Киберпреступность обходится мировой экономике в $600 млрд в год, что составляет 0,8% от общего мирового ВВП. В частности в 2019 году от онлайн-мошенников пострадали более 467 тыс. человек со всего мира на сумму $3,5 млрд. При этом украинцы потеряли более $5 млн.
По итогам этого года цифры могут оказаться еще большими: по данным Национальной полиции, во время карантина уровень мошенничества в интернете вырос на 15%.
Редакция блога OLX расспросила экспертов по онлайн-платежам, как обезопасить себя во время оплаты в интернете, что можно делать и чего нельзя, а также к каким распространенным схемам мошенников нужно быть готовым.
«Люди становятся жертвами онлайн-мошенников из-за собственной беспечности»:
Александр Карпов, директор украинской межбанковской ассоциации членов платежных систем EMA
От обмана не застрахован никто
По нашей статистике, каждый день больше 10 тыс. украинцев получают сообщения от мошенников.
В SMS и почтовых рассылках – их просят, к примеру, поучаствовать в подставной акции и как бы невзначай сообщить свои персональные данные, в том числе финансовые. По телефону – злоумышленники представляются сотрудниками банка и выпытывают логин и пароль от личного кабинета в онлайн-банкинге. А на платформах с частными объявлениями или в недобросовестных интернет-магазинах – мошенники провоцируют пользователей внести предоплату за несуществующий товар.
От угроз не застрахован ни один человек, который присутствует в цифровом мире. Если у вас есть учетные записи в онлайн-сервисах, соцсетях, онлайн-банкинге, значит, вы – потенциальная жертва. Вами могут заинтересоваться мошенники. Полностью обезопасить себя от взлома практически невозможно, но можно минимизировать риски.
Ключевые правила безопасности
Помните, что мошенники пытаются взломать не ваш счет или интернет-кошелек, а вас самих. Популярные онлайн-сервисы, как правило, хорошо защищены технически, поэтому преступники все чаще обращаются к социальной инженерии: обманом заставляют жертву выдать конфиденциальную информацию либо заплатить за несуществующий товар или услугу. Они рассчитывают на вашу беспечность.
Вот советы, как себя обезопасить.
1) Подозревайте всех, кто запрашивает вашу финансовую информацию: данные карты, включая срок ее действия и CVV2-код (трехзначный код для подтверждения подлинности вашей карты на ее обратной стороне), логин и пароль от интернет-банкинга и т. д. Стоит особенно насторожиться, если вам сообщают о внезапном переводе денег или выигрыше в лотерею, а чтобы деньги поступили на ваш счет, нужно «всего лишь» назвать одноразовый код, который вы получили на телефон. Лучше сразу же прервать разговор, самому позвонить в банк по номеру, который указан на официальном сайте, и выяснить детали.
2) Установите на карте лимиты на все операции: от выдачи наличных до оплаты в интернете. Если вы в ближайшие дни не планируете ничего покупать, смело ставьте «ноль». Это защитит вас от преступников, которые, к примеру, взломали базу данных какого-то онлайн-сервиса, где хранились ваши платежные данные, и теперь пытаются расплатиться вашей картой в интернет-магазинах. Если выставлен нулевой лимит, у них ничего не получится. А увеличить его сами мошенники не смогут: для этого нужно выведать пароль от вашего интернет-банкинга или секретное слово, что намного сложнее, чем просто узнать данные карты.
3) Платите онлайн с помощью интернет-карты. Большинство современных банков позволяют открыть виртуальную карту: она нужна, чтобы не «светить» в интернете данные своей основной карты. На виртуальном счете не стоит хранить большие суммы, их можно туда переводить непосредственно перед покупкой. В таком случае, даже если интернет-карту каким-то образом взломают, с нее будет нечего красть. А основной счет остается в безопасности.
4) Не расплачивайтесь в интернет-магазинах или на онлайн-площадках, которым не доверяете. Если магазин вызывает у вас даже малейшие сомнения, откажитесь от онлайн-оплаты. Вероятность нарваться на недобросовестных продавцов очень высока: мы с 2016 года ведем публичный черный список мошеннических сайтов, и там уже более тысячи наименований. Каждый день в нашу базу попадают новые «участники» – узнаем о них от служб безопасности банков, платежных сервисов, Киберполиции, а также наших пользователей через форму «Заявить об инциденте».
