Як захистити банківську картку?

І не стати жертвою шахраїв

Смс-повідомлення з текстом «ваша картка заблокована», дзвінки «з банку» із запитаннями про реквізити банківської картки, електронні листи з дивними посиланнями на сторінки, зовні схожі на сайти банків – все це справа рук шахраїв. Методи у них різні, але мета одна – вкрасти гроші з вашої банківської картки. Вони маніпулюють людьми, використовуючи їх страх втратити кровно зароблені і низький рівень фінансової грамотності. За даними Української міжбанківської асоціації членів платіжних систем ЕМА, за минулий рік злочинці вкрали з карток українців 339 млн гривень. Які методи вони використовують? Як викрити шахраїв і не стати черговою жертвою?
Зміст

Як працює захист платіжної картки

Хороша новина в тому, що будь-яка банківська картка захищена досить надійно. Якщо нею правильно користуватися, то злочинці навряд чи доберуться до ваших грошей. У кожної картки є:

  1. 16-значний номер;
  2. ім'я власника;
  3. термін дії;
  4. CVV-код, вказаний на зворотному боці, (використовується при розрахунках в інтернеті);
  5. ПІН-код (ніде не зазначений і відомий тільки власнику, використовується при знятті готівки в банкоматах і розрахунках карткою).

Додатковим елементом захисту може бути система 3D Secure. Якщо вона підключена, то для підтвердження інтернет-платежів банк надсилає смс з кодом-паролем на телефон власника картки.

Повідомляти іншим можна тільки перші два реквізити. Вони потрібні для того, щоб переказати гроші на картку. Все решта – суто конфіденційні дані, які можуть бути доступні і повинні бути відомі тільки її власнику. Якщо нікому їх не передавати, то ваші гроші залишаться вашими. Здавалося б, все просто. Але злочинці отримують доступ до цієї інформації. І в більшості випадків її їм повідомляють самі клієнти банків. Її виманюють хитрістю, використовуючи кілька стандартних прийомів.

Дзвінок з «банку» (або вішинг)

Найчастіше конфіденційну інформацію шахраї дізнаються під час прямого телефонного спілкування з жертвою. Це ефективний метод соціальної інженерії, який називається вішинг. На нього припадає левова частка всіх крадіжок безготівкових грошей в українців. За даними ЕМА, минулого року завдяки йому шахраї розбагатіли на 275 млн грн. Це більше ніж 80% всіх вкрадених з банківських карток коштів.

У 94% випадків вони видають себе за працівників банку і повідомляють про «підозрілі операції» або начебто блокування картки і просять її дані для розблокування або переоформлення.

Важливо!

Співробітник банку не має права запитувати про термін дії картки, її CVV та ПІН-код. Якщо вас просять надати ці дані, ви гарантовано маєте справу зі злочинцем.

Звичайно, клієнту можуть насправді подзвонити з банку, співробітники якого відстежують всі операції з картками. Якщо якась з них здасться їм підозрілою, вони можуть поцікавитися, чи здійснював він її. Як зрозуміти, хто вам телефонує: шахрай чи співробітник банку? Ось два приклади типової розмови з клієнтом банку. В одному випадку дзвонить шахрай, в іншому – співробітник банку.

Телефонує шахрай

Дзвінок з номера +38 063.....

– Алло, доброго дня, це служба безпеки банку. Ваша картка заблокована. За нею намагалися провести підозріле зняття грошей.

– Я нічого не знімала. Взагалі рідко нею користуюся. Тільки пенсію знімаю.

– З картки Ощадбанку чи Приватбанку?

– Ощадбанку. І що тепер робити? У мене пенсія вся на картці.

– Не хвилюйтеся, ми заблокували картку. Ваші гроші на місці. Але щоб ви могли їх зняти, ми повинні її розблокувати. Продиктуйте номер картки і ваші ПІБ.

– 1212...... Іванова Марія Петрівна.

– Все вірно. Тепер скажіть, до якого часу картка діє? Під номером вказано. Через дріб: місяць і рік.

– 08/19.

– Так. І останнє: на зворотному боці картки на паперовій стрічці вказані три цифри. Продиктуйте їх.

– Так, бачу: 123.

