Нет времени объяснять, блокируй карту! Четыре способа снять ваши деньги без подтверждения по СМС
Треть россиян в возрасте до 25 лет постоянно пользуются бесконтактными платежами, а 2% граждан страны вообще отказались от наличных, свидетельствуют данные «Левада-центра». Картой удобно расплачиваться в продуктовых и в транспорте, ее можно привязать к медиасервисам и такси, запланировать платежи по коммуналке. Но есть и оборотная сторона медали. О ней 66.RU рассказал Артем Трофимов, специалист по безопасности карт в банке для предпринимателей «Точка».
Как могут украсть деньги?
В банковской сфере есть понятие «скомпрометированная карта». Это карта, полный номер которой, код CVV2 или CVC2 и другие данные стали общедоступны или попали в руки мошенников. Этих данных может быть достаточно, чтобы банк предоставил доступ к вашим деньгам. Узнать о том, что карта скомпрометирована, практически невозможно, пока ею не воспользовались без вашего ведома.
Как это может произойти? Если мошенник знает номер карты и CVV2 или CVC2, он способен совершать операции в интернет-сервисах, которые не поддерживают или намеренно не используют технологию 3D-Secure. Проще говоря, не отправляют вам одноразовый пароль, чтобы подтвердить, что покупку оплачивает именно владелец карты, а не кто-то другой.
Проверять ли личность покупателя с помощью 3D-Secure или нет, решает онлайн-продавец, а не банк, выпустивший карту. Некоторые компании осознанно проводят часть операций без этой технологии, чтобы упростить покупки для клиентов.
Интернет-магазин AliExpress сознательно отказался от 3D-Secure. Первые несколько операций там будут подтверждаться одноразовым кодом. Когда в магазине убедятся, что учетная запись не мошенническая, вам позволят совершать сделки без 3D-Secure, чтобы покупатель не делал лишних движений и не передумал после того, как ему придет СМС с паролем для подтверждения операции. Таким образом, в AliExpress самостоятельно решают, когда использовать 3D-Secure, а когда нет.
AliExpress — лишь пример того, как можно оплачивать покупки без 3D-Secure, а не место, где реально воруют. Через него практически не крадут деньги.
Агрегаторы Uber и «Яндекс.Такси» тоже не используют 3D-Secure. Мы в «Точке» не видим всплеска мошенничества в Uber, по-моему, это разовые случаи в других банках. Схема, с помощью которой мошенники выводят деньги через сервис, может быть такой. Воры привязывают украденные реквизиты — номер карты и код к ней — к профилю пассажира. Затем создают виртуальный профиль таксиста и «оплачивают» его услуги украденной картой, то есть имитируют поездки, а потом получают возмещение реальными деньгами.
Мошенники крадут деньги у клиентов банков через Uber. Под угрозой счета даже тех, кто не пользуется такси
Примеры с «Хабр»:
Мошенники хотят получить деньги с карты, а не расплачиваться за услуги с помощью украденных данных. Тем более, Booking.com и Airbnb потребуют для такой оплаты документ, удостоверяющий личность. Поэтому найти того, кто жил за чужой счет, не составит труда.
Как защитить данные?
Бережно относиться к реквизитам карт и стараться не компрометировать их. Во-первых, пользуйтесь бесконтактной оплатой через Apple Pay, Google Pay, Samsung Pay и другие сервисы. Они меняют реквизиты пластиковой карты на виртуальные — токен. Токены помогают уберечь реквизиты от третьих лиц. Даже если информацию токена узнают, она будет бесполезна, потому что в каждой транзакции используются зашифрованные динамические данные. Не за горами использование таких же токенов и при оплатах в интернете по технологии EMV® Secure Remote Commerce.
Если вы подозреваете, что карта скомпрометирована, сразу блокируйте ее с помощью звонка или письма в банк. После этого никто не сможет потратить деньги со счета, даже зная пин-код, CVV2 и другие данные.
Что делать, если деньги украли?
Срочно сообщите об этом банку. Тогда вы с большой вероятностью сможете опротестовать мошеннические операции, особенно когда 3D-Secure не использовался. Это плюс карт по сравнению с наличными, которые воры вам вряд ли вернут.
Даже если оспорить покупку или перевод не выйдет, есть возможность заморозить ваши деньги на счетах мошенников, чтобы впоследствии вернуть их по требованию правоохранителей.
Редакция 66.RU благодарит банк для предпринимателей «Точка» за помощь в подготовке материала.
Согласно отчету Центробанка, в 2019 году с карт физических и юридических лиц было украдено 6426,5 млн рублей. В 2018 сумма была меньше в несколько раз — 1384,7 млн рублей, а в 2017 — 961,3 млн рублей.
Рассмотрим, как работают мошенники с банковскими картами, каких данных им хватает для несанкционированного списания средств и как можно себя обезопасить.
Как мошенники снимают деньги с карты
Условно все схемы снятия денег мошенниками с банковской карты сводятся к 2 способам:
Разберем каждую схему подробнее.
Процент на остаток
до 5 %
Кешбек
до 10 %
Срок действия
3 года
Выпуск
Бесплатно
Обслуживание
Бесплатно
Система
Процент на остаток
Нет
Кешбек
до 30 %
Срок действия
3 года
Выпуск
Бесплатно
Обслуживание
150 руб.
Система
Звонок из банка
Это самая распространенная схема мошенничества. Про нее знают почти все, но тем не менее люди регулярно попадаются на эту уловку. Дело в том, что злоумышленники звонят с номеров, похожих на номера известных банков, и ведут разговор очень профессионально, так, что даже осведомленный человек может в какой-то момент потерять бдительность.
Обычно мошенники утверждают, что с карты зафиксирован подозрительный перевод на n-ую сумму. Перед звонком поступает даже соответствующее СМС о списании — фальшивое или реальное.
Целей может быть три:
Мошенники придумывают все новые схемы обмана, поэтому спрашивать, скорее всего, будут не напрямую, а завуалировано. Например, вас могут попросить назвать код отделения, в котором вы обслуживаетесь, и подсказать, что код пропечатан на обороте карты — те самые три цифры (CVV2/CVC2). Пароль из СМС тоже выманивают хитростью — сообщают, что придет смс с кодом, который никому нельзя называть, даже сотруднику. Далее вас переводят на автоматическую голосовую службу, где код будет запрашивать уже не человек, а робот, которому вы и доверитесь.
Справка: злоумышленники могут звонить не из банка, а из «крупной компании», а вместо угроз о несанкционированном списании, сообщать о том, что вы выиграли крупный приз и для его получения необходимо назвать номер карты или пароль.
Иногда «банковские сотрудники» утверждают, что их базы взломаны, и для сохранности средств просят вас срочно перевести все деньги на специальный счет, с которого вы потом с легкостью выведите деньги. Счет, естественно, вам принадлежать не будет, и деньги вы уже оттуда не выведете.
Единственное, что нужно делать, если звонят банковские мошенники — сбросить звонок. Если вы сомневаетесь, лучше сами перезвоните в банк по номеру телефона, который указан на официальном сайте или обороте карточки.
СМС с ошибочным переводом
Еще один вариант кражи денег с карты — смс с ошибочным зачислением средств.
Если вы получили подобное сообщение, сначала проверьте баланс и убедитесь, что сумма, действительно, зачислена.
Скимминг
Скимминг — это кража данных карты при помощи специальных устройств, которые обычно устанавливают на банкоматы. Внешне они не выделяются, поэтому заметить «лишнюю» деталь не всегда просто.
Используется три устройства:
Первая «деталь» позволяет сделать копию карты, а последние две — увидеть, какой пин-код набирает держатель. Имея на руках дубликат карточки и пин от нее, мошенник без труда снимет все деньги.
Важно: карты с чипом снижают риски, но не защищают на 100% от кражи.
Как обезопасить себя? Пользуйтесь банкоматами, которые расположены в людных местах, а лучше — в офисах банков. Если работаете с «новым» банкоматом, внимательно осмотрите его на наличие «лишних» деталей.
Авито
Самый распространенный вариант кражи денег через Авито — это, когда покупатель-мошенник собирается перевести предоплату на вашу карту, узнает ее данные и просит подтвердить получение средств кодом из СМС, якобы это запрашивает система. На самом же деле вы передаете все данные злоумышленникам, а кодом подтверждаете списание средств в их пользу.
Еще один вид мошенничества на Авито — относительно новый — это Авито Доставка или Защищенная сделка. Сам по себе сервис реальный и защищает как сторону продавца, так и покупателя. Однако злоумышленники используют поддельный сайт, который собирает только данные с карты.
Как все происходит? Лжепокупатель из другого города интересуется вашим товаром и предлагает оформить сделку через Авито Доставку. Предполагается, что он внесет деньги на сервис, вы подтвердите их получение и отправите товар.
Важно: на настоящем сервисе вы сможете получить деньги только после того, как покупатель подтвердит получение покупки.
Злоумышленник постарается перейти для общения в любой мессенджер — т. к. Авито блокирует ссылки на сторонние ресурсы — и скинет вам поддельную ссылку для получения перевода. Страница визуально будет похожа на реальный сайт Авито. Когда вы нажмете на кнопку «Получить средства», откроется форма, в которую нужно будет внести данные с карты, в том числе и CVC2/CVV2. Для завершения операции система потребует ввести код из СМС — так вы завершите процедуру списания средств с вашей карты.
Как не нарваться на мошенников? Не называйте полные данные карты — реальному покупателю хватит только ее номера. Общайтесь с покупателем только в чате Авито. Если пользуетесь «Безопасной сделкой», то переходите на сайт с той ссылки, которую дает сервис в приложении Авито, а не покупатель.
Вирусы
Сами по себе вирусы деньги с карты не воруют — они передают секретные данные третьим лицам, а иногда подменяют реальные сайты на фишинговые.
Некоторые программы могут не просто скопировать сохраненные коды и пароли, но и «показать» мошенникам, что происходит на экране смартфона или даже передать управление им. Последнее особенно опасно, так как вор сможет сам сделать перевод и увидеть код подтверждения.
Как вредоносная программа может попасть на телефон или компьютер? Вам могут позвонить из службы безопасности банка и сообщить, что ваши данные под угрозой и нужно срочно скачать антивирус, программу для удаленной помощи и т. д. Еще один вариант — фальшивая вакансия, например, тестировщик приложений. Суть такая же — вас убедят скачать вирусное ПО.
Вы и сами можете нечаянно наткнуться на вирус, если будете переходить по сомнительным ссылкам или скачивать приложения не с официальных ресурсов.
Могут ли мошенники снять деньги только по номеру карты
Нет, зная только номер карты, не могут. Для покупок в интернете помимо номера, нужно как минимум имя владельца и срок действия карточки — большинство сайтов запрашивает еще код с оборота и одноразовый пароль. Если имя держателя можно узнать в интернет-банке, сделав перевод по номеру карты, то срок действия придется подбирать, а пароли вообще найти нереально, если вы сами их не скажите.
Однако, зная номер карты и номер телефона, злоумышленник может позвонить вам, представившись сотрудником банка и ввести в заблуждение.
Могут ли украсть деньги с бесконтактной карты
Если бесконтактная карта окажется в руках мошенников, то да, могут. Точнее не украсть, а оплатить с нее несколько покупок до 1 тыс. рублей каждая в розничных магазинах. Также с бесконтактными картами работают все вышеописанные схемы мошенничества, кроме кражи данных через банкоматы, если не вставлять ее картоприемник.
В сети ходит слух, что с карт с технологией NFC можно украсть деньги, приложив терминал к сумке или карману, например, в общественном транспорте. Технически это очень сложно сделать, так как расстояние между картой и терминалом должно быть не более 4 см, а на саму процедуру списания у злоумышленника будет всего несколько секунд, пока аппарат активен.
Возможен ли возврат денег, снятых с карты мошенникам
Если с карты все-таки сняли деньги мошенники, первое, что вам нужно сделать — заблокировать ее. Далее необходимо написать заявление в банк о несогласии с последними операциями. Если сделать это в первые часы, то шансы на возврат увеличатся. Также необходимо написать заявление в полицию.
Вернет ли банк деньги, украденные с карты, зависит от того, как именно они были украдены. Если вы сами передали информацию третьим лицам, то вероятность крайне мала — в договоре на обслуживание прописано, что кредитная организация в таких случаях ответственности не несет. Вам остается только попробовать решить вопрос через суд и доказать, что вас ввели в заблуждение, например, позвонив с официального номера банка.
Справка: по информации с сайта ЦБ банки возместили за 2019 год 935 млн рублей — 15%, или каждый 7-й похищенный рубль.
Как обезопасить себя
Чтобы не нарваться на мошенников, придерживайтесь нескольких правил:
Если вводите персональные данные, например, логин и пароль от личного кабинета интернет-банка, убедитесь, что адрес сайта верный.
Какими способами мошенники похищают деньги с карт. Как не стать жертвой
За первое полугодие 2020 года мошенники украли у банковских клиентов с их карт и счетов 4 млрд руб., совершив более 360 тыс. несанкционированных операций. Из этой суммы банки смогли вернуть пострадавшим только 12,1% (около 485 млн руб.), а общий объем похищенных средств больше показателей аналогичного периода прошлого года на 39%.
Какие схемы мошенничества получили наиболее широкое распространение и как не стать их жертвой — в обзоре РБК.
Способы хищения денег с банковских карт
Самым распространенным способом мошенничества является социальная инженерия — методы обмана и введения клиентов в заблуждение с целью кражи денежных средств. По данным ЦБ, в первом полугодии 2020 года на нее пришлось 83,8% случаев от общего числа атак. Традиционно мошенники звонят банковским клиентам под видом «службы безопасности банка» или «службы финансового мониторинга» и сообщают о том, что по карте якобы совершена подозрительная операция. Под предлогом спасения денежных средств они заставляют клиента совершить ряд действий, чтобы украсть деньги с его счета. Контактную и персональную информацию о клиентах злоумышленники получают, покупая «слитые» базы в даркнете (теневой сегмент интернета. — РБК) либо находя их там же в свободном доступе. Также для убедительности они могут звонить с подменных номеров банков и других структур. Далее схема мошенничества развивается по нескольким сценариям.
В последнее время стали появляться более сложные схемы: к звонкам от «банковских работников» добавились звонки от «правоохранительных органов», которые «подтверждают», что кто-то пытается украсть деньги клиента, поэтому их надо спасти путем перевода на «безопасный» счет. Также злоумышленники начали звонить от имени бюро кредитных историй и сообщать, что обнаружили попытки оформления кредитов с использованием паспорта жертвы.
Во время пандемии и перехода многих процессов в онлайн-формат киберпреступники также активизировались в интернете, предупреждал ЦБ. По данным регулятора, за первое полугодие 2020 года мошенникам удалось украсть в интернете свыше 2 млрд руб., то есть более 50% из общего объема похищенных за этот период средств.
По данным «Лаборатории Касперского», в 2020 году активно росли объемы телефонного мошенничества и скама. С января по ноябрь компания обнаружила почти 86 тыс. скам-ресурсов, из них 62,5 тыс. были заблокированы во втором полугодии. Особенно распространено такое явление в русскоязычном сегменте интернета. По подсчетам компании, потенциальный ущерб от мошенничества мог бы превысить 13 млрд руб., если бы каждая заблокированная попытка перехода пользователя на подобный ресурс повлекла за собой обман хотя бы одного человека.
В России в этом году среди всех входящих звонков с неизвестных номеров доля спама составила 63%, а доля звонков с подозрением на мошенничество — 5,9%. При этом злоумышленники активно пользовались технологией подмены номера. Чаще всего они указывали телефоны финансовых организаций, государственных учреждений или юридических лиц. «Люди проводят все больше времени с телефоном под рукой и чаще берут трубку. Но при этом возможность принять взвешенное решение в разговоре у них есть не всегда. Часто злоумышленники использовали актуальную новостную повестку, чтобы вызвать доверие у жертвы», — объясняет Голованов.
Как не стать жертвой мошенников
Однако вернуть деньги, которые были украдены с помощью социальной инженерии, сложно, так как потерпевший добровольно подтверждал операции по своему счету и у банка есть основания отказать в возврате средств, предупреждает юрист. Клиент может обратиться в банк с требованием заблокировать мошенническую операцию, но, как показывает практика, в подавляющем большинстве случаев в отсутствие документов, подтверждающих факт совершения мошеннических действий, банк, скорее всего, ответит отказом. «Этот отказ можно оспорить в суде, но опять же, как показывает практика, если вы подтвердили операцию списания сами в порядке, установленном банком, шансы минимальны», — добавляет Иккерт.
Как мошенники могут завладеть деньгами с вашей карты, зная только её номер
Мошенничество по банковским картам стремительно набирает обороты. Задумайтесь, в 2016 году недоброжелатели обокрали добросовестных клиентов популярных финансовых организаций на 2.5 миллиарда долларов! Именно поэтому мы и решили написать эту статью, в которой расскажем, как мошенники снимают деньги по номеру карты и что делать, чтобы обезопасить себя.
Два распространённых метода завладеть вашими данными
Что такого делают преступники, чтобы иметь возможность снять ваши кровно заработанные деньги? Вот два популярных способа мошенничества:
1. Скимминг
Прогресс не стоит на месте, и преступники это знают. Они используют специальные устройства для считывания информации, помещая их непосредственно в банкоматы. После того как вы воспользуетесь им, мошенник завладеет всеми необходимыми для него данными и создаст дубликат карты, с которым сможет снять все средства на счету. Чтобы обезопасить себя от скимминга, пользуйтесь теми банкоматами, которые стоят у всех на виду — недоброжелатель никак не сможет установить на них считывающее оборудование.
2. Фишинг
«Фишинг», если перевести с английского, значит «рыбалка». Метод заключается в том, что недобросовестный человек подсовывает жертве в интернете фальшивую страницу банка, которым та пользуется, и она решит ввести свой логин и пароль на сайте-фейке, ими сразу же завладеют. Также жулики могут прислать письмо якобы от сотрудника банка, прося доверчивого человека сообщить CVV- или пин-код. Методов много, и чтобы обезопасить себя, нужно быть максимально внимательным и подозрительным. Знайте одно: даже сотрудники финансовых организаций не должны знать CVV- и пин-коды клиентов, а потому, во всех случаях, когда просят сообщить такую информацию — это мошенничество чистой воды.
Клиенты Сбербанка в опасности
Если вы являетесь клиентом Сбербанка, то наверняка знаете, что можете переводить деньги с одной карты на другую, зная только её номер. Действительно, это очень удобно, но безопасно ли?
Если вы продаёте или продавали что-либо на Авито, наверняка вам часто предлагали перевести средства на вашу пластиковую карту. Все, естественно, соглашаются, но мало кто задумывается, кому в итоге станет известен их номер.
Зная номер карточки, злоумышленник сможет узнать и ФИО жертвы, сделав любой денежный перевод на минимальную сумму, в процессе которого система сообщит ему, кому именно придут финансовые средства (его даже не нужно доводить до конца). Таким образом, недоброжелатель будет владеть всеми необходимыми сведениями для того, чтобы тратить деньги ничего не подозревающего человека.
