“Це стосується тих коштів, які люди довіряють нам”: як волонтерам убезпечити себе від кібершахраїв
У чому проблема?
Під час збору "Джедаї ППО" благодійного фонду "Гуркіт" шахраї намагались викрасти понад мільйон гривень. Почалось все з повідомлення голові фонду Владиславу Самойленку нібито від відділу фінансового моніторингу Monobank.
Він мав пройти перевірку та підтвердити, що справді веде волонтерську діяльність на користь ЗСУ. Це цілком звична процедура і таке трапляється, коли сума одного донату доволі велика і перевищує певні ліміти.
Проте замість звичного спілкування із "банківською службою" у Viber, йому написали в Telegram. Тоді Владислав Самойленко запитав, чому так. На його занепокоєння відповіли, що це пов'язано з технічними роботами у звичному месенджері. Це звучало, як цілком логічне пояснення.
Далі голову фонду збентежило, що "представники банку" ініціювали розмову та зателефонували йому у месенджері. Всі попередні рази саме він писав у службу підтримки, коли блокували транзакції на банки фонду. Тоді шахраї пояснили це тим, що вони з іншого відділу та бачать, що така проблема системна, тож вирішили попіклуватись про свого клієнта.
Владислава Самойленка в це змусив повірити той факт, що шахраї були обізнанні у діяльності банку та озвучували йому начебто конфіденційну інформацію про його рахунки. Але насправді ці аспекти роботи банку знає чимала кількість людей з волонтерського середовища, а дані щодо рахунків можна було знайти, прогортавши сайт фонду.
"Зараз я вже розумію, що люди, які проводять подібні операції, готуються до них заздалегідь. Зокрема розбираються у технічних аспектах роботи банку. Вони також вивчають жертву до того, як власне телефонувати їй", — розповідає Владислав Самойленко.
Далі шахраї сказали, що викинуть Владислава з його кабінету в Monobank, а потім вони разом авторизуються знову. Після цих слів його дійсно викинуло з кабінету, але це зробили не шахраї, а система Monobank. Вона так робить, якщо хтось сторонній намагається зайти до вашого кабінету.
Потім шахраї сказали, що зараз надішлють повідомлення із кодом для входу. Насправді це знов була система банку. Коли Владислав Самойленко отримав його, "представники відділу фінансового моніторингу" попросили назвати код їм. І через те, що вони неодноразово "підтвердили", що вони справжні представники банку, він назвав код.
Це була помилка, оскільки завдяки цьому шахраї отримали доступ до особистого кабінету волонтера та одразу почали переказувати гроші на інші картки.
Водночас Владислав Самойленко написав двом менеджерам Monobank, з якими спілкувався раніше. Один з них сказав, що це шахраї і рахунки голови фонду заблокували. Це дозволило зберегти приблизно мільйон гривень, які намагались викрасти. Проте шахраям все ж таки вдалось перевести на свої рахунки 92 тисячі гривень.
"Коли я наважився написати про цей прикрий випадок публічно, мені почали писати і дзвонити різні люди, знайомі та незнайомі, й розповідати, що вони також потрапили під цю шахрайську схему. І це насправді дуже неприємно, тому що це стосується тих коштів, які люди довіряють нам", — розповідає Владислав Самойленко.
Голова фонду "Гуркіт" Владислав Самойленко. Фото з архіву Владислава
Яке рішення?
Найкращий спосіб захистити себе від кібершахраїв — знати, чого вони хочуть та якими діями цього досягають. Це допоможе у кризовий момент не втрапити на гачок та захистити свої волонтерські гроші.
Тож "Рубрика" поспілкувалась з викладачем факультету інформатики Національного університету "Києво-Могилянська академія" Трохимом Бабичем та розповідає, як убезпечити себе від кібершахрайства.
Як це працює?
Важливо розуміти, що попри захищеність вашої техніки чи банківських рахунків, найслабшою ланкою кібербезпеки залишається людина. Кібершахраї необов'язково повинні бути хакерами, які швидко набирають щось на клавіатурі, щоб зламати ваш ПК. Навпаки, зазвичай кібершахраї використовують різні психологічні маніпуляції, аби примусити людину до певних дій, наприклад, поділитись конфіденційною інформацією.
Для цього вони викликають у жертви певну емоцію — страх, паніку чи здивування. Надсилають повідомлення, де просять терміново замінити пароль, повідомляють про блокування рахунків або вітають із виграшем у лотереї… Це робить людину більш сприятливою до обману.
Ефективний спосіб захисту проти такого обману — не довіряти тим повідомленням, яких ви не очікуєте. Тобто, якщо вам у Viber прийшло повідомлення про виграш мільйона гривень чи на пошті лежить лист від Кабінету Міністрів України, то дуже малоймовірно, що це правда.
"Якщо приходить якесь повідомлення сумнівного змісту чи невідомого автора, чи ще щось неочікуване, не треба ризикувати. Просто закрийте і відправте в спам", — пояснює Трохим Бабич.
Викладач факультету інформатики Національного університету "Києво-Могилянська академія" Трохим Бабич. Фото з архіву Трохима
Інший інструмент шахраїв — соціальна інженерія, в її основі також взаємодія з людьми. Зловмисники спочатку вивчають свою жертву, зокрема завдяки соціальним мережам. Дізнаються про ваші хобі, роботу, сімейний статус чи стан здоров'я і використовують це, щоб здобути довіру та обманути вас.
Шахраї також можуть удавати ваших друзів чи відомі організації. У випадку Владислава Самойленка вони імітували банківську службу та змогли викрасти гроші саме завдяки таким методам.
Спочатку дізнались, що він волонтер та голова фонду, потім зрозуміли, як працює банківська система і в яких моментах Владислав Самойленко може взаємодіяти з технічною підтримкою. Зімітували такий момент та удавали, що виконують певні дії з його кабінетом. Але насправді це все робила банківська система без втручання будь-якої людини.
Видати шахраїв у такому випадку можуть якісь незвичні дії. Наприклад, той факт, що спілкування з банківською службою почалось в іншому месенджері — Telegram замість звичного Viber.
Також підозри має викликати дзвінок від банку, оскільки зазвичай саме клієнт починає телефонну розмову, а не навпаки. У такому випадку варто одразу написати у техпідтримку та перепитати, чи дійсно телефонують представники банку.
Стратегія, яка може допомогти у протидії, називається "нульова довіра" і пропонує не довіряти чомусь за замовчуванням. Тобто ви спочатку маєте подумати — "можливо, це дивне посилання та чи лист з невідомим мені відправником від кібершахраїв?". Поєднання двох цих підходів допоможе убезпечити себе.
"Підхід нульової довіри передбачає, що ми вважаємо, що все вже скомпрометовано. Грубо кажучи, завжди треба думати про погані варіанти — «а що, якщо?». А що, якщо вкрали мій акаунт? І завжди жити з цією думкою", — пояснює Трохим Бабич.
Але якщо злочинцям все ж таки вдалось вас обманути і вони викрали ваші кошти, терміново треба звернутись до поліції за номером 102 та повідомити про злочин. Також варто звернутись до технічної підтримки банку, вона може зупинити транзакцію та заблокувати рахунки. Важливо, що діяти в такій ситуації треба надзвичайно швидко.
