Безпека банківської картки: що не можна повідомляти, як розпізнати шахрая і діяти при зламі рахунку

Ткаченко НаталіяPosted oninГроші і фінанси
Безпека банківської картки: що не можна повідомляти, схеми шахрайства, як розпізнати шахрая та що робити при компрометації.

Безпека банківської картки починається не з банківського застосунку, а з простого правила: повні реквізити картки, коди з SMS, PIN і доступ до фінансового номера не передаються нікому. У 2024 році, за даними Національного банку України, збитки від незаконних дій із платіжними картками зросли до 1,1 млрд грн, а середня сума однієї незаконної операції сягнула 4 247 грн, повідомляє редакція Избирком.

Більшість атак не ламає банк напряму. Шахраї тиснуть на власника картки: дзвонять від імені “служби безпеки”, надсилають фішингові посилання, обіцяють допомогу, виплати, роботу або “повернення коштів”. НБУ прямо пов’язує більшість шахрайських випадків із розголошенням даних користувачами, а кампанія #ШахрайГудбай від НБУ пояснює базові правила платіжної безпеки.

Що не можна повідомляти по банківській картці

Що не можна повідомляти по картці: CVV/CVC-код, PIN, термін дії картки разом із номером, одноразові паролі з SMS або push-сповіщень, логін і пароль до інтернет-банкінгу. Номер картки сам по собі зазвичай потрібен лише для отримання переказу, але повний набір реквізитів уже дає шахраю технічну можливість ініціювати операцію або прив’язати картку до стороннього сервісу.

«Для отримання платежу на картку достатньо повідомити лише 16-значний номер картки». — НБУ

Не можна диктувати коди “оператору”, “працівнику банку”, “покупцю”, “волонтеру”, “державному сервісу” або людині, яка просить підтвердити переказ. Банк не просить назвати PIN, CVV або пароль входу до застосунку телефоном. Максимум, що може знадобитися для ідентифікації, — частина номера картки, наприклад перші шість і останні чотири цифри, без CVV, PIN і кодів підтвердження.

Код із SMS не “підтверджує отримання грошей”, він підтверджує дію з рахунком або входом.

До конфіденційних даних належать не лише реквізити картки. Фінансовий номер телефону теж треба захищати: через нього відновлюють доступ до банкінгу, підтверджують операції та отримують службові коди. Кіберполіція попереджала про схеми, де шахраї видають себе за мобільного оператора й випитують SMS-код для віддаленого перевипуску SIM-картки.

Поширені схеми шахрайства з банківськими картками

Схеми шахрайства з банківськими картками змінюють легенди, але мають однакову мету: змусити людину самостійно передати доступ. Найчастіше шахрай створює відчуття терміновості, обіцяє вигоду або лякає блокуванням рахунку.

  • “Працівник банку” повідомляє про підозрілу операцію й просить код для її скасування.
  • “Покупець” на маркетплейсі надсилає посилання на нібито безпечне отримання оплати.
  • “Державна виплата” веде на сайт-клон, де просять карткові дані та пароль банкінгу.
  • “Мобільний оператор” пропонує оновити SIM або перейти на eSIM, а насправді намагається перехопити номер.
  • “Робота з переказами” просить відкрити рахунок, приймати кошти й пересилати їх далі.

У липні 2025 року на кіберпорталі НБУ описували схему “Виплата від ООН”: користувача спрямовували на фішингову сторінку, яка маскувалася під вхід до інтернет-банкінгу, а потім виманювали номер телефону, карткові дані, PIN, CVV і одноразовий код.

СитуаціяЯк виглядає обманБезпечна дія
Дзвінок “із банку”Просять код, PIN або CVV для “захисту”Завершити розмову й самостійно набрати номер банку з картки або застосунку
Посилання на оплатуСайт просить повні реквізити й код підтвердженняВідкрити сервіс вручну, не через посилання з чату
Обіцянка виплатиВимагають авторизацію через банкінгПеревірити програму на офіційному сайті установи
“Оренда картки”Пропонують гроші за перекази через ваш рахунокВідмовитися й не передавати картку або рахунок

Шахрайська сторінка часто виглядає акуратно, але її завдання одне: забрати дані до того, як людина встигне засумніватися.

Як розпізнати шахрая під час дзвінка або листування

Як розпізнати шахрая: він поспішає, забороняє класти слухавку, просить не відкривати застосунок банку самостійно, надсилає посилання й пояснює, що “це стандартна процедура”. У справжній банківській комунікації клієнта не змушують називати коди підтвердження або пароль входу.

Є кілька маркерів, які майже завжди вказують на ризик:

  1. Співрозмовник просить назвати код із SMS або push-повідомлення.
  2. Операція нібито “зависла”, і для її скасування треба підтвердити нову дію.
  3. Посилання веде не на офіційний домен банку, державного сервісу чи платіжної системи.
  4. Людину лякають кримінальною справою, блокуванням рахунку або втратою всіх коштів.
  5. У повідомленні є помилки, дивні домени, скорочені посилання або підміна літер у назві бренду.

