Вішинг

Вішинг[1] (від англ. voice  — голос + phishing — фішинг) — телефонне шахрайство, пов'язане з виманюванням реквізитів банківських карток або іншої конфіденційної інформації, примушуваннями до переказу коштів на картку злодіїв. Є найпоширенішим способом крадіжки коштів із рахунків громадян[2]. Разом з іншими схемами обману вивчається соціальною інженерією. Найчастіше використовується для заволодіння коштами на банківських рахунках жертв, хоча може також використовуватись для проникнення до інформаційних систем приватних або державних установ, крадіжки конфіденційної інформації[3].

Схеми обману

Схема надзвичайно проста: шахраї телефонують із незнайомого номера і під різними приводами намагаються:

  • вивідати дані платіжної картки (номер, дату завершення дії, PIN-код тощо) та одноразові паролі з банківських sms-повідомлень;
  • змусити зняти ліміти на операції по платіжній картці;
  • відключити перевірку коду безпеки картки CVV2;
  • перерахувати кошти на картку шахраїв.

Залякування

Шахраї дзвонять жертві і представляючись співробітниками правоохоронних органів (хоча такими вони не є) повідомляють, що хтось із рідних потрапив у дорожньо-транспортну пригоду, скоїв кримінальний злочин тощо. Гроші вимагають на хабар за невідкриття кримінальної справи або щоб відкупитись від постраждалих.

Виграш

Шахраї повідомляють про якісь виграші, перерахунки пенсій чи соціальних виплат, повернення відсотків за кредитом. Обман спрацьовує, тому що злочинці зазвичай представляються працівниками банків (у 94 % випадків зловмисники грають роль саме банківських службовців[джерело?]), Пенсійного фонду, СБУ, поліції. Шахраї намагаються вивідати реквізити банківської картки для нібито перерахунку коштів.

Проблеми з карткою

Шахрай прикидається покупцем, дзвонить продавцю і просить дати всі реквізити картки, тому що лише за номером переказати гроші у нього чомусь не виходить[4]. Шахраї можуть питати номер, дату завершення дії, CVV-код, одноразові паролі, які приходять у SMS-повідомленнях від банку.

Різновидом цієї схеми є випадок, коли шахрай представляється співробітником банку і просить «уточнити» реквізити угоди, серед яких запитує дані картки.

Іншим різновидом цієї схеми є спроба шляхом «інструкцій» та «підказок» змусити жертву виконати команди SMS-банкінгу на перерахування коштів з картки[5].

Правила безпеки

Загальні правила поведінки

Потрібно пам'ятати, що:

  • ніколи, нікому і ні за яких обставин не можна повідомляти термін дії платіжної картки і тризначний код безпеки CVV2/CVC2 на зворотному боці картки, а також код підтвердження операції з банківського sms-повідомлення[6];
  • ні співробітники банків, ні представники державних органів та правоохоронці не телефонують громадянам (навіть за форс-мажорних обставин) із вимогою назвати термін дії платіжної картки і тризначний код безпеки CVV2/CVC2 на зворотному боці картки, а також одноразовий пароль підтвердження операції, надісланий у банківському sms-повідомленні, або пароль доступу до системи інтернет-банкінгу.

Виявлення

Розпізнати шахраїв можна за:

  • тривожним тоном розмови. Вас лякають тим, що ваша картка заблокована, що злочинці зламали ваш рахунок або використовують картку для відмивання грошей, що близька людина потрапила в біду;
  • за наполегливістю та поспіхом, з якими вас змушують зробити те, що ще хвилину назад робити ви не збиралися;
  • за обіцянкою легко отримати гроші, на які ви не чекали або не думали, що отримаєте їх так просто (виграш у лотерею або перерахунок пенсії, наприклад). Будьте раціональними!
  • за незнайомим номером, з якого вам телефонують[7].

Дії при підозрі про виявлення шахрайського телефонного дзвінка

При підозрі, що отриманий телефонний дзвінок є спробою вішингу слід

  • одразу закінчити розмову або;
  • не панікувати і спокійно уточнити інформацію [8].   

Якщо дзвінок стосувався рахунку або платіжної картки, слід зателефонувати в банк за номером, який вказаний на картці або на офіційному сайті установи. Якщо телефонували нібито з державної установи, слід знайти її номер на офіційному сайті і зателефонувати, щоб переконатися, що вас турбували саме з цієї інстанції. Зокрема, якщо співрозмовник представився співробітником правоохоронних органів, то слід за можливості уточнити його прізвище, ім'я, посаду, звання та місце роботи, після чого звернутись для перевірки до Національної поліції за номером 102 або до оперативних чергових у управліннях Служби безпеки України у відповідних областях. Якщо вам дзвонили з приводу близької людини — слід з'ясувати, де вона знаходиться і чи все з нею в порядку. Варто також перевірити номер, з якого вам дзвонили, у пошукових системах — можливо, шахраї вже використовували його раніше.

