Виманювали в день до 2-х мільйонів: розповідь рівненського оперативника про шахрайство в інтернеті

«В тебе не знайдеться 22 тисячі гривень? У цю середу поверну», – пише мені в телеграмі знайомий, який раз в місяць-два стабільно позичає в мене гроші і завжди вчасно повертає.

Це ранок вівторка. В цей момент їду в четвірці по Соборній. Затори, а я запізнююся в стоматологію і нервую. Не люблю спізнюватись.

Дивуюся лише сумі. Думаю, ну нічого собі він у мене вірить. Оскільки таких коштів у мене не було, я про це і написала. Далі було прохання, чи можу хоч кілька тисяч позичити «до завтра». Сказала, що максимум тисячу. Мені надіслали номер карти – перевела кошти.

Читайте історію про непокаране інтернет-шахрайство та як від нього захиститися.

О восьмій вечора побачила два пропущених дзвінка від цього знайомого. Якраз закінчувала працювати. Передзвонюю. «Лєра, мені взламали телеграм. Нічого там не пиши і нічого не скидай». Пізно.

Я одразу написала заяву в кіберполіцію. Не для того, щоб повернути кошти, а щоб цих шахраїв могли ідентифікувати. Мала на це надію, адже картка, на яку скинула кошти, належить «Ощадбанку». Мені передзвонили з Рівненського районного управління поліції і сказали прийти написати заяву. Що я і зробила.

В поліції ми спілкуємося з оперуповноваженим карного розшуку. Він розповідає як працюють шахраї, чому гроші практично неможливо повернути і багато інших деталей, які переповідаємо і вам.

Також ми поспілкувались із консультантом ГО «Лабораторія цифрової безпеки» Іваном Антонюком. Він розповів про поширені види шахрайства та як себе можна від цього вберегти.

Шахрайство – не завжди кримінал

Від написання заяви я відмовилася, бо, як сказав оперуповноважений – справу все одно закрили б, сума невелика, а шахраїв зловити дуже складно. Але кіберполіція направить лист у банк і картку шахраїв мають заблокувати. Каже, що повернути кошти назад можна лише тоді, коли перекидаєш зі своєї картки в іноземний банк. Мовляв, поки іде конвертація у валюту, а це може зайняти два дні, то гроші можна повернути.

Адвокат Євген Воробйов, до якого ми зверннулися за правовим коментарем, каже, що писати заяву чи ні – філософське питання:

– Як я розумію, в адміністративних провадженнях в поліції урізані права. Тобто навіть розкрити банківську таємницю не вийде. По суті, у них немає інструментів, щоб притягнути до відповідальності винну особу, навіть встановити хто скоїв теж неможливо зробити.

Адвокат розповідає, що кваліфікація такого правопорушення залежить від суми, якою шахраї заволоділи.

– Якщо сума вкраденого не перевищує двох неоподатковуваних мінімумів доходів громадян, зараз – 3028 гривень, то це адміністративне правопорушення за статтею 51  Кодексу України про адміністративне правопорушення. Максимальне покарання в цьому випадку – штраф у тисячу неоподаткованих мінімумів громадян (17 тисяч гривень), або адміністративний арешт на строк п’ятнадцять діб.

Якщо ж сума вища, то це вже кримінал – 190 стаття Кримінального кодексу України. Карається штрафом від двох тисяч до трьох тисяч неоподатковуваних мінімумів доходів громадян або громадськими роботами від двохсот до двохсот сорока годин, або виправними роботами до двох років, або обмеженням волі до трьох років, – каже Євген Воробйов.

Тобто шахрая, якщо знайдуть і засудять, можуть оштрафувати на 34-51 тисячу гривень.

– Шахрайство, вчинене повторно, або за попередньою змовою групою осіб, або таке, що завдало значної шкоди потерпілому, – карається штрафом від трьох тисяч до чотирьох тисяч неоподатковуваних мінімумів доходів громадян (51-68 тисяч гривень) або виправними роботами на строк від одного до двох років, або обмеженням волі на строк до п'яти років, або позбавленням волі на строк до трьох років.

Розповідь оперуповноваженого

Чому замало знати дані власника банківської картки, щоб зловити шахраїв

Зараз купити карточку – не проблема. Я можу купити вам карточку хоч «Райфайзену», «Пумба», «Приватбанку». Півтори тисячі гривень – і ви можете користуватися карткою Пупкіна Івана Івановича з Херсону.

Кому можуть належати ті банківські картки

Є безхатьки, є наркомани, є жінки, які сидять в декреті і хочуть пару тисяч заробити на памперси, а вони користуються тільки Приватом, куди приходить там 800 гривень. Був випадок, коли картка належала бабусі, яка була на окупованій території.

