До уваги! Як шахраї крадуть гроші з банківських карток українців, і чи можна цьому запобігти?

В Україні протягом останнього року активізувалися карткові злодії – йдеться про шахраїв, які за допомогою різних схем крадуть кошти з банківських рахунків громадян. Фокус дізнався, як саме діють злочинці, та що повинні зробити власники карткових рахунків, щоб убезпечити свої гроші від шахраїв.
Платіжне шахрайство в Україні під час повномасштабної війни з Росією трансформувалось у нові способи ошукування українців. Як повідомили у Національному банку України, де провели масштабне опитування громадян щодо шахрайства, користуючись ситуацією та складним становищем громадян, злочинці адаптували шахрайські схеми під сьогодення та ошукували людей, прикидаючись банками чи обіцяючи фінансову допомогу від держави, міжнародних та благодійних організацій.

"Наразі опитування пройшло понад 112,9 тисячі користувачів. За його результатами виявилося, що кожен дев’ятий опитаний (11%) ставав жертвою шахраїв з початку повномасштабного вторгнення", — повідомили в НБУ.

Зайві слова. Як у 2023 році діють шахраї для крадіжки коштів з рахунків громадян

У банках Фокусу розповіли, що останнім часом дуже розповсюджене шахрайство через методи соціальної інженерії – йдеться про надсилання у соцмережах посилань на сторінку з нібито міжнародною фінансовою допомогою, при переході на сторінку користувачу пропонується ввести особисті платіжні дані, які і перехоплюють шахраї для викрадення коштів. Ще один метод — розповсюдження повідомлень у фейсбуці та інших мережах про збір коштів для ЗСУ або на гуманітарні потреби, коли насправді такий збір проводить не волонтерська чи благодійна організація, а група шахраїв. Проте досі нерідкими є випадки, коли шахраї прикидаються "службою безпеки" великого банку, і через психологічний тиск виманюють у клієнта конфіденційні дані (номер платіжної картки, термін дії, CVV-код), що згодом швидко використовують для крадіжки коштів з рахунку.




Шахраї можуть прикидатися службою безпеки банку, щоб виманити конфіденційні дані та вкрасти кошти з рахунку

Фото: pexels.com

"Шахраї швидко адаптувались та розробили нові схеми шахрайства, використовуючи давно відомі методи соціальної інженерії", — каже Богдан Горохівський, виконавчий директор напрямку безпеки Кредобанку.

Ігор Прохоров, спеціаліст з кібербезпеки Креді Агріколь Банку, додає: після початку повномасштабного вторгнення РФ з’явились такі шахрайські схеми:

виплати через війну від місцевої влади, ЮНІСЕФ, ООН та інших міжнародних організацій;
допомога псевдоволонтерам ЗСУ.
Проте у шахраїв є й інші методи ошукати громадян, кажуть опитані Фокусом експерти.

За даними дослідження НБУ, більшість шахрайських випадків сталося під час купівлі чи продажу товарів в інтернеті – 52,7%.

"Дуже часто такі схеми використовуються зловмисниками на майданчиках онлайн-оголошень. Загальний принцип доволі простий: обіцяючи хорошу ціну, що виправдовується нерідко зрозумілими усім життєвими обставинами, зловмисники створюють для потенційного покупця режим психологічного тиску. Наприклад, розповідаючи, що мають іншого покупця, вимагають негайної передплати за товар. Є й більш зухвалі та технологічні схеми, використання підроблених сторінок сплати карткою, що імітують вбудовані у сайти оголошень системи", — пояснив Фокусу Денис Гавриков, начальник управління електронної комерції Юнекс Банку.

Досить розповсюджена схема шахрайства – надсилання у соцмережах посилань на сторінку з нібито міжнародною фінансовою допомогою

Експерти кажуть: останнім часом злочинці повертаються до стандартних схем, а сценарій із міжнародною допомогою поступово зникає, адже вже багато українців добре поінформовані про таку схему.

