Защита от мошенничества по картам

Содержание:

Защита от мошенничества по картам

В начале мая 2012 года финансист крупной нефтяной компании Александр (герой попросил не указывать его фамилию) получил большой бонус и отправился отметить его с коллегами. Празднование вышло из-под контроля. В один из напитков, которые заказывал Александр, подмешали наркотик. Дальнейшие события финансист помнит смутно. По его словам, следующие сутки он провел в ванной в неизвестном ему месте в полусознательном состоянии.

«Все это время мне приносили терминал с моей картой, и я на автомате вводил PIN-код. Меня просили — я вводил, под действием препарата. В итоге небольшими порциями по 30–60 тыс. руб. у меня списали со счета почти 1,2 млн руб.», — рассказывает Александр.

Как показала выписка со счета, деньги снимались в скандально известном джентльмен-клубе «Маринесса Пикаро». Осенью 2014 года его владельца Юрия Раха обвинили в организации преступного сообщества, члены которого похищали средства с карт посетителей ночных клубов. Схема была устроена следующим образом: молодые девушки заманивали мужчин в один из нескольких принадлежавших Раху клубов. Там они узнавали данные их кредитных карт, приводили их в беспомощное состояние и списывали деньги под видом якобы оказанных услуг и покупки дорогих алкогольных напитков.

Очнувшись, Александр сразу же заблокировал карту и написал заявление в полицию. В полиции в тот момент возбуждать дело по факту мошенничества отказались. Вернуть деньги через банк тоже не удалось. В то время в России не было закона, который прописывал бы, в каких случаях клиент может рассчитывать на возврат украденных средств. Поэтому решение оставалось на усмотрение банка. Банк решил, что раз Александр сам вводил PIN-код, то и ответственность за все совершенные операции он несет сам.

Новая услуга

Списание денег с карт становится все более распространенной проблемой. По данным Центрального банка, в 2014 году карточные мошенники украли у россиян 1,58 млрд руб. В среднем сумма одной несанкционированной операции внутри России составила 5,7 тыс. руб. По идее граждан от растущей волны мошенничества должен был уберечь закон «О национальной платежной системе». По нему банк должен вернуть списанные мошенниками деньги, если пострадавший клиент обратился в банк в течение суток. На практике компенсацию получает только половина людей, рассказывает председатель правления Международной конфедерации обществ потребителей Дмитрий Янин. Зато банки все чаще предлагают клиентам застраховать карту.

На прошлой неделе о запуске новой услуги «Деньги под защитой» объявил банк «Восточный экспресс». Страховой полис по этой программе обезопасит клиентов от финансовых потерь, связанных с пользованием банковскими картами, в любой точке мира, обещает кредитная организация. Промсвязьбанк включил бесплатную страховку от мошеннических операций в условия обслуживания своей новой карты для интернет-покупок — ShoppingCard. Банк планирует страховать риски по другим картам, рассказывает руководитель группы банкострахования Промсвязьбанка Максим Холматов.

«Какие-то опции будут бесплатными, какие-то — платными», — говорит Холматов. Страхование карт также предлагают МТС Банк, Бинбанк, «Русский стандарт» и «Интеза».

Условия страховки

Из десяти крупнейших по объему привлеченных средств физических лиц банков (данные Frank RG) предложение по страхованию карт есть у четырех — Сбербанка, Альфа-банка, ВТБ24 и «Хоум Кредита».

Страховые взносы варьируются от 720 руб. до 5,99 тыс. руб. в год. Стоимость страховки зависит от размера возмещения. Так, клиенты Сбербанка, приобретя страховой полис «Защита средств на банковских картах» за 5,9 тыс. руб. в год, могут рассчитывать на компенсацию в 350 тыс. руб.

Гораздо скромнее выплаты у Альфа-банка. Максимальный размер страхового покрытия — 175 тыс. руб. при стоимости полиса в 5,99 тыс. руб. Оправданием этому может служить то, что в пакет «Защищенная карта + Здоровье» входит и страхование здоровья и жизни с выплатами до 400 тыс. руб.

Самые низкие страховые выплаты у ВТБ24. Впрочем, у банка и самые низкие страховые взносы. За 720 руб. в год клиент получит гарантированное покрытие убытков на 20 тыс. руб. Кроме того, «ВТБ Страхование» выплатит стоимость потерянных вместе с картой ключей и документов.

Условия выплаты страховой суммы у всех банков очень похожие. Во-первых, нужно вовремя сообщить банку и страховой компании о мошенничестве или хищении. На это дается от 12 до 24 часов. Во-вторых, необходимо сообщить в полицию о произошедшем. Заявление в правоохранительные органы — один из важнейших документов при доказательстве страхового случая.

Исключения

Как выяснилось, даже покупка страхового полиса полностью не защитит клиентов от всех видов мошенничества. Самые экзотические исключения — начало гражданской войны и взрыв ядерной боеголовки. Так, если застрахованный участвовал в боевых действиях, на него напали и забрали карту, то в этом случае деньги не вернут.

Некоторые страхователи, например «Сбербанк Страхование», считают кражу не страховым случаем. «Если на вас напали и ограбили — это одно. Но если у вас украли деньги, то это следствие невнимательности», — прокомментировали в пресс-службе гипотетическую ситуацию.

Также важно обращать внимание, где именно у вас украли деньги. «Страхование распространяется только на территорию России», — уточняет директор департамента по развитию продуктов и услуг банка «Хоум Кредит» Павел Беляев.

К нестраховым случаям все банки относят также действия держателя карты, приведшие к списанию денег. То есть если вы сами сообщили мошенникам PIN-код, то рассчитывать на возврат средств не стоит.

Еще одно неприятное ограничение — «лимит» на число выплат. Например, у Сбербанка и ВТБ24 это не более трех на период.

Выгоды и недостатки

Страхование карт — это способ упростить себе жизнь, считает финансовый омбудсмен Павел Медведев. Решить проблему списанных мошенниками денег должны были вступившие в силу в 2014 году поправки к закону «О национальной платежной системе». Но поскольку закон прописан «очень плохо», вокруг случаев возврата денег постоянно возникают споры, говорит Медведев.

