На днях ЦБ обратил внимание на учащение случаев использования банковских карт без согласия их владельцев. Банки.ру вспоминает наиболее распространенные случаи попадания карточных данных в руки злоумышленников.
Диванное настроение
Совсем недавно с одной моей знакомой приключилась забавная, но опасная история. Девушка продавала диван на сайте Avito.ru (предмет продажи вы можете лицезреть на фото). Дела шли относительно хорошо, в день поступало несколько звонков. Звонившие уточняли детали продажи и либо отказывались от покупки, либо обещали приехать и посмотреть на диван, а потом принять решение о покупке.
Но один звонок особенно насторожил мою знакомую (назовем ее Юлией). Человек на другом конце провода заявил, что диван ему нравится, смотреть на него дополнительно он не будет, а сразу его заберет. Чтобы понравившаяся мебель «не ушла с молотка», покупатель был готов немедленно перечислить всю требуемую сумму продавцу, а вечером отправить за диваном нанятых им грузчиков.
Для перевода денег звонивший попросил Юлию назвать номер карты, а потом заодно и CVC-код. Хорошо, что моя знакомая была достаточно финансово грамотным человеком и резонно указала, что для перевода достаточно знать только номер карты. После этого заявления мнимый покупатель испарился, а моя знакомая поняла, что ей звонил обычный мошенник, который при получении всех данных карты, разумеется, никакую сумму бы не перевел, а использовал их для снятия средств с карты самой Юлии.
Клиенты от мошенников
Способов отъема денег у честных держателей карт сейчас придумано очень много, и регулятор не перестает обращать на них внимание.
14 июля на официальном сайте Банка России появилась информация о том, что регулятор отмечает участившиеся случаи осуществления операций с использованием платежных карт без согласия их владельцев. В частности, ЦБ приводил в пример случаи, когда неизвестные лица размещают объявления о приобретении платежных карт или обращаются непосредственно к их держателям с предложением купить у них эти карты. Затем такие карты используются для осуществления несанкционированных операций.
По словам заместителя руководителя службы информационной безопасности Промсвязьбанка Ивана Янсона, как правило, мошенники используют карты других клиентов для незаконного перевода на них денежных средств, украденных со счетов других физических и юридических лиц.
«Нередко мошенники сами инициируют приход в банки таких клиентов, которые потом за вознаграждение передают оформленные на свое имя карты в пользование третьим лицам. Вместе с картами они оформляют и доступ в систему интернет-банкинга, а реквизиты доступа также передают мошенникам, — рассказывает Янсон. — Эта проблема существует практически во всех крупных банках, обслуживающих частных клиентов, и наносит ущерб как бизнесу, так и репутации банка. Кредитные компании борются с мошенническими действиями, выявляют такие карты, блокируют счета и суммы, поступившие на них незаконным путем».
На своем сайте регулятор предупредил клиентов банков, что держатель карты, не сообщивший банку о приостановлении или прекращении ее использования, несет все обязательства, вытекающие из ее использования третьими лицами. «Передача третьим лицам платежных карт и предоставление сведений о ПИН-кодах являются нарушениями порядка использования электронных средств платежа, влекущими в последующем отказ банков в возмещении денежных средств держателю по несанкционированным операциям, — гласило сообщение на сайте ЦБ. — Кроме того, платежная карта, переданная третьему лицу, может быть использована при совершении противоправных действий. В результате держатель такой карты несет риск быть привлеченным к ответственности как соучастник».
К сожалению, неважно, как вы передаете мошеннику свои карточные данные — осознанно или неумышленно. Доказать банку свою невиновность впоследствии будет крайне непросто. А если вы и достигнете успеха в этом отважном мероприятии, то идти к нему придется через судебные инстанции, при этом очень и очень долго. Поэтому лучше подготовиться заранее.
Карточный беспредел
Самой распространенной на данный момент мошеннической схемой «добывания» карточных данных является социальная инженерия. Этот метод основан на получении злоумышленником необходимых данных жертвы посредством психологического воздействия (например, путем приведения жертвы в состояние восторга или испуга).
В Хоум Кредит Банке выделяют два популярных вида такого рода мошенничества: «Победитель» и «Покупатель». Про «Покупателя» было рассказано раньше в истории с диваном. Единственная оговорка — злоумышленник может пообещать перечислить вам не всю сумму за товар, а только аванс. Однако в обоих случаях он запросит номер карты и CVC- или CVV-код.
