Підтримати

Доки ви спали, шахраї «працювали». Як у клієнтів ПУМБ уночі викрадали гроші з рахунків і до чого тут «Монобанк»

Павло Калашник

Журналіст

«Нікому не повідомляйте свій ПІН-код, навіть працівникам банку» — такі або схожі повідомлення отримував кожен із нас, адже банки хвилюються за наші гроші на їхніх рахунках. Чи не дуже?

У багатьох клієнтів банку ПУМБ, що належить олігархові Рінату Ахметову, у лютому й березні з’явилися доволі серйозні сумніви щодо цього. Щонайменше десятки клієнтів банку стали жертвами шахраїв, які вивели гроші з їхніх карток. У ПУМБі спочатку відхрещувалися від проблеми, але потім таки визнали її. То що ж трапилося?

Нічні крадії

З початку лютого на сайті «Мінфін» (не плутати з Міністерством фінансів) почали з’являтися відгуки клієнтів банку ПУМБ щодо списання грошей із карток шахраями.

«18 лютого приблизно о 5 ранку вкрадені із зарплатної карти гроші. Здійснили три перекази на 1500, 2650, 2700 грн. Дані карти я ніде не світив, невідомі номери не телефонували, підозрілі смс не приходили, сім-карту не відновлював, підозрілих входів не було, паролі від онлайн-банкінгу та ПІН-код ніхто не знає», пише один із постраждалих.

Інша жертва розповіла, що 23 лютого, після того, як розплатилася через термінал у магазині, отримала смс про баланс на картці — і там не вистачало 8 тисяч гривень.

«Я одразу зайшов у додаток ПУМБ-онлайн і виявив, що 22 лютого о 7:09 було три платежі на суму 2700 грн кожний із позначкою MONODirect Kyiv UA», — ідеться у відгуку.

А ось житель Донеччини Ігор Білозеров навіть записав відео на YouTube, яке вже набрало понад 66 тисяч переглядів. У ньому чоловік розповів про викрадення 16 тисяч гривень із його рахунку. У коментарі hromadske він розповів, що після публікації відео йому написали щонайменше 20 постраждалих клієнтів банку, а один його знайомий повідомив про списання 2 тисяч доларів.

«21 лютого консультант у банку мені сказав (і це є на відео), що дуже багато шахрайських операцій», — каже Білозеров.

І як украли гроші?

Судячи з цих відгуків, зникали кошти в один і той же спосіб: шахраї якось отримували доступ до онлайн-банкінгу ПУМБ, прив’язували карту до «Монобанку» — в усіх випадках платіж проходив із позначкою MONODirect Kyiv UA — і переказували туди гроші кількома транзакціями.

Здійснювали ці операції шахраї здебільшого вночі або рано-вранці, коли власники рахунків ще спали. Але як саме це вдалося — головна загадка шахрайської схеми.

Ігор Білозеров розповів, яку схему йому назвали в банку: «Карту ПУМБ прив’язали в додатку “Монобанк” за допомогою мого застосунку ПУМБ-онлайн. Увійшли в додаток, натиснули “дізнатися код на зворотному боці карти, який часто виманюють шахраїcvv-код карти”, після чого мені в особисті повідомлення на смартфоні прийшла смс із цим кодом. Вони її прочитали, дізналися cvv-код, прив’язали карту і потім швидко почали списувати мої гроші».

У цьому випадку смс справді отримав потерпілий, проте багато жертв кажуть, що їм такі повідомлення на смартфон не приходили. Тому дехто не одразу зрозумів, що кошти вкрали.

І що з грошима?

У своїх відгуках жертви писали, що їм у поверненні коштів відмовили. У ПУМБі пояснили, що в операціях була «біометрична ідентифікація з використанням тобто ідентифікація за сканом обличчя чи відбитка пальцяFace ID/Touch ID у застосунку ПУМБ-онлайн, а в такому разі, згідно з правилами, кошти не повертають.

Деякі постраждалі також звернулися до поліції, зробив це й Ігор Білозеров. Він розповів нам, що вже протягом місяця звідти не відповідають.

«Написав заяву в Кіберполіцію — тиша, писав до НБУ — тиша, писав до Фінансово-промислова група Ріната Ахметова, до якої входить і банк ПУМБСКМ — тиша», — каже чоловік.

