Мошенничество с банковскими картами по телефону. Как не попасться на удочку аферистов и не потерять свои деньги

Привет, друзья! В сети много ресурсов, на которых жертвы мошенников рассказывают о хищении средств с пластиковых карт. Мобильный телефон есть у всех, интернет-банкинг привязывается ко многим картам по умолчанию. Клиенты, собственно, и не возражают, ведь это самый удобный способ расплатиться за товары и услуги не выходя из дома. В качестве защиты платежей используется код из смс. Но насколько такая защита себя оправдывает? Поговорим сегодня о том, как мошенники снимают деньги через мобильный банк. Поехали…

Дистанционное банковское обслуживание имеет свои преимущества и уязвимые места. Некоторые люди просто опасается расплачиваться банковской картой, некоторые — усиленно изучают информацию о способах защиты от мошеннических схем. Самый популярный по статистике запрос — «сняли деньги с карты Сбербанка через мобильный банк: как вернуть деньги?» Расскажем о правилах безопасности подробнее.

Уязвимые места защиты онлайн ресурса

Мошенники используют недостатки банковской системы, чтобы снять деньги с чужих счетов. Потребители часто поступают опрометчиво, это на руку злоумышленникам. Статистика показывает: ежегодная сумма похищенных денег с карточных счетов составляет около 1 млрд руб. При этом Центробанк фиксирует не менее 400-420 000 случаев воровства каждый год.

Факты таковы, что мошенничество с банковскими картами через мобильный банк сегодня случаются чаще, чем банальное карманное воровство, так процветающее еще лет 10 назад. Более 23% транзакций в 2018 и 2019 году помечены как подозрительные, и были заблокированы банками на этапе ввода информации с пластиковых карт или в момент идентификации.

Самые уязвимые места в защите онлайн ресурсов, а значит, и в защите клиентов, которые активно пользуются их услугами — утечка персональной и платежной информации. Частично угрозы кибератак снижаются благодаря внедрению многоуровневых систем подтверждения, новейших IT-решений по безопасности. Но это, отнюдь, не панацея.

Около 80% случаев утечки информации происходят по вине халатности сотрудников все тех же онлайн ресурсов. Неаккуратно открытое электронное письмо запускает вирусы на сервера, и за считанные часы уводит всю информацию.

Банковские хранилища данных регулярно подвергаются кибер нападениям. В прошлом году каждый четвертый банк в мире подвергся DDoS-атаке, усредненный ущерб от манипуляций составил приблизительно 1,1 млн долларов на банк.

Не меньшую угрозу представляет и ваш собственный смартфон. С его помощью злоумышленники вскрывают личные счета, даже если физический контроль над устройством не был потерян. Вы можете даже не подозревать, что в вашем телефоне уже живет программка по считыванию данных и паролей, остается только получить смс с кодом.

Правила безопасного пользования мобильным банком

В договоре со Сбербанком перечислены требования, которые гарантируют безопасность дистанционного обслуживания клиентов. Отдельная глава посвящена использованию пластиковых карт. Несоблюдение пунктов ведет к отказу в содействии и возврату похищенные деньги.

Как минимум клиент обязан:

• хранить носитель информации в недоступном посторонним людям месте, желательно — отдельно от удостоверяющих личность владельца документов и денег;
• наблюдать за действиями с картой должностных лиц — кассиров, менеджеров по продажам, работников сервисных служб;
• запомнить ПИН — запрещено записывать и сообщать посторонним людям код.

Дополнительным средством защиты становятся смс-уведомления. Некоторые клиенты сознательно экономят на этой услуге, не подозревая, что потери от подобной халатности могут быть гораздо существенными. Например, недобросовестный кассир пропускают карту через считыватель несколько раз, банк списывает двойную сумму. Заметить мгновенно такую манипуляцию можно только через полученный смс, вы ж не проверяете баланс счета после каждой покупки в супермаркете.

Также финансовые учреждения не рекомендуют входить в мобильный банк при использовании открытых интернет-сетей. Вы подключаетесь к открытой точке доступа, например, в супермаркете или торговом центре, и просто делаете свой телефон видимым для злоумышленников.

Отдельным пунктом безопасности выносится реагирование на смс спамного содержания — «вы выиграли 100 000 рублей, перейдите по ссылке» или «ваша карта заблокирована, срочно позвоните по номеру…». Подобные смс, также как и фишинговые письма в электронной рассылке, запускают в ваш телефон вирусы. И стоит только вам зайти в мобильный банк, как вредоносное ПО считывает конфиденциальную информацию, или просто списывает все деньги с ваших карт.

Виды мошенничества через мобильный банк

Несмотря на усовершенствования, платежные операции с использованием пластиковой карты и смартфона находятся в зоне повышенного риска. Чтобы не стать жертвой обстоятельств, рекомендуем постоянно помнить о методах работы злоумышленников.

К самым распространенным способам получения доступа к счету относят:

• телефонное мошенничество по картам;
• фишинг;
• злонамеренное использование банкомата.