Однако упростить жизнь страхование позволяет не во всех случаях. Так, возвратить деньги банк должен в течение трех–десяти дней с момента подписания страховщиком страхового акта. На подписание последнего уходит от семи до десяти дней с момента получения всех документов от клиента. При этом страховая компания может отсрочить выплаты, если полиция начала расследование фактов, приведших к краже денег. Для сравнения, по закону «О национальной платежной системе» кредитная организация обязана принять решение о компенсации украденных средств в течение 30 дней.

По сути, страховка защищает клиента только в нескольких случаях, считает юрист «Финпотребсоюза» Алексей Драч. Это хищение денежных средств с использованием карты или поддельной карты и ограбление у банкомата. Все банки, предлагающие страхование, возмещают убытки для тех, кто пострадал от грабежа, в течение одного-двух часов после снятия наличных.

Остальные риски, которые берет на себя страховая компания, несерьезные. В качестве примера Драч приводит выплаты в результате случайных повреждений или размагничивания карты. Клиенту в этом случае компенсируют стоимость перевыпуска карты. Но экономия по сравнению со стоимостью страховки будет небольшой: средняя стоимость перевыпуска карты у пяти крупнейших банков по привлечению средств физлиц составляет 280 руб. Дороже всего перевыпуск карты MasterCard/Visa Classic у ВТБ24 — 700 руб.

Александр после истории с воровством денег не планирует пользоваться страховкой. «Даже если бы она у меня была, деньги мне бы не вернули, ведь полиция отказалась возбудить дело, а значит, факт мошенничества я бы не доказал», — рассуждает финансист. Теперь у него есть собственный способ защиты от мошенников. «Я не пользуюсь картами без лимитов на снятие наличных, а все суммы больше 100 тыс. руб. сразу перевожу на депозит», — говорит финансист.

Мошенничество с банковскими картами: способы защиты

Банковская карта – это очень удобный и выгодный инструмент. С этим трудно спорить, у карты есть и процент на остаток, и кэшбэк, к тому же карта просто-напросто компактнее, чем наличные. Также пластиковая карточка потенциально более безопасна — при краже наличных ими сможет воспользоваться кто угодно, а вот чтобы воспользоваться украденной картой, нужно приложить некоторые усилия, узнать ПИН-код, например, хотя это и не обязательно.

На просторах интернета есть множество статей и заметок с описанием различных видов мошенничества, причём, способы кражи денег с карт постоянно совершенствуются и обновляются. Скимминг, фишинг, фарминг – все эти термины означают различные способы хищения денег с карты. Фантазия мошенников не знает границ, применяются различные устройства для копирования магнитной полосы карты (скимминга), используются специальные накладки на клавиатуру банкомата для заполучения ПИН-кода или различные скрытые камеры для той же цели. Зачастую клиент сам сообщает все данные о своей карте, например, на мошеннических сайтах, которые как две капли воды похожи на оригинальные. Часто встречается схема, при которой клиенту звонит якобы сотрудник банка с просьбой уточнить какую-либо информацию.

Кто-то возразит, что для пользования картой нужно обязательно знать ПИН-код, однако, к сожалению, это не так. Даже ребенок знает, что ПИН-код ни в коем случае нельзя писать на самой карте, и, честно говоря, меня всегда удивляло, зачем на карту наносится другая информация, с помощью которой также можно незаконно использовать чужие деньги.

Вот основные дыры в безопасности пластиковых карт:

1 Наличие магнитной полосы.
Конечно, современные карты оснащены специальным чипом, который практически невозможно скопировать. Однако магнитная полоса на них по-прежнему есть. Терминалы оплаты в некоторых торговых точках позволяют произвести оплату только с помощью магнитной полосы, не требуя вставлять карту в чип-ридер для считывания информации с чипа.

2 Необязательный ввод ПИН-кода для совершения покупок.
Нужно ли обязательно вводить ПИН-код для совершения покупки или достаточно просто расписаться на чеке — определяете не Вы, а владелец платёжного терминала (иногда не нужно ни того, ни другого, буквально несколько дней назад для совершения покупки в «Пятерочке» мне оказалось достаточно просто вставить карту в чип-ридер, даже без ввода ПИН-кода).

Чтобы подделать подпись, образец которой есть на обороте карты, каких-то специфических художественных навыков не требуется. Кассир, конечно, может потребовать паспорт для сверки подписи и имени владельца карты, однако это тоже право продавца, а не его обязанность.

3 Незащищенные интернет-платежи.
Банки, выпускающие карты, которые поддерживают технологию 3D-Secure (Verified by Visa и MasterCard SecureCode), особо подчёркивают, что их карты позволяют совершать покупки онлайн более безопасно. Это, конечно, так, 3D-Secure предполагает дополнительную ступень защиты: для совершения покупки требуется ввести пароль, который приходит Вам по смс.

Однако недостаточно, чтобы Ваша карта поддерживала функцию 3D-Secure, нужно чтобы и интернет-магазин также её поддерживал. Есть множество сайтов, где 3D-Secure просто не используется (Aliexpress, например).

Таким образом, для совершения покупки по карте в сети интернет достаточно знать всего 3 комбинации цифр (которые просто нанесены на карту):
— Срок действия карты;
— Номер карты;
— CVV2 или СVC2 код – (3 цифры, напечатанные на обороте карты).
CVV2 (Card Verification Value) — трёхзначный код проверки подлинности карты платёжной системы Visa. CVC2 (Card Validation Code) – трёхзначный код проверки карты платёжной системы MasterCard.

Имя владельца карты знать не обязательно, если в соответствующем поле при совершении покупки указать что-то вроде «MR. CARDHOLDER», то платеж, скорее всего, будет осуществлен.

Я ещё могу как-то объяснить наличие на самой карте эмбоссированного номера, срока действия и имени владельца (это нужно, например, для оплаты «по старинке» с помощью импринтера, когда делается оттиск Вашей карточки), но вот зачем на самой карте печатать CVV2/CVC2 коды – для меня загадка. Гораздо логичнее было бы выдавать этот код в запечатанном конверте, по аналогии с ПИН-кодом. Кстати, чтобы подобрать последовательность из 3-х цифр от 0 до 9, нужно перебрать максимум 1000 вариантов (10*10*10=1000).

Есть сайты, которые не требуют даже CVV2/CVC2 для совершения покупки, например, Amazon.

