Фишинг, вишинг и скимминг: как мошенники охотятся за банковскими картами украинцев
Мы доверчивы и наивны, а с приходом войны на нашу землю – еще и слегка растеряны и плохо сосредотачиваемся. Этим пользуются мошенники всех мастей, которые стремятся изъять наши деньги в свою пользу любыми способами. Коротко про – о способах махинаций с банковскими картами, информацией о которых поделились в НБУ и киберполиции.
Телефонный фишинг, он же вишинг
Мошенники выдают себя за сотрудников банка, НБУ или других финансовых учреждений и выманивают конфиденциальные данные карты - CVV-код, PIN-код или просят назвать одноразовый пароль из пришедшей SMS.
Об этом виде мошенничества говорят уже много лет, но все равно находятся граждане, которые до сих пор искренне верят, что «служба безопасности вашего банка обнаружила подозрительный перевод денег, транзакция заморожена, карта заблокирована, предоставьте данные карты для разблокировки»…
Понятно, что после выполнения всех требований злоумышленники получают доступ к счету и снимают оттуда все деньги. Поэтому никакие пин-коды и номера карт по телефону диктовать нельзя. Лучше сразу прервать звонок и набрать официальный номер своего банка (указан на карте или на сайте) и уточнить у консультантов всю информацию.
Даже если на экране мобильного высветилось название банка или номер местный и подозрений не вызывает – алгоритм все тот же: звонок прервать и звонить в банк самостоятельно.
Фишинговые сайты и письма
Суть метода состоит в создании поддельных веб-страниц или рассылки писем от имени банков или известных организаций. Цель все та же – кража данных. Жертва получает письмо по электронной почте или SMS со ссылкой на сайт, похожий на оригинальный (например, сайт банка или интернет-магазина). По ссылке предлагается пройти и ввести данные карты, чтобы сделать покупку, или забить логин/пароль для получения выгодных предложений. После этого данные улетают к мошенникам, а остальное – дело недолгого времени, чтобы списать деньги с карты.
Поэтому по подозрительным ссылкам ходить не рекомендуется. Если берут сомнения, то сразу надо глянуть в начало интернет-адреса: он должен начинаться с комбинации https. Отсутствие буквы S указывает на то, что сайт передает данные в незашифрованном виде и перехватить их может кто угодно.
Для полного понимания, что перед вами мошеннический или реальный сайт, стоит забить название магазина или банка в строку любого поисковика – и сравнить буквы в адресе. «Левые» сайты могут отличаться на одну-две буковки, незаметные сразу, или будет другой домен (например, .com вместо .ua) и т.д.
Скимминг
Это копирование данных через банкоматы. Не зря на многих банковских терминалах прикручены таблички с просьбой осмотреть средство для приема карт или клавиатуру на наличие подозрительных предметов или «довесов». Мошенники давно научились устанавливать специальные устройства (скиммеры) на банкоматы для считывания данных карты. Накладка на кардридер или клавиши плюс крохотная камера для записи пин-кода – и вот уже где-то изготавливается дубликат карты, ведь рассеянный владелец так любезно предоставил для этого все данные, не заметив подвоха на банкомате. Деньги улетят с карты очень быстро.
Тем, у кого нет технического образования или кто привык снимать наличность на бегу, лучше делать этого не в одиноких банкоматах где-то в глухих переулках, а в безопасных местах – в банках или, на худой конец, крупных торговых центрах. И да, прикрывать клавиатуру рукой во время ввода пин-кода – это не признак параноидального синдрома, а обыкновенная мера безопасности.
Перевыпуск SIM-карт
Процедура сложная, но – не невозможная. Мошенники обращаются к оператору связи, выдавая себя за владельца номера, и заказывают дубликат SIM-карты. У них могут быть на руках поддельные документы или предварительно собранная информация, например, о номерах, с которых происходили звонки.
Конечно, чужим такую аферу провернуть трудновато, а вот родственникам или близким друзьям (друзьям - до этого момента) в принципе не так уж и сложно. Достаточно пару минут покрутить телефон в руках и залезть в список звонков. Затем делается новая SIM-карта – и доступ в онлайн-банкинг открыт.
Избежать этой неприятной ситуации можно только профилактически – установив у оператора дополнительную защиту для симки (например, пароль или кодовое слово для перевыпуска SIM-карты). Если неприятность уже произошла – надо срочно обратиться в банк и к оператору мобильной связи.
Автоматическое списание с карты
Это не всегда мошенничество, а частенько – результат забывчивости и рассеянности. Иногда пользователи привязывают карту к сайту для пробного доступа к услугам или продуктам, например, на месяц. И после этого благополучно забывают о своей подписке, которая может автоматически продлиться в следующем месяце без желания пользователя.
Особенно часто в эту ловушку попадают любители акционных предложений перед различными праздниками, когда на сайтах яркими крупными буквами пишется о бесплатном пробном периоде и мелкими – об автоматическом продлении подписки на сервисе. В итоге о том, что у него списались деньги, пользователь узнает только после прихода SMS из банка.
Стоит ли привязывать карту к сайту, вбивая ее номер, дату и секретные три цифры, – конечно, каждый решает сам. Однако стоит ли это делать, если посещение того или иного ресурса было одноразовым? В общем, после подключения бесплатного пробного периода стоит внимательно перечитать условия акций, найти в личном кабинете подключенный автоплатеж и отключить его.
Мошенничество с POS-терминалами
Тут все просто: ни в магазине, ни в ресторане нигде не давайте свою карту, чтобы продавец или официант отходил с ней для того, чтобы оплатить ею через POS-терминал. Бывают случаи, когда данные банковской карты быстро фотографируются, а потом используются для покупок онлайн. Поэтому стоит требовать (если персонал сам не догадался) принести терминал и оплачивать покупки самостоятельно.
«Вы выиграли приз» или «Проверьте карту на уязвимость»
Какими бы абсурдными ни выглядели подобные призывы, все равно найдутся жертвы и для этих «разводов». «Победителей» несуществующих лотерей попросят отплатить онлайн-доставку или налог на приз, а излишне бдительные граждане могут согласиться «проверить безопасность» карты, прочитав пост в соцсетях с указанным алгоритмом действий тут же. В итоге жертва идет на фейковый сайт и оставляет там все данные своей карты… Далее по схемам, описанным выше.
Ждать приза от лотереи, в которой не участвовал, и проверять безопасность карты не в банке, а на каком-то неизвестном сайте – верх легкомыслия. Да и не просят банки делать никаких проверок. Есть сомнения – вперед в банк и там проверяйте, если сотрудники вообще поймут суть «проблемы».
