Trust & Safety: онлайн-безпека з OLXКіберзлочинність обходиться світовій економіці в $600 млрд на рік, що становить 0,8% від загального світового ВВП. Зокрема в 2019 році від онлайн-шахраїв постраждали більше 467 тис. людей з усього світу на суму $3,5 млрд. При цьому українці втратили більше $ 5 млн.
За підсумками цього року цифри можуть виявитися ще більшими: за даними Національної поліції, під час карантину рівень шахрайства в інтернеті виріс на 15%.
Редакція блогу OLX розпитала експертів із онлайн-платежів, як захистити себе під час оплати в інтернеті, що можна робити і чого не можна, а також до яких найпоширеніших шахрайських схем потрібно бути готовим.
«Люди стають жертвами онлайн-шахраїв через власну необачність»:
Олександр Карпов, директор української міжбанківської асоціації членів платіжних систем EMA
Від обману не застрахований ніхто
За нашою статистикою, кожен день більше 10 тис. українців отримують повідомлення від шахраїв.
У SMS і поштових розсилках – їх просять, наприклад, взяти участь у підставній акції і наче ненароком повідомити свої персональні дані, зокрема фінансові. Подзвонивши – зловмисники представляються співробітниками банку і випитують логін та пароль від особистого кабінету в онлайн-банкінгу. А на платформах з приватними оголошеннями або в підозрілих інтернет-магазинах – шахраї провокують користувачів внести передоплату за товар, якого не існує.
Від загроз не застрахована жодна людина, яка присутній в цифровому світі. Якщо у вас є облікові записи в онлайн-сервісах, соцмережах, онлайн-банкінгу, отже, ви – потенційна жертва. Вами можуть зацікавитися шахраї. Повністю захистити себе від зламу практично неможливо, але можна мінімізувати ризики.
Ключові правила безпеки
Пам’ятайте, що шахраї намагаються зламати не ваш рахунок або інтернет-гаманець, а вас самих. Популярні онлайн-сервіси зазвичай добре захищені технічно, тому злочинці дедалі частіше звертаються до соціальної інженерії: обманом змушують жертву видати конфіденційну інформацію або заплатити за товар або послугу, яких не існує. Вони розраховують на вашу необачність.
Ось поради, як себе захистити.
1) Підозрювати всіх, хто запитує вашу фінансову інформацію: дані картки, включаючи термін її дії та CVV2-код (тризначний код для підтвердження автентичності вашої карти на її зворотному боці), логін та пароль від інтернет-банкінгу тощо. Варто особливо насторожитися, якщо вам повідомляють про раптовий переказ грошей або виграш у лотерею, а щоб гроші надійшли на ваш рахунок, потрібно «лише» назвати одноразовий код, який ви отримали на телефон. Найкраще відразу перервати розмову, самому подзвонити в банк за номером, який вказаний на офіційному сайті, і з’ясувати деталі.
2) Установіть на картці ліміти на всі операції: від видачі готівки до оплати в інтернеті. Якщо ви найближчими днями не плануєте нічого купувати, сміливо ставте «нуль». Це захистить вас від зловмисників, які, наприклад, зламали базу даних якогось онлайн-сервісу, де зберігалися ваші платіжні дані, і тепер намагаються розплатитися вашою карткою в інтернет-магазинах. Якщо виставлений нульовий ліміт, у них нічого не вийде. А збільшити його самостійно шахраї не зможуть: для цього потрібно дізнатися пароль від вашого інтернет-банкінгу або секретне слово, що набагато складніше, ніж просто дістати дані картки.
3) Платіть онлайн за допомогою інтернет-картки. Більшість сучасних банків дозволяють відкрити віртуальну картку: вона потрібна, щоб не «світити» в інтернеті дані основної картки. На віртуальному рахунку не варто зберігати великі суми, їх можна туди переводити безпосередньо перед покупкою. І навіть якщо інтернет-картку якось зламають, з неї буде нічого красти. А основний рахунок залишається в безпеці.
4) Не платіть в інтернет-магазинах або на онлайн-майданчиках, яким не довіряєте. Якщо магазин викликає у вас навіть найменші сумніви, відмовтеся від онлайн-оплати. Ймовірність нарватися на нечесних продавців дуже висока: ми з 2016 року ведемо публічний чорний список шахрайських сайтів, і там вже більше тисячі назв. Щодня до нашої бази потрапляють нові «учасники» – дізнаємося про них від служб безпеки банків, платіжних сервісів, Кіберполіції, а також наших користувачів через форму «Заявити про інцидент».
