Гроші люблять тишу. Як уберегтися від банківських троянів і шахрайства після "викрадення" сім-карти

Українські хакери вкрали понад $2,5 млрд з іноземних банків — про це стало відомо в лютому, але "працювали" шахраї не один рік. За шість років злочинної діяльності системи ботів зловмисники здійснили кібератаки на державні та приватні банки Великобританії, Німеччини, Австрії, Швейцарії, Голландії, Литви та США.

Затримати шахраїв вдалося в рамках міжнародної спецоперації ЕМОТЕТ, саме таку назву мав вірус-шифрувальник, через який йшли кібератаки. Власне вірус був "банківським трояном", який використовувався для викрадення персональної інформації — паролів, логінів і платежів.

Вірус шахраї поширювали через спам-розсилки документів Word, Excel. Електронні листи для користувачів виглядали як попередження про безпеку облікового запису, запрошення на вечірку і навіть як попередження про поширення COVID-19. Потім вірус використовував "інфіковану" техніку для подальшої розсилки, а також встановлював на компʼютер додаткові віруси. Це шкідливе програмне забезпечення викрадало все: історію браузера, платіжні та банківські дані, паролі та логіни доступів на різні сайти. А потім, отримавши дані, зловмисники легко переказували кошти з рахунків клієнтів на свої.

Кіберзлочинність особливо активізувалася в умовах карантину та переходу населення на дистанційну роботу. Сучасні банківські сервіси дозволяють віддалено оплачувати комунальні рахунки, здійснювати покупки та переказувати кошти рідним і близьким без відвідування банківського відділення. Але плата за таку зручність може виявитися дуже високою. У 2020 році шахраї щодня проводили здебільшого 280 незаконних фінансових операцій, тобто кожні пʼять хвилин хтось в Україні ставав жертвою фінансового шахрая. Середня сума однієї шахрайської операції склала 2,4 тис. грн. І якщо ще кілька років тому найбільш поширеною схемою виведення грошей було встановлення скімерів на банкомати (пристрій, що зчитує дані та пароль платіжної картки), то тепер у пріоритеті в злодіїв соціальна інженерія.

Телефон — ключ до всього

Історія нашого читача Дениса Вірного — найяскравіший приклад того, як злочинці виводять гроші з рахунків.

"У мене перестав працювати мобільний телефон. Я подумав, що це глюк мобільного оператора або збій звʼязку. Пізніше мені на електронну пошту прийшов лист із попередженням, що моя банківська карта в Приватбанку заблокована в звʼязку з підозрілими діями і мені необхідно звʼязатися з банком для зʼясування обставин. Коли я приїхав у банк, виявилося, що на мою карту від мого імені оформлені два кредити — на 2 тис. грн і 7 тис. грн. Потім шахраї спробували переказати ці гроші на карту іншого банку", — розказав Денис. За його словами, після переказу 2 тис. грн ПриватБанк і заблокував його рахунок. В іншому банку Денису підтвердили, що рахунок був відкритий дистанційно і за правилами обслуговування йому був наданий кредитний ліміт.

"Звичайно, усі ці гроші на той момент були вже зняті невідомими особами. Тепер я повинен двом банкам, хоча кредитів не оформляв", — розповів спантеличений читач Фокуса.

Випадок Дениса, на жаль, не поодинокий. Зловмисники "продублювали" його сім-карту. Мобільні оператори передбачили можливість віддаленого дублювання номера телефону на випадок, якщо абонент втратив телефон. Така послуга дозволяє зберегти не тільки власне номер, а й контакти, і навіть кошти на рахунку. Фактично це дублікат вашого телефону, за допомогою якого можна зайти зокрема і в додаток мобільного банкінгу. Звичайно, мобільний оператор проводить перевірку законності власника номера протягом кількох годин після зміни номера. Але шахраї з легкістю проходять цю перевірку.

