Кіберзлочинність в Україні зростає неабиякими темпами.
Актуальність платіжних карток на часі важко переоцінити. Українці все частіше розраховуються ними за покупки не лише в інтернет-магазинах, але й у звичайних торгових мережах.
За даними Національного банку України кількість активних платіжних карток в Україні дещо зменшилася - на 3 тисячі за перший квартал 2015 року. Однак статистика за початок цього року показує, що кількість та суми безготівкових операцій невпинно зростають - приблизно на 20% і 26% відповідно (у порівнянні з усередненими даними за квартал 2014 року). Та й готівку з карток українці почали знімати менше.
Карткою дійсно легше розрахуватися у супермаркеті, не треба кожного дня думати, скільки брати з собою грошей та перейматися, щоб у вас часом не витягли гаманець у метро чи іншому людному місці. Проте й у цієї медалі є й інший бік - шахраї вже доволі давно досягли того рівня, коли з легкістю можуть спустошити ваш банківський рахунок. Для цього вам лише треба "засвітити" картку у будь-якому банкоматі, магазині або навіть кафе, яке облюбували злодії.
Шахрайства з платіжними картками є одним із видів кіберзлочинів та отримали назву кардінг. Через карткових злодіїв лише за друге півріччя 2014 року США втратили більше $ 36 млн. В Україні цей вид шахрайства також набуває масового характеру.
За даними київської міліції, у 2011 році було викрито лише 9 кримінальних справ за фактами учинення кіберзлочинів, у 2012-му таких злочинів було викрито вже 104, у 2013-му було викрито 253, упродовж 2014 року працівниками управління боротьби з кіберзлочинністю було задокументовано 304 злочини вказаної категорії, а станом на 1 квітня поточного року вже 49. І на перше місце серед різноманітних видів кіберзлочинів (наприклад, несправжні інтернет-аукціони, розсилка спаму та створення вірусів) виходить саме шахрайство з пластиковими платіжними картками. Тож про них ми розповімо у першу чергу.
Уразливі банкомати
Колишній судовий експерт, технічний директор компанії eDiscovery Олександр Урденко нарікає, що наразі просте приладдя, яке використовується для крадіжки грошей з карток, можуть виготовити навіть діти. А в інтернеті розповсюджується чимало відео з покроковими інструкціями на кшталт "зроби сам".
Скімінг (англ. skim - легко ковзати, знімати пінку) - крадіжка даних карти за допомогою спеціального пристрою - скімера. Зловмисники копіюють всю інформацію з магнітної стрічки платіжної картки (ім'я власника, номер картки, термін закінчення її дії, CVV та CVC-коди), а дізнатися ПІН-код можна за допомогою міні-камери або накладок на клавіатуру, встановлених на банкоматах. Такі пристрої можуть бути різних розмірів та мати будь-який вигляд.
Скімери, які встановлюються на банкомати, імітують його деталі так, що клієнт банку навряд чи зможе відрізнити їх від справжніх. Сам скімер - це накладка на карткоприймач. Під пластиковим корпусом ховається магнітна головка, що, як магнітофон касету, зчитує інформацію з картки, яка, своєю чергою, зберігається на невеличкому чипі.
Такі скімери встановлюються у дуеті разом із відеокамерою, яка має записати процес введення з клавіатури ПІН-коду. Камеру разом із чипом для зберігання відео ховають за окремою накладкою і можуть встановити як зверху над монітором банкомату, так і десь збоку - тут усе залежить від розташування клавіатури.
На основі даних, зібраних скімером та відеокамерою, шахраї створюють матрицю, яка імітує пластикову картку і яку потім (в процесі шахрайства) банкомат розпізнає як легітимну.
Захистити свій ПІН-код можна, прикривши рукою клавіатуру під час його введення, радять правоохоронці. Однак такий спосіб, зазначає технічний експерт Олександр Урденко, не може бути ефективним на 100%, адже для того, щоб вирахувати пароль, шахраю треба розгледіти лише три цифри, а ту, що лишилася, можна дізнатися шляхом простого підбору з трьох різних банкоматів.
Замість камери можуть використовуватися і спеціальні накладки на клавіатуру, що запам'ятовують, на які цифри натискав власник картки, вводячи ПІН -код. За даними правоохоронців, шахраї часто вдаються саме до такого способу крадіжки ПІН-коду, проте накладку легко помітити.
