Оновлена схема шахрайських транзакцій з банківських карток. Як вона функціонує та чому під загрозою опиняються гаджети користувачів.

Редакторка секції "Фінанси" на LIGA.net.

Сектор банківської діяльності в Україні знову опинився під загрозою хакерських атак. Всього за кілька останніх тижнів три великі фінансові установи, зокрема системно важливий А-Банк, державний Ощадбанк та mono, повідомили про серйозні цифрові інциденти. У випадку Ощадбанку мова йшла про традиційну DDoS-атаку, яка призвела до тимчасового збою в роботі сервісів. Натомість, ситуація з А-Банком виявилася значно складнішою. За словами представників банку, клієнти вперше зіткнулися з "новою, раніше невідомою" схемою, що призвела до фактичного списання коштів з карток. У той же день кібератаку також зазнав mono, про що розповів співзасновник компанії Олег Гороховський.

Хоча представники А-Банку стверджують, що всі втрачені кошти вже повернуті на рахунки, подробиці самого процесу зламу залишаються невідомими, і банк відмовився надавати коментарі. Проте, LIGA.net вдалося зв'язатися з експертами в галузі кібербезпеки, які поділилися ймовірним сценарієм атаки та пояснили, чому звичайні методи захисту в даному випадку не спрацювали.

Що ж це за напад? Які його нові аспекти та як уберегти свої картки - дізнайтеся з матеріалу Анастасії Іщенко.

Що це була за атака

Атака на картки клієнтів А-Банку не є типовим випадком фішингу або зломом мобільного додатку. Це більш складна схема, що базується на підборі даних банківських карток та експлуатації вразливостей у платіжній системі.

Ситуація вказує на можливу реалізацію BIN-атаки, що полягає в автоматичному підборі даних платіжних карток зловмисниками. На це звертає увагу Раїса Федоровська, керівниця EMA Academy, яка займається дослідженнями у сфері кібершахрайства.

У середині лютого було зафіксовано значну активність авторизацій, коли кілька українських банків отримали величезну кількість транзакцій з використанням згенерованих номерів карток, - зазначає Федоровська. Подібні атаки зазвичай починаються з тестових транзакцій на незначні суми, після чого відбуваються спроби зняття коштів через торговців у різних країнах.

У таких схемах використовуються спеціалізовані скрипти або боти, які здійснюють перебір комбінацій номерів карток, термінів дії та інших даних. На початковому етапі виконуються невеликі тестові транзакції, наприклад, підписки на онлайн-сервіси, такі як Netflix. Якщо така операція проходить успішно, система розуміє, що введені реквізити картки є дійсними, і згодом намагається здійснити списання більших сум.

"Новизна цього інциденту полягає в тому, що класична BIN-атака була доповнена токенізацією платіжних карток із підібраними номерами", - зазначає Федоровська.

Отже, злочинці мали можливість генерувати віртуальні "токени" карток – унікальні коди, що замінюють справжні реквізити при проведенні фінансових транзакцій.

Керівник з кібербезпеки одного з провідних українських банків, який побажав залишитися анонімним, вважає, що цей інцидент відображає події масштабних зломів банківських інформаційних систем у Бразилії, що відбулися восени 2025 року. Тоді зловмисники скористалися вразливостями в системах платіжних провайдерів. Схоже, що аналогічні методи були застосовані і в Україні, адаптуючи їх під місцеві банківські шлюзи.

У той же час наш співрозмовник висловлює припущення, що злочинці могли застосовувати ще один метод - MOTO-трансакції (замовлення через пошту або телефон). Цей тип платежів, який раніше використовувався для телефонних або поштових замовлень, не завжди вимагає підтвердження через 3D-Secure, SMS чи push-повідомлення. Якщо такі транзакції замаскувати належним чином, вони можуть виглядати для системи цілком легітимно.

Для банків атаки такого роду є проблемою не лише через злам їхньої інфраструктури, а й через численні спроби несанкціонованих платежів. Це призводить до зростання кількості шахрайських операцій в онлайн-платежах, створює додаткове навантаження на системи боротьби з шахрайством і викликає численні оскарження транзакцій з боку клієнтів. Тому швидке виявлення підозрілої активності та блокування транзакційних потоків стає критично важливим елементом захисту в таких випадках.

Що думають банки щодо кібернетичних атак?

Згідно з міжнародними дослідженнями, до 2029 року світові втрати від кіберзлочинності можуть досягти більш ніж $15 трлн. У відповідь на запит LIGA.net пресслужба Mastercard зазначила, що для боротьби з такими загрозами компанія активно інвестує у сферу кібербезпеки. З 2018 року на ці цілі було витрачено понад $10,7 млрд. Система обробляє понад 100 млрд транзакцій щорічно, застосовуючи технології машинного навчання та штучного інтелекту для виявлення підозрілих активностей в режимі реального часу.

