Мошенничество в интернет

ТОП-5 актуальних схем платіжного шахрайства. Що робити, щоб не попастися на хитрощі кібермародерів

Завантажати
Дайджест (PDF)

1. Грошова допомога

Доброго дня, я отримала виплату від держави в розмірі 5000 грн, А ви?
Беріть, поки дають. Отримати кошти тут: @diya_help_bot

В популярних месенджерах та соцмережах кібермародери під виглядом міжнародних організацій, соціальної платформи єДопомога, порталу державних послуг Дія, відомих українських брендів тощо пропонують громадянам, що постраждали від війни, отримати грошову допомогу.

Сценарії шахрайства з грошовою допомогою:

• Для отримання допомоги потрібно перейти за наданим посиланням, обрати банк та увійти у свій онлайн-банкінг. Насправді посилання веде на фішинговий сайт, що імітує обраний онлайн-банкінг, тому після введення облікових даних вони попадають до кібермародерів, які, отримавши доступ до банківських рахунків жертви, знімають все до копійки та ще отримують на її ім’я онлайн-кредити.

• Для отримання виплати потрібно перейти за посиланням в чат-бот у Телеграмі, що імітує банківський чат-бот, де у жертви шахрайства випитують реквізити платіжної картки, облікові записи до онлайн-банкінгу, банківські SMS-паролі та ПІН-код. Результат той самий – жертву обдирають до нитки.
• Для отримання коштів потрібно сплатити державне мито. Але замість обіцяних грошей у жертви виманюють не лише гроші за сплату державного мита, але й реквізити платіжної картки. На цьому шахраї, зрозуміло, не зупиняються – жертву позбавляють грошей, що зберігаються на її картковому рахунку.
• Під приводом роздачі великих грошей від імені відомих українських компаній жертві пропонують пройти нескладне опитування, потім надіслати посилання на сайт своїм друзям, після чого заповнити форму з персональними даними і, нарешті, сплатити комісію.
• Але замість обіцяних грошей, в залежності від жадібності та креативності кібермародерів, жертву підписують на сторонні сервіси з періодичним списанням грошей із «засвіченої» картки, виманюють реквізити платіжної картки або облікові записи до онлайн-банкінгу. А викрадені у жертви персональні данні продаються оптом на чорному ринку та згодом використовуються проти неї в інших шахрайських схемах.

Поради, що працюють:

• Якщо хтось вам пропонує отримати грошову допомогу через чат-бот, — це шахрайська схема! Якщо для отримання допомоги потрібно сплатити державне мито — це також шахрайська схема, оскільки під час отримання допомоги державне мито не сплачується.
• Офіційну інформацію про грошову допомогу від держави та міжнародних організацій шукайте на державному сайті groshi.edopomoga.gov.ua
• Будьте уважними до деталей під час введення своїх персональних даних, паролів, карткових реквізитів. Завжди звертайте увагу на доменне ім’я та зону сайту. Використовуйте для перевірки посилань та сайтів функціонал CheckMyLink, який за лічені секунди безкоштовно перевірить сайт на шахрайство та віруси.

Здолайте віртуальних шахраїв
у антишахрайській онлайн-грі «Здолай шахрая», –
і вас вже не обдуриш!

2. Інтернет-торгівля

Купувати в Інтернеті вигідно,
але стережіться шахраїв!

Користуючись підвищеним попитом населення на товари, пов’язанні з військовою тематикою, нестачею електроенергії та товари повсякденного попиту за нижчими цінами, кібершахраї виманюють у громадян грошові кошти, карткові реквізити та облікові записи онлайн-банкінгу.

Сценарії шахрайства з Інтернет-торгівлею:

• Кібермародери створюють шахрайські Інтернет-крамниці, вимагаючи попереднє внесення оплати за неіснуючі товари.
• Вдаючи з себе продавця на торговому онлайн-майданчику або дошці оголошень, кібермародер виманює у покупця передоплату або, пропонуючи безпечну сплату за товар, стимулює перейти за фішинговим посиланням, та виманює реквізити платіжної картки або логін та пароль до онлайн-банкінгу.

• Вдаючи з себе покупця на торговому онлайн-майданчику або дошці оголошень, шахрай стимулює продавця перейти за фішинговим посиланням, щоб отримати неіснуючу передоплату, ввівши всі реквізити платіжної картки.

Поради, що працюють:

• Довіряйте лише офіційним сайтам. Перш ніж ввести в будь-яку форму дані своєї платіжної картки або паролі до онлайн-банкінгу — перевірте сайт через функціонал CheckMyLink, який за лічені секунди безкоштовно перевірить сайт на шахрайство та віруси.
• Платіть після отримання товару — замовляйте товари з попереднім внесенням оплати лише у перевірених та відомих Інтернет-магазинів.
• Великі знижки — одна з ознак шахрайських інтернет-крамниць та «лотів-приманок», розміщених шахраями на сайтах безкоштовних оголошень.
• Користуючись послугами торгових онлайн-майданчиків або дошок оголошень, не йдіть у месенджери, листуйтесь лише в чаті сервісу.
• Лише номер картки! — Пам’ятайте, для отримання будь-якого переказу на вашу картку достатньо надати покупцеві (відправнику грошей)
  лише її номер.

