Банковские мошенники взяли на вооружение социальную инженерию

Преступники научились «влезать в головы» своих жертв.

Потери от карточных мошенничеств снизились в Украине более чем вдвое, но самым опасным методом кражи денег остается социальная инженерия, когда мошенники дистанционно узнают у клиентов информацию, позволяющую воровать деньги с их карт. Бороться с этими мошенниками сложно, поскольку жертвы самостоятельно выдают конфиденциальные данные, пишет в интернет-издании FinClub Виктория Руденко.

Мошенники 24/7

Продвижение cashless-экономики и популяризация карточных платежей создают благоприятную почву для карточного мошенничества, но ситуация в этой сфере в Украине начала улучшаться. В Ассоциации ЕМА подсчитали, что из-за противоправных действий мошенников украинцы в 2018 году лишились порядка 250 млн грн. Хотя годом ранее объем их потерь достигал 669,6 млн грн. «Всплеск обращений от клиентов о попытках мошенничества мы наблюдали в 2017 году, на сегодня он снизился», – подтверждает главный специалист отдела мониторинга риска мошенничества и противодействия киберугрозам ПУМБ Александр Савченко.

В НБУ располагают предварительными данными: за I полугодие 2018 года было осуществлено 32,6 тыс. незаконных действий или сомнительных операций с использованием платежных карт. Убытки оцениваются в 83,3 млн грн, что на 21% больше, чем в первой половине 2017 года. И хотя в среднем каждый такой случай чреват потерей клиентами по 2,6 тыс. грн, в НБУ успокаивают магией больших чисел: объем убытков составляет всего 0,0064% от объема всех операций по картам и «не имеет значительного влияния на рынок платежных карт в Украине». О проблемах с несанкционированными списаниями и исчезновением денег клиентов сообщили 30 банков.

Чаще всего мошенники использовали методы социальной инженерии и фишинговые сайты – в течение года на них приходилось суммарно от 65% до 74% всех мошеннических транзакций, рассказала заместитель директора Ассоциации ЕМА Олеся Данильченко.

С методом социальной инженерии вишингом (vishing) украинцы сталкиваются, когда неизвестные выпытывают у них по телефону конфиденциальную информацию о платежной карте (номер карты, срок действия, CVV-код), о проводимой транзакции (код, присланный банком в SMS) или о самом клиенте (дата рождения, девичья фамилия матери и т. д.). Чтобы усыпить бдительность, мошенники представляются сотрудниками банка, НБУ, СБУ или других структур.

Часто мошенники используют смишинг (smishing) – массовую рассылку SMS о якобы блокировании карты клиента, даже указывая банк, услугами которого человек не пользуется, или вовсе присылают SMS без указания названия банка. Эти сообщения должны вызвать у клиента панику, «отключить» критическое мышление и вынудить держателя карты самостоятельно выйти на связь и сообщить мошенникам всю информацию, с помощью которой они потом смогут украсть деньги с карты.

«Мошенники делают ставку на доверие клиентов – рассылают SMS или звонят сами и, представившись различными сотрудниками банка, а также операторами мобильной связи, пытаются получить личную информацию от клиента, которая в дальнейшем используется для вывода денег. Мошенники специально выбирают для своих звонков такое время, когда клиенты не заподозрят мошенничества. А главное, как сами звонки, так и SMS поступают с номеров телефонов, не относящихся к банкам или операторам», – рассказал FinClub Александр Савченко.

К методам социальной инженерии относится фиктивная онлайн-торговля, когда мошенники под маской «продавца» получают предоплату за несуществующие товары (соответственно нельзя высылать предоплату, а товар оплачивать только наложенным платежом) или узнают платежные данные клиента и его «финансовый» номер. После чего мошенники перевыпускают SIM-карту оператора мобильной связи держателя платежной карты и получают все коды и пароли, которые банк высылает клиенту для подтверждения транзакций. «Получение мошенниками дубликатов SIM-карт для дальнейшего управления счетами происходит благодаря упрощенной дистанционной процедуре восстановления SIM-карты», – рассказали FinClub в Ощадбанке.