Практически в каждом из методов преступники рассчитывают на человеческий фактор — испуг, замешательство, медленная реакция на происходящее. Без вашей помощи многие кражи не могли бы случится априори. Наверняка вы слышали, что опытному угонщику на взлом противоугонной системы нужно всего пару минут, так вот «угонщику» ваших денег со счета нужно уложиться в 30 секунд — пока ваш мозг не выдал предупреждение об опасности 🙂

Телефонное мошенничество и вишинг

Что такое вишинг?

Вишинг (англ. аббревиатура vishing/от voice phishing) — психологическая манипуляция, цель которой заставить жертву добровольно сообщить персональные и платежные данные по карте.

Самый популярный прием злоумышленников — информирование владельца карты о блокировке средств на счете. Это может быть рассылка сообщений (SMS, MMS) или звонок, главное внезапность, быстрый текст, побольше умных слов и повторение фраз «ваши деньги заблокированы», «вы попали под мониторинг финансового контроля», «на разблокировку у вас есть 4 минуты» и т.д. по ситуации.

Собеседник представляется сотрудником службы безопасности, контролером финансовых операций, инспектором отдела финансового мониторинга, и предлагает моментальное решение проблемы — сообщить код входа, информацию с лицевой и обратной стороны пластиковой карты.

Первый признак, что вас пытаются обмануть — спешка. Вам не дают ни секунды подумать, что вообще происходит. Вам не отвечают на вопросы кто и за что заблокировал ваши деньги, вам не предлагают связаться с банком, подойти в отделение, позвонить на горячую линию. Все, что требуется здесь и сейчас:

• номер из 16 символов на лицевой стороне карты;
• срок действия в формате ХХ/ХХ;
• CVV-код с обратной стороны карты.

Лучшее, что можно сделать — сбросить вызов и самому перенабрать номер горячей линии банка. Он есть на каждой карточке, поэтому всегда под рукой. Какие еще действия не повредят:

1. Проверить номер звонившего через поиск Google, благо современные системы отслеживания хранят тысячи подозрительных абонентов и особо активных телефонных мошенников.
2. Проконсультироваться с банком по вопросу дополнительной защиты ваших счетов. Вы уже в базе злоумышленников, и возможно попытки взлома будут повторяться.
3. Проверить лимиты на снятие наличных, переводы онлайн и оплату товаров/услуг в интернете по всем своим картам. Поднять лимит — вопрос 5 минут, зато вы точно перекроете мошенникам доступ к удаленному снятию средств.

Очень редко, но бывает, что звонивший начинает диалог с озвучивания номера вашей карты. То есть каким-то способом 16 цифр им уже добыты, например, сфотографированы в общественном месте или в магазине. Тогда обязательно перевыпустите карту. Номер счета останется прежним, а вот платежные реквизиты изменяться.

Схема фишинга

Этот вид похищения денег, как мы уже упоминали выше, связан с установкой вредоносных программ на компьютеры и мобильные устройства. Мы часто качаем различные приложения из сети: для игр, общения в сообществах, поиска видео, книг, картинок. И как всегда пытаемся сэкономить, найти бесплатные версии. Такая экономия приводит нас на непроверенные ресурсы. После перезагрузки, вредоносный софт проникает в систему управления смартфоном.

Опасность фишинга заключается в следующем:

• мгновенная передача всех платежных данных и разового кода злоумышленникам через интернет;
• блокировка сообщений о движении средств на счету клиента — о том, что вас обокрали вы можете даже не узнать.

Программа может себя выдать не сразу.

Например, настройки будут отслеживать поступления крупных сумм на ваш счет. Выжидая подходящего случая, программа может месяцами тихо находится в системе. Именно для этого вам на смартфон регулярно приходят уведомления о необходимости обновить операционную систему. Вместе с обновлениями разработчики запускают программы антивирусов, вычищая ваш телефон от всех посторонних кодов.

Например, вот так:

Банкомат как инструмент для незаконного обогащения

Как свидетельствует отчет ЦБ РФ, в России установлено более 200 тыс. программных комплексов АТМ. Конечно, большинство из них размещаются в отделениях банков, в людных магазинах, торговых центрах. Однако, вынуждено некоторые банкоматы размещаются в удаленных районах, на малолюдных улицах, где ночью недостаточно освещения и нет траффика. Этим пользуются злоумышленники, и незаконно устанавливают считывающие приборы на внешние панели АТМ.

Особенность таких конструкций — их трудно заметить, внешний вид банкомата ничем не отличается.

К механическим средствам относят устройства:

• скиммеры — приборы для считывания данных с магнитной полосы;
• накладки на панель с кнопками, их называют пин-падом;
• видеокамеры, чтобы зафиксировать ПИН-код.

Все эти накладки устанавливаются наспех, особо не закрепляются, потому что снимать их нужно тоже быстро, не привлекая внимания. Не поленитесь перед использованием банкомата поковырять панель ввода кода, фальш панель отделиться легко, поковырять пластиковую накладку на панели, которая выдает купюры — ее устанавливают, чтобы деньги застряли, и вы не смогли их изъять.