Денис подав заяву до поліції про крадіжку грошей з рахунку того ж дня. Повідомив про це обидва банки. Кошти на рахунок йому поки не повернули, не анулювали і борг за кредит. Шахрайство за допомогою "викрадення" сім-карти приносить найбільші збитки українцям.

"Середня сума незаконної операції з використанням соціальної інженерії склала в 2020 році 2 400 грн, незаконна операція в інтернеті — 198 грн, з викраденням сім-карти — 12 500 грн", — розповів Олександр Карпов, директор асоціації ЕМА.

Без вини винні

З розвитком інтернет-торгівлі та мобільного банкінгу зросла й кіберзлочинність в Україні. За даними кіберполіції, тільки за 2020 рік було зареєстровано більш ніж 5 тис. злочинів, повʼязаних із шахрайськими діями в інтернеті. Більшість з них стосуються підставних продажів ненаявного товару. А ось на другому місці — крадіжка грошей з банківських рахунків. Загальна сума збитків від кіберзлочинів за минулий рік — 241 млн грн.

Тільки в Україні найчастіше кошти крадуть не хакери, а звичайні кримінальники, які знаходяться в увʼязненні і звідти виманюють в українців гроші, використовуючи лише мобільний телефон.

Банкіри підтверджують, що в останні роки гучних історій компʼютерного злому банківської системи в Україні не було. Адже це досить трудомісткий і фінансово затратний проект. Один "банківський троян", схожий на Emotet, коштує в Darknet (прихована мережа, доступ куди можливий лише через певне ПЗ) кілька тисяч доларів. Продають там і поцуплені вже бази даних банківських клієнтів із логінами і паролями вкрадених акаунтів. Але ефективність таких баз даних досить низька.

Більш того, у кожному банку існує система кібербезпеки, завдання якої — протидія компʼютерним атакам. Особливо активно в системи захисту даних банки інвестували після атаки вірусу Petya в 2016 році. Також у кожному банку розроблена своя система антифрод, яка аналізує попередній досвід шахрайських дій, алгоритми роботи шахраїв і попереджає такі дії. Тому фінустанови вводять двоетапну ідентифікацію клієнтів, наприклад, через генерацію унікальних кодів, що надсилаються клієнту в СМС-повідомленнях, або підтвердження через телефонний дзвінок.

Набагато легше дістатися до грошей клієнта, використовуючи його безпечність.

"93% шахрайства в Україні — це соціальна інженерія. Тобто ситуація, коли клієнт проводить транзакцію самостійно або віддає паролі від своїх рахунків шахраям особисто", — розповідають в ПриватБанку.

Є ще одна категорія шахраїв — співробітники банку. Наприклад, 16 лютого цього року кіберполіція затримала у Вінниці співробітника, який вкрав понад півмільйона гривень у клієнтів банку. Маючи доступ до банківської системи, злочинець підробляв заявки на видачу грошей з депозитних рахунків клієнтів і потім переказував кошти на свій рахунок. Нерідко співробітників банку вербують стати співучасниками в схемі відкриття рахунків на підставних осіб, куди потім зловмисники переказують гроші.

Щоб захистити себе та гроші клієнтів, банки страхують свою відповідальність від незаконних дій співробітників. У США та Євросоюзі такий поліс корпоративної банківської відповідальності Bankerʼs Blanket Bond — обовʼязкова практика. В Україні його наявність — добровільна справа кожного банку. Причин низької популярності страхування кілька. По-перше, небагато страхових компаній готові запропонувати банкам таке страхування. З іншого боку, для укладення договору страхова повинна провести перевірку процедур внутрішньої безпеки, а банки неохоче допускають третіх осіб до внутрішніх процедур. Але головна причина в тому, що навіть банки, які мають таке страхування, вважають краще не афішувати цей факт, щоб не спровокувати співробітників банків на незаконні дії. Сьогодні такі поліси є не більше ніж у десяти українських банків, більшість з яких — "дочки" іноземних банків.