В случае применения метода «Победитель» на телефон держателя карты поступает звонок якобы от сотрудника одной из организаций, где клиент обслуживается (банк, мобильный оператор), с поздравлением и сообщением о том, что он является победителем в розыгрыше. Для перечисления выигрышных денежных средств мошенник просит предоставить данные карты, а именно: номер карты, срок действия, CVC-код. Держатель карты обрадован и приятно удивлен и в предвкушении скорого зачисления денежных средств на счет предоставляет необходимые реквизиты карты.
Похожий метод, только основанный на испуге, а не на радости, используется злоумышленниками при рассылке СМС-сообщений
«В последнее время в России набирает популярность СМС-мошенничество, когда клиенту приходит на телефон сообщение с примерно таким текстом: «Ваша кредитная карта заблокирована, для дополнительной информации обращайтесь по телефону…», — рассказывает ведущий специалист отдела сопровождения и поддержки держателей банковских карт банка «Интеркоммерц» Денис Сипин. — Многие граждане звонят по указанному телефону и сообщают данные своей карты. Либо их просят подойти к банкомату, на котором уже установлено скимминговое устройство. Таким образом ничего не подозревающий держатель карты становится жертвой мошенников».
Есть и другой вариант этого обмана — жертва звонит по указанному номеру, у нее не просят никаких реквизитов, но стараются решать проблему как можно дольше, потому что набранный номер на самом деле является платным, и за каждую минуту разговора клиент платит свои кровные, которые потом уходят злоумышленнику.
Ранее уже был упомянут такой способ мошенничества, как скимминг. К сожалению, многие граждане в разных странах нередко становятся невольными участниками таких махинаций.
«Пожалуй, самый старый и популярный вид кардерского бизнеса – это скимминг, — признает IT-обозреватель Банки.ру Михаил Дьяков. — Скиммеры представляют собой миниатюрные устройства, встроенные в поддельную накладку на картоприемнике банкомата. Когда держатель вставляет карту в приемник, головка скиммера считывает содержимое магнитной ленты. Скиммеры всегда сопровождаются устройствами для считывания ПИН-кода. Чаще всего это скрытая веб-камера, «подглядывающая» за набором ПИН-кода, в других случаях – накладная поддельная клавиатура банкомата (пинпад). Заполучив содержимое магнитной ленты карты и ПИН-код, мошенники изготавливают дубликат карты (так называемый «белый пластик») и снимают деньги в банкомате. Замечу, что чипованные карты почти неуязвимы для скимминга: копировать данные из чипа кардеры пока не научились, а в мире осталось мало банкоматов, которые выдадут деньги без считывания чипа с карты, где чип должен быть».
Еще один способ карточного мошенничества, получивший популярность в России в последние годы, — фишинг. Он подразумевает создание клона популярного сайта (допустим, Сбербанка) со схожим названием (sbebrank.ru), на который преступники перенаправляют клиента при заходе на оригинальный сайт. Когда держатель карты вводит свои данные на сайте-клоне, они попадают к злоумышленникам. Традиционно фишинг используется для получения логина и пароля от интернет-банка клиента.
«Злоумышленники очень часто получают данные банковских карт при помощи вирусного программного обеспечения. Вы скачиваете зараженную пиратскую программу из Сети либо ваш компьютер заражается, когда вы заходите на скомпрометированный сайт. Вирус будет передавать злоумышленникам все вводимые вами в браузере данные, в том числе логины и пароли от разных сайтов, включая ваш интернет-банк, а также ваши карточные данные», — рассказывает исполнительный директор компании Group-IB Владимир Загрибелин.
Загрибелин указывает, что есть как минимум три варианта «увода» денежных средств со скомпрометированной карты.
«Во-первых, через некоторые сервисы злоумышленник может перевести средства с вашей карты на свою (сервисы перевода Card2Card, для осуществления перевода зачастую необходимы только номер карты, с которой переводятся средства, срок ее действия и CVC-код, а также номер карты, на которую переводятся деньги. — Прим. ред.). Во втором случае схема действия мошенника будет схожей, но ваши деньги он выведет на электронный кошелек, привязанный к его карте, — дает пояснение Загрибелин. — Третий способ — самый сложный. При его использовании мошенник создает не существующий в реальности интернет-магазин, заключает с банком договор об открытии счета юрлица и, имея данные вашей карты, якобы проводит по ней покупку с зачислением средств на счет своего юрлица. Четвертый способ — мошенник вводит на сайте интернет-магазина данные вашей карты и покупает по ней реальный товар в реальном интернет-магазине, а потом просто перепродает его. Нужно понимать, что во всех этих случаях карты и кошельки, на которые хакер выведет ваши деньги, будут открыты на подставных лиц, так же как и фейковый интернет-магазин».