Но нам интересен другой вид мошенничества, когда вас просят прийти к банкомату и под диктовку решить вашу некую «проблему» с картой. Можно назвать эту ситуацию продвинутой разновидностью вишинга, потому что реально заставить человека добровольно проделать столько манипуляций — уже мастерство.

Вот реальная история с банковского форума:

Как предотвратить мошенничество через мобильный банк

В основе безопасного пользования пластиковыми картами, также как и мобильным банкингом — внимательность и осмотрительность. Не нужно пользоваться банкоматом, если вы не уверены, что он хорошо освещен и просматривается с разных сторон камерами наружного наблюдения. Не нужно вводить пароль от мобильного банка посреди торгового центра. Не стоит открывать подозрительные смс и электронные письма. А особенно — не стоит верить каждому телеофнному доброжелателю.

Отвечаем людям, у которых сняли деньги через мобильный банк Сбербанка. Избежать неприятностей помогут действия:

• заказать дополнительную карту, и применять ее для расчетов в магазинах, ресторанах, на заправках — на такой карте всегда должна быть небольшая сумма денег, ограниченные лимиты;
• установить дневной лимит на снятие средств по всем картам, независимо от того, как часто вы ими пользуетесь;
• всегда выбирать карты нового поколения с дополнительными средствами защиты — чипом, фото.

Способы защиты от фишинга:

• покупка лицензионных приложений,
• скачивание бесплатных программ с официальных сайтов,
• контроль движения денег на счету.

Важно: заранее побеспокоиться о безопасности. Например, установить на смартфон антивирус, в настройках личного кабинета банка указать дублирование сообщений на электронную почту.

Реальные отзывы клиентов банков свидетельствуют — можно избежит вишинга, если не открывать сообщения, полученные с незнакомых номеров. Советуем периодически проверять список установленных на телефоне программ.

Сбербанк предлагает подписку на услугу Secure Code. Это специальный код, который генерирует система для конкретной пластиковой карты.

Как вернуть пропавшие деньги

Успех зависит от скорости обращения в техподдержку и наличия доказательств. Предлагаем такой алгоритм действий:

• срочно позвонить по номеру горячей линии, чтобы заблокировать движение денег на счету;
• прийти в отделение банка, сообщить о случившемся, заполнить типовое заявление;
• представить доказательства своей невиновности, приходить на встречи с сотрудниками отдела безопасности;
• написать заявление в полицию, регулярно интересоваться результатами расследования.

Пользователь имеет право требовать рассмотреть дело в суде, если, если банк решил не возвращать средства или правоохранительные органы бездействуют.

На этом все. Будьте бдительны и осторожны в обращении с пластиковыми картами 🙂 Желаем удачи!

Часто ли случаются такие ситуации: сотрудники из банка звонят на мобильный телефон, чтобы «разблокировать карту», а потом выясняется — это были мошенники, а с карты были списаны почти все средства? К счастью, такое случается не часто, но все же никто от подобного форс-мажора не застрахован. Поэтому нужно знать, как преступники обманывают своих жертв: с помощью фишинга, скамминга, социального инженеринга и просто по старой сим-карте пользователя. Главное — помнить, что деньги можно вернуть. Для этого нужно составить заявление в отделении банка, а затем обратиться в полицию.

Пути, с помощью которых мошенники снимают деньги с банковской карты

Даже самые крупные банковские организации — такие как Сбербанк или ВТБ-24 — не способны дать своим клиентам стопроцентную защиту. И дело вовсе не в том, что банки вводят недостаточный контроль за передвижением финансов или они безответственно к этому относятся. Дело в том, что в большинстве случаев виноваты в произошедшем сами жертвы.

Мошенники практически всегда «играют» со своими жертвами, создавая критические ситуации, в рамках которых у жертвы нет времени ни подумать, ни остановиться. На этом основана так называемая социальная инженерия, с помощью которой производится до 95% всех мошеннических операций. В оставшихся 5% случаев причиной удавшейся махинации является простая забывчивость.

Именно поэтому следует разграничить мошенничество, основанное на социальной инженерии, и мошенничество без каких-либо особенных историй и выдумок. Мы так и сделаем, рассмотрев каждый способ по отдельности.

Мошенничество с банковскими картами через мобильный банк

Мобильный банк — это способ взаимодействия с банком от своего лица на дистанционной основе. Другими словами, с помощью мобильного банка можно не только перемещать финансы, но также открывать новые счета, кредиты и вклады, конвертировать валюты и т.д. Неудивительно, что мошенники в первую очередь стремятся получить доступ именно к мобильному банку — ведь таким образом они получают практически неограниченную свободу действий.

Мошенничество становится возможным потому, что мобильный банк в обязательном порядке привязывается к какому-либо мобильному номеру. Но если владелец номера сменил SIM-карту, при этом забыв заново привязать мобильный банк, этот номер попадет к другим людям. Сотовые операторы таким образом экономят, продавая старые номера, которыми давно не пользуются, новым клиентам.

