Вішинг

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до навігації Перейти до пошуку

Вішинг (від англ. voice – «голос»; fishing – «рибалка») - телефонне шахрайство, пов'язане з виманюванням реквізитів банківських карток або іншої конфіденційної інформації, примушуваннями до переказу коштів на картку злодіїв. Є найпоширенішим способом крадіжки коштів із рахунків громадян[джерело?]. Разом з іншими схемами обману вивчається соціальною інженерією. Найчастіше використовується для заволодіння коштами на банківських рахунках жертв, хоча може також використовуватись для проникнення до інформаційних систем приватних або державних установ, крадіжки конфіденційної інформації[1].

Схеми обману[ред. | ред. код]

Схема надзвичайно проста: шахраї телефонують із незнайомого номеру і під різними приводами намагаються:

  • вивідати дані платіжної картки (номер, дату завершення дії, PIN-код тощо) та одноразові паролі з банківських sms-повідомлень;
  • змусити зняти ліміти на операції по платіжній картці;
  • відключити перевірку коду безпеки картки СVV2;
  • перерахувати кошти на картку шахраїв.

Залякування[ред. | ред. код]

Шахраї дзвонять жертві і представляючись співробітниками правоохоронних органів (хоча такими вони не є) повідомляють, що хтось із рідних потрапив у дорожньо-транспортну пригоду, скоїв кримінальний злочин тощо. Гроші вимагають на хабар за невідкриття кримінальної справи або щоб відкупитись від постраждалих.

Виграш[ред. | ред. код]

Шахраї повідомляють про якісь виграші, перерахунки пенсій чи соціальних виплат, повернення відсотків за кредитом. Обман спрацьовує, тому що злочинці зазвичай представляються працівниками банків (у 94 % випадків зловмисники грають роль саме банківських службовців[джерело?]), Пенсійного фонду, СБУ, поліції. Шахраї намагаються вивідати реквізити банківської картки для нібито перерахунку коштів.

Проблеми з карткою[ред. | ред. код]

Шахрай прикидається покупцем, дзвонить продавцю і просить дати всі реквізити картки, тому що лише за номером переказати гроші у нього чомусь не виходить. [2]. Шахраї можуть питати номер, дату завершення дії, CVV-код, одноразові паролі, які приходять у SMS-повідомленнях від банку.

Різновидом цієї схеми є випадок, коли шахрай представляється співробітником банку і просить "уточнити" реквізити угоди, серед яких запитує дані картки.

Іншим різновидом цієї схеми є спроба шляхом "інструкцій" та "підказок" змусити жертву виконати команди SMS-банкінгу на перерахування коштів з картки[3].

Правила безпеки[ред. | ред. код]

Загальні правила поведінки[ред. | ред. код]

Потрібно пам'ятати, що:

  • ніколи, нікому і ні за яких обставин не можна повідомляти термін дії платіжної картки і тризначний код безпеки СVV2/CVC2 на зворотному боці картки, а також код підтвердження операції з банківського sms-повідомлення[4]
  • ні співробітники банків, ні представники державних органів та правоохоронці не телефонують громадянам (навіть за форс-мажорних обставин) із вимогою назвати термін дії платіжної картки і тризначний код безпеки СVV2/CVC2 на зворотному боці картки, а також одноразовий пароль підтвердження операції, надісланий в банківському sms-повідомленні, або пароль доступу до системи інтернет-банкінгу

Виявлення[ред. | ред. код]

Розпізнати шахраїв можна за:

  • тривожним тоном розмови. Вас лякають тим, що ваша картка заблокована, що злочинці зламали ваш рахунок або використовують картку для відмивання грошей, що близька людина потрапила в біду.
  • за наполегливістю і поспіхом, з якими вас змушують зробити те, що ще хвилину назад робити ви не збиралися.
  • за обіцянкою легко отримати гроші, на які ви не чекали або не думали, що отримаєте їх так просто (виграш у лотерею або перерахунок пенсії, наприклад). Будьте раціональними!
  • за незнайомим номером, з якого вам телефонують[5].

Дії при підозрі про виявлення шахрайського телефонного дзвінка[ред. | ред. код]

При підозрі, що отриманий телефонний дзвінок є спробою вішингу слід

  • одразу закінчити розмову або;
  • не панікувати і спокійно уточнити інформацію [6].   