Михаил Дьяков считает, что все мошеннические схемы профессиональных кардеров заканчиваются выводом наличных денег, приобретение товаров с чужих карт им не интересно. «Для вывода денег с карты, данные которой были где-либо украдены, обычно создается поддельный магазин или сервисная компания (например, агентство, торгующее авиабилетами). Компания заключает договор об эквайринге с банком, процессинговый центр которого не поддерживает технологию 3D Secure, и спокойно снимает деньги с карт под видом легальных продаж вплоть до того момента, когда банк-эквайер не получит несколько чарджбэков и не начнет расследование. После этого мошенники бросают «магазин» и создают новый, — делится наблюдениями IT-обозреватель Банки.ру. — С появлением сервисов перевода денег с карты на карту появился еще один вариант: данные карты необязательно красть. Держатель может сам ввести всю нужную информацию, включая код 3D Secure, в поля веб-формы на сайте-ловушке, не догадываясь, что вместо оплаты товара он переводит деньги на карту мошенников. Это тоже требует от мошенников создания компании-однодневки, заключающей договор с банком об интеграции на свой сайт банковского сервиса перевода денег с карты на карту».
Не виноватая я, он сам пришел
Однако следует учитывать, что не всегда передача карточных данных зависит от самого держателя пластика. Бывают случаи, когда компрометация карты происходит по вине мерчанта (продавца), к клиентским базам которого мошенники смогли получить доступ.
Большая шумиха возникла недавно по поводу утечки из баз данных американского ретейлера Target, третьей по величине торговой сети в США. Хакерам дважды удалось получить доступ к карточным данным нескольких десятков миллионов клиентов сети (в конце 2013 и весной 2014 года), в сумме были скомпрометированы данные 110 млн клиентов. Афера удалась благодаря тому, что киберпреступники смогли взломать один из серверов компании и получить доступ во внутреннюю сеть, в которую был внедрен вредоносный код, распространившийся по всем компьютерам ретейлера, которые обслуживали POS-терминалы.
В апреле 2014 года российскую общественность взбудоражила новость о том, что 200 тыс. карт, которыми интернет-пользователи расплачивались на сайте РЖД, могли быть скомпрометированы. В середине апреля на сайте РЖД как раз проводилась процедура обновления, в ходе которой оплата билетов по карте в некоторых случаях отклонялась. Однако на специальном сайте www.sos-rzd.com, созданном «доброжелателями», заявлялось, что возможность компрометации карт сопряжена с ошибкой в протоколе шифрования данных, обнаруженной самими создателями сайта sos-rzd.com. В итоге часть клиентов, которые в период с 7 по 14 апреля (именно этот период назывался создателями сайта «компрометирующим») проводили оплату на сайте РЖД по карте, вынуждены были перевыпустить свои карты, а другим клиентам (их счет шел на тысячи) карты в принудительном порядке заблокировали сами банки.
Безопасность превыше всего
Банк России рекомендует следующие меры для обеспечения сохранности платежных карт и исключения несанкционированных операций с ними. Во-первых, регулятор просит держателей карт не сообщать ПИН-код третьим лицам, в том числе родственникам, знакомым, сотрудникам кредитной организации и кассирам. Во-вторых, ЦБ обращает внимание на то, что не нужно передавать платежную карту для использования третьим лицам, в том числе родственникам. Так как если на платежной карте нанесены фамилия и имя физического лица, только это физическое лицо имеет право использовать данную платежную карту. В-третьих, при получении просьбы, в том числе со стороны сотрудника кредитной организации, сообщить персональные данные или информацию о платежной карте (в том числе ПИН-код) ЦБ настоятельно не рекомендует передавать их сотруднику банка, а советует проинформировать о данном факте кредитную организацию — эмитента платежной карты и сам Банк России.
В ВТБ 24, помимо прочего, предлагают клиентам прикрывать рукой вводимые на клавиатуре цифры ПИН-кода, чтобы усложнить получение злоумышленниками этой информации, и в обязательном порядке подключить СМС-уведомление об операциях по карте. Не лишним будет оформить страховку по карте.