Захист від дурня

Ще в 2016 році міжнародна платіжна система Visa розповсюдила в Україну принцип нульової відповідальності для власників карт. Це означає, що якщо в клієнта вкрали гроші з картки Visa, але він нікому не повідомляв жодної інформації про дані карти, паролі або СVV-коди, то банк повинен провести розслідування факту шахрайства та повернути клієнту гроші за свій рахунок.

Середня сума незаконної операції з використанням соціальної інженерії склала в 2020 році 2 400 Грн

Але на практиці це далеко не завжди означає, що клієнту повернуть втрачене. За правилами банківська перевірка проходить протягом трьох місяців.

"Все вирішується індивідуально. Якщо вкрали гроші з рахунку постійного клієнта, який має тривалу історію відносин із банком, або це кошти із зарплатної картки одного зі співробітників у рамках великого зарплатного проекту, банк може піти назустріч та оперативно повернути гроші", — розповів співробітник одного з великих банків.

В іншому випадку фінустанова може чекати закінчення поліцейського розслідування за фактом шахрайства та офіційного визнання провини зловмисника. А це може тривати роками. Так що там, шахрая можуть ніколи й не знайти, адже багато операцій здійснюються за кордоном.

Популярний "розвід"

Як стверджують банкіри, велика частка шахрайства — це лазівки з виманювання даних. Одна зі схем — "Ви виграли мільйон". Шахраї люблять застосовувати цю схему, використовуючи пристрасть людей до виграшів. Спочатку жертві надсилають СМС, в якому вказують деталі виграшу. Там же може бути вказаний сайт, де міститься вся інформація про виграш (звичайно, фейковий). Потім клієнтові дзвонять і з метою ідентифікації особистості дізнаються паспортні дані та дані карти для переказу виграшу, а з ними — і cvv-код. Іноді просять заповнити форму з даними на сайті самостійно. В інших випадках просять людину сплатити на рахунок компанії певний відсоток податку на дохід фізосіб. Люди часто виявляються настільки приголомшені псевдовиграшем, що спокійно переказують гроші зловмисникам.

Іншим способом отримати інформацію стають дзвінки нібито з банку або іншої організації.

"Вас турбує служба безпеки банку/комунальної служби/мобільного оператора". Приводи для дзвінка можуть бути будь-які. Іноді зловмисники навіть говорять, ніби хтось намагався зняти гроші з вашої картки і банк заблокував рахунок. А щоб зняти блокування, вони повинні підтвердити вашу особистість — просять продиктувати код з СМС. Робити цього не варто. Адже в такому випадку йдеться отримання шахраями коштів.

Якщо клієнту банку телефонують від імені мобільного оператора, то спочатку запитують про якість звʼязку, зʼясовують, як давно ви поповнювали рахунок і які останні номери набирали. Після цього попереджають, що плануються технічні роботи і можливі збої системи. А потім, використовуючи розказане абонентом, перевипускають його сім-карту й отримують доступ до мобільного банкінгу та всіх рахунків клієнта.

А далі?

Якщо все ж клієнт банку став жертвою шахрайства, то існує чіткий алгоритм його подальших дій. Спочатку потрібно повідомити про шахрайські дії з платіжною карткою в банк і заблокувати її. Зробити це можна, зателефонувавши за номером банку на звороті платіжної картки або через інтернет-банкінг. Потім треба терміново подати заяву про шахрайство в поліцію і копію заяви надати в банк. Звернення в поліцію — один із найважливіших аргументів на вашу користь у спробі повернути вкрадені кошти. Хоча українці часто скептично ставляться до факту допомоги з боку поліції, не розраховуючи повернути вкрадене і вважаючи себе (часто справедливо) винними в розкритті інформації про платіжну картку.

Обовʼязково змініть всі паролі до інших платіжних карток та мобільного банкінгу, необхідно також перевірити стан всіх депозитних рахунків. Через бюро кредитних історій можна та потрібно перевірити свої дані як позичальника, щоб не було можливості оформити на своє імʼя кредити в інших фінустановах. Якщо такі знайшлися, необхідно терміново заявити про шахрайство в поліцію та власне в банк, який видав такий кредит.