Здолайте віртуальних шахраїв
у антишахрайській онлайн-грі «Здолай шахрая», –
і вас вже не обдуриш!

3. Телефонне шахрайство

“Національна служба безпеки банків України:
картки та рахунки тимчасово призупинені..”

Телефонні кібермародери телефонують з підроблених номерів, використовуючи для цього спеціальні сервіси IP-телефонії з можливістю підміни номера, називаючи себе працівником банку, мобільного оператора або поліцейським, що розслідує шахрайські дзвінки, або розсилають відповідні SMS-повідомлення та повідомлення у месенджерах, мотивуючи жертву перетелефонувати, та виманюють у співрозмовника карткові реквізити, спонукають встановити програму для віддаленого доступу або переказати гроші на свій рахунок.

Розповсюджені сценарії телефонних атак:

• Кібермародер, назвавшись банківським співробітником, залякує жертву повідомленням про спроби злому її банківського рахунку або підозрілі операції.
  Мета: під час розмови отримати у співрозмовника його карткові реквізити та банківські SMS-коди; змусити жертву переказати гроші на «безпечний рахунок» або прив’язати картку до телефонного номера кібермародера.

• Кібермародер, назвавшись банківським співробітником, під приводом підвищення заходів безпеки вмовляє жертву встановити на телефон програму віддаленого доступу.
  Мета: віддалено отримати доступ до мобільного банкінгу на пристрої жертви і дистанційно виконувати дії від її імені (наприклад, переказати гроші на будь-який рахунок).
• Кібермародер, назвавшись банківським співробітником, виманює у жертви її кодове слово та персональну інформацію, необхідну для віддаленої ідентифікації в банку.
  Мета: використовуючи отриману від жертви інформацію, зателе-фонувати до банку та, назвавшись клієнтом, отримати доступ до банківського рахунку клієнта.
• Кібермародер, назвавшись співробітником мобільного оператора, намагається виманити у жертви SMS-код, надісланий їй мобіль-ним оператором.
  Мета: угнати SIM-картку жертви, а разом з нею угнати і її онлайн-банкінг, щоб здійснювати будь-які фінансові операції, користуючись банків-ським рахунком жертви, як своїм.

Поради, що працюють:

• Якщо співрозмовник представився співробітником банку, мобільного оператора, правоохоронних органів, регулятора, ніколи не повідомляйте йому трьохзначний код безпеки зі звороту вашої картки, кодове слово, банківські SMS-коди та коди, отримані від мобільного оператора. Лише почули подібне прохання — перервіть розмову і повідомте ваш банк за номером, вказаним на звороті вашої картки.
• Пам’ятайте, у разі шахрайської операцій банк блокує рух коштів на картці, і сам клієнт телефонує для розблокування, називаючи кодове слово та надаючи персональну інформацію для віддаленої ідентифікації; зворотна ситуація — це шахрайство.

Здолайте віртуальних шахраїв
у антишахрайській онлайн-грі «Здолай шахрая», –
і вас вже не обдуриш!

4. Угон акаунтів у соцмережах та месенджерах

У зв’язку з діями російських окупантів
на нашій землі, наша служба проводить зачистку російських диверсантів.
На ваш акаунт була подана скарга. Будь ласка,
підтвердить Ваш обліковий запис в Телеграм.

Кібермародери зламують акаунти користувачів у Facebook, Instagram, Telegram, Viber тощо для подальшої розсилки повідомлень з проханням позичити грошей, поширення шкідливого програмного забезпечення та дезиінформації.

Сценарії угону акаунтів у різних месенджерах та соціальних мережах:

• Telegram. Надходить повідомлення із посиланням на канал, який нібито повідомляє про години наявності електроенергії за обраною адресою. Якщо перейти за лінком, він перекидає на фішинговий акаунт ДТЕК або Yasno. Перед тим, як надати обіцяну інформацію щодо графіків вимкнення світла, бот запитує номер телефону. Одразу після цього надходить код для підтвердження входу на іншому пристрої. Бот просить його ввести. Якщо код буде введено і акаунт не захищено двофакторною автентифікацією, кібермародер відразу отримує доступ до акаунту.

• Signal. Надходить сповіщення від акаунту з назвою Signal Support & Notification про вхід до облікового запису з нового пристрою. Щоб підтвердити, що це не ви, просять надіслати код з SMS. З цим кодом кібермародер входить до облікового запису з нового телефону, а користувач втрачає доступ зі свого.
• Facebook. Кібермародери розсилають лист нібито від Facebook щодо підозрілих дій в обліковому записі, пропонуючи користувачу перевірити безпеку. Посилання у листі переадресовує на фішинговий сайт Facebook, на якому користувачу пропонується ввести свій пароль та код двофакторної автентифікації. Після введення даних від Facebook відбувається злам та захват акаунту.