"Кіберзлочинці вправно змінюють свою тактику, щоб скористатися глобальними чи локальними подіями для заманювання нових жертв. Водночас, приблизно з середини 2023 року шахрайський тренд щодо отримання фінансової допомоги почав поступово зменшуватися і на сьогодні вже зовсім неефективний. Шахраї повернулися до "класичних методів" та фішингу через підроблення маркетингових кампаній банків, із фантастичними умовами, наприклад, оформи картку – отримай 1000 грн на рахунок", — каже Олексій Скиба, начальник управління менеджменту інформаційної безпеки Райффайзен Банку.



Платіжне шахрайство переживає свій бум, пропонуючи наївним громадянам "солодкі" умови отримання грошей від міжнародних організацій

Фото: pexels.com

За його словами, рівень електронного шахрайства в Україні значно виріс, а шахраї вміють обирати теми, на які "ведуться" клієнти.

"За 9 місяців цього року ми вже заблокували більш ніж 350 фішингових сайтів, у 2022 році – близько 200, у 2021 – всього 15 сайтів. В основному, підроблюють сторінки входу в онлайн банкінги і так крадуть логіни та паролі користувачів. Тому ми завжди рекомендуємо зберегти посилання на сторінку онлайн банкінгу собі в закладки браузера та за необхідності відкривати саме її, а не переходити через посилання в листах чи банерній рекламі", — підкреслив Олексій Скиба.

Втрата коштів з картки: коли банк має повернути вкрадене шахраями

Законодавство України захищає власників платіжних карток в разі втрати коштів внаслідок шахрайських операцій. Утім, повернути кошти на рахунок клієнта банк зобов’язаний не завжди – є чіткі умови, коли саме клієнту повернуть кошти, а коли банк не буде нічого повертати.

"Якщо користувач картки зрозумів, що втратив її або її викрали, або помітив платіжні операції, які він не виконував, він зобов’язаний негайно повідомити банк. До цього моменту ризик збитків від здійснення операцій та відповідальність несе користувач, а з часу повідомлення користувачем банку — несе банк (пункт 6 розділу VI Постанови правління НБУ "Про здійснення операцій з використанням електронних платіжних засобів", — каже Ігор Ясько, керівний партнер ЮК Winner.

Він пояснює: банк під час отримання повідомлення та/або заяви про втрату банківської картки та/або платіжні операції, які не виконувалися користувачем, повинен ідентифікувати користувача і зафіксувати обставини, дату, годину та хвилини його звернення. Після цього зобов’язаний негайно зупинити здійснення операцій з використанням картки.

Юристка юридичної компанії "Муренко, Курявий і Партнери" Валерія Шавлюк каже: у випадку, коли власник банківського рахунку не розповсюджував персональні дані, пов’язані із таким рахунком, та не був ініціатором зняття або переказу грошових коштів, законодавство передбачає обов’язок банку негайно після виявлення порушення зарахувати відповідну суму на рахунок клієнта (ст. 1073 ЦКУ).

"Ця норма застосовується у випадках, коли списання грошових коштів сталось з вини банку", — пояснила юрист.


Банк має повернути вкрадені кошти лише тим клієнтам, які самостійно не передавали банківські дані шахраям

Фото: Pexels

"Користувач не несе відповідальності за здійснення платіжних операцій, якщо картку використано без фізичного пред’явлення ним або ідентифікації, крім випадків, якщо доведено, що дії чи бездіяльність користувача призвели до втрати, незаконного використання ПІНу або іншої інформації, яка дає змогу ініціювати платіжні операції. Тобто, фактично, якщо клієнт сам повідомив свої коди або сам перевів певну суму, то банк може лише розвести руками і направити клієнта до правоохоронних органів", — каже Ігор Ясько.