Було таке, що шахраї, користувались ФОПівським рахунком чоловіка, який помер декілька тижнів тому.

Складність отримання даних про власника картки

Є закон України «Про банківську таємницю», є закон України «Про персональні дані». І по запиту ми не можемо отримати будь-яку інформацію. Така інформація береться тільки через ухвалу суду.

Слідчий має їхати з Рівного в Київ у центральний офіс, де сидять юристи і виконують ці ухвали, щоб отримати таку інформацію.

Якби це було отак чисто по дзвінку сказати: «Коля, чия це карточка?». А він сказав би: «Та це Юрій там з Харкова».

Поки не буде врегульоване питання стосовно банківських карток, так щоб не можна було користуватися стороннім особам, то буде така проблема. Наприклад, я можу зараз купити карточку Зубенка Михайла Петровича зі Львова і користуватися нею просто заради своїх якихось потреб, щоб ніхто не відслідковував це все.

Найбільший сплеск шахрайств був у 2024 році. Тоді вдень був збиток близько двох мільйонів гривень. Зараз вже менше.

Тільки, що важче зараз кредитів набрати на особу без її участі. Спочатку було легко, а зараз треба відеозв'язок з оператором і щоб була ця карточка на яку ти береш кредит.

На мою думку, щоб ще більш зменшився відсоток кібершахрайства – має бути більший контроль за відкриттям банківських карток, за розрахунками картками.

Банк, звісно, слідкує, але він не переходить межу. Навіть податкова може отримати інформацію тільки через ухвалу суду. Наприклад, в Америці перекази грошей можуть йти до шести годин. Тобто я перерахую тобі гроші і вони зарахуються на твій рахунок протягом шести годин. Чи зручно це?

Штучний інтелект на службі шахраїв

Оскільки законодавство України забезпечує таємницю листування, ми ж не можемо контролювати ні телеграм, ні інші месенджери. Телеграм, наприклад, спеціалізується на тому, що кожна особа може приховано, анонімно користуватись ним без розголошення.

В нас була ситуація, що людина спілкувалася кружечками в телеграмі. І чат GPT згенерував те, що дівчина сидить на дивані і просить гроші. Її голос був. Шахраї теж не стоять на місці.

Куди гроші ідуть далі, після того як зайшли на картку шахраїв

Коли гроші надходять на картку шахраїв, то далі налаштований автоплатіж по 100, 200, 500 гривень на інші картки. Робиться це для того, щоб внутрішня служба безпеки банку не відслідковувала активність.

Я стикався з випадком, коли людину обманули на 760 тисяч гривень. То 30 відсотків цих грошей пішло на російське нелегальне казино. Все дуже легко – ввімкнув VPN і все проходить. В цій історії гроші людині не повернули. А шахраї були із Західної Африки. Це був колл-центр.

Гроші виводяться в криптовалюту, казино, контрабанду.

Є мережа криптовалюти. Можна купити 10 банківських карток і потім виводити гроші собі на крипто гаманець. Відкрити у Trustee Plus (закордонний криптобанк) картку і потім нею розраховуватися в Україні.

Також гроші в ігри заводять. В Counter-Strike можна купити автомата там за 10 тисяч доларів, а потім продати якомусь поляку за дев'ять тисяч і отримати свої чисті долари.

Так гроші стараються виводити із шахрайських схем.

Схеми з готелями

Ти реєструєшся на різних сайтах і прив’язуєш дані карточки.

Був сплеск з AliExpress, багато українців повзломували.

А потім ці хакери створювали на Booking.com готелі. Бронювали там номери і вводили дані вкрадених карток і гроші в людей знімались. З Glovo теж така схема була.

Акаунти за пару доларів

Є шахраюги, які сидять із комп'ютером за 200 тисяч доларів. Але їм та апаратура не треба, оскільки в них навички дуже класні, що вони з кнопочного телефона тебе зламати можуть. Вони ламають телеграм і в даркнеті по 3-5 доларів продають дані.

Поради з цифрової безпеки

Консультант ГО «Лабораторія цифрової безпеки» Іван Антонюк каже, що увага до акаунтів має відповідати їхній важливості:

– Основна пошта, до якої привʼязані всі соцмережі, потребує значно більшого захисту, ніж акаунт в умовному онлайн-магазині.

