Как не стать жертвой карточных мошенников

Сегодня использование платежных карт в Украине становится более популярным. Пенсии, зарплаты, стипендии, онлайн-платежи – это далеко не полный перечень направлений использования карт.

Но, также как растет число пользователей платежных карт, так и все больших оборотов в стране набирает карточное мошенничество. Украина отстает в развитии по многим параметрам, и, к счастью, по количеству взломов банковских систем, но, к сожалению, прогресс не стоит на месте, и внимание кардеров стало все чаще и чаще обращаться в нашу сторону.

Кто же такие «кардеры» и что им нужно от человека, который хоть раз держал в руках пластиковую карту? Если не вникать в глубину банковских технологий, то пластиковую карту условно можно разделить на три составляющие – текстовую информацию на карте (номер карты, срок действия, CVV2/CVC2 код), цифровую информацию на карте (содержимое магнитной полосы) и PIN-код – содержимое «в голове» пользователя. Именно эти данные и интересуют мошенников – имея их можно завладеть средствами, находящимися на карте. Как и для простого фальшивомонетчика стоит задача подделать купюру таким образом, что бы ее не отличил от настоящей продавец в магазине или сотрудник банка, так и перед кардером стоит задача предоставить электронной системе необходимые данные, которые она примет за «чистую монету». Но, в отличии от фальшивомонетчика, задача усложняется тем, что нельзя «подделать» цифровую информацию как банкноты и растиражировать её. Единственный способ – это красть реальные данные реальных пользователей, и выдавать себя за легальных держателей пластиковых карт.

Самый лакомый кусок пирога для кардера – это, конечно же, сами банки. Именно они хранят и обрабатывают все данные о своих пользователях, все номера кредиток и счетов. Однако эти базы данных надежно охраняются службой информационной безопасности, и многим не по зубам. И если же такие кражи случаются, то банк мгновенно реагирует на такие инциденты, предупреждает пользователей, и у злоумышленника просто не остается времени воспользоваться украденной информацией – все попытки будут заблокированы. Поскольку простой пользователь не имеет подобной службы безопасности, именно он и становится жертвой злоумышленника. Часто владельцы карт сами попадают на крючок мошенников из-за своей беспечности (некоторым сложно запомнить PIN-код, и они могут написать его прямо на карте, или же записать на бумажке и носить в сумке вместе с картой). Также возможно получение реквизитов карт злоумышленниками при помощи социальной инженерии, или различного вредоносного программного обеспечения.

Давайте рассмотрим, что сегодня может угрожать владельцам карт, по каким причинам украсть деньги достаточно просто, и, самое важное, - как можно обезопасить себя и не стать жертвой мошенников.

Карманники или открытая кража данных

Как бы вы не берегли свои карманы в транспорте, все равно бывают случаи, когда у Вас вытаскивают кошелек вместе с наличными и кредитными картами. Обычно в таких случаях их просто выбрасывают на ближайшей остановке, однако, если в кошельке или на самой карте обнаружится записанный PIN-код, незадачливый воришка может попробовать воспользоваться ближайшим банкоматом и снять деньги. Интересный способ предложил мой знакомый – он на обратной стороне карточки записал заведомо неправильный PIN-код. J Главное самому не забыть, и не начать вводить его.

 

Кроме того, Вы сами передаете карту в руки третьим лицам для необходимых операций. Это и кассиры в магазине, и официанты в ресторане, и даже нечистые на руку сотрудники банка. Кассир может установить скрытую камеру, а официант вообще забирает карточку с собой, и вы не увидите, если он перепишет реквизиты карты себе в блокнот или сфотографирует на телефон. Имея номер карты, срок действия и CVV/CVC2 код, ею можно расплачиваться по интернету за любые товары или переводить деньги на электронные кошельки.