Владимир Загрибелин советует по возможности не использовать любое нелицензионное программное обеспечение (начиная с Microsoft Word и заканчивая Windows) и не «серфить» подозрительные сайты с фильмами, играми, торрентами и пр. Пользователь Интернета может подхватить вирус как со скачанной программой, так и при заходе на сайт, который автоматически начнет скачивать вредоносное ПО.
«Еще одно важное замечание: никогда не работайте ежедневно с вашего компьютера через учетную запись администратора (ту, через которую операционная система спрашивает вас, разрешаете ли вы установить ей программу или изменить настройки компьютера), — предупреждает Загрибелин. — Создайте для ежедневного использования отдельную учетную запись с ограниченными функциями. А через учетную запись администратора устанавливайте только лицензионное ПО или меняйте системные настройки при необходимости».
Кроме того, Загрибелин настоятельно рекомендует по возможности настраивать разнообразные лимиты по карте (на выдачу наличных в банкоматах, на ежедневную сумму расхода по карте, на сумму единоразового онлайн-платежа и др.). Следует учитывать, что разные банки предлагают разные виды лимитов. Точнее узнать о видах лимитов и условиях их подключения можно в службе поддержки вашего банка-эмитента.
Перечислим еще несколько способов минимизировать мошеннические действия по вашей карте.
Из простого: не стоит хранить записанный на листке ПИН-код в кошельке или записывать его на самой карте (да-да, бывают и такие курьезные случаи); не пользуйтесь банкоматом, если его внешний вид кажется вам необычным (бывали случаи, когда даже у офисов самих банков долгое время стояли банкоматы со скимминговыми устройствами); обязательно используйте антивирус на всех возможных гаджетах. Отметим, что ноутбук, планшет и смартфон в равной степени нуждаются в антивирусной защите.
Для совершения онлайн-покупок можно открыть виртуальную карту или завести отдельную «покупочную» карту. Желательно, чтобы это была не кредитка или чтобы по такой кредитке были установлены лимиты единоразовых и ежемесячных трат. Кроме того, дополнительным плюсом будет наличие на карте чипа.
Крайне важно при оплате покупок в Интернете и переводе денежных средств в Сети подключить к банковской карте технологию 3D Secure. 3D Secure представляет собой дополнительную «ступень» подтверждения проведенной трансакции. Это может быть как код, пришедший в СМС-сообщении на ваш мобильный телефон, который нужно ввести на сайте банка-эквайера для подтверждения платежа, так и код из таблицы кодов, размещенной на специальной скретч-карте, которую вам выдал банк при личной явке в его офис.
Если у вас есть неуверенность насчет оплаты покупки картой через конкретного продавца, лучше заранее снять наличные в банкомате своего банка и оплатить покупку «налом».
Для собственного спокойствия в ресторане вы можете требовать, чтобы для оплаты POS-терминал принесли к вашему столику (многие не знают, что POS-терминалы в большинстве своем легко отстегиваются от блока питания) или чтобы вам позволили пройти вместе с официантом к месту расположения терминала.
И последний, но не менее важный совет: если у вас появилось хотя бы малейшее сомнение и вы думаете, что ваша карта могла быть скомпрометирована, следует сразу же заблокировать ее и перевыпустить. В таких случаях всегда лучше перестраховаться.
Анна ДУБРОВСКАЯ, Banki.ru
Комментарии
А если карта не именная?
Кстати, во всех фродовых чарджбеках МПС вполне себе предполагается, что операцию МОЖЕТ провести ЛЮБОЕ лицо по разрешению владельца карты
neither he, she, nor anyone authorized by him or her engaged in the transaction.
Странно, что это запрещают наши банки.
Чем разрабатывать защиты, намного проще запрещать...
А вообще - без карт обойтись активному члену общества сложно, конечно, но страшно подумать, сколько сил и времени при этом впустую тратится на обеспечение безопасности собственных денег.
Самый просто и более-менее надежный способ , это держать на карте 0 , но иметь под рукой сервис позволяющий моментально ее пополнять с закрытого счета. Сервис должен обладать возможностью работать даже в отсутствии интернета, с простой модели телефона.
На практике такой сервис есть только у фактуры ЗК. ( смс-код
Москвичи отдыхают.