На нашем сайте есть и белый список – сервисы онлайн-платежей и онлайн- кредитования, в надежности которых мы уверены. В основном это члены EMA: когда они вступали в ассоциацию, мы тщательно проверяли их сервисы на соответствие стандартам кибербезопасности.
Защита данных на уровне бизнеса и государства
В целом я оцениваю отношение украинского бизнеса к безопасности онлайн-платежей на «четыре с плюсом» по пятибалльной шкале, отношение государства – на «четыре с минусом».
Для бизнеса защита финансовых интересов своих клиентов – это первейшая задача, ведь иначе покупатели уйдут к конкурентам. Пожалуй, на украинском рынке нет «слабых звеньев», у которых откровенные проблемы с кибербезопасностью. Инциденты случаются: иногда даже у крупных компаний крадут базы с данными пользователей. Но либо бизнес делает выводы, закрывая бреши (например, начинает хранить все данные в зашифрованном виде), – и тогда развивается дальше, либо игнорирует – и вскоре просто закрывается, потому что люди перестают ему доверять.
К тому же бизнес вынужден выполнять регуляторные требования государства по вопросам защиты персональных данных, финансовой информации, банковской тайны. В этом плане нужно отдать должное государству: у НБУ нулевая толерантность к банкам и платежным системам, которые недостаточно серьезно относятся к своим обязательствам. Это означает, что Нацбанк нещадно «бьет» за любое нарушение и не спускает их на тормозах.
С другой стороны, у государства есть проблема с текстом 200-й статьи Уголовного кодекса, которая оперирует термином «платежная карта». Там сказано, что за несанкционированный доступ к банковскому счету и электронным деньгам преступнику положен штраф: за первое преступление – от трех до пяти тысяч необлагаемых минимумов доходов граждан, а за повторное – от пяти до десяти тысяч. Тогда как по общеевропейской директиве о киберпреступности, за это предусмотрена тюрьма – от 10 до 15 лет.
Сейчас в НБУ готовят новый проект закона о платежных услугах. Если его примут, преступникам будут грозить не штрафы, а тюремные сроки до 10 лет с конфискацией имущества. Эта та мера наказания, которая в полной мере отражает уровень общественной опасности от незаконных действий с платежными инструментами.
«Играя люди могут улучшить навыки защиты более чем от 80 видов интернет-мошенничества»:
Раиса Федоровская, руководитель ЕМА Academy и Школы кибербезопасности Ассоциации ЕМА, автор онлайн-игры «Здолай шахрая»
Как работают мошенники
В рамках своих обязанностей я обрабатываю заявления пострадавших через форму «Заявить об инциденте» на сайте Ассоциации EMA и отчеты Киберполиции Stop Fraud. Благодаря этому вижу всю «картину маслом»: как онлайн-мошенники чаще всего обманывают своих жертв и что ведет к самым опасным последствиям.
Вот топ-5 самых распространенных преступных сценариев.
Несуществующий выигрыш. Один из вариантов этой схемы – мошенники присылают сообщение о том, что вы выиграли некий ценный приз – например, автомобиль или квартиру. Чтобы его получить, нужно перейти по ссылке и зарегистрироваться на сайте, а затем – уплатить якобы налог 1% от стоимости приза. Если наивная жертва это сделает, дальше ее попросят оплатить «услуги нотариуса», «мокрые печати», «дорожный сбор», «комиссию банка» – и так до бесконечности.
Выплата компенсации. Например, вам пишут от имени так называемого «Официального фонда защиты персональных данных»: якобы ваши персональные данные скомпрометированы, и вам положена компенсация. Для этого нужно предоставить номер вашей банковской карты и SSN – номер социального страхования в США. Конечно, SSN у вас нет, а чтобы оформить временный, нужно заплатить всего лишь $9,32 – конечно же, в карман мошенникам.
Мошенничество с платными опросами. Возможный сценарий: от имени банка злоумышленники приглашают вас поучаствовать в онлайн-опросе – например, оценке удовлетворенности услугами. За это обещают гонорар – 500 грн. Вы переходите по ссылке и попадаете на сайт-клон банка, где под видом регистрации в системе злоумышленники просят ввести логин и пароль от онлайн-банкинга, а также код из SMS.
Опасная покупка. В фальшивом интернет-магазине или на сайте с объявлениями вам предлагают купить последний iPhone в три-четыре раза дешевле. Можно подозревать одно из двух: либо это не iPhone последней модели, либо его вообще не существует. В обоих случаях вы потеряете деньги, если сделаете предоплату: приобретете не тот товар, который ожидали, или же просто заплатите и не получите ничего.
