Платіжна безпека: основні поради

Не розголошуйте всі реквізити платіжної картки та контролюйте рух коштів на рахунку

Банк по телефону може запитати перші шість та останні чотири цифри платіжної картки.
Для отримання платежу на картку достатньо повідомити лише 16-значний номер картки.

Тримайте в секреті три цифри на звороті картки (CVV/CVC код), коди (одноразові паролі) банків та мобільних операторів, пін-код до картки.
Підключіть смс-інформування стосовно операцій з платіжною карткою.
Установіть індивідуальні ліміти на операції з вашою платіжною карткою.
Використовуйте віртуальну картку для розрахунків в інтернеті. Перераховуйте необхідну суму з основної картки на віртуальну перед здійсненням покупки. Віртуальну картку також можливо додати і до гаманців Apple Pay, Google Pay.

Не переходьте за посиланнями від незнайомців!
Шахраї розсилають шкідливі посилання через месенджери, смс, e-mail для зараження пристроїв вірусом, викрадення персональних даних, секретних карткових реквізитів, для переходу на фішингові або інші шахрайські ресурси.

Отримали посилання від друга – не поспішайте на нього натискати.
Шахраї могли отримати доступ до акаунту друга. Спершу зателефонуйте йому та запитайте, чи справді посилання від нього.

Не вводьте реквізити платіжних карток на незнайомих та підозрілих сайтах

Перш ніж ввести в будь-яку форму дані своєї платіжної картки або паролі до онлайн-банкінгу, перевірте адресу необхідного ресурсу, адже будь-які відмінності можуть свідчити про те, що ви опинилися на фішинговому сайті.
Якщо потрібно перейти на сайт компанії, адресу якого ви отримали в посиланні, введіть у пошуковій системі назву необхідного сайту і лише тоді переходьте на вебресурс.

Звертайте увагу на протокол сайту.

http – це ненадійний протокол, це означає, що сайтом користуватися не можна.
https – потрібно продовжити перевірку сайту.

Не вводьте реквізити платіжних карток у чат-ботах.

Користуйтеся лише офіційними контактами банку, зазначеними на його сайті.

Шахраї створюють підроблені Telegram-боти та групи, які виглядають як офіційні. Вони можуть копіювати назву, логотип банку чи іншої установи і навіть підробляти значок верифікації («блакитну галочку»), додаючи схожі емодзі до назви акаунту.

Популярна схема шахрайства – фейкові «банківські» боти, через які нібито можна оформити грошову допомогу. Вони просять ввести дані картки, після чого кошти можуть бути викрадені.

Використовуйте лише офіційні контакти, вказані на сайті банку!

Надавайте перевагу іншим каналам зв’язку з банками та організаціями: використовуйте офіційний сайт, мобільний додаток, офіційний номер телефону банківської чи будь-якої іншої установи.
Не погоджуйтеся на оформлення грошової допомоги через чат-бот.

Якщо потрібно скористатись чат-ботом, знайдіть посилання на нього на офіційному сайті або в офіційному застосунку банку.

Якщо ви випадково розкрили дані платіжної картки на підозрілому сайті, чат-боті негайно телефонуйте до банку за номером, зазначеним на звороті картки.

Якщо ви стали жертвою шахраїв, напишіть заяву до Кіберполіції за цим посиланням або повідомте про ваш випадок за номером телефону:
0 800 505 170.

Захистіть свої акаунти двічі:

1. Створіть складний пароль до електронної пошти, соціальних мереж та інтернет-банкінгу.
Складний пароль може містити:

12 і більше символів;
великі та малі літери;
цифри та спеціальні знаки / символи.

Створюйте унікальний пароль для кожного інтернет-банкінгу, електронної пошти, соціальних мереж тощо.

Під час створення пароля не використовуйте:

особисту персональну інформацію (дата народження, адреса, номер телефону тощо);
загальновідомі комбінації паролів (наприклад, Qwerty12, Password123456, Admin1234 тощо);
послідовне / зворотне написання символів або цифр.

2. Установіть двофакторну автентифікацію.

Двофакторна автентифікація – це, коли для входу до акаунту, крім логіна та пароля, потрібно ввести код підтвердження, що надходить на смартфон, електронну скриньку або у відповідний додаток.