• Узнать, подключен ли к номеру «Мобильный банк», очень просто — можно, например, отправить смс на номер 900 для Сбербанка. Так мошенники сразу понимают, является ли купленная ими sim-карта привязанной к мобильному банку. Для экономии времени мошенники покупают sim-карты сотнями штук на сторонних сервисах вроде «Avito»;
• Как только мошенник видит, что номер привязан к чьему-либо мобильному банку, он начинает всячески искать информацию о своей жертве — т.е. тому, кто изначально пользовался мобильным банком. Преступник может, например, с помощью отправки смс на номер 900 узнать реквизиты карты;
• Как только у преступника появятся по крайней мере номер карточки и ФИО ее владельца, он может совершать покупки в интернете за счет своей жертвы. Для этого ему нужно всего лишь выбрать подтверждение платежа по ответу из смс.

Мошенничество с демо-версией мобильных банков (фишинг)

В данном случае преступник ориентируется на массовую рассылку, потому что фишинг по определению приносит результат только при больших масштабах. Суть обмана заключается в следующем: мошенник подделывает или официальную страницу банка, или окно для ввода данных. Когда жертва, не заметив подделки, вводит свои данные и нажимает кнопку «Далее», вместо обычного завершения операции она увидит обновление страницы. Все потому, что все введенные данные с сайтов-подделок сгружаются мошеннику.

Как только преступник таким образом получает данные для входа в интернет-банкинг или даже в мобильное приложение (например, в Сбербанк Онлайн), ему не составит труда снять все деньги со счета жертвы.

Мошенничество с помощью скимминга и вирусов

Скимминг — это установка специального считывающего оборудования на банкоматы. После установки скимминг-аппарата магнитная полоса любой введенной в банкомат карты будет сохранена в памяти устройства. Спустя время, мошенник снимет скимминг-аппарат с банкомата и перенесет данные магнитных полос на «пластик».

Так как терминалы и банкоматы не смотрят на дизайн карточки, главное для них — это информация на магнитной полосе. Это значит, что мошенник со скопированным пластиком сможет легко произвести снятие денежных средств в любом терминале, также он сможет легко оплачивать оффлайн-покупки.

Вирусы — наименее распространенный способ воровать деньги, но не менее опасный. Его суть сводится к следующему: на телефоны всей страны под предлогом «новой бесплатной программы» или «хитовой игры 2019» загружается вирус. Этот вирус буквально за 10-20 минут аккумулирует всю конфиденциальную информацию на телефоне, в том числе пароли, логины, реквизиты счетов и т.д. Как только телефон подключается к интернету, вся эта информация высылается мошеннику.

Что делать, если мошенники сняли деньги с карты? Как вернуть свои деньги?

Мы уже разобрались с тем, как мошенники снимают деньги с банковской карты через мобильный телефон. Однако, в ситуации форс-мажора редко бывает понятно, что нужно делать. В первую очередь, нужно помнить — в данной ситуации помочь может только банк и полиция. Никакие частные конторы не способны в такой ситуации поймать преступника, никого не обманув и не нарушив закон.

Следуйте инструкции:

1. Позвоните на горячую линию вашего банка. Многие номера обслуживают клиентов круглосуточно, практически все делают это на бесплатной основе. Горячие линии крупных банков: Сбербанк — 8 800 555 555 0; ЮниКредит — 8 800 700 10 20; РоссельхозБанк — 8 800 200 02 90; ВТБ-24 — 8 800 100 24 24;
2. Кратко объясните оператору колл-центра, в чем проблема, попросите заблокировать ваши банковские карты. Для этого будьте готовы назвать свои паспортные данные, а также ответить на контрольный вопрос;
3. Явитесь в отделение вашего банка, взяв с собой паспорт и, желательно, банковский договор. Попросите бланк для оформления заявления о несогласии с проведенной транзакцией;
4. Составьте заявление в двух экземплярах. Дата обращения является точкой отсчета для урегулирования вопроса в досудебном порядке, как того требует АПК РФ;
5. Постарайтесь дать банку всевозможные документальные доказательства факта обмана. Например, предоставьте скриншоты переписки с преступником, укажите на несоответствие адреса снятия средств и адреса вашего проживания. Можете также запросить записи с камер видеонаблюдения — на тот случай, если деньги были сняты преступником через банкомат;
6. В течение указанного в заявлении срока банк должен принять решение о возмещении или невозмещении ущерба. В случае, если банк не желает возмещать ущерб, следует обратиться в суд, отметив в иске полное бездействие банка. Не забудьте предъявить судье экземпляр заявления о несогласии с проведенной транзакцией. Кроме того, до обращения в суд явитесь в полицию и инициируйте делопроизводство по факту кражи.

Каковы шансы, что мне вернут украденные деньги?