Якщо сам громадянин повідомив шахраям дані картки, на повернення вкрадених шахраями коштів банком очікувати не варто

Тобто, якщо сам громадянин повідомив шахраям дані картки або самостійно перейшов за фішинговим посиланням та через такий сайт передав злочинцям усі дані, на повернення коштів від банку очікувати не варто

"Майже завжди це втрачені кошти, так, адже правоохоронні органи можуть ніколи не знайти винного через те, що шахраї використовують різні способи забезпечення своєї анонімності, а стягнути збитки можна лише з обвинувачуваного після винесення судом рішення", — впевнений Ігор Ясько.

Денис Гавриков повідомив Фокусу: повернення коштів банком можливе лише за умови, що списання коштів відбулося без відома клієнта й його вина у передачі секретних даних картки не доведена.

"Якщо клієнт банку власноруч ввів на підробленому сайті номер картки, строк її дії та тризначний CVV-код, на повернення коштів він може сподіватися лише у разі, якщо зловмисника буде заарештовано, а його вину доведено. Оскільки користувач картки власноруч ввів усі дані до форми, санкціонував операцію та передав дані третій особі", — каже експерт.




Шахраям важливо отримати певні карткові дані, а власникам карток потрібно бути уважними та не розголошувати дані

Фото: pexels.com

Що ж стосується покарання для злочинців, що крадуть кошти з банківських рахунків, то юристи пояснюють – Кіберполіція постійно затримує групи осіб, що займаються шахрайством, проте такі справи нечасто доходять до суду через відсутність доказової бази.

"За останніми судовими справами відносно притягнення до відповідальності та повернення коштів можна зробити висновок, що кількість успішно доведених справ значно менша з огляду на недостатність доказів. У разі успішного доведення винуватості, суд застосовує такий вид покарання як позбавлення волі та стягнення матеріальної шкоди, завданої власнику банківського рахунку. Крім того, якщо однією із сторін судової справи виступає відповідна банківська установа, суд ухвалює рішення про стягнення із винної особи на користь банку матеріальних збитків", — каже Валерія Шавлюк.




Справи шахраїв постійно розглядають суди, проте реальних кейсів, коли гроші вдалося повернути ошуканим громадянам, немає

Фото: pexels.com

Проте вкрадені шахраями гроші майже ніколи не повертаються на рахунки громадян, які стали жертвами злочинців. Адже, як пояснив Ігор Ясько, правоохоронні органи затримують представників так званих "офісів", і найчастіше особи, які там працюють – це лише виконавці, а усі гроші фактично вже направилися далі, і саме ці особи не можуть повернути викрадене.

"Санкція зазвичай за ст. 190 — позбавлення волі на строк до 12 років з конфіскацією майна, але це майно не може покрити втрати всіх клієнтів. Фактично, єдиний дієвий механізм боротьби з шахрайством з боку власника картки – обізнаність, недовіра до сумнівних сайтів, обережність та критичне мислення", — наголосив експерт.

Допоможи собі сам. Як вберегти власні кошти від шахраїв

Хоча шахрайські методи постійно трансформуються та знаходять все більше нових "жертв" серед довірливих громадян, експерти вважають, що методи захисту від злочинців існують, а головний метод – пильність та перевірка інформації. А ще – захист персональних даних.

"Прив’яжіть сім-карту до свого паспорта, ні за яких обставин не повідомляйте реквізити вашої карти та іншу конфіденційну інформацію третім особам; на С2С сайтах з продажу товарів, таких як ОЛХ, завжди використовуйте лише вбудовані чати та механізми безпечних продажів, покупок та доставок, не переходьте по зовнішнім посиланням", — радить Ігор Прохоров.

Яскравою ознакою шахрайства є спроби психологічного тиску, кажуть експерти.




Червоним прапорцем шахрайства автоматично мають ставати будь-які спроби психологічного тиску: відлік часу до завершення пропозиції, неймовірно спокусливі умови

Фото: Getty

"Не слід переходити на надісланні посилання без базової перевірки адреси. Особливо уважним слід бути, якщо на сторінці за таким посиланням просять ввести будь-які важливі дані: про картку, паролі до акаунтів в соцмережах тощо. Червоним прапорцем автоматично мають ставати будь-які спроби психологічного тиску: відлік часу до завершення пропозиції, неймовірно спокусливі умови роботи, на яку претендують сотні кандидатів тощо", — коментує Денис Гавриков.

