Как защитить платежную карту от мошенников

Читать на русском

Простые правила для безопасности ваших денег.

Деньги перекочевали из кошельков в платежные карточки, но это не остановило воров: они, как и раньше, пытаются украсть чужое, пишет Экономическая правда. Что следует помнить, чтобы им помешать?

В мае 2019 года киевлянка Анна улетела отдыхать за границу. Ночью ей на телефон начали поступать сообщения. Утром она обнаружила, что кто-то "сломал" ее телефонную карточку, вошел в почту и аккаунты в соцсетях и начал снимать деньги с банковских счетов.

За ночь женщина потеряла 285 тыс грн.

В 2018 году статистика убытков вкладчиков украинских банков от незаконных действий с платежными карточками впервые за три года ухудшилась. В 2017 году было 77,6 тыс мошеннических попыток, а в 2018 году - 105,5 тыс. Динамика, откровенно говоря, не радует.

В мая 2018 году участники опроса по системным рискам финансового сектора включили мошенничество и киберугрозы в пятерку главных рисков рынка.

Какие же основные мошеннические схемы с карточками и как этим схемам противостоять?

Социальная инженерия

Основной вид мошенничества с платежными картами никак не связан с новыми технологиями или хакерами, а базируется на злоупотреблении человеческим доверием и честностью. Такой вид мошенничества называется социальной инженерией.

Конкретный пример приводит председатель правления Украинской ассоциации финтех- и инновационных компаний Ростислав Дюк: "Злоумышленники под видом сотрудников банка или покупателей на OLX пытаются узнать полные реквизиты карты, включая срок ее действия и секретный CVV-номер".

Главный совет - никому не сообщать данные карточек, даже сотрудникам банка. Чтобы перевести деньги на карточку, человеку достаточно знать ее номер - 16 цифр. Также не стоит доверять любому одноразовые коды, которые приходят в виде смс в банковском приложении.

Обычно мошенники пытаются с помощью сообщений или телефонных звонков получить именно эту информацию.

"Настоящие работники банка не будут просить вас предоставить информацию о вашей карты. Все логично - они могут видеть почти все и без вас", - объясняет эксперт Школы цифровой безопасности Павел Белоусов.

Что в таком случае можно делать?

Первый вариант - установить минимальный лимит для интернет-оплаты.

Второй вариант - завести карточку для оплаты в интернете и переводить на нее необходимую сумму перед оплатой. Даже если мошенники узнают данные карточки, они не смогут украсть большую сумму.

Третий вариант - некоторые банки предлагают функцию динамического секретного CVV-кода. Речь идет о трехзначном коде, который обычно написан на обороте карточки. После подключения функции код будет меняться каждый час. Увидеть его можно будет только в банковском приложения на смартфоне. Белоусов советует пользоваться этой функцией.

Кроме этого, платежная система Visa советует подключить смс-банкинг для оперативного контроля операций, переписать номер карты и телефон "горячей линии" центра обслуживания, чтобы быстро позвонить туда и заблокировать карту.

Дубликат телефонной карточки

Вторая мошенническая схема сложнее и базируется на том, что банки привязывают счета своих клиентов к телефонным номерам. Первые клиенты онлайн-банкинга в конце 1990-х годов использовали динамические пароли на флешках. Без такой флешки управлять своим счетом было невозможно.

Позже Приватбанк начал отправлять пароли клиентам на телефон в текстовом сообщении. Впоследствии эта удобная, но опасная с точки зрения защиты информации система стала распространяться на другие финансовые учреждения. Также банки часто используют для верификации обычный звонок на телефон.

Сейчас смартфон является цифровым кошельком, а иногда - даже терминалом по приему карточек. Следовательно, тот, кто установит контроль над телефонным номером, сможет контролировать и банковские счета владельца этого номера.

Украв телефон, можно легко получить доступ к счетам. Однако средствами можно завладеть и удаленно, изготовив дубликат телефонной карточки.

"Сим-карточку трудно скопировать, ведь нужен физический доступ к ней. Однако можно выпустить дубликат, чем и занимаются мошенники. Случается это тогда, когда основная сим-карта будет вне зоны досягаемости. Например, когда абонент за рубежом.

В этот период можно представить заявление на выпуск новой карты и получить доступ к онлайн-сервисам", - говорит инженер по кибербезопасности компании Hacken Сергей Харюк.

Проще всего сделать копию подписанной сим-карты, о владельце которой оператор связи не имеет данных. Мошенник каким-то образом узнает о последних номерах телефонов, на которые были сделаны звонки с номера жертвы.

Он может инициировать такие звонки сам. Например, позвонить по объявлению и попросить человека перезвонить позже. Мошенник также может "по ошибке" пополнить счет человека, чтобы позже назвать оператору связи точную дату и сумму последнего пополнения номера.

"Все эти данные мошенники могут легко достать. Не стоит забывать об уголовном сотрудничестве мошенников с работниками магазинов сотовой связи, имеющих полномочия выпускать "утерянные "карточки", - предостерегает Белоусов.

