По данным Национального банка Украины, по состоянию на конец второго квартала в обороте находилось 65,388 млн пластиковых карт, при этом 30 млн активно использовались в последние три месяца. Но наша активность в пользовании карточками предоставляет и большие возможности для специализирующихся на них злоумышленников — по словам специалистов, число случаев мошеннического завладения деньгами в последнее время растет. Мы решили вспомнить, какие существуют риски для держателя карточки и как себя от них обезопасить. В этом нам помогли начальник отдела противодействия киберугрозам ПУМБ Александр Третьяк, член правления "Вернум Банка" Александр Куркин, начальник центра информационной безопасности ПУАО "Фидобанк" Олег Ковальчук, начальник сектора мониторинга и расследования мошеннических операций АО "ОТП Банк" Алексей Думинюк, заместитель начальника управления организации карточных программ банка "Хрещатик" Павел Порохнюк и директор департамента противодействия легализации доходов, полученных преступным путем, и внутренней безопасности "ПРАВЭКС-БАНК" Игорь Ткалич.
Основные виды "развода"
Как утверждает Александр Куркин, мошенничество с картами можно разделить на несколько подвидов: скимминг в банкоматах; мошенничество посредством платежных терминалов; обман в сети интернет и банальная кража карты.
Самый высокий процент мошенничества занимает интернет, но сейчас в моде и так называемая "социальная инженерия": "Мошенник, войдя к вам в доверие (например, представившись сотрудником банка), выпытывает реквизиты карты", — описывает "инженерию" Алексей Думинюк.
Если деньги "испарились" — действуйте быстро
Очень важно узнать о "налете" на ваш счет сразу после того, как это произошло. Для этого нужно получать смс-сообщения обо всех транзакциях и читать их сразу же после прихода. Кстати, как указывает Павел Порохнюк, мошенники любят действовать в неудобное для контроля время, в том числе и ночью. Так что тут уж вам самому решать, что важнее — выспаться, не реагируя на сигналы мобильника, или спасти деньги на своем счету.
"Во-первых, как только стало известно о проведении несанкционированной операции или попытках проведения операций, необходимо сразу же позвонить в банк и заблокировать карту", — говорит Олег Ковальчук. Это позволит минимизировать возможные потери от действий злоумышленников.
Во-вторых, следует выяснить — где проводились операции (страна, город…) и тип операций (снятие в банкомате, операция в магазине, оплата по интернету…). "Получив такую информацию, вначале целесообразно оценить возможность использования карты людьми из ближайшего окружения, — указывает Олег Ковальчук. — Например, если снятия были в банкомате возле дома, то вероятность того, что это сделал кто-то из родственников, друзей, крайне высока. В этом случае имеет смысл предварительно самим уточнить, не пользовался ли кто-то вашей картой, и возможно, вопрос решится достаточно быстро".
В-третьих, убедившись, что операции совершали посторонние люди, необходимо подать заявление в банк и в правоохранительные органы. При этом следует получить в банке выписку с указанием времени и мест совершения всех транзакций по этой карте. По этой выписке установить, какие именно операции были несанкционированными. И перечислить их как оспариваемые в заявлении, которое подается банку.
"Банк займется изучением возможности возмещения потерь по вашему случаю, а правоохранительные органы — поиском и поимкой злоумышленников, — говорит Олег Ковальчук. — В-четвертых, держать вопрос на контроле до получения ответа из банка: он либо возмещает вам средства, либо пишет официальный отказ с обоснованием причин".
То ли вернут, то ли нет
Банк не спешит возвращать деньги каждому — все зависит от результатов расследования. Хорошо, если оно, например, покажет, что мошенническая транзакция произошла, когда пострадавший клиент не мог ее провести физически. Очень помогают в этом деле камеры видеонаблюдения. Но даже если будет доказано, что клиент не сам себя обокрал, это еще не означает возврат денег, например, банк ничего ему не обязан, если он нарушал пункты договора, касающиеся использования карт.
ЛОВИСЬ, РЫБКА, в сети
"Наиболее серьезной и острой проблемой является рост мошенничества в интернете", — считает Павел Порохнюк. В числе наиболее популярных инструментов — так называемый фишинг (от английского fishing — рыбная ловля). "При совершении операций в интернете держатели банковских карточек могут столкнуться с фишинговыми сайтами, с помощью которых мошенники собирают данные платежных карт, а затем проводят несанкционированные онлайн-операции", — объясняет Олег Ковальчук. Кроме того, мошенники еще и активно провоцируют вас на неразумные действия, например с помощью почтовых и смс-рассылок, либо же телефонных звонков (такой вид фишинга носит название "вишинг"). Сообщения разные: вам или что-то предлагает банк, или вы выиграли в какой-то лотерее, или еще что-то в таком духе, но требование одно: вам надо где-то ввести реквизиты своей карточки.
ВЗЛОМ. Но если для успеха фишинга вы должны проявить определенную долю наивности и ротозейства, то у мошенников есть и более прямой путь к успеху. "Злоумышленнику достаточно либо взломать компьютер держателя карты, либо сайт, который принимает платежи, и получить базу данных клиентов", — говорит Александр Куркин. "Также данные платежной карты могут стать доступны мошенникам в случае заражения вашего персонального компьютера, телефона или другого устройства, с которого вы совершаете оплату, вирусом, — добавляет нам "оптимизма" Алексей Думинюк. — Вирус копирует все данные в момент введения реквизитов. Эти данные пересылаются мошеннику, который использует их в своих целях". Далее средства с карт, чьи данные были украдены, обналичиваются — тут способ снятия денег, по словам Александра Куркина, ограничивается только фантазией мошенника.
