах. Но так ли уж безупречны банковские системы в вопросах защиты денег клиентов?

Украинские хакеры украли более $2,5 млрд из иностранных банков — об этом стало известно в феврале, но "работали" мошенники не один год. За шесть лет преступной деятельности системы ботов злоумышленники осуществили кибератаки на государственные и частные банки Великобритании, Германии, Австрии, Швейцарии, Голландии, Литвы и США. 

Главная уловка воров — вызов доверия, и на это попадаются часто украинцы, которые сами добровольно отдают мошенникам данные своих картсчетов

Задержать мошенников удалось в рамках международной спецоперации ЭМОТЕТ, именно такое название носил вирус-шифровальщик, через который шли кибератаки. Сам вирус был "банковским трояном", который использовался для похищения персональной информации — паролей, логинов и платежных данных.

Вирус мошенники распространяли через спам-рассылки документов Word, Excel. Электронные письма для пользователей выглядели как предупреждение о безопасности учетной записи, приглашение на вечеринку и даже как предупреждение о распространении COVID-19. Затем вирус использовал "инфицированную" технику для дальнейшей рассылки, а также устанавливал на компьютер дополнительные вирусы. Это вредоносное программное обеспечение воровало все: историю браузера, платежные и банковские данные, пароли и логины доступов на различные сайты. А затем, получив данные, злоумышленники легко переводили средства со счетов клиентов на свои счета. 

Киберпреступность особенно активизировалась в условиях карантина и перехода населения к дистанционной работе. Современные банковские сервисы позволяют удаленно оплачивать коммунальные счета, осуществлять покупки и переводить денежные средства родным и близким без посещения банковского отделения. Но плата за такое удобство может оказаться очень высокой. В 2020 году мошенники ежедневно проводили в среднем 280 незаконных финансовых операций, то есть каждые пять минут кто-то в Украине становился жертвой финансового мошенника. Средняя сумма одной мошеннической операции составила 2,4 тыс. грн. И если еще несколько лет назад наиболее распространенной схемой увода денег было установление скиммеров на банкоматы (устройство, считывающее данные и пароль платежной карты), то теперь в приоритете у воров социальная инженерия.

Телефон — ключ ко всему

История нашего читателя Дениса Верного — ярчайший пример того, как преступники уводят деньги со счетов.

"У меня перестал работать мобильный телефон. Я подумал, что это глюк мобильного оператора или сбой связи. Позже мне на электронную почту пришло письмо с предупреждением, что моя банковская карта в ПриватБанке заблокирована в связи с подозрительными действиями и мне необходимо связаться с банком для выяснения обстоятельств. Когда я приехал в банк, оказалось, что на мою карту от моего имени оформлено два кредита — на 2 тыс. грн и 7 тыс. грн. Затем мошенники попытались перевести эти деньги на карту другого банка", — поведал Денис. По его словам, после перевода 2 тыс. грн ПриватБанк и заблокировал его счет. В другом банке Денису подтвердили, что счет был открыт дистанционно и по правилам обслуживания ему был предоставлен кредитный лимит.

"Конечно, все эти деньги на тот момент были уже сняты неизвестными лицами. Теперь я должен двум банкам, хотя кредитов не оформлял", — рассказал озадаченный читатель Фокуса.

ВОРЫ НЕ СПЯТ. За 2020 год в Украине было зарегистрировано более 5 тыс.преступлений, связанных с мошенни­чеством в Сети
Фото: Getty Images

Случай Дениса, увы, не единичный. Злоумышленники "продублировали" его сим-карту. Мобильные операторы предусмотрели возможность удаленного дублирования номера телефона на случай, если абонент потерял телефон. Такая услуга позволяет сохранить не только сам номер, но и контакты, и даже средства на счету. Фактически это дубликат вашего телефона, с помощью которого можно зайти в том числе и в приложение мобильного банкинга. Конечно, мобильный оператор проводит проверку законности владельца номера в течение нескольких часов после смены номера. Но мошенники с легкостью проходят эту проверку.