Якщо дзвінок стосувався рахунку або платіжної картки, слід зателефонувати в банк за номером, який вказаний на картці або на офіційному сайті установи. Якщо телефонували нібито з державної установи, слід знайти її номер на офіційному сайті і зателефонувати, щоб переконатися, що вас турбували саме з цієї інстанції. Зокрема, якщо співрозмовник представився співробітником правоохоронних органів, то слід за можливості уточнити його прізвище, ім'я, посаду, звання та місце роботи, після чого звернутись для перевірки до Національної поліції за номером 102 або до оперативних чергових у управліннях Служби безпеки України у відповідних областях. Якщо вам дзвонили з приводу близької людини – слід з’ясувати, де вона знаходиться і чи все з нею в порядку. Варто також перевірити номер, з якого вам дзвонили, у пошукових системах – можливо, шахраї вже використовували його раніше.

Дії постраждалих від вішингу[ред. | ред. код]

У випадку, коли ви таки піддалися шахрайській провокації і встигли повідомити злочинцям конфіденційну інформацію, слід:

  • негайно заблокувати картку, звернувшись у call-центр банку, який обслуговує картку;
  • написати заяву в банк;
  • звернутись до поліції, зокрема до підрозділу кіберполіції (це можна зробити на сайті кіберполіції у розділі «Зворотний зв’язок»).

Успішність протидії шахраям залежить від оперативності реагування, тому зазначені вище дії слід виконати якомога швидше.

Водночас, як свідчить опитування gemiusAdHoc, проведене компанією Gemius, 77 % українських інтернет-користувачів віком від 14 до 69 років, у яких є платіжна банківська картка, знають, що нікому не можна повідомляти реквізити картки і секретні коди з sms-повідомлень від банку, 76 % українців у розмові з телефонним злодієм таки розголошують цю інформацію[джерело?].

Втрати[ред. | ред. код]

У середньому одна телефонна розмова з шахраєм «обходиться» необачному і довірливому українцю у 5000 гривень[джерело?].

Найвідоміші випадки[ред. | ред. код]

Після націоналізації ПриватБанку[ред. | ред. код]

Після націоналізації ПриватБанку шахраї почали поширювати чутки про витік баз даних з особистими даними клієнтів. Представляючись працівниками служби безпеки "Ощадбанку" шахраї з'ясовували, чи є у людини картковий рахунок ПриватБанку. Якщо співрозмовник відповідав позитивно, то шахраї повідомляли, що ПриватБанк буде приєднаний до “Ощадбанку”, тому клієнту необхідно терміново здійснити переказ грошових коштів з картки “Привату” на нову, оформлену в “Ощаді”. Для цього у жертви просили номер банківської картки, CVV-код, пароль до інтернет-банкінгу та інші дані. Після цього відбувалося перерахування коштів на рахунки, підконтрольні шахраям[7].

Джерела[ред. | ред. код]

  1. Mitnick, Kevin (2002). The Art of Deception: Controlling the Human Element of Security [Мистецтво обману] (англійською). ISBN ISBN 0-471-23712-4. 
  2. Архивы Вишинг | Украинская межбанковская ассоциация членов платежных систем ЕМА. Украинская межбанковская ассоциация членов платежных систем ЕМА (ru-RU). Процитовано 2016-12-02. 
  3. Finance.UA. 
  4. Вішинг Vishing. Канал на Youtube "EMA - межбанковская ассоциация членов платежных систем". 
  5. Лайфхак: Как распознать вишинг (ИНФОГРАФИКА) | Украинская межбанковская ассоциация членов платежных систем ЕМА. Украинская межбанковская ассоциация членов платежных систем ЕМА (ru-RU). 2016-08-08. Архів оригіналу за 2016-11-27. Процитовано 2016-12-02. 
  6. Уроки от EMA Academy: Как отвечать телефонному мошеннику (ВИДЕО) | Украинская межбанковская ассоциация членов платежных систем ЕМА. Украинская межбанковская ассоциация членов платежных систем ЕМА (ru-RU). 2016-09-26. Архів оригіналу за 2016-12-02. Процитовано 2016-12-02. 
  7. Прес-реліз від 27 Грудня 2016 р. "Чутки про "витоки" баз даних банку поширюють шахраї" (українською). ПриватБанк. Архів оригіналу за 17.10.2017. Процитовано 17.06.2017. 

Див. також[ред. | ред. код]