Постепенно количество интернет-магазинов, которые не используют функцию 3D-Secure, сокращается, поскольку при обоснованном опротестовании клиентом спорной операции возмещать убытки, в конечном итоге, приходится именно владельцам интернет-магазинов, которые не используют соответствующие меры безопасности при приёме платежей.

4 Бесконтактные платежи PayPass (у MasterCard) и PayWave (у Visa).
Метод бесконтактной оплаты придумали для ускорения процесса покупки, что особенно актуально для крупных торговых предприятий, где экономия даже нескольких секунд на каждой операции позволяет значительно сократить очереди. Для ещё большей экономии времени при совершении покупок до 1000 рублей не нужно не только вставлять карту в чип-ридер, но и вводить ПИН-код.

Недавно появился новый способ мошенничества, при котором злоумышленники перехватывают сигнал с карты с помощью специальных устройств:

Использование данной дыры в безопасности – это дело техники. Разработчики, конечно, уверяют, что в технологии бесконтактных платежей используются современные способы кодирования информации, что считать информацию с чипа не так-то просто, а ещё сложнее потом ей воспользоваться. Однако нет ничего невозможного:

Кто-то возразит, что сумма транзакции, при которой не требуется вводить ПИН-код, слишком мала, чтобы серьёзно заинтересовать мошенников. Однако 1000 рублей – это ограничение для одной операции, а где гарантия, что она будет одна?

Радиус действия антенны для бесконтактных платежей у карты небольшой, всего несколько сантиметров, но их как раз будет достаточно, например, в общественном транспорте, где большая плотность народа. Поднести считывающее устройство к карте, находящейся у Вас в кармане, можно вполне незаметно.

Конечно, легальные переносные терминалы для оплаты всегда имеют зарегистрированного владельца, и вряд ли какой-нибудь реальный владелец ТСП (торгово-сервисного предприятия) выйдет на большую дорогу для осуществления незаметных списаний денег с карт ничего не подозревающих граждан в общественном транспорте. Только где гарантия, что данная схема мошенничества не будет усовершенствована с помощью подставных фирм, подставных лиц, каких-нибудь технических новинок и т.д.

Честно говоря, среди моих знакомых нет ни одного человека, который бы пострадал от кражи денег с помощью PayPass или PayWave. Можно даже подумать, что вся эта история придумана просто для продажи специальных алюминиевых кошельков для карт, которые не пропускают никакие сигналы:

В любом случае, меня немного беспокоит, что я не могу самостоятельно отключить технологию PayPass или PayWave на своей карте, если она мне не нужна. Также нет возможности самому уменьшить максимальную сумму операции, при которой не требуется вводить ПИН-код.

Что говорит закон

Клиенты защищены от мошеннических действий и несанкционированного использования карты 161-ФЗ. В статье 9 Федерального закона от 27.06.2011 N 161-ФЗ (ред. от 29.12.2014) «О национальной платежной системе» говорится, что банк обязан возместить сумму операции, совершенной без Вашего согласия, если Вы сообщили банку об этом не позднее дня, следующего за днём, в котором Вы получили уведомление от банка о совершении операции:

Данный закон обязывает банки информировать клиента о всех операциях с картой:

Тут возникает вопрос: а как именно банк должен уведомлять клиентов об операциях, и что является достаточным основанием считать, что клиент уведомлен об операции? В законе чётких формулировок нет. Причём, банк не может заявить, что Вы сами отказались от смс-информирования, поэтому уведомлять Вас никто и не обязан. По закону Вы можете отказаться от любых дополнительных платных услуг, в том числе от платного смс-информирования. Об этом нам говорит статья 16 Закона РФ от 07.02.1992 N 2300-1 (ред. от 13.07.2015) «О защите прав потребителей»

Соответственно, в договоре с банком должен быть прописан альтернативный источник уведомления об операциях, например, через электронную почту.

Если банк не уведомляет клиента об операции, то при несанкционированной оплате он не сможет отказать Вам в возврате денег, сославшись, что Вы пропустили срок подачи заявления:

Главная проблема кроется в 15 пункте данной 9-й статьи. Банк должен возместить сумму операции, совершенной без согласия клиента, если клиент не нарушал порядок использования электронного средства платежа:

Стоит почитать правила использования карт любого банка, как становится понятно, что нарушить эти самые правила проще простого.

Например, «Сбербанк» требует от клиентов соблюдать «необходимые меры» для предотвращения утраты карты. Какие конкретно меры являются «необходимыми», понятное дело, не уточняется:

Если при мошеннической операции вводился корректный ПИН-код или использовался верный код подтверждения при онлайн-покупках (функция 3D-Secure), то доказать что-то в случае несанкционированного списания денег с карты практически невозможно.

Причём, банк ещё может взять с Вас штраф за необоснованное опротестование операции, если в ходе рассмотрения заявления будет выяснено, что несанкционированная операция стала возможна из-за нарушения клиентом условий пользования банковской карты. «Тинькофф Банк», например, за подобное опротестование берёт штраф в размере 3000 рублей:

Способы защиты банковских карт от мошенничества

Прежде чем говорить о способах защиты банковских карт от мошенничества, нужно сразу подчеркнуть:

Несмотря на все меры предосторожности, на 100% защититься от мошенничества не получится, можно только сократить вероятность несанкционированного списания денежных средств с банковской карты.

Поэтому использовать карту для накопления денежных средств как альтернативу банковскому вкладу (например, «Локо-банк» предлагает 12,5% на остаток средств по карте) крайне нежелательно. Воспринимайте процент на остаток по карте просто как приятный незначительный бонус (соответственно, «незначительным» он получается, если крупных сумм на карте Вы держать не будете).

Итак, что же нужно делать чтобы защитить свою карту от мошенников? Ответ прост – нужно сохранить в тайне все данные карты.

1 Физические способы защиты данных карты.
Как уже было описано выше, на карте нанесено достаточно данных для кражи с неё денег. Сфотографировать обе стороны карты на смартфон можно за пару секунд, ненамного дольше копируются данные магнитной полосы с помощью специального оборудования. Поэтому нельзя оставлять свою карточку без присмотра.

Стоит также чем-нибудь прикрыть CVV2/CVC2 код на обороте карты, хотя бы непрозрачным скотчем. Конечно, скотч всегда можно отлепить, но незаметно от Вас, «случайно», так сказать, подглядеть эти три цифры не получится. Некоторые вообще советуют стереть этот код с карты (естественно, предварительно запомнив его), правда, могут возникнуть проблемы с приёмом карты, особенно за рубежом. Честно говоря, у меня такой проблемы никогда не возникало, стёртый CVV2/CVC2 на моих картах ни разу не вызвал ни у кого подозрений.