– Чудово, Марія Петрівна. Зараз ваша картка буде розблокована, і ви зможете зняти свої гроші. Не хвилюйтеся.

Телефонує співробітник банку

Дзвінок з номера +38 056 ....

– Доброго дня, Сергію Вікторовичу. Турбує служба безпеки Приватбанку. Щойно з вашої картки було знято 9 тис. грн. у банкоматі по вулиці Тінистій в Одесі. Скажіть, ви здійснювали цю транзакцію?

– Доброго дня. Так. Сьогодні приїхав в Одесу у справах і щойно зняв гроші.

– Дякую за інформацію. Гарного дня.

Різниця між цими діалогами в тому, що, по-перше, працівник банку завжди знає, як звати власника картки, і звертається до нього на ім’я та по батькові (або ім’я та прізвище). По-друге, дзвінок з банку, як правило, буде зі стаціонарного номера телефону. По-третє, співробітник банку попросить максимум підтвердити або спростувати проведення операції. Він точно не стане запитувати у вас про реквізити банківської картки.

Іноді для зав'язування телефонної розмови з жертвою шахраї використовують й інші легенди. Вони можуть зателефонувати, наприклад, представляючись співробітниками:

  • Пенсійного фонду для нарахування надбавки до пенсії;
  • благодійного фонду або від помічника місцевого депутата для перерахування матеріальної допомоги;
  • поліції або СБУ через підозрілу операцію на картці;
  • магазину або якоїсь із національних лотерей, повідомляють про виграш в акції або лотереї;
  • покупцями товару, який людина продає в інтернеті, і запитують дані її картки для перерахування передоплати (в т. ч. і конфіденційні).
  • банку, нібито проводячи опитування щодо якості обслуговування.
 

Манера розмови підбирається в процесі спілкування. Вона може бути спокійною і ввічливою, а може і навпаки, жертву стануть квапити, намагаючись залякати тим, що нібито хтось прямо зараз намагається зняти гроші. У середньому, за даними ЕМА, для обману жертви шахраю достатньо поспілкуватися з нею не більше ніж п'ять хвилин.

Смс від «банку»

Часто жертви самі телефонують шахраям. Останні провокують їх на це смс-повідомленнями про «блокування карток», виграш в акції тощо і вказують при цьому свій контактний номер телефону. Якщо жертва клює на прийом, далі її обробляють в телефонному режимі.

Популярними в останні кілька місяців стали повідомлення про начебто блокування карток Ощадбанку.

Одну з таких ситуацій описав користувач сайту minfin.com.ua:

«Дружину тупо «розвели». Прийшла СМСка, причому в день зарахування грошей, що «ваша картка заблокована, для розблокування зателефонуйте в Ощадбанк, подробиці за номером тощо». Дружина у мене – створіння довірливе, ось і подзвонила. Ці товариші взяли трубку і попросили номер картки, а також цифри на зворотному боці картки. І в результаті дружина отримала кілька СМСок про зняття грошей».

Є дві явні ознаки того, що смс прийшло не від банку, а від шахраїв:

  • воно іде не в списку інших повідомлень від банку, а окремим повідомленням. Це особливо впадає в очі при підключеній послузі смс-банкінгу, коли повідомлення від банку приходять регулярно;
  • як контактний вказується не стаціонарний, а мобільний номер телефону.
 
Важливо!

З усіх питань, пов'язаних з банківською карткою, потрібно дзвонити в банк лише за телефонами, зазначеними на її зворотному боці або на сайті банку.

Фальшиві сайти

Йдеться про фішинг. Суть цього комп'ютерного злочину в тому, що шахраї створюють сайт, зовні схожий на сайт банку. Вони використовують чинні логотипи, іноді імена реальних менеджерів. Потім по смс або електронною поштою від імені банку розсилають повідомлення з посиланням на нього і пропозицією підтвердити/оновити облікові дані. Якщо клієнт ведеться на прийом, заповнює зовні знайомі форми сайту своїми даними, липовий сайт банку зчитує всю введену конфіденційну інформацію.