Вы можете спросить, что же в этом такого? Да то, что зная ФИО и номер, злоумышленник может сделать любую покупку в интернете на сервисах, где не требуется ввод CVV-кода или MasterCard Secure Code.
Например, известный интернет-магазин Amazon требует ввода только номера карточки, имя владельца и срок окончания её действия.
Как мошенники узнают ваши данные
Итак, чтобы украсть ваши деньги мошеннику необходимо знать:
Номер карты преступник может получить, как мы уже писали выше, на Авито. Если вы, к примеру, продаёте стиральную машину, недоброжелатель может проявить заинтересованность в данной бытовой технике и попросить вас сообщить ему, куда перевести деньги. Вполне логично, и подозрений никаких не вызовет, согласны?
Некоторые умудряются носить с собой микрокамеры в магазинах, кафе и других местах, а когда очередная «жертва» расплачивается картой, мошенник записывает её на видео, а потом смотрит видео и узнаёт всё необходимое для того, чтобы тратить чужие деньги.
Далее финансовому вору нужно знать ФИО жертвы. Он может ненавязчиво спросить вас, кому перевести финансовые средства или использовать описанный выше способ: начать переводить на карту деньги и остановиться, когда станет известны фамилия, имя и отчество её владельца.
Далее ФИО жертвы вбивается в любой транслит сервис, чтобы злоумышленник знал, как прописывать эти данные на латинице.
Вот, по сути, и всё. Хитроумный жулик уже может заходить на Amazon или любой другой сайт, где при оплате товара не требуется CVV код и SecureCode, а также не требуются одноразовые пароли от Сбербанка. Так вот легко мошенник может тратить деньги жертвы своей аферы, покупая многочисленные товары за чужой счёт. Осталось лишь узнать одну маленькую деталь — срок действия карты.
Тип карточки жулик узнает легко по одному лишь её номеру. Если цифр 16 или 13, значит это Visa Card. Все VISA начинаются с цифры 4. Если же цифр 16, но первое число 5, значит это MasterCard. Maestro начинаются с цифр 3, 5 или 6 и могут состоять из 13, 16 и 19 символов. Как вы поняли, тип можно определить наугад, используя всего 3 попытки.
Теперь же жулику осталось узнать срок действия пластиковой карточки, но и это — дело нескольких минут. Всё, что нужно, создавать всё новые и новые запросы на покупку определённого товара в сети, каждый раз вводя разные значения. Так как большинство карт выдаются банком на срок от 3 до 4 лет, а в году 12 месяцев, злоумышленнику нужно перебрать всего от 36 до 48 вариантов, с чем можно справиться за полчаса. Тем более, нет никакой защиты: онлайн магазины не будут требовать ввода капч или ограничивать количество попыток. Поэтому через некоторое время мошенник всё-таки введёт нужное значение, и деньги его жертвы канут в лету.
Представьте, как это обидно, если вы случайно сообщите номер карты не тому человеку, и он вытащит с неё все ваши честно заработанные деньги. Хорошо, если потратят 2000 рублей, но что делать, если уйдут 10 000 руб или ещё больше?
Обезопасить себя вы можете довольно просто: оформите Cirrus/Maestro Momentum Card. Они выдаются в Сбербанке, и с их помощью нельзя оплачивать покупки в интернете, поэтому вам не будут страшны никакие мошенники.
Как обезопасить себя от мошенничества
Рассмотрим способы, которые помогут вам не стать финансовой жертвой:
Что делать, если деньги уже начали пропадать со счёта
В теории вам должны вернуть деньги, если вы их не тратили, однако на практике такое происходит крайне редко. Доказать что-либо будет крайне сложно, а потому всегда следите за тем, какую информацию и кому вы сообщаете. Будьте крайне осторожны и вы никогда не станете жертвой недоброжелателей.