ЗАЩИТА. Снизить риски может установка актуальной антивирусной защиты и соблюдения стандартных требований безопасности: не гулять по подозрительным сайтам, не скачивать себе непонятно что и не открывать письма сомнительного происхождения. Но есть и более "специализированные" меры. "Чтобы снизить риски интернет-мошенничества, сегодня банки предоставляют возможность клиентам заблокировать проведение операций в интернете. Если оплаты в интернете вы не проводите, то эту возможность лучше сразу заблокировать. Если вы иногда делаете покупки в интернете, то эту опцию можно активировать разово, а после проведения оплаты снова блокировать, — рассказывает Александр Третьяк. — Активные онлайн-покупатели могут установить лимиты на операции в сети: это снизит риски кражи средств с карты до разрешенной суммы. Хорошим решением для тех, кто часто рассчитывается картой в сети, может стать отдельная карта для оплаты в интернете с лимитом на операции. Это позволит не "светить" в сети свою основную карту".
ПРИНЦИПЫ БЕЗОПАСНОСТИ
Если мы хотим максимально упростить жизнь злоумышленнику, нам стоит просто передать ему свою карту и сообщить ПИН-код. Но можно обойтись даже без этого. "В основном мошенники ищут способы изъять данные платежной карты для проведения операций без использования самой карты или же собирают данные для изготовления поддельных "клонов" карт, по которым легко снять наличные", — утверждает Павел Порохнюк. Собственно, как напоминает Олег Ковальчук, для совершения списания достаточно знать номер карты, срок действия и код CVV2/CVC2.
"Осведомлен — значит вооружен, — говорит Игорь Ткалич. — Поэтому первое и самое важное правило безопасности гласит: необходимо знать о самых распространенных типах мошенничества с банковскими картами, хранить "пластик" в месте, недоступном для взглядов посторонних, и никому не передавать его реквизиты". Строго говоря, любая ситуация, когда ваша карточка даже ненадолго попадает в чужие руки или вы сообщаете кому-нибудь какие-нибудь из ее реквизитов, уже несет в себе некую долю риска. Банкиры не устают повторять: никому и никогда, ни при каких обстоятельствах на следует знать ваш ПИН! Более того, Олег Ковальчук рекомендует вообще не записывать ПИН и не хранить его вместе с картой. Из других рекомендаций Ковальчука: устанавливать лимиты на проведение операций по карте (например, количество и суммы операций в банкоматах и терминалах), исходя из ваших реальных потребностей; использовать услугу смс-информирования и регулярно проверять выписку по счету на предмет соответствия списаний фактическим операциям. Еще одна возможность, о которой напоминает Александр Третьяк, — страхование средств на карточке от мошеннических действий. Сейчас уже ряд банков предоставляет такую возможность.
Опасности у банкомата: снятие сливок и капкан для денег
"Практически со времен появления банкоматов появились и мошенники, которые ищут любые пути для снятия ваших денег", — рассказывает Александр Куркин. Основными ненасильственными способами разделить с вами ваши деньги при помощи банкомата, как утверждают специалисты, являются скимминг и cash trapping.
СКОЛЬЖЕНИЕ. Вообще-то, skim можно перевести с английского, как "верхний слой": мошенники считывают ключевые данные вашей карточки с помощью техники. "На кардридер злоумышленники устанавливают скимминговое устройство, а на его верхние части устанавливается скрытая камера для записи ПИН-кода. В момент проведения операции клиентом мошенник получает данные магнитной полосы и ПИН-код — для дальнейшего изготовления дубликата платежной карты и использования его в банкоматах", — описывает метод Александр Третьяк. Как вариант, вместо камеры для получения ПИН-кода может использоваться накладка на клавиатуру. Технический прогресс семимильными шагами также помогает преступникам. "Еще несколько лет назад мошеннику обязательным было не только установить такое оборудование на банкомат, но и снять его для копирования информации, — рассказывает Александр Куркин. — Сейчас технологии позволяют дистанционно получать данные с помощью Bluetooth или других методов". Кстати, аналогичным образом данные карты могут быть считаны платежным терминалом в магазине или ресторане и даже переписаны продавцом или официантом.
ЛОВЛЯ. Ключевым словом в названии второго метода является английское trap — "ловить в капкан". "Мошенник устанавливает специальную планку на устройство по выдаче денег, тем самым препятствуя их выдаче. Внутренняя сторона данной планки смазана клеем или же на нее нанесен двухсторонний скотч для приклеивания выданных купюр. Внешняя сторона планки имитирует цвет и металл банкомата, — рассказывает Алексей Думинюк. — Держатель карты, совершая операцию по снятию наличных из банкомата, не получает их и отходит от банкомата. Далее к банкомату подходит мошенник, снимает планку и, достав деньги, приклеенные к ней, снова устанавливает на место".
ПРЕДОСТОРОЖНОСТЬ. Олег Ковальчук советует: "Чтобы не стать жертвой злоумышленников, нужно придерживаться следующих простых правил:
1 Убедитесь, что внешний вид банкомата соответствует изображению на заставке банкомата.
2 При вводе ПИН рекомендуется прикрывать руку и нажимаемые клавиши второй рукой, либо кошельком, газетой и т. п.
3 Не производить снятие средств в банкоматах поздно вечером в плохо освещенных местах, если рядом есть группы подозрительных лиц.
4 При обнаружении на банкомате подозрительных внешних устройств, накладок, остатков следов клея, наличие отверстий и т. п. — откажитесь от продолжения операции и обращайтесь в контакт-центр банка".
Александр Куркин советует также снимать наличные в банкоматах, которые установлены в отделениях банков. "В некоторых случаях целесообразнее заплатить комиссию за снятие наличных средств в чужом банкомате, чем пользоваться сомнительными устройствами для получения наличных", — говорит Александр Куркин.