«Як я стала жертвою шахраїв на 75 тисяч гривень»: історія харківської волонтерки про вішинг

17 червня керівниця волонтерського штабу CodeIT4Life Євгенія Семеняк поділилася історією про те, «як стала жертвою шахраїв на 75 тисяч гривень за 1 годину і при чому тут мобільний оператор, монобанк і мікропозики».

Журналісти Ґвара Медіа розібралися в ситуації й поспілкувалися з експерткою з цифрової безпеки ГО «Інтерньюз-Україна» Аліною Елєвтєровою про те, як захистити себе від шахраїв в інтернеті та що робити, коли ви зіткнулися з вішингом.

«Усе відбулося з 3 до 4 ранку. Схема відпрацьована ідеально»: розповідь Євгенії Семеняк

«Не треба було диктувати дані, переходити за посиланням чи ще щось таке. Достатньо було прийняти дзвінок начебто від оператора Lifecell, підтвердити ПІБ, свого часу проґавити оформити контракт на мобільні послуги, проігнорувати встановлення двофакторної аутентифікації й просто лягти спати з вимкненим звуком. Усе відбулося з 3 до 4 ранку. Схема відпрацьована ідеально», — написала Євгенія у своєму фейсбуці.

Спочатку у волонтерки вкрали номер. Шахраї подали заявку про втрачений телефон мобільному оператору, а попередньо поповнили рахунок й використали ці транзакції як підтвердження інформації нібито від імені власниці номера. Прокинулася Євгенія вже без звʼязку, тому що її номер був у чужих руках. На нього й приходили підтвердження із застосунків банків і мікропозик. Оператори Lifecell швидко повернули їй доступ до номера телефону. 

Згодом шахраї намагалися знайти всі банківські рахунки Євгенії. Вони не змогли вивести кошти тільки з рахунку ПриватБанку, де вже давно був вичерпаний кредитний ліміт. Проте з рахунку Євгенії в А-Банку переказали кредитні кошти на інший рахунок. Оператори знайшли й заблокували його, проте Євгенія залишилась винна банку 19 600 гривень. 

Далі шахраї намагалися вивести кошти з Монобанку на іншу картку, проте платіж не пройшов. Тож вони перейшли до другої схеми: вивели гроші через Фавбет [компанія, що займається ставками на спорт — ред.]. Туди декількома платежами — від 5 до 25 тисяч гривень — переказали 57 тисяч гривень. Зокрема шахраї зняли гроші з волонтерської банки для збору на термінові цивільні запити. 

«Я б хотіла звернути увагу служби безпеки Монобанк на цю ситуацію, бо я жодного разу не переказувала гроші на Фавбет чи інші розважальні платформи. Пару платежів не пройшли одразу і були скасовані. Було б прекрасно, якби ви врахували мій досвід і захистили інших користувачів від подібних схем», — зазначила Євгенія.

Євгенія намагалась зв’язатися із Фавбет за номером гарячої лінії, вказаної на сайті букмекерської компанії, проте їй не відповіли.

Згодом шахраї намагалися набрати на Євгенію мікропозик онлайн. Дві організації не схвалили заявку, тож волонтерку обікрали на 76,5 тисяч гривень. 

«Страшно подумати, з якими боргами я б могла прокинутися, якби у мене ще в якихось банках були відкриті рахунки, а мікропозики не почали вимагати мої серію та номер паспорта та ІПН [індивідуальний податковий номер — ред.]», — написала Євгенія.

Євгенія після крадіжки поставила двофакторну автентифікацію на сервісах і Face ID — на мобільних застосунках. Волонтерка також написала заяву в поліцію. Згодом вона звернеться до Кіберполіції, а поки чекає витяг з єдиного реєстру досудових розслідувань і продовжує розбиратися із наслідками крадіжки. Євгенії сказали, що кошти можуть бути компенсовані рішенням суду, проте вона непокоїться про свої гроші та благодійні внески громадян. 

«Любі волонтери, будьте особливо обережні. За сьогодні я дізналася декілька випадків, коли у моїх колег намагалися так само “угнати” номер, “ламали” соцмережі, проте я поки — особлива зірка цієї тусовочки», — зазначила Євгенія.