Фактически шансы на успех напрямую зависят от того, насколько потерпевший старается обеспечить себе юридическую и правовую защиту. Если, например, единственное, что сделала жертва обмана — это обращение в полицию, шансы на успех будут невысокими: полицейские действительно стараются расследовать дела лишь в случае, если сумма кражи составляет как минимум 30-40 тыс. рублей.

Поэтому шансы на возвращение украденного нужно повышать. Сделать это можно следующим образом:

• Составьте претензионное обращение к банку о несогласии с проведенной транзакцией. Заявление нужно составлять обязательно в двух экземплярах, причем на вашем должна стоять подпись сотрудника банка. Приложите к заявлению все документальные доказательства неправомерности операции;
• В течение установленного заявлением срока не обращайтесь в суд. Максимальный срок составления ответа от банка — 90 дней, но, как правило, он ограничивается 30 днями;
• Параллельно с подачей заявления в банк обратитесь в полицию и начните делопроизводство. В процессе проверки полиция вместе с банковской службой безопасности детально проверят историю операций, адресата платежа, а также изучат репутацию заявителя (полицейские могут даже звонить родственникам и знакомым заявителя для получения информации);
• Если ответ от банка — отрицательный, составляйте второе претензионное письмо, в котором следует аргументировать неправомерность отказа. На этом этапе уже можно обращаться в суд. Шансы на выигрыш крайне высокие. Кроме того, руководство банка, как только им станет известно о подаче иска, постарается урегулировать конфликт без судебного разбирательства.

Как не стать жертвой мошенников?

Существует несколько простых правил, следование которым максимально обезопасит гражданина от возможного мошенничества:

• Не скачивайте программное обеспечение со сторонних ресурсов. Программы, мобильные приложения, медиафайлы следует скачивать только с официальных сайтов дистрибьютеров;
• Пользуйтесь лишь теми банкоматами, что находятся в людных и хорошо отслеживаемых местах — в отделениях банка, в административных зданиях и так далее. Так вы обезопасите себя от скимминга;
• Проверяйте все скачанные файлы через антивирус;
• Перед тем, как ввести какие-либо данные на сайте, проверьте его электронный адрес: если он не совпадает с реальным (настоящим) адресом сайта, перед вами — фишинг-контент;
• Помните — сотрудник банка никогда не потребует от вас ни CVV-код, ни пин-код от карты. Если кто-то под видом помощи просит вас назвать эти данные, перед вами — мошенник.

Кроме того, если вам внезапно «рисуют» опасную ситуацию, в рамках которой нет времени на размышления — не предпринимайте никакие действия (например, вам сообщают, что якобы ваша карта заблокирована и для ее разблокировки нужно срочно выслать ответное смс), постарайтесь проверить информацию.

“;

Согласно отчету Центробанка, в 2019 году с карт физических и юридических лиц было украдено 6426,5 млн рублей. В 2018 сумма была меньше в несколько раз — 1384,7 млн рублей, а в 2017 — 961,3 млн рублей.

Как мошенники снимают деньги с карты

Условно все схемы снятия денег мошенниками с банковской карты сводятся к 2 способам:

1. Обманным путем злоумышленники заставляют вас самих отправлять им деньги.
2. Мошенники выманивают у вас персональные данные: номер карты, срок ее действия, CVC2/CVV2 код, PIN, одноразовые пароли — и таким образом снимают средства.

Разберем каждую схему подробнее.

Обычно мошенники утверждают, что с карты зафиксирован подозрительный перевод на n-ую сумму. Перед звонком поступает даже соответствующее СМС о списании — фальшивое или реальное.

Целей может быть три:

1. Заполучить полные реквизиты карты, чтобы оплачивать покупки в интернете.
2. Узнать одноразовый пароль, который приходит для подтверждения списания.
3. Убедить клиента самостоятельно перевести деньги на другой счет.

Мошенники придумывают все новые схемы обмана, поэтому спрашивать, скорее всего, будут не напрямую, а завуалировано. Например, вас могут попросить назвать код отделения, в котором вы обслуживаетесь, и подсказать, что код пропечатан на обороте карты — те самые три цифры (CVV2/CVC2). Пароль из СМС тоже выманивают хитростью — сообщают, что придет смс с кодом, который никому нельзя называть, даже сотруднику. Далее вас переводят на автоматическую голосовую службу, где код будет запрашивать уже не человек, а робот, которому вы и доверитесь.

Справка: злоумышленники могут звонить не из банка, а из «крупной компании», а вместо угроз о несанкционированном списании, сообщать о том, что вы выиграли крупный приз и для его получения необходимо назвать номер карты или пароль.

Иногда «банковские сотрудники» утверждают, что их базы взломаны, и для сохранности средств просят вас срочно перевести все деньги на специальный счет, с которого вы потом с легкостью выведите деньги. Счет, естественно, вам принадлежать не будет, и деньги вы уже оттуда не выведете.

Единственное, что нужно делать, если звонят банковские мошенники — сбросить звонок. Если вы сомневаетесь, лучше сами перезвоните в банк по номеру телефона, который указан на официальном сайте или обороте карточки.

СМС с ошибочным переводом

Еще один вариант кражи денег с карты — смс с ошибочным зачислением средств.

