Про кампанію #ШахрайГудбай
#ШахрайГудбай – це інформаційна кампанія, мета якої – навчити українців правилам безпеки безготівкових та онлайн-платежів.
У світі понад половина карткових шахрайств відносяться до соціальної інженерії: люди самі переказують гроші шахраям або розкривають їм дані своїх карток. Виклик для центральних банків усіх країн у період карантину та масового переходу в онлайн – убезпечити людей від таких випадків.
Проєкт #ШахрайГудбай, організатором якого є Національний банк України та Департамент Кіберполіції Національної поліції України, об’єднав навколо інформаційної кампанії понад 70 партнерів – це банки, платіжні системи, мобільні оператори, асоціації, мережі магазинів, маркетплейси, АЗС, громадська організація, комунальні підприємства, державні установи. Ми заручилися підтримкою партнерів, щоб спільними зусиллями розповісти про основні правила платіжної безпеки якомога більшій аудиторії.
Платіжна безпека: основні поради
Не розголошуйте всі реквізити платіжної картки та контролюйте рух коштів на рахунку
Банк по телефону може запитати перші 6 та останні 4 цифри платіжної картки.
Для отримання платежу на картку достатньо повідомити лише16-значний номер картки.
- Тримайте в секреті три цифри на звороті картки (CVV/CVC код), коди (одноразові паролі) банків та мобільних операторів, пін-код до картки.
- Підключіть смс-інформування стосовно операцій з платіжною карткою.
- Установіть індивідуальні ліміти на операції з вашою платіжною карткою.
- Використовуйте віртуальну картку для розрахунків в Інтернет. Перераховуйте необхідну суму з основної картки на віртуальну перед здійсненням покупки. Віртуальну картку також можливо додати і до гаманців Apple Pay, Google Pay.
Не переходьте за посиланнями від незнайомців!
Шахраї розсилають шкідливі посилання в месенджери, смс, e-mail для зараження пристроїв вірусом, викрадення персональних даних, секретних карткових реквізитів, для переходу на фішингові або інші шахрайські ресурси.
Отримали посилання від друга – не поспішайте на нього клікати.
Шахраї могли отримати доступ до акаунта друга. Спершу зателефонуйте другу
та запитайте, чи справді посилання від нього.
https://promo.bank.gov.ua/stopfraud/#:~:text=%D0%9D%D0%B5%20%D0%B2%D0%B2%D0%BE%D0%B4%D1%8C%D1%82%D0%B5%20%D1%80%D0%B5%D0%BA%D0%B2%D1%96%D0%B7%D0%B8%D1%82%D1%96%D0%B2,800%20505%20170.
Захистіть свої акаунти двічі:
1. Створіть складний пароль до електронної пошти, соціальних мереж та інтернет-банкінгу.
Складний пароль може містити:
- 8 і більше символів,
- Великі та малі літери,
- Цифри та спеціальні знаки/символи.
Створюйте унікальний пароль для кожного інтернет-банкінгу, електронної пошти, соціальних мереж тощо.
Під час створення пароля не використовуйте:
- особисту персональну інформацію (дата народження, адреса, номер телефону тощо);
- загальновідомі комбінації паролів (наприклад, Qwerty12, Password123456, Admin1234 тощо);
- послідовне/зворотне написання символів або цифр.
2. Установіть багатофакторну автентифікацію.
Багатофакторна автентифікація – це, коли для входу до акаунта, крім логіна та пароля, потрібно ввести код підтвердження, що приходить на смартфон, електронну скриньку або у відповідний додаток. Налаштування багатофакторної автентифікації на прикладі інстаграму за посиланням.
Надійно зберігайте та не розголошуйте свій пін-код!
Змінюйте пін-код до картки:
- регулярно: 1 раз на 3 місяці,
- ситуативно: якщо виникла підозра, що ще хтось його може знати.
ПОШИРЕНІ СХЕМИ ШАХРАЙСТВА
Злам акаунтів у соціальних мережах
Шахраї зламують облікові записи в соціальних мережах та месенджерах (фейсбук, інстаграм, телеграм). Для цього поширюють фішингові посилання, наприклад, під виглядом пропозицій взяти участь у голосуванні, конкурсі, пропозицій роботи в інтернеті тощо. Перейшовши за посиланнями, громадяни вводять логіни та паролі від своїх акаунтів у соціальних мережах/месенджерах, які автоматично стають відомі шахраям.
Далі шахраї від імені власника акаунта розсилають підписникам однакові повідомлення такого змісту:
"Привіт! Позич, будь ласка, гроші до завтра! Дуже треба!".
Суму шахраї зазначають різну, вказують номери своїх карток ів такий спосіб привласнюють кошти осіб, які погоджуються їх позичити.