"Наявність підкладної клавіатури дуже просто помітити, оскільки справжня клавіатура зазвичай лита та вона ніколи не буде виступати або відходити у деяких місцях від корпуса банкомата. А ось підкладну клавіатуру, яка встановлюється зловмисниками, можна легко зняти, лише піддівши її з боку", - зауважив начальник київського управління боротьби з кіберзлочинністю МВС Руслан Оленюк.
Перед установкою скімера шахраї проводять так званий репутаційний підбір: оцінюють район, відвідуваність, підхід до самого банкомату. "Обов'язково є люди, так звані доглядачі, які спостерігають за поведінкою людей. Іноді можуть спеціально спровокувати ситуацію, щоб подивитися, як люди будуть реагувати. У народі це називається стратегічна розвідка. Потім вони вже вирішують, чи можна сюди ставити сканер", - розповів технічний експерт Олександр Урденко.
Він додав, що шахраї зазвичай обирають таке місце, щоб банкомат стояв окремо, тобто не залежав ні від відеокамер, ні від людей. Тож, щоб уберегти свої гроші, краще обирати банкомати, які розташовані у добре освітлених місцях, біля або у самих відділеннях банків, а також поблизу постів охорони або міліції (наприклад, у метро).
Однак іноді шахраї обирають місця, де їхні підозрілі дії, здавалося б, легко помітити. Так, Олександр Урденко зазначив, що є випадки встановлення скімерів на банкомати у супермаркетах. "Наприклад, підійшли дві людини. Один працює, щось клеїть [накладку зі скімером], а другий повернувся і каже: "Не підходьте, проводиться технічний огляд", - розповів експерт і додав, що установка та зняття скімера - швидка справа, яка займає близько 10 секунд.
Скімер і відеокамера працюють на звичайних акумуляторах від телефону, роботи яких вистачає приблизно на добу, після чого шахраї знімають своє приладдя. Тож якщо раптом звичний банкомат видається вам підозрілим, то ймовірні накладки можна виявити, якщо посмикати найбільш "небезпечні" місця, наприклад, карткоприймач. "Якщо якісь деталі відходять - це скімер або накладка з камерою", - додає експерт Олександр Урденко.
Серед інших порад, як зменшити ризик стати жертвою шахраїв, правоохоронці зазначають таке:
- не рекомендується зберігати всі гроші на платіжній картці;
- встановити ліміт на щоденне або разове зняття грошових коштів з карткового рахунку;
- підписатись на SMS-інформування про проведені транзакції;
- у разі виникнення сумнівів уже після вводу ПІН-коду необхідно зняти максимально можливу суму для того, щоб зловмисники не заволоділи вашими коштами, та терміново повідомити банківську установу для перевірки.
Крім того, у банках розповіли ТСН.ua, що наразі широко використовуються так звані антискімінгові накладки, які унеможливлюють встановлення скімерів на банкомати.
Також банківські спеціалісти рекомендують замовляти чипову картку, яка має підвищений рівень захисту. "Захист від підробки, оскільки інформація, записана у чипу, має криптографічний захист, який неможливо скомпрометувати", - зауважив начальник управління ідентифікації шахрайства департаменту ризик-менеджменту АБ "Укргазбанк" Роман Степанець.
"Скопіювати дані з картки з чипом набагато складніше. Якісь методи є, але у нас не було таких випадків на практиці", - зазначив директор з інформаційних технологій "Приватбанку" Дмитро Дубілет. Водночас спеціаліст наголосив, що єдиним недоліком чипової картки є її вартість. "Не всі банки перейшли на картки з чипом, бо вона набагато дорожча за картку з магнітною стрічкою. І якби всі картки були масово з чипами, для українців це обернулося б більш високими комісіями", - додав Дмитро Дубілет.
Сумнівні кафе і магазини
Зі скімером можна зіткнутися не лише під час роботи з банкоматом, а й у зовсім неочікуваних місцях. Так, скімером може виявитися звичайний на перший погляд термінал, через який сплачується покупка у магазині чи замовлення у кафе.
