Ваша банковская карта тоже под угрозой
Для начала — немного статистики от Банка России. Она показывает масштаб проблемы.
За 2019 год зарегистрировано 576 566 операций, совершённых без согласия клиента. Так в отчётах Банка России называют переводы мошенникам и кражу денег с банковских счетов. Общая сумма — 6 миллиардов 426,5 миллионов рублей. В общей массе денежных переводов это ничто — 0,0023 %. Однако настораживают другие моменты:
- количество операций, совершённых без согласия клиента, неуклонно растёт. В 2017 году было зафиксировано 317 тысяч, в 2018 — 417 тысяч, в 2019 — 576 тысяч случаев; средняя сумма перевода мошенникам в 2019 году — 10 000 рублей для физических лиц и 152 000 рублей для юридических лиц; банки возместили клиентам только 15 % похищенного (935 миллионов рублей в 2019 году).
Низкий процент возмещений связан с тем, как преступники получают деньги от доверчивых граждан. В 69 % случаев речь идёт о социальной инженерии. Злоумышленники убеждают жертв в том, что они должны сообщить им трехзначный код или перевести деньги. Для банка это нарушение договора обслуживания и повод не возвращать деньги. Единственный выход в такой ситуации — обращение в полицию с заявлением о мошенничестве. Это не самый популярный способ среди граждан, особенно если речь идёт о маленькой сумме.
Итак, что мы имеем:
- каждый год всё больше граждан и организаций становятся жертвами краж с банковских карт; банки возвращать потерянные деньги не спешат; полиция не знает о значительном числе банковских краж, так как жертвы не подают заявление, мошенники продолжают безнаказанно обманывать людей.
Ваши средние 10 000 рублей на карте тоже под угрозой. Я уже рассказывал о телефонном мошенничестве: первая часть — про схемы обмана, вторая часть — про то, как не лишиться денег. Звонки и сообщения с разными просьбами от сотрудников банка и специалистов службы безопасности — главный инструмент обмана. Но есть и другие способы украсть деньги с банковской карты.
Вы станете жертвой фишинговой атаки
Вероятность потерять деньги: высокая.
Один из самых опасных способов — создание фейковых страниц популярных сервисов. В топе у злоумышленников сайты банков, платёжных сервисов, крупных интернет-магазинов. Некоторые фейки сделаны так топорно, что сразу видна разница, но есть и качественные копии.
В 2017 году cлужба кибербезопасности Сбербанка за 9 месяцев мониторинга обнаружила и закрыла свыше 600 доменов, использовавшихся для фишинговых атак. К сожалению, более свежую статистику найти не удалось. Скорее всего, её просто не ведут, так как никто не занимается целенаправленным поиском и блокировкой фишинговых ресурсов разного рода.
Иногда к фишингу примешивается социальная инженерия. Пользователь видит на развлекательном сайте или в ленте соцсети ссылку на кредит с выгодными условиями. Чтобы получить его, нужно ввести в форму данные банковской карты — якобы это требуется для проверки кредитной истории заявителя. Естественно, деньги жертва не получает, а теряет — мошенник берёт данные из формы и списывает средства со счёта.
Для проверки карты со счёта спишут 160 рублей. И потом весь остаток, потому что это фишинг / Фото: anti-malware.ru
Ссылки на фишинговые сайты часто приходят в письмах на электронную почту. В прошлом году я часто получал сообщение с темой «Поздравляем! Вы выиграли 30 000 рублей!». Внутри — чушь про какой-то розыгрыш по адресам электронной почты и предложение немедленно забрать выигрыш. Для этого нужно перейти по ссылке и ввести данные банковской карты.
Фишинговыми могут быть не только сайты, но и мобильные приложения банков. Из Google Play и App Store их стараются оперативно удалять, но иногда пользователи всё-таки успевают скачать подделку до того, как модераторы её вычистят.
Одна из показательных историй, связанных с фишингом, — действие трояна FANTA. В 2019 году специалисты компании Group-IB, занимающейся предотвращением кибератак, рассказали о новой стратегии мошенников.