Запитайте у друга те, що можете знати тільки він та ви. Таке запитання одразу викриє шахрая.
СМС від шахраїв від імені банку
Шахраї надсилають смс-повідомлення від імені банку про те, що з рахунка громадянина намагаються переказати кошти. Якщо переказ особа не здійснювала, потрібно зателефонувати "псевдобанку" за номером, зазначеним в смс, або перейти за посиланням.
Якщо особа переходить за посиланням, то потрапляє на шахрайський сайт, де під виглядом блокування шахрайської трансакції й автоматичного повернення грошей пропонується ввести:
- номер телефону;
- пароль до інтернет-банкінгу;
- всі реквізити карти;
- смс-код (код підтвердження проведення операції).
Якщо особа телефонує за зазначеним у смс номером телефону, шахрай веде жертву на цей самий шахрайський сайт, де схиляє ввести вищезазначені дані.
Шахрайство під виглядом соціальних виплат
Шахраї привласнюють гроші під виглядом надання виплат українцям, які постраждали від війни. Для цього роблять смс-розсилання та розсилання в месенджерах про нарахування соціальних виплат, зокрема єПідтримки, допомоги від ЄС, представників ООН, Червоного Хреста, різних програм благодійних фондів. У розсиланнях шахраї пропонують перейти за посиланням для зарахування коштів просять ввести мобільний номер телефону, пін-код, пароль до інтернет-банкінгу, смс-код від банку. Також зловмисники створюють шахрайські сайти, схожі на справжні сайти державних органів, міжнародних організацій, банків та благодійних фондів. Громадяни переходять за посиланням, бачать сайт, схожий на справжню сторінку відповідної організації, вводять усі дані, що автоматично стають відомі шахраям.
Отримуйте інформацію лише з офіційних джерел!
Якщо оформлювали соціальну допомогу, очікуйте сповіщення про нарахування в застосунку вашого банку або на порталі чи застосунку Дія.
Телефонне шахрайство
Телефонне шахрайство – це вид шахрайства, коли шахрай телефонує і переконує жертву повідомити особисту, фінансову чи конфіденційну інформацію або переказати гроші.
Що потрібно шахраю?
- Реквізити платіжної картки.
- Паролі, коди банків та мобільних операторів.
- Кодові слова.
- Зняти ліміти з картки жертви.
- Переконати жертву здійснити переказ коштів на свою користь.
Шахрай може назватися будь-ким!
- Працівником банку.
- Працівником НБУ, Пенсійного фонду, Фіскальної служби.
- Працівником поліції.
- Працівником комунальних служб.
- Працівником мобільного оператора.
- Покупцем вашого товару тощо.
Що робити?
Якщо телефонує працівник банку, скажіть, що ви зараз перетелефонуєте самостійно на офіційний номер банку, який вказаний на платіжній картці.
Припиніть розмову, якщо...
- запитують термін дії картки, тризначний номер на звороті картки, паролі, коди банків та мобільних операторів;
- керують у телефонній розмові вашими діями (просять зробити трансакцію, встановити програму на ваш пристрій);
- просять сфотографувати та переслати/надати фото платіжної картки;
- лякають, що ваша картка заблокована, а злочинці зламали рахунок;
- просять перейти за посиланням та зазначити всі персональні дані та реквізити платіжної картки.
Випадково повідомили шахраю реквізити картки та паролі?
- Негайно заблокуйте картку. Якщо ви випадково повідомили шахраю пароль до інтернет-банкінгу, негайно заблокуйте картки, рахунки та доступ до інтернет-банкінгу.
(Телефонуйте на гарячу лінію банку, вказану на звороті картки або через інтернет-банкінг)
- Зверніться до Кіберполіції онлайн
(за посиланням ticket.cyberpolice.gov.ua)
Поширені сценарії телефонного шахрайства
Шахраї телефонують та представляються працівниками служби безпеки банку та виманюють у громадян конфіденційну інформацію
про їхні картки та рахунки, що потім дає можливість привласнити кошти громадян.
Під час таких телефонних розмов шахрай може:
Варіант 1
Запевняти, що до рахунків громадянина отримали доступ сторонні особи.
Надалі шахрай випитує фінансові дані нібито для запобігання шахрайству,
однак, отримавши ці відомості, привласнює гроші;
Варіант 2
Просити громадянина надати інформацію про картки та рахунки через планову
перевірку даних у зв’язкуз війною; отримавши ці відомості, привласнює гроші;
Варіант 3
Повідомляти про кібератаку на ІТ-систему банку та просити перерахувати гроші
на тимчасовий безпечний рахунок, який насправді є рахунком шахрая;
Варіант 4
Просити встановити програму віддаленого доступу для посилення заходів безпеки. Якщо громадянин виконує вказівки, шахрай отримує віддалено доступ до його онлайн-банкінгу та від імені громадянина перераховує кошти на інший рахунок.