Шахрайська схема виглядає так. Ви приходите у кафе, вас обслуговує дуже ввічливий офіціант, а коли ви вже збираєтесь сплачувати рахунок і, на жаль, готівки у вас виявляється недостатньо, ви пропонуєте картку. Офіціант приносить вам термінал, через який проводить картку. Але ж термінал несправжній, тож він видає помилку. Це не викликає підозр, оскільки подібні ситуації зі справжніми Wi-Fi терміналами - не рідкісне явище. Відтак офіціант вибачається та йде до бару начебто за іншим терміналом, а дорогою ховає свій пристрій. Ваш ПІН-код він може підгледіти вже під час розрахунку через справжній термінал.
У такому разі офіціант ризикує бути викритим, оскільки йому треба десь ховати свій "термінал". Тож шахраї можуть використовувати й іншу схему з непримітним приладдям. Офіціант забирає вашу картку разом із рахунком на бар й у влучний момент проводить по її магнітній стрічці мініатюрним скімером, вбудованим, наприклад, у перстень. ПІН-код він може отримати так само, як і в першому випадку.
Варто зазначити, що несправжні термінали можуть використовуватися не тільки у кафе, але і в магазинах та супермаркетах, де таким терміналом просто замінюють справжній. Відтак скімери можуть бути й такими, що проводять платіж продавцю, наче справжні, але при цьому крадуть дані з вашої картки.
Для своїх оборудок шахраї, як правило, обирають доволі сумнівні заклади, власники яких не дуже ретельно ставляться до підбору персоналу і під їхнім носом можна виробляти будь-що. Тож для збереження своїх коштів варто оминати подібні місця, які викликають підозру.
Інтернет-магазини
Зараз електронна комерція займає вагомі позиції в економіці країни, тож популярним видом шахрайства з платіжними картками є несанкціоноване використання їх під час купівлі товарів або послуг у мережі Інтернет.
У більшості випадків шахраям не доводиться вдаватися до якихось мудрованих технологій, зазначають правоохоронці. Найчастіше вони розміщують фейкове оголошення, у якому за товар або послугу "продавець" вимагає переказати передплату. Після отримання коштів зловмисник не надсилає товар або не надає відповідної послуги.
Є у шахраїв і більш складна схема. Клієнту пропонують перерахувати гроші на картковий рахунок "продавця" та дізнаються номер рахунку, персональні дані та номер мобільного телефону власника, начебто для з'ясування питань, які можуть виникнути при перерахуванні коштів.
"У подальшому на мобільний номер власника карткового рахунку телефонує особа, яка представляється працівником банківської установи та ставлячи запитання щодо надходжень, які очікуються, зазначає, що кошти не можливо буде зарахувати від юридичної особи у зв'язку з неактивованою відповідною функцією, та повідомляє, що шляхом здійснення ряду дій біля найближчого банкомату зазначене питання можливо вирішити. У результаті здійснення таких дій, громадяни, не розуміючи їхньої суті, самостійно перераховують кошти на рахунки шахраїв або активують функції, які надають шахраям можливість заволодіти грошовими коштами, що знаходяться на карткових рахунках громадян", - пояснив начальник київського управління боротьби з кіберзлочинністю МВС Руслан Оленюк.
Щоб не стати жертвою такого злочину, правоохоронці пропонують українцям дотримуватись таких рекомендацій:
1. Переконатись у надійності магазину або продавця, для чого потрібно зв'язатися з представником магазина або безпосередньо з продавцем за реквізитами, вказаними на веб-ресурсі.
2. Провести у Мережі перевірку за назвою інтернет-магазину або за номером телефону продавця, з метою виявлення відгуків про цей суб'єкт господарювання або про особу.
3. Перевірити вартість товару. Вас має насторожити, якщо вона набагато нижча, ніж в інших інтернет-магазинах.
З'ясувати терміни доставки та спосіб оплати товару.
4. Перевірити у Мережі місце знаходження інтернет-магазину або особи-продавця (адресу, вказану на сайті).
5. Оплату придбаного товару краще за все здійснювати кур'єру під час отримання та після перевірки покупки.
6. У разі якщо вам на мобільний номер телефонує особа, яка представляється працівником банківської установи і вимагає повідомити персональну інформацію та інформацію по платіжній картці, у жодному випадку не надавайте запитувану інформацію, а краще зверніться до найближчого відділення вашої банківської установи та проконсультуйтесь із працівниками банку.
Фішинг
Ще одним видом інтернет-шахрайства є фішинг (англ. риболовля), метою якого є отримання доступу до конфіденційних даних користувачів, зокрема, до реквізитів платіжної картки.