• Instagram. Надходить фішинговий лист із пропозицією начебто від Instagram отримати блакитний бейдж, тобто верифікувати акаунт. Оскільки власники акаунтів часто мріють отримати бейдж, адже це дає кредит довіри для їхньої аудиторії та дозволяє відрізнити справжній акаунт від фейкового. Після введення даних від Instagram відбувається злам та захват акаунту.

Поради, що працюють:

• Створюйте складні та унікальні паролі. Складні – це з літерами, цифрами та спеціальними символами. Пароль повинен бути унікальним та не містити персональної інформації про вас.
• Перевіряйте у налаштуваннях активні сесії (пристрої) та видаляйте ті, якими не користуєтесь.
• Перевіряйте електронну пошту та SMS. Коли ви реєструєтеся у соціальній мережі або месенджері, то прив’язуєте до облікового запису свій e-mail та телефон, на які сервіси надсилають автоматичне повідомлення про вхід до облікового запису з нового пристрою.
• Виходьте з облікового запису, якщо він вам не потрібен. Наприклад, якщо ви плануєте продавати свій смартфон або ноутбук, потрібно обов’язково вийти зі всіх облікових записів і видалити збережені паролі.
• Перед тим, як ввести облікові записи до соціальної мережі, перейшовши за отриманим посиланням, перевірте його через функціонал CheckMyLink, який за лічені секунди безкоштовно перевірить посилання на шахрайство та віруси.
• Налаштуйте надійні способи блокування екрану пристрою (PIN, пароль, TouchID, FaceID) та увімкніть приховування вмісту сповіщень на заблокованому екрані (Налаштування телефону – Сповіщення).

Здолайте віртуальних шахраїв
у антишахрайській онлайн-грі «Здолай шахрая», –
і вас вже не обдуриш!

5. Мобільні застосунки

Будьте пильними, навіть завантажуючи програмиз офіційних сторів –
App Store та Google Play

Кібермародери створюють та розміщують у Google Play та App Store фейкові мобільні застосунки, в які жертва сама вводить реквізити платіжної картки, або застосунки, що завантажують мобільні трояни, які отримують доступ до онлайн-банкінгу або криптогаманця.

Фіктивні мобільні застосунки, виявлені у Google Play та App Store минулого року:

• Фейковий застосунок Palyvo, що рекламується як застосунок для реалізації залишків палива за низькими цінами. Начебто за допомогою нього можна придбати універсальний спецталон у мережі OKKO, WOG, AMIC, BRSM, KLO, AVIAC, що «відварюється завжди» (лексика збережена). Також реклама застосунку обіцяє використання швидкого та зручного інтерфейсу, – з цим, дійсно, не обманюють, оплата здійснюється миттєво, але, далебі, – ні грошей, ні «універсального» талону.

• Фейковий застосунок Компенсації для громадян 2022 пропонує отримати компенсацію на платіжну картку із заблокованих ресурсів росії, виманюючи гроші начебто за сплату банківської комісії за перерахування грошей та карткові реквізити.
  Користувачі, які бажають встановити на свій смартфон мобільний застосунок банку, вводять у пошукову систему характерний запит формату «завантажити застосунок банку ХХХ». Першою в пошуковій видачі з’являється платна реклама фіктивного банківського застосунку, в якому захований банківський троян. Після отримання відповідних дозволів, у тому числі на читання та відправлення SMS-повідомлень, встановлений фейковий застосунок запитує логін та пароль від особистого кабінету та реквізити платіжної картки. Таким чином, жертва, яка ні про що не підозрює, дає зловмисникам доступ до своїх конфіденційних даних, які використовуються для проведення банківських операцій в особистому кабінеті, зокрема грошових переказів. Водночас жертва ні про що не здогадується, оскільки SMS-повідомлення про доступ до її рахунку та операції перехоплюються банківським трояном.

Поради, що працюють:

• Завантажуйте мобільні застосунки лише з офіційних сторів Google Play та App Store, але будьте пильними, – в офіційних сторах також зустрічаються фіктивні застосунки.
• Обов’язково перевіряйте, хто автор застосунку та чи має він відношення до реального бренду.
• Уважно вивчайте відгуки, – нерідко саме там можна зустріти попередження щодо шахрайства. Аналізуйте кількість завантажень застосунку.
• Варто пам’ятати, що обіцянка вигоди (знижки, грошова винагорода, вигідніші умови тощо) – характерна ознака шахрайства.
• Не давайте зайвих прав застосунку і завжди перевіряйте, які права він вимагає для своєї роботи.

Здолайте віртуального шахрая Ель Пескадора
у антишахрайській онлайн-грі «Здолай шахрая», –
і вас вже не обдуриш!

Завантажати
Дайджест (PDF)

Обізнаність – головна зброя проти кібермародерів

З питань навчання платіжній безпеці та кібергігієні
звертайтесь до Раїси Федоровської [email protected], +380 50 390 10 26

Здолаємо шахраїв разом!