По подсчетам Олеси Данильченко, средняя сумма мошеннической операции с использованием методов социальной инженерии колеблется от 2333 грн (без замены SIM-карты) до 3620 грн (с заменой SIM-карты). Для сравнения: средняя сумма потерь в Интернете составляет всего 85 грн. «В большинстве случаев клиенты добровольно сообщают конфиденциальную информацию (например, код подтверждения из SMS) или сами переводят деньги на счета мошенников (например через терминалы пополнения)», – объясняет господин Савченко.

Чтобы не пострадать от таких мошенников, специалисты советуют использовать «финансовый номер» лишь для общения с друзьями и родственниками и не отвечать на звонки с незнакомых номеров. Рекомендуется установить PIN-код на SIM-карту, а также подписать контракт с оператором связи, тогда замена SIM-карты будет возможна лишь при предъявлении паспорта.

К наиболее распространенным способам обмана клиентов эксперты ЕМА относят и фишинговые (phishing) сайты – фиктивные сайты для несакционированного сбора данных о платежных картах (номер, срок действия, CVV-код). В прошлом году был выявлен 31 новый фишинговый сайт, тогда как годом ранее – 108 сайтов. Как правило, мошенники создают фиктивные сайты под видом оказания услуг по переводу средств на карточные счета или пополнения счетов мобильных операторов.

Доход мошенников от социальной инженерии и интернет-мошенничества составил 240,92 млн грн и 4,89 млн грн соответственно.

На долю банкоматного мошенничества приходится 22-28% «скама». Специалисты различают несколько видов таких операций. Один из них – кеш-треппинг (cash trapping), когда мошенники устанавливают насадки на отверстие для выдачи купюр, которые блокируют выдачу наличных. В прошлом году было зафиксировано 90 таких случаев (в 2017-м – 191).

Распространен и скимминг (skimming) – установка на кардридер специальных устройств, которые копируют данные с магнитной полосы платежной карты. Эту информацию мошенники в дальнейшем используют для обналичивания карты. В 2018-м было обнаружено 102 скимминговых устройства, почти столько же, сколько и в 2017-м (113).

Случаи мошенничества при использовании дистанционного банковского обслуживания довольно редки – 3-9% от всего количества выявленных мошенничеств. Самая низкая вероятность стать жертвой карточного мошенничества у тех, кто расплачивается картами в POS-терминалах (1-3%).

При этом именно в данном сегменте украинцы тратят меньше всего денег – 268 млрд грн за январь-сентябрь 2018 года. Больше денег украинцы переслали с карты на карту (301 млрд грн) и заплатили в сети Интернет (312 млрд грн), подсчитали в Нацбанке.

Строго конфиденциально

Полную информацию об объемах карточного мошенничества эксперты рынка собрать не могут: банки не раскрывают все данные, ссылаясь на требования международных платежных систем. Им невыгодно сообщать рынку о реальном масштабе проблемы. Кроме того, некоторые клиенты стыдятся того, что их обманул мошенник, поэтому они не уведомляют банк, или же они считают, что такое обращение не приведет к возврату денег. Еще реже обманутые граждане обращаются в Национальную полицию, в которой даже создано специальное подразделение – киберполиция.

Директор Ассоциации ЕМА Александр Карпов говорит, что результаты исследования «Осведомленность населения о методах борьбы с платежным мошенничеством» свидетельствуют о том, что подавляющему большинству опрошенных не приходилось обращаться в Нацполицию по вопросам мошенничества с платежными картами. Только 3% обращались в уголовный розыск, а лишь 0,3% – к киберполицейским. Среди тех, кто обращался в Нацполицию, 61% сделали это с помощью звонка в кол-центр «102», 41% – сделав устное заявление сотруднику полиции, а 22% – написав обращение в полицейском участке.

В начале прошлого года полиция задержала в Черновцах банду молдавских скиммеров, которые работали в Одессе, Киеве и Николаеве. Задержания происходили и в Киеве.

Сотрудники департамента киберполиции в 2018 году выявили 2398 уголовных правонарушений в сфере платежных систем, что составляет львиную долю – 40% – выявленных ими правонарушений. Для сравнения: в сфере е-коммерции зафиксировано 1598 правонарушений (26,6%), кибербезопасности – 1325 (22%), сфере противоправного контента – 680 (11,4%). При этом департамент в прошлом году сопровождал 3697 уголовных производств в сфере платежных систем, что составляет 33% от общего количества сопровождаемых ими производств.