На нашому сайті є й білий список – сервіси онлайн-платежів та онлайн-кредитування, в надійності яких ми впевнені. Здебільшого це члени EMA: коли вони вступали до асоціації, ми ретельно перевіряли їхні послуги на відповідність стандартам кібербезпеки.
Захист даних на рівні бізнесу і держави
Загалом я оцінюю ставлення українського бізнесу до безпеки онлайн-платежів на «чотири з плюсом» за п’ятибальною шкалою, ставлення держави – на «чотири з мінусом».
Для бізнесу захист фінансових інтересів своїх клієнтів – це найперше завдання, бо інакше покупці підуть до конкурентів. Мабуть, на українському ринку немає «слабких ланок», у яких відверті проблеми з кібербезпекою. Інциденти трапляються: іноді навіть у великих компаній викрадають бази з даними користувачів. Але або бізнес робить висновки, усуваючи недоліки (наприклад, починає зберігати всі дані в зашифрованому вигляді), – і тоді розвивається далі, або ж ігнорує – і невдовзі просто закривається, тому що люди перестають йому довіряти.
До того ж бізнес змушений виконувати регуляторні вимоги держави з питань захисту персональних даних, фінансової інформації, банківської таємниці. У цьому питанні треба віддати належне державі: у НБУ нульова толерантність до банків і платіжних систем, які недостатньо серйозно ставляться до своїх зобов’язань. Це означає, що Нацбанк нещадно «б’є» за будь-яке порушення.
З іншого боку, в держави є проблема з текстом 200-ї статті Кримінального кодексу, яка оперує терміном «платіжна картка». Там сказано, що за несанкціонований доступ до банківського рахунку і електронних грошей злочинцеві загрожує штраф: за перший злочин – від трьох до п’яти тисяч неоподатковуваних мінімумів доходів громадян, а за повторний – від п’яти до десяти тисяч. Тоді як за загальноєвропейською директивою про кіберзлочинність, за це передбачена в’язниця – від 10 до 15 років.
Зараз у НБУ готують новий проєкт закону про платіжні послуги. Якщо його приймуть, злочинцям загрожуватимуть не штрафи, а тюремні строки до 10 років з конфіскацією майна. Ця та міра покарання, яка повною мірою відображає рівень суспільної небезпеки від незаконних дій із платіжними інструментами.
«Граючи люди можуть поліпшити навички захисту більш ніж від 80 видів інтернет-шахрайства»:
Раїса Федоровська, керівник ЕМА Academy і Школи кібербезпеки Асоціації ЕМА, автор онлайн-гри «здолав Шахрая»
Як «працюють» шахраї
В рамках своїх обов’язків я обробляю заяви потерпілих через форму «Заявити про інцидент» на сайті Асоціації EMA і звіти Кіберполіції Stop Fraud. Завдяки цьому бачу всю «картинку»: як онлайн-шахраї найчастіше обманюють своїх жертв і що призводить до на найнебезпечніших наслідкыв.
Ось топ-5 найпоширеніших злочинних сценаріїв.
Виграш, якого не існує. Один з варіантів цієї схеми – шахраї надсилають повідомлення про те, що ви виграли якийсь цінний приз – наприклад, автомобіль або квартиру. Щоб його отримати, потрібно перейти за посиланням і зареєструватися на сайті, а потім – сплатити нібито податок 1% від вартості призу. Якщо наївна жертва це зробить, далі її попросять оплатити «послуги нотаріуса», «мокрі печатки», «дорожній збір», «комісію банку» – і так до нескінченності.
Виплата компенсації. Наприклад, вам пишуть від імені так званого «Офіційного фонду захисту персональних даних»: нібито ваші персональні дані скомпрометовані, і вам тепер виплатять компенсацію. Для цього потрібно надати номер вашої банківської картки і SSN – номер соціального страхування в США. Звісно, SSN у вас немає, а щоб оформити тимчасовий, потрібно заплатити лише $9,32 – звісно, в кишеню шахраям.
Шахрайство з платними опитуваннями. Можливий сценарій: від імені банку зловмнисники запрошують вас взяти участь в онлайн-опитуванні – наприклад, оцінці задоволеності послугами. За це обіцяють гонорар – 500 грн. Ви переходите за посиланням і потрапляєте на сайт-клон банку, де під виглядом реєстрації в системі зловмисники просять ввести логін і пароль від онлайн-банкінгу, а також код з SMS.