Найкращий тест — пауза. Якщо покласти слухавку, закрити чат і зайти в банківський застосунок самостійно, шахрайська легенда зазвичай розсипається. Офіційна проблема з рахунком буде видима в застосунку або підтвердиться через контакт-центр за номером, указаним на сайті банку чи на картці.

Компрометація картки: що робити негайно

Що робити при компрометації картки залежить від того, що саме сталося: втрачена картка, розголошений CVV, названий код із SMS, перехоплений фінансовий номер або вже списані кошти. У всіх сценаріях перша дія однакова — блокування картки та доступів, які могли використати шахраї.

Алгоритм дій має бути коротким:

  1. Заблокувати картку в застосунку або через гарячу лінію банку.
  2. Змінити пароль до інтернет-банкінгу, якщо був ризик входу сторонньої особи.
  3. Перевірити активні пристрої, токени, прив’язані гаманці Apple Pay або Google Pay.
  4. Зателефонувати банку й подати заявку на оскарження підозрілої операції.
  5. Звернутися до Кіберполіції через офіційний сайт кіберполіції або за телефоном 0 800 505 170, якщо є ознаки злочину.
  6. Повідомити мобільного оператора, якщо є підозра на перевипуск SIM або втрату фінансового номера.

«Сума збитків від незаконних дій та шахрайських операцій з використанням платіжних карток за 2024 рік зросла на 37%». — НБУ

Якщо дані ввели на фішинговому сайті, чекати списання не можна. НБУ на порталі “Гаразд” радить у такому випадку негайно заблокувати картку, звернувшись до банку через офіційні канали.

Швидкість реакції важить більше, ніж спроба самостійно з’ясувати, “чи справді щось сталося”.

Як налаштувати картку, щоб зменшити ризик

Захист не має триматися лише на уважності. Картка повинна мати технічні обмеження, які зменшують шкоду навіть тоді, коли шахрай отримав частину інформації.

Практичний мінімум:

  • увімкнути push або SMS-інформування про всі операції;
  • встановити ліміти на оплату в інтернеті, зняття готівки та перекази;
  • вимикати онлайн-оплати для картки, якою не користуються в інтернеті;
  • мати окрему картку для онлайн-покупок із невеликим залишком;
  • не зберігати фото картки в галереї, месенджерах або нотатках;
  • регулярно перевіряти список прив’язаних пристроїв у банкінгу.

Для покупок в інтернеті безпечніше використовувати віртуальну картку або картку з окремим лімітом. Основну зарплатну чи накопичувальну картку не треба вводити на незнайомих сайтах, навіть якщо пропозиція виглядає вигідною. Фішинг працює саме через “останній крок”: знижка, виплата або бронювання змушують людину поспішати.

“Грошові мули” і оренда картки

Окрема небезпечна схема — передача картки, рахунку або реквізитів третім особам за винагороду. Кіберполіція описує такі пропозиції як ризик участі в злочинній схемі: рахунок можуть використати для виведення вкрадених коштів, а власник картки отримає проблеми з банком і правоохоронцями.

«Ніколи не передавай свою картку, рахунок або їх реквізити іншим особам». — Кіберполіція

Передача картки “в оренду” не є підробітком без ризику. Людина фактично віддає контроль над рахунком, який банк і правоохоронці пов’язують із її іменем, документами й фінансовою історією. Навіть якщо шахраї обіцяють “просто приймати перекази”, реальне походження цих коштів може бути кримінальним.

FAQ

Чи можна повідомляти номер банківської картки?

Так, для отримання переказу зазвичай достатньо 16-значного номера картки. Не можна додавати до нього CVV/CVC, PIN, термін дії, коди з SMS, паролі банкінгу або доступ до фінансового номера.

Чи може банк просити CVV або код із SMS?

Ні. Такі дані не потрібні банку для “скасування операції”, “захисту рахунку” або “підтвердження особи”. Якщо співрозмовник просить код, розмову треба завершити й самостійно звернутися до банку через офіційний номер.

Що робити, якщо код уже названо шахраю?

Потрібно негайно заблокувати картку, змінити пароль до банкінгу, перевірити активні пристрої та звернутися до банку. Якщо були списання або спроба входу в акаунт, треба подати заяву до Кіберполіції через офіційний сайт або контактний номер 0 800 505 170.

Як перевірити підозріле посилання на оплату або виплату?

Безпечніше не переходити за посиланням із чату чи SMS. Сервіс треба відкривати вручну через офіційний сайт або застосунок, а підозрілі домени можна перевіряти через інструменти, які рекомендує НБУ на порталі “Гаразд”, зокрема розділ STOP FRAUD Кіберполіції.

Чи поверне банк гроші після шахрайства?

Рішення залежить від обставин операції, правил банку й того, чи були передані конфіденційні дані. Картку потрібно блокувати одразу, а звернення до банку та Кіберполіції подавати без затримки: час фіксації інциденту впливає на подальший розгляд.

Соціальна підтримка — це не привілей, а закріплене законом право. Якщо ви опинилися в складній ситуації, варто перевірити, на що ви маєте право, і скористатися ним. Про те, як влаштована держава, що забезпечує ці гарантії, читайте також: Соціальні виплати: на яку допомогу від держави ви маєте право