За останні півроку кількість безготівкових операцій зросла у кілька разів, що призвело до почастішання випадків шахрайства з платежами в інтернеті. Maanimo запитав українських банкірів про те, які прийоми найчастіше використовують аферисти, щоб скористатися чужими грошима, як українцям убезпечити свої платежі, куди звертатися за допомогою і що потрібно знати про протидію фінансовому шахрайству.

Анна Колеснікова, начальник управління ризик-менеджменту Банку Кредит Дніпро:

Зростання популярності онлайн-платежів, яке прискорилося під час пандемії, диктує необхідність чіткого дотримання простих правил безпеки при здійсненні онлайн-розрахунків платіжними картами, які допоможуть захистити особисту інформацію і гроші клієнтів, вчасно запобігти онлайн-шахрайству.

Сучасні шахраї використовують різноманітні схеми із застосуванням психологічних методів соціальної інженерії, щоб отримати доступ до управління грошима довірливих клієнтів.

Кілька поширених прикладів шахрайства і способи протидії їм:

• Шахраї прикидаються зацікавленими продавцями/покупцями, що викликають довіру, змушуючи розкрити інформацію про карту, щоб потім вивести з неї гроші. Продаючи/купуючи товари в інтернеті, потрібно отримати докладну інформацію від співрозмовника. Якщо він не зможе її надати, ймовірно, його дії незаконні. Дані платіжної картки варто тримати в безпеці.
• Шахраї запитують реквізити карти з обіцянкою надати безкоштовні грошові призи. Ні в якому разі не можна розголошувати інформацію про карту: термін дії, PIN-код, CVV-код або одноразові паролі. Якщо це сталося, потрібно негайно зателефонувати в банк, заблокувати карту і змінити паролі. Не слід фотографувати карту для відправки номера карти, так як на ній основні дані вже є (номер, дія, ПІБ власника картки), при цьому велика частина карт, яка випускається в рамках зарплатних проектів, йде без CVV\CVC коду.
• Представляючись працівниками банку, шахраї можуть зв’язуватися з клієнтом з різних номерів, пропонуючи приєднатися до програми лояльності або надаючи інші пропозиції. Рекомендуємо додати номер банку в свій список контактів і не спілкуватися на фінансові теми зі співрозмовниками, які телефонують з інших номерів.
• Шахраї стверджують, що дзвонять з банку і вимагають терміново вказати дані карти. У будь-який підозрілій ситуації слід негайно перервати розмову і передзвонити в банк, використовуючи офіційний номер телефону, вказаний на звороті платіжної картки.
• Шахраї намагаються блокувати фінансовий номер клієнта, для чого здійснюють цілеспрямовану атаку на телефон у вигляді постійних дозвонів, у результаті чого клієнту не вдається скористатися телефоном. Отримавши доступ до фінансового номеру, шахраї можуть повністю обнулити рахунки або загнати карти в мінус, якщо на них встановлено кредитний ліміт. При атаці на фінансовий номер слід відразу ж скористатися будь-яким доступним телефонним апаратом і зв’язатися з банком, описавши ситуацію і вимагати заблокувати картки.
• Шахраї можуть використовувати записані повідомлення, електронні листи або представлятися «співробітником банківської безпеки», щоб повідомити про спробу шахрайства з банківським рахунком клієнта, просять підтвердити свою особистість, вказавши номер своєї платіжної карти, її термін дії, CVV або одноразовий пароль. Клієнт не повинен надавати фінансову інформацію, якщо він не є ініціатором спілкування зі співробітниками Банку.
• Шахраї присилають повідомлення з проханням підтвердити покупки з параметрами карти, якої у клієнта немає. Такі повідомлення слід проігнорувати і зв’язатися з банком, щоб переконатися, що з картою не проводяться шахрайські операції. Для мінімізації можливих ризиків клієнт може оформити окрему карту для здійснення платежів в інтернеті і встановити на неї добові ліміти, які при необхідності можна підняти, зателефонувавши до Інфоцентру.

З метою захисту коштів клієнтів служби моніторингу банків виконують цілодобову підтримку і роботу щодо запобігання шахрайським операціям за картками клієнтів. Операції клієнта по картці можуть потрапити в систему моніторингу транзакцій з ознакою ризику, наприклад, якщо транзакція є нехарактерною для клієнта. Якщо банківські фахівці помічають сумнівні транзакції, вони відразу ж блокують карту і підтверджують операції у клієнта.