Дії постраждалих від вішингу

У випадку, коли ви таки піддалися шахрайській провокації і встигли повідомити злочинцям конфіденційну інформацію, слід:

  • негайно заблокувати картку, звернувшись у call-центр банку, який обслуговує картку;
  • написати заяву в банк;
  • звернутись до поліції, зокрема до підрозділу кіберполіції (це можна зробити на сайті кіберполіції у розділі «Зворотний зв'язок»).

Успішність протидії шахраям залежить від оперативності реагування, тому зазначені вище дії слід виконати якомога швидше.

Водночас, як свідчить опитування gemiusAdHoc, проведене компанією Gemius, 77 % українських інтернет-користувачів віком від 14 до 69 років, у яких є платіжна банківська картка, знають, що нікому не можна повідомляти реквізити картки і секретні коди з sms-повідомлень від банку, 76 % українців у розмові з телефонним злодієм таки розголошують цю інформацію[джерело?].

Втрати

У середньому одна телефонна розмова з шахраєм «обходиться» необачному і довірливому українцю у 5000 гривень[джерело?].

Найвідоміші випадки

Після націоналізації ПриватБанку

Після націоналізації ПриватБанку шахраї почали поширювати чутки про витік баз даних з особистими даними клієнтів. Представляючись працівниками служби безпеки «Ощадбанку», шахраї з'ясовували, чи є в людини картковий рахунок ПриватБанку. Якщо співрозмовник відповідав позитивно, то шахраї повідомляли, що ПриватБанк приєднають до «Ощадбанку», тому клієнту необхідно терміново здійснити переказ грошових коштів з картки «Привату» на нову, оформлену в «Ощаді». Для цього в жертви просили номер банківської картки, CVV-код, пароль до інтернет-банкінгу та інші дані. Після цього відбувалося перерахування коштів на рахунки, підконтрольні шахраям[9].

Джерела

  1. Вішинг // Термінологічний словник з питань запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму, фінансуванню розповсюдження зброї масового знищення та корупції / А. Г. Чубенко, М. В. Лошицький, Д. М. Павлов, С. С. Бичкова, О. С. Юнін. — Київ : Ваіте, 2018. — С. 166—167. — ISBN 978-617-7627-10-3.
  2. Думчиков, С. А.; Лукічов, В. В. (2022). Статистика фішингових інцидентів в Україні за 2021 рік (PDF). Молодь в науці: дослідження, проблеми, перспективи (МН-2022): матеріали конференції, Вінниця. ISBN 978-966-641-897-8.
  3. Mitnick, Kevin (2002). The Art of Deception: Controlling the Human Element of Security [Мистецтво обману] (англійською) . ISBN ISBN 0-471-23712-4. {{cite book}}: Перевірте значення |isbn=: недійсний символ (довідка)
  4. Архивы Вишинг | Украинская межбанковская ассоциация членов платежных систем ЕМА. Украинская межбанковская ассоциация членов платежных систем ЕМА (ru-RU) . Архів оригіналу за 3 грудня 2016. Процитовано 2 грудня 2016.
  5. Finance.UA. Архів оригіналу за 4 червня 2017.
  6. Вішинг Vishing. Канал на Youtube "EMA - межбанковская ассоциация членов платежных систем".
  7. Лайфхак: Как распознать вишинг (ИНФОГРАФИКА) | Украинская межбанковская ассоциация членов платежных систем ЕМА. Украинская межбанковская ассоциация членов платежных систем ЕМА (ru-RU) . 8 серпня 2016. Архів оригіналу за 27 листопада 2016. Процитовано 2 грудня 2016.
  8. Уроки от EMA Academy: Как отвечать телефонному мошеннику (ВИДЕО) | Украинская межбанковская ассоциация членов платежных систем ЕМА. Украинская межбанковская ассоциация членов платежных систем ЕМА (ru-RU) . 26 вересня 2016. Архів оригіналу за 2 грудня 2016. Процитовано 2 грудня 2016.
  9. Прес-реліз від 27 Грудня 2016 р. "Чутки про "витоки" баз даних банку поширюють шахраї" (українською) . ПриватБанк. Архів оригіналу за 17.10.2017. Процитовано 17.06.2017.

Див. також

Посилання