Соціальна інженерія збагатила кібершахраїв на півмільярда: як українці стають жертвами
В Україні стрімко ростуть статки кібершахраїв, які крадуть гроші з банківських карток. У 2017 році злочинці вкрали 670 млн грн, у 2016 майже удвічі менше — 339 млн грн.
Більшу частину із вказаної суми кібершахраї виманили, використовуючи так звані методи соціальної інженерії — коли в розмові по телефону жертву підштовхують на здійснення певних дій з банківською карткою.
При цьому 77% опитаних українців знають, що нікому не можна повідомляти реквізити картки та коди з банківських SMS. Проте 76%, натрапивши на шахраїв, все одно розголошують реквізити своєї картки.
"Економічна правда" пояснює, які методи крадіжок сьогодні є, скільки грошей крадуть кібершахраї та як не стати їх жертвою.
Соціальна інженерія б'є рекорди
За даними міжбанківської Асоціації членів платіжних систем "ЄМА", більше проблем у банків виникає з крадіжками грошей у клієнтів за допомогою соціальної інженерії, без прямого контакту з банківською карткою (Card Not Present).
Цифри безапеляційно розвінчують міф, що POS-термінали — найнебезпечніше місце для розрахунків. Крадіжки через банкомати все ще актуальні, але їх кількість поступово зменшується.
Шахраї дедалі більше концентруються на методах соціальної інженерії. Тобто виманюють реквізити банківських карток або стимулюють власників платіжних карток перерахувати гроші на рахунки шахраїв.
Потенційній жертві можуть зателефонувати на мобільний телефон. Або ж спочатку надсилають SMS повідомлення, наприклад, про те, що банківська картка заблокована або "ви виграли автомобіль", і тоді жертва вже сама телефонує зловмисникам.
Третій метод — менш поширений. Йдеться про випадки, коли фіктивні продавці продають неіснуючий товар. Такі продавці публікують на справжніх сайтах оголошення про продаж товару за привабливою ціною, або спеціально створюють інтернет-магазини з продажу неіснуючих товарів. Покупці здійснюють передоплату і не отримують ані товару, ані грошей.
Наразі методи соціальної інженерії набирають популярності, оскільки середня сума такої шахрайської операції в рази, а то й на порядок перевищує дохід від інших методів.
Крадіжки за допомогою соціальної інженерії вже кілька років поспіль приносять кібершахраям великі доходи і щороку суми збільшуються.
Велика кількість шахрайських операцій з використанням методів соціальної інженерії пояснюються тим, що зловмисники не тільки отримують дані платіжної картки, вони ще отримують ідентифікаційні дані клієнта.
Це дозволяє їм звертатися під виглядом клієнта до колл-центра, здійснювати певні маніпуляції з рахунком, підвищувати ліміти на проведення операцій.
Крім того, людина сама здійснює фінансові операції, знаходячись під психологічним тиском, наприклад, сама перераховує гроші на інші рахунки. Це теж зумовлює те, що сума є більшою, ніж при проведенні операції в мережі інтернет.
Як не стати "фішем"
Кібершахраї, які працюють виключно через інтернет, заробляють більше. Для цього злочинці створюють фіктивні сайти, які видають себе за легальні і нібито надають послуги з переказу коштів з картки на картку або поповнення мобільного рахунку.
Для проведення операції людина вводить реквізити своєї платіжної картки: номер картки, рік та місяць строку дії картки, три секретні цифри на зворотньому боці картки. Але операція не проходить, а вказані дані потрапляють до шахраїв. Далі злочинці, маючи на руках всі дані власника, проводять операції в інтернеті, зокрема купують товари, а потім їх продають, щоб приховати сліди.
Разом з тим, "ЄМА" фіксує скорочення "фішингових" сайтів, які крадуть дані банківських карток — із 174 сайтів у 2016 році до 108 у 2017.
Також скоротилися втрати від шахрайських операцій в інтернеті. Це пов'язано з тим, що банки і клієнти почали активно застосовувати методи лімітування операцій.
Останні техно-розробки кардерів
Кількість випадків банкоматного шахрайства в Україні постійно коливається, проте їх частка серед трьох основних видів кібершахрайства досі велика. У другій половині 2017 року на банкоматне шахрайство припало 29% випадків.
Тут для власників банківських карток існує дві основні загрози.
Кеш-трепінг — встановлення на отвір для видачі готівки шахрайських пристроїв, які унеможливлюють отримання готівки жертвою.
Скімінг — встановлення на картрідер спеціальних пристроїв, які дозволяють зловмисникам копіювати магнітну смугу платіжної картки. При цьому, як правило, пін код для платіжної картки шахраї отримують за допомогою мініатюрної відеокамери, встановленої на банкоматі. Її розмір іноді менше голівки сірника.
Співробітник управління фінансово-економічної безпеки банку ПУМБ Олександр Савченко показав журналісту ЕП пристрої для кеш-трепінгу і скімінгу, які були зняті з банкоматів в Україні, а також коротко пояснив як вони працюють.
Слід відзначити, що за останні два роки кількість випадків кеш-трепінгу кардинально зменшилася, з 817 у 2016 році до 191 випадку у 2017 році. Проте за цей же час кількість випадків скімінгу зросла з 71 до 113.
"Зростання кількості скімінгових інцидентів пов'язані з тим, що пристрої, які почали використовувати злочинці, стають все меншого розміру і візуально зовні непомітні. Новий тип пристроїв приходить з Європи і співробітникам банку дуже складно визначити, чи встановлено на банкомат такий пристрій", — пояснює заступник директора Асоціації "ЄМА" Олеся Данільченко.
Українці ризиковано поводяться з картками
З огляду на суттєвий ріст доходів кібершахраїв у сфері безготівкових розрахунків, посольство США профінансувало дослідження, яке визначило низький рівень обізнаності українців щодо способів захисту від шахрайства.
Відповідно до дослідження, в 2014 році особисто зіткнулись з картковим шахрайством 3% населення України. В 2016 році цей показник зріс до 12%. При цьому найбільше з шахрайством стикалися люди у віковій категорії 55+ (15%) і 35-44 (13%).
Переважна більшість опитаних демонструють ризиковану поведінку при користуванні банківською карткою телефоном, інтернетом, банкоматом.
Так, 77% знають, що нікому не можна повідомляти реквізити картки та коди з банківських SMS, але 76% зіткнувшись з шахрайством, розголошують реквізити своєї картки.
В інтернеті 34% вважають безпечним використовувати новий, невідомий платіжний сервіс.
Під час використання банкомату:
36% — вважають безпечним не прикривати ПІН-код;
43% — вважають безпечним відійти від банкомата, якщо він не видав гроші;
54% — не встановлюють ліміти на платежі за своїми картками;
82% — не змінюють свій ПІН-код.
Враховуючи ризиковану поведінку більшої частини українців під час користування банківською карткою, міжбанківська Асоціація розробила для українців, зокрема, такі рекомендації.