Денис подал заявление в полицию о краже денег со счета в тот же день. Уведомил об этом оба банка. Средства на счет ему пока не вернули, как не аннулировали и долг по кредиту. Мошенничество при помощи "угона" сим-карты приносит наибольшие убытки украинцам.

"Средняя сумма незаконной операции с использованием социальной инженерии составила в 2020 году 2400 грн, незаконная операция в интернете — 198 грн, с угоном сим-карты — 12 500 грн", — рассказал Александр Карпов, директор ассоциации ЕМА.

Без вины виновные

С развитием интернет-торговли и мобильного банкинга возросла и киберпреступность в Украине. По данным Киберполиции, только за 2020 год было зарегистрировано более чем 5 тыс. преступлений, связанных с мошенническими действиями в интернете. Большинство из них касаются подставных продаж несуществующего товара. А вот на втором месте — воровство денег с банковских счетов. Общая сумма убытков от киберпреступлений за прошлый год — 241 млн грн.

Только в Украине чаще всего средства воруют не хакеры, а обычные уголовники, которые находятся в заключении и оттуда выманивают у украинцев средства, используя лишь мобильный телефон.

Если у клиента банка украли деньги с карты, но сам он никому не сообщал никакой информации, банк должен провести расследование и вернуть клиенту деньги

Банкиры подтверждают, что в последние годы громких историй компьютерного взлома банковской системы в Украине не было. Это ведь довольно трудоемкий и финансово затратный проект. Один "банковский троян", подобный Emotet, стоит в Darknet (скрытая сеть, доступ куда возможен лишь через определенное ПО) несколько тысяч долларов. Продают там и сворованные уже базы данных банковских клиентов с логинами и паролями украденных аккаунтов. Но эффективность таких баз данных весьма низкая. 

Более того, в каждом банке существует система кибербезопасности, задача которой — противодействие компьютерным атакам. Особенно активно в системы защиты данных банки инвестировали после атаки вируса Petya в 2016 году. Также в каждом банке разработана своя система антифрод, которая анализирует предыдущий опыт мошеннических действий, алгоритмы работы мошенников и предупреждает такие действия. Потому финучреждения вводят двухэтапную идентификацию клиентов, например, через генерацию уникальных кодов, высылаемых клиенту в СМС-сообщениях, или подтверждение через телефонный звонок. 

Гораздо легче добраться до денег клиента, используя его беспечность.

"93% мошенничества в Украине — это социальная инженерия. То есть ситуация, когда клиент проводит транзакцию сам или отдает пароли от своих счетов мошенникам лично", — рассказывают в ПриватБанке.

Есть еще одна категория мошенников — сотрудники банка. Например, 16 февраля этого года Киберполиция задержала в Виннице сотрудника, укравшего более полумиллиона гривен у клиентов банка. Имея доступ к банковской системе, преступник подделывал заявки на выдачу денег с депозитных счетов клиентов и затем переводил средства на свой счет. Нередко сотрудников банка вербуют стать соучастниками в схеме открытия счетов на подставных лиц, куда потом злоумышленники переводят деньги.

Чтобы защитить себя и деньги клиентов, банки страхуют свою ответственность от незаконных действий сотрудников. В США и Евросоюзе такой полис корпоративной банковской ответственности Banker"s Blanket Bond — обязательная практика. В Украине его наличие — добровольное дело каждого банка. Причин низкой популярности страхования несколько. Во-первых, немногие страховые компании готовы предложить банкам такое страхование. С другой стороны, для заключения договора страховая должна провести проверку процедур внутренней безопасности, а банки неохотно допускают третьих лиц к внутренним процедурам. Но главная причина в том, что даже банки, имеющие такое страхование, предпочитают не афишировать этот факт, чтобы не спровоцировать сотрудников банков на незаконные действия. Сегодня такие полисы есть не более чем у десяти украинских банков, большинство из которых — "дочки" иностранных банков.

