В Сети много ресурсов, на которых жертвы мошенников рассказывают о хищении средств с пластиковых карт. Мобильный телефон есть у всех, интернет-банкинг привязывается ко многим картам по умолчанию. Клиенты, собственно, и не возражают, ведь это самый удобный способ расплатиться за товары и услуги, не выходя из дома. В качестве защиты платежей используется код из СМС.
Насколько такая защита себя оправдывает и о том, как защитить свои финансы в интернете от кибер-мошенников, газете «Ингушетия» расскажет ведущий специалист юридического отдела регионального Минфина, консультант-методист по финансовой грамотности Аза Саутиева.
— Какие уязвимые места защиты в онлайн-ресурсах?
— Дистанционное банковское обслуживание имеет свои преимущества и уязвимые места. Некоторые люди просто опасаются расплачиваться банковской картой, некоторые — усиленно изучают информацию о способах защиты от мошеннических схем. Самый популярный по статистике запрос — «сняли деньги с карты Сбербанка через мобильный банк: как вернуть деньги?». Расскажем о правилах безопасности подробнее.
Мошенники используют недостатки банковской системы, чтобы снять деньги с чужих счетов. Потребители часто поступают опрометчиво, это на руку злоумышленникам. Статистика показывает: ежегодная сумма похищенных денег с карточных счетов составляет около 1 млрд руб. При этом Центробанк фиксирует не менее 400 тысяч случаев воровства каждый год.
Факты таковы, что мошенничество с банковскими картами через мобильный банк сегодня случается чаще, чем банальное карманное воровство, так процветающее еще лет 10 назад. Более 23% транзакций в 2018 и 2019 годах помечены как подозрительные и были заблокированы банками на этапе ввода информации с пластиковых карт или в момент идентификации.
Самые уязвимые места в защите онлайн-ресурсов, а значит, и в защите клиентов, которые активно пользуются их услугами, — утечка персональной и платежной информации. Частично угрозы кибератак снижаются благодаря внедрению многоуровневых систем подтверждения, новейших IT-решений по безопасности. Но это отнюдь не панацея.
— Как в основном происходит утечка информации в Сети?
— Около 80% случаев утечки информации происходят по вине халатности сотрудников все тех же онлайн-ресурсов. Неаккуратно открытое электронное письмо запускает вирусы на сервера, и за считанные часы уводит всю информацию.
Банковские хранилища данных регулярно подвергаются кибернападениям. В прошлом году каждый четвертый банк в мире подвергся DDoS-атаке, усредненный ущерб от манипуляций составил приблизительно 1,1 млн долларов на банк.
Не меньшую угрозу представляет и ваш собственный смартфон. С его помощью злоумышленники вскрывают личные счета, даже если физический контроль над устройством не был потерян. Вы можете даже не подозревать, что в вашем телефоне уже живет программка по считыванию данных и паролей, остается только получить СМС с кодом.
— Какие правила безопасного пользования мобильным банком существуют на сегодня?
— В договоре со Сбербанком перечислены требования, которые гарантируют безопасность дистанционного обслуживания клиентов. Отдельная глава посвящена использованию пластиковых карт. Несоблюдение пунктов ведет к отказу в возврате похищенных денег.
Как минимум клиент обязан:
— хранить носитель информации в недоступном посторонним людям месте, желательно отдельно от удостоверяющих личность владельца документов и денег;
— наблюдать за действиями с картой должностных лиц — кассиров, менеджеров по продажам, работников сервисных служб;
— запомнить ПИН — запрещено записывать и сообщать посторонним людям код.
Дополнительным средством защиты становятся СМС-уведомления. Некоторые клиенты сознательно экономят на этой услуге, не подозревая, что потери от подобной халатности могут быть гораздо существеннее.
Например, недобросовестный кассир пропускают карту через считыватель несколько раз, банк списывает двойную сумму. Заметить мгновенно такую манипуляцию можно только через полученное СМС, вы же не проверяете баланс счета после каждой покупки в супермаркете.
Также финансовые учреждения не рекомендуют входить в мобильный банк при использовании открытых интернет-сетей. Вы подключаетесь к открытой точке доступа, например, в супермаркете или торговом центре, и просто делаете свой телефон видимым для злоумышленников.