Що таке вішинг?

Експертка з цифрової безпеки ГО «Інтерньюз-Україна» Аліна Елєвтєрова зазначила, що тип шахрайства, коли дзвонять та в телефонній розмові намагаються отримати від людини якісь дані, називається вішинг (voice + fishing). Це різновид соціальної інженерії. У такому шахрайстві мета зловмисника — так задурити голову людині, щоб вона добровільно передала ту інформацію, яка цікава шахраям. Наприклад, можуть лякати, представляючись службою безпеки банку, або пропонувати «вигідні» послуги. І зазвичай такі ситуації відбуваються вночі або рано вранці — коли людина з найменшою ймовірністю буде онлайн. 

У випадку з Євгенією шахраям необхідно було отримати її номер та використати його для позики та авторизації в банківських додатках. Не всі компанії, в яких таким чином оформили кредити, можуть піти на зустріч без рішення суду. Тому треба подбати про безпеку номера завчасно.

На що слід звернути увагу:

1. Прив’язати номер телефону до паспортних даних. Це знизить ймовірність того, що хтось без вашого відома перевипустить карту, адже для цього треба буде надати підтвердження: ваші документи. Оскільки зазвичай двофакторна автентифікація в банку відбувається за номером телефона, особливу увагу варто звернути на безпеку вашого банківського номера. Додатково можете поцікавитись в оператора, чи пропонують вони якісь інші послуги із захисту номера (наприклад, заборону на віддалену заміну сім-карти, встановлення секретного слова тощо).
2. Не публікувати у відкритому доступі свій номер телефону. Звичайно, номер і без цього може стати відомим шахраям, але краще не спрощувати їм життя.
3. Встановити ПІН-код на сім-карту. Це допоможе, якщо ви втратили телефон або його викрали, а зловмисники будуть пробувати використати вашу «сімку» в іншому пристрої. 
4. Звернутись до свого банку з питаннями, чи є у них додаткові послуги, які допоможуть захистити від шахрайства. У ПриватБанку, наприклад, є страхування на випадок шахрайства. Страхова сума — 50 тисяч гривень, і вішинг вважається страховою подією.
5. Не мати двофакторної автентифікації на номер телефону (смс чи дзвінок). Звичайно, у випадку з банками обрати не вийде, але інші соцмережі варто захистити іншими способами: наприклад, використовувати додаток, який генеруватиме одноразові коди для входу (Google Authenticator, 2FAS тощо). Але важливо: якщо цей номер прив’язаний до ваших акаунтів і використовується як логін, через нього можна скинути пароль до сторінок. 
6. Не повідомляти дані, якщо вам телефонують з незнайомого персонального та не офіційного номера установи. Якщо ви підіймаєте слухавку й абонент ставить запитання, пов’язані з персональними даними (уточнює ваше ПІБ, питає номер картки, CVV-2 код, питає, де ви проживаєте, просить ваш email тощо), краще скиньте виклик та самостійно перетелефонуйте компанії, працівником якої він назвався. Компанії можна продиктувати номер, з якого був дзвінок. Якщо це був валідний номер, чудово, але якщо номер був шахрайський, так ви ще й сповістите інших людей про їхню зловмисну діяльність. І, звичайно, можна просто скинути виклик та занести номер в чорний список. 
7. У випадку шахрайства одразу звертатися до оператора, банківських установ та кіберполіції та попередити про ситуацію інших.

Читайте також

• База захисту ваших акаунтів: як користуватися двофакторною аутентифікацією? Про види двофакторної аутентифікації та ситуації, у яких її найкраще застосовувати, ми поговорили з Павлом Бєлоусовим — експертом із цифрових технологій ГО «Інтерньюз-Україна».
• Тенденції розвитку штучного інтелекту в Україні та світі. Про те, що таке штучний інтелект, які його переваги, недоліки та як працювати з нейронними мережами, розповідаємо у матеріалі.
• Ґвара Медіа допомагає розібратися, що таке даркнет та які загрози він несе.озповідаємо про загрози та можливості.