30% украинских компаний пострадали от кибератак. Как «Приват», moneyveo и OLX борются с аферистами

Почти треть украинских компаний хоть раз страдала от действий киберпреступников. Жертвами становятся как бизнесы, так и их клиенты. В партнерском материале с moneyveo MC Today выяснял, как корпоративный сектор борется с мошенничеством и сколько на это тратит.

«За год потеряли около 3 млн грн». «ПриватБанк», OLX, Karabas.com и другие – о борьбе мошенниками

Криптоатаки и вымогательства

По данным PwC, 31% украинских компаний за последние несколько лет пострадали от киберпреступлений. Обычно хакеры используют доверчивость пользователей.

Например, злоумышленник рассылает письма с заголовками вроде «уведомление о повышении зарплаты». Сотрудник компании открывает вложенный файл – и компьютер заражен. Вирус шифрует данные на компьютере, и на экране появляется сообщение с требованием заплатить выкуп.

Сергей Харюк

«Я знаю случай, когда на этот трюк повелся глава отдела информационной безопасности», – рассказывает Сергей Харюк, технический директор компании PushRet, которая оказывает услуги по информационной безопасности. Правда, это был учебный тест, деньги компания не потеряла.

Обычно вымогатели называют сумму, которая приемлема для жертвы и не стоит того, чтобы обращаться в киберполицию. «Если месяц простоя из-за изъятия техники на время расследования киберполиции обойдется в $20 тыс., то преступники запрашивают $5-10 тыс.», – объясняет Сергей.

Компании такие случаи не афишируют. По наблюдениям эксперта, после истории с вирусом Petya, когда украинский бизнес потерял около 10 млрд грн, число атак с вымогательством уменьшилось примерно в три раза.

Нередко сами же хакеры готовы рассказать, какие «дыры» в безопасности они использовали и как их устранить. «У них креативный подход “криминал как сервис”», – улыбается технический директор PushRet.

Когда жертвы – клиенты банка

Олег Серга

«Банк сталкивается с мошенничеством каждый день», – говорит пресс-секретарь «ПриватБанка» Олег Серга. И добавляет: от действий мошенников страдает не сам банк, а непосредственно клиенты. Суммы потерь клиентов Серга не раскрывает.

По его словам, только 10% таких случаев приходится на технические атаки, например, вирусы на устройстве клиента или перехват паролей. Остальные 90% – выманивание реквизитов карты, срока действия, CVV, паролей в «Приват24» и паролей из SMS для подтверждения операций.

Например, в январе 2019 года мошенники создали поддельный аккаунт в Instagram под видом официального профиля банка. Там проводились розыгрыши и акции, участникам которых обещали 500 грн в обмен на номер своей карты.

Аккаунт набрал около 10 тыс. подписчиков, более 6,4 тыс. из них попались на удочку мошенников. Позже в банке нашли аналогичный аккаунт в Telegram, где жертвами обмана стали около 670 человек.

Кредит на чужое имя

Алекс Банасевич

В 2014 году в сервис онлайн-кредитования moneyveo один за другим стали обращаться футболисты одной команды. Как выяснилось потом, обращались не игроки, а их тренер. «У него был доступ к паспортам, телефонам и карточкам футболистов, и он не постеснялся воспользоваться этими данными», – вспоминает Алекс Банасевич, технический директор компании.

Еще один громкий случай произошел в августе 2018-го. Один из украинских банков выпустил предоплаченные карты, не привязанные к паспортным данным владельца. При этом по ошибке не внес информацию об этих картах в специальный межбанковский справочник карточных бинов. Бин – это первые 6 цифр номера карты, в которых «зашита» информация, в частности, о том, какой банк выпустил карту.

Преступники узнали об этой оплошности и стали открывать неименные карты в этом банке, а затем брать микрокредиты на чужие имена. От действий мошенников пострадали около 120 человек. Всем списали заем и обновили кредитную историю.

