Карткове шахрайство: як крадіям вдається знімати кошти з рахунків і як запобігти втратам

Порівняно з 2023 роком у 2024 році кількість незаконних дій та шахрайських операцій з використанням платіжних карток, за якими були понесені збитки, знизилась на 2 тис. операцій (або на 1%) – до 270 тис. операцій протягом минулого року. Такі дані оприлюднив Національний банк України. Де та як в українців злочинці крадуть гроші і чи можна запобігти фінансовим втратам, з’ясовував Фокус.

Менше шахрайства: що впливало на динаміку карткових махінацій

За даними НБУ, на один мільйон видаткових операцій із платіжними картками припадала 31 шахрайська операція. Відносна кількість шахрайських операцій зменшилася на 8% завдяки зростанню загальної кількості видаткових операцій, кажуть в Нацбанку. Сума збитків від незаконних дій та шахрайських операцій з використанням платіжних карток за 2024 рік зросла на 37% до 1,1 млрд гривень. А середня сума однієї незаконної операції зросла на 39% порівняно з 2023 роком до 4 247 грн.

Важливо Вашу картку заблоковано. Коли банк зупиняє доступ до рахунку і як його поновити

«Кількість випадків незаконних дій із використанням платіжних карток, за якими були завдані збитки, зменшилася. Це позитивний сигнал, що відображає спільні зусилля банків, регулятора та правоохоронних органів. Водночас сума збитків від цих операцій суттєво зросла, що свідчить про зміну характеру загроз та вимагає від нас усіх постійної пильності та адаптації», - зазначає у коментарі Фокусу Анна Довгальська, заступниця голови правління Глобус Банку.

Позитивну динаміку щодо кількості шахрайських операцій зумовили кілька факторів, каже Катерина Мащенко, головний експерт з питань інформаційної безпеки Райффайзен Банку, - це системна робота банківського сектору, державних органів та зростання обізнаності клієнтів.

Важливо Позбавлення волі та конфіскація майна: як насправді карають за карткове шахрайство

Експерти кажуть і про те, що банки вдосконалюють власні системи боротьби з шахрайством, вчасно виявляючи підозрілі транзакції та блокуючи їх. «Водночас значну роль відіграє просвітницька діяльність. Свою роль відіграє й оперативний обмін інформацією між банками, кіберполіцією та регулятором, що дозволяє швидко реагувати на нові загрози», - зауважила Катерина Мащенко.

Вадим Гаврилюк, начальник Управління безпеки UnexBank, вважає, що українці стали краще орієнтуватися у фінансовій безпеці. «З початку війни ми разом з іншими банками, фінансовими компаніями та Національним банком України активніше почали навчати, як розпізнавати шахрайство й убезпечити себе. По-друге, ми вдосконалили системи захисту: ввели додаткові рівні захисту, встановили ліміти на суми переказів, запровадили розумні алгоритми для виявлення підозрілої активності. Усе це ускладнило життя зловмисникам. Також клієнти стали уважнішими, а фішингові атаки менш масовими — завдяки зусиллям самих користувачів, а також активній модерації з боку платформ і соцмереж», - каже експерт.

В усьому винен Інтернет: які операції для крадіжки грошей найчастіше використовують злочинці

За даними НБУ, більшість шахрайських випадків відбулися в Інтернеті: 83% від загальної кількості випадків шахрайських операцій. За сумою збитків до місця проведення шахрайської операції у 2024 році також зросла частка шахрайських операцій через Інтернет – до 93% (у 2023 році було 86%). 

Катерина Мащенко зазначає: основа шахрайських схем залишається незмінною — соціальна інженерія, метою якої є отримання автентифікаційних даних (логінів, паролів, одноразових паролів, ПІН-кодів тощо) та реквізитів картки (номер, строк дії, CVV).

«Трапляються також шахрайські схеми, за якими зловмисники обманним шляхом змушують клієнта встановити інструменти дистанційного керування пристроєм або перевипускають SIM-карту фінансового номера. Уже маючи такий доступ, вони ініціюють шахрайські транзакції. На щастя, такі схеми наразі є «екзотичними» — ми стикаємося з ними нечасто. Але дійсно: транзакції, ініційовані в такий спосіб, дуже складно виявити та попередити», - каже Катерина Мащенко.

Експерти розповіли, що найпоширенішою схемою злочинців є використання фішингових сайтів. «Найскладніше відрізнити фішингові сайти від справжніх та дзвінки від «служби безпеки банку», які звучать переконливо», - каже Ярослав Захарченко, начальник сектору безпеки банківських карток та протидії шахрайським операціям ОТП Банку.

