Деньги любят тишину. Как уберечься от банковских троянов и мошенничества при "угоне" сим-карты
Украинцы привыкли доверять свои сбережения и зарплаты банкам, размещая средства на счетах. Но так ли уж безупречны банковские системы в вопросах защиты денег клиентов?
Украинские хакеры украли более $2,5 млрд из иностранных банков — об этом стало известно в феврале, но "работали" мошенники не один год. За шесть лет преступной деятельности системы ботов злоумышленники осуществили кибератаки на государственные и частные банки Великобритании, Германии, Австрии, Швейцарии, Голландии, Литвы и США.
Главная уловка воров — вызов доверия, и на это попадаются часто украинцы, которые сами добровольно отдают мошенникам данные своих картсчетов
Задержать мошенников удалось в рамках международной спецоперации ЭМОТЕТ, именно такое название носил вирус-шифровальщик, через который шли кибератаки. Сам вирус был "банковским трояном", который использовался для похищения персональной информации — паролей, логинов и платежных данных.
Вирус мошенники распространяли через спам-рассылки документов Word, Excel. Электронные письма для пользователей выглядели как предупреждение о безопасности учетной записи, приглашение на вечеринку и даже как предупреждение о распространении COVID-19. Затем вирус использовал "инфицированную" технику для дальнейшей рассылки, а также устанавливал на компьютер дополнительные вирусы. Это вредоносное программное обеспечение воровало все: историю браузера, платежные и банковские данные, пароли и логины доступов на различные сайты. А затем, получив данные, злоумышленники легко переводили средства со счетов клиентов на свои счета.
Киберпреступность особенно активизировалась в условиях карантина и перехода населения к дистанционной работе. Современные банковские сервисы позволяют удаленно оплачивать коммунальные счета, осуществлять покупки и переводить денежные средства родным и близким без посещения банковского отделения. Но плата за такое удобство может оказаться очень высокой. В 2020 году мошенники ежедневно проводили в среднем 280 незаконных финансовых операций, то есть каждые пять минут кто-то в Украине становился жертвой финансового мошенника. Средняя сумма одной мошеннической операции составила 2,4 тыс. грн. И если еще несколько лет назад наиболее распространенной схемой увода денег было установление скиммеров на банкоматы (устройство, считывающее данные и пароль платежной карты), то теперь в приоритете у воров социальная инженерия.
Телефон — ключ ко всему
История нашего читателя Дениса Верного — ярчайший пример того, как преступники уводят деньги со счетов.
"У меня перестал работать мобильный телефон. Я подумал, что это глюк мобильного оператора или сбой связи. Позже мне на электронную почту пришло письмо с предупреждением, что моя банковская карта в ПриватБанке заблокирована в связи с подозрительными действиями и мне необходимо связаться с банком для выяснения обстоятельств. Когда я приехал в банк, оказалось, что на мою карту от моего имени оформлено два кредита — на 2 тыс. грн и 7 тыс. грн. Затем мошенники попытались перевести эти деньги на карту другого банка", — поведал Денис. По его словам, после перевода 2 тыс. грн ПриватБанк и заблокировал его счет. В другом банке Денису подтвердили, что счет был открыт дистанционно и по правилам обслуживания ему был предоставлен кредитный лимит.
"Конечно, все эти деньги на тот момент были уже сняты неизвестными лицами. Теперь я должен двум банкам, хотя кредитов не оформлял", — рассказал озадаченный читатель Фокуса.
Случай Дениса, увы, не единичный. Злоумышленники "продублировали" его сим-карту. Мобильные операторы предусмотрели возможность удаленного дублирования номера телефона на случай, если абонент потерял телефон. Такая услуга позволяет сохранить не только сам номер, но и контакты, и даже средства на счету. Фактически это дубликат вашего телефона, с помощью которого можно зайти в том числе и в приложение мобильного банкинга. Конечно, мобильный оператор проводит проверку законности владельца номера в течение нескольких часов после смены номера. Но мошенники с легкостью проходят эту проверку.