Шахрайство з використанням технології спуфінг
Спуфінг – це технологія, коли шахраї маскуються під офіційне надійне джерело (наприклад, банк, державну установу тощо) для отримання доступу до конфіденційних даних, що дає змогу потім викрасти кошти.
Спуфінг може бути реалізований через електронні повідомлення, смс-повідомлення, телефонні дзвінки тощо. Тобто людині телефонує чи пише шахрай, а на екрані смартфона відображається український номер банку, мобільного оператора, пенсійного фонду, податкової, поліції тощо.
Телефонні дзвінки від імені банків з використанням технології спуфінг.
Шахраї використовують спуфінг для підміни номера телефону, щоб імітувати дзвінки від банків. Роботизований голос під різними приводами повідомляє про необхідність надання банківських конфіденційних даних фейковому працівникові банку. Отримавши ці відомості, зловмисники привласнюють кошти.
Смс-повідомлення від імені банків з використанням технології спуфінг.
Шахраї використовують спуфінг для підміни номера телефону, щоб імітувати смс від банків. В таких ситуаціях смс-повідомлення від шахрая "підтягується" до ланцюжка листування з банком, тобто під час перегляду смс-повідомлення від шахрая можна бачити також попередні повідомлення від банку.
Фінансовий номер
Фінансовий номер телефону – це номер, прив’язаний до банківських рахунків.
На цей номер надходять:
- коди підтвердження операцій,
- паролі від банків,
- інформація про баланс коштів на рахунках.
Фінансовий номер потрібен для:
використання послуги інтернет-банкінгу та для віддаленої ідентифікації клієнта під час звернення до банку.
Як шахраї можуть скористатися фінансовим номером телефону?
Викрасти гроші з рахунків, придбати товари у звичайному магазині, на інтернет-сайтах або ж взяти онлайн-кредити!
Як шахраю це вдається?
Шахрай телефонує та представляється працівником мобільного оператора.
Під різними приводами випитує в абонента смс-код від мобільного оператора,
що дає шахраю змогу перевипустити віддалено сім-картку.
Щоб випитати смс-код, шахрай може:
- запропонувати перейти на нові поліпшені стандарти зв’язку;
- повідомляти, що сім-картка абонента не приймає дзвінки, тому необхідно перейти на е-сім (електронну сім-картку) тощо.
Що робити?
- Завести для спілкування з банком окрему сім-картку та не розголошувати свій фінансовий номер телефону.
Не "прив’язуйте" фінансовий номер телефону до соціальних мереж, месенджерів та не використовуйте для авторизації в інших системах.
Не залишайте фінансовий номер в якості контактного номеру в анкетних даних та не використовуйте для щоденного спілкування.
- "Прив’язати" фінансовий номер телефону до своїх паспортних даних або перейти на контракт з мобільним оператором.
- Відключити послугу віддаленої заміни сім-карти у свого мобільного оператора.
- Зареєструватися в онлайн-кабінеті мобільного оператора.
- Установити пін-код на сім-карту зі складним восьмизначним паролем та пароль блокування телефона.
Тримати в секреті
- логін на пароль до онлайн-кабінету мобільного оператора,
- смс-коди операторів,
- PUK-код та серійний номер сім-картки.
PUK 1 та серійний номер є на пластику від вашої старої сім-картки.
Також PUK-код можна дізнатися в особистому кабінеті на сайті мобільного оператора або зателефонувавши на “гарячу лініюˮ мобільного оператора.
Сім-карта перестала працювати, що робити?
Якщо сім-карта перестала працювати, велика ймовірність, що шахраї злочинними діями здійснили перевипуск вашої сім-картки.
Перше, що потрібно зробити, захистити свої рахунки, картки та облікові записи
до яких прив’язаний номер телефону. Як діяти?
1. Негайно заблокувати картки, рахунки та доступ до інтернет-банкінгу, зателефонувавши до банку за номером, який зазначено на звороті картки.
2. Зателефонувати до мобільного оператора, пояснити ситуацію та просити заблокувати обидві сім-картки (стару та нову) до з’ясування всіх обставин.
3. Заблокувати доступи до всіх рахунків, облікових записів та персональних кабінетів до яких прив’язаний вкрадений номер телефону.
Безпечний онлайн-шопінг
Купувати онлайн зручно, але щоб покупки були безпечними, застерігаємо вас від шахрайства! Шахрай може замаскуватися як продавцем, так і покупцем.
