На что способны карточные мошенники
«Здравый смысл, логика, бережное отношение к данным карты – вот главные средства, которые помогут обезопасить себя от мошенников», – перечисляет вице-президент холдинга «Русский стандарт» (владеет одноименным банком) Эльдар Бикмаев. Улов злоумышленников в 2016 г. составил 2 коп. с каждого платежа по карте на 1000 руб., говорил бывший первый зампред ЦБ Георгий Лунтовский. И хотя карточный выигрыш мошенников сокращается – в прошлом году они украли на 6% меньше, чем годом ранее, 1,08 млрд руб., – рост безналичных платежей заставляет внимательнее относиться к безопасности карт.
Человеческий фактор
Замначальника Главного управления безопасности и защиты информации ЦБ Артем Сычев называет социальную инженерию «одной из самых больших проблем информбезопасности» и цитирует песню Булата Окуджавы из фильма «Приключения Буратино»: «Пока живут на свете дураки, обманывать нам, стало быть, с руки».
Все опрошенные «Ведомостями» банки согласились, что главная причина кражи денег с карт в том, что клиенты ведутся на обман, с помощью которого мошенники выманивают у них информацию о карте или заставляют проделать определенные манипуляции.ы карточные мошенники
Социальная инженерия работает так, приводит пример Сычев: на телефон жертвы приходит сообщение, что карта заблокирована, а для разблокировки предлагается позвонить по указанному номеру. Жертва перезванивает, а на другом конце провода – злоумышленники, которые представляются сотрудниками банка и вынуждают сообщить информацию о карте или подойти к банкомату якобы для разблокировки. Результат один – жертва сама переводит деньги мошенникам.
Вот история с одного из форумов. Женщина поверила мошенникам, по телефону убедившим ее ввести в банкомате в поле для указания суммы перевода набор цифр и заверившим, что это «код подтверждения». Главное – не звонить по номеру телефона, указанному в смс, говорит Сычев, а пользоваться только номером на обратной стороне карты – уж это точно номер банка, а не мошенников.
В последние пару лет существенно выросло число инцидентов с использованием этого метода, сетует начальник управления мониторинга электронного бизнеса Альфа-банка Владимир Бакулин. С введением технологии 3D Secure (дополнительное подтверждение операции с помощью одноразового пароля, отправленного на телефон. – «Ведомости») технических способов хищения стало меньше, а с использованием социальной инженерии – больше, отмечает вице-президент банка ТКБ Игорь Антонов.
С помощью социальной инженерии мошенники узнают у жертвы реквизиты, достаточные для совершения перевода с карты на карту: номер карты, срок ее действия, CVV-код (с обратной стороны карты), указывает начальник отдела безопасности банковских карт «ОТП банка» Андрей Леонтьев. Важно помнить, что представители банка никогда – ни по телефону, ни в переписке – не спрашивают полные данные карт, одноразовые пароли, пин-коды, подчеркивает пресс-служба «Тинькофф банка», для консультации им обычно достаточно имени и четырех последних цифр карты.
Другой прием социальной инженерии – рассылка электронных писем с вирусами. Письмо приходит якобы от контрагента, который просит срочно посмотреть новую тарифную сетку, скажем, телекомоператора, приводит пример Сычев. Цель письма одна – заставить открыть прикрепленный документ либо ссылку, которая приведет к загрузке вредоносной программы, объясняет Сычев: «Если вы не будете открывать такие письма или у вас установлен антивирус, это будет гарантировать безопасность ваших денег и вашей информации».
Существует огромное количество подставных сайтов, созданных мошенниками, предостерегает Бикмаев: одно время были сайты «Проверьте, скомпрометирована ли ваша карта», где клиенту предлагалось ввести данные карты, а потом пришедший от банка пароль. Такие сайты созданы для перевода с карты на карту либо перехвата данных, продолжает Бакулин: совершая операцию на подобном сайте, человек вводит данные своей карты, думая, что совершает покупку, однако на самом деле происходит обращение к одному из легальных ресурсов по переводам, где в качестве получателя платежа уже подставлена карта мошенника.
При использовании карты для оплаты в интернете, банкомате или торговой точке банки дают рекомендации, как минимизировать риск кражи денег (см. врез). От того, как вы их исполняете, будет зависеть, станете ли вы добычей злоумышленников, а также сможете ли вернуть деньги, если их все же украдут.
Что делать после кражи
С 2014 г. закон «О национальной платежной системе» обязывает банк вернуть похищенные с карты средства. Но только при соблюдении ряда условий: клиент должен сообщить о краже в течение суток после получения от банка уведомления об операции. Кроме того, компрометация данных карты не должна произойти по вине клиента. Если же банк не уведомил об операции или разрешил ее после сообщения клиента об утрате карты, вся ответственность лежит на банке.
Жалобы, связанные с кражей денег с карт и невозможностью получить возмещение, – третьи по частоте, говорит финансовый омбудсмен Павел Медведев, и вернуть деньги в таком случае удается редко: банки успешно доказывают вину клиента в компрометации карты. Это подтверждает банкир: если клиент сам не передаст информацию о карте или не будет использовать зараженное вирусом устройство, украсть деньги с карты практически невозможно. Статья в законе больше направлена на возврат денег, украденных с карты без чипа, говорит банкир: их мошенники легко подделывают и при их использовании не требуется пин-код – невозможно определить, кто совершает транзакцию. Если же вводится пин-код, банк однозначно определяет, что картой пользуется ее держатель. С 2015 г. банки обязаны выпускать карты только с чипом, других в обращении почти не осталось.
Самая распространенная причина отказа вернуть деньги – несвоевременное уведомление банка о несанкционированном использовании карты или мобильного телефона, говорит представитель ВТБ. Когда клиент нарушил порядок безопасного хранения и использования карты (например, использовал нелицензированное ПО) и средства похищены из-за заражения устройства вирусом, банк рассматривает подобные ситуации в индивидуальном порядке, указал он. В таких случаях банк рекомендует обратиться в правоохранительные органы.
Медведев не советует обращаться в суды или правоохранительные органы, даже если украли крупную сумму – сотни тысяч рублей: в процессе тяжбы можно лишиться здоровья и оставшихся денег – они уйдут на судебные издержки.
В абсолютном большинстве случаев клиент сам называет свои данные: CVV, пин-код и т. д., что делает невозможным возврат и опротестование операции, а также нельзя доподлинно проверить, что это было мошенничество, а не злонамеренные действия самого клиента, указывает Антонов. За последние три года с изменения закона расходы банка на возмещение клиентам не увеличились, рассказал он.
Россия входит в число благополучных рынков с точки зрения безопасности, говорит специалист по вопросам безопасности Masterсard в России Евгений Балезин: в последние годы ситуация улучшается.
Топ