Користуючись нагодою, хотілося б ще раз нагадати клієнтам, що представники банку ніколи не дзвонять і не надсилають по електронній пошті листи, SMS-повідомлення або запити за допомогою месенджерів, щоб дізнатися особисту інформацію про рахунок і карту. Слід негайно повідомляти про підозрілі дзвінки, SMS-повідомлення або електронні листи, зателефонувавши за телефоном, вказаним на звороті платіжної картки.

Для комунікації з банком потрібно користуватися виключно каналами зв’язку, зазначеними в банківських документах або на офіційному сайті банку. На нашому сайті в спеціальному розділі «Фінансова грамотність» клієнти можуть ознайомитися з правилами безпечного використання платіжних карт і з методами протидії фінансовому шахрайству.

Ми закликаємо клієнтів до здорового глузду і пильності, щоб спільними зусиллями мінімізувати випадки фінансового шахрайства в усіх його проявах.

Ігор Негруль, старший фахівець відділу карткової безпеки Управління протидії шахрайству Idea Bank:

Найбільш поширений вид шахрайства – вішинг. Зараз отримала розвиток тенденція його різновиду «смішинг», тобто клієнту на мобільний номер телефону приходить СМС-повідомлення приблизно такого змісту:

– «Шановний клієнт! Ваша карта буде заблокована. Терміново пройдіть авторизацію або зателефонуйте». І вказано кілька номерів для зворотного зв’язку.

– «Оплата послуг з Вашої картки на суму 1280 грн успішна. Довідки за телефоном». І вказано кілька номерів для зворотного зв’язку.

Звичайно, такі СМС-повідомлення ніякого відношення до клієнта і його банку не мають, вони надходять в основному з невідомих номерів або номерів мобільних операторів, без будь-якої конкретики і замаскованими даними, наприклад, останні цифри карти, залишку на рахунку та ін.

Однак часто клієнти під впливом емоцій і стурбованості щодо безпеки власних коштів не звертають на це увагу і відразу телефонують за вказаними в повідомленні номерами, щоб з’ясувати, що ж сталося з карткою. І це – пастка.

А як тільки клієнт передзвонив за вказаними номерами, події слідують за певними шахраями сценаріями: «Назвіть реквізити карти для перевірки інформації». І ще кілька хороших фраз, в кінці яких, як правило, звучить: «Щоб скасувати Вам на телефон надійде СМС-повідомлення і я, як представник банку, маю право запитувати код… Ми ж Вам допомагаємо, вирішуємо Вашу проблему… » насправді ж шахрай має на меті дізнатися код підтвердження оплати в інтернет. І, як тільки клієнт називає код, втрачає кошти просто відразу.

У таких випадках рекомендуємо уважно перевіряти інформацію, від кого саме надійшло повідомлення. Банк відправляє СМС-повідомлення, в адресі якого вказане доменне ім’я (наприклад, Idea Bank). Ні в якому разі не дзвонити на зазначені в СМС-повідомленні телефонні номери. Звертатися в банк і спілкуватися з його співробітниками тільки за номером, вказаним на звороті картки або на сайті. Клієнт має сповістити банк про отримане СМС-повідомлення. Після консультації з представником банку номер, з якого надійшло СМС-повідомлення, потрібно внести в чорний список телефону, а саме повідомлення – видалити.

Банки спільно з Нацбанком, кіберполіцією, платіжними системами, великими операторами доставки і галузевими асоціаціями долучаються до активного інформування клієнтів про ризики, які можуть виникати.

Зараз протягом декількох місяців триває спільна інформаційна кампанія з протидії шахрайству #ШахрайГудбай. Головне повідомлення, яке вона покликана донести до максимальної кількості українців: ніколи не розкривайте дані своїх карт. Називати можна тільки 16 цифр номера карти.

Працівник банку ніколи не має права питати (і ніколи цього не зробить!) – ні ПІН операції, ні CVV код карти.

Таке інформування про небезпеку шахрайства триває регулярно: банки інформують клієнтів через спеціальні статті та коментарі в ЗМІ, участі в експертних круглих столах, на власному офіційному сайті, через буклети у відділеннях і в соціальних мережах.

Всі вище зазначені заходи в кінцевому підсумку дають ефект – ми фіксуємо скорочення кількості скарг і підозр щодо шахрайських дій.