Схема такая:

• вы получаете смс, подделанное под банковское сообщение, о поступлении средств;
• злоумышленник перезванивает вам или пишет, что нечаянно перевел деньги не на тот счет и просит вернуть их ему;
• вы переводите сумму на указанный номер, хотя никакого ошибочного перевода на самом деле не было.

Возврат денег снятых с карты мошенниками в таком случае практически невозможен, так как перевод вы делали сами.

Если вы получили подобное сообщение, сначала проверьте баланс и убедитесь, что сумма, действительно, зачислена.

Скимминг

Скимминг — это кража данных карты при помощи специальных устройств, которые обычно устанавливают на банкоматы. Внешне они не выделяются, поэтому заметить «лишнюю» деталь не всегда просто.

Используется три устройства:

• скиммер — считыватель магнитной ленты, который устанавливается к картоприемнику;
• скрытая камера — обычно расположена рядом с клавиатурой;
• накладная клавиатура.

Первая «деталь» позволяет сделать копию карты, а последние две — увидеть, какой пин-код набирает держатель. Имея на руках дубликат карточки и пин от нее, мошенник без труда снимет все деньги.

Важно: карты с чипом снижают риски, но не защищают на 100% от кражи.

Как обезопасить себя? Пользуйтесь банкоматами, которые расположены в людных местах, а лучше — в офисах банков. Если работаете с «новым» банкоматом, внимательно осмотрите его на наличие «лишних» деталей.

Авито

Самый распространенный вариант кражи денег через Авито — это, когда покупатель-мошенник собирается перевести предоплату на вашу карту, узнает ее данные и просит подтвердить получение средств кодом из СМС, якобы это запрашивает система. На самом же деле вы передаете все данные злоумышленникам, а кодом подтверждаете списание средств в их пользу.

Еще один вид мошенничества на Авито — относительно новый — это Авито Доставка или Защищенная сделка. Сам по себе сервис реальный и защищает как сторону продавца, так и покупателя. Однако злоумышленники используют поддельный сайт, который собирает только данные с карты.

Как все происходит? Лжепокупатель из другого города интересуется вашим товаром и предлагает оформить сделку через Авито Доставку. Предполагается, что он внесет деньги на сервис, вы подтвердите их получение и отправите товар.

Важно: на настоящем сервисе вы сможете получить деньги только после того, как покупатель подтвердит получение покупки.

Злоумышленник постарается перейти для общения в любой мессенджер — т. к. Авито блокирует ссылки на сторонние ресурсы — и скинет вам поддельную ссылку для получения перевода. Страница визуально будет похожа на реальный сайт Авито. Когда вы нажмете на кнопку «Получить средства», откроется форма, в которую нужно будет внести данные с карты, в том числе и CVC2/CVV2. Для завершения операции система потребует ввести код из СМС — так вы завершите процедуру списания средств с вашей карты.

Как не нарваться на мошенников? Не называйте полные данные карты — реальному покупателю хватит только ее номера. Общайтесь с покупателем только в чате Авито. Если пользуетесь «Безопасной сделкой», то переходите на сайт с той ссылки, которую дает сервис в приложении Авито, а не покупатель.

Вирусы

Сами по себе вирусы деньги с карты не воруют — они передают секретные данные третьим лицам, а иногда подменяют реальные сайты на фишинговые.

Некоторые программы могут не просто скопировать сохраненные коды и пароли, но и «показать» мошенникам, что происходит на экране смартфона или даже передать управление им. Последнее особенно опасно, так как вор сможет сам сделать перевод и увидеть код подтверждения.

Как вредоносная программа может попасть на телефон или компьютер? Вам могут позвонить из службы безопасности банка и сообщить, что ваши данные под угрозой и нужно срочно скачать антивирус, программу для удаленной помощи и т. д. Еще один вариант — фальшивая вакансия, например, тестировщик приложений. Суть такая же — вас убедят скачать вирусное ПО.

Вы и сами можете нечаянно наткнуться на вирус, если будете переходить по сомнительным ссылкам или скачивать приложения не с официальных ресурсов.

Могут ли мошенники снять деньги только по номеру карты

Нет, зная только номер карты, не могут. Для покупок в интернете помимо номера, нужно как минимум имя владельца и срок действия карточки — большинство сайтов запрашивает еще код с оборота и одноразовый пароль. Если имя держателя можно узнать в интернет-банке, сделав перевод по номеру карты, то срок действия придется подбирать, а пароли вообще найти нереально, если вы сами их не скажите.

Однако, зная номер карты и номер телефона, злоумышленник может позвонить вам, представившись сотрудником банка и ввести в заблуждение.

Могут ли украсть деньги с бесконтактной карты

Если бесконтактная карта окажется в руках мошенников, то да, могут. Точнее не украсть, а оплатить с нее несколько покупок до 1 тыс. рублей каждая в розничных магазинах. Также с бесконтактными картами работают все вышеописанные схемы мошенничества, кроме кражи данных через банкоматы, если не вставлять ее картоприемник.