Білозеров звертався й до «Монобанку», але там порадили дізнаватися дані про отримувача грошей (тобто куди шахраї вивели кошти) у ПУМБі. Через якийсь час чоловіку вдалося дізнатися номер карти, але «Монобанк» розкривати інформацію про власника рахунку відмовився.

«Вони сказали, що можуть надати дані про власника такої карти лише поліції й винятково за рішенням суду», — каже Ігор.

Також він додав, що з тих понад 20 клієнтів, які йому писали про свої історії викрадення грошей, спочатку відмову отримали всі, а «рух» розпочався, коли вийшло його відео.

Сайт «Мінфін» зазначає, що масово про випадки шахрайства люди почали писати вже в березні, тож, схоже, ПУМБ уже не міг не реагувати.

Реакція ПУМБу

17 березня на сайті банку з’явилася заява, у якій вказано, що він провів розслідування й обіцяє повернути гроші «в усіх випадках, які підпадають під ознаки операцій, за якими банк здійснює компенсації».

І хоч у банку запевняють, що вони мають високий рівень захисту даних, відповідь опосередковано свідчить про існування дірки в системі захисту. Так, повернути кошти ПУМБ пообіцяв тим, хто постраждав від шахрайства в конкретний період — з 5 лютого до 10 березня. Після цієї дати проблему вдалося розв'язати, каже банк.

«Додатково ПУМБ увів ще один контроль проведення платежів для запобігання таким випадкам у майбутньому», — ідеться в заяві.

Ми звернулися до пресслужби банку по додатковий коментар — і ось що там розповіли.

Існування «шахрайської схеми» ПУМБ заперечує і вказує, що всі входи в онлайн-банкінг, за допомогою яких украли кошти, відбувалися «з коректним введенням конфіденційної інформації (логін, пароль), що є типовою поведінкою звичайного клієнта».

«Керівництво ПУМБ ухвалило рішення у певних випадках відшкодувати клієнтам кошти, які були списані з їхніх рахунків у шахрайський спосіб, у межах лояльного ставлення банку до своїх клієнтів. Правоохоронні органи повинні встановити винних осіб, які мають відшкодувати ПУМБ завдані збитки», — ідеться у відповіді на запит hromadske.

Конкретний спосіб, за допомогою якого шахраї викрадали гроші, також повинні з'ясувати правоохоронці, розраховує банк. Ми звернулися до Кіберполіції, але відповіді поки що не отримали.

Також у ПУМБі виключають причетність своїх працівників до злиття даних клієнтів (дехто з жертв висловлював подібні припущення).

«У банку не зберігаються паролі до інтернет-банкінгу клієнтів у незахищеному вигляді. Компрометація логіна та пароля можлива лише з боку клієнтів (використання паролів електронних поштових скриньок, паролі до систем інтернет-банкінгів інших фінансових установ, введення паролів на шахрайські сайти, які крадуть особисті дані користувачівфішингових сайтах тощо)», — запевнили в банку.

У своїй відповіді пресслужба ПУМБу повідомила, що компенсації клієнтам виплатили 18 березня. На сайті «Мінфін» деякі жертви справді розповіли про повернення грошей, хоча далеко не всі скарги помічені як розв’язані. Ігор Білозеров заявив нам, що йому гроші поки не повернули, хоча в банку пообіцяли зробити це.

«Сказали, що якась сума зависла на карті шахрая», — уточнив він.

Пресслужба ПУМБу відмовилася повідомити нам, скільки людей звернулися з такою проблемою, скільки клієнтів отримали компенсації та яка загальна сума цих відшкодувань. Розповіли тільки, що найбільша сума компенсації одному клієнтові — 16 тисяч гривень.

Ілюстративне фотоdepositphotos

Розслаблятися не варто

Як розповіли в ПУМБі, після запровадження додаткового захисту нові подібні звернення до банку не надходили. Однак hromadske поговорило з одним із клієнтів, у якого шахраї списали гроші вже після 10 березня. Хоча цей випадок, схоже, більш прозаїчний.