Втім, це не привід для втрати пильності і відповідальності як клієнта – за власні кошти, так і банку – про обов’язок проінформувати клієнтів про небезпеки та моніторинг клієнтських операцій. Наш банк здійснює постійний моніторинг операцій за картками клієнтів, і, якщо проходять нетипові для конкретного клієнта операції, і виникає підозра, що їх можуть здійснювати зловмисники, банк блокує використання карти – поки не сконтактує з клієнтом для з’ясування обставин.

Як бачимо, зроблено вже досить багато, однак банки не зупиняються і продовжують надалі проводити роботи для інформування клієнтів про безпеку платежів, вдосконалюють інформування клієнтів і впроваджують нові програми захисту платежів в інтернеті.

Тетяна Дегтярьова, начальник управління карткового бізнесу АТ «АБ« РАДАБАНК»:

У 2020 році значно збільшилися обсяг і кількість безготівкових оплат в інтернеті: якщо в 2019 році операції оплати в інтернеті становили 17% від всієї кількості операцій з платіжними картами, то в 1 кварталі 2020 року цей показник став вже 21%. Також помітна динаміка і по збільшенню обсягу операцій: 2019 -18%, 2020 року – 24%. Також збільшився і середній чек онлайн покупки з 465 грн до 494 грн.

Ці цифри говорять про зростання інтересу українців до онлайн-покупок. Українці стали платити і витрачати більше в інтернеті. Товари або послуги хоча б раз на рік оплачують в інтернеті 93,7% респондентів. Найчастіше платять онлайн за мобільний зв’язок, готову їжу, покупки в інтернет-магазинах і комунальні послуги.

Звичайно, позначається і ситуація з карантином. Оскільки багато доводиться купувати онлайн. Паралельно збільшенню числа онлайн-покупок у населення, динамічно зростає і кількість ситуацій шахрайства.

Через карантин рівень злочинності в цілому зменшився, проте на 15% зріс рівень шахрайства в інтернеті. У 2019 сума втрат населення через дії шахраїв склала 362 млн грн. За даними кіберполіції, за перші 5 місяців 2020 їм надійшло від українців більш 12 000 заяв про шахрайські операції.

Основні незаконні методи:

– соціальна інженерія. Шахраї виманюють конфіденційну інформацію по платіжній картці: термін дії платіжних карт, СVV, PIN, паролі і т.п. або обманом виманюють кошти (син збив на автомобілі перехожого – терміново потрібні гроші і т. п.);

– розкрадання грошей при дистанційному банківському обслуговуванні;

– шахрайські сайти, які обманом схиляють людей витратити гроші на неіснуючі товари або послуги. У ЕМА нарахували більше 300 таких сайтів.

Інтернет-шахрайство є різновидом кримінального злочину, передбаченого ст. 190 Кримінального кодексу України ( «Шахрайство»). Залежно від обставин і розміру збитку, покаранням може бути як штраф, так і позбавлення волі на строк до 12 років.

Ситуація з шахрайством в Україні стала настільки критичною, що Національний Банк України запустив інформаційну компанію # ШахрайГудбай, мета якої навчити українців правилам безпеки платежів.

Схем шахрайства з платіжними картами багато, але щоб використання карт було не тільки зручним, але і безпечним, пам’ятайте: найдорожче у сучасному світі – це інформація. Віддати персональні відомості, відомості про карту стороннім – це все одно, що віддати свій гаманець.

Не слід залишати карту без нагляду, адже шахраям досить лічених секунд для копіювання всієї необхідної інформації для переказу коштів. До речі, з цієї ж причини не варто передавати саму карту третім особам, включаючи рідних і близьких. Саме для них більшість банків випускають додаткові карти. За безпеку інтернет-операції відповідають всі, хто бере в ній участь: банки, інтернет-магазини, платіжні системи та, звичайно, користувач.

Якщо Ви маєте певні підозри про неправомірне списання грошей з рахунку, звертайтеся до банку. У власника картки є певний термін для того, щоб відмовитися або оскаржити неправомірне списання грошей з карткового рахунку. І не забувайте блокувати карту. У Радабанку блокування карти безкоштовне.

Забезпечте фінансовий контроль за рухом своїх коштів. Підключіть СМС-інформування та інтернет-банкінг. Для багатьох карт Радабанку ця послуга безкоштовна. Це дозволить вам відстежувати операції в режимі реального часу.