В целом в 2018 году в moneyveo потеряли из-за злоумышленников около 3 млн грн. По словам Банасевича, уровень мошенничества, зарегистрированный moneyveo, – 0,02%. Для сравнения: у международных платежных систем Visa и Mastercard этот показатель колеблется от 0,1 до 0,6%, в зависимости от видов транзакций.

Поддельные билеты и бракованные товары

Лидия Клов

В 2018 году более 50 тыс. человек купили билеты на киевский концерт группы Imagine Dragons. При этом около 2 тыс. билетов оказались поддельными. На этой афере мошенники заработали более 3 млн грн.

Соорганизатору выступления агентству Pop Corn CA в день концерта пришлось привлечь больше сотрудников, а также пригласить полицию, чтобы пострадавшие на месте оформляли заявления о мошенничестве. Преступников уже задержали, но еще не наказали.

«Единственное, что было в наших силах, – оставаться на связи. Репутационные потери невозможно оценить в денежном эквиваленте», – говорит директор агентства Лидия Клов.

«Люди часто выкладывают в открытый доступ штрихкод билета до начала мероприятия. Мошенники его копируют – и продают поддельные билеты. Это самый популярный вид мошенничества с билетами», – объясняет Максим Плахтий, основатель билетного сервиса Karabas.com.

По его словам, компания сталкивается с такой схемой практически на каждом крупном концерте. Бизнес не несет прямых потерь из-за мошенничества, но страдают зрители – а значит, уменьшается доверие к бренду.

В похожей ситуации торговая площадка OLX. Там покупают более 14 млн товаров в год, и не все продавцы ведут себя честно. Статистику по мошенничеству компания не афиширует. Но в Едином реестре судебных решений есть информация о раскрытых преступлениях.

Например, в Тернопольской области мужчина, торговавший через OLX, в 2016-2017 годах брал от покупателей предоплату в размере от 3 до 20 тыс. гривен за смартфоны – и не отправлял товар. В общей сложности он выманил более 180 тыс. грн. Мошеннику присудили три года условно, также он должен вернуть деньги пострадавшим.

Как защитить клиентов от мошенников

В moneyveo постоянно работают над тем, чтобы улучшить процедуру верификации клиента. «С октября 2018-го мы полностью перестали выдавать кредиты на неименные карты – выдаем только на именные», – рассказывает Алекс Банасевич. При этом, по его словам, банки не предоставляют никаких способов проверки владельца карты примерно по 7% карт. Moneyveo не оформляет кредиты на такие карты.

В компании создали сайт antifraud.moneyveo.ua, куда могут обратиться те, на чью карту был оформлен кредит без его ведома. Пострадавшим списывают заем и обновляют кредитную историю.

Максим Плахтий

При поддержке Karabas.com запустили портал officialtickets.org.ua, на котором можно узнать о правилах предосторожности и проверить подлинность билетов. «Мы постоянно предупреждаем клиентов, что в 99% случаев билет, купленный с рук, является подделкой», – объясняет основатель компании Максим Плахтий.

Кроме этого, два сотрудника Karabas.com следят за фото со штрихкодами билетов в социальных сетях. Если кто-то из клиентов выкладывает такое фото, компания предлагает сгенерировать билет с новым штрихкодом. На поддержку безопасности Karabas.com тратит около 70 тыс. грн в месяц. На то, чтобы оповестить клиентов о мошеннических схемах, — около 100 тыс. грн в месяц.

OLX два года назад запустил услугу «OLX Доставка». Покупатель выбирает отделение «Новой почты», из которого будет забирать посылку, и вводит данные карты, после чего на ней блокируется сумма за товар и доставку. Продавец получает оплату через два часа после того, как покупатель заберет товар из почтового отделения. Если вещь не подошла или оказалось бракованной, OLX возмещает продавцу расходы на обратную доставку, а покупателю в течение двух часов автоматически возвращаются деньги на карту.

В «ПриватБанке» автоматически отслеживаются необычные для клиента платежи – например, снятие слишком большой суммы. Эти операции останавливают для прохождения дополнительной верификации. Также банк составил советы клиентам, как не стать жертвой мошенничества.