На його думку, від зламу акаунтів чудовим і вельми надійним захистом є двофакторна аутентифікація, яку пропонують користувачам усі відомі онлайн-платформи, включаючи Google та Facebook.



Шахрайські методи постійно трансформуються та знаходять все більше нових "жертв" серед довірливих громадян

Фото: pexels.com

Також, якщо впевненості у спроможності розпізнати шахрайські спроби заволодіти грошима на картці немає, можна використовувати окрему картку для операцій в інтернеті та для інших розрахунків, поповнюючи її на суму планованих операцій.

"А картку, на яку надходить основний дохід, намагатися використовувати лише для переказу коштів з неї на "розрахункову". Це не захистить від шахрайства, але допоможе мінімізувати втрати у разі неприємної ситуації", — каже Денис Гавриков.

Головні правила безпеки для власників платіжних карток:

не повідомляти нікому логін та пароль до онлайн-банкінгу. Працівники банку ніколи не будуть запитувати цю інформацію ні телефоном, ні електронним листом;
звертати увагу на текст СМС-повідомлення або повідомлення через месенджери, що містить одноразові паролі. Зазвичай, текст цього повідомлення містить інформацію, для якої цілі наданий одноразовий пароль;
не розголошувати термін дії, CVV-код та PIN-код картки;
якщо телефонують від імені банку починають розпитувати інформацію, не потрібно підтримувати діалог;
уважно вивчати електронні листи, звертати увагу на відправника, в разі отримання листа від банку – зателефонувати за офіційним номером банківського кол-центру, а не за вказаним у листі;
за наявності повідомлень від знайомих у соцмережах, щодо термінової потреби у грошовій допомозі, перевірити інформацію, зателефонувавши або написавши особі з іншого каналу комунікації;
у випадку втрати телефона чи непрацездатності SIM-карти – звернутися до банку та до мобільного оператора. Обмежити доступ до онлайн-банкінгу та особистого кабінету оператора до моменту з’ясування обставин;
не встановлювати на мобільний телефон додатків, отриманих з невідомих джерел та перевіряти, які права додаток вимагає від телефона;
перевіряти сайт, на якому планується здійснити розрахунок, використовуючи ресурс Чорний список від Асоціації ЄМА або сервіс Департаменту Кіберполіції Національної поліції України STOP FRAUD;
не виконувати вказівки шахраїв, коли невідомі особи просять провести будь-які дії в банкоматі, щоб нібито підтвердити зарахування коштів;
у випадках надходження інформації стосовно додаткових виплат перевіряти все у першоджерела (наприклад, допомога від ООН, ЮНІСЕФ, Червоного хреста – усі дані є на сторінці https://aid.edopomoga.gov.ua).


Експерти радять не продовжувати бесіду, якщо з перших слів на тому кінці дроту зрозуміло, що це шахрайство

Фото: pexels.com

"Не називайте і не передавайте SMS-коди або посилання нікому, навіть якщо вас про це просять. Зберігайте ці дані у таємниці, щоб не надати доступ шахраям до ваших коштів", — попередила Валентина Розанова, начальниця управління розвитку роздрібного бізнесу та кредитування ОТП Банку.

Експертка також розповіла, що банки зараз пропонують спеціальне страхування карток від шахрайства. Йдеться про покриття двох груп ризиків.

"Перша – це страхування від шахрайства (підробки картки, втрати картки, викрадення реквізитів, шахрайства в банкоматі, операцій без присутності картки), страхова сума становить 30 тис. грн на рік. Друга група ризиків – це страхування від соціальної інженерії (шахрайства під впливом обману), страхова сума – 10 тис. грн на рік", — розповіла Фокусу Валентина Розанова.