"На даний момент не спостерігається жодних вказівок на те, що цей інцидент мав вплив на системи Visa, включно з VisaNet, і обробка транзакцій триває в звичайному режимі", - зазначили у Visa у відповідь на запит.

Самі ж банки наголошують: спроби кібератак - буденність фінансової системи. З початком повномасштабної війни їх кількість зросла.

Наприклад, у державному ПриватБанку стверджують, що з початку вторгнення вони зазнали більше 1,5 мільйона кібератак. Банк є однією з основних цілей для кіберзлочинців через свій великий масштаб. Кожну хвилину банк обробляє приблизно 60 тисяч транзакцій.

Анонімний керівник відділу кібербезпеки одного з українських банків заявив, що ПриватБанк також став жертвою тієї ж кібератаки, яка вразила А-Банк. Він підкреслив, що масштаби фінансових втрат у випадку ПриватБанку були значнішими. Однак представники ПриватБанку спростовують цю інформацію. Інші джерела, що могли б підтвердити його слова, також не були виявлені.

Щоб захистити інфраструктуру, у банку використовують принцип "нульової довіри". Працівники отримують доступ лише до тих систем, які необхідні для їх роботи, а ІТ-інфраструктуру регулярно перевіряють незалежні міжнародні експерти.

У державному Ощадбанку також підтверджують: спроби несанкціонованого втручання відбуваються регулярно. Виявляти їх допомагає цілодобовий моніторинг кібербезпеки та системи раннього виявлення аномальної активності, які дозволяють швидко локалізувати загрози.

Упродовж останніх років характер кібератак зазнав значних змін. Якщо раніше основними методами були масовані DDoS-атаки чи вірусні кампанії, то сьогодні злочинці дедалі частіше впроваджують комбіновані стратегії, поєднуючи технічні засоби з елементами соціальної інженерії, що враховують поведінкові особливості людей.

Головний "канал" проникнення до банківських систем для зловмисників - техніка клієнтів. "Саме їх пристрої - комп'ютер або смартфон - часто стають слабкою ланкою", - зазначає начальник управління інформаційної безпеки ОТП Банку Дмитро Янішевський.

Шахрайські схеми стають дедалі винахідливішими, зокрема через використання фішингу, телефонних дзвінків, підроблених профілів у месенджерах та навіть технологій штучного інтелекту, що дозволяє їм підробляти повідомлення від банків або державних органів.

Як убезпечити себе

При виникненні підозрілої транзакції основне правило - швидко реагувати.

Першим кроком є термінове блокування картки через мобільний додаток або звернення до контактного центру банку. Наступним етапом буде подача заявки на оскарження транзакції, активуючи процедуру, відому як chargeback.

В Ощадбанку зазначають, що обробка такої заяви відбувається відповідно до норм міжнародних платіжних систем, і цей процес може займати від 10 до 90 днів, в залежності від характеру транзакції. У той же час, клієнтам рекомендують звернутися до кіберполіції, щоб подати скаргу на шахрайство.

Шанси повернути гроші значно вищі, якщо власник картки не передавав свої дані третім особам і не підтверджував операцію через SMS або 3D-Secure. Але кожен випадок розглядають окремо.

"Кожен випадок ретельно аналізується банком," - зазначає Дмитро Янішевський, керівник відділу інформаційної безпеки ОТП Банку.

На етапі перевірки детально вивчають цифровий слід операцій, що дає змогу відтворити повну картину трансакції. У разі виявлення порушень безпеки з боку клієнта, наприклад, якщо він поділився CVV-кодом або одноразовим паролем, банк має право відмовити у відшкодуванні. Однак, якщо провина лежить на банку чи платіжній системі, існує висока ймовірність повернення коштів.

Значно знизити ризики подібних атак можливо за рахунок впровадження елементарних заходів безпеки. Про це зазначає керівниця EMA Academy, Раїса Федоровська, наводячи основні рекомендації:

* встановлювати обмеження на онлайн-транзакції та підвищувати їх лише під час здійснення покупок;

* увімкнути миттєві сповіщення про всі трансакції;

* відразу блокувати картку, якщо з'являється невідома операція;

використовувати фінансові установи, що впровадили дієві системи моніторингу проти шахрайства.

У деяких випадках банки навіть спочатку компенсують кошти клієнтам, а вже потім самостійно проводять процедури оскарження трансакцій із торговцями та платіжними системами. Це дозволяє швидше відновити доступ клієнтів до грошей, поки триває розслідування.