Денис подал заявление в полицию о краже денег со счета в тот же день. Уведомил об этом оба банка. Средства на счет ему пока не вернули, как не аннулировали и долг по кредиту. Мошенничество при помощи "угона" сим-карты приносит наибольшие убытки украинцам.
"Средняя сумма незаконной операции с использованием социальной инженерии составила в 2020 году 2400 грн, незаконная операция в интернете — 198 грн, с угоном сим-карты — 12 500 грн", — рассказал Александр Карпов, директор ассоциации ЕМА.
Без вины виновные
С развитием интернет-торговли и мобильного банкинга возросла и киберпреступность в Украине. По данным Киберполиции, только за 2020 год было зарегистрировано более чем 5 тыс. преступлений, связанных с мошенническими действиями в интернете. Большинство из них касаются подставных продаж несуществующего товара. А вот на втором месте — воровство денег с банковских счетов. Общая сумма убытков от киберпреступлений за прошлый год — 241 млн грн.
Только в Украине чаще всего средства воруют не хакеры, а обычные уголовники, которые находятся в заключении и оттуда выманивают у украинцев средства, используя лишь мобильный телефон.
Если у клиента банка украли деньги с карты, но сам он никому не сообщал никакой информации, банк должен провести расследование и вернуть клиенту деньги
Банкиры подтверждают, что в последние годы громких историй компьютерного взлома банковской системы в Украине не было. Это ведь довольно трудоемкий и финансово затратный проект. Один "банковский троян", подобный Emotet, стоит в Darknet (скрытая сеть, доступ куда возможен лишь через определенное ПО) несколько тысяч долларов. Продают там и сворованные уже базы данных банковских клиентов с логинами и паролями украденных аккаунтов. Но эффективность таких баз данных весьма низкая.
Более того, в каждом банке существует система кибербезопасности, задача которой — противодействие компьютерным атакам. Особенно активно в системы защиты данных банки инвестировали после атаки вируса Petya в 2016 году. Также в каждом банке разработана своя система антифрод, которая анализирует предыдущий опыт мошеннических действий, алгоритмы работы мошенников и предупреждает такие действия. Потому финучреждения вводят двухэтапную идентификацию клиентов, например, через генерацию уникальных кодов, высылаемых клиенту в СМС-сообщениях, или подтверждение через телефонный звонок.
Гораздо легче добраться до денег клиента, используя его беспечность.
"93% мошенничества в Украине — это социальная инженерия. То есть ситуация, когда клиент проводит транзакцию сам или отдает пароли от своих счетов мошенникам лично", — рассказывают в ПриватБанке.
Есть еще одна категория мошенников — сотрудники банка. Например, 16 февраля этого года Киберполиция задержала в Виннице сотрудника, укравшего более полумиллиона гривен у клиентов банка. Имея доступ к банковской системе, преступник подделывал заявки на выдачу денег с депозитных счетов клиентов и затем переводил средства на свой счет. Нередко сотрудников банка вербуют стать соучастниками в схеме открытия счетов на подставных лиц, куда потом злоумышленники переводят деньги.
Чтобы защитить себя и деньги клиентов, банки страхуют свою ответственность от незаконных действий сотрудников. В США и Евросоюзе такой полис корпоративной банковской ответственности Banker"s Blanket Bond — обязательная практика. В Украине его наличие — добровольное дело каждого банка. Причин низкой популярности страхования несколько. Во-первых, немногие страховые компании готовы предложить банкам такое страхование. С другой стороны, для заключения договора страховая должна провести проверку процедур внутренней безопасности, а банки неохотно допускают третьих лиц к внутренним процедурам. Но главная причина в том, что даже банки, имеющие такое страхование, предпочитают не афишировать этот факт, чтобы не спровоцировать сотрудников банков на незаконные действия. Сегодня такие полисы есть не более чем у десяти украинских банков, большинство из которых — "дочки" иностранных банков.