Шахраї виманюють персональні дані, маскуючи фішингові сайти під інтернет-магазини або сайти інтернет-банкінгу. Посилання на свій ресурс злодії надсилають на електронну пошту, у соцмережах або у SMS.
Зазвичай сайт-двійник має веб-адресу, яка дуже схожа на адресу справжнього сайту. Проте іноді вірус може повністю підміняти URL. Відтак, необачний користувач може "подарувати" шахраям дані своєї картки, навіть не помітивши цього.
"Бувають такі випадки, коли сайт є повною копією. Веб-адреса або схожа, або взагалі така ж сама, якщо вірус якимось чином підміняє її. І коли жертва вводить свої дані на цей сайт, то ці дані вже використовуються шахраями на справжньому сайті. Але з іншого боку, банки теж не стоять на місці. І навіть коли користувач потрапляє в таку ситуацію, з дуже високою ймовірністю, банк це виявляє за допомогою нетипового IP або інших ознак і блокує таку інформацію", - розповів директор з інформаційних технологій "Приватбанку" Дмитро Дубілет.
Роман Степанець, начальник управління ідентифікації шахрайства департаменту ризик-менеджменту АБ "Укргазбанк", запропонував для прикладу порівняти справжній сайт платіжної системи Visa та створений шахраями ще у 2011 році клон, де ідентичними були навіть значення колірних каналів у графічних елементах і міжрядкові пробіли у верстці тексту.
Сайт-двійник
Справжній сайт Visa, основні відмінності:
- сайт починається з https://, а не з http://
- немає підозрілого фрагменту в адресі, як то "ets-mon-blogueur.com"
Серед порад, як не стати жертвою фішингу, банківські спеціалісти вказують таке:
1. Не переходьте за посиланнями у листах або SMS, надісланих начебто від імені банку. А якщо вже клікнули, то не вносьте у запропоновані форми свої особисті дані. Банки ніколи не надсилають таких листів з подібними проханнями.
2. Під час розрахунків у мережі користуйтеся надійними та перевіреними інтернет-магазинами, а оплату краще здійснювати зі свого персонального комп'ютера і не користуватися у таких випадках комп'ютерами в інтернет-клубах.
3. Під час оплати в Інтернеті не надавайте свої особисті дані. Для проведення транзакції вистачить номера картки, строку дії та CVV2-коду (трьохзначний код). Якщо вас просять назвати дату та рік народження, дівоче прізвище матері та інші особисті дані або набрати різні комбінації цифр на телефоні, то ви маєте справу з шахраєм.
4. Якщо вам часто доводиться оплачувати покупки в інтернеті, варто відкрити спеціальну інтернет-картку, що дозволить вберегти реквізити вашої основної платіжної картки.
5. Встановіть картковий ліміт на суму та кількість операцій на оплату товарів/послуг в Інтернеті. Його можна легко змінювати за необхідності. Тож якщо ви втратите картку, або ваші персональні дані будуть вкрадені, зловмисники зможуть скористатись вашими коштами лише в межах встановленого ліміту.
6. Використовуйте антивірусне програмне забезпечення із регулярно оновлюваними антивірусними базами.
Телефонні шахраї
Наприкінці варто згадати ще про один простий шахрайський спосіб добування персональних даних - телефоном. У цьому випадку аферисти не обтяжують себе малюванням сайтів-двійників та не мудрують зі скімерами, вони просто шукають довірливого клієнта банку.
Однак банк ніколи за своєю ініціативою не дзвонить клієнтам для того, щоб дізнатися персональні дані - номер банківської картки, строк її дії, ПІН-код, CVV2-код або кодове слово (наприклад, дівоче прізвище матері). "Шахраї дзвонять, представляються службою безпеки банку або ще кимось і кажуть: "Терміново скажіть пароль з SMS", "Терміново скажіть ПІН-код" тощо. Якщо вам телефонує "банк" і просить це назвати, то це шахрай", - зазначає директор з інформаційних технологій "Приватбанку" Дмитро Дубілет.
Банківські представники заявляють, що відшкодовують гроші своїм клієнтам, які стали жертвами кіберзлочинців. Але водночас зазначають, що це відбувається "у разі відсутності провини з боку клієнта". Оскільки довести факт своєї непричетності може бути складно, то для збереження власних коштів варто вживати превентивних заходів і дотримуватися правил безпеки під час використання платіжної картки та її реквізитів в Інтернеті.
Скичко Ольга