Періодично таких атак зазнають клієнти найбільшого українського банку – Приватбанку. Ось приклад однієї з них, яка сталася кілька років тому. Клієнтам приходив лист, в якому говорилося, що їхні акаунти в інтернет-банку приват24 заблоковані. І для розблокування пропонувалося перейти за посиланням http://mail.kablonet.com.tr/privat24.ua, яке вело на підроблену сторінку банку:

Для порівняння – реальна сторінка банку виглядала так:

Одна з останніх фішингових атак на Приват була виявлена кілька тижнів тому. Клієнти банку (і не тільки вони) отримували листи з посиланням на сайт-копію сторінки входу в Приват24, але з хитромудрою адресою: http://pb24corp.at.ua Ось так виглядала його форма для заповнення даних:

Банки досить оперативно реагують на такі атаки, і сайти-клони швидко закривають. Але шахраї атакують не тільки їх. Вони створюють копії сайтів популярних сервісів з купівлі квитків, бронювання готелів, платіжних сервісів тощо, наприклад, 40 79 фішингових сайтів, які були виявлені за перші 6 місяців цього року, пропонували послуги переказу грошей з картки на картку і поповнення мобільного телефону. Чотири сайти пропонували «роботу» від «Укрпошти», два «видавали кредити онлайн, ще два – «продавали» дешеві авіаквитки (один з них маскувався під сервіс Bravoavia).

Такі сайти можуть «наловити» чимало клієнтів. У ЕМА кажуть, був випадок, коли один з них за день зібрав реквізити карток 2600 осіб. Всього минулого року їх було виявлено 174.

Ось кілька прикладів «небанківських» фішингових сайтів (всі перераховані посилання вже не працюють):

Фіктивний переказ коштів з картки на картку (https://pay4card.com)

Фіктивне поповнення мобільного телефону http://cash4phone.info)

Фіктивна робота від «Укрпошти» (http://rabota1.xyz/)

Фіктивне онлайн кредитування (https://kreditavtomat.jimdo.com)

Фіктивний продаж авіаквитків (http://bilet.space, замаскований під сайт Bravoavia)

Намагаючись провести операцію через фішинговий веб-ресурс, користувач зазвичай отримує повідомлення, що вона неуспішна. При цьому шахраї просто крадуть реквізити карток. Іноді трапляються і більш просунуті сайти-підробки. Наприклад, скрипти деяких сайтів, замаскованих під платіжні сервіси, можуть зчитувати реквізити картки користувача, потім переносять платіж на легітимний ресурс, підміняючи дані картки одержувача на картку шахраїв. Можуть також змінити і суму переказу.

Заманюють клієнтів за допомогою платної реклами в пошукових сервісах оголошеннями про вигідні умови, наприклад, з нульовою комісією.

Ознаки того, що сайт фішинговий:

  • Адреса ресурсу починається з http:// і не має знака замку, який повідомляє про безпечне з'єднання за протоколом https. Сучасні інтернет-браузери, як правило, попереджають користувачів про сайти з безпечним з'єднанням, якщо на них є форми для введення даних. Ось приклад того, як виглядає безпечне з'єднання:
  • Такий сайт не буде зареєстрований у верхній доменній зоні національного рівня «.ua». Його адреса може закінчуватися на: com.ua, in.ua, pp.ua, kiev.ua, org, net, info, biz, com, top, in, cc та ін), але не може виглядати так: «название. ua». Для створення такого сайту потрібна реєстрація торгової марки. Шахраї навряд чи стануть це робити, на відміну від банків і реальних компаній, чиї сайти, як правило, знаходяться саме у верхній доменній зоні: https://privatbank.ua, https://www.aval.ua, https://www.oschadbank.ua, https://alfabank.ua, http://ukrposhta.ua і т. д.
  • У текстовому наповненні можуть зустрічатися помилки.

Ось кілька правил, дотримуючись яких можна звести до мінімуму ризик потрапляння на фішингові сайти:

  • намагайтеся користуватися послугами перевірених сервісів;
  • не переходьте за посиланнями, які ведуть на сайти банків або платіжних сервісів. Краще вручну набирайте назву компанії у пошуковику або адресу в адресному рядку;
  • якщо вирішили скористатися послугами незнайомого сервісу, спочатку пошукайте відгуки про нього в інтернеті. Якщо їх немає або вони негативні – краще не ризикувати;
  • якщо сумніваєтеся, скористайтесь ресурсом whois.com, який дозволяє дізнатися, на кого зареєстрований домен і коли він був створений. Зазвичай фішингові ресурси є «новонародженими» або зареєстровані максимум рік тому. Наприклад, сайт Приват24 створено 2005 року, а згаданий фальшивий сайт з продажу авіаквитків – півроку тому.
 