В сети ходит слух, что с карт с технологией NFC можно украсть деньги, приложив терминал к сумке или карману, например, в общественном транспорте. Технически это очень сложно сделать, так как расстояние между картой и терминалом должно быть не более 4 см, а на саму процедуру списания у злоумышленника будет всего несколько секунд, пока аппарат активен.

Возможен ли возврат денег, снятых с карты мошенникам

Если с карты все-таки сняли деньги мошенники, первое, что вам нужно сделать — заблокировать ее. Далее необходимо написать заявление в банк о несогласии с последними операциями. Если сделать это в первые часы, то шансы на возврат увеличатся. Также необходимо написать заявление в полицию.

Вернет ли банк деньги, украденные с карты, зависит от того, как именно они были украдены. Если вы сами передали информацию третьим лицам, то вероятность крайне мала — в договоре на обслуживание прописано, что кредитная организация в таких случаях ответственности не несет. Вам остается только попробовать решить вопрос через суд и доказать, что вас ввели в заблуждение, например, позвонив с официального номера банка.

Справка: по информации с сайта ЦБ банки возместили за 2019 год 935 млн рублей — 15%, или каждый 7-й похищенный рубль.

Как обезопасить себя

Чтобы не нарваться на мошенников, придерживайтесь нескольких правил:

1. Никому не называйте данные карты, особенно если звонят из банка — у настоящих сотрудников вся необходимая информация и так есть.
2. Не отправляйте деньги незнакомым. Если в долг просят друзья, убедитесь, что это действительно они.
3. Злоумышленники могут управлять деньгами на вашей карте через мобильный банк, если получат доступ к телефону, который к ней привязан. Поэтому при смене сим-карты или утери телефона, обязательно отключайте мобильный банк от старого номера.
4. Для получения перевода вместо номера карты указывайте номер телефона, который к ней привязан.
5. Заведите виртуальную карту для покупок в интернете. Переводите на нее ровно ту сумму, которая необходима для оплаты.
6. Установите лимиты по всем картам.
7. Не скачивайте неизвестные приложения и не переходите по сомнительным ссылкам.
8. Подключите карту к услуге Secure Code.
9. Когда вводите пин-код в банкомате или на кассах, прикрывайте клавиатуру рукой — злоумышленники не смогут похитить средства с карты без пин-кода и СМС-подтверждения, если вы сами не переведете им эти деньги.

Если вводите персональные данные, например, логин и пароль от личного кабинета интернет-банка, убедитесь, что адрес сайта верный.

Хакеры и мошенники осваивают новые способы атаковать пользователей мобильного банкинга. Одни используют уязвимости банковских приложений. Другие — старую добрую социальную инженерию. К звонкам «службы безопасности» и просьбам вернуть переведенные «по ошибке» средства добавляются всё новые способы обмана. Насколько безопасны приложения банков, как защитить свой аккаунт, и можно ли вернуть деньги в случае их кражи, выясняли «Известия».

Слабое шифрование

Хотя на первый взгляд банковские приложения достаточно надежно защищены, багов в них всё равно достаточно. К ним, например, эксперты относят отсутствие проверки на получение прав привилегированного пользователя (root-прав) на самом устройстве, а также слабое шифрование данных при их передаче между сервером и устройством.

Как поясняет Александр Зубриков, руководитель направления информационной безопасности ITGLOBAL.COM, отсюда и популярность MitM-атак (когда злоумышленник тайно ретранслирует и при необходимости изменяет связь между двумя сторонами, которые считают, что непосредственно общаются друг с другом).

Успешный вход_2 Фото: ИЗВЕСТИЯ/Алексей Майшев Сервисный блок: банки внедрили новые системы защиты от кибермошенничества Однако главной проблемой остаются утечки персональной информации клиентов

Одна из уязвимостей, которую наиболее часто эксплуатируют хакеры, — хранение аутентификационных данных в коде приложения в открытом виде.

— Слабые места банковских приложений связаны с окружением на устройстве и интеграцией с технологией Deep-links. Данная технология позволяет определить, как открывать ссылку: в браузере или приложении. Эксплуатация Deep-links со стороны хакеров позволяет им производить не предусмотренные приложением запросы и проникать в его защищенный контур, — поясняет Тимурбулат Султангалиев, директор практики информационной безопасности компании AT Consulting (входит в Лигу цифровой экономики).

Распространенная уязвимость на стороне банка — отсутствие строгой валидации запросов от мобильного приложения к серверам банка. В итоге злоумышленники могут установить фальшивый сертификат на устройство клиента и подделать в запросе счет получателя перевода, таким образом получая доступ к денежным средствам клиентов.