Будущая жертва размещает объявление на «Авито». Спустя некоторое время на указанный в объявлении телефон приходит сообщение о переводе на счёт полной стоимости товара. Детали платежа человеку предлагают посмотреть по ссылке. По ссылке открывается фишинговая страница, копирующая дизайн «Авито». На ней размещено описание товара, а также указана полученная продавцом сумма. После нажатия на кнопку «Продолжить» на смартфон скачивается вредоносный APK, замаскированный под приложение «Авито». Если такая маскировка срабатывает, фишинговая атака продолжается. Человек устанавливает и запускает приложение «Авито», переходит по фейковым страницам и оставляет данные банковской карты, чтобы получить платёж.
Несмотря на кажущуюся сложность исполнения (всё-таки человека надо заставить установить приложение, а потом ещё и ввести данные карты), за 9 месяцев 2019 года по этой схеме мошенники получили как минимум 35 миллионов рублей. От их действий пострадали клиенты 70 банков, а также пользователи популярных платёжных систем. Проблема в том, что троян постоянно модифицируется, так что вполне возможно, что вы станете его жертвой в 2020 году.
Пожалуйста, добавьте карту, чтобы мы списали с неё деньги / Фото: group-ib.ru
В связи с пандемией коронавируса мошенники придумали новые способы фишинга. Вот два ярких примера:
- мошенники предлагают россиянам вернуть деньги за несостоявшиеся перелеты. Для перевода полной стоимости они просят сообщить платёжные данные; в соцсетях распространяются ссылки на сервисы, на которых якобы можно получить финансовую поддержку в связи с введением карантинных мер.
Как защититься
Не переходите по сомнительным ссылкам из ленты соцсетей и писем. Проверяйте адрес сайта, на котором собираетесь совершить покупку. Для верности походите по его страницам, чтобы убедиться в подлинности ресурса. Заведите отдельную карту для покупок в интернете. Переводите на неё сумму покупки, чтобы не потерять все деньги, если данные карты окажутся в руках злоумышленников.
Данные вашей карты украдут у крупной компании
Вероятность потерять деньги: высокая.
Куда большую опасность по сравнению с фишинговыми страницами представляет взлом официального интернет-магазина, сайта авиаперевозчика или другого ресурса, которым вы пользуетесь для оплаты товаров и услуг. Вот два пугающих примера
В 2018 году была обнаружена кража сведений о 5 миллионах банковских карт из платёжной системы премиальных американских ритейлеров Saks Fifth Avenue и Lord&Taylor. На момент выявления утечки 125 000 карт выставили на продажу.
В 2019 году издание LIFE рассказало историю россиянки, которая потеряла деньги через приложение Uber и банковский клиент «ВТБ». Сначала она получила уведомления о списании и возврате нескольких рублей — типичные операции во время привязки новой карты к аккаунту. Затем в течение 20 минут с её карты были списаны 5 платежей за услуги Uber общей стоимостью 14 118 рублей. Даже после блокировки карты были зафиксированы попытки списания денег.
Вероятно, во втором случае карта была скомпрометирована на стороне Uber. У компании вообще очень сложные отношения с безопасностью. Например, правительство США в 2017 году фактически заставило её подписать соглашение о проверке на соответствие требованиям безопасности каждые 2 года в течение ближайших 20 лет.
Торговля платёжными данными вообще прибыльное дело. В конце марта сотрудники ФСБ задержали более 30 граждан России, Украины и Литвы, которые создали несколько десятков интернет-магазинов, через которые можно купить платёжные сведения клиентов разных банков. В ходе обысков были изъяты более 1 миллиона долларов и трёх миллионов рублей, золотые слитки и драгоценные монеты.
Как защититься
Подключите уведомления обо всех операциях с банковским счётом. Заблокируйте карту, как только увидите неизвестное списание.
Злоумышленники сделают копию вашей карты
Вероятность потерять деньги: низкая.
На банкоматы крепятся скиммеры — устройства, считывающие данные с магнитной полосы. Вместе с ними устанавливаются камеры, задача которых — зафиксировать, как вы вводите ПИН-код. Имея на руках информацию о карте, злоумышленники делают копии, а ПИН-код помогает им быстро обналичить ваш счёт.
От этой накладки больше никто не пострадает / Фото: journal.tinkoff.ru
Благодаря борьбе со скиммингом на клавиатуре банкомата появились «крылья». Они мешают камере снять цифры, даже если вы забыли закрыть их рукой, а ещё не дают установить фальшивую клавиатуру, которая бы запомнила введённый ПИН-код.