Надійно зберігайте та не розголошуйте свій пін-код!

Змінюйте пін-код до картки:

регулярно: 1 раз на 3 місяці,
ситуативно: якщо виникла підозра, що ще хтось його може знати.

Більше про паролі та двофакторну автентифікацію читайте на сайті НБУ та Держспецзв’язку #КібербезпекаФінансів.

Відеоінструкції про налаштування двофакторної автентифікації в популярних месенджерах та сервісах за посиланням.

ПОШИРЕНІ СХЕМИ ШАХРАЙСТВА

Злам акаунтів у соціальних мережах

Шахраї зламують акаунти в соціальних мережах та месенджерах через фішингові посилання, під виглядом пропозицій взяти участь у голосуванні, конкурсі, пропозицій роботи в інтернеті тощо.

Перейшовши за посиланням, користувачі вводять логін і пароль, які одразу стають відомі шахраям.
Шахраї від імені власника акаунту просять у друзів жертви гроші. Для цього розсилають їм однакові повідомлення з проханням позичити гроші.

Щоб не стати жертвою шахрайства: не переходьте за підозрілими посиланнями, перетелефонуйте другові, перш ніж надсилати гроші, або запитайте щось, що знаєте тільки ви вдвох.

Шахрайські QR-коди

Шахраї підмінюють QR-коди на офіційних інформаційних табличках або просто розміщують їх в громадських місцях. Скануючи такі коди, користувачі потрапляють на підроблені сайти, що імітують реальні онлайн-сервіси. У результаті зловмисники можуть отримати доступ до банківських даних і викрасти кошти. Найчастіше такі випадки трапляються в місцях, де люди активно використовують QR-коди для швидких оплат: під час паркування, оплати проїзду в громадському транспорті, відвідування заходів чи здійснення благодійних внесків.

Щоб не стати жертвою шахрайства: завжди перевіряйте адресу сайту перед введенням будь-яких конфіденційних даних.

Шахрайство під виглядом соціальних виплат

Шахраї привласнюють гроші під виглядом надання виплат українцям, які постраждали від війни. Для цього роблять смс-розсилання та розсилання в месенджерах про нарахування соціальних виплат, зокрема єПідтримки, допомоги від ЄС, представників ООН, Червоного Хреста, різних програм благодійних фондів. У розсиланнях шахраї пропонують перейти за посиланням для зарахування коштів просять ввести номер мобільного телефону, пін-код, пароль до інтернет-банкінгу, смс-код від банку.

Отримуйте інформацію лише з офіційних джерел!

Якщо ви оформлювали соціальну допомогу, очікуйте сповіщення про нарахування в застосунку вашого банку або на порталі чи застосунку Дія.

Телефонне шахрайство

Телефонне шахрайство – це вид шахрайства, коли шахрай телефонує і переконує жертву повідомити особисту, фінансову чи конфіденційну інформацію або переказати гроші.

Що потрібно шахраю?

Реквізити платіжної картки.
Паролі, коди банків та мобільних операторів.
Кодові слова.
Зняти ліміти з картки жертви.
Переконати жертву здійснити переказ коштів на свою користь.

Що робити?

Якщо телефонує працівник банку, скажіть, що ви зараз перетелефонуєте самостійно на офіційний номер банку, який зазначений на платіжній картці.

Припиніть розмову, якщо...

запитують термін дії картки, тризначний номер на звороті картки, паролі, коди банків та мобільних операторів;
керують у телефонній розмові вашими діями (просять зробити трансакцію, встановити програму на ваш пристрій);
просять сфотографувати та переслати/надати фото платіжної картки;
лякають, що ваша картка заблокована, а злочинці зламали рахунок;
просять перейти за посиланням та зазначити всі персональні дані та реквізити платіжної картки.

Шахрай може назватися будь-ким!

Працівником банку.
Працівником НБУ, Пенсійного фонду, Фіскальної служби.
Працівником поліції.
Працівником комунальних служб.
Працівником мобільного оператора.
Покупцем вашого товару тощо.

Випадково повідомили шахраю реквізити картки та паролі?