Кто-то выводит магнитную полосу карты из строя, чтобы оплату возможно было совершить только с помощью чипа. Правда, в таком случае воспользоваться услугами банкомата вряд ли получится, к тому же есть ТСП, которые умеют считывать только магнитную полосу. Стоит иметь в виду, что при выводе из строя магнитной полосы можно случайно повредить и чип карты.

Также к физическим способам защиты карты, естественно, относится защита конфиденциальности Вашего ПИН-кода. Никому не сообщайте эту заветную комбинацию из 4-х цифр. Естественно, не пишите ПИН-код на самой карте. Вводя ПИН-код при оплате товаров и услуг, а также при пользовании услугами банкомата, обязательно прикрывайте клавиатуру другой рукой. Для большей безопасности во время ввода прикоснитесь пальцами не к четырем, а, допустим, к шести клавишам (две клавиши нажимать не надо, просто изобразите нажатие). Так злоумышленнику будет затруднительно определить ПИН-код, даже если Ваши действия были записаны на скрытую камеру.

Старайтесь использовать банкоматы, находящиеся в офисах банков. Незаметно прикрутить на такие устройства какое-либо дополнительное оборудование для кражи данных с Вашей карты крайне трудно, так как они находятся под постоянным наблюдением.

Запомните, что никому нельзя сообщать Ваш ПИН-код. Банк никогда не потребует от Вас сообщить эту комбинацию цифр. Для операций в интернете ПИН-код также вводить не нужно.

Честно говоря, я был очень удивлен, что АО «Кредит Европа Банк» требует ввести ПИН-код карты при получении доступа к интернет-банку. Я даже специально позвонил на горячую линию, чтобы уточнить необходимость данной процедуры. Оказалось, что действительно нужно вводить ПИН-код (а не одноразовый пароль для активации, присланный по смс):

2 Не разглашайте третьим лицам данные вашей карты.
Никогда не сообщайте данные вашей карты по телефону, электронной почте и т.д. Очень часто мошенники под видом сотрудников банка требуют уточнить какую-либо информацию или проделать определенные действия, чтобы отменить ошибочную операцию. Предлоги бывают самые разные: технический сбой, проверка системы, несанкционированный доступ, обнаружение ошибки при заполнении анкеты и т.д.

В последнее время к мошенничеству с картами привлекают даже автоответчики. К автоматизированной программе доверия у граждан почему-то больше:

Главное, что нужно сделать в случае такого «звонка из банка» — это просто положить трубку и самому позвонить на горячую линию банка (на официальный номер телефона, который можно посмотреть на сайте или на самой карте).

Также популярной мошеннической схемой является запрос реквизитов Вашей карты якобы от потенциального покупателя для внесения предоплаты или оплаты товара целиком при использовании онлайн-площадок, вроде Avito. Клиент изображает глубокую заинтересованность в Вашем объявлении, подробно расспрашивает Вас о товаре и изъявляет желание как можно быстрее внести предоплату, чтобы быть твердо уверенным, что Вы не продадите другому такой необходимый товар. Для этого ему непременно нужны все данные Вашей карты, чтобы сделать С2С (card to card) перевод. Хотя на самом деле, чтобы сделать Вам перевод C2C, достаточно знать только номер карты.

3 Электронные способы защиты.
Сюда, прежде всего, относится базовая защита Вашего оборудования: установка лицензионного антивируса на Ваш домашний компьютер и смартфон.

Не переходите по подозрительным ссылкам, не открывайте электронные письма от неизвестных лиц.

Не стоит пренебрегать и основными рекомендациями для пользования онлайн-банкингом. Не используйте незащищенные wifi-сети, вводите данные с помощью экранной клавиатуры и мышки, регулярно обновляйте пароль доступа к интернет-банку, составляя комбинацию из строчных и заглавных букв, цифр и символов. Проверьте адрес сайта в адресной строке, убедитесь в безопасности соединения при вводе пароля от интернет-банка (адрес интернет-банка должен начинаться с https://, обязателен символ «s», а в браузере должно появиться изображение замка. Кликнув по замку, можно просмотреть данные о сертификате безопасности):

Также обязательно поставьте лимиты по операциям на карту, если банк позволяет так делать. Операции CNP (card not present), то есть операции в интернете, вообще лучше отменить и включать, только когда нужно совершить оплату. Для онлайн-покупок лучше выпустить виртуальную карту и переводить на неё строго необходимую для покупки сумму.

Можно привязать свою банковскую карту к сервису Яндекс-Деньги или PayPal, тогда исчезнет необходимость каждый раз вводить все данные карты для совершения онлайн-покупок.

Мобильный телефон – ключ к карте, поэтому я рекомендую завести отдельный телефон для приёма смс-оповещений от банков, лучше без доступа в интернет. Данный совет я уже давал в одной из статей («Мобильные операторы с большой дороги»), и некоторыми читателями данная предосторожность была признана излишней.

Каждый сам для себя решает, какие защитные меры достаточны лично для него, а какие чрезмерны. Некоторые клиенты настолько осторожны, что вообще не пользуются картами из-за соображений безопасности.

Если у Вас возникли какие-либо сомнения в конфиденциальности информации по Вашей карте, или по ней уже совершена какая-либо транзакция без Вашего ведома, нужно немедленно оповестить банк об этом и заблокировать карту (обязательно имейте телефон горячей линии Вашего банка в оперативном доступе и не забывайте свое кодовое слово).

Банковская карта – это удобно, просто надо отдавать себе отчёт, что 100% защиты от мошенничества нет, возможно только сократить вероятность наступления негативных событий.

Надеюсь, моя статья была вам полезна, о всех уточнениях и дополнениях пишите в комментариях.

За обновлениями в этой и других статьях можно следить на Telegram-канале: @hranidengi.

В связи с блокировкой Телеграма создано зеркало канала в ТамТам (мессенджер от Mail.ru Group со сходным функционалом): tt.me/hranidengi.