Не використовуйте підозрілі сайти. Адреса захищеного сайту повинна починатися з https://. Також поруч з адресним рядком повинна бути іконка у вигляді закритого замка. Це означає, що ваші дані будуть передаватися у зашифрованому вигляді. Купувати на сумнівних сайтах – значить піддавати себе ризику залишитися без покупки і без грошей.

Перевіряйте продавця/покупця на сервісі кіберполіції «STOP FRAUD». Перевіряйте сайт, послугами якого збираєтеся скористатися, на наявність в списку шахрайських сайтів на сервісі Black List ЕMA.

Технологія 3-D Secure. Важлива щабель захисту – перевірка особистості власника картки в реальному часі, яку включає банк-емітент. Зазвичай така перевірка проходить за допомогою СМС. Після введення номера карти її власник перенаправляється на сервер свого банку-емітента. Зазвичай в якості підтвердження банк відправляє покупцеві СМС з секретним кодом. При введенні надісланого коду ви підтверджуєте свою особистість, після чого банк дозволяє проведення транзакції. При використанні 3-D Secure, звертайте увагу на призначення платежу і суму, які приходить в СМС від банку разом з перевірочним кодом.

Шукайте на сайті напис Verified by Visa або MasterCard Securecode – в залежності від того, якою платіжною системою ви користуєтеся. Сайти, які розміщують у себе такі логотипи, будуть відповідати стандартам PCI DSS і/ або використовувати технологію 3-D Secure. Ці стандарти захисту інформації, розроблені міжнародними платіжними системами, захищають дані банківських карт. Будь-яка компанія, яка збирається здійснювати інтернет-платежі, повинна відповідати стандартам PCI DSS.

Відкрийте окрему карту для інтернет-платежів і не зберігайте на ній значних грошових залишків. Не повідомляйте дані своєї банківської картки іншим людям: ні банківським службовцям, ні працівникам інтернет-магазинів.

Якщо інтернет-магазин з яких-небудь причин викликає у вас підозру, використовуйте платіжні сервісів Google Pay/Apple Pay. В цьому випадку вам не потрібно буде ділитися даними своєї банківської картки. Всі власники карток від Радабанку мають можливість скористатися Google Pay/Apple Pay.

Робіть покупки з пристроїв, на яких встановлено антивірусний захист. Операційна система iOS (всі пристрої Apple) не вимагає спеціальних антивірусів. Кожне нове оновлення містить вбудовані антивіруси, тому необхідно вчасно оновлювати всі свої гаджети. Для операційної системи Android існують найбільш популярні антивірусні програми, які можна самостійно завантажити в Google Play. Це CM Security AntiVirus & AppLock, Kaspersky Internet Security, McAfee Security & Antivirus Free і ін.

Нарешті, не забувайте про додаткові способи захисту – про страховий поліс від ризиків від шахрайських операцій, а в зв’язку з ростом кількості таких операцій страхування карт стає все більш затребуваним з боку клієнтів. Страхування банківських карт від шахрайства захищає від наступних ризиків: несанкціоноване використання вашої карти третіми особами при її втраті; отримання третіми особами готівки з банку шляхом копіювання вашого підпису на платіжних документах; отримання третіми особами готівки з вашого рахунку, коли під загрозою насильства над собою або близькими ви змушені передати свою карту і повідомити злочинцям PIN-код; зняття грошових коштів з рахунку карти, в результаті отримання інформації від клієнта шляхом шахрайських дій і використання підробленої картки (фішинг *, скімінг **). Такий вид страховки безкоштовно включений в елітні пакети від Радабанку.

Радабанк комплексно підходить до вдосконалення заходів безпеки для збереження грошових коштів своїх клієнтів і ефективно запобігає факту шахрайства з платіжними картами. Зараз гроші, що зберігаються на карті, захищені набагато надійніше, ніж матеріальні кошти в гаманці. Щоб припинити незаконне використання даних клієнтів, банк застосовує безліч ступенів захисту карт.