Клієнт, який зрозумів, що став жертвою фішингової атаки вже після того, як ввів дані своєї картки, повинен якомога швидше зателефонувати в банк і заблокувати її. Іноді банк може вирішити таку проблему навіть після того, як гроші були списані. Якщо банк «умиває руки», варто звернутися в поліцію. Також можна повідомити про псевдосайт у ЕМА.

Махінації з банкоматами

Кеш-трепінг

Суть цього трюку в тому, що шахраї кріплять металеву планку до отвору банкомату для видачі купюр, яка їх блокує. Клієнт знімає гроші, банкомат їх видає, але вони залишаються під планкою і до клієнта не доходять: приклеюються до скотчу, а планка заважає їм вийти назовні. Багато хто при цьому помилково вважає, що в банкомат або несправний, або в ньому просто закінчилися гроші, і йде. Пізніше шахрай і забирає планку разом з грошима.

Явні ознаки кеш-трепінгу: банкомат з характерним звуком відрахував купюри, але ви їх так і не побачили. При цьому на екрані не було повідомлення про його несправність або відсутність грошей (банкомат обов'язково повідомить і про одне, і про інше).

Якщо ви зіткнулися з такою проблемою, то:

  • не відходячи від банкомату, зателефонуйте в банк за телефонами, вказаними на ньому або на картці, повідомте про інцидент і чекайте інструкцій від працівника банку;
  • огляньте отвір для видачі купюр – планки зазвичай вішають так, щоб їх можна було легко зняти.
 

Скіммінг

У цьому випадку шахраї крадуть дані карток користувачів та ПІН-коди за допомогою зчитувальних пристроїв, які накладають на карткоприймач і клавіатуру банкомату. Підглянути ПІН можуть також через невеличку камеру, яку вішають зверху.

Отримавши всі дані, вони роблять дублікат картки, за яким потім знімають гроші. Такі операції можуть здійснюватися як в Україні, так і за кордоном.

Ось один з недавніх прикладів, описаний користувачем на сайті minfin.com.ua: «8.06.2017 мені прийшла СМС про зняття з моєї банківської картки суми, трохи більшої ніж 3 тис. гривень, в незрозумілій країні, як з'ясується пізніше – у В'єтнамі. Прийшовши до найближчого відділення, зустріла там близько десятка людей з подібною проблемою. Зі слів потерпілих, всі вони днем раніше користувалися банкоматом в цьому відділенні». Але ця історія закінчилася добре. Через три тижні після публікації відгуку, клієнт Привату написала про те, що банк повернув гроші.

Як не стати жертвою скіммінгу:

 
  • набираючи ПІН-код, прикривайте клавіатуру іншою рукою (або яким-небудь предметом);
  • намагайтеся користуватися банкоматами, які знаходяться у приміщеннях з відеоспостереженням (у відділеннях банку, торгових центрах);
  • порівнюйте зовнішній вигляд банкомату з його екранною заставкою. Часто на екрані показано, як повинні виглядати карткоприймач і клавіатура.
 

Якщо виявили на банкоматі зчитувальні пристрої вже після того, як зняли гроші, то:

  • терміново заблокуйте картку, зателефонувавши в контакт-центр за вказаним на ній телефоном. Пізніше змініть ПІН-код;
  • повідомте про інцидент в банк

Висновки

Щоб не стати жертвою шахраїв, потрібно дотримуватися таких правил:

  1. Ніколи і нікому (!) не повідомляйте конфіденційні дані своєї картки (пін-код, термін дії, CVV -код), навіть співробітникам банку;
  2. Не втрачайте картку з поля зору, коли розраховуєтеся нею. Стежте за діями, які проводять з нею касири або офіціанти;
  3. Намагайтеся прикривати клавіатуру банкомату та ПОС-терміналу при введенні ПІН-коду та періодично змінюйте його;
  4. Зв'язуйтеся з банком тільки за тими телефонами, які вказані на картці або на його сайті;
  5. Не вірте у виграші в лотереях, особливо тих, в яких ви не брали участі.