Как обезопасить себя от мошенничества

Во-первых - защитить банковские счета в случае физической утраты телефона: установить дополнительные пароли, запретить отображение сообщений на заблокированном экране, настроить удаленный доступ к устройству и знать, как быстро заблокировать телефонную карточку.

Во-вторых - защититься в случае дублирования сим-карты: использовать непубличный номер для финансовых операций, перейти на контракт или привязать телефонную карточку к своим паспортным данным - это можно сделать без перехода на абонплату. Такая услуга доступна в фирменных салонах связи оператора, а также онлайн с использованием электронной цифровой подписи - ЭЦП.

Кстати, именно ЭЦП некоторые банки используют для идентификации клиентов онлайн. Это безопаснее, чем идентификация через сообщения или звонки на телефон.

"Цифровая подпись - надежный инструмент. Его нужно хранить в недоступном месте, например, на отдельной флешке, установить пароль, не использовать на подозрительных сайтах. Обращаться с ним как с паспортом", - советует Белоусов.

Отдельная тема - пароли для онлайн-банкинга, электронной цифровой подписи, электронной почты и аккаунтов в соцсетях. Пароли должны быть разными для каждого ресурса. Они также должны быть надежными - длинными и сложными.

"Возможно использование какой-то фразы, но с заменой некоторых букв на цифры и с обязательным добавлением специальных символов. Для большей надежности также рекомендую включить двухфакторную авторизацию", - советует Харюк.

Белоусов добавляет, что не стоит использовать в паролях персональные данные: даты рождения, имена, номер автомобиля. Такие пароли проще сломать.

Могут ли мошенники снять деньги с карточки бесконтактно

По данным НБУ, количество активных бесконтактных карточек составляет 4,5 млн, то есть каждая восьмая платежная карта в Украине бесконтактная. Ею можно рассчитываться на расстоянии до 10 см от платежного терминала без ее передачи в руки продавцу.

Мошенники могут снимать деньги с таких карт с помощью переносного терминала, но делать это для них невыгодно, говорит Белоусов.

"Терминал для оплаты оформить можно на юридическое лицо, а это дополнительные расходы. К тому же, сумма бесконтактной операции без подтверждения не очень большая", - рассказывает он.

Итак, украсть деньги бесконтактно с карты с помощью зарегистрированного терминала - это как украсть обычный кошелек.

О списании средств со смартфонов вообще не идет: такие операции должен инициировать пользователь и одновременно подтверждать их паролем, отпечатком пальца или сканом лица.

"Если смартфон поддерживает подключение банковской карты, используйте эту возможность. Оплата смартфоном - наиболее безопасный способ", - говорит Харюк.

Еще одним предохранителем безопасного использования бесконтактного расчета является пауза между списанием средств и физическим доступом к ним злоумышленника, добавляет Белоусов. Списанные деньги не сразу доступны владельцу терминала, и если списание произошло ошибочно или преступным методом, его можно опротестовать через платежную систему. Тогда деньги не дойдут до мошенника.

Вывод: технически бесконтактные кражи возможны, но на практике это слишком сложная и неприбыльная схема.

Накладки на банкомат

Это древнейший и самый сложный метод незаконного завладения чужими денежными средствами.

Белоусов советует не использовать карточки только с магнитной лентой, без чипов, поскольку такие карточки проще скопировать. Он также советует пользоваться банкоматами непосредственно в отделениях банков, где сложнее попасть на нелегально установленный мошенниками устройство с копирования карточек.

"Банкомат вообще следует пользоваться как можно реже, тем более, что рассчитаться карточкой сейчас можно везде", - заключает Дюк.

Кто защищает права потребителей финансовых услуг

До последнего времени ни один государственный орган не занимался правами потребителей финансовых услуг. Полиция в случаях сложных финансовых преступлений обычно не может предоставить квалифицированную помощь.

Время от времени специалисты дискутируют о создании службы финансового омбудсмена, но дальше разговоров дело не идет.

Некоторые юристы начали специализироваться на защите прав клиентов банков и страховых компаний, но юристы не работают бесплатно - услуги столичного адвоката за сопровождение дела в суде стоит более 10 тыс грн.

Более или менее удачно с мошенниками на финансовом рынке боролись сами его участники - банки и платежные системы.

Wall Street Journal недавно сообщал, что для защиты от мошенничества Visa тестирует технологии искусственного интеллекта. Это позволяет выявлять подозрительные транзакции среди миллиардов операций в режиме реального времени.

В конце концов 20 сентября 2019 года появилась надежда, что права потребителей финансовых услуг будут защищены лучше.

В этот день Верховная Рада поддержала закон, который дает право Нацбанку регулировать действия финансовых компаний по отношению к клиентам. НБУ уже создал управление по защите прав потребителей финансовых услуг.

В течение трех месяцев после принятия закона центробанк должен начать работу в этом направлении. В частности, появится "горячая линия" для жалоб потребителей. Регулятор и раньше принимал такие жалобы, но не имел достаточно полномочий, чтобы на них реагировать. Теперь он эти полномочия получил.

Василий Пахньо,  опубликовано в издании  Экономическая правда