Небезпечна покупка. У фальшивому інтернет-магазині або на сайті з оголошеннями вам пропонують купити останній iPhone в три-чотири рази дешевше. Можна підозрювати одне з двох: або це не iPhone останньої моделі, або його взагалі не існує. В обох випадках ви втратите гроші, якщо зробите передоплату: купите не той товар, на який очікували, чи просто заплатите і не отримаєте нічого.
Викуп за «вигнання» вірусу. Ви відкриваєте вкладені файли в електронних листах від незнайомців, завантажуєте безкоштовну гру або фільм на сайті з піратським контентом – і на ваш комп’ютер потрапляють шкідливі програми. Вони блокують пристрій або окремі файли. Для розшифровки злочинці вимагають заплатити викуп.
Найстрашніше – викрадення SIM-карти
Найнебезпечніші сценарії пов’язані з викраденням SIM-карти. Адже до мобільного номера зазвичай «прив’язані» онлайн-банкінг, облікові записи в соцмережах і месенджерах, особисті кабінети в онлайн-сервісах.
Більшість людей ніколи не користувалися онлайн-кабінетом на сайті свого мобільного оператора – але ці кабінети є в усіх. Саме там можна віддалено перевипустити SIM-карту. А щоб туди зайти, достатньо виманити у вас пароль, який приходить у SMS.
Назватися співробітником мобільного оператора, придумати привід, переконати людину назвати код з SMS – це справа техніки. Після цього шахрай зможе перевипустити SIM-карту і користуватися вашим мобільним номером. Це означає, що він може дуже просто вивести гроші з банківських рахунків, оформити кредити на ваше ім’я, вкрасти приватну інформацію.
Ще одна оригінальна схема, на яку ведуться навіть просунуті користувачі, зокрема самі співробітники банків, – коли у вас у телефонній розмові запитують дані карти і просять набрати їх у тоновому режимі. Насправді це не якась «нова супербезпечна технологія», а звичайний обман.
Якщо ви стали жертвою шахраїв, я рекомендую написати заяву до Кіберполіції. Це можна зробити онлайн. Якщо правоохоронці знайдуть злочинців, у вас є шанс отримати компенсацію.
Гра вчить розпізнавати схеми
Єдиний ефективний метод боротьби із соціальною інженерією – просвіта громадян. Але вчити людей, які не хочуть і не розуміють, навіщо їм це робити, – складно. Тому у нас виникла ідея – вчити їх, як роблять це з дітьми, тобто ненав’язливо, в ігровій формі. Так ми в EMA вирішили створити онлайн-гру з імітацією шахрайства – «Здолай шахрая».
У січні 2020 року ми отримали грант від проекту USAID «Трансформація фінансового сектору» і почали розробку. Спільно з креативщиком і дизайнером Papacarloworks Артемом Денисовим розробили 56 сценаріїв шахрайства – включаючи описані вище і багато інших. Під час гри вам треба битися з кожним із злочинців – у результаті можна поліпшити свої навички з кібербезпеки і захисту від більш ніж 80 видів платіжного шахрайства.
Запустили гру в кінці серпня. За перший місяць до нас приєдналися близько 31 тис. гравців. У середньому один користувач перемагає шість шахраїв, більше 1,2 тис. учасників впоралися з усіма. Найскладнішим у проходженні «босом» виявився «Продавайло», на якого можна натрапити на онлайн-майданчиках з оголошеннями.
Банери й публікації про «Здолай шахрая» розмістили вже 16 банків та фінансових компаній, а також понад 100 популярних сайтів, зокрема YouTube і OLX.
Окрім гри, підвищити свій рівень знань про шахрайство у сфері онлайн-платежів можна в нашій «Школі кібербезпеки», на інформаційному ресурсі #ШахрайГудбай, а також у Facebook-групах Ukrainian Interbank Payment Systems Member Association «EMA» та Financial Literacy Ukraine.
«Ніколи не переходьте за посиланнями, отриманими від третіх осіб»:
Галина Козирєва, Chief Product Officer платіжного сервісу UAPAY – фінансового партнера OLX Доставка
Захист платіжної інфраструктури
Одна з найпопулярніших шахрайських схем, яка зазвичай «процвітає» на майданчиках з оголошеннями на кшталт OLX: нечесний продавець виманює в покупця повну або часткову передоплату за товар, а потім зникає.
Щоб такого не відбувалося, потрібна третя сторона, яка виступить поручителем і для покупця, і для продавця. Тобто перший до початку виконання угоди передає гроші третій стороні на зберігання, а другий – не отримує їх, допоки не виконає всі умови угоди зі свого боку. Таким чином, покупець може бути впевнений, що його гроші не пропадуть.
