С карты — в чужой карман. Как воруют деньги с банковских карт и можно ли предотвратить потери

Платежное мошенничество в Украине во время полномасштабной войны с Россией трансформировалось в новые способы обмана украинцев. Как сообщили в Национальном банке Украины, где провели масштабный опрос граждан относительно мошенничества, пользуясь ситуацией и сложным положением граждан, преступники адаптировали мошеннические схемы под настоящее и обманывали людей, притворяясь банками или обещая финансовую помощь от государства, международных и благотворительных организаций.

"Сейчас опрос прошло более 112,9 тысячи пользователей. По его результатам оказалось, что каждый девятый опрошенный (11%) становился жертвой мошенников с начала полномасштабного вторжения", — сообщили в НБУ.

Лишние слова. Как в 2023 году действуют мошенники для кражи средств со счетов граждан

В банках Фокусу рассказали, что в последнее время очень распространено мошенничество через методы социальной инженерии — речь идет об отправке в соцсетях ссылок на страницу с якобы международной финансовой помощью, при переходе на страницу пользователю предлагается ввести личные платежные данные, которые и перехватывают мошенники для кражи средств. Еще один метод — распространение сообщений в Фейсбуке и других сетях о сборе средств для ВСУ или на гуманитарные нужды, когда на самом деле такой сбор проводит не волонтерская или благотворительная организация, а группа мошенников. Однако до сих пор нередки случаи, когда мошенники притворяются "службой безопасности" крупного банка, и через психологическое давление выманивают у клиента конфиденциальные данные (номер платежной карты, срок действия, CVV-код), что впоследствии быстро используют для кражи средств со счета.

"Мошенники быстро адаптировались и разработали новые схемы мошенничества, используя давно известные методы социальной инженерии", — говорит Богдан Гороховский, исполнительный директор направления безопасности Кредобанка.

Игорь Прохоров, специалист по кибербезопасности Креди Агриколь Банка, добавляет: после начала полномасштабного вторжения РФ появились такие мошеннические схемы:

• выплаты из-за войны от местных властей, ЮНИСЕФ, ООН и других международных организаций;
• помощь псевдоволонтерам ВСУ.

Однако у мошенников есть и другие методы обмануть граждан, говорят опрошенные Фокусом эксперты.

По данным исследования НБУ, большинство мошеннических случаев произошло при покупке или продаже товаров в интернете — 52,7%.

"Очень часто такие схемы используются злоумышленниками на площадках онлайн-объявлений. Общий принцип довольно прост: обещая хорошую цену, что оправдывается нередко понятными всем жизненными обстоятельствами, злоумышленники создают для потенциального покупателя режим психологического давления. Например, рассказывая, что имеют другого покупателя, требуют немедленной предоплаты за товар. Есть и более дерзкие и технологичные схемы, использование поддельных страниц оплаты картой, имитирующих встроенные в сайты объявлений системы", — пояснил Фокусу Денис Гавриков, начальник управления электронной коммерции Юнекс Банка.

Эксперты говорят: в последнее время преступники возвращаются к стандартным схемам, а сценарий с международной помощью постепенно исчезает, ведь уже многие украинцы хорошо осведомлены о такой схеме.

"Киберпреступники умело меняют свою тактику, чтобы воспользоваться глобальными или локальными событиями для заманивания новых жертв. В то же время, примерно с середины 2023 года мошеннический тренд по получению финансовой помощи начал постепенно уменьшаться и на сегодня уже совсем неэффективен. Мошенники вернулись к "классическим методам" и фишингу через подделку маркетинговых кампаний банков, с фантастическими условиями, например, оформи карту — получи 1000 грн на счет", — говорит Алексей Скиба, начальник управления менеджмента информационной безопасности Райффайзен Банка.

По его словам, уровень электронного мошенничества в Украине значительно вырос, а мошенники умеют выбирать темы, на которые "ведутся" клиенты.

"За 9 месяцев этого года мы уже заблокировали более 350 фишинговых сайтов, в 2022 году — около 200, в 2021 — всего 15 сайтов. В основном, подделывают страницы входа в онлайн-банкинги и так воруют логины и пароли пользователей. Поэтому мы всегда рекомендуем сохранить ссылку на страницу онлайн-банкинга себе в закладки браузера и при необходимости открывать именно ее, а не переходить через ссылки в письмах или баннерной рекламе", — подчеркнул Алексей Скиба.