Сергій працює у великій українській IT-компанії Sigma Software, він став жертвою шахраїв 13 березня. З його карти списали понад 20 тисяч гривень, а вдалося це шахраям завдяки перевипуску його мобільного номера, прив’язаного до банківської карти. Постраждалий пояснює: сім-карту «викрали», бо вона не була прив’язана до паспорта.

«Перевипустили сім-карту, я цього одразу не зауважив, а помітив уже, коли прийшло повідомлення про підтвердження транзакції, яку я не здійснював. Намагався подзвонити кудись, заблокувати карти, але, звісно, уже нічого не працювало (тобто його сім-карта вже була заблокована — ред.)», — розповів Сергій.

Кіберполіція попереджала про популярність такої схеми. Шахраї телефонують декілька разів (відрекомендувавшись таксі, організаціями тощо) і схиляють жертву перетелефонувати. Після цього вони замовляють в оператора послугу відновлення сім-карти, а для цього треба назвати останні набрані номери. Також шахраї можуть поповнити рахунок жертви, аби знати останню суму поповнення.

Після отримання контролю над сім-карткою зловмисники використовують її для зміни пароля інтернет-банкінгу і після цього можуть розпоряджатися коштами.

Відмінність випадків, що сталися з клієнтами ПУМБ у лютому-березні, в тому, що їхні сім-карти не перевипускали, а списати гроші шахраї змогли й без цього.

Сергій дивується, як шахраї змогли перевипустити його сім-карту, адже він і сам не пам’ятав останні набрані номери.

«Вже у відділені оператор разом зі мною підбирав номери недавніх дзвінків, і підійшов якийсь номер, який навіть не був записаний, я телефонував туди один раз — замовляв їжу. Незрозуміло, як у шахраїв опинилися мої дзвінки, коли я сам не міг їх назвати», — сказав він.

Хай там як, шахраї отримали доступ до ПУМБ-онлайн і переказали кошти. І Сергій — не єдина жертва навіть у своїй компанії. За словами хлопця, він знає ще трьох постраждалих, у кожного списали понад 16 тисяч.

Також Сергій зазначає цікавий нюанс — у нього та у його трьох колег гроші списали після отримання зарплати, і сталося це після 10 березня. ПУМБ же пообіцяв компенсації тим, хто постраждав до 10 березня. Тож Сергій та його колеги не знають, чи вдасться їм повернути кошти.

«Я розмовляв із менеджеркою ПУМБу й запитував, чому вони прив’язуються до 10 числа. Якщо після цієї дати, то вже не рахується? Вона не змогла дати чіткої відповіді. А конкретно щодо наших випадків вона сказала, що ситуація на розгляді служби безпеки банку. Відповідно, поки жодних обіцянок немає», — підсумував Сергій.

Як мінімізувати ризики?

У самому ПУМБі клієнтам дали низку рекомендацій, як запобігти атакам шахраїв:

  • змінювати пароль для входу у застосунок «ПУМБ Online»;
  • не використовувати паролі, які вводили на будь-яких інших сайтах;
  • встановлювати окремі паролі в мобільному застосунку кожного банку, де клієнти обслуговуються;
  • прив’язати мобільний номер до паспорта;
  • встановити денні ліміти в інтернет-банкінгу.

Поради дає й кіберполіція. Так, правоохоронці рекомендують:

  • використовувати окремий номер телефону для прив’язування до картки (фінансовий номер) та не передавати його стороннім;
  • використовувати лише офіційні застосунки мобільного банкінгу, інакше ви можете завантажити фішинговий додаток;
  • увімкнути послугу додаткового пароля для здійснення операцій із сім-карткою;
  • не передавати картку стороннім під час розрахунків у закладах харчування, магазинах тощо;
  • не використовувати неперевірені ресурси для оплати товарів чи послуг онлайн, вони можуть бути фішинговими;
  • для онлайн-розрахунків використовувати сайти із захищеним протоколом (https://).

Насамкінець слід пам’ятати ази — не розголошуйте конфіденційну інформацію, як-от номер банківської картки, термін її дії, cvv-код, ПІН-код, логін і пароль інтернет-банку, інформацію з смс, фінансовий номер телефону. І не варто телефонувати на номер із повідомлення, яке нібито надіслав банк.