Саме так працює послуга OLX Доставка, а UAPAY виступає її фінансовим партнером: забезпечує переказ грошей з картки на картку, їхнє зберігання, а також технічний супровід всього процесу.
Кіберзлочинцям не під силу зламати платіжну інфраструктуру UAPAY: вона відповідає всім вимогам міжнародного стандарту PCI DSS 3.2. Це сучасний стандарт безпеки, який використовують Visa і MasterCard. У ньому шість областей контролю і 12 основних вимог до платежів – такого рівня захисту достатньо, щоб вони вважалися абсолютно безпечними.
Як провайдер першого рівня (понад 300 тисяч транзакцій на рік), ми проходимо щорічний аудит на відповідність вимогам стандарту і підтверджуємо його відповідним сертифікатом.
Чого боятися на онлайн-платформах з оголошеннями
Завдяки OLX Доставка став неможливим обман за сценарієм «гроші за товар заплатив, але нічого не отримав».
Але шахраї не здаються і роблять ставку на соціальну інженерію: переконують жертву перевести спілкування з особистого кабінету OLX у сторонній месенджер – Viber, Telegram, WhatsApp тощо. Потім надсилають у месенджері посилання нібито на послугу OLX Доставка, а насправді – на фішинговий сайт, який зовні дуже схожий на сайт платформи. Відмінності полягають тільки в написанні доменного імені: наприклад, 0lx.delivery.ua замість olx.ua. Якщо жертва не помітить або не зрозуміє, що це обман, і проведе оплату на цій шахрайської сторінці, то втратить свої гроші.
Це ще не все. Нещодавно стався такий випадок: покупець зацікавився оголошенням про продаж ігрової приставки за досить низькою ціною. Продавець погоджувався здійснити угоду тільки через OLX Доставка. Товар оплатили, однак через кілька хвилин продавець усе скасував – і гроші повернулися на карту покупця. Але потім користувач написав клієнту, що на платформі нібито стався збій, і надіслав посилання в особистому кабінеті на повторне оформлення покупки, яке вела вже на фішингову сторінку. Ні про що не підозрюючи, покупець перейшов на цей сайт і, на жаль, залишився без грошей.
Щоб не потрапити на гачок злочинців, слід запам’ятати одне головне правило – за жодних умов не переходьте за посиланнями, отриманими від третіх осіб. Усі операції з підтвердження покупки і проведення оплати повинні проводитися виключно на сайті OLX.ua. До слова, це правило працює і для покупок на інших онлайн-майданчиках.
Звертайте увагу на те, як давно продавець зареєстрований на онлайн-платформі, чи є про нього відгуки і який його рейтинг, чи не продає він товар за заниженою ціною. Водночас є товари, працездатність і справжність яких дуже складно перевірити в поштовому відділенні. Наприклад, відеокарта або материнська плата може виявитися бракованою (у такому випадку варто запитувати додаткові фото/відеоматеріали товару, сертифікати або інші документи, які підтверджують якість – ред.).
Крім цього, шахраї люблять надсилати фальшивий або неробочий товар у блістерній упаковці. Річ у тім, що у відділенні Нова пошта під час отримання товару таку упаковку розкривати не можна, а всередину шахраї вкладають зовсім не те, на що розраховував покупець. Тому якщо у вас є сумніви у чесності продавця, від покупки краще відмовитися.
Як гарантують безпеку платежів
Зі свого боку ми намагаємося додатково захистити покупців на всіх маркетплейсах і онлайн-майданчиках, з якими ми працюємо: наприклад, запровадили інтелектуальний алгоритм, який не дозволяє користувачеві два рази поспіль оплатити одну одиницю товару.
Іноді у користувачів OLX виникає запитання, чому під час оплати у них не запитують дату випуску карти або її CVV2-код. Річ у тім, що в кожній транзакції, крім фінансового оператора, бере участь банк-емітент, який випустив платіжну карту покупцеві, і банк-еквайєр, в якому відкритий розрахунковий рахунок продавця.
Коли ви оплачуєте будь-який продукт онлайн, перед усіма учасниками транзакції стоїть завдання забезпечити безпеку платежу, одночасно зробивши цю процедуру максимально простою і швидкою для користувачів. Для цього кожен банк-емітент використовує свій особливий алгоритм, який дозволяє дізнатися, хто виконує платіж – власник рахунку або стороння особа. І якщо він впевнений, що це перший, то немає сенсу робити додаткові кроки з перевірки особистості. Відповідно, банк не вимагає вводити CVV2-код – оскільки застосовуються інші способи аутентифікації й підтвердження платежу.
Текст: Валентина Шимкович