Подписывайтесь, чтобы быть в курсе всех изменений:)

Карта под контролем: способы защиты денег на банковском счете

Хищение денег с банковских карт сократилось втрое, сообщил ЦБ РФ. Но методы мошенничества становятся все разнообразнее. ТАСС выделил те из них, которые преступники используют чаще всего

В первом полугодии 2017 года мошенники похитили с банковских карт россиян в три раза меньше денег, чем за аналогичный период прошлого года. Тогда этот показатель составил чуть более 1 млрд рублей, сообщил замначальника главного управления безопасности и защиты информации ЦБ РФ Артем Сычев. По его словам, снизить потери граждан удалось за счет повышения защиты при онлайн-переводах денег, эффективного сотрудничества банков и правоохранительных органов и улучшения работы подразделений, занимающихся защитой кредитных учреждений от компьютерных атак.

Между тем мошенники постоянно совершенствуют навыки воровства средств с карт. Число их потенциальных жертв растет: по данным аналитического центра НАФИ, уже семь из десяти россиян пользуются «пластиком». Причем, четверть из них имеют не менее двух карт.

Эксперты выделили наиболее популярные способы хищений с банковских карт.

Беcконтактная кража

Чтобы лишиться денег, находящихся на карте, не нужно даже доставать ее из кошелька.

Объем хищений с банковских карт россиян в 2017 году снизился в три раза

Дело в том, что для ускорения и упрощения безналичной оплаты покупок платежные системы Visa (PayWave) и Mastercard (PayPass) разработали технологии бесконтактной оплаты.

Специальные терминалы для бесконтактных платежей чаще всего бывают оснащены торговые автоматы, платные автодороги, турникеты, автозаправки. PayPass и PayWave применяются на картах с чипом и магнитной полосой. При расчетах такой картой не нужно вводить ПИН-код и ставить подпись на чеке, если сумма покупки небольшая (до 1 тысячи рублей). Терминал с расстояния в несколько десятков сантиметров считывает информацию с карточки и списывает средства.

В местах большого скопления людей (в магазинах, транспорте) мошенник может прислонить бесконтактный считыватель или POS-терминал к карманам одежды, стенкам сумок. В этот момент деньги с карт у ничего не подозревающих жертв будут списаны.

Что делать? Носить кредитки нужно в бумажнике, отсек которого экранирован фольгой, советуют специалисты ЦБ. Еще можно установить минимальный расходный лимит для бесконтактных покупок.

Подсмотреть из-за плеча

Самый распространенный способ мошенничества с банковскими картами — это кража данных владельца при расчете.

Причем опасность представляют не только посторонние мошенники, но и нечистые на руку представители торговли, сферы услуг, сотрудники банка.

Схема проста: кассир, заправщик, официант или банковский клерк, которому человек передал карту для расчета, может сфотографировать, переписать ее данные или просто запомнить их, чтобы потом совершать платежи в интернете.

Что делать? При расчетах не выпускать карту из рук. А для оплаты товаров в интернете завести отдельную карту, которая будет храниться в недоступном для посторонних месте. На карте, используемой для покупки через POS-терминалы, заблокировать возможность совершения покупок в Сети.

Списать деньги дважды

Двойная транзакция — тоже часто используемый способ кражи средств.

Финансовая безопасность: готовы ли вы к онлайн-шопингу

Схема проста: совершая оплату, покупатель передает карту оператору, он вставляет ее в считывающее устройство, клиент вводит ПИН-код, а сотрудник сообщает, что произошла ошибка. Такое действие может повторяться неоднократно. Но через некоторое время владелец карты обнаруживает, что деньги за покупку списаны дважды.

Специалисты ЦБ отмечают, что владельцы карт часто не замечают двойного списания даже при наличии СМС-информирования, считая второе сообщение ошибкой или дублем, поскольку суммы совпадают.

Что делать? Подключить СМС-оповещения по операциям своей карты. И если человек получит сообщение о том, что транзакция совершена успешно, отказаться от повторной транзакции. При получении СМС о списании со счета одинаковой суммы дважды, нужно обратиться в банк и оспорить операцию.

Банкомат может быть опасным

Сергей Никитин, замруководителя лаборатории компьютерной криминалистики Group-IB одной из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничеств, самым популярным способом хищения данных с карт пользователей считает скимминг.

Чуть реже деньги воруют методом фишинга и путем использования вредоносных программ для электронных устройств.

При скимминге (от англ. skim — бегло прочитывать, скользить) в банкомат на место картоприемника злоумышленники устанавливают специальное устройство — скиммер. Человек вставляет карту в банкомат, и в этот момент злоумышленники копируют всю нужную информацию с магнитной полосы «пластика» для изготовления дубликата. ПИН-код мошенники узнают либо при помощи установки специальной накладки на клавиатуру банкомата, либо используют миниатюрную видеокамеру. Скиммер можно установить не только в банкомат, но и в портативное устройство, которое используется для оплаты счета в магазине или кафе.

Потом воры выпускают копии банковских карт, куда наносятся сведения с карт пользователей, вводят полученные коды и переводят деньги на свои счета.

Что делать? Не снимать деньги в банкоматах, расположенных в отдаленных и слабоосвещенных местах, потому что такие устройства проще всего оснастить считывателями. В торговых точках желательно оплачивать покупки кредиткой самостоятельно.

Коды под замком

Фишинг (от англ. fishing — выуживание) — один из видов интернет-мошенничества.

ЦБ РФ сообщил банкам о новом способе хищения средств с банковских карт

Кибератаки на банки: чего бояться вкладчикам

ЦБ зафиксировал случаи нелегального считывания информации с чипов платежных карт

Задача злоумышленника — узнать у владельца номер карты, ПИН-код, срок ее действия, CVC-код. «Пользователь сам вводит данные своей карты, поддавшись методам социальной инженерии злоумышленников, например, увидев онлайн распродажу авиабилетов и не разобравшись, что она фейковая», — рассказал Сергей Никитин.

Иногда мошенники сообщают владельцу о временной блокировке карты. Для ее активации просят выслать личные данные в СМС-сообщении. Перехват данных пользователей на созданных сайтах-подделках, имитирующих интерфейс страницы банка — тоже не редкость.

Разновидность фишинговых атак, при которых сбор данных (логинов, паролей, данных банковских карт) производится по телефону, называется вишингом.