Якщо ви повідомили шахраю дані про картку, негайно заблокуйте картку, якщо повідомили пароль до інтернет-банкінгу, негайно заблокуйте картки, рахунки та доступ до інтернет-банкінгу.

(Телефонуйте на гарячу лінію банку, зазначену на звороті картки або через інтернет-банкінг)

Зверніться до Кіберполіції онлайн

(за посиланням ticket.cyberpolice.gov.ua)

Поширені сценарії телефонного шахрайства

Шахраї телефонують та представляються працівниками служби безпеки банку та виманюють у громадян конфіденційну інформацію
про їхні картки та рахунки, що потім дає змогу привласнити кошти громадян.

Під час таких телефонних розмов шахрай може:

Варіант 1

Запевняти, що до рахунків громадянина отримали доступ сторонні особи. Надалі шахрай випитує фінансові дані нібито для запобігання шахрайству, однак, отримавши ці відомості, привласнює гроші;

Варіант 2

Запевняти, що старий банківський застосунок не працює, і пропонувати завантажити новий. Якщо жертва виконує вказівки, шахраї отримують її дані для входу в інтернет-банкінг, далі просять назвати код з смс чи дзвінків від банку, що дає їм змогу отримати доступ до інтернет-банкінгу і викрасти кошти.

Варіант 3

Повідомляти про кібератаку на ІТ-систему банку та просити перерахувати гроші на тимчасовий безпечний рахунок, який насправді є рахунком шахрая;

Варіант 4

Просити встановити програму віддаленого доступу для посилення заходів безпеки. Якщо громадянин виконує вказівки, шахрай отримує віддалено доступ до його онлайн-банкінгу та від імені громадянина перераховує кошти на інший рахунок.

Шахрайство з використанням технології спуфінг

Спуфінг – це технологія, коли шахраї маскуються під офіційне надійне джерело (наприклад, банк, державну установу тощо) для отримання доступу до конфіденційних даних, що дає змогу потім викрасти кошти.

Спуфінг може бути реалізований через електронні повідомлення, смс-повідомлення, телефонні дзвінки тощо. Тобто людині телефонує чи пише шахрай, а на екрані смартфона відображається український номер банку, мобільного оператора, пенсійного фонду, податкової, поліції тощо.

Телефонні дзвінки від імені банків з використанням технології спуфінг.

Шахраї використовують спуфінг для підміни номера телефону, щоб імітувати дзвінки від банків. Роботизований голос під різними приводами повідомляє про необхідність надання банківських конфіденційних даних фейковому працівникові банку. Отримавши ці відомості, зловмисники привласнюють кошти.

Смс-повідомлення від імені банків з використанням технології спуфінг.

Шахраї використовують спуфінг для підміни номера телефону, щоб імітувати смс від банків. В таких ситуаціях смс-повідомлення від шахрая "підтягується" до ланцюжка листування з банком, тобто під час перегляду смс-повідомлення від шахрая можна бачити також попередні повідомлення від банку.

Фінансовий номер

Фінансовий номер телефону – це номер, прив’язаний до банківських рахунків.

На цей номер надходять:

коди підтвердження операцій;
паролі від банкі;
інформація про баланс коштів на рахунках.

Фінансовий номер потрібен для використання послуги інтернет-банкінгу та для віддаленої ідентифікації клієнта під час звернення до банку.

Як шахраї можуть скористатися фінансовим номером телефону?

Викрасти гроші з рахунків, придбати товари у звичайному магазині, на інтернет-сайтах або взяти онлайн-кредити!

Як шахраю це вдається?

Шахрай телефонує та представляється працівником мобільного оператора.
Під різними приводами випитує в абонента смс-код від мобільного оператора, що дає шахраю змогу перевипустити віддалено сім-картку.

Щоб випитати смс-код, шахрай може:

запропонувати перейти на нові поліпшені стандарти зв’язку;
повідомити, що сім-картка абонента не приймає дзвінки, тому потрібно перейти на е-сім (електронну сім-картку) тощо.

Що робити?

Завести для спілкування з банком окрему сім-картку та не розголошувати свій фінансовий номер телефону.