Защита от дурака

Еще в 2016 году международная платежная система Visa распространила на Украину принцип нулевой ответственности для держателей карт. Это означает, что если у клиента украли деньги с карты Visa, но сам он никому не сообщал никакой информации о данных карты, паролях или сvv-коде, то банк должен провести расследование факта мошенничества и вернуть клиенту деньги за свой счет. 

Средняя сумма незаконной операции с использованием социальной инженерии составила в 2020 году 2400 грн

директор ассоциации ЕМА
Александр Карпов

Но на практике это далеко не всегда означает, что клиенту вернут потерянное. По правилам банковская проверка проходит в течение трех месяцев.

"Все решается индивидуально. Если увели деньги со счета постоянного клиента, который имеет длительную историю отношений с банком, или это средства с зарплатной карты одного из сотрудников в рамках большого зарплатного проекта, банк может пойти навстречу и оперативно вернуть деньги", — рассказал сотрудник одного из крупных банков.

В ином случае финучреждение может ждать окончания полицейского расследования по факту мошенничества и официального признания вины злоумышленника. А на это могут уйти годы. Да что там, мошенника могут никогда не найти, ведь многие операции совершаются за границей. 

Популярный "развод"

Как утверждают банкиры, большая доля мошенничества — это уловки по выманиванию данных. Одна из схем — "Вы выиграли миллион". Мошенники любят применять эту схему, используя страсть людей к выигрышам. Сначала жертве высылают СМС, в котором указывают детали выигрыша. Там же может быть указан сайт, где содержится вся информация о выигрыше (конечно, фейковый). Затем клиенту звонят и с целью идентификации личности узнают паспортные данные и данные карты для перевода выигрыша, а с ними — и cvv-код. Иногда просят заполнить форму с данными на сайте самостоятельно. В иных случаях просят человека уплатить на счет компании определенный процент налога на доход физлиц. Люди часто оказываются настолько ошеломлены псевдовыигрышем, что спокойно переводят деньги злоумышленникам.

Топ-5 правил для безопасности банковского счета
Фото: Людмила Лысак (инфографика)

Другим способом получить информацию становятся звонки якобы из банка или другой организации.

"Вас беспокоит служба безопасности банка/коммунальной службы/мобильного оператора". Предлоги для звонка могут быть любые. Иногда злоумышленники даже говорят, будто кто-то пытался снять деньги с вашей карты и банк заблокировал счет. А чтобы снять блокировку, они должны подтвердить вашу личность — просят продиктовать код из СМС. Делать этого не стоит. Ведь в таком случае идет получение мошенниками средств. 

Если клиенту банка звонят от имени мобильного оператора, то сначала спрашивают о качестве связи, выясняют, как давно вы пополняли счет и какие последние номера набирали. После этого предупреждают, что планируются технические работы и возможны сбои системы. А затем, используя рассказанное абонентом, перевыпускают его сим-карту и получают доступ к мобильному банкингу и всем счетам клиента.

А дальше?

Если все же клиент банка стал жертвой мошенничества, то существует четкий алгоритм его дальнейших действий. Сначала нужно сообщить о мошеннических действиях с платежной картой в банк и заблокировать ее. Сделать это можно, позвонив по номеру банка на обороте платежной карты или через интернет-банкинг. Затем надо срочно подать заявление о мошенничестве в полицию и копию заявления предоставить в банк. Обращение в полицию — один из важнейших аргументов в вашу пользу в попытке вернуть украденные средства. Хотя украинцы часто скептически относятся к факту помощи со стороны полиции, не рассчитывая вернуть украденное и считая себя (часто справедливо) виновными в раскрытии информации о платежной карте. 

Обязательно смените все пароли к другим платежным картам и мобильному банкингу, необходимо также проверить состояние всех депозитных счетов. Через бюро кредитных историй можно и нужно проверить свои данные как заемщика, чтобы исключить возможность оформления на свое имя кредитов в других финучреждениях. Если таковые нашлись, необходимо срочно заявить о мошенничестве в полицию и в сам банк, который выдал такой кредит.