Потеря средств с карты: когда банк должен вернуть украденное мошенниками

Законодательство Украины защищает владельцев платежных карт в случае потери средств в результате мошеннических операций. Впрочем, вернуть средства на счет клиента банк обязан не всегда — есть четкие условия, когда именно клиенту вернут средства, а когда банк не будет ничего возвращать.

"Если пользователь карты понял, что потерял ее или ее похитили, или заметил платежные операции, которые он не выполнял, он обязан немедленно уведомить банк. До этого момента риск убытков от осуществления операций и ответственность несет пользователь, а с момента уведомления пользователем банка — несет банк (пункт 6 раздела VI Постановления правления НБУ "Об осуществлении операций с использованием электронных платежных средств"), — говорит Игорь Ясько, управляющий партнер ЮК Winner.

Он объясняет: банк при получении сообщения и/или заявления о потере банковской карты и/или платежных операциях, которые не выполнялись пользователем, должен идентифицировать пользователя и зафиксировать обстоятельства, дату, час и минуты его обращения. После этого обязан немедленно остановить осуществление операций с использованием карты.

Юрист юридической компании "Муренко, Курявый и Партнеры" Валерия Шавлюк говорит: в случае, когда владелец банковского счета не распространял персональные данные, связанные с таким счетом, и не был инициатором снятия или перевода денежных средств, законодательство предусматривает обязанность банка немедленно после выявления нарушения зачислить соответствующую сумму на счет клиента (ст. 1073 ГКУ)

"Эта норма применяется в случаях, когда списание денежных средств произошло по вине банка", — пояснила юрист.

"Пользователь не несет ответственности за осуществление платежных операций, если карта использована без физического предъявления им или идентификации, кроме случаев, если доказано, что действия или бездействие пользователя привели к потере, незаконному использованию ПИНа или другой информации, которая позволяет инициировать платежные операции. То есть, фактически, если клиент сам сообщил свои коды или сам перевел определенную сумму, то банк может лишь развести руками и направить клиента в правоохранительные органы", — говорит Игорь Ясько.

То есть, если сам гражданин сообщил мошенникам данные карты или самостоятельно перешел по фишинговой ссылке и через такой сайт передал преступникам все данные, на возврат средств от банка рассчитывать не стоит.

"Почти всегда это потерянные средства, да, ведь правоохранительные органы могут никогда не найти виновного из-за того, что мошенники используют различные способы обеспечения своей анонимности, а взыскать убытки можно только с обвиняемого после вынесения судом решения", — уверен Игорь Ясько.

Денис Гавриков сообщил Фокусу: возврат средств банком возможен только при условии, что списание средств произошло без ведома клиента и его вина в передаче секретных данных карты не доказана.

"Если клиент банка собственноручно ввел на поддельном сайте номер карты, срок ее действия и трехзначный CVV-код, на возврат средств он может надеяться только в случае, если злоумышленник будет арестован, а его вина доказана. Поскольку пользователь карты собственными руками ввел все данные в форму, санкционировал операцию и передал данные третьему лицу", — говорит эксперт.

Что же касается наказания для преступников, ворующих средства с банковских счетов, то юристы объясняют — Киберполиция постоянно задерживает группы лиц, занимающихся мошенничеством, однако такие дела нечасто доходят до суда из-за отсутствия доказательной базы.

"По последним судебным делам относительно привлечения к ответственности и возврата средств можно сделать вывод, что количество успешно доказанных дел значительно меньше, учитывая недостаточность доказательств. В случае успешного доказательства виновности, суд применяет такой вид наказания как лишение свободы и взыскание материального ущерба, причиненного владельцу банковского счета. Кроме того, если одной из сторон судебного дела выступает соответствующее банковское учреждение, суд принимает решение о взыскании с виновного лица в пользу банка материального ущерба", — говорит Валерия Шавлюк.

Однако украденные мошенниками деньги почти никогда не возвращаются на счета граждан, которые стали жертвами преступников. Ведь, как пояснил Игорь Ясько, правоохранительные органы задерживают представителей так называемых "офисов", и чаще всего лица, которые там работают — это лишь исполнители, а все деньги фактически уже направились дальше, и именно эти лица не могут вернуть похищенное.

"Санкция обычно по ст.190 — лишение свободы на срок до 12 лет с конфискацией имущества, но это имущество не может покрыть потери всех клиентов. Фактически, единственный действенный механизм борьбы с мошенничеством со стороны владельца карты — осведомленность, недоверие к сомнительным сайтам, осторожность и критическое мышление", — подчеркнул эксперт.