Консультант з цифрової безпеки виділяє чотири базові способи захисту акаунтів:

1) Унікальний пароль. Один злитий пароль не має відкривати доступ до всього іншого. Запамʼятати багато паролів складно, тож потрібні додаткові інструменти – захищені нотатки, додаткові програми (менеджери паролів) тощо. Але тоді вже саме це місце потребує особливого захисту, бо його втрата може обернутись серйозними проблемами;

2) Увімкнена двофакторна автентифікація (2FA). Це додаткове підтвердження на іншому пристрої після правильного введення пароля. Це може бути сповіщення в застосунку («це були ви тільки що?"), код із SMS, застосунок по типу Google Authenticator або, у випадку месенджерів, PIN-код чи пароль на вхід. Навіть якщо зловмисник дізнається ваш пароль, з увімкненою 2FA отримати доступ до акаунту йому буде набагато важче.

3) Перевірка активних сесій та підключених пристроїв. У більшості сервісів є можливість подивитися, з яких пристроїв і де саме здійснено вхід в акаунт. Це дозволяє виявити ймовірний злам. Якщо бачите щось підозріле – одразу завершуйте сесію та змінюйте пароль;

4) Перевірте, чи актуальна електронна адреса (контактна або резервна) та номер телефону. Це дозволить вам відновити доступ до акаунту у разі чого. До резервної адреси також варто застосувати базові правила захисту. Як мінімум – унікальний пароль та 2FA.

– Це лише початкові рекомендації, виконавши які можна рухатися далі. Бо безпека це не одна дія, а постійний процес, – наголошує фахівець.

Поширені сценарії шахрайства

Іван Антонюк розповідає, що злами акаунтів у соцмережах і месенджерах відбуваються різними способами, але виокремлює такі найчастіші сценарії:

1) Фішинг (іншою мовою – шахрайство), коли людині приходять повідомлення від шахраїв. Один із типових прикладів: людині надсилають лист або повідомлення з тривожним змістом – наприклад, про блокування акаунту чи спробу входу з нового пристрою.

Всередині повідомлення є посилання на фейковий сайт, що візуально майже не відрізняється від справжньої сторінки входу у фейсбук, інстаграм чи інший сервіс. Людина вводить свої логін і пароль – і ці дані одразу потрапляють до зловмисників;

2) Слабкі або злиті паролі. Багато хто використовує «зручні» паролі на кшталт номера телефону, дати народження, номера авто чи інших особистих даних або взагалі 123456. Такі паролі легко вгадати, особливо якщо інформація є у відкритому доступі;

3) Скидання пароля. Ще одна поширена атака – доступ до акаунту через функцію відновлення або кнопку «забули пароль». Якщо акаунт прив'язаний до пошти або номера телефону, якими заволоділи зловмисники – вони можуть скористатися опцією скидання пароля, отримати в повідомленні код підтвердження операції, а потім встановити новий пароль.

У месенджерах злами виглядають трохи інакше. Для входу в акаунт достатньо отримати код з SMS або відсканувати певний QR-код зі свого телефону. Через це зловмисники можуть надсилати фейкові повідомлення нібито від імені служби підтримки з проханням «переслати код підтвердження, інакше акаунт буде заблоковано».

Або пишуть щось на кшталт: «Проголосуй за брата куми хресної подруги в конкурсі з акробатики». Для «голосу» треба відсканувати QR-код – і саме цим людина відкриває зловмисникам доступ до свого акаунта.

Також існують технічні можливості перехопити код з SMS. Але такі атаки складні, дорогі та не масові. Це стосується переважно людей з високими ризиками.

Що ж робитиму я

Оскільки я вже відправила гроші шахраям, то можу робити висновки на майбутнє. Тепер перед тим, як скидати кошти, дзвонитиму людині, чи старатимусь зв’язатися з нею іншими способами. Також перевірю чи на всіх моїх акаунтах стоїть двохфакторна перевірка, щоб мої соцмережі і месенджери ніхто не міг зламати.

Дивіться також: «Можеш ще кинуть 3000?»: як шахраї обдурюють рівнян у телеграмі

Четверта влада» та БФ «Скарбниця Надії» збирають гроші на FPV-дрони для бійців 71 окремої єгерської бригади Десантно-штурмових військ ЗСУ, які збиратиме ініціатива «Рівненський дрон».

Якщо вам сподобався матеріал, перерахуйте, будь ласка, 50 гривень на волонтерську монобанку чи на картку благодійного фонду, прив'язану до рахунку в «Приватбанку»: 5169 3305 3931 4184

Рахунок: КБ «Приватбанк»
IBAN UA663052990000026006000707203
БФ «Скарбниця Надії»
ЄДРПОУ 37685693

Якщо підтримали Сили оборони і хочете, щоб онлайн-медіа «Четверта влада» продовжувало працювати на Рівненщині – ставайте щомісячними підписниками хоча б на 20-30 гривень:

А також підписуйтесь на канали «Четвертої влади» у телеграмі, ютубі, сторінки в інстаграмі або у фейсбуці, твітері, тіктоці. Вдячні за ваші коментарі в соцмережах та поширення матеріалів.