Успешный вход_4 Фото: Depositphotos Сберегательный ход: пенсионерам могут дать возможность отключать переводы по картам Это позволит в несколько раз снизить количество мошеннических операций, считают в ОНФ

При этом, если отсутствует строгий запрет на сторонние сертификаты или их валидация, банк сочтет запрос легитимным и отправит деньги клиента мошенникам, поясняет руководитель службы информационной безопасности Servicepipе Никита Прохоренко. По его словам, чаще всего к взломам приводит отсутствие политики полного недоверия, когда устройство должно «доказать», что имеет права на такого рода запросы, и то, что запрос действительно отправлен клиентским приложением.

Аутентификация пользователя

Вопросы у специалистов по-прежнему вызывает и система верификации пользователя при входе в приложения. К основным рискам мобильных банковских приложений они относят незащищенную операционную систему и отсутствие двухфакторной аутентификации (отдельного ПИН-кода для запуска).

Как поясняет Евгений Суханов, директор департамента информационной безопасности компании Oberon, в открытых операционных системах Android есть возможность вносить изменения в мобильное приложение либо перехватить его соединение с банком вредоносным ПО. Оно впоследствии сможет осуществлять платежи через зараженное приложение, включая отправку подтверждающих СМС.

Успешный вход_3 Фото: ИЗВЕСТИЯ/Михаил Терещенко Пин-код в мешке: каждый второй россиянин столкнулся с мошенничеством Чаще всего в 2020 году для обмана в финансовой сфере эксплуатировалась тема коронавируса

Вообще, верификация платежей и самого пользователя, по мнению многих экспертов, — наиболее уязвимое место банковских приложений, даже при наличии двухфакторной идентификации через СМС. Как отмечает Павел Катков, владелец IT-legal компании «Катков и партнеры», СМС-сообщение, как правило, приходит на тот же телефон, на котором стоит взламываемое банковское приложение.

Более надежной специалисты считают двухфакторную аутентификацию с использованием разных устройств: когда мобильное приложение установлено на одно устройство (телефон, планшет), а подтверждение об операции приходит на другое устройство.

Пароли и сторонние приложения

Впрочем, взлом приложений для обмана клиентов кредитных организаций используется всё же не так часто — на первый план выходит по-прежнему социальная инженерия. Львиная доля мошенничеств реализуется при помощи получения кодов и паролей.

— Большинство взломов происходит, когда мошенники связываются с потенциальной жертвой под видом службы безопасности банка, под видом сотрудников банка и получают СМС-код, номер карты и защитный код, — указывает Роман Хорошев, основатель краудлендинговой платформы «Джетленд».

Нередко злоумышленники (используя, например, всё тот же звонок «из службы безопасности банка»), убеждают жертв установить на устройство специальное ПО, позволяющее «расшарить» происходящее на экране смартфона, например, TeamViewer или AnyDesk.

Успешный вход_1 Фото: Depositphotos Путевые звоночки: зафиксирована новая схема обмана клиента с поездкой в банк С владельцем счета взаимодействуют сразу три подставных сотрудника кредитной организации

— После установки программы мошенники могут проводить операции от имени клиента, напрямую подключившись к его устройству. Отличить действия мошенника, выдающего себя за реального клиента, становится сложно, но по-прежнему возможно — например, используя поведенческий анализ, — отмечает Дмитрий Стуров, исполнительный директор, начальник управления информационной безопасности банка «Ренессанс Кредит».

Как рассказал Юрий Орлов, директор по информационной безопасности QBF, доля операций, так или иначе связанных с социальной инженерией, в 2020 году составила 64% от общего числа случаев мошенничества. Вырос и средний чек подобных «транзакций» — с 7,6 тыс. до 8,6 тыс. рублей. В большинстве случаев пользователи добровольно предоставляют свои данные третьим лицам.

Что делать

Чтобы минимизировать риск, эксперты советуют следовать базовым правилам, главное из которых — никогда не сообщать персональную и личную информацию звонящим из «колл-центров» и всегда перезванивать в сам банк. Не стоит хранить критичные данные (финансовую информацию, аутентификационные и персональные данные) непосредственно на мобильном устройстве. Не надо использовать слишком простые и повторяющиеся пароли.

Наличные нужды: банковскую тайну стали чаще применять для кражи денег На удалённой работе сотрудники финорганизаций не только продают персональные данные в DarkNet, но и сами недобросовестно используют их

Рискованным эксперты считают и повышение уровня привилегий в ОС устройства: установку джейлбрейка в iOS или root-прав для Android. И рекомендуют внимательно следить за тем, какому приложению открывается доступ к данным, и к каким именно.

Стоит помнить и том, что если деньги украдены по вине пользователя или по его оплошности (как и происходит чаще всего), то банк вряд ли вернет средства. Так, по закону банк обязан вернуть деньги, если клиент уведомил о подозрительной операции в течение суток с момента ее совершения. Но при этом он не должен нарушить правила безопасности — в частности, не сообщать никому данные карты и пароли.

— В арсенале банков сегодня большой комплекс средств и механизмов защиты от кибермошенников, но банки не могут отвечать за то, какое ПО загружает на свой телефон или другое устройство клиент, или как-то это контролировать, — указывает директор департамента информационной безопасности МКБ Вячеслав Касимов.

Читайте также Реклама