Вторая клавиатура помогает злоумышленникам узнать ПИН-код / Фото: journal.tinkoff.ru
Скимминг может быть и ручным — например, недобросовестные официанты забирают карты, чтобы оплатить счёт, и фотографируют или запоминают платёжные данные.
Как защититься
Подключите оповещения об операциях, чтобы быстро заблокировать карту при неизвестном списании. Используйте только проверенные банкоматы, желательно те, которые находятся в отделении банка. При вводе ПИН-кода прикрывайте клавиатуру рукой. Используйте карту с чипом, её сложнее подделать. Не передавайте карту в чужие руки, оплачивайте покупки только самостоятельно.
К вам незаметно подойдут с терминалом для бесконтактной оплаты
Вероятность потерять деньги: очень низкая, слишком затратный способ для мошенников.
С распространением бесконтактной оплаты поднялась паника — в любом месте массового скопления людей к тебе могут подойти с ридером и снять до 1000 рублей с карты. Теоретически это возможно — для снятия денег с помощью стандартного POS-терминала необходимо, чтобы между картой и устройством было расстояние не более 4 сантиметров. В любом виде общественного транспорта в час пик люди находятся друг к другу ближе.
Выглядит устрашающе. Но неэффективно. Разве что использовать терминал в качестве оружия для угроз / Фото: zen.yandex.ru
Однако на практике всё намного сложнее.
- 4 сантиметра — это всё-таки мало. Если карта лежит в плотном кошельке в середине сумки, то добраться до неё стандартным терминалом не получится. Правда, в 2016 году в блоге «Лаборатории Касперского» рассказывали об эксперименте, в ходе которого исследователи собрали устройство, считывающее данные карты на расстоянии до 45 см. Правда, терминал получился очень большим, так что пришлось разместить его в тележке из супермаркета. Терминал активируется на несколько секунд. То есть вору нужно подойти к вам, незаметно ввести сумму и только после этого приложить устройство к сумке или карману, в котором находится карта. Нельзя списать деньги с одной карты несколько раз. После получения нужных данных терминал автоматически прекращает обмен с картой. Чтобы списать деньги с этого же или другого пластика, нужно заново вводить сумму. При бесконтактном считывании используется слишком много узлов, собирающих информацию о платеже: банк, который выдал карту, банк, на счёт которого будут зачислены деньги, платёжная система (Visa, MasterCard). Кроме того, POS-терминалы продаются только ИП и юридическим лицам и строго учитываются.
В реальных условиях бесконтактный способ оплаты может стать проблемой только в случае потери карточки. Нашедший пластик человек может совершать покупки стоимостью до установленного лимита. Но если у вас включены оповещения, то вы быстро это обнаружите и заблокируете карту.
Как защититься
Не носите банковские карты в карманах. Пусть лежат в кошельке или в сумке. Для параноиков — купите экранированный кошелек. Или просто оберните карточку фольгой.
Что делать, если вы обнаружили неизвестное списание с банковской карты
Заблокируйте банковскую карту. Обычно это можно сделать через приложение. Если приложения нет, позвоните в банк (номер указан на карте) и расскажите о произошедшем. Разбираться с конкретными причинами списания будете позже. Учитывая статистику возвратов со стороны банков и трудности в нахождении мошенников со стороны правоохранительных органов, ваша главная задача — самостоятельно минимизировать финансовый ущерб. Напишите заявление об отмене несанкционированного списания денег. Претензию необходимо составить как можно скорее, не позднее следующего дня после обнаружения перевода. Обратитесь в полицию и напишите заявление о несанкционированном списании денег. Мошенничество это или кража — полицейские будут определять уже самостоятельно, исходя из объективной стороны преступления.
Банк должен вернуть деньги при одновременном соблюдении двух условий:
- клиент не нарушил правила использования карты; с момента получения уведомления о списании прошло не более одного дня.
Большая часть отказов связана как раз с несоблюдением первого условия. Например, если вы по телефону сообщили мошеннику платёжные данные, банк не вернёт деньги. Их можно будет взыскать со злоумышленника — если, конечно, его найдут и привлекут к ответственности за обман или кражу.
Источник: