Варианты доступа мошенниками к реквизитам кредитных карт пользователей

Мошенничество с банковскими картами

Несмотря на то, что банки уверяют своих клиентов в надёжности и безопасности использования пластиковых карт, мошенники находят новые способы незаконного списания средств. По данным ЦБ РФ за 2018 год злоумышленники вывели с карточных счетов 1,3 миллиарда рублей, что в 1,5 раза превышает аналогичный показатель за предыдущий период. В данной публикации собраны распространённые схемы мошенничества с банковскими картами, зная которые, можно предотвратить хищение средств со своего счёта.

Виды мошенничества с банковскими картами

Обмануть или взломать банковскую систему безопасности достаточно сложно, поэтому преступники стараются любыми способами выманить информацию о карте у самого держателя. Для достижения своей цели они используют все доступные ресурсы — телефон, интернет-сайты, онлайн-банк, мобильный банк и прочие каналы.

По телефону

Данный вид мошенничества имеет множество вариаций, которые объединяет то, что владельцу карты звонят с незнакомого номера и под любым предлогом просят сообщить её реквизиты. В большинстве случаев злоумышленники используют следующие схемы:

1. Выигрыш в лотерею. Преступник представляется менеджером известной компании и сообщает, что клиент стал победителем розыгрыша. Для получения вознаграждения необходимо срочно выслать реквизиты своей банковской карты.
2. Звонок из службы безопасности банка. Фальшивый «сотрудник» извещает клиента о том, что его карту пытались взломать и просит уточнить данные для исправления ситуации.

Телефонные мошенники всегда говорят уверенно, имеют хорошо поставленный голос, а на любой вопрос клиента имеют заранее подготовленный ответ.

Через СМС

Эта схема имеет много общего с предыдущим способом. Разница заключается в том, что ложная информация приходит в тексте СМС-сообщения. Рассылка осуществляется с незнакомого номера, но мошенники подписываются известной компанией.

Распространённый пример подобных фейковых сообщений: «Ваша карта заблокирована. Перезвоните по номеру +7926ХХХХХХХ. Ваш Сбербанк.» Если клиент не реагирует, то преступники могут прислать повторное СМС с угрозой взыскания штрафа или комиссии. Перезвонившего просят сообщить данные карты, провести манипуляции в банкомате или интернет-банке.

Через мобильный банк

Услуга «Мобильный банк» позволяет совершать операции с помощью СМС-команд. Чтобы перевести средства другому клиенту, достаточно отправить сообщение на короткий номер банка с того телефона, который привязан к карте. Мошенники используют данную опцию в следующих случаях:

1. Телефон был утерян владельцем. До момента блокировки SIM-карты любой человек может списать деньги с карточки с помощью СМС-команд, перечень которых размещён на сайте любого банка.
2. Клиент отказался от услуг конкретного сотового оператора и не отключил мобильный банк. В этом случае номер телефона попадёт в руки нового абонента, который может оказаться мошенником и списывать деньги посредством СМС-команд.

Благодаря использованию мобильного банка злоумышленник также легко вычислит, в какой организации владелец телефона открыл карту.

Мошенничество с переводом денег на карту

Преступники не всегда преследуют цель узнать реквизиты карты. Самый простой способ незаконного обогащения — это убедить клиента в том, что он должен перевести деньги самостоятельно. Злоумышленники предлагают приобрести товары по выгодной цене и требуют перечисления аванса или всей суммы.

Некоторые мошенники выступают в роли фиктивных компаний, которые предлагают удалённую работу в интернете с хорошим заработком. Соискателю необходимо лишь подтвердить серьёзность своих намерений и перевести определённую сумму на счёт или карту работодателя.

Распространённой схемой аферистов также является «помощь родным». Данный способ чаще всего применяется в отношении пожилых людей, которым звонят и сообщают о том, что их близкие попали в беду. Мошенники представляются сотрудниками правоохранительных органов или медицинскими работниками. Они настоятельно требуют перевести деньги, угрожая необратимыми последствиями для жизни и здоровья близких.

Через банкомат

В этом случае для хищения средств преступники используют такие способы, как:

1. Скимминг. На банкомат устанавливается специальное оборудование, которое представляет собой накладку на клавиатуру и скиммер (вставляется в картоприёмник и позволяет считать данные магнитной полосы). С помощью полученных сведений мошенники изготавливают дубликат карточки и снимают с неё все средства.
2. Траппинг. Относительно новый вид мошенничества с банковскими картами, который заключается в том, что преступники вставляют в картридер кусок пластика с прорезью в центре. Клиент вводит карточку в банкомат, она попадает в прорезь и остаётся в устройстве. После этого подходит злоумышленник, якобы тоже побывавший в такой ситуации, и советует ввести ПИН-код. Когда это не помогает, клиент уходит, а преступник извлекает карточку с помощью заранее подготовленных инструментов.

Мошенники, объединённые в организованные преступные группы, действуют более масштабно и создают целые поддельные банкоматы.

Читайте также: Скимминг — вид мошенничества с банковскими картами.

Мошенничество на Авито

Данная процедура проводится следующим образом:

1. Мошенник звонит автору объявления о продаже чего-либо и представляется заинтересованным покупателем.
2. Продавец сообщает злоумышленнику номер своей карты для перевода средств в счёт оплаты товара.
3. Фиктивный покупатель входит в интернет-банк по номеру карточки и списывает деньги со всех счетов. Для доступа требуется одноразовый СМС-пароль, который мошенник с помощью различных уловок выманивает у продавца.

Последний этап может отличаться в зависимости от цели преступника. Некоторые хотят узнать конфиденциальные реквизиты карты, другие — просят провести определённые манипуляции через банкомат якобы для подтверждения платежа. В банкомате клиент под руководством мошенника подключает к своей карте посторонний номер телефона, после чего злоумышленник получает доступ к личному кабинету и мобильному банку.

Махинации с банковскими картами через интернет

Такой вид мошенничества называется фишинг. Аферисты создают поддельный сайт популярного интернет-магазина или онлайн-банка, который внешне похож на оригинал, а его URL-адрес отличается от подлинного одним символом. Для оплаты покупки или входа в систему пользователь вводит на фиктивной странице конфиденциальные данные, которые попадают в руки злоумышленников.

Ссылки на фишинговый сайт под видом акций и спецпредложений мошенники отправляют клиентам на электронную почту, в онлайн-мессенджеры или социальные сети.

Читайте также: Фишинг — вид интернет-мошенничества.

Кража банковской карты

Некоторые преступники не хотят использовать изощрённые способы мошенничества, а предпочитают просто украсть карточку. Одни злоумышленники делают это открыто, угрожая жизни и здоровью владельца, другие — дежурят возле банкоматов и забирают потерянные карты.

В большинстве случаев устройство возвращает пластик с задержкой. Клиент не дожидается и уходит или, получив наличные, вовсе забывает о карте. После этого мошенник может беспрепятственно её забрать и использовать в своих целях.

Другие способы

Помимо описанного выше, третьи лица воруют деньги с карт при помощи вирусного программного обеспечения. Вредоносная программа под видом полезного приложения устанавливается на компьютер, планшет или смартфон клиента. Её основное предназначение — украсть данные карты или перенаправить пользователя на фишинговый сайт.

Другой популярный вид мошенничества — сговор с сотрудниками банка или предприятий торговли. Кассир может зафиксировать данные карты (например, провести её через скиммер) и передать их посторонним лицам.

Как мошенники снимают деньги с банковской карты?

Способ незаконного вывода средств с карты зависит от того, какой информацией завладел злоумышленник. Основные варианты получения выгоды следующие:

1. Если карта считана через скиммер, то жулики изготавливают её дубликат. ПИН-код вычисляется благодаря использованию накладки на банкомат или скрытой камеры на устройстве.
2. Зная только номер карточки, преступники проводят процедуру регистрации в онлайн-банке. Остаётся только обманным путём узнать у владельца одноразовый пароль. После входа в систему аферисты переводят на свои счета средства не только с карт, но и со всех вкладов клиента.
3. Если мошенник знает реквизиты карты (номер, срок действия и код безопасности), то её можно использовать для оплаты в интернет-магазинах, которые не требуют СМС-подтверждения (например, AliExpress — о том, безопасно ли производить оплату на этой торговой площадке, можно узнать в соответствующем материале).

Одним из способов списания средств также выступает опция «Мобильный банк».

Самые распространённые схемы мошенничества в 2023 году

В связи с развитием новых технологий меняются и виды краж с банковских карт. В 2023 году с фактами мошенничества всё чаще сталкиваются владельцы пластика с опцией бесконтактных платежей.

Для проведения оплаты по такой карте достаточно приложить её к терминалу. Ввод ПИН-кода не требуется если сумма не превышает 1 000 рублей. При этом количество расходных транзакций не ограничено.

Чтобы получить деньги, мошеннику даже не понадобится воровать карту у клиента. Если в общественном транспорте поднести устройство к сумке или карману владельца, то средства спишутся. Для этих целей мошенники изготавливают самодельные переносные считыватели или используют банковские терминалы, оформленные по фиктивным документам.

Также в текущем году злоумышленники продолжают активно использовать фишинг в социальных сетях и онлайн-мессенджерах. Наибольшую выгоду мошенникам приносят махинации через Авито, с помощью которых они получают доступ в онлайн-банк.

Куда обращаться в случае хищения средств?

После выявления факта незаконного списания денег с карты необходимо срочно её заблокировать и обратиться в ближайшее отделение банка-эмитента. Дальнейшая процедура включает следующие этапы:

1. Клиент пишет заявление о несогласии с конкретной расходной операцией.
2. Банк проводит служебное расследование по факту хищения средств.
3. В установленные сроки (до 30 дней) владелец карточки уведомляется о решении.

Банк может вернуть деньги только в том случае, если пользователь не нарушал правила безопасности, то есть добровольно не сообщал конфиденциальную информацию третьим лицам.

Независимо от решения эмитента, владелец карточки имеет право обратиться в правоохранительные органы и написать заявление о краже денег.

Читайте также: Что делать, если с карты украли деньги?

Советы специалистов по защите своей карты

Чтобы обезопасить себя от действий мошенников, необходимо придерживаться следующих рекомендаций:

• не сообщать конфиденциальные данные карты третьим лицам (срок, CVV-код и ПИН-код);
• подключить услугу СМС-уведомлений для контроля за счётом;
• ПИН-код хранить отдельно от карточки и прикрывать рукой клавиатуру банкомата или терминала в момент его ввода;
• установить расходные лимиты в интернет-банке или мобильном приложении;
• никогда никому не сообщать код из СМС для подтверждения операции, которую клиент не совершал (сотрудники банка не вправе запрашивать данную информацию);
• немедленно блокировать карту в случае утраты, кражи или захвата её банкоматом, а также при утере телефона с привязанным номером.

Ежедневно злоумышленники изобретают новые способы хищения средств с банковских карт, поэтому невозможно предугадать все сценарии развития событий. Однако при соблюдении указанных элементарных мер безопасности любой пользователь сможет предотвратить нанесение ущерба от действий мошенников.

Следите за новостями на нашем телеграм-каналеПерейти

В июле эксперты НАФИ выяснили, что каждый четвертый держатель банковских карт в России может стать жертвой мошенников: 27% респондентов оказались в зоне риска, так как готовы сообщить посторонним CVV-код своей карты и срок ее действия. Чуть меньше трети владельцев карт в том или ином виде сталкивались с попытками мошенничества.

Мошенники продолжают совершенствовать свои методы, признала в конце июня глава ЦБ Эльвира Набиуллина. «Жулики во все времена были креативными. И технологии, к сожалению, только расширяют их возможности вводить граждан в заблуждение. Это и фишинговые сайты, и звонки из так называемых служб безопасности банков, фальшивые страницы банков и даже Банка России в соцсетях, где якобы разыгрываются призы или выплачиваются компенсации, и так далее», — перечисляла глава регулятора. По словам Набиуллиной, около 70% операций, которые делаются без согласия клиента, совершаются с использованием социальной инженерии. «И тогда банк ничего не нарушает, потому что человек сам передает пароли, все персональные данные мошенникам в руки», — сказала она.

Forbes рассказывает об 11 распространенных и актуальных схемах, которые используют мошенники для вывода денег с банковских карт и получения персональных данных.

Ложная помощь с возвратом средств за авиабилеты и гостиницы

«Мошенники активно используют любые информационные поводы и громкие события, — рассказывает замруководителя лаборатории компьютерной криминалистики и исследования вредоносного кода Group-IB Сергей Никитин. — В этом году активно используют тему коронавируса».

В частности, после закрытия границ мошенники начали звонить людям и предлагать свои услуги по возврату денег за купленные билеты и бронь отелей. О таком способе в мае предупреждал ВТБ. Мошенники используют в своих целях новый способ возврата денег за билеты с помощью ваучеров, которым уже пользуются многие авиакомпании. Пассажир оформляет ваучер, и деньги, потраченные на билет, зачисляются на специальный депозит в его личном кабинете на сайте авиаперевозчика или агрегатора. Мошенники звонят пассажирам, представляются сотрудниками авиакомпании и предлагают купить у них ваучер. Для этого они просят сообщить данные банковской карты для списания оговоренной суммы, а также код из полученного после этого СМС от банка.

«Ложные» льготы и пособия от государства или кредитные каникулы

Еще один «коронавирусный» способ мошенничества. Человеку могут позвонить якобы из банка и сообщить, что ему положена финансовая поддержка в связи с резкой потерей доходов, кредитные каникулы, рассрочки и т.д. Для их оформления звонящие просят сообщить данные банковских карт. Если владелец карты называет реквизиты банковской карты, срок ее действия и CVV-код, то мошенники уже могут совершать онлайн-покупки от его имени.

«Фальшивые» пособия на детей

В июне Почта-банк сообщил о способе мошенничества, связанном с выплатами «антикризисных» пособий на детей. Мошенники создают фейковые интернет-сайты, имитирующие портал госуслуг и якобы посвященные выплате пособий для семей с детьми. Внешне они либо полностью копируют официальный портал, либо очень на него похожи, говорилось в релизе банка. На таких сайтах мошенники просят ввести данные о номере банковского счета.

Сообщения о попытке войти в мобильный банк и привязать к карте другой номер телефона

Мошенники связываются с владельцем карты и сообщают, что некто пытается привязать карту к другому номеру телефона. Для идентификации личности владельцу карты предлагается сообщить ее данные. После этого мошенники проводят с карты перевод, клиенту приходит код подтверждения от банка, который он тоже сообщает мошенникам — также для «идентификации». Узнав код, злоумышленники могут перевести деньги на другую карту.

Мошенничество с помощью сервиса для предпринимателей

Мошенники нашли лазейку в сервисе Сбербанка по дистанционному резервированию расчетного счета для индивидуальных предпринимателей. Злоумышленники представляются по телефону сотрудниками службы безопасности Сбербанка и сообщают клиенту о попытке несанкционированной операции по его счетам. Они предлагают открыть резервный счет в банке и пройти верификацию. Для этого просят предоставить данные карты. Когда клиент начинает сомневаться и отказывается раскрыть данные, мошенники заполняют анкету на сервисе по дистанционному резервированию расчетного счета, и тогда потенциальной жертве мошенника приходит реальная СМС с кодом подтверждения операции с номера Сбербанка 900.

На сайте Сбербанка перечислены и другие случаи мошенничества:

«Лотерея» от Сбербанка

Мошенники по телефону предлагают поучаствовать в лотерее от Сбербанка, для которой надо пройти опрос на сайте. Участникам «лотереи» обещают крупную сумму. Естественно, госбанк лотереи не проводит, а сайт фишинговый. На нем для подтверждения карты потенциальную жертву мошенников просят перечислить 150 рублей. «Вы отправляете деньги, а потом не можете связаться с мошенниками», — пишет банк.

«Брокерские или дилерские услуги»

Мошенники представляются сотрудниками брокерской или дилерской компании. Они предлагают инвестировать деньги с гарантией высокого дохода. Человек в итоге соглашается открыть счет и самостоятельно переводит деньги мошенникам. Еще один вариант, на который указывает Сбербанк, — мошенники предлагают зарегистрироваться на сайте бинарных опционов, после пополнения баланса человек получает уведомления о получении «бонусных» доходов. Чтобы их вывести, нужно внести на счет дополнительную сумму, в итоге эти деньги вернуть невозможно, пишет банк.

Звонки с похожих номеров

«Злоумышленники могут поменять одну цифру в номере, которую вы не заметите и подумаете, что это банковский номер», — предупреждает Сбербанк. Мошенники будут просить полные данные карты, CVV- или CVC-код, код из СМС или пароли от онлайн-банка, и объяснять это тем, что пытаются предотвратить подозрительную операцию.

«Перевод по ошибке»

Мошенники могут прислать СМС, подделанное под банковское сообщение об операции, затем с другого номера приходит сообщение с просьбой вернуть деньги, так как перевод якобы совершен по ошибке.

Предложения установить программу удаленного доступа

Злоумышленники представляются сотрудниками банка и под разными предлогами могут предлагать установить на смартфон программу для удаленного управления. Например, мошенники могут говорить, что это спасет клиента от несанкционированного снятия денег. Далее человек скачивает по ссылке «специальный антивирус» или «программу для удаленной помощи». «Самое опасное заключается в том, что злоумышленник видит экран смартфона, — рассказывает Сергей Никитин из Group-IB. — Если это Android, то он может управлять этим смартфоном, если IOS, то просто видеть экран. Фишка здесь в том, что далее мошенники инициируют операцию по переводу средств со счета, и человеку приходит код, который сразу высвечивается на экране».

Об оригинальном применении этого способа в мае сообщал ВТБ. Весной из-за кризиса и пандемии резко выросло количество безработных, и тема вакансий стала особенно актуальной. Банк приводил пример вакансии тестировщика мобильных приложений для кандидатов без опыта работы. В процессе «тестирования» кандидата просили установить программы удаленного доступа к компьютеру или смартфону. В итоге мошенники получали доступ к банковским приложениям клиента.

Поход к банкомату для «спасения денег»

Этот вариант менее распространен, но хорошо действует на пожилых граждан. Злоумышленники уговаривают человека идти к банкомату и набирать в нем определенную последовательность команд. Обычно мошенники тревожным тоном сообщают, что деньги пытаются украсть и их нужно немедленно перевести на «страховой счет». Владельцу карты диктуют, какие кнопки нужно нажимать, и человек переводит деньги либо на номер телефона, либо на чужую карту.

Как себя защитить

Личные данные человека злоумышленники могут узнать через социальные сети и из утечек, в том числе клиентских баз банков. Часто в таких базах есть даже паспортные данные человека, информация о балансе, последних операциях и т.д. Также существует возможность узнать имя владельца чужой карты по ее номеру, попробовав выполнить платеж на нее, говорит Сергей Никитин из Group-IB .

• Нужно понять, что никому (без исключений) нельзя сообщать данные своей карты и тем более коды из СМС.
• Лучше вообще не вступать в переговоры. Когда есть сомнения, лучше перезвонить в банк по номеру телефона, указанному на карте, и уточнить, действительно ли вам звонили из банка, предупреждает Никитин.
• Банковские приложения можно устанавливать только из официального магазина приложений, а не из поисковой системы или по сторонним ссылкам. 
• Наконец, не стоит оставлять в сети информацию с номерами ваших карт, номер телефона, привязанный к карточкам, или данные о том, клиентом каких банков вы являетесь. 

Почти каждый хотя бы раз в своей жизни сталкивался с банковскими мошенниками в том или ином виде. Кому-то удалось сохранить свои деньги, кому-то нет. А с бурным развитием технологий эта проблема только усугубилась. Здесь мы рассмотрим самые распространенные схемы мошенничества, попробуем проследить их эволюцию и расскажем о правилах, которые помогут сохранить ваши сбережения от посягательств злоумышленников.

Мошенничества с использованием украденных или утерянных карт

Банковская картадает доступ к гораздо большему количеству денежных средств, чем человек обычно носил с собой, поэтому самым простым видом мошенничества стало использование злоумышленниками утерянных или украденных карт.

До момента обнаружения пропажи и блокировки карты проходит время, чем и пользуются мошенники, в руках которых оказалась карта. Опасность данного вида мошенничества в том, что до момента блокировки карты финансовую ответственность за него несет держатель карты. Долгое время этот вид мошенничества являлся одним из самых популярных, но его доля стала заметно уменьшаться с расширением внедрения карт, оборудованных микропроцессором и введением ПИН-кода. Но и тут злоумышленниками были придуманы уловки.

· Многие держатели карт записывают значения своего PIN-кода на карте. Очевидно, что в случае кражи/потери карты у вора оказывается все, что требуется для совершения мошенничества

· «Дружественное» мошенничество. Этокогда-то карта вместе с PIN-кодом передается члену семьи или другу для выполнения операции через банкомат. Позже та же карта используется в банкомате уже без санкции ее держателя.

· «Взгляд через плечо». Стоящий сзади за держателем карты злоумышленникможет подсмотреть введенный PIN-код. Потом карта может быть либо похищена у ее держателя, либо при использовании карты может быть произведено несанкционированное копирование ее магнитной полосы с целью изготовления в последующем поддельной карты.

· «Ливанская петля». Почти цирковой способ мошенничества, при котором ничего не подозревающий держатель карты засовывал ее в заранее «обработанный» мошенником банкомат: в прорезь картридера банкомата вставлялся кусок фотопленки, концы которого незаметно укреплялись на внешней стороне банкомата. Фотопленка после совершения операции не давала возможность карте выйти из картридера. Мошенник оказывался неподалеку и предлагал держателю карты свою помощь. Он рекомендовал ему вновь ввести свой PIN-код, а когда из этого ничего не получалось, вводил его сам со слов держателя, утверждая, что уже видел такие случаи раньше и при повторном вводе PIN-кода карта должна выйти из банкомата. Карта, конечно, не возвращалась, а мошенник советовал ее держателю прийти на следующий день в банк (махинация проводилась в часы, когда отделение банка уже не работало), и тогда карта ему будет обязательно возвращена. После ухода держателя карты мошенник извлекал пленку вместе с картой из банкомата и опустошал счет держателя карты.

Скимминг

Кража карт — достаточно трудоемкий и небезопасный процесс, поэтому злоумышленники сконцентрировали усилия на получение данных карт более незаметнымидля владельца способами. Чтобы скрытно завладеть необходимой информацией, мошенники стали использовать банкоматы и платежные терминалы — так появился скимминг. Этовид мошенничества с банковскими картами, в результате которого злоумышленники считывают информацию с магнитной полосы карты при помощи специального технического устройства. Помимо этого целью мошенников является и пин-код карты, информация с которой была считана. Получив эти данные, карту можно скопировать и вывести все деньги.

Для считывания данных применяют скиммеры — специальные устройства, которые злоумышленники крепят непосредственно к принимающему слоту картоприемника банкомата.Как правило, они изготовлены в виде специальной накладки на кардридер.

Скимминговое устройство копирует данные магнитной полосы и сохраняет эту информацию на внутреннем накопителе. Со временем появились более совершенные версии скиммеров: вместо накопителя в них устанавливался модуль передачи считанной информации, который позволял мошенникам получать украденные данные в режиме онлайн — до этого им приходилось возвращаться за скиммером к банкомату.

Самой технически продвинутой версией скиммеров стали устройства, способные «перехватить» трафик с банкомата.Это было возможно в том случае, если сетевое соединение между банкоматом и процессингом не было защищено шифрованием. Сегодня оно внедрено почти повсеместно.

Скимминг также применяется в платежных терминалах: недобросовестный продавец или официант просит у клиента карту, после этого проводит ее через скриммер, который находится рядом с платежным терминалом и вне зоны видимости держателя карты.

С внедрением использования ПИН-кодов мошенникам также стало необходимо узнать еще и их. Для этого они прибегают к различным уловкам.

· Скрытая видеокамера. Устанавливается на банкомате или поблизости, часто ее маскируют под рекламные материалы. Позволяет подсмотреть ПИН-код пользователя при вводе.

· Накладная клавиатура. Служит той же цели, что и видеокамера. Представляет собой накладку на реальную клавиатуру банкомата и записывает пин-код при вводе.

· Альтернативой вышеописанным способам стала вредоносная программа (malware), несанкционированно устанавливаемая мошенниками в программное обеспечение банкомата. Она копирует и запоминает данные магнитной полосы и в некоторых случаях сохраняет и значения PIN-кодов держателей карт.

· Мошенники также могут ставить свои фальшивые банкоматы. Обычно это украденные терминалы. Именно из-за воровства банкоматов банки стали прикручивают свои устройства к полу, монтировать в стены и вообще убирать терминалы из общедоступных мест подальше. Фальшивые банкоматы внешне могут не сильно отличаться от настоящих. Однако это чаще всего старые модели, и установлены они будут не в торговых павильонах, а на улицах, в местах, где нет камер.

Внедрение чипованных пластиковых карт также снизило актуальность скимминга. Теперь в большинстве стран для проведения операций по снятию средств банкомату необходимо считать также информацию с чипа, а так как подделать чип практически невозможно, операции по клонам карт больше не могут быть выполнены. Банки также не остались в стороне и стали устанавливать различные устройства в свои банкоматы, препятствующие работе скиммеров.

Подделка платежных карт

Получив информацию о карте и ее ПИН-код, мошенники могут изготовить ее дубликат и использовать его для снятия наличных со счета ничего не подозревающего держателя скомпрометированной карты. Однако чип карты скопировать практически невозможно, поэтому регион использования скопированных карт ограничен странами, которые пока что не поддерживают повсеместного использование чипа при проведении операций, например, в странах Азиатско-Тихоокеанского региона.

Фишинг

В связи с активной цифровизацией ритейла и рынка финансовых услуг появился фишинг. Его можно считать «идейным» продолжателем скимминга. Фишинг (англ. phishing, от fishing — рыбная ловля, выуживание и password — пароль) — вид интернет-мошенничества, цель которого — получить с помощью поддельных ссылок в интернетеидентификационные данные пользователей для последующей кражи их средств со счетов банка. Данные, на которые нацелены злоумышленники, это логины и пароли от систем дистанционного банковского обслуживания, номера банковских карт, счетов и другой конфиденциальной информации.

Как примеры фишинга можно выделить следующие сценарии:

· Рассылка сообщений (СМС, e-mail, WhatsApp и др.), содержащих угрозы, например, заблокировать счет в случае невыполнения получателем требований, изложенных в сообщении («если вы не сообщите ваши данные в течение недели, ваш счет будет заблокирован»).

· Поддельные сообщения с призывом улучшить антифишинговые системы («если хотите обезопасить себя от фишинга, пройдите по этой ссылке и введите свой логин и пароль»).

· Поддельные сообщения от магазинов, предлагающих скидки на различные товары, или создание копии сайтов известных брендов.

· Злоумышленники создают поддельные сайты банков, интернет-магазинов, маркетплейсов, ресурсов по продаже билетов на различные виды транспорта, чтобы узнать персональные данные для последующей кражи денежных средств. Они представляют особую опасность, так как на них можно натолкнуться при поиске товаров и услуг в любом поисковике.

Воровство конфиденциальных данных — не единственная опасность, поджидающая пользователя при нажатии на фишерскую ссылку. Зачастую следуя по ней, можно получить программу-шпиона, кейлоггер или троян. Так что, если даже у вас нет счета, которым мошенники могли бы воспользоваться, нельзя чувствовать себя в полной безопасности.

Скам

Скам (от англ. scam) — это афера, обман. В контексте мошенничеств с платежными картами это совокупность мошеннических схем, в которых злоумышленники обещают «легкий» заработок держателям карт. Широкое распространение в последние годы в русском языке, этот термин получил с популяризацией инвестиционных платформ (в т. ч. NFT и криптовалютных проектов) и появлением различных льгот и выплат от государств. Иногда скамом называют вообще любую попытку выманить деньги через интернет: от фальшивых анкет на сайтах знакомств до попыток скамерами украсть игровые предметы в онлайн-играх.

Рассмотрим несколько наиболее распространенных видов скама.

«Инвестиционные» проекты

В этой категории скама множество различных схем, суть которых сводится к выманиванию денежных средств под предлогом получения сверхприбыли, в результате чего держатель карты теряет деньги. Тут необходимо отметить схемы со спекуляциями на тему криптовалют ввиду относительной новизны этого явления:

Продажа неизвестных токенов

Мошенник сообщает, что имеет некоторое количество новых неизвестных токенов, уверяет, что после листинга (листинг — процесс размещения криптовалюты на бирже для начала торгов с другими активами.) на биржах будет космический рост, поэтому покупать надо срочно, сейчас и как можно больше. Cообщения появляются в соответствующих скам-каналах в Telegram, их также нередко за деньги рекламируют жадные или неопытные админы нормальных каналов. По факту токен, который вы купите — ничего не стоит, и никто не собирается его размещать на бирже.

Трейдинг через API

API — это доступ к управлению вашим счетом на бирже. Он бывает без возможности вывода средств, но даже в этом случае никто не мешает мошенникам, используя ваши средства, устраивать пампы/дампы неизвестных низколиквидных монет, играя одновременно против ваших позиций на фьючерсах с других аккаунтов. В таких случаях ваши деньги используют, чтобы увеличить прибыль по позициям мошенников.

Финансовые пирамиды

Классические финансовые пирамиды типа МММ не исчезли, они просто переместились в крипто-зону. И от этого стали еще опаснее. Если организаторов МММ, Finico и других пирамид поймали, осудили по уголовным статьям и отправили в тюрьму, то организаторов Torexo, Deximum и им подобным никто не посадил, потому что вычислить и поймать этих мошенников гораздо сложнее.

Фейковые стартапы

Объявляется о создании стартапа, как правило IT, например, сайт знакомств или mail-сервис, или агрегатор, а средства на его развитие собираются через криптовалюту. Инвесторам обещают колоссальную доходность, процент от будущих прибылей. На самом деле развитием проекта изначально никто не планирует заниматься, через какое-то время проект закрывается, а всю криптовалюту «потратили на развитие, но не получилось».

Помощь в выводе средств

Мошенники предлагают помощь в различных сложных ситуациях, в которые может попасть пользователь. Например, биржа заблокировала счет, ввела ограничения на вывод средств, или транзакция «зависла» и не отображается в блокчейне. Это в 100% случаях скам. Вопросы связанные с работой биржи может решить только сама биржа.

Фейковые выплаты

Мошенники обещают интернет-пользователям различные выплаты, но перед этим просят заплатить «комиссию» либо осуществить «закрепительный платеж», в результате никаких денег держатель карты не получает, а «комиссия» уходит злоумышленникам. Предлог для привлечения аудитории может быть самым разным, приведем их примеры:

• Сообщения на тему различных государственных социальных выплат или списания долгов по кредитным договорам;

• Сайты с досками объявлений, сервисами доставки или заказа еды, сайты с опросами от имени якобы крупных компаний и брендов с обещанием вознаграждения;

• Инвестиционные проекты, которые предлагает бонусы за регистрацию.

Дополнительную опасность несет то, что в процессе регистрации данные ресурсы собирают персональные данные, которые потом используются в других мошеннических схемах.

Обналичивание бонусных баллов

Мошенники предлагают услуги для перевода баллов различных бонусных программ в реальные деньги. Это в 100% случаях скам.

Социальная инженерия

Самый массовыйи потому самыйопасный для держателя карты способ мошенничества – социальная инженерия. Это методы получения конфиденциальной информации с помощью психологического воздействия на человека. Основной целью социальной инженерии является кража денежных средств клиента банка через полученные в ходе общения с держателем данные о банковских картах, одноразовых кодах из СМС, логинах и паролях от систем ДБО и удаленные доступы к устройствам клиента.

Традиционно мошенники звонят клиентам банков под видом «службы безопасности банка» или «службы финансового мониторинга» и сообщают о том, что по карте якобы совершена подозрительная операция. Под предлогом спасения денежных средств они принуждают держателя карты совершить ряд действий, чтобы украсть деньги с его счета.

На заре этого вида мошенничества преступники были неподготовлены и совершали «холодные» звонки, теперь это стало организованной преступностью с целыми колл-центрами, в которых используются украденные базы данных с информаций о клиентах банков, также появился массовый обзвон. Злоумышленники могут звонить с подменных номеров банков и других структур. Далее схема мошенничества развивается по нескольким сценариям:

1. Мошенники выманивают платежные данные карты: 16-значный номер банковской карты, срок действия и трехзначный код на обратной стороне, а также код из СМС от банка. Все это необходимо для совершения перевода денежных средств с карты клиента на карту злоумышленника.

2. В ходе звонка злоумышленники убеждают своих жертв снять деньги в банкомате и зачислить их на специальный счет для «спасения средств». Некоторые мошенники, «заботясь» о клиенте, заказывали своим жертвам такси до ближайшего банкомата.

3. В процессе звонка злоумышленники обманом узнают данные для входа в личный кабинет, либо просят установить на телефон специальное приложение якобы для лучшей защиты — им оказывается программа удаленного доступа и управления, с помощью которой можно зайти в личный кабинет онлайн-банка жертвы и перевести оттуда деньги на свой счет. Полученная информация и программы для удаленного доступа помогают не только украсть все имеющиеся деньги, но и оформить в мобильном приложении предодобренный кредит, если такой продукт предлагается клиенту, а затем вывести и заемные средства.

Первые две схемы попадают под определение так называемого вишинга. Вишинг – это метод, который заключается в том, что злоумышленники, используя телефонную коммуникацию и играя определенную роль (сотрудника банка, покупателя и т.д.), под разными предлогами выманивают у держателя платежной карточки конфиденциальную информацию или стимулируют его к совершению каких-то действий со своим счетом или банковской платежной карточкой. Сюда же относится взлом социальных сетей — взламывается страница пользователя и от его имени идут сообщения его друзьям, чаще всего с просьбой «скинь денег на карточку». Тот, кого взломали, может понять об этом, когда не сможет войти в свой аккаунт, ведь пароль уже изменен. Также примером являются СМС-атаки — мошенник создает фейковый аккаунт в социальных сетях либо регистрируется, к примеру, в Viber или WhatsApp, с сим-карты, которая оформлена не на него. Далее рассылает объявление: «Помогите на лечение ребенку», размещая фото и реквизиты. Если это действительно реальный человек, то реквизиты легко проверяются. Но, к сожалению, люди не часто проверяют такую информацию.

Третий сценарий является фармингом. Ему характерна установка на устройство жертвы вредоносного ПО, в результате чего злоумышленники получают доступ к устройству клиента банка.

Мошеннические схемы постоянно совершенствуются: к звонкам от «банковских работников» добавились звонки от «правоохранительных органов», которые «подтверждают», что кто-то пытается украсть деньги клиента, поэтому их надо спасти путем перевода на «безопасный» счет. Также злоумышленники могут звонить от имени бюро кредитных историй и сообщать, что обнаружили попытки оформления кредитов с использованием паспорта жертвы.

Атаки на банки

Помимо держателей карт также подвергаются атакам со стороны мошенников и банки. Рассмотрим примеры.

Физические атаки

· Cash Trapping. Мошенники устанавливают накладки на окне выдачи наличных банкоматас целью ее задержки- и для последующего извлечения мошенниками. Например, к отверстию для выдачи наличных денежных средств, пристраивается специальная накладка с липкой лентой, которая блокирует выдачу денег клиента — накладка имитирует шторку окна выдачи наличных денег. После ухода клиента мошенник подходит к банкомату, вынимает «накладку» вместе с денежными средствами и уходит. Также злоумышленники могут использовать специальное захватывающее устройство, которое помещается в банкомат и препятствует выдаче средств клиенту. Как правило это приводит к поломке банкоматов помимо, само собой, недостачи наличных денежных средств. Для извлечения устройства мошенник выламывает шторку диспенсера — устройства, которое контролирует выдачу наличных.

· «Щипачество». Мошенник забирает из лотка банкомата не всю сумму, а банкомат, обнаружив этот факт, возвращает всю предназначенную для выдачи сумму на счет мошенника.

· BlackBox. Злоумышленники осуществляют атаку с помощью дрели и мини-компьютера со шлейфом проводов для подключения к банкомату. Этот мини-компьютер как раз и называется BlackBox. Схема кражи проста:при помощи отверстия мошенник получает доступ к шине управления периферийными устройствами банкомата, в том числе диспенсером. Отверстие чаще делают рядом с клавиатурой банкомата, на которой пользователи обычно вводят PIN-код, поскольку в этом месте легче вытащить разъем и подключить к BlackBox. Подключенный мини-компьютер перехватывает управление выдачей наличных, и банкомат самостоятельно выдает деньги.

Атаки хакеров

Выбор цели злоумышленниками во многом обусловлен технической подготовкой, имеющимися инструментами и знаниями о внутренних процессах банка, которыми располагают преступники. Каждая из атак имеет свои особенности, в частности действия преступников различаются на этапе вывода денежных средств, но можно выделить 5 основных этапов.

Разведка и подготовка

Перед злоумышленниками стоит задача собрать как можно больше информации о банке, которая поможет преодолеть системы защиты, и провести предварительную организационную работу, учитывая специфику атакуемого банка. Для разведки активно привлекаются недобросовестные сотрудники банков, готовые за вознаграждение поделиться информацией.

Проникновение во внутреннюю сеть

Наиболее распространенным и эффективным методом проникновения в инфраструктуру банка является фишинговая рассылка электронных писем в адрес сотрудников банка, которая осуществляется как на рабочие адреса, так и на личные. После того, как преступники получают доступ к локальной сети банка, им необходимо получить привилегии локального администратора на компьютерах сотрудников и серверах — для дальнейшего развития атаки.

Развитие атаки и закрепление в сети

Если злоумышленникам удастся получить привилегии администратора домена, они смогут в дальнейшем беспрепятственно перемещаться по сети, контролировать компьютеры сотрудников, серверы и службы инфраструктуры банка.

Компрометация банковских систем и хищение денег

Закрепившись в сети, преступники должны понять, на каких узлах находятся искомые банковские системы и как будет удобнее получить к ним доступ. Преступники исследуют рабочие станции пользователей в поисках файлов, указывающих на то, что с данной рабочей станции осуществляется работа с банковскими приложениями. Для хранения паролей к критически важным системам в корпоративных сетях обычно используется специальное ПО.

Компрометация банковских систем и хищение денег

Преступники могут находиться в инфраструктуре банка, долго оставаясь незамеченными, собирать информацию об инфраструктуре и процессах, неспеша изучать выбранные для проведения атак системы и наблюдать за действиями сотрудников. Это означает, что кражу денег можно предотвратить, если вовремя выявить факт компрометации, даже в том случае, когда преступники уже проникли и закрепились в сети банка.

Основными способами хищений являются:

· Перевод средств на подставные счета через системы межбанковских платежей.

· Перевод денежных средств на криптовалютные кошельки.

· Управление банковскими картами и счетами.

· Управление выдачей наличных средств в банкоматах.

Сокрытие следов

С целью затруднить расследование инцидента преступники принимают меры для уничтожения следов пребывания в системе.

Но банки постоянно совершенствуют свои системы защиты от всех видов мошеннических атак.

Как защититься от мошенников:

Для того чтобы обезопасить себя от действий мошенников, достаточно следовать простым правилам:

1) При потере карты необходимо незамедлительно заблокировать ее любым предлагаемым банком способом.С утерянным телефоном, хранящим платежную информацию, следует поступить также.

2) Перед использованием банкомата (особенно в другой стране) стоит осмотреть его на предмет посторонних устройств, также лучше использовать устройства, установленные в отделениях банка, они регулярно проверяются сотрудниками службы безопасности.

3) Нельзя передавать карту третьим лицам даже для оплаты в ресторанах и кафе.

4) При использовании карты в интернете стоит уделить пристальное внимание ресурсу, на котором вы пытаетесь расплатиться.Используйте только официальные сайты.

5) Никогда не переходите по сомнительным ссылкам, полученным от неизвестных источников.

6) Помните, «бесплатный сыр бывает только в мышеловке».Не стоит верить рекламе о «баснословном» заработке или выплатах, информация о которых не подтверждена официальными источниками.

7) При входящем звонке от «службы безопасности» или «органов внутренних дел» не верьте на слово той информации, что вам предоставляют.Лучше закончить разговор и перезвонить по официальному номеру той организации, сотрудником которой представился звонящий.Информацию о номере телефона можно узнать в интернете.

Категорически нельзя предоставлять информацию о банковской карте третьим лицам. Настоящие сотрудники организаций никогда не будут ее запрашивать.

На днях ЦБ обратил внимание на учащение случаев
использования банковских карт без согласия их владельцев. Банки.ру вспоминает наиболее распространенные случаи попадания карточных данных в руки
злоумышленников.

Диванное настроение

Совсем недавно с одной моей знакомой приключилась забавная,
но опасная история. Девушка продавала диван на сайте Avito.ru (предмет продажи вы можете лицезреть
на фото). Дела шли относительно хорошо, в день поступало
несколько звонков. Звонившие уточняли детали продажи и либо отказывались от покупки,
либо обещали приехать и посмотреть на диван, а потом принять решение о покупке.

Но один звонок особенно насторожил мою знакомую (назовем ее
Юлией). Человек на другом конце провода заявил, что диван ему нравится,
смотреть на него дополнительно он не будет, а сразу его заберет. Чтобы
понравившаяся мебель «не ушла с молотка», покупатель был готов немедленно перечислить всю требуемую сумму продавцу, а вечером отправить за диваном
нанятых им грузчиков.

Для перевода денег звонивший попросил Юлию назвать номер
карты, а потом заодно и CVC-код. Хорошо, что моя знакомая была достаточно
финансово грамотным человеком и резонно указала, что для перевода достаточно знать
только номер карты. После этого заявления мнимый покупатель испарился, а моя
знакомая поняла, что ей звонил обычный мошенник, который при получении всех
данных карты, разумеется, никакую сумму бы не перевел, а использовал их для снятия
средств с карты самой Юлии.

Клиенты от мошенников

Способов отъема денег у честных держателей карт сейчас придумано очень много, и регулятор не перестает обращать на них
внимание.

14 июля на официальном сайте Банка России
появилась информация о том, что регулятор отмечает участившиеся случаи
осуществления операций с использованием платежных карт без согласия
их владельцев. В частности, ЦБ приводил в пример случаи, когда неизвестные
лица размещают объявления о приобретении платежных карт или обращаются
непосредственно к их держателям с предложением купить у них
эти карты. Затем такие карты используются для осуществления несанкционированных
операций.

По словам заместителя руководителя службы информационной
безопасности Промсвязьбанка Ивана Янсона, как правило, мошенники используют карты других клиентов для
незаконного перевода на них денежных средств, украденных со счетов других физических
и юридических лиц.

«Нередко
мошенники сами инициируют приход в банки таких клиентов, которые потом за
вознаграждение передают оформленные на свое имя карты в пользование третьим
лицам. Вместе с картами они оформляют и доступ в систему интернет-банкинга, а
реквизиты доступа также передают мошенникам, — рассказывает Янсон. — Эта
проблема существует практически во всех крупных банках, обслуживающих частных
клиентов, и наносит ущерб как бизнесу, так и репутации банка. Кредитные компании
борются с мошенническими действиями, выявляют такие карты, блокируют счета и
суммы, поступившие на них незаконным путем».

На своем сайте регулятор предупредил клиентов банков, что
держатель карты, не сообщивший банку о приостановлении или
прекращении ее использования, несет все обязательства, вытекающие
из ее использования третьими лицами. «Передача третьим лицам
платежных карт и предоставление сведений о ПИН-кодах являются
нарушениями порядка использования электронных средств платежа, влекущими
в последующем отказ банков в возмещении денежных средств держателю по несанкционированным
операциям, — гласило сообщение на сайте ЦБ. — Кроме того, платежная карта,
переданная третьему лицу, может быть использована при совершении противоправных
действий. В результате держатель такой карты несет риск быть привлеченным
к ответственности как соучастник».

К сожалению, неважно, как вы передаете мошеннику свои
карточные данные — осознанно или неумышленно. Доказать банку свою
невиновность впоследствии будет крайне непросто. А если вы и достигнете успеха в этом
отважном мероприятии, то идти к нему придется через судебные инстанции, при
этом очень и очень долго. Поэтому лучше подготовиться заранее.

Карточный беспредел

Самой распространенной на данный момент мошеннической схемой «добывания» карточных данных является социальная инженерия. Этот метод основан на
получении злоумышленником необходимых данных жертвы посредством
психологического воздействия (например, путем приведения жертвы в состояние
восторга или испуга).

В Хоум Кредит Банке выделяют два популярных вида такого рода
мошенничества: «Победитель» и «Покупатель». Про «Покупателя»
было рассказано раньше в истории с диваном. Единственная оговорка — злоумышленник может пообещать перечислить вам не всю сумму за товар, а только
аванс. Однако в обоих случаях он запросит номер карты и CVC- или CVV-код.

В случае применения метода «Победитель» на телефон держателя
карты поступает звонок якобы от сотрудника одной из
организаций, где клиент обслуживается (банк, мобильный оператор), с
поздравлением и сообщением о том, что он является победителем в розыгрыше. Для перечисления выигрышных денежных средств мошенник
просит предоставить данные карты, а именно: номер карты,
срок действия, CVC-код. Держатель карты обрадован и приятно удивлен и в
предвкушении скорого зачисления денежных средств на счет предоставляет
необходимые реквизиты карты.

Похожий метод, только основанный
на испуге, а не на радости, используется злоумышленниками при рассылке СМС-сообщений

«В последнее время в России набирает популярность СМС-мошенничество, когда клиенту приходит на телефон сообщение с примерно таким текстом: «Ваша кредитная карта заблокирована, для дополнительной информации
обращайтесь по телефону…», — рассказывает ведущий
специалист отдела сопровождения и поддержки держателей банковских карт банка
«Интеркоммерц» Денис Сипин. — Многие граждане звонят по указанному телефону и сообщают данные своей карты. Либо их просят подойти к банкомату, на
котором уже установлено скимминговое устройство. Таким образом ничего не
подозревающий держатель карты становится жертвой мошенников».

Есть и другой
вариант этого обмана — жертва звонит по указанному номеру, у нее не
просят никаких реквизитов, но стараются решать проблему как можно дольше,
потому что набранный номер на самом деле является платным, и
за каждую минуту разговора клиент платит свои кровные, которые
потом уходят злоумышленнику.

Ранее уже был упомянут такой
способ мошенничества, как скимминг. К сожалению, многие граждане в разных странах нередко становятся невольными участниками таких махинаций.

«Пожалуй, самый старый и популярный вид кардерского
бизнеса – это скимминг, — признает IT-обозреватель Банки.ру Михаил Дьяков. — Скиммеры представляют
собой миниатюрные устройства, встроенные в поддельную накладку на картоприемнике
банкомата. Когда держатель вставляет карту в приемник, головка
скиммера считывает содержимое магнитной ленты. Скиммеры всегда
сопровождаются устройствами для считывания ПИН-кода. Чаще всего это скрытая
веб-камера, «подглядывающая» за набором ПИН-кода, в других случаях – накладная
поддельная клавиатура банкомата (пинпад). Заполучив содержимое магнитной ленты
карты и ПИН-код, мошенники изготавливают дубликат карты (так называемый «белый
пластик») и снимают деньги в банкомате. Замечу, что чипованные карты почти
неуязвимы для скимминга: копировать данные из чипа кардеры пока не
научились, а в мире осталось мало банкоматов, которые выдадут деньги без
считывания чипа с карты, где чип должен быть».

Еще один способ карточного мошенничества, получивший
популярность в России в последние годы, — фишинг. Он подразумевает создание
клона популярного сайта (допустим, Сбербанка) со схожим названием (sbebrank.ru), на который преступники
перенаправляют клиента при заходе на оригинальный сайт. Когда держатель
карты вводит свои данные на сайте-клоне, они попадают к злоумышленникам. Традиционно фишинг используется для получения логина и пароля от интернет-банка клиента.

«Злоумышленники очень
часто получают данные банковских карт при помощи вирусного программного
обеспечения. Вы скачиваете зараженную пиратскую программу из Сети
либо ваш компьютер заражается, когда вы заходите на скомпрометированный сайт. Вирус
будет передавать злоумышленникам все вводимые вами в браузере данные, в том
числе логины и пароли от разных сайтов, включая ваш интернет-банк, а также ваши
карточные данные», — рассказывает исполнительный директор
компании Group-IB Владимир Загрибелин.

Загрибелин указывает, что есть
как минимум три варианта «увода» денежных средств со
скомпрометированной карты.

«Во-первых, через
некоторые сервисы злоумышленник может перевести средства с вашей карты на свою
(сервисы перевода Card2Card, для осуществления перевода зачастую необходимы
только номер карты, с которой переводятся средства, срок ее действия и CVC-код, а также номер карты, на которую
переводятся деньги. — Прим. ред.). Во втором случае схема действия мошенника
будет схожей, но ваши деньги он выведет на электронный кошелек, привязанный к его
карте, — дает пояснение Загрибелин. — Третий способ — самый сложный. При его
использовании мошенник создает не существующий в реальности интернет-магазин,
заключает с банком договор об открытии счета юрлица и, имея данные вашей карты,
якобы проводит по ней покупку с зачислением средств на счет своего юрлица.
Четвертый способ — мошенник вводит на сайте интернет-магазина данные
вашей карты и покупает по ней реальный товар в реальном интернет-магазине, а
потом просто перепродает его. Нужно понимать, что во всех этих случаях карты и
кошельки, на которые хакер выведет ваши деньги, будут открыты на подставных лиц,
так же как и фейковый интернет-магазин».

Михаил Дьяков считает, что все мошеннические схемы
профессиональных кардеров заканчиваются выводом наличных денег, приобретение
товаров с чужих карт им не интересно. «Для вывода денег с карты, данные которой
были где-либо украдены, обычно создается поддельный магазин или сервисная
компания (например, агентство, торгующее авиабилетами). Компания заключает
договор об эквайринге с банком, процессинговый центр которого не поддерживает
технологию 3D Secure, и спокойно снимает деньги с карт под видом легальных
продаж вплоть до того момента, когда банк-эквайер не получит несколько чарджбэков и не начнет расследование.
После этого мошенники бросают «магазин» и создают новый, — делится наблюдениями
IT-обозреватель
Банки.ру. — С появлением сервисов перевода денег с карты на карту
появился еще один вариант: данные карты необязательно красть. Держатель может
сам ввести всю нужную информацию, включая код 3D Secure, в поля веб-формы на
сайте-ловушке, не догадываясь, что вместо оплаты товара он переводит деньги на
карту мошенников. Это тоже требует от мошенников создания компании-однодневки,
заключающей договор с банком об интеграции на свой сайт банковского сервиса
перевода денег с карты на карту».

Не виноватая я, он сам пришел

Однако следует учитывать, что не всегда передача карточных
данных зависит от самого держателя пластика. Бывают случаи, когда
компрометация карты происходит по вине мерчанта (продавца), к клиентским базам которого
мошенники смогли получить доступ.

Большая шумиха возникла недавно по поводу
утечки из баз данных американского ретейлера Target, третьей по величине торговой сети в США. Хакерам дважды удалось
получить доступ к карточным данным нескольких десятков миллионов клиентов сети (в конце 2013 и весной 2014 года), в сумме были скомпрометированы данные 110 млн клиентов. Афера удалась благодаря тому,
что киберпреступники смогли взломать один из серверов компании и получить
доступ во внутреннюю сеть, в которую был внедрен вредоносный код,
распространившийся по всем компьютерам ретейлера, которые обслуживали POS-терминалы.

В апреле 2014 года российскую общественность
взбудоражила новость о том, что 200 тыс. карт, которыми интернет-пользователи
расплачивались на сайте РЖД, могли быть скомпрометированы. В середине апреля на
сайте РЖД как раз проводилась процедура обновления, в ходе которой оплата
билетов по карте в некоторых случаях отклонялась. Однако на специальном сайте www.sos-rzd.com,
созданном «доброжелателями», заявлялось, что возможность
компрометации карт сопряжена с ошибкой в протоколе шифрования данных,
обнаруженной самими создателями сайта sos-rzd.com. В итоге часть клиентов,
которые в период с 7 по 14 апреля (именно этот период назывался создателями
сайта «компрометирующим») проводили оплату на сайте РЖД по карте,
вынуждены были перевыпустить свои карты, а другим клиентам (их счет шел на
тысячи) карты в принудительном порядке заблокировали сами банки.

Безопасность превыше всего

Банк России рекомендует следующие меры для обеспечения
сохранности платежных карт и исключения несанкционированных операций
с ними. Во-первых, регулятор просит держателей карт не сообщать ПИН-код
третьим лицам, в том числе родственникам, знакомым, сотрудникам кредитной
организации и кассирам. Во-вторых, ЦБ обращает внимание на то, что не нужно передавать
платежную карту для использования третьим лицам, в том числе
родственникам. Так как если на платежной карте нанесены фамилия и имя
физического лица, только это физическое лицо имеет право использовать данную
платежную карту. В-третьих, при получении просьбы, в том числе
со стороны сотрудника кредитной организации, сообщить персональные данные
или информацию о платежной карте (в том числе ПИН-код) ЦБ
настоятельно не рекомендует передавать их сотруднику банка, а советует проинформировать о данном факте кредитную организацию — эмитента платежной карты и сам Банк России.

В ВТБ 24, помимо прочего, предлагают клиентам прикрывать
рукой вводимые на клавиатуре цифры ПИН-кода, чтобы усложнить получение
злоумышленниками этой информации, и в обязательном порядке подключить СМС-уведомление об операциях по карте. Не лишним будет оформить страховку по карте.

Владимир Загрибелин советует
по возможности не использовать любое нелицензионное программное обеспечение (начиная с Microsoft Word и заканчивая Windows) и не «серфить» подозрительные сайты
с фильмами, играми, торрентами и пр. Пользователь Интернета может
подхватить вирус как со скачанной программой, так и при заходе на сайт, который
автоматически начнет скачивать вредоносное ПО.

«Еще одно важное
замечание: никогда не работайте ежедневно с вашего компьютера через учетную
запись администратора (ту, через которую операционная система спрашивает вас,
разрешаете ли вы установить ей программу или изменить настройки компьютера), — предупреждает Загрибелин. — Создайте для ежедневного использования отдельную учетную
запись с ограниченными функциями. А через учетную запись администратора
устанавливайте только лицензионное ПО или меняйте системные настройки при
необходимости».

Кроме того, Загрибелин
настоятельно рекомендует по возможности настраивать разнообразные лимиты по
карте (на выдачу наличных в банкоматах, на ежедневную сумму расхода по карте,
на сумму единоразового онлайн-платежа и др.). Следует учитывать, что разные
банки предлагают разные виды лимитов. Точнее узнать о видах лимитов и условиях
их подключения можно в службе поддержки вашего банка-эмитента.

Перечислим еще несколько способов минимизировать
мошеннические действия по вашей карте.

Из простого: не стоит хранить записанный на листке ПИН-код в
кошельке или записывать его на самой карте (да-да, бывают и такие курьезные случаи); не
пользуйтесь банкоматом, если его внешний вид кажется вам необычным (бывали
случаи, когда даже у офисов самих банков долгое время стояли банкоматы со
скимминговыми устройствами); обязательно используйте антивирус на всех
возможных гаджетах. Отметим, что ноутбук, планшет и смартфон в равной степени
нуждаются в антивирусной защите.

Для совершения онлайн-покупок можно открыть виртуальную
карту или завести отдельную «покупочную» карту. Желательно, чтобы это
была не кредитка или чтобы по такой кредитке были
установлены лимиты единоразовых и ежемесячных трат. Кроме того, дополнительным
плюсом будет наличие на карте чипа.

Крайне важно при
оплате покупок в Интернете и переводе денежных средств в Сети подключить к банковской
карте технологию 3D Secure. 3D Secure представляет собой дополнительную
«ступень» подтверждения проведенной трансакции. Это может быть как
код, пришедший в СМС-сообщении на ваш мобильный телефон, который нужно ввести
на сайте банка-эквайера для подтверждения платежа, так и код из таблицы кодов,
размещенной на специальной скретч-карте, которую вам выдал банк при личной явке
в его офис.

Если у вас есть неуверенность насчет оплаты покупки
картой через конкретного продавца, лучше заранее снять наличные в банкомате
своего банка и оплатить покупку «налом».

Для собственного спокойствия в ресторане вы можете
требовать, чтобы для оплаты POS-терминал
принесли к вашему столику (многие не знают, что POS-терминалы в большинстве своем легко отстегиваются от блока питания) или чтобы вам позволили пройти
вместе с официантом к месту расположения терминала.

И последний, но не менее важный совет: если у вас появилось хотя
бы малейшее сомнение и вы думаете, что ваша карта могла быть скомпрометирована,
следует сразу же заблокировать ее и перевыпустить. В таких случаях всегда лучше
перестраховаться.

Анна ДУБРОВСКАЯ, Banki.ru

Мошенничество с банковскими картами — популярный вид бизнеса в даркнете. В нём, как догадываетесь, ровно ноль легального. Увы, это не мешает ему развиваться вовсю.

Рассказываем, как и где в даркнете получают данные банковских карт. И что с ними происходит дальше.

Примечание: вся информация в этой статье даётся в ознакомительных целях. Помните, что любые действия с чужими картами – уголовное преступление.

Главный вопрос. Как всё-таки получают данные чужой карты?

Методов очень много. Многие из них можно распознать с опытом, а некоторые – только вручную, пошарившись руками по банкомату или заметив неладное с ним заранее.

1. Ставят скиммеры на банкоматы

На банковской карте есть магнитная полоса, с которой банкомат, терминал и другие устройства считывают информацию. Это вы точно знаете.

Но если на банкомат установить собственное считывающее устройство, данные до банка не дойдут.

Такие считыватели называются скимерами. Обычно это щель для считывания данных с магнитной полосы и фальшивая клавиатура для кражи пин-кода.

Вместо клавиатуры могут использовать камеру: она обходится недорого и подходит для любого банкомата. А клавиатуру приходится подбирать под конкретную модель банкомата.

Чип на карте не защищает от скиммера. Выше пример, как выглядит скиммер для карт с чипом.

2. Крадут через кассы и терминалы

POS-терминалы – это штуки, к которым вы прикладываете айфон или прокатываете карточку, когда оплачиваете покупку. Если установить на них вредоносное ПО, то данные с банковской карты можно попросту украсть.

Этим способом нередко злоупотребляют в кафе, на заправках, на кассах супермаркетов. А главное, жертва скорее подумает на вирус, заразивший его компьютер при интернет-оплате, чем на поход в магазин.

Недавно троих граждан Украины арестовали за кражу данных 15 млн (МИЛЛИОНОВ!!!) карт. Они заражали компьютеры с кассовыми аппаратами, затем рассылали письма от Комиссии по ценным бумагам и биржам США и от различных отелей.

Самый известный российский кардер Роман Селезнев также крал данные карт пачками в США. Порой их хранили просто в текстовых файлах на кассовых компьютерах.

Селезневу дали 27 лет тюрьмы. Не будьте как Роман.

Вариант со скимером также возможен, но скорее теоретически. Слишком заметен считыватель на небольшом терминале, который всегда на глазах.

Но в США на заправках была целая эпидемия со скиммерами, которые внедряли в терминалы.

3. Запоминают данные карт

В барах, ресторанах и кафе официанты нередко забирают вашу карту с собой и уносят к кассовому аппарату. Несложно запомнить номер, дату окончания срока и CVC/CVV-коды по дороге.

А ещё проще сфотографировать лицевую и оборотную стороны карты, пока клиент не видит.

4. Используют фишинговые приложения и сайты

Сверстать сайт, который выглядел бы точь-в-точь как оригинальный, можно меньше чем за $100. Приложение немного дороже. Отдельную страницу отрисуют за пару часов и тысячу рублей.

Чаще всего копируют сайты и приложения банков, реже популярных интернет-магазинов. Самое дорогое в этой схеме — купить или разработать фишинговое приложение или организовать рассылку по нужной базе данных.

Мошенникам нужно распространить ссылку на фишинговый сайт или приложение, заставить пользователя вбить данные для доступа в фальшивую форму.

Кроме того, фишинговые приложения часто перехватывают SMS для авторизации. Всего этого достаточно, чтобы снять деньги с вашего банковского счета подчистую.

Фишинговых сайтов сотни — только служба безопасности «Сбербанка» выявила и добилась блокировки 600 доменов.

На фишинговые письма ведутся 48% пользователей. Практически каждый второй. Возможно, и вы однажды попались, просто не заметили.

5. Взламывают сайты интернет-магазинов, авиаперевозчиков и др.

Заказывая товары или билеты в интернете, вы можете лишиться денег не только на фейковом, но и на реальном сайте. Такие случаи относительно редки и часто придаются публичной огласке.

К примеру, западные ритейлер Sears и авиакомпания Delta признали, что их подрядчика по чат-поддержке взломали, в результате пострадали клиенты. Утекло около 100 тыс. записей о картах от Sears и сопоставимое количество данных от Delta.

Ещё один пример — премиальные американские ритейлеры Saks Fifth Avenue и Lord&Taylor. Хакеры взломали их платежную систему и собрали данные о 5 млн банковских карт. 125 тыс. записей о картах выставили на продажу.

Одеваются в магазинах люди небедные. Так что даже если 125 тыс. записей умножить на $10 тыс. в среднем на счету, можно больше не работать. Никогда.

6. Перехватывают данные в открытых Wi-Fi-сетях

Халявный Wi-Fi небезопасен, iPhones.ru уже писал об этом. Да и домашние роутеры нередко взламывают люди «с улицы».

Инструментов для этого хватает, даже в даркнет лезть не нужно. В итоге уведут не только аккаунт в Facebook, но и деньги с банковского счета.

6. Вам звонят и представляются сотрудником банка

Номер вашей банковской карты находят на сайте объявлений, посте для сбора пожертвований, да даже в чате WhatsApp, где все скидываются на цветы к 1 сентября.

Затем вам внезапно звонят якобы представители банка и под предлогом повышения безопасности / разблокировки карты / подтверждения платежа заставляют выдать всю информацию о карте или аккаунте онлайн-банкинга.

Самый главный момент: мошенники под видом сотрудника банка просят сообщить код подтверждения операции, который придёт в SMS.

На вас это, может, и не подействует. Но менее опытных юзеров вроде вашей бабушки обычно облапошивают именно так.

Отменить операцию и доказать, что владелец аккаунта не виноват, в таких случаях крайне сложно. Ведь получается, вы номинально подтвердили операцию кодом, ничего несанкционированного не случилось.

7. Сотрудник банка хочет помочь в личке соцсети

Жертв находят в пабликах банков ВКонтакте и на форумах.

Якобы представитель финучреждения связывается с пользователем, который задал вопрос в официальной группе или на странице банка. Обещает решение проблемы. Или золотые горы, кредит по гуманным 5% в год и тому подобное.

Для продолжения просит данные карты, счета, аккаунта онлайн-банкинга, контрольные вопросы или что-нибудь ещё, что позволит «подтвердить личность». Спорим, знаете, что будет дальше?

8. Собирают инфу через безобидные приложения

И такое бывает. Недавний скандал вокруг Burger King тому подтверждение.

Разработчики, конечно, списали всё на улучшайзинг и «всё делаем для пользователя, мамой клянус», но факт остаётся фактом. Какие ещё приложения крадут банковские данные, расскажем скоро в отдельном материале.

Итак, данные банковской карты украли. Что происходит дальше?

Чаще всего ими пользуются кардеры. Они напрямую сливают деньги с вашего счета на свой (другую ворованную карту, карту случайного дропа и т. п.).

Либо, чтобы не попасться, заказывают с вашей карты товары или подарочные сертификаты в интернет-магазинах. Пока жертва оклемается, успевают обнулить карту и залезть в максимальный овердрафт.

Окей, допустим, у меня украли данные. Что делать?

При первом подозрении НЕМЕДЛЕННО блокируйте карту или вообще весь счёт. Бросайте всё, срочно.

Почти все онлайн-банки и приложения российских банков позволяют сделать это мгновенно без лишних подтверждений. Объяснять ситуацию будете позже. Оставлю несколько примеров для пары крупных банков РФ.

Сбербанк, «Сбербанк Онлайн»:

1. На главной странице в списке карт или на странице с информацией о карте нажмите «Операции» напротив нужной карты.

2. Выберите «Заблокировать».

3. Заполните форму создания заявки и нажмите «Заблокировать».

4. Нажмите «Подтвердить по SMS», введите одноразовый пароль, который вам отправит банк.

Если нет возможности зайти в приложение или сайт Сбербанка:

• Звонок на номер службы поддержки: 900 с любого мобильного, 7 495 500 5550 по Москве, 8 800 555 55 50 из любого другого города РФ. Работает круглосуточно.
• Отправка SMS на номер 900. Формат: БЛОКИРОВКА****Х», где **** – последние цифры номера банковской карты, а Х – причина блокировки. 0 обозначает, что карта утеряна; 1 – подозрение в краже; 2 – карту не вернул банкомат; 3 – другие причины. Дождитесь SMS с кодом подтверждения. У вас будет 5 минут, чтобы отправить его обратно, иначе карту не заблокируют.
• Визит в отделение банка. При себе нужно иметь паспорт или другой документ с фото.
• Введение неправильного пин-кода. Трижды.

Альфа-Банк

В онлайн-банке «Альфа Клик» заблокировать карту можно со страницы «Карты».

1. Авторизуйтесь в сервисе, наведите курсор на поле с активной картой.

2. Нажмите «Заблокировать», подтвердите.

Либо выберите в главном меню «Мои карты» —> «Блокировать карту». Аналогично это работает в мобильном приложении.

Если приложения или браузера под рукой нет, можно отправить SMS-сообщение «block» на номер 2265. В ответ вам придет список карт с обозначением последних четырех цифр каждой из них.

Отправьте второе сообщение: «block *xxxx», где хххх – четыре последние цифры номера блокируемой карты.

Ещё помогает звонок по телефону на номер 0 800 50-20-50. Наконец, карты блокируют в офисах «Альфа-банка». Равно как и любого другого банка, который выпустил вашу карту.

Помните: счет идет на секунды! Чем быстрее вы заблокируете карту, тем меньше шансов у злоумышленников. Любую скомпрометированную карту стоит перевыпустить.

Не забудьте также поменять все логины и пароли, которые могли попасть в руки мошенников.

Полезные советы. Как не дать украсть данные своей карты?

Будьте внимательны, когда переходите по ссылкам. Проверяйте адрес в адресной строке и подлинность формы в приложении.

По статистике Google, 12,4 млн пользователей в 2017 году стали жертвами фишинга.

Да, 78% пользователей знают, что опасно переходить по подозрительным ссылкам. Но 56% всё равно переходят по ссылкам из e-mail, 40% – по ссылкам в Facebook. Угроза ближе, чем вам кажется.

Не сообщайте никому больше, чем номер карты. Для перевода денег этого достаточно.

Осматривайте банкомат перед тем, как вставить в него карту. Если одни детали выглядят новее других или не подходят по цвету, не снимайте в нем деньги.

Меньше шансов нарваться на скиммер в банкомате в отделении банка, в холле приличной гостиницы или другом зале с надёжной охраной.

Не верьте в распродажи авиабилетов за копейки, скидки 80% на фейковых сайтах, кредиты под 1% в месяц от микрофинансовых организаций. Вроде очевидно, но сколько обманутых!

Не пытайтесь снять блокировку карты по ссылке из e-mail или сообщения в мессенджере. Если возникла проблема, звоните в банк по номеру, который указан на вашей карте.

Используйте двухфакторную авторизацию везде, где это возможно.

Не записывайте PIN-коды банковских карт на бумаге. И тем более на самой карте или в кошельке. Да, такое сплошь и рядом.

Сама так сделала: сотрите или закрасьте CVV2-код на обороте карты. Только запомните его перед этим. Если забудете, можно будет восстановить в банке или сделать запрос в некоторых банковских приложениях.

Заведите отдельную карту для интернет-платежей и мелких трат. Переводите на неё деньги непосредственно на расходы.

Не давайте никому карту в руки. А лучше перейдите на карту с чипом для бесконтактной оплаты или Apple Pay, Android Pay, Samsung Pay.

Не пользуйтесь интернет-банкингом через открытый Wi-Fi. Да и вообще через Wi-Fi. Наконец, если вам звонят из банка, выслушайте, запишите разговор и перезвоните на официальный номер банка, который указан у вас на карте.

Что ещё можно сделать, чтобы защитить себя

Пожалуйтесь на фишинговый сайт в Яндекс».

Посмотрите на 2IP.ru whois домена, свяжитесь с хостером, сообщите о фишинге.

И ещё один важный пример напоследок

В январе 2018 года взломали сайт производителя смартфонов OnePlus и несколько месяцев воровали данные банковских карт покупателей.

Производитель официально признал, что «часть пользователей пострадала».

А в бете прошивки OxygenOS Open Beta 2 нашли интересную функцию приложения буфера обмена: в файле badword.txt оказалось много ключевых слов вроде address, email, home, birthday.

Другие файлы позволили установить, что OnePlus отправляет IMEI и другую информацию на сервера teddymobile — компанию, которая идентифицирует пользователей по SMS-сообщениям.

Так что иногда достаточно просто купить не тот смартфон, чтобы слить данные собственной банковской карты.

P.S. Каждый раз, когда вы расшариваете эту статью, у фишеров становится на десяток жертв меньше. Берегите себя и своих близких.

(10 голосов, общий рейтинг: 4.70 из 5)