Защити себя сам

Опрошенные FinClub банки подтверждают статистику: социальная инженерия является основным инструментом мошенников. «В 2018 году глобальной проблемой для нас оставалась социальная инженерия, которая является самой распространенной схемой для мошенников. Эффективной борьбой с данным видом мошенничества является постоянная работа с клиентами: СМИ, рассылка, консультирование клиентов о правилах пользования картами для предотвращения такого вида мошенничества», – говорит начальник сектора мониторинга и расследования мошеннических операций ОТП Банка Ярослав Захарченко.

«Как и другие банки, мы постоянно напоминаем владельцам платежных карт, что у нас есть вся информация для обслуживания их счетов и что все пароли и коды конфиденциальны. Их никогда и никому не надо передавать, кем бы он ни представлялся», – подчеркнул начальник управления поддержки карточного бизнеса Райффайзен Банка Аваль Сергей Кратенко. В ПУМБ призывают «помнить, что мошенники хорошо подготовлены и владеют психологическими приемами, которые активно используют для того, чтобы войти в доверие».

Для распространения информации о возможных мошеннических схемах банки используют все доступные им коммуникационные каналы. Менеджеры банков не спрашивают у клиентов пароли и цифры с обратной стороны карты (это CVV-коды, которые мошенники называют якобы «номером отделения»), остаток по счету, в каком банке вы обслуживаетесь, цифры из пришедших SMS. Эта информация доступна только клиенту и не подлежит разглашению. «При личном общении с клиентами при выдаче карт сотрудники Ощадбанка постоянно предупреждают их о том, что банк никогда не осуществляет запросы и телефонные звонки, в том числе под видом службы безопасности или контакт-центра, с целью уточнения реквизитов платежной карты или персональных данных. Также нами введена опция под номером «1» в автоматическом меню контакт-центра для сообщения о мошенниках и оперативного блокирования карты, размещены предупреждающие заставки на банкоматах», – перечисляют в Ощадбанке.

Банки советуют устанавливать низкие суточные лимиты на сумму и количество операций, что максимально снизит риски крупных денежных потерь в случае мошеннических действий. При этом клиент может при помощи мобильного приложения или кол-центра оперативно поднять лимит непосредственно перед снятием денег с карты или проведением крупного онлайн-платежа. Для оплаты онлайн-покупок многие банки позволяют выпускать виртуальные интернет-карты.

Сергей Кратенко заметил, что с ростом интернет-операций мошенники больше усилий направляют на получение данных о клиенте при осуществлении онлайн-транзакций. Для противодействия таким действиям банки используют новейшие способы шифровки данных. «Мы рекомендуем клиентам пользоваться онлайн-банкингом – там есть возможность блокировки карты/счета. Пройти у оператора связи дополнительную идентификацию и усилить безопасность. К таким действиям стоит прибегнуть, если есть риск кражи денег с карты. Например, если в ходе разговора с мошенником клиент все-таки раскрыл какую-то информацию, необходимо максимально оперативно заблокировать карты и счета. После этого необходимо связаться с банком по номерам контакт-центра, указанным на карте, и сообщить об инциденте и следовать рекомендациям работников банка», – рассказывает Александр Савченко.

Но если клиент самостоятельно разгласил реквизиты карты и конфиденциальную информацию, ему не вернут деньги. «Утраченная сумма однозначно не будет возмещена клиенту, если данные карты были разглашены и операции были подтверждены вводом реквизитов платежной карты (номер, срок действия, коды CVV2 / CVC2, уникальные коды верификации и коды подтверждения 3D-Secure для одноразовой операции в сети Интернет), одноразовых кодов доступа к системам дистанционного банковского обслуживания «Интернет-банкинг», «Мобильный банкинг», которые были отправлены на мобильный телефон клиента», – напоминают в Ощадбанке.

Виктория Руденко, FinClub

Подписывайтесь на наш Telegram-канал.