Карткові шахраї грабують українців: нові схеми, ШІ, QR-коди — як захистити свої гроші

Понад 83% усіх шахрайських операцій в Україні відбувається в Інтернеті, і це не просто цифра, а реальна щоденна загроза для тисяч користувачів. Про це розповіли Фокусу фахівці банківської галузі.

Маніпуляція довірою: як карткові шахраї змушують вас віддавати гроші

"Коли ми говоримо про шахрайство, потрібно відмовитися від уявлення про "хакерів у темній кімнаті". Сучасні аферисти працюють не з технікою. Вони не зламують сервери, вони зламують довіру", — коментує ситуацію заступниця голови правління "Глобус Банку" Анна Довгальська.

За словами Довгальської, 84% усіх збитків клієнтів пов’язані з шахрайством саме через соціальну інженерію — тобто маніпуляцію свідомістю. "Спільною рисою більшості випадків шахрайства є те, що зловмисники ‘переконують’ людину добровільно розголосити свої персональні дані. Вони можуть представитися співробітником банку, правоохоронцем або навіть вашим родичем, адже голосовий deepfake сьогодні здатен на більше, ніж нам здається", — пояснює вона.

Із Довгальською погоджується очільниця відділу протидії електронному та картковому шахрайству Департаменту банківської безпеки АТ "Кредобанк" Іванна Фученко. За її словами, у більшості випадків люди стають жертвами шахраїв та втрачають свої кошти через недотримання основних правил платіжної безпеки.

"Протидіяти цьому можна лише через обізнаність та уважність під час безготівкових розрахунків", — додає Фученко.

Головні схеми шахраїв, які сьогодні існують в Україні

Експертка "Глобус Банку" виділила три особливо небезпечні напрямки незаконного стягнення коштів з карток українців.

Цифровий скімінг

"Під час шопінгу онлайн користувач вводить дані картки на нібито звичайному сайті. Але через прихований шкідливий код їх миттєво перехоплюють шахраї. Це відбувається непомітно — користувач навіть не здогадується про ризик", — розповідає Довгальська.

Квішинг

У разі такої оборудки шахраї використовують шкідливі QR-коди, які ведуть на фейкові сайти. Їх розміщують у публічних місцях, на афішах, банкоматах або надсилають у месенджерах. Більшість користувачів не перевіряють, куди саме веде QR, і саме цим користуються шахраї.

ШІ-підсилене шахрайство

Завдяки штучному інтелекту шахраї створюють переконливі фейкові голоси, електронні листи та навіть чат-боти.

"Сьогодні deepfake може звучати як голос вашого сина, мами, бабусі, дружини і просити ‘терміново переказати гроші". На жаль, такі ‘голоси’ поки що дуже важко відрізнити від справжніх. У подібних випадках найкращим рішенням стане просто перетелефонувати близькій людині, щоб пересвідчитися, що з нею насправді все гаразд", — застерігає Довгальська.

Соціальна інженерія дійсно є найпоширенішим способом стягування грошей з рахунків клієнтів банку. Шахраї часто і без ШІ влаштовують оборудки із продажем неіснуючих товарів чи послуг, пропонують "легкий заробіток" через соцмережі тощо.

Однією з нових схем є фейкові чат-боти, що маскуються під банківську підтримку і вимагають "оновлення даних". Часто це завершується тим, що користувачу пропонують перейти за фішинговим посиланням і встановити програму віддаленого доступу (AnyDesk, TeamViewer). Після цього шахрай отримує контроль над пристроєм: бачить фото, SMS-коди, додатки банку та інші приватні дані.

А ось шахрайство через фізичні пристрої (банкомати, POS-термінали) відбувається лише у 17% від загальної кількості випадків. Проте Довгальська радить все ж не втрачати пильність: "Перед використанням терміналу чи банкомата варто уважно оглянути пристрій: сторонні накладки, незвичайні деталі або ‘дивні’ екрани — це привід насторожитися. Серед основних порад: прикривати клавіатуру при введенні PIN-коду, обирати безконтактну оплату та користуватись банкоматами у людних і безпечних місцях".

Як захистити гроші від шахраїв — практичні поради від банків

Обидві банківські фахівчині закликають власників платіжних карток не надавати нікому ані CVV, ані PIN або коди підтвердження у телефонній розмові, в листах чи в месенджерах. Вони наголошують на тому, що банк ніколи не запитує такої інформації та нагадують про основні правила безпеки:

• ніколи не передавайте особисті дані картки — навіть якщо дзвонять із "банку" чи "поліції";
• уникайте публічного Wi-Fi для входу в інтернет-банкінг або оплат;
• активуйте двофакторну автентифікацію на всіх сервісах;
• скануйте QR-коди лише з перевірених джерел;
• використовуйте віртуальні картки для онлайн-покупок;
• підключіть сповіщення про всі транзакції.

"Ми впроваджуємо нові стандарти безпеки, використовуємо найкращі антивірусні модулі та системи виявлення аномалій, але жодна технологія не замінить людської уважності", — констатує Довгальська.

Зазначимо, що згідно із даними Центру економічних досліджень та прогнозування "Фінансовий пульс", минулого року обсяг збитків від шахрайських операцій з платіжними картками становив 1,1 млрд грн (на 37% більше, ніж у 2023 році).

Важливо Ніколи так не робіть: чому QR-код може зламати ваш телефон

На один мільйон гривень, витрачених за допомогою платіжних карток, припадало 176 грн збитків, що на 28% більше за 2023 рік. А середня сума незаконної операції в Мережі 2024 року становила 4 761 грн.

Тож фахівці закликають користувачів платіжних карток бути пильними і формувати власну фінансову дисципліну, що складається з обізнаності про шахрайські схеми, обачності в користуванні власною карткою та прагматизму.

"Надмірна довірливість навіть до знайомих чи близьких не завжди виправдана", — підсумовує Анна Довгальська.

Раніше Фокус розповідав провипадки, коли українцям можуть заблокувати картку. У більшості випадків такі обмеження не є "довільними діями" фінансової установи, а результатом роботи систем безпеки, які реагують на підозрілі операції.