Ежегодно миллиарды рублей уходят с карт российских граждан на счета мошенников. Практически ежедневно в новостной ленте встречаются сообщения о том, как люди добровольно отдают поистине гигантские суммы неизвестным лицам. Они не находятся под гипнозом, у них развито критическое мышление, и все же поддаются на махинации и уловки.
С начала 2023 года со счетов украли 4,5 млрд рублей — это почти на 30% больше, чем в среднем за 2022-й. В это же время банкам удалось сберечь свыше 700 миллиардов клиентских рублей.
Не стоит думать, что службы безопасности бездействуют. Но они не успевают за стремительным развитием технологий, в частности искусственного интеллекта, который стал помощником в руках преступников.
Какие виды мошенничества появились и актуальны сегодня? Как им противостоять?
По-прежнему в приоритете социальная инженерия и фишинг. Преступники манипулируют людьми, выманивая данные их карточек и счетов, используют открытые данные в социальных сетях. Поговорим о каждом из способов более подробно.
Речь идет о краже безналичных средств. Также кардингом называют покупку от лица владельца карты без предъявления пластика.
Чаще всего кардинг происходит двумя путями:
как перевод денег на счет мошенника;
как покупка товаров в интернете.
Каким образом злоумышленникам становятся известны данные банковской карты пользователя?
Покупка баз в даркнете. Мы систематически предоставляем право на обработку персональных данных: в банках, в медицинских учреждениях, при трудоустройстве и т. д. Далеко не всегда эти сведения тщательно хранятся – иногда они «утекают» в сеть, а это значит, что возникает риск мошенничества с использованием карт.
Несоблюдение элементарных правил безопасности. Банальный пример: владелец карточки кладет ее в портмоне, а в соседнем кармашке хранит листок с пин-кодом от нее. Некоторые поступают еще более опрометчиво: пишут пин-код на самой карте.
Данные карточки, особенно временные коды доступа, пин-коды, CVC/CVV, ни в коем случае нельзя разглашать и сообщать кому бы то ни было. Платежное средство является индивидуальным, а перевод его в коллективное пользование, пусть и с самым близким человеком, резко снижает уровень защиты.
Злоумышленник, завладев данными карточки, может совершить ряд покупок стоимостью до суммы, требующей ввода кода. Как правило, это товары с ценой до 1000 рублей, но некоторые пользователи устанавливают более высокий порог из-за нежелания вводить комбинацию цифр и подтверждать платеж.
Другой способ, о котором не понаслышке знают владельцы карт – это звонок из «службы безопасности банка» с сообщением о том, что по счету была проведена подозрительная операция. Чтобы ее отменить, требуется четырехзначный код, который хозяин карточки получает по СМС. Как только цифры будут озвучены, все имеющиеся на счету средства будут списаны.
Один из самых дорогостоящих видов мошенничества с картами, потому что предполагает использование считывающего и записывающего данные оборудования. Прицел внимания преступников направлен на сведения магнитной полосы – именно ей владелец проведет по сканеру, который снимет необходимую информацию.
Скимминг более характерен для стран Запада: в них конструкции банкоматов позволяют закрепить считывающее и передающее оборудование, которое практически не отличимо от оригинального. Российские терминалы более защищены, но кроме них существуют слоты картоприемников, например, в мегамоллах, на аппаратах для оплаты парковки и т. д.
Слово fishing переводится с английского как «рыбная ловля». Но термин, о котором пойдет речь, пишется чуть иначе – phishing. Это неологизм, образованный от слов «выуживать» и «пароль».
Цель фишинга – добыть пароли и другие способы доступа к личным данным пользователя. Этот вид мошенничества связан не только с банковскими картами: таким образом злоумышленники компрометируют секретные сведения в финансовых организациях, социальных сетях. А делается это с помощью фишинговых сайтов, имитирующих те, на которых постоянно бывает клиент.
К сожалению, ни одна самая изощренная система защиты не способна противостоять фишингу. Здесь можно уповать только на внимательность пользователя, который распознает подделку и не введет секретные данные, которые у него просят.
Чаще всего фишингу подвергаются:
онлайн-сервисы;
почтовые сервисы;
финансовые компании;
облачные хранилища;
платежные сервисы.
В России ежегодно фиксируется свыше 1 миллиона фишинговых атак. Это самый распространенный вид мошенничества в отношении крупных предприятий.
