Украинцы все чаще и активнее начинают пользоваться пластиковыми карточками и предоставляемыми банки владельцам карточных счетов возможностями денежных расчетов. В безналичном обороте крутится все больше денежных средств, и это не может не привлекать мошенников.

Отечественные банкиры отмечают стремительный рост мошенничества, направленного на завладение деньгами пользователей пластиковых банковских карточек. При этом к уже традиционным видам карточного мошенничества постепенно добавляются усовершенствованные виды несанкционированного снятия денег с пластика. Злоумышленники осваивают технологии социального и психологического воздействия и технологии хакерских атак, пишут новые вирусы и создают ложные сайты в сети. Наши соотечественники, по своей неопытности, а иногда и феноменальной доверчивости и беспечности, достаточно легко попадаются на удочку аферистов.

Недавно в сети опубликовали список 5925 интернет-магазинов по всему миру, сайты которых хакеры заразили вирусом, ворующим персональные данные покупателей, в том числе реквизиты их банковских карт. Перехват информации происходит еще до начала оплаты — в момент, когда покупатель только вводит данные своей платежной карты, поэтому информация не защищена шифрованием по протоколу HTTPS. 67 сайтов из опасного списка — украинские. Самое страшное, что отечественные сетевые магазины в большинстве своем либо не знали, что их сайты заражены и с них воруют информацию клиентов, либо, зная о заражении, ничего не предпринимали. Эта ситуация достаточно характерна и отражает нашу неготовность к борьбе с карточными мошенниками. А их деятельность в нашей стране активизируется потрясающими темпами.

Украинские банки в 2015 г. потерпели убытков на 181 млн грн от мошеннических операций с платежными картами, что вдвое превышает показатели 2014 г., сообщает Национальный банк Украины. Эта официальная информация отражает лишь верхушку того айсберга проблем, который существует в реальности, поскольку многие банки либо скрывают, либо уменьшают свои убытки от карточного мошенничества ради сохранения репутации. К тому же данная статистика не учитывает убытки клиентов, которым банки чаще всего отказываются возмещать потери, возникшие из-за их личной беспечности. А потери клиентов, по всей видимости, на порядок выше потерь банков. Чтобы не стать жертвой карточных аферистов, держателю пластика необходимо, как минимум, знать об основных существующих методах отъема денежных средств с карточного счета.

Методы эти очень разнообразны, порой очень оригинальны, но при этом их можно условно разделить на методы технические и «социальной инженерии» — управления действиями человека без использования технических средств, используя слабости человеческой психики.

Кэш-треппинг

Самый, на первый взгляд, примитивный, но достаточно действенный и очень распространенный способ кражи денег с банковской карты — украсть их непосредственно из прорези для выдачи наличных в банкомате при попытке клиента снять деньги со своей карты. При этом злоумышленники могут как устанавливать на банкомат специальные, достаточно сложные накладные устройства с липкой лентой, так и примитивно заклеивать отверстие скотчем. Принцип аферы тоже до ужаса прост. Чаще всего атаке подвергаются банкоматы, расположенные вблизи ресторанов и клубов в вечернее или ночное время. Человек, выходя из злачного заведения и собираясь снять деньги, вставляет пластиковую карточку, вводит пин-код, сумму, а денег банкомат не выдает. Естественно, некоторое время он возмущается, но максимум через полчаса уходит с желанием завтра с утра разобраться с нерадивыми банковскими работниками. Мошенники же, постоянно наблюдая за банкоматом, тут же снимают деньги.

Согласно статистике Европейской ассоциации по безопасности операций с наличными, за первую половину 2016 г. этот способ отъема денег из банкоматов в Европе оказался самым популярным.

Скимминг

Этот способ кражи персональных данных клиентов с помощью специальных устройств на банкоматах или терминалах в 2013 г. был настоящим бичом всей банковской системы карточных платежей Украины. Сегодня количество зафиксированных случаев его использования сократилось втрое, однако попытки его использования все еще достаточно популярны. Преступники, выбравшие этот способ, вооружаются достаточно современными техническими приборами. Главное устройство — скиммер, портативный сканер, считывающий данные с карты жертвы. Устанавливается он обычно как малозаметная накладка на щель приема карты банкомата. Устройство пропускает через себя карту, считывая при этом данные с магнитной ленты. После чего мошенники изготавливают копию карты. Но для того, чтобы воспользоваться такой картой-копией («белым пластиком», как говорят специалисты по информационной безопасности), преступники должны знать пин-код карты. Считывают этот код чаще всего при помощи высококачественной видеокамеры, установленной неподалеку, или при помощи тонкой накладной клавиатуры, устанавливаемой на клавиатуру банкомата.