Защита от дурака
Еще в 2016 году международная платежная система Visa распространила на Украину принцип нулевой ответственности для держателей карт. Это означает, что если у клиента украли деньги с карты Visa, но сам он никому не сообщал никакой информации о данных карты, паролях или сvv-коде, то банк должен провести расследование факта мошенничества и вернуть клиенту деньги за свой счет.
Средняя сумма незаконной операции с использованием социальной инженерии составила в 2020 году 2400 грн
Но на практике это далеко не всегда означает, что клиенту вернут потерянное. По правилам банковская проверка проходит в течение трех месяцев.
"Все решается индивидуально. Если увели деньги со счета постоянного клиента, который имеет длительную историю отношений с банком, или это средства с зарплатной карты одного из сотрудников в рамках большого зарплатного проекта, банк может пойти навстречу и оперативно вернуть деньги", — рассказал сотрудник одного из крупных банков.
В ином случае финучреждение может ждать окончания полицейского расследования по факту мошенничества и официального признания вины злоумышленника. А на это могут уйти годы. Да что там, мошенника могут никогда не найти, ведь многие операции совершаются за границей.
Популярный "развод"
Как утверждают банкиры, большая доля мошенничества — это уловки по выманиванию данных. Одна из схем — "Вы выиграли миллион". Мошенники любят применять эту схему, используя страсть людей к выигрышам. Сначала жертве высылают СМС, в котором указывают детали выигрыша. Там же может быть указан сайт, где содержится вся информация о выигрыше (конечно, фейковый). Затем клиенту звонят и с целью идентификации личности узнают паспортные данные и данные карты для перевода выигрыша, а с ними — и cvv-код. Иногда просят заполнить форму с данными на сайте самостоятельно. В иных случаях просят человека уплатить на счет компании определенный процент налога на доход физлиц. Люди часто оказываются настолько ошеломлены псевдовыигрышем, что спокойно переводят деньги злоумышленникам.
Другим способом получить информацию становятся звонки якобы из банка или другой организации.
"Вас беспокоит служба безопасности банка/коммунальной службы/мобильного оператора". Предлоги для звонка могут быть любые. Иногда злоумышленники даже говорят, будто кто-то пытался снять деньги с вашей карты и банк заблокировал счет. А чтобы снять блокировку, они должны подтвердить вашу личность — просят продиктовать код из СМС. Делать этого не стоит. Ведь в таком случае идет получение мошенниками средств.
Если клиенту банка звонят от имени мобильного оператора, то сначала спрашивают о качестве связи, выясняют, как давно вы пополняли счет и какие последние номера набирали. После этого предупреждают, что планируются технические работы и возможны сбои системы. А затем, используя рассказанное абонентом, перевыпускают его сим-карту и получают доступ к мобильному банкингу и всем счетам клиента.
А дальше?
Если все же клиент банка стал жертвой мошенничества, то существует четкий алгоритм его дальнейших действий. Сначала нужно сообщить о мошеннических действиях с платежной картой в банк и заблокировать ее. Сделать это можно, позвонив по номеру банка на обороте платежной карты или через интернет-банкинг. Затем надо срочно подать заявление о мошенничестве в полицию и копию заявления предоставить в банк. Обращение в полицию — один из важнейших аргументов в вашу пользу в попытке вернуть украденные средства. Хотя украинцы часто скептически относятся к факту помощи со стороны полиции, не рассчитывая вернуть украденное и считая себя (часто справедливо) виновными в раскрытии информации о платежной карте.
Обязательно смените все пароли к другим платежным картам и мобильному банкингу, необходимо также проверить состояние всех депозитных счетов. Через бюро кредитных историй можно и нужно проверить свои данные как заемщика, чтобы исключить возможность оформления на свое имя кредитов в других финучреждениях. Если таковые нашлись, необходимо срочно заявить о мошенничестве в полицию и в сам банк, который выдал такой кредит.