Ознаки шахраїв в онлайн-торгівлі
Псевдопродавець:
- пропонує занадто занижену вартість товару;
- не погоджується на покупку з післяплатою або просить перерахувати часткову оплату на картку;
- поспішає з оплатою товару;
- надсилає договір поставки замовленого товару, щоб викликати довіру;
- переводить спілкування з особистого кабінету на сайті дошки оголошень
у месенджер; - надсилає скорочені посилання нібито на сайт для оформлення послуги;
- просить вас зняти ліміт з картки для проведення оплати, адже йому
про це надійшло сповіщення від банку; - попереджає, що зараз вам надійде смс-повідомлення для підтвердження замовлення, оформлення послуги чи оплати товару.
Пам’ятайте! Шахраї можуть створювати ілюзію роботи справжнього магазину:
- швидко відповідати на повідомлення;
- допомагати підібрати розмір;
- консультувати з приводу характеристик товару;
- обіцяти швидку доставку.
Схема шахрайства в інстаграмі
Шахраї після отримання передоплати за неіснуючий товар намагаються привласнити всі кошти з рахунку покупця.
Приклад такої ситуації:
покупець знаходить магазин одягу в інстаграмі, обирає необхідний товар, консультується та домовляється про доставку та оплату. Після того, як покупець оплачує товар, через певний час шахраї повідомляють, що виявляється, що товару необхідного розміру немає, тому вони повернуть кошти. Щоб повернути кошти, повідомляють покупцю про необхідність авторизуватися на сайті інтернет магазину та ввести всі реквізити своєї картки. В такий спосіб шахраї не лише крадуть гроші за товар, який не надсилають, а й привласнюють гроші з картки покупця.
Купуєте в інтернеті – надавайте перевагу післяплаті!
Схема шахрайства на торговельному онлайн-майданчику
Шахрай шукає оголошення на онлайн-платформі OLX, пише продавцю в месенджер (вайбер, телеграм, WhatsApp).
Далі аферист погоджується купити товар, каже, що оформив покупку за допомогою OLX-доставки і для отримання коштів продавцю потрібно перейти за індивідуальним посиланням і зазначити дані своєї карти, щоб продавець міг нібито отримати оплату на картку.
Продавець переходить за посиланням, вводить усі реквізити картки.
Шахрай випитує у продавця залишок коштів на картці та смс-код від банку. Отримавши інформацію, привласнює кошти з рахунків.
Щоб ввести в оману продавців, шахраї створюють шахрайські сайти, які візуально схожі на справжній сайт OLX. На таких підроблених сторінках "від OLX" також може бути форма спілкування в чаті, яка нічого спільного з реальною підтримкою OLX не має.
Обговорюйте деталі угоди виключно в чаті торговельного майданчика або використовуючи його додаток!
Лайфхаки безпечних онлайн-покупок
Користуйтеся віртуальною карткою для покупок онлайн!
Перераховуйте на неї тільки ту суму, яка необхідна для покупки.
Перевірте продавця/покупця на сервісі Кіберполіції "STOP FRAUD" або перевірте сайт, послугами якого збираєтесь скористатися, на наявність в списку шахрайських сайтів через сервіс Асоціації "ЄМА" CheckMyLink.
Тримайте в секреті
- тризначний номер на звороті картки,
- коди банків та мобільних операторів,
- паролі до інтернет-банкінгу.
Онлайн-покупки в інтернет-магазинах в інстаграмі!
Пам’ятайте, коли ви купуєте в інстаграмі чи на не спеціалізованих торговельних майданчиках, завжди є ризик зіштовхнутися з шахраями.
Купуйте на перевірених сайтах та майданчиках, призначених для онлайн-покупок.
Якщо ви все ж таки обираєте для покупки інтернет-магазини в інстаграмі, уважно проаналізуйте сторінку інтернет-магазину. Для цього:
ПЕРЕВІРТЕ дати опублікування дописів на сторінці
Шахраї часто публікують багато дописів за кілька днів, аби створити враження, що магазин давно працює.
ПЕРЕВІРТЕ інформацію про акаунт:
для цього натисніть на три крапки у верхньому куті профіля та натисніть "About this account".
Зверніть увагу на:
- дату приєднання (шахрайські сторінки зазвичай створені недавно та швидко видаляються);
- розташування акаунта;
- зміну імені акаунта. Перейменування акаунта може бути ознакою діяльності шахраїв під різними назвами або викрадення шахраями акаунта.
ВАЖЛИВО! Це лише ознаки сторінок шахрайських інтернет-магазинів в інстраграмі! Деякі шахрайські магазини можуть добре приховувати свою діяльність та мати велику історію публікацій.