Что делать? Никому не сообщать информацию с карты, свои персональные данные и коды, присланные в СМС. Переходить на сайт интернет-банка только с официального сайта кредитной организации и внимательно следить за адресом в адресной строке. И в любой подозрительной ситуации звонить в банк по номеру телефона, указанному на оборотной стороне карты.

Вирус для смартфона

По данным Group-IB, только за 2016 год число хищений средств у граждан через смартфоны с помощью Android-троянов выросло почти в пять раз. Это специальные вредоносные программы, направленные на хищение финансовой информации пользователя. В России каждый день жертвами успешных атак становятся 350 пользователей устройств на этой платформе.

Растет число опасных мобильных приложений. Вредоносные программы не только мимикрируют под популярные приложения, но и отвечают на ситуативные всплески интереса пользователей: например, они распространялись под видом приложения Pokemon Gо.

Что делать? Необходимо вовремя обновлять антивирусные программы. При установке приложений и игр нужно обращать внимание на отзывы пользователей и рейтинг. Еще важно следить за тем, какие разрешения требует приложение. Не давайте доступ к СМС, если не хотите, чтобы приложение рассылало сообщения и читало переписку.

Подготовила Мария Селиванова

Как защитить банковскую карту от мошенников

Банковские карты существенно упрощают расчёты и покупки. Но чем больше людей пользуется ими, тем выше активность мошенников. Как защитить свои деньги? Что делать, если преступники добрались до карточного счёта? Попробуем разобраться.

Тот момент, когда понимаешь, что тебя пытались развести

— Здравствуйте! Меня зовут Иван Иванов, я сотрудник службы безопасности банка.

— Здравствуйте! Какого банка?

— Сбербанка. Вы же клиент Сбербанка?

— Вам знакома Петрова Светлана Петровна?

— Мы зафиксировали, что эта гражданка пытается совершить платёж на сумму 12 тысяч рублей с вашей банковской карты. Вы подтверждаете эту операцию? — звонивший молодой человек держался уверенно, говорил напористо, без запинок.

— Нет. Как такое возможно?

— У нас есть основания предполагать, что это мошеннические действия путём фишинга страницы интернет-банкинга. Чтобы наложить защиту на ваш дебиторский счёт, вам нужно как можно скорее дойти до ближайшего банкомата и действовать согласно нашим инструкциям. После этого вы сможете обратиться в наше отделение и написать заявление. — Собеседник оперировал специфичными терминами и всё больше нагнетал обстановку.

— Скажите ваш идентификационный номер сотрудника, по которому я могу проверить, работаете ли вы в Сбербанке?

После, анализируя разговор, понимаешь, что Иван Иванов (не помню, как он точно назвал себя) прокололся с первых фраз.

Во-первых, сотрудники банка знают, кому звонят, и обращаются по имени-отчеству. Во-вторых, их номера пестрят нулями и не начинаются с +7-937… В-третьих, если что-то действительно случится, банк не будет звонить — заблокирует карту, и всё. Но когда такой звонок раздаётся в два часа дня в какой-нибудь вторник, когда ты с головой в работе, не сразу понимаешь, что это развод, и реально начинаешь нервничать.

За последние два месяца меня дважды пытались надуть мошенники. Поэтому я решила написать небольшую инструкцию по защите банковских карт. Возможно, некоторые советы покажутся вам элементарными, но именно с них начинается безопасность.

Частые способы мошенничества с картами

Фантазия преступников безгранична. Буквально каждый год появляются новые, более изощрённые способы. Рассмотрим основные из них.

Мошенничество с банковскими картами называется кардингом.

Начнём с «классики». Вы пришли снять деньги через банкомат. Торопитесь, буквально на бегу вводите PIN-код, при этом болтаете по телефону. Вы даже не посмотрели на неприметного паренька в бейсболке и тёмных очках, заглядывавшего вам через плечо. Зато он наблюдал за вами очень внимательно. Он подсмотрел и запомнил цифры, которые вы вводили. Дальше элементарный гоп-стоп — и прощайте, денежки.

Также в суматохе можно не разглядеть, что перед тобой не настоящий банкомат, а фальшивка. Ведь аппарат точь-в-точь как настоящий. Наклейки, инструкции — всё как надо. Вставляете карту, вводите PIN-код, а на экране высвечивается: «Устройство неисправно», «Произошла системная ошибка», «Недостаточно средств» или что-то в этом роде. Что ж, бывает. Вы отправляетесь искать другой банкомат. Но раньше, чем вы его найдёте, мошенники опустошат ваш счёт. Ведь при помощи банкомата-фантома они уже считали все необходимые данные о вашей карте.

Часто имитируют неисправность банкоматов. Например, поздно вечером вы возвращаетесь домой и решаете по пути обналичить зарплату. Вставили карту, ввели PIN-код, сумму — всё идёт прекрасно. Картоприёмник «отдал» карту, но лоток, где должны появиться деньги, не открывается. Сломался? Наверное! Вокруг темно, нужно позвонить в банк и разобраться, что случилось. Вы отошли буквально на десять метров, а шустрые воришки уже отклеили скотч и забрали ваши деньги. Да-да, купюры не выпускала простая клейкая лента.

Другой приём называется «ливанская петля». Это когда в картоприёмник вставляется лассо из фотоплёнки. Если угодить в него, карту уже не вытащить. Как правило, тут же находится «помощник»: «У меня вчера точно так же банкомат съел карточку, я ввёл вот такую комбинацию и PIN-код, и всё заработало». Вы пробуете, терпите фиаско и отправляетесь за помощью в банк. В это время добрый самаритянин забирает карту и идёт опустошать её. PIN-код он знает. Вы сами только что открыто ввели его. Помните?

Впрочем, банкомат может быть настоящим и даже исправным. Это не проблема, если у злоумышленников есть скиммер. Это устройство для считывания информации, закодированной на магнитной полосе карты. Физически скиммер представляет собой накладной блок, прикрепляемый к картоприёмнику, при этом он выглядит как часть конструкции банкомата.

Слева — банкомат без скиммера, справа — со скиммером

При помощи передатчика мошенники получают информацию со скиммера и изготавливают поддельные карты. Они будут пользоваться скиммированной картой, но деньги будут списываться со счёта оригинальной. Отсюда название метода — скимминг, от английского «снимать сливки».

Как они узнают PIN-код? В дополнение к скиммеру у них есть другие девайсы. Например, накладная клавиатура. Она полностью имитирует настоящую, но при этом запоминает набираемые комбинации клавиш.