Отдельным пунктом безопасности выносится реагирование на СМС спамного содержания — «вы выиграли 100 тыс. рублей, перейдите по ссылке» или «ваша карта заблокирована, срочно позвоните по номеру...». Подобные СМС, так же как и фишинговые письма в электронной рассылке, запускают в ваш телефон вирусы. И стоит только вам зайти в мобильный банк, как вредоносное ПО считывает конфиденциальную информацию или просто списывает все деньги с ваших карт.
— Какие виды мошенничества через мобильный банк чаще всего происходят?
— Несмотря на усовершенствования, платежные операции с использованием пластиковой карты и смартфона находятся в зоне повышенного риска. Чтобы не стать жертвой обстоятельств, рекомендуем постоянно помнить о методах работы злоумышленников.
К самым распространенным способам получения доступа к счету относят телефонное мошенничество по картам, фишинг и злонамеренное использование банкомата.
Практически в каждом из методов преступники рассчитывают на человеческий фактор — испуг, замешательство, медленная реакция на происходящее. Без вашей помощи многие кражи не могли бы случиться априори. Наверняка вы слышали, что опытному угонщику на взлом противоугонной системы нужно всего пару минут, так вот «угонщику» ваших денег со счета нужно уложиться в 30 секунд — пока ваш мозг не выдал предупреждение об опасности.
— Что такое вишинг?
— Вишинг — психологическая манипуляция, цель которой заставить жертву добровольно сообщить персональные и платежные данные по карте.
Самый популярный прием злоумышленников — информирование владельца карты о блокировке средств на счете. Это может быть рассылка сообщений (SMS, MMS) или звонок, главное внезапность, быстрый текст, побольше умных слов и повторение фраз «ваши деньги заблокированы», «вы попали под мониторинг финансового контроля», «на разблокировку у вас есть 4 минуты» и т. д. по ситуации.
Собеседник представляется сотрудником службы безопасности, контролером финансовых операций, инспектором отдела финансового мониторинга, и предлагает моментальное решение проблемы — сообщить код входа, информацию с лицевой и обратной стороны пластиковой карты.
Первый признак, что вас пытаются обмануть — спешка. Вам не дают ни секунды подумать, что вообще происходит. Вам не отвечают на вопросы, кто и за что заблокировал ваши деньги, вам не предлагают связаться с банком, подойти в отделение, позвонить на горячую линию. Все, что требуется здесь и сейчас:
— номер из 16 символов на лицевой стороне карты;
— срок действия в формате ХХ/ХХ;
— CVV-код с обратной стороны карты.
Лучшее, что можно сделать — сбросить вызов и самому перенабрать номер горячей линии банка. Он есть на каждой карточке, поэтому всегда под рукой.
— Какие еще действия можно предпринять?
— Нужно проверить номер звонившего через поиск Google, благо современные системы отслеживания хранят тысячи подозрительных абонентов и особо активных телефонных мошенников.
Также следует проконсультироваться с банком по вопросу дополнительной защиты ваших счетов. Вы уже в базе злоумышленников и, возможно, попытки взлома будут повторяться.
Проверить лимиты на снятие наличных, переводы онлайн и оплату товаров либо услуг в интернете по всем своим картам. Поднять лимит — вопрос пяти минут, зато вы точно перекроете мошенникам доступ к удаленному снятию средств.
Очень редко, но бывает, что звонивший начинает диалог с озвучивания номера вашей карты. То есть каким-то способом 16 цифр им уже добыты, например, сфотографированы в общественном месте или в магазине. Тогда обязательно перевыпустите карту. Номер счета останется прежним, а вот платежные реквизиты изменяться.
— Какой схемы придерживаются мошенники в ходе фишинга?
— Этот вид похищения денег, как мы уже упоминали выше, связан с установкой вредоносных программ на компьютеры и мобильные устройства. Мы часто качаем различные приложения из Сети: для игр, общения в сообществах, поиска видео, книг, картинок. И как всегда пытаемся сэкономить, найти бесплатные версии. Такая экономия приводит нас на непроверенные ресурсы. После перезагрузки, вредоносный софт проникает в систему управления смартфоном.
Опасность фишинга заключается в мгновенной передаче всех платежных данных и разового кода злоумышленникам через интернет; а также в блокировке сообщений о движении средств на счету клиента — о том, что вас обокрали, вы можете даже не узнать.