Не "прив’язуйте" фінансовий номер телефону до соціальних мереж, месенджерів та не використовуйте його для авторизації в інших системах.
Не залишайте фінансовий номер як контактний номер в анкетних даних та не використовуйте його для щоденного спілкування.
"Прив’язати" фінансовий номер телефону до своїх паспортних даних або перейти на контракт з мобільним оператором.
Відключити послугу віддаленої заміни сім-картки у свого мобільного оператора.
Зареєструватися в онлайн-кабінеті мобільного оператора.
Установити пін-код на сім-картку зі складним восьмизначним паролем та пароль блокування телефона.

Тримайте в секреті:

логін на пароль до онлайн-кабінету мобільного оператора;
смс-коди операторів;
PUK-код та серійний номер сім-картки.

PUK 1 та серійний номер є на пластику від вашої старої сім-картки.
Також PUK-код можна дізнатися, зателефонувавши на "гарячу лінію" мобільного оператора, або в особистому кабінеті на сайті мобільного оператора.

Сім-картка перестала працювати, що робити?

Якщо сім-карта перестала працювати, то є велика ймовірність, що шахраї в злочинний спосіб здійснили перевипуск вашої сім-картки.

Перше, що потрібно зробити, – захистити свої рахунки, картки та облікові записи до яких прив’язаний номер телефону.

Як діяти?

1. Негайно заблокувати картки, рахунки та доступ до інтернет-банкінгу, зателефонувавши до банку за номером, який зазначено на звороті картки.

2. Зателефонувати до мобільного оператора, пояснити ситуацію та просити заблокувати обидві сім-картки (стару та нову) до з’ясування всіх обставин.

3. Заблокувати доступи до всіх рахунків, облікових записів та персональних кабінетів до яких прив’язаний вкрадений номер телефону.

Безпечний онлайн-шопінг

Купувати онлайн зручно, але, щоб покупки були безпечними, застерігаємо вас від шахрайства! Шахрай може замаскуватися як продавцем, так і покупцем.

Ознаки шахраїв в онлайн-торгівлі

Псевдопродавець:

пропонує занадто занижену вартість товару;
не погоджується на покупку з післяплатою або просить перерахувати часткову оплату на картку;
поспішає з оплатою товару;
надсилає договір поставки замовленого товару, щоб викликати довіру;
переводить спілкування з особистого кабінету на сайті дошки оголошень у месенджер;
надсилає скорочені посилання нібито на сайт для оформлення послуги;
просить вас зняти ліміт з картки для проведення оплати, адже йому
про це надійшло сповіщення від банку;
попереджає, що зараз вам надійде смс-повідомлення для підтвердження замовлення, оформлення послуги чи оплати товару.

Пам’ятайте! Шахраї можуть створювати ілюзію роботи справжнього магазину:

швидко відповідати на повідомлення;
допомагати підібрати розмір;
консультувати з приводу характеристик товару;
обіцяти швидку доставку.

Схема шахрайства на торговельному онлайн-майданчику

Шахрай шукає оголошення на онлайн-платформі OLX, пише продавцю в месенджер (вайбер, телеграм, WhatsApp).

Далі аферист погоджується купити товар, каже, що оформив покупку за допомогою OLX-доставки і для отримання коштів продавцю потрібно перейти за індивідуальним посиланням і зазначити дані своєї карти, щоб продавець міг нібито отримати оплату на картку.

Продавець переходить за посиланням, вводить усі реквізити картки.

Шахрай випитує в продавця дані про залишок коштів на картці та смс-код від банку. Отримавши інформацію, привласнює кошти з рахунків.

Щоб ввести в оману продавців, шахраї створюють шахрайські сайти, які візуально схожі на справжній сайт OLX. На таких підроблених сторінках також може бути форма спілкування в чаті, яка нічого спільного з реальною підтримкою OLX не має.

Лайфхаки безпечних онлайн-покупок

Користуйтеся віртуальною карткою для покупок онлайн!

Перераховуйте на неї тільки ту суму, яка потрібна для здійснення покупки.

Тримайте в секреті

тризначний номер на звороті картки;
коди банків та мобільних операторів;
пароль до інтернет-банкінгу.

Не переходьте в месенджери, коли купуєте на торговельному майданчику:

обговорюйте деталі угоди, використовуючи додаток торговельного майданчика або виключно в його чаті на офіційному сайті;
не реагуйте, якщо вам пропонують спілкуватися в месенджерах (Viber, Telegram, WhatsApp).

Онлайн-покупки в інтернет-магазинах в інстаграмі!

Пам’ятайте, коли ви купуєте в інстаграмі чи на не спеціалізованих торговельних майданчиках, завжди є ризик зіткнутися із шахраями.
Купуйте на перевірених сайтах та майданчиках, призначених для онлайн-покупок.
Якщо ви все ж таки обираєте для здійснення покупок інтернет-магазини в інстаграмі, уважно проаналізуйте їх сторінки.

ПЕРЕВІРТЕ дати опублікування дописів на сторінці.

Шахраї часто публікують багато дописів за кілька днів, щоб створити враження, що магазин давно працює.

ПЕРЕВІРТЕ інформацію про акаунт.

Для цього натисніть на три крапки у верхньому куті профіля та натисніть "About this account".

Зверніть увагу на:

дату приєднання (шахрайські сторінки зазвичай створені недавно та швидко видаляються);
розташування акаунта;
зміну імені акаунта. Перейменування акаунта може бути ознакою діяльності шахраїв під різними назвами або викрадення шахраями акаунта.

ВАЖЛИВО! Це лише ознаки сторінок шахрайських інтернет-магазинів в інстаграмі! Деякі шахрайські магазини можуть добре приховувати свою діяльність та мати велику історію публікацій.

Схема шахрайства в інстаграмі

Шахраї після отримання передоплати за неіснуючий товар намагаються привласнити всі кошти з рахунку покупця.

Приклад такої ситуації:

покупець знаходить магазин одягу в інстаграмі, обирає потрібний товар, отримує консультацію та домовляється про доставку та оплату. Після того, як покупець оплачує товар, через певний час шахраї повідомляють, що товару необхідного розміру немає, тому вони повернуть кошти. Щоб повернути кошти, кажуть покупцю про те, що слід авторизуватися на сайті інтернет магазину та ввести всі реквізити своєї картки. У такий спосіб шахраї не лише крадуть гроші за товар, який не надсилають, а й привласнюють гроші з картки покупця.

Купуєте в інтернеті – надавайте перевагу післяплаті!

Будьте уважними до сайтів, де купуєте та оплачуєте товар!

Шахраї створюють сайти-клони, полюючи на повні реквізити карток, коди та паролі.

Ввели реквізити картки і зрозуміли, що сайт шахрайський?

Негайно заблокуйте картку!

(Зателефонуйте на гарячу лінію банку, зазначену на звороті картки, або зверніться до банку через інтернет-банкінг)

Зверніться до кіберполіції онлайн

(за посиланням ticket.cyberpolice.gov.ua)

Грошові мули

Не передавайте свою платіжну картку чи банківський рахунок стороннім особам! Не ставайте співучасником злочину!

"Грошові мули" (або дропи) – це люди, які за винагороду передають в користування свої платіжні картки та банківські рахунки іншим особам, допомагаючи в такий спосіб (свідомо чи несвідомо) шахраям.

Остерігайтеся пропозицій "орендувати" вашу картку чи банківський рахунок!

Шахраї розміщують оголошення, де пропонують взяти в "оренду" банківські картки та рахунки за винагороду (≈1000 грн/день).
Або пропонують роботу, що передбачає відкриття рахунку на своє ім’я для переказу коштів.

Чому небезпечно погоджуватися на такі пропозиції?

Шахраї використовують чужі картки та рахунки для незаконних дій (шахрайство, тероризм, торгівля людьми, наркотиками та інші тяжкі злочини). Гроші переказують через різні рахунки, щоб приховати їхнє походження, водночас злочинці залишаються в тіні.

Власник платіжної картки та банківського рахунку в такій схемі стає співучасником злочину, навіть якщо він цього не усвідомлює.

Відповідальність і ризики "грошових мулів"

Кримінальна відповідальність

Навіть якщо людина не усвідомлює своєї участі у злочині, вона все одно може бути притягнута до кримінальної відповідальності за співучасть у незаконних діях або фінансуванні тероризму.

Проблеми з доступом до банківських послуг та працевлаштуванням

В майбутньому дроп може бути обмеженим у доступі до банківських послуг (усіх банків), а також отримати «пляму» на репутації і мати проблеми під час працевлаштування.

Стати "грошовим мулом" – зіпсувати власне майбутнє.

Ризик втрати грошей

Власники рахунків або карток можуть втратити всі свої заощадження через шахрайські операції, навіть якщо вони не будуть залучені до кримінальної справи. Залишаючи свої фінанси під контролем сторонніх осіб, громадяни ставлять під загрозу не тільки свою безпеку, але й майбутнє своєї родини.

Особиста відповідальність

Стати "грошовим мулом" — це не просто проблема з законом, це проблема моральності. Уникати участі в злочинних схемах — це відповідальний крок заради власної безпеки.

Як не стати "грошовим мулом"?

Не передавайте платіжну картку, її реквізити,
реквізити рахунку в користування іншим особам!

Ігноруйте вакансії чи роботу, які передбачають продаж або оренду вашого банківського рахунку та картки, переказ грошей між рахунками, зняття готівки для сторонніх осіб тощо.

Як відрізнити пропозицію стати "дропом" від інших пропозицій про роботу?

В описі роботи зазначено, що необхідно переказувати гроші.
Не описані конкретні професійні вимоги до претендента роботи, немає переліку його обов'язків, крім переказу грошей.
Немає вимог до освіти та досвіду роботи.
Робота передбачає тільки онлайн-взаємодію з роботодавцем (без особистого спілкування).
Пропозиція про роботу передбачає високий дохід за мінімум зусиль. Деякі оголошення пропонують витрачати в день близько 10 хвилин, щоб заробляти до 10 тисяч гривень на місяць.

Отримали пропозицію стати "грошовим мулом" – повідомте про це Кіберполіцію

Стати "грошовим мулом" можна неусвідомлено, тож, якщо ви на якомусь етапі зрозуміли, що встигли погодитися на схожу пропозицію і надали дані своєї картки / рахунку шахраям, слід звернутися до Кіберполіції, залишивши заяву на сайті або зателефонувавши за номером: 0 800 505 170.

Також негайно зверніться до банку та заблокуйте рахунок.

Матеріали з платіжної безпеки

Плакати

Відео

Сайт #КібербезпекаФінансів

Бібліотека матеріалів для освітян

Вікторини на платформі "Kahoot"

Про кампанію

#ШахрайГудбай – це інформаційна кампанія, що спрямована на підвищення обізнаності українців про безпеку безготівкових розрахунків та способи захисту від платіжного шахрайства в інтернеті.

З початком повномасштабного вторгнення зросла активність кіберзловмисників, зокрема у сфері платіжного шахрайства. Водночас збільшується сума фінансових втрат, пов’язаних із незаконними операціями за участю платіжних карток.

Як в Україні, так і у світі одним із найпоширеніших методів залишається соціальна інженерія — коли шахраї переконують людей самостійно надати конфіденційну інформацію: реквізити карток, коди підтвердження чи паролі. Торік саме цей метод спричинив 84% від загальної суми всіх зафіксованих збитків.

Тому підвищення рівня обізнаності про безпечне користування платіжними картками та інтернет-банкінгом сприятиме більшій обережності під час здійснення безготівкових розрахунків і допоможе уникати ризиків у цифровому середовищі.

Кампанія #ШахрайГудбай, організатором якої є Національний банк України, Департамент кіберполіції Національної поліції України і Державна служба спеціального зв’язку та захисту інформації України, об’єднала близько 80 партнерів – це банки, платіжні системи, мобільні оператори, мережі магазинів, АЗС, ТРЦ, громадська організація, асоціація, інтернет-провайдер, радіостанція, комунальне підприємство, компанія з управління базами даних, розробник антивірусного програмного забезпечення, державні установи.

Ми заручилися підтримкою партнерів, щоб спільними зусиллями розповісти про основні правила платіжної безпеки якомога більшій аудиторії.

Організатори вдячні за підтримку кампанії всім партнерам.