Головною проблемою для українських банків і їхніх клієнтів стає такий вид шахрайства, як соціальний інжиніринг.
У цьому випадку власники карток самі передають секретні дані шахраям або здійснюють платіж на користь третіх осіб. "У 2015 році рівень класичних видів шахрайства з платіжними картами (використання скімінгових пристроїв, фішингових сайтів, відеокамер на банкоматах і таке інше) знизився на 30%. Але різко, на 80%, зросла кількість випадків шахрайства в сфері соціальної інженерії", – говорить начальник центру інформаційної безпеки "Фідобанк" Олег Ковальчук.
Шахраї використовують соціальний інжиніринг, щоб обійти банківську систему безпеки, яку фінустанови постійно вдосконалюють. "Найчастіше шахраї спілкуються з людьми похилого віку, які погано розуміють новий принцип роботи пристроїв і не вміють користуватися картами. Молодь більш просунута в питаннях безпеки", – розповідає керівник напрямку внутрішнього контролю і fraud-менеджменту "ПриватБанку" Олександр Соколовський.
Кінцева мета шахрая – заволодіти даними платіжних карт, дізнатися отп-пароль, який приходить на мобільний телефон власника картки для підтвердження інтернет-платежу. Злочинці намагаються налаштувати переадресацію дзвінків на свій телефон або ж переконати власника платіжної картки підійти до банкомату, і, слідуючи телефонним інструкціям зловмисника, перевести гроші на карту шахрая.
Щоб заплутати сліди злочинці купують чужі карти. Найчастіше оформлення платіжної картки в банках України є безкоштовним або коштує до 50 гривень. Тому, наприклад, студенти із задоволенням відкривають карти, а потім продають їх за 150-200 гривень шахраям. Правда, у випаюку, якщо незаконна операція здійснена за допомогою такої карти, поліція приїде до того, хто продав карту.
Соцінжінірінг – далеко не новий спосіб шахрайства. Не один рік злочинці виманюють гроші в українців за допомогою нічних дзвінків про необхідність допомогти грошима синові чи доньці, які нібито вчинили злочин, або проханням відправити кошти на благодійність. Але про ці хитрощі українці вже чули, і їхня ефективність для шахраїв упала. Тому злочинцям доводиться бути винахідливими.
Наприклад, зараз шахраї крадуть гроші навіть у продавців інтернет-магазинів. У такому випадку злочинці шукають жертву на сайтах – торгових майданчиках, де люди продають різні товари. Шахрай телефонує продавцеві, вдає з себе зацікавленого покупця і повідомляє, що готовий відправити гроші на карту найближчим часом. Найчастіше шахраї не торгуються і роблять акцент на терміновості. Через одну-дві години продавцеві товару приходить SMS повідомлення з текстом "не вдалося провести платіж на зазначену суму". Одразу після нього надходить дзвінок нібито від служби безпеки з проханням підійти до банкомату і ввести якусь комбінацію, щоб розблокувати картку. Біля банкомату продавців просять вибрати англійську мову. І людина, не розуміючи, що вона робить, переводить гроші на рахунок шахрая.
Банальний, але дієвий спосіб виманити гроші у власника картки – гра на жадібності. Шахраї розсилають на мобільні телефони клієнтів банків неправдиві SMS-повідомлення про "виграш" автомобілів, квартир, телевізорів, чайників, фенів і навіть кардіостимуляторів. Приходить повідомлення приблизно такого змісту: "Ваш номер виграв приз – автомобіль". Якщо раніше злочинці пропонували оплатити частину вартості автомобіля, що викликало підозри, то зараз просять власника картки взяти на себе супутні платежі. У випадку з автомобілем пропонують сплатити держмито розміром 1-2% вартості авто, при виграші пилососа або фена – пересилання товару.
Популярним прийомом шахраїв є і розсилка власникам карт SMS про проведення операції в інтернеті, яку клієнт не здійснював. Потім шахраї телефонують на мобільний і видавши себе за співробітників банку, повідомляють держателю, що тільки що за його картою проведено підозрілий платіж, і для скасування запитують дані платіжної карти, СVV, пін-код, номер карти і термін дії. Зловмисники можуть розповісти, скільки у клієнта банку карток, якого вони класу і чи є кредитки і можуть передзвонити повторно, і уточнити додатково отп-пароль. Якщо в двох попередніх випадках держатель втрачає певну суму, то надавши всі дані, може втратити весь що є на карті.
Нерідко зловмисники використовують і "липове" блокування карт. У цьому випадку шахрай у телефонному режимі повідомляє власнику картки, що у банку відбувся збій і 30 тис. рахунків, у тому числі його, заблоковані. Для розблокування рахунку просять надати отп-код, який приходить під час розмови. Повідомлення з кодом надходить зі звичного, на перший погляд, номера банку. Але в цьому номері може відрізнятися одна цифра, а в назві банку є помилка. Надавши код, клієнт дає доступ до інтернет-банкінгу, і шахраї можуть перевести будь-яку суму на іншу карту.
Щоб убезпечити себе від подібних дій шахраїв, потрібно виконувати кілька відомих і нескладних правил.
1. Зберігати секретну інформацію в таємниці. Не відправляти реквізити платіжних карт (номер картки, термін дії, код CVV2/CVC2) електронною поштою і не повідомляти по телефону третім особам. Співробітник банку не питає повний номер карти, термін дії, код CVV2/CVC2, ОТП-пароль.
2. Не вводити реквізити карти у спливаючих вікнах, які з'являються поверх стандартного інтерфейсу офіційних платіжних сервісів.
3. Бути уважними при поповненні рахунків мобільних телефонів, користуватися тільки офіційними і перевіреними сайтами (віддавати перевагу сайтам https: //).
4. Оформити окрему карту для оплат в інтернеті. Поповнювати карту перед проведенням операції – так шахраї не вкрадуть гроші, навіть дізнавшись дані карти.
5. Встановити індивідуальні ліміти на проведення операцій в інтернеті на необхідну суму і підключити SMS-інформування.
Оператори українського ринку платіжних карт відзначають зростання нових видів кібер-шахрайства, спрямованих на клієнтів банківських установ.