Пользователю приходит письмо, в котором его просят подтвердить данные карты, на которую перечисляются бонусные баллы или кэшбек. Человек переходит по ссылке, представленной в e-mail, вводит реквизиты. Затем он совершает пробный платеж в 1 рубль, подтверждая его путем ввода комбинации цифр с обратной стороны карты (CVV/CVC). Сразу после этого производится списание средств на счет мошенника.
Мошенничество с картами по телефону представлено этим способом. Преступник звонит или пишет сообщение, выдавая себя за близкого человека и просит оказать ему помощь.
Вряд ли найдется хотя бы один россиянин, который не получал СМС со словами «Я попал в беду, срочно нужны деньги, переведи на ХХХ…». Другой распространенный вариант: «Ваш сын попал в аварию, он сам говорить не может, срочно нужны деньги на транспортировку его в больницу…».
Получая такое сообщение, даже самые крепкие начинают колебаться. Что же говорить о пенсионерах, которые доверчивы как дети и верят на слово циничным пройдохам!
Надо сказать, что это не новое мошенничество с картами. Считается, что время рождения социальной инженерии – 70-е годы 20 века. Начиналось все с баловства: хулиганы брали телефонную книгу и звонили людям среди ночи, задавая глупые вопросы. Скоро стало понятно, что разбуженный человек легко сообщает информацию, которую никогда не поведал бы во время бодрствования.
Сегодня социальная инженерия является предметом пристального внимания служб безопасности. И поскольку атака здесь направлена на человека, а не на его карту или счет, эксперты уделяют особое внимание необходимости выработать определенные качества (скептицизм, бдительность, осторожность).
Например, если звонит знакомый и просит срочно перевести деньги, специалисты рекомендуют задать ему вопрос, ответ на который знает только он и вы («кто из нашего класса первым женился?», «напомни, куда твою машину ударил автомобиль на перекрестке Ленина и Фрунзе?» и т. п.). Если собеседник начнет нервничать, злиться, говорить: «Сейчас не до того!», просто прекратить разговор.
Относительно недавно появились аналоги известных мобильных приложений (чаще банковских). Они способны установиться во время скачивания контента из интернета на мобильное устройство и подменить собой настоящий продукт банка.
Защита от этого одна: устанавливать любые приложения только в официальных магазинах. Прежде чем инсталлировать что-то на устройство, обратить внимание, кто выступает разработчиком, какие сведения указаны в описании, есть ли отзывы.
Новое мошенничество с картами выявили специалисты ВТБ. Речь идет о сгенерированных фото банковских карт, которых в реальности не существует. Схема такова: происходит взлом аккаунта в социальных сетях и с него производится рассылка с просьбой прислать деньги. К сообщению прилагается фото карточки, которая точь-в-точь повторяет дизайн реальной. Правдоподобия ей добавляют фамилия и имя владельца аккаунта, написанные латиницей.
Разумеется, все поступления идут на счет мошенников.
Безопасно перевести деньги можно через российские платежные системы, например Koronapay https://koronapay.com/transfers/, Robokassa, Qiwi и другие системы, указанные в официальном реестре операторов от Банка России.
Как защитить свои средства от посягательств?
Подвергайте критическому анализу всю входящую информацию. Любые просьбы о помощи, утверждения «сотрудников безопасности» о подозрительных операциях по счету, требования подтвердить номер телефона, сменить пароль и сообщить новый – все это рассматривайте как попытку обокрасть вас.
Не передавайте сведения о карте (ее реквизиты и тем более пин-код) третьим лицам. В их число входят и ближайшие родственники. Помните, что банковская карта принадлежит человеку, чье имя указано на ней. Если речь идет о кредитной карточке, то нести ответственность за расходование средств с нее будет тот, с кем заключен банковский договор.
Установите минимальный лимит на списание средств без ввода динамического пароля.
Не храните пароли и логины в одном и том же месте. Запоминайте наизусть пин-коды, не пишите их на листочках или на самой карточке.
Отслеживайте операции по карте. Если какая-то выглядит подозрительно, сделайте запрос в банк и выясните, что это было за списание.
Не переходите по неизвестным или подозрительным ссылкам, которые присылают вам в письме.
Создавайте надежные пароли для доступа в личные кабинеты.