Помоги себе сам. Как уберечь собственные средства от мошенников

Хотя мошеннические методы постоянно трансформируются и находят все больше новых "жертв" среди доверчивых граждан, эксперты считают, что методы защиты от преступников существуют, а главный метод — бдительность и проверка информации. А еще — защита персональных данных.

"Привяжите сим-карту к своему паспорту, ни при каких обстоятельствах не сообщайте реквизиты вашей карты и другую конфиденциальную информацию третьим лицам; на С2С сайтах по продаже товаров, таких как ОЛХ, всегда используйте только встроенные чаты и механизмы безопасных продаж, покупок и доставок, не переходите по внешним ссылкам", — советует Игорь Прохоров.

Ярким признаком мошенничества являются попытки психологического давления, говорят эксперты.

"Не следует переходить на присланные ссылки без базовой проверки адреса. Особенно внимательным следует быть, если на странице по такой ссылке просят ввести любые важные данные: о карте, пароли к аккаунтам в соцсетях и тому подобное. Красным флажком автоматически должны становиться любые попытки психологического давления: отсчет времени до завершения предложения, невероятно соблазнительные условия работы, на которую претендуют сотни кандидатов и т.д.", — комментирует Денис Гавриков.

По его мнению, от взлома аккаунтов отличной и весьма надежной защитой является двухфакторная аутентификация, которую предлагают пользователям все известные онлайн-платформы, включая Google и Facebook.

Также, если уверенности в способности распознать мошеннические попытки завладеть деньгами на карте нет, можно использовать отдельную карту для операций в интернете и для других расчетов, пополняя ее на сумму планируемых операций.

"А карту, на которую поступает основной доход, стараться использовать только для перевода средств с нее на "расчетную". Это не защитит от мошенничества, но поможет минимизировать потери в случае неприятной ситуации", — говорит Денис Гавриков.

Главные правила безопасности для владельцев платежных карт

• не сообщать никому логин и пароль к онлайн-банкингу. Работники банка никогда не будут запрашивать эту информацию ни по телефону, ни электронным письмом;
• обращать внимание на текст СМС-сообщения или сообщения через мессенджеры, содержащий одноразовые пароли. Обычно текст этого сообщения содержит информацию, для какой цели предоставлен одноразовый пароль;
• не разглашать срок действия, CVV-код и PIN-код карты;
• если звонят от имени банка начинают расспрашивать информацию, не нужно поддерживать диалог;
• внимательно изучать электронные письма, обращать внимание на отправителя, в случае получения письма от банка — позвонить по официальному номеру банковского колл-центра, а не по указанному в письме;
• при наличии сообщений от знакомых в соцсетях о срочной потребности в денежной помощи, проверить информацию, позвонив или написав лицу с другого канала коммуникации;
• в случае потери телефона или неработающей SIM-карты — обратиться в банк и к мобильному оператору. Ограничить доступ к онлайн-банкингу и личному кабинету оператора до момента выяснения обстоятельств;
• не устанавливать на мобильный телефон приложений, полученных из неизвестных источников, и проверять, какие права приложение требует от телефона;
• проверять сайт, на котором планируется осуществить оплату, используя ресурс Черный список от Ассоциации ЕМА или сервис Департамента Киберполиции Национальной полиции Украины STOP FRAUD;
• не выполнять указания мошенников, когда неизвестные лица просят провести какие-либо действия в банкомате, чтобы якобы подтвердить зачисление средств;
• в случаях поступления информации о дополнительных выплатах проверять все у первоисточника (например, помощь от ООН, ЮНИСЕФ, Красного креста — все данные есть на странице https://aid.edopomoga.gov.ua).

"Не называйте и не передавайте SMS-коды или ссылки никому, даже если вас об этом просят. Храните эти данные в тайне, чтобы не предоставить доступ мошенникам к вашим средствам", — предупредила Валентина Розанова, начальник управления развития розничного бизнеса и кредитования ОТП Банка.

Эксперт также рассказала, что банки сейчас предлагают специальное страхование карт от мошенничества. Речь идет о покрытии двух групп рисков.

"Первая — это страхование от мошенничества (подделки карты, потери карты, похищения реквизитов, мошенничества в банкомате, операций без присутствия карты), страховая сумма составляет 30 тыс. грн в год. Вторая группа рисков — это страхование от социальной инженерии (мошенничества под влиянием обмана), страховая сумма — 10 тыс. грн в год", — рассказала Фокусу Валентина Розанова.