Программа может себя выдать не сразу. Например, настройки будут отслеживать поступления крупных сумм на ваш счет. Выжидая подходящего случая, программа может месяцами тихо находиться в системе. Именно для этого вам на смартфон регулярно приходят уведомления о необходимости обновить операционную систему. Вместе с обновлениями разработчики запускают программы антивирусов, вычищая ваш телефон от всех посторонних кодов.
— Можно ли сегодня использовать банкомат как инструмент для незаконного обогащения?
— Как свидетельствует отчет ЦБ РФ, в России установлено более 200 тыс. программных комплексов АТМ. Конечно, большинство из них размещаются в отделениях банков, в людных магазинах, торговых центрах. Однако вынужденно некоторые банкоматы размещаются в удаленных районах, на малолюдных улицах, где ночью недостаточно освещения и нет трафика. Этим пользуются злоумышленники и незаконно устанавливают считывающие приборы на внешние панели АТМ.
Особенность таких конструкций — их трудно заметить, внешний вид банкомата ничем не отличается. К механическим средствам относят такие устройства, как скиммеры — приборы для считывания данных с магнитной полосы; накладки на панель с кнопками, их называют пин-падом; видеокамеры, чтобы зафиксировать ПИН-код.
Все эти накладки устанавливаются наспех, особо не закрепляются, потому что снимать их нужно тоже быстро, не привлекая внимания. Не поленитесь перед использованием банкомата поковырять панель ввода кода — фальшивая панель отделится легко, поковырять пластиковую накладку на панели, которая выдает купюры — ее устанавливают, чтобы деньги застряли, и вы не смогли их изъять.
Но нам интересен другой вид мошенничества, когда вас просят прийти к банкомату и под диктовку решить вашу некую «проблему» с картой. Можно назвать эту ситуацию продвинутой разновидностью вишинга, потому что реально заставить человека добровольно проделать столько манипуляций — уже мастерство.
— Как предотвратить мошенничество через мобильный банк?
— В основе безопасного пользования пластиковыми картами, также как и мобильным банкингом, — внимательность и осмотрительность. Не нужно пользоваться банкоматом, если вы не уверены, что он хорошо освещен и просматривается с разных сторон камерами наружного наблюдения. Не нужно вводить пароль от мобильного банка посреди торгового центра. Не стоит открывать подозрительные СМС и электронные письма. А особенно — не стоит верить каждому телефонному доброжелателю.
Избежать неприятностей помогут действия:
— заказать дополнительную карту и применять ее для расчетов в магазинах, ресторанах, на заправках — на такой карте всегда должна быть небольшая сумма денег, ограниченные лимиты;
— установить дневной лимит на снятие средств по всем картам, независимо от того, как часто вы ими пользуетесь;
— всегда выбирать карты нового поколения с дополнительными средствами защиты — чипом, фото.
Способы защиты от фишинга:
— покупка лицензионных приложений,
— скачивание бесплатных программ с официальных сайтов,
— контроль движения денег на счету.
Важно заранее побеспокоиться о безопасности. Например, установить на смартфон антивирус, в настройках личного кабинета банка указать дублирование сообщений на электронную почту.
Реальные отзывы клиентов банков свидетельствуют, что можно избежать вишинга, если не открывать сообщения, полученные с незнакомых номеров. Советуем периодически проверять список установленных на телефоне программ.
Сбербанк предлагает подписку на услугу Secure Code. Это специальный код, который генерирует система для конкретной пластиковой карты.
— Если все же ты стал жертвой мошенников, то как вернуть пропавшие деньги?
— Успех зависит от скорости обращения в техподдержку и наличия доказательств. Предлагаем такой алгоритм действий:
— срочно позвонить по номеру горячей линии, чтобы заблокировать движение денег на счету;
— прийти в отделение банка, сообщить о случившемся, заполнить типовое заявление;
— представить доказательства своей невиновности, приходить на встречи с сотрудниками отдела безопасности;
— написать заявление в полицию, регулярно интересоваться результатами расследования.
P. S. Дорогие читатели, обезопасить себя на 100% невозможно, но соблюдение основных правил безопасности поможет с большой долей вероятности сохранить свои средства и нервы.