“Отримайте виплату в розмірі 1000 гривень”, “Проголосуйте за мою доньку, яка бере участь у конкурсі”, “Підпишіть петицію про присвоєння “Героя України”… Щодня у соцмережах та месенджерах люди бачать десятки таких дописів та повідомлень. Водночас кількість випадків злому акаунтів у соціальних мережах та вимагання грошей від імені потерпілих постійно збільшується. Яких даних достатньо шахраям, аби вкрасти ваші гроші, та які схеми шахрайств популярні зараз, з’ясовувала журналістка Точки доступу Олександра Ільченко та перевірила цю схему на собі.
Як зламують наші акаунти
Протягом останніх років в Україні активно працює та набуває все більшої популярності шахрайська схема – розсилка фішингових посилань для злому акаунтів та крадіжки грошей.
Люди отримують у месенджерах (Telegram, Whatsapp чи Viber) повідомлення, яке містить якийсь заклик – наприклад, проголосувати у конкурсі або підтримати петицію.
Так, отримувачу такого повідомлення пропонують відвідати сайт, "авторизуватися" та підтримати конкурсанта/петицію.
Там вам запропонують сканувати QR-код та/або ввести номер телефону, а також ввести одноразовий код, який вам надійде. Якщо ви зробили ці прості кроки, то ваш акаунт вже зламали, тобто доступ до нього отримали шахраї.
Тепер від вашого імені можна вільно відправляти аналогічні повідомлення з фішинговими посиланнями або ж – вимагати гроші. Також шахраї можуть читати ваші повідомлення, бачити ваші фото та відео.
Але шахраї можуть діяти ще простіше. Саме так сталося у випадку головного лікаря Світловодської центральної районної лікарні Сергія Савича. Місяць тому невідомі створили акаунт в Telegram, використали фотографію лікаря як фото профілю та підписалися його ім’ям – “Савич С. В.” Колегам чоловіка почали надходити такі повідомлення:
Сергій розповідає – про те, що від його імені просять гроші, йому повідомили знайомі:
Але саме в цей період у місті були проблеми з електропостачанням, мій телефон був розряджений. Лише коли вдалося його зарядити, я поспілкувався з людьми, які повідомили, що від мого імені невідомі просять гроші. І, на жаль, були люди, які дійсно перерахували кошти на рахунок шахраїв, – розповідає Сергій Савич.
За його словами, розпізнати, що фінансової допомоги просить не Сергій, було легко – чоловік ніколи не спілкується російською. В той час як шахраї писали повідомлення саме так.
Звичайно, я звернувся до правоохоронців, втім, як мені пояснили, виявити шахраїв важко. Адже дуже легко та швидко можна змінити номер телефону та банківську картку.
Тож, якщо Ви отримали повідомлення з проханням підтримати когось у конкурсі, подивитися компрометуюче вас відео або надіслати гроші – варто зв’язатися з людиною, яка начебто відправила це повідомлення, в іншому месенджері або ж телефоном та перевірити, чи дійсно вона просить це зробити.
У випадку, якщо в повідомленні просять гроші, в Кіберполіції надають такі рекомендації:
- перетелефонуйте другу за номером, який ви точно знаєте, а не за тим, що вказаний на сторінці у соцмережах. Пам’ятайте: якщо шахрай зламав сторінку, то міг змінити номер телефону в профілі;
- запитайте друга про те, що можете знати тільки ви – таке питання одразу викриє шахрая;
- напишіть спільним друзям у соцмережах і запитайте, чи не отримували вони подібних повідомлень від людини, яка просить у вас фінансову допомогу. Шахраї одночасно роблять розсилку всім підписникам зламаної сторінки.
Якщо повідомлення містило посилання і ви все ж перейшли за ним, то не варто вказувати жодні дані, зокрема, вводити ваш телефон, а також код, який вам надійде.
Отримайте тисячу гривень від Дії/ООН/супермаркету
Ще однією розповсюдженою шахрайською схемою є маніпуляції з виплатами грошей. Для того, аби афера виглядала правдоподібно, шахраї створюють візуально схожий сайт, однак – із фішинговим посиланням.
Людям обіцяють виплату та пропонують ввести особисті дані та реквізити банківської картки. Таким чином шахраї отримують доступ до ваших грошей.
Це приклад одного з шахрайських постів у соцмережі про виплати:
Для експерименту переходимо за будь-яким з посилань і бачимо такий екран:
Обравши будь-який банк, переходимо на сторінку фейкової Дії. В цілому дизайн сторінок фейку та оригіналу має певну схожість: однакове меню, кнопки. Якщо людина зверне увагу на адресу посилання, стане очевидно, що вгорі – фішинговий фейк.
Тут нам ще раз нагадують, заради чого ми прийшли – виплата у 12 тисяч гривень.
Далі – цікавіше. Для отримання виплати тиснемо на іконки банків. Ось такий вигляд має фішингова версія Ощадбанку.
Майже нічого спільного з оригінальним сайтом, зокрема – дивне посилання.
(оригінальний сайт)
У цій фішинговій версії нам пропонують ввести номер телефону (1), далі – номер банківської картки (2), а потім – пін-код картки (3). Далі на ваш номер надійде дзвінок, в якому продиктують чотири цифри, які попросять ввести в наступному вікні (4). Таким чином шахраї отримали доступ до ваших фінансів.
Схожа схема у фішинговому Приватбанку. Дизайн має небагато спільного з оригіналом, крім корпоративних кольорів.
(оригінальний сайт)
(фіширговий сайт)
Знову ж – звертаємо увагу на посилання, вочевидь цей сайт не має нічого спільного з банком.
У фішинговому Приватбанку спочатку просять ввести номер телефону (2), потім пароль від Приват24 (3), а далі пін-код картки (4).
Після повідомлення “Вашу заявку прийнято в обробку” (5) ви дійсно побачите, як вас “обробляють”. В рамках експерименту авторка вказала свій справжній номер телефону, пароль та пін-код – вигадала. Вже за 5 хвилин почали надходити дзвінки з банку з проханням підтвердити вхід, а також – смс із тризначним кодом доступу.
Якщо ж ви ввели усі дані – шахраї вже отримали все необхідне, аби користуватися Вашими грошима.
Як показав експеримент, навіть, якщо ви ввели дані частково (наприклад, тільки номер телефону), ви все одно “на гачку” у шахраїв – вони намагатимуться увійти у ваш Приват24. Вам телефонуватимуть з банку з проханням підтвердити вхід, надходитимуть смс-повідомлення з кодом доступу, а зрештою – ваш акаунт заблокують через кілька невдалих спроб входу.
Як уберегтися
У Кіберполіції наголошують – щоб не стати жертвами аферистів, завжди перевіряйте інформацію про можливі грошові виплати на офіційних ресурсах організацій, від імені яких обіцяють допомогу.
Також не передавайте інформацію стороннім особам і не вводьте у різноманітних анкетах:
- тризначний номер на звороті банківської картки (CVV/CVC-код) та термін дії картки;
- пін-код від картки;
- логін і пароль для входу в інтернет-банкінг;
- коди й одноразові паролі, які вам надходять.
“Підпишіть петицію: залишилось зібрати зовсім небагато”
Шахраї не нехтують спекулювати на емоціях українців. Тому, серед дописів рідних і близьких з проханням підтримати петицію про відзначення військових, з’являється і низка шахрайських дописів.
У квітні цього року команда реагування на комп’ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв’язку, попередила про нову шахрайську схему, спрямовану на крадіжку акаунтів WhatsApp.
В цьому випадку шахраї діють так само, як і з кейсом “творчого конкурсу”:
- пропонують перейти за посиланням;
- на фейковому сайті необхідно ввести номер телефону та отримати код.
- далі людина вводить код у WhatsApp, щоб “додати довірений пристрій”.
Таким чином шахраї отримуть доступ до акаунту.
Як уберегтися:
Перш за все, у Держспецзв'язку попереджають, що не слід одразу ж переходити за посиланнями, які вам надіслали. Інформацію слід перевірити. У випадку з петиціями першочергово потрібно перевіряти назву сайту.
Посилання на офіційний сайт “Електронні петиції” має виключно такий вигляд: https://petition.president.gov.ua
Станом на квітень цього року правоохоронці виявили 18 фейкових доменів, де пропонують “підписати петицію”. Тоді ж направили запити щодо їх блокування. Наразі жоден з 18 сайтів не працює. Втім, шахраї можуть створювати нові.
Варто пам’ятати, що шахраї регулярно вигадують нові схеми, з допомогою яких здатні вкрасти гроші чи особисті дані людей. Для свого прибутку вони не цураються вдаватися до найпідступніших схем та спекулювати вашими емоціями й бажанням допомогти. Повідомляйте про виявлені схеми шахрайств у поліцію, а також надавайте у банки інформацію про фішингові ресурси. Там ви зможете допомогти іншим не стати жертвою тієї чи іншої схеми.