Чтобы не стать жертвой этого вида мошенничества, иногда достаточно внимательно осмотреть банкомат перед тем как им воспользоваться. Накладные чужеродные детали можно заметить, поскольку они меняют стандартный вид аппарата. Кстати многие отечественные банки с целью борьбы со скиммингом размещают на экране монитора изображение банкомата в стандартной комплектации. Вводя пин-код, стоит также прикрывать его от возможного подглядывания. Но лучше всего защищает от скримминга использование карты с чипом. Сделать копию такой карты слишком накладно и пока таких случаев не зафиксировано.

Фишинг в Интернете

Фишинг (от английского fishing — рыбалка) включает в себя огромный перечень приемов мошенников, направленных на получение конфиденциальных данных клиентов и их карточных счетов в сети Интернет. Чаще всего аферисты создают ложные сайты банков, магазинов, игровых порталов, провайдеров, платежных систем и прочих известных компаний и организаций, а также рассылают электронные письма от лица этих компаний. Как и на рыбалке, используются либо привлекательная наживка, которую жертва должна заглотить, попавшись на крючок, либо искусно раскинутые сети, в которые попадают доверчивые держатели пластика.

Наиболее типичный пример — объявления о возможности легкого заработка в Интернете. Чтобы начать работу и получать деньги, необходимо зарегистрироваться на определенном сайте, при этом ввести данные своей карты (номер, срок действия, CVV2-код), на которую якобы будут производиться выплаты. В результате мошенники получают доступ к карточным счетам «клюнувших» пользователей, рассчитывающих на легкую подработку, и списывают с них все средства.

В последнее время жулики изрядно поднаторели и в краже персональных данных клиентов с реальных серверов интернет-магазинов, развлекательных и игровых сайтов. К примеру, аферисты-хакеры нередко занимаются технической «доработкой» сайтов интернет-магазинов. Над формой для отправки реквизитов карты они размещают собственную форму. В результате клиент вводит персональные данные в липовое окно и отправляет их мошенникам. Другая получившая распространение схема — регистрация сайтов-клонов, созданных специально для сбора данных. Мошенники создают сайт, абсолютно идентичный тому, на котором совершаются покупки. Отличие можно заметить лишь по незначительным изменениям в названии сайта (в адресной строке браузера). Клиенты заходят на сайт-клон и оставляют там свои персональные данные, которые потом уходят к злоумышленникам.

Отдельный вид мошенничества, ныне набирающий обороты, — всевозможные вирусы, ворующие информацию как из банкоматов, платежных терминалов, так и с персональных компьютеров.

Чтобы защититься от несанкционированного доступа к средствам на карте, банкиры советуют использовать для расчетов в Интернете так называемые виртуальные карты с ограниченной суммой на счету, предназначенные исключительно для расчетов в Интернете.

Телефонный фишинг

Впрочем, оказывается самый простой и все еще действенный способ завладеть данными о карте пользователя — это просто попросить его поделиться этими сведениями. Звучит это, на первый взгляд, нелепо, но — работает: из сотни клиентов банков десяток особенно доверчивых охотно делятся с незнакомцами по телефону самой конфиденциальной информацией. Обычно мошенник представляется сотрудником банка, который «просто уточняет необходимые сведения».

В повседневной жизни люди, в большинстве своем, не ждут нападения в любой момент. Звонок застает их врасплох, а опытные мошенники умеют этим успешно пользоваться. Некоторые преступники действуют настолько нагло, что даже просят прочесть код подтверждения, который вы сейчас получите на свой телефон.

Отечественные владельцы пластиковых карт проявляют просто чудеса доверчивости, позволяя мошенникам подчистую опустошать не только собственные счета, но и кредитные лимиты. Косвенным стимулятором развития этого вида мошенничества стало внедрение украинскими банками ряда оригинальных услуг, которые, с одной стороны, дают владельцу карты ряд преимуществ (например, возможность снять деньги в банкомате без карты либо пополнить счет через мобильный банкинг), а с другой, при беспечности картодержателей, значительно облегчают мошенникам снятие денег с их счетов.