Важливо Експерти розкрили, який PIN-код не можна ставити на смартфон: що станеться

За словами Вадима Гаврилюка, найчастіше шахраї створюють фейкові сайти або надсилають підроблені листи, sms чи повідомлення в месенджерах нібито від імені банків, держустанов чи популярних сервісів. Мета — змусити людину перейти за посиланням і самостійно ввести дані своєї картки, CVV-код або одноразовий пароль. Також активно використовуються фейкові інтернет-магазини або оголошення про «вигідні» акції та розпродажі — зібравши платіжні дані покупця, шахраї просто знімають гроші з рахунку.

Проте актуальним засобом вкрасти кошти з рахунку залишається соціальна інженерія, коли злочинці телефонують людині, видаючи себе за працівника банку. «Шахраї під виглядом «захисту від несанкціонованої операції» вмовляють розкрити конфіденційну інформацію. Найскладніше помітити саме такі атаки, бо вони апелюють до емоцій — страху, терміновості, довіри до «банку». Людина може бути впевнена, що рятує свої кошти, і не помітити, як передає контроль над рахунком», - зазначає Вадим Гаврилюк. І додає: є ще шахрайство через онлайн-оголошення, коли користувач продає щось на інтернет-платформах, шахраї можуть під виглядом «покупців» надіслати фейкове посилання на «отримання коштів» — і так виманити дані картки.

У Глобус Банку на прохання Фокусу перелічили найпоширеніші шахрайські схеми:

• Фішинг (Phishing): шахраї створюють підроблені вебсайти, які імітують офіційні ресурси банків, державних установ (наприклад, для виплати допомоги), популярних онлайн-магазинів, платіжних систем або поштових служб. Розсилають електронні листи, SMS-повідомлення, повідомлення у месенджерах з посиланнями на фейкові сайти. Мета – виманити повні реквізити платіжних карток (номер картки, термін дії, CVV-код), коди підтвердження з SMS, логіни та паролі для входу до інтернет-банкінгу.
• Вішинг (голосовий фішинг): Дзвінки від імені банків чи інших організацій (правоохоронних органів, соціальних служб, державних установ) із вимогою надати дані картки чи коди підтвердження під вигаданим приводом "блокування рахунку", "підозрілої активності" чи "отримання виплати".
• Квішинг (QR-код фішинг): відносно нова форма фішингу, що використовує підроблені QR-коди для перенаправлення жертв на шкідливі сайти. Такі коди можуть розміщуватися в публічних місцях, на платіжних терміналах або розсилатися у повідомленнях.
• Цифровий скімінг (Digital Skimming): шахраї вставляють шкідливий код (веб-скімери) на сайти електронної комерції, що дозволяє викрадати дані карток під час введення на платіжних сторінках. Ці атаки часто спрямовані на сайти продавців через вразливості платформ або сторонніх ресурсів (supply-chain attacks).
• Інвестиційні шахрайства, BEC та романтичні афери: шахраї використовують криптовалюти, підроблені додатки та рекламу, створену за допомогою ШІ, для залучення жертв у фейкові інвестиційні проєкти, компрометацію ділової переписки (Business Email Compromise, BEC) або романтичні афери з метою виманювання коштів.
• Перехоплення акаунтів (Account Takeover, ATO): злочинці отримують доступ до банківських, email чи соціальних акаунтів через торгівлю вкраденими даними на темній мережі.

За даними НБУ, лише 17% шахрайських операцій минулого року відбулось через фізичні пристрої (торговельна мережа, банкомати, пристрої самообслуговування). Отже, найпоширенішими засобами вкрасти гроші для шахраїв залишаються Інтернет, месенджери і соцмережі. «Схеми зі скімінгом чи виготовленням дублікатів карток практично зникли з українського ринку завдяки переходу на чипові картки та активній протидії банків. Більшість шахрайських операцій у фізичних каналах — це наслідок втрати або крадіжки платіжної картки», - каже Катерина Мащенко.

Які поради дають фахівці, аби власники карт не втратили гроші через шахрайство

«Банки, разом із Національним банком України, продовжуємо активно працювати над інформуванням клієнтів та впровадженням нових стандартів безпеки, таких як PSD3 та PCI DSS. Але варто пам'ятати: пильність клієнта – це найефективніший інструмент захисту. Уважність, двофакторна автентифікація, ретельна перевірка пристроїв та уникнення розголошення конфіденційних даних. Своєчасне реагування банків на нетипові операції є ключовим фактором у зменшенні збитків, але успіх залежить від нашої спільної, злагодженої співпраці», - зауважила Анна Довгальська.