Накладка на клавиатуру

Как вариант — миниатюрная камера, направленная на клавиатуру и замаскированная под коробку с рекламными буклетами.

Скрытая видеокамера

Разновидность скимминга — шимминг. Вместо громоздких накладок используется тонкая элегантная плата, вставляемая через картоприёмник прямо внутрь банкомата. Дальше схема такая же, как при скимминге. Но степень опасности выше: разглядеть, что в банкомате «жучок», практически невозможно. Утешает, правда, что изготовить шим довольно непросто — его толщина не должна превышать 0,1 мм. Почти нанотехнологии. 🙂

Фишинг — распространённый способ интернет-мошенничества. Большинству из вас не нужно объяснять, что это такое. Возможно, кто-то даже получал «письмо от банка» с просьбой перейти по ссылке и уточнить реквизиты. Причём фишинговая страница выглядела как настоящая, те же цвета, шрифты, логотипы, за исключением досадной «опечатки» в адресной строке.

В последнее время всё больше распространяется подвид фишинга — вишинг. Проще говоря, развод по телефону. Мошенники моделируют звонок автоинформатора. Пугающий роботизированный голос сообщает вам, что ваша карта заблокирована, или подверглась атаке хакеров, или вам срочно нужно погасить долг по кредиту. За подробностями звоните по такому-то номеру. Вы звоните, и учтивый «оператор» просит вас «сверить» номер карты, срок её действия, верификационный код… Как только вы продиктовали последнюю цифру, можете попрощаться со своими деньгами. Пока вы придёте в себя, их уже потратят в каком-нибудь интернет-магазине.

Кстати, в связи с тем, что для использования карты необязательно её физическое наличие, мошенники всё активнее пользуются методами социальной инженерии. Так меня чуть не обманули во второй раз.

Я продавала мебель. Разместила объявление с фотографиями на известном сайте. Благо, указала номер, через который у меня не проходит ни одна аутентификация. Вскоре позвонил мужчина. Представился Василием, сотрудником фирмы, сдающей квартиры посуточно. Рассказал, что им понравился мой диван — берут не глядя! Деньги прямо сейчас переведут мне на карту. Нет проблем. Я часто покупаю в интернете, для этих целей у меня есть специальная карта. Списать с неё тогда было нечего, зато пополнить — пожалуйста. Но одного номера звонившему было мало — собеседник просил ещё срок действия и CVV2. Я не назвала, а Василий обиделся. Сказал, кто я и куда мне надо идти, и бросил трубку.

Большинство карт сейчас привязано к номеру телефона, чтобы при помощи SMS-сообщений подтверждать операции или, к примеру, вход в интернет-банк. Чего только не делают злоумышленники, чтобы завладеть нужной SIM-картой: похищают телефоны, перехватывают SMS-ки, делают дубликаты симок и так далее.

Правила безопасности при использовании карт

Оформив в банке дебетовую или кредитную карту, мы получаем договор банковского обслуживания и конверт с PIN-кодом. Жаль, что в дополнение к этому набору не прикладывают памятку с элементарными правилами безопасности для держателей карт. В неё следовало бы включить следующие рекомендации.

  • По возможности сделайте себе гибридную карту — с чипом и магнитной полосой (к сожалению, карты только с чипом в России почти не используются). Такая карта лучше защищена от взлома и подделки путём скимминга.
  • Выучите PIN-код наизусть. Если же на память надежды нет, запишите его на листочек, но храните отдельно от карты.
  • Никогда, ни при каких обстоятельствах не сообщайте третьим лицам PIN-код и CVV2-код карты, а также срок её действия и на кого она зарегистрирована. Ни один банк не будет спрашивать у вас эти реквизиты. А для зачисления средств на ваш счёт достаточно лишь 16-значного номера, указанного на лицевой стороне карты.
  • Не используйте так называемые зарплатные карты для расчётов в магазинах и оплаты интернет-покупок. Деньги с карточного счёта лучше переводить на лицевой либо устанавливать суточные лимиты на все виды совершаемых операций.
  • Выбирайте банкоматы, расположенные внутри офисов банков или в охраняемых точках, оборудованных системами видеонаблюдения.
  • Не пользуйтесь подозрительными моделями банкоматов. А прежде, чем вставить карту в терминал, внимательно осмотрите его. Нет ли чего-нибудь подозрительного на клавиатуре или в картоприёмнике? Не висит ли поблизости странный лоток с рекламой?
  • Не стесняйтесь закрывать клавиатуру рукой и просить отойти в сторону особо любопытных товарищей в очереди. При возникновении проблем не пользуйтесь советами «случайных помощников» — никуда не уходя, сразу звоните в банк и блокируйте карту.
  • Если вы потеряли карту, а также если у вас есть основания полагать, что третьи лица узнали её реквизиты, немедленно обратитесь в банк и заблокируйте её.

Проще всего позвонить. Если карта у вас на руках, номер службы поддержки можно увидеть на её оборотной стороне. Как правило, контактные центры работают круглосуточно. Если карта осталась в банкомате и вы не знаете телефон своего банка, позвоните в компанию, осуществляющую техническое обслуживание банкомата. Номер должен быть указан на терминале.

Кроме того, узнайте о возможности и условиях страхования карты в вашем банке. У некоторых кредитных учреждений есть специальные программы защиты клиентов от мошенников и возмещения им ущерба.

Правила безопасности при пользовании банкингом

Не выходя из дома, можно воспользоваться большим пакетом услуг. Например, оплатить что-нибудь или перевести деньги на свой либо чужой счёт.

Банкинг — дистанционное банковское обслуживание.

Выделяют интернет- и SMS-банкинг. Первый позволяет осуществлять операции через личный кабинет клиента на сайте банка или через приложение, а второй подразумевает информирование о транзакциях посредством SMS-сообщений.

Чтобы пользоваться банкингом без риска утраты денег, необходимо соблюдать следующие базовые меры предосторожности.