Выкуп за «изгнание» вируса. Вы открываете вложенные файлы в электронных письмах от незнакомцев, загружаете бесплатную игру или фильм на сайте с пиратским контентом – и на ваш компьютер попадают вредоносные программы. Они блокируют устройство или отдельные файлы. Для расшифровки преступники требуют заплатить выкуп.
Самое страшное – угон SIM-карты
Самые опасные сценарии связаны с угоном SIM-карты. Ведь к мобильному номеру обычно «подвязан» онлайн-банкинг, учетные записи в соцсетях и мессенджерах, личные кабинеты в онлайн-сервисах.
Большинство людей никогда не пользовались онлайн-кабинетом на сайте своего мобильного оператора – но эти кабинеты есть у всех. Именно там можно удаленно перевыпустить SIM-карту. А чтобы туда зайти, достаточно выманить у вас пароль, который приходит по SMS.
Назваться сотрудником мобильного оператора, придумать повод, убедить человека назвать код из SMS – это дело техники. После этого мошенник сможет перевыпустить SIM-карту и пользоваться вашим мобильным номером. А значит, ему ничего не стоит увести деньги с банковских счетов, оформить кредиты на ваше имя, украсть приватную информацию.
Еще одна оригинальная схема, на которую ведутся даже продвинутые пользователи, в том числе сами сотрудники банков, – когда у вас по телефону спрашивают данные карты и просят набрать их в тоновом режиме. На самом деле это не какая-то «новая супербезопасная технология», а обыкновенный обман.
Если вы стали жертвой мошенников, я рекомендую написать заявление в Киберполицию. Это можно сделать онлайн. Если органы найдут преступников, у вас есть шанс получить компенсацию.
Игра учит распознавать схемы
Единственный эффективный метод в борьбе с социальной инженерией – просвещение граждан. Но учить людей, которые не хотят и не понимают, зачем им это делать, – сложно. Поэтому у нас возникла идея – учить их, как делают это с детьми, то есть ненавязчиво, в игровой форме. Так мы в EMA решили создать онлайн-игру с имитацией мошенничества – «Здолай шахрая».
В январе 2020 года мы получили грант от проекта USAID «Трансформация финансового сектора» и начали разработку. Совместно с креативщиком и дизайнером Papacarloworks Артемом Денисовым разработали 56 сценариев мошенничества – включая описанные выше и многие другие. В ходе игры вам предстоит сразиться с каждым из преступников – в результате можно улучшить свои навыки кибербезопасности и защиты от более чем 80 видов платежного мошенничества.
Запустили игру в конце августа. За первый месяц к нам присоединились около 31 тыс. игроков. В среднем один пользователь побеждает шесть мошенников, более 1,2 тыс. участников справились со всеми. Самым сложным в прохождении «боссом» оказался «Продавайло», который встречается на онлайн-площадках с объявлениями.
Баннеры и публикации о «Здолай шахрая» уже разместили 16 банков и финансовых компаний, а также более 100 популярных сайтов, включая YouTube и OLX.
Кроме игры, повысить свой уровень знаний о мошенничестве в сфере онлайн-платежей можно в нашей «Школе кибербезопасности», на информационном ресурсе #ШахрайГудбай, а также в Facebook-группах Ukrainian Interbank Payment Systems Member Association «EMA» и Financial Literacy Ukraine.
«Никогда не переходите по ссылкам, полученным от третьих лиц»:
Галина Козырева, Chief Product Officer платежного сервиса UAPAY – финансового партнера OLX Доставка
Защита платежной инфраструктуры
Одна из самых популярных мошеннических схем, которая обычно «процветает» на площадках с объявлениями вроде OLX: нечестный продавец под различным предлогом выманивает у покупателя полную или частичную предоплату за товар, а затем исчезает.
Чтобы такого не происходило, нужна третья сторона, которая выступит поручителем и для покупателя, и для продавца. То есть первый до начала выполнения сделки передает деньги третьей стороне на хранение, а второй – не получает их до тех пор, пока не выполнит все обязательства по сделке. Таким образом, покупатель может быть уверен, что его деньги не пропадут.