Важливо Відмова від готівки: чому українці відкривають більше платіжних карток

Євген Грубий, начальник управління розвитку карткового бізнесу та перехресних продажів ОТП Банку, наголошує: навіть ті, хто добре знає правила безпечних онлайн-розрахунків, іноді свідомо їх ігнорує – заради зручності. «Зберігають дані картки в браузері, переходять за посиланнями з SMS, не перевіряють адресу сайту… Усе це здається дрібницями, поки не стає причиною втрати грошей. Шахраї цим користуються. Вони розраховують не лише на необізнаність, а й на людську звичку «робити швидко». Саме тому важливо не просто знати правила, а й дотримуватись їх щодня», - каже експерт.

Вадим Гаврилюк у коментарі Фокусу зазначає: щоб убезпечити свої кошти на банківському рахунку, клієнтам варто перш за все уважно ставитися до своїх особистих даних — ніколи не передавати PIN-коди, паролі, коди з SMS або одноразові паролі нікому, навіть якщо це нібито співробітник банку. «Важливо регулярно перевіряти свої рахунки та операції через мобільний додаток або інтернет-банкінг, щоб одразу помітити будь-які підозрілі транзакції. Також варто користуватися всіма доступними засобами безпеки, які пропонує банк: активувати багатофакторну автентифікацію, налаштовувати сповіщення про операції, швидко блокувати картки у разі втрати або підозри на шахрайство. Не слід встановлювати банківські додатки на пристрої, які не захищені паролем або біометрією, а також уникати підключення до відкритих Wi-Fi мереж під час фінансових операцій», - розповів Вадим Гаврилюк.

На його думку, варто бути обережними з посиланнями та додатками, які надходять у повідомленнях або електронній пошті, особливо якщо вони просять ввести особисті дані або перенаправляють на сайти, які виглядають підозріло. Якщо виникають сумніви, краще звернутися безпосередньо до банку через офіційні канали зв’язку.

Головні поради від експертів щодо безпеки банківських даних для власників платіжних карток:

• не повідомляти логін, пароль, одноразові коди з SMS або месенджерів, термін дії картки, CVV та PIN — жоден банк не запитує ці дані;
• звертати увагу на зміст повідомлень із одноразовими кодами, у тексті зазвичай вказано, для чого призначений код — вхід в застосунок, платіж чи зміна налаштувань;
• завжди перевіряти посилання сайтів перед введенням платіжних даних - справжній сайт банку має захищене з'єднання (https://) і правильну адресу (без помилок чи зайвих символів).
• не зберігайте паролі та дані карток в нотатках телефону або в чатах месенджерів;
• налаштувати PIN-код для SIM-карти;
• увімкнути двофакторну автентифікацію (2FA) для месенджерів;
• заборонити показ сповіщень від банку на заблокованому екрані телефону;
• критично ставитись до «вигідних пропозицій» у соцмережах — занадто приваблива ціна часто є ознакою шахрайства.
• використовувати віртуальні картки для онлайн-покупок – такі картки мають окремий номер і обмежений термін дії — навіть якщо дані викрадуть, основна картка залишиться захищеною.
• увімкнути SMS або push-сповіщення про всі транзакції з картками - це дозволяє миттєво реагувати на підозрілі операції.
• у додатку чи інтернет-банкінгу встановити ліміти на онлайн-операції - обмеження суми зменшує ризик великих втрат у разі шахрайства.
• оновлювати мобільні додатки лише з офіційних магазинів (AppStore, GooglePlay) та уникати сторонніх джерел — вони можуть містити шкідливе ПЗ.
• не зберігайте дані картки в браузері або на сайтах - краще вводити їх вручну або використовувати захищені платіжні сервіси (ApplePay, GooglePay).

«Ми системно працюємо над тим, щоб клієнти розуміли, як діють шахраї і як себе захистити, адже ефективна протидія починається з якісного інформування. Підвищення обізнаності населення в цьому напрямку – важлива частина нашої щоденної роботи», - каже Катерина Мащенко.

І все ж таки поки що говорити про високий рівень фінансової та кібербезпекової обізнаності українців рано. Експерти вважають, що доволі багато українців сьогодні не мають достатньо інформації про типові схеми шахрайства або не можуть розпізнати підозрілі повідомлення та дзвінки.

Важливо Дедалі більше користувачів мережі під загрозою: експерти розповіли, як захистити свої дані

«Емоційний тиск, поспішність і довіра до неофіційних джерел теж сприяють тому, що деякі користувачі стають жертвами аферистів. Щодо порівняння з іншими країнами, такими як Польща або Німеччина, можна сказати, що там загальний рівень обізнаності про безпеку фінансових операцій значно вищий, а державні та фінансові інституції активно проводять освітні кампанії, що допомагає людям краще захищатися. Крім того, у цих країнах більше уваги приділяють технологіям захисту — наприклад, більш широке використання багатофакторної автентифікації, більш жорсткі регуляції і розвинені системи контролю транзакцій», - пояснив Вадим Гаврилюк.