Фішинг, вішинг та скімінг: як шахраї полюють за банківськими картками українців
Ми довірливі та наївні, а з приходом війни на нашу землю – ще й трохи розгублені та погано зосереджуємось. Цим користуються шахраї всіх мастей, які прагнуть вилучити наші гроші на свою користь будь-якими способами. Коротко про – про способи махінацій з банківськими картками, інформацією про які поділилися в НБУ та кіберполіції.
Телефонний фішинг, він же вішинг
Шахраї видають себе за співробітників банку, НБУ або інших фінансових установ і виманюють конфіденційні дані картки - CVV-код, PIN-код або просять назвати одноразовий пароль із SMS, що прийшла.
Про цей вид шахрайства говорять уже багато років, але все одно знаходяться громадяни, які досі щиро вірять, що «служба безпеки вашого банку виявила підозрілий переказ грошей, транзакцію заморожено, картку заблоковано, надайте дані картки для розблокування»…
Зрозуміло, що після виконання всіх вимог зловмисники одержують доступ до рахунку та знімають звідти всі гроші. Тому жодні пін-коди та номери карт по телефону диктувати не можна. Краще одразу перервати дзвінок та набрати офіційний номер свого банку (зазначений на карті або на сайті) та уточнити у консультантів всю інформацію.
Навіть якщо на екрані мобільного висвітилася назва банку або місцевий номер і підозр не викликає - алгоритм все той же: дзвінок перервати і дзвонити в банк самостійно.
Фішингові сайти та листи
Суть методу полягає у створенні підроблених веб-сторінок чи розсилки листів від імені банків чи відомих організацій. Мета все та ж – крадіжка даних. Жертва отримує листа електронною поштою або SMS з посиланням на сайт, схожий на оригінальний (наприклад, сайт банку або інтернет-магазину). За посиланням пропонується пройти та ввести дані картки, щоб зробити покупку або забити логін/пароль для отримання вигідних пропозицій. Після цього дані відлітають до шахраїв, а решта – справа часу, щоби списати гроші з карти.
Тому за підозрілими посиланнями ходити не рекомендується. Якщо беруть сумніви, то відразу треба глянути на початок інтернет-адреси: він має починатися з комбінації https. Відсутність літери S вказує на те, що сайт передає дані в незашифрованому вигляді і перехопити їх може будь-хто.
Для повного розуміння, що перед вами шахрайський або реальний сайт, варто забити назву магазину або банку в рядок будь-якого пошуковика – порівняти літери на адресу. «Ліві» сайти можуть відрізняти на одну-дві літери, непомітні відразу, або буде інший домен (наприклад, .com замість .ua) і т.д.
Скімінг
Це копіювання даних через банкомати. Недаремно на багатьох банківських терміналах прикручені таблички з проханням оглянути засіб для прийому карток чи клавіатуру на наявність підозрілих предметів чи «добавок». Шахраї давно навчилися встановлювати спеціальні пристрої (скімери) на банкомати для зчитування даних картки. Накладка на кардрідер або клавіші плюс крихітна камера для запису пін-коду - і ось уже десь виготовляється дублікат карти, адже розсіяний власник так люб'язно надав для цього всі дані, не помітивши каверзи на банкоматі. Гроші зникнуть з карти дуже швидко.
Тим, хто не має технічної освіти або хто звик знімати готівку поспіхом, краще робити це не в одиноких банкоматах десь у глухих провулках, а в безпечних місцях – у банках або у великих торгових центрах. І так, прикривати клавіатуру рукою під час введення пін-коду – це не ознака параноїдального синдрому, а звичайний захід безпеки.
Перевипуск SIM-карток
Процедура складна, але не неможлива. Шахраї звертаються до оператора зв'язку, видаючи себе за власника номера, та замовляють дублікат SIM-картки. Вони можуть мати на руках підроблені документи або попередньо зібрану інформацію, наприклад, про номери, з яких відбувалися дзвінки.
Звичайно, чужим таку аферу провернути важко, а ось родичам або близьким друзям (друзям - до цього моменту) в принципі не так вже й складно. Достатньо кілька хвилин покрутити телефон у руках і залізти до списку дзвінків. Потім робиться нова SIM-картка – і доступ до онлайн-банкінгу відкритий.
Уникнути цієї неприємної ситуації можна лише профілактично – встановивши у оператора додатковий захист для сімки (наприклад, пароль або кодове слово для перевипуску SIM-картки). Якщо неприємність вже сталася – треба терміново звернутися до банку та оператора мобільного зв'язку.
Автоматичне списання з картки
Не завжди шахрайство, а часто – результат забудькуватості і неуважності. Іноді користувачі прив'язують карту до сайту для пробного доступу до послуг або продуктів, наприклад, на місяць. І після цього благополучно забувають про свою підписку, яка може автоматично продовжитись наступного місяця без бажання користувача.
Особливо часто в цю пастку потрапляють любителі акційних пропозицій перед різними святами, коли на сайтах яскравими великими літерами пишеться про безкоштовний пробний період та дрібні – про автоматичне продовження передплати на сервісі. У результаті про те, що в нього списалися гроші, користувач дізнається лише після надходження SMS із банку.
Чи варто прив'язувати карту до сайту, вбиваючи її номер, дату та секретні три цифри – звісно, кожен вирішує сам. Однак чи варто це робити, якщо відвідування того чи іншого ресурсу було одноразовим? Загалом після підключення безкоштовного пробного періоду варто уважно перечитати умови акцій, знайти в особистому кабінеті підключений автоплатіж і відключити його.
Шахрайство з POS-терміналами
Тут все просто: ні в магазині, ні в ресторані ніде не давайте своєї картки, щоб продавець або офіціант відходив з нею для того, щоб сплатити нею через POS-термінал. Трапляються випадки, коли дані банківської картки швидко фотографуються, а потім використовуються для покупок онлайн. Тому варто вимагати (якщо персонал сам не здогадався) принести термінал та оплачувати покупки самостійно.
"Ви виграли приз" або "Провірте карту на вразливість"
Якими б абсурдними не виглядали подібні заклики, однаково знайдуться жертви і для цих обманів. «Переможців» неіснуючих лотерей попросять оплатити онлайн доставку або податок на приз, а надмірно пильні громадяни можуть погодитися «перевірити безпеку» картки, прочитавши пост у соцмережах із зазначеним алгоритмом дій. У результаті жертва йде на фейковий сайт і залишає там усі дані своєї карти… Далі за схемами, описаними вище.
Чекати на приз від лотереї, в якій не брав участі, і перевіряти безпеку картки не в банку, а на якомусь невідомому сайті – верх легковажності. Та й не просять банки робити жодних перевірок. Є сумніви – вперед у банк і там перевіряйте, якщо співробітники взагалі зрозуміють суть "проблеми".