Именно так работает услуга OLX Доставка, а UAPAY выступает ее финансовым партнером: обеспечивает перевод денег с карты на карту, их хранение, а также техническое сопровождение всего процесса.
Киберпреступникам не под силу взломать платежную инфраструктуру UAPAY: она соответствует всем требованиям международного стандарта PCI DSS 3.2. Это современный стандарт безопасности, который используют Visa и MasterCard. В нем шесть областей контроля и 12 основных требований к платежам – такого уровня защиты достаточно, чтобы они считались абсолютно безопасными.
Как провайдер первого уровня (более 300 тысяч транзакций в год), мы проходим ежегодный аудит на соответствие требованиям стандарта и подтверждаем его соответствующим сертификатом.
Чего бояться на онлайн-платформах с объявлениями
Благодаря OLX Доставка стал невозможным обман по сценарию «деньги за товар заплатил, но ничего не получил».
Но мошенники не сдаются и делают ставку на социальную инженерию: убеждают жертву перевести общение из личного кабинета OLX в сторонний мессенджер – Viber, Telegram, WhatsApp и т. д. Затем посылают в мессенджере ссылку якобы на услугу OLX Доставка, а на самом деле – на фишинговый сайт, который внешне очень похож на сайт платформы. Отличия заключаются только в написании доменного имени: например, 0lx.delivery.ua вместо olx.ua. Если жертва не заметит или не поймет подмены и проведет оплату на этой мошеннической странице, то потеряет свои деньги.
Это еще не все. Недавно произошел такой случай: покупатель заинтересовался объявлением о продаже игровой приставки по довольно низкой цене. Продавец соглашался совершить сделку только через OLX Доставка. Товар оплатили, однако через несколько минут продавец все отменил – и деньги вернулись на карту покупателя. Но затем пользователь написал клиенту, что на платформе якобы произошел сбой, и отправил ссылку в личном кабинете на повторное оформление покупки, которая вела уже на фишинговую страницу. Не подозревая подвоха, покупатель перешел на этот сайт и, к сожалению, лишился своих денег.
Чтобы не попасться на удочку преступников, следует запомнить одно главное правило – ни при каких условиях не переходите по ссылкам, полученным от третьих лиц. Все операции по подтверждению покупки и проведению оплаты должны проводиться исключительно на сайте OLX.ua. К слову, это правило работает и для покупок на других онлайн-площадках.
Обращайте внимание на то, как давно продавец зарегистрирован на онлайн-платформе, есть ли о нем отзывы и какой его рейтинг, не продает ли он товар по подозрительно низкой цене. В то же время есть товары, работоспособность и подлинность которых очень сложно проверить в почтовом отделении. Например, видеокарта или материнская плата может оказаться бракованной (в таком случае стоит запрашивать дополнительные фото/видеоматериалы товара, сертификаты или другие документы, которые подтверждают качество – ред.).
Кроме этого, мошенники любят отправлять фальшивый или нерабочий товар в блистерной упаковке. Дело в том, что в отделении Нова пошта при получении товара такую упаковку вскрывать нельзя, а внутрь жулики вкладывают совсем не то, на что рассчитывал покупатель. Поэтому если у вас есть сомнения в добросовестности продавца, от покупки лучше отказаться.
Как гарантируют безопасность платежей
Со своей стороны мы стараемся дополнительно защитить покупателей на всех маркетплейсах и онлайн-площадках, с которыми мы работаем: например, внедрили интеллектуальный алгоритм, который не позволяет пользователю два раза подряд оплатить одну единицу товара.
Иногда у пользователей OLX возникает вопрос, почему во время оплаты у них не запрашивают дату выпуска карты или ее CVV2-код. Дело в том, что в каждой транзакции, помимо финансового оператора, принимает участие банк-эмитент, который выпустил платежную карту покупателю, и банк-эквайер, в котором открыт расчетный счет продавца.
Когда вы оплачиваете какой-либо продукт онлайн, перед всеми участниками транзакции стоит задача обеспечить безопасность платежа, одновременно сделав эту процедуру максимально простой и быстрой для пользователей. Для этого каждый банк-эмитент использует свой особый алгоритм, который позволяет узнать, кто выполняет платеж – владелец счета или постороннее лицо. И если он уверен, что это первый, то нет смысла делать дополнительные шаги по проверке личности. Соответственно, банк не требует вводить CVV2-код – так как применяются другие способы аутентификации и подтверждения платежа.
Текст: Валентина Шимкович