Зараз оплата банківською картою – це:

• обов’язкове введення секретного коду CVC2/CVV2, розташованого на зворотному боці картки;
• вказівка ​​закінчення терміну дії карти;
• спеціальні віртуальні картки, випущені саме для розрахунків в мережі інтернет. Віртуальну карту можна відкрити за лічені хвилини онлайн в інтернет-банкінгу. Валюту вибираєте самі: гривня / долар США / євро. CVV2-код – код безпеки, необхідний для роботи з платіжною карткою в інтернеті, Банк повідомить Вам на вказаний номер телефону у вигляді SMS;
• безпека грошових коштів за рахунок лімітів і обмежень, які банк встановлює на всі карти без винятку. Наприклад, на всі карти банку, крім віртуальної, встановлено заборону на розрахунок в інтернеті. Даний ліміт можна зняти в інтернет-банкінгу або зателефонувавши до контакт-центру;
• конфіденційність паролів в інтернет-банкінгу та ПІН-код карти (клієнти самостійно вибирають пароль/ПІН. Його не знають навіть співробітники банку);
• цілодобова підтримка. Наш контакт-центр завжди радий допомогти вам. Зв’яжіться з нами за телефоном 0800500999, якщо ви зіткнулися з шахрайством, крадіжкою особистих даних або фішинговими листами. Дозвольте нам розібратися з підозрілою активністю.

Дмитро Замотаєв, начальник департаменту роздрібного бізнесу ГЛОБУС БАНКУ:

Стрімке зростання онлайн-платежів цілком очікувано призводить до зростання зацікавленості шахраїв в цій сфері. Так, за даними ЕМА, в 2019 році шахраям вдалося «добути» майже 362 млн грн, це в півтора рази більше, ніж в 2018 році. Основними методами незаконного виманювання грошей у клієнтів залишається соціальна інженерія, коли шахраї обманом підштовхують людей віддати гроші або поділитися конфіденційною інформацією: термін дії платіжних карт, СVV, PIN, паролі і т. п. Але найяскравіший тренд 2019 го – шахрайські сайти, які обманом схиляють людей витратити гроші на неіснуючі товари або послуги. У ЕМА нарахували більше 300 таких сайтів.

Почастішали фізичні атаки на банкомати – 77 інцидентів, коли їх підривали, ламали, пиляли і т. п., В 2018-му таких випадків було всього 20. Зате стало менше випадків скіммінгу, коли на банкомати встановлюють обладнання, яке краде дані про картку. А ось примітивний спосіб – клейка стрічка, що перешкоджає видачі готівки в банкоматі, – використовувалася набагато частіше, ніж в 2018 році.

Як захиститися? Правило одне єдине – ніколи і нікому не передавати дані своєї карти, пін-код і одноразові паролі. Для додаткового контролю за рухом своїх коштів клієнту необхідно підключатися до мобільного банкінгу або смс-банкінгу, що дозволить клієнтові в режимі реального часу контролювати залишок на картковому рахунку.

Олексій Сіраков, директор департаменту управління інформаційною безпекою та безперервністю бізнесу ПРАВЕКС БАНКу:

У період коронавірусної епідемії кількість шахрайських дій зросла в десятки разів. Шахраї для своїх схем використовують соціальні мережі. Найбільш популярний вид шахрайства – фейкові «магазини» в Facebook, в яких новий товар пропонується на 50-70% дешевше. Багато людей попадаються на такі схеми шахраїв і переводять гроші, не перевіривши перед цим продавця. Ми радимо перед вчиненням будь-якої фінансової операції перевірити продавця – вбити у пошуковик ОКПО фірми.

Як убезпечити себе:

1. Виконувати рекомендації банку з інформаційної безпеки;
2. Перевірити того, кому відправляються кошти: перевірити наявність юридичної реєстрації, подивитися на фото будівлі, в якій зареєстрований продавець (в Googlе-картах є майже вся інформація), прочитати відгуки;
3. Взаємодіяти тільки з перевіреними продавцями;
4. Прочитати договір на обслуговування з банком і нікому і ні за яких обставин не називати номер своєї картки, пін-код і пароль до системи клієнт-банк;
5. Зареєструвати свій номер телефону на сайті мобільного оператора (для забезпечення ідентифікації в разі спроби крадіжки номера телефону)

Наш банк надає клієнтам всі необхідні засоби, які дозволяють працювати з банком дистанційно в комфортному віддаленому режимі. Однак для забезпечення своєї безпеки, сам клієнт повинен зробити певні кроки, а саме: перестати використовувати неліцензійним ПЗ, виконувати рекомендації банку з інформаційної безпеки, підвищувати свою грамотність в частині інформаційних технологій.