  • Не входите в интернет-банк с чужих компьютеров или из публичных незащищенных сетей. Если же это всё-таки случилось, по завершении сессии нажмите «Выход» и очистите кэш.
  • На личном компьютере установите антивирус и своевременно его обновляйте. Используйте современные версии браузера и почтовых программ.
  • Не скачивайте файлы, полученные из непроверенных источников, не переходите по ненадёжным ссылкам. Не открывайте подозрительные письма и сразу же блокируйте их отправителя.
  • Без необходимости не вводите никакие свои персональные данные, помимо логина и пароля.
  • Проверяйте адресную строку. Должно использоваться защищённое HTTPS-соединение. А малейшее несовпадение с доменом банка почти наверняка означает, что вы находитесь на фишинговом сайте.
  • Придумайте сложный пароль для входа в личный кабинет, а также используйте одноразовые пароли, запрашиваемые банками для подтверждения действий в личном кабинете.
  • Запомните! Банки не рассылают сообщений о блокировке карт, а в телефонном разговоре не выспрашивают конфиденциальные сведения и коды, связанные с картами клиентов.

    Чтобы уберечь симку, к которой привязана карта, оперативно уведомляйте банк при получении подозрительных сообщений и ни в коем случае не звоните по указанным в них номерам. Проинформируйте банк, если сменили номер или потеряли SIM-карту. Установите пароль на телефон и не снимайте блок с экрана, если кто-то посторонний наблюдает за вашими действиями. А если SIM-карта оформлена на вас лично, то запретите её замену по доверенности.

    Что делать, если мошенники списали деньги с карты

    Споры между клиентами и банками нередки. Первые, узнав о несанкционированном списании средств со своих счетов, просят вернуть свои кровные, а вторые зачастую разводят руками: «Вы сами всё рассказали мошенникам».

    В 2011 году вступил в силу Федеральный закон № 161 «О национальной платёжной системе», призванный упорядочить и изменить в лучшую сторону практику оказания платёжных услуг. В частности, он установил правовые основы всей платежной системы в целом и скорректировал правила осуществления безналичных расчётов, а также эмиссии и использования электронных денег.

    В 2014 году вступила в силу статья 9 данного закона. Норма защищает пользователей банковских карт от мошенничества. Закон устанавливает презумпцию невиновности клиентов. Банк обязан возместить суммы, перечисленные со счёта клиента в результате не санкционированной им операции, если только не будет доказано, что клиент сам нарушил порядок использования электронного платёжного средства.

    Иными словами, закон разграничивает ответственность банка и клиента.

  • Банк сообщил клиенту о несанкционированной операции? Если нет, ответственность полностью лежит на банке. Если сообщил, переходим к пункту № 2.
  • Клиент проинформировал банк не позднее следующего рабочего дня после уведомления от банка, что данная операция совершена без его (клиента) согласия? Если нет, ответственность лежит на клиенте. Если проинформировал, переходим к пункту № 3.
  • Банк смог доказать, что клиент нарушил порядок использования электронных денежных средств? Если да, ответственность лежит на клиенте. Если нет, ответственность полностью лежит на банке и он обязан возместить клиенту всю сумму оспоренной операции.
  • Обязательным условием возмещения несанкционированно списанных средств является уведомление банка об использовании карты без согласия её держателя.

    Сообщить банку, что карта используется кем-то другим, нужно не позднее одного дня, следующего за днём, когда клиент обнаружил мошенничество.

    Соблюдение этого дедлайна очень важно. Просрочили — на возврат денег можно не рассчитывать.

    Кроме того, у клиента на руках должно остаться доказательство уведомления. Речь идёт о втором экземпляре обращения в банк с отметкой о приёме, сделанной уполномоченным сотрудником, или письменном уведомлении об отправке по адресу банка ценного заказного письма с описью вложений.

    Обращение в банк не отменяет и не заменяет обращение в правоохранительные органы.

    Итак, краткий алгоритм действий при незаконном списании средств с банковской карты таков:

    1. Не паникуем, звоним в банк и блокируем карту. Плюс просим оператора назвать остаток на счету и последние совершённые транзакции.
    2. В течение суток идём бежим в банк и пишем заявление. Обязательно визируем у уполномоченного сотрудника банка свой экземпляр заявления.
    3. Если сотрудники кредитного учреждения каким-либо образом препятствуют этому и отказываются принять заявление (закончились бланки, технический перерыв и так далее), обращаемся в прокуратуру.
    4. Пишем заявление в полицию. Особенно если вы столкнулись с грабежом или разбоем.
    5. Ждём возврата денег.
    6. Если банк отказывается возмещать средства, списанные с карты, ссылаясь, например, на нарушение порядка использования электронных денежных средств, вы можете отстаивать свои права в суде.

      Будьте осторожны и берегите свои деньги! Если вам есть что добавить о защите банковских карт, делитесь своим опытом в комментариях.

      Смотрите еще:

      • Приказ по специальностям врачей Приказ Министерства здравоохранения РФ от 8 октября 2015 г. N 707н "Об утверждении Квалификационных требований к медицинским и фармацевтическим работникам с высшим образованием по направлению подготовки "Здравоохранение и […]
      • Приказ минобрнауки от 05022018 г 56 Приказ Министерства образования и науки Российской Федерации (Минобрнауки России) от 10 января 2014 г. N 4 г. Москва "Об установлении соответствия специальностей и направлений подготовки высшего образования - подготовки кадров […]
      • Федерального закона о международных договорах российской федерации 1995 г Федеральный закон от 15 июля 1995 г. N 101-ФЗ "О международных договорах Российской Федерации" (с изменениями и дополнениями) Федеральный закон от 15 июля 1995 г. N 101-ФЗ"О международных договорах Российской Федерации" С […]
      • Приказ 806 мвд россии Приказ МВД РФ от 21 августа 2012 г. N 806 "Об утверждении Временной нормы продовольственного пайка, выдаваемого дополнительно к питанию военнослужащих внутренних войск МВД России и отдельных категорий сотрудников органов […]
      • Приказ минздрава интернатура Приказ Министерства здравоохранения РФ от 11 мая 2017 г. № 212н “Об утверждении Порядка приема на обучение по образовательным программам высшего образования - программам ординатуры” (не вступил в силу) В соответствии с частью 12 […]
      • Приказ минобрнауки 1245 от 2013 ПРИКАЗ Минобрнауки России (Министерства образования и науки РФ) от 18 ноября 2013 г. №1245 В соответствии с частью 8 статьи 11 Федерального закона от 29 декабря 2012 г. № 273-ФЗ "Об образовании в Российской Федерации" (Собрание […]