Летом нынешнего года специалисты НБУ отметили резкий рост количества мошеннических операций, проводимых без физического использования пластиковых платежных карт.

Злоумышленники, зачастую представляясь сотрудниками банка, запрашивают у пользователей реквизиты их платежных карт (полный номер карты, срок ее действия, код CVV2/CVC2 и пин-код) и мгновенно осуществляют операции по снятию денег с платежных счетов в сети Интернет либо в банкоматах.

Самая распространенная «наживка» — звонок по объявлению. Мошенники звонят человеку, разместившему объявление о продаже чего-либо на одном из популярных сайтов, представляются покупателем и договариваются об оплате на карточный счет продавца. Через некоторое время жертве перезванивает уже второй из мошенников и представляется сотрудником банка. Якобы с переводом возникли какие-то проблемы, и нужно уточнить данные получателя.

Чтобы воспользоваться услугой снятия денег без карты либо провести платеж в интернет-банкинге, картодержатель должен позвонить в банк и пройти идентификацию — назвать номер и срок действия карты, иногда — паспортные данные. После этого нужно сообщить банковскому сотруднику сумму, которую вы хотите снять, и ввести, как правило, код, поступающий в виде СМС на номер мобильного телефона, прикрепленный к банковской карте. То есть мошенники, как правило, не могут получить код напрямую, поскольку он приходит владельцу карты непосредственно в процессе операции. Парадокс состоит в том, что владелец карты, в большинстве случаев, сам сообщает код злоумышленникам. Несмотря на то, что в СМС содержится предупреждение о недопустимости его разглашения. необходимость назвать код мошенники объясняют тем, что деньги якобы перечисляются «с корпоративного счета», «с депозита» или еще каким-либо «нестандартным» способом. На самом деле ни в одном из этих случаев никакая идентификация получателя — в частности, через разглашение секретных кодов — не требуется.

Кстати, НБУ недавно предупредил клиентов банков о возникновении нового вида мошеннической кражи данных с платежных карт с помощью систем внешних интерактивных голосовых ответов (IVR). Владельцам платежных карточек звонят не сами мошенники, а запрограммированные ими роботы, которые от имени «банка» просят предоставить информацию о платежной карте или логин/пароль от веб-банкинга, необходимые для осуществления платежа

Не стать жертвой

Чтобы потребовать от банка компенсации потерь в случае несанкционированного снятия денег, держатель карты должен подтвердить, что он не причастен к утере или передаче данных третьим лицам. Но даже при этом возмещения ущерба он может ожидать месяцами. Ответственность же за самостоятельную передачу своих сбережений в руки мошенникам в случае, например, телефонного или интернет-фишинга, лежит на жертве. Чтобы не стать жертвой, надо, как минимум, твердо усвоить несколько базовых правил.

Для получения перевода отправителю нужно знать только номер карты и ваше имя. Паспортные данные, ИНН, дата рождения, срок действия карты и прочие ее реквизиты при этом не нужны. Если вы договариваетесь, например, о продаже товара — не называйте покупателю никаких лишних данных. Если вам звонят якобы из банка и просят назвать личные данные — это повод насторожиться. Если вы сомневаетесь, действительно ли вам звонит настоящий сотрудник — спросите, когда и в какое отделение вы можете подойти, чтобы решить проблему лично, а не по телефону. Мошенники после таких слов обычно просто кладут трубку. Какое бы СМС-сообщение вы ни получили от банка, всегда внимательно его прочтите. Никогда не называйте третьим лицам (в том числе сотрудникам банка, а также знакомым, друзьям, родственникам, продавцам в магазине) пин-код от вашей карты, а также секретные одноразовые коды, присылаемые на телефон.

Зачастую жертвы мошенничества удивляются: откуда мошенники знают о них так много? На самом деле по номеру карты легко узнать имя ее владельца, инициировав денежный перевод на карту в системе Приват24 или в терминале. Затем по имени потенциальной жертвы в соцсетях мошенники могут узнать ее мобильный номер и другие данные, с помощью которых они и будут в дальнейшем изображать «всезнающего» сотрудника банка.

В любом случае, если вы подозреваете, что данные карты попали к мошенникам, или уже обнаружили пропажу средств, в первую очередь нужно заблокировать карту. Если речь идет о мошенничестве, то, помимо обращения в банк, необходимо также написать заявление в полицию.