Для борьбы с подобным видом мошенничества можно дать один совет: не передавайте свою карту незнакомым людям, при совершении покупок следите за действиями кассира/продавца. Старайтесь не выпускать из виду Вашу карту ни на секунду, если вашу карту хотят унести для расчета, то лучше пройдитесь к терминалу вместе с официантом. Также можно переписать CVV2/CVC2 код и хранить его отдельно от карты, а на карте заклеить или стереть его таким образом, чтобы его невозможно было прочесть.

В любом случае, если у вас есть какие либо подозрения, необходимо как можно скорее известить Ваш банк о данном факте, и заблокировать все похищенные карты. Если этого не сделать, оспорить финансовые операции потом будет очень сложно.

Скимминг

Как только появились первые банкоматы, так и появился скимминг. Данный вид мошенничества выглядит следующим образом: на щель картоприемника банкомата злоумышленники устанавливают специальную накладку, так называемый скиммер (на фото). Его задача – считать данные с электромагнитной полосы карточки. Его устанавливают на банкомат в «комплекте» с миниатюрной видеокамерой, или же с накладной клавиатурой. Цель – получение PIN-кода вашей карты.

После того, как будут получены данные с магнитной полосы, преступник может изготовить поддельную карту, так называемый «белый пластик», которую будет использовать, чтобы снимать наличные в банкомате. Все что нужно для банкомата для выдачи денег – PIN-код и магнитная полоса. Он не различает что написано и нарисованно на самой карте. Очень редко, но иногда могут изготовить карту с соответствующим графическим дизайном банка для расчетов в магазинах, в таком случае ни у продавца, ни у платежного терминала поддельная карта не вызовет никаких сомнений.

 

Также можно упомянуть еще один экзотический способ, при помощи которого злоумышленник может завладеть непосредственно вашими деньгами. На отсек выдачи денег в банкомате устанавливается накладка с клеем, когда шлюз открывается и выходят купюры, то они просто прилипают к клею в накладке. Вы подумаете, что операция не завершилась, заберете свою карту и уйдете. А следом за Вами к банкомату подойдет злоумышленник, снимет эту накладку и заберет деньги, которые к ней прилипли.

 

Скимминг – технология относительно дорогая и рискованная – оборудование для скимминга не на каждом углу продается, да и при установке и снятии злоумышленник рискует попасть в поле зрения камер видеонаблюдения. Однако есть еще более дорогой, но 100% эффективный способ скопировать данные с карты – это лже-банкоматы. Злоумышленники покупают списанный банкомат, ремонтируют его, придают товарный вид, и устанавливают в людном месте как самый обычный банкомат. Внешне он ничем не отличим – не видно ни накладки на клавиатуру, ни на щель картоприемника – весь банкомат является одним большим скиммером! Функционирует он так же как и обычный банкомат – запросит PIN-код, спросит сколько денег вы хотите снять, но потом выдаст ошибку что нет связи с банком, или произошел сбой. Вернет карточку, и вы пойдете искать другой банкомат. Но все данные будут уже у мошенников.

 

Советы: Чтобы не стать жертвой скиммеров, перед тем, как пользоваться банкоматом, обязательно проверьте его на наличие накладной клавиатуры и прочих посторонних деталей, обратите внимание на заставку на экране банкомата – часто на ней показывается фото, как должен выглядеть картоприемник. Так же можно рекомендовать прикрыть рукой клавиатуру, когда вы вводите ПИН-код, так злоумышленники не смогут увидеть, что вы вводите с клавиатуры. Разумеется, сотрудники банков регулярно проводят инкассацию банкоматов и осматривают его визуально, но они могут не успеть сделать это вовремя. Самый надежный способ – пользоваться банкоматами, установленными в помещении банка, или теми, адреса которых указаны на сайте банка. При регулярном снятии наличных, пользуйтесь одним и тем же банкоматом.

 

Фишинг

Название данного вида мошенничества пошло от английского fishing – «рыбная ловля», или «выуживание данных». Для платежный карт существует несколько разновидностей.

Самый простой из них, и не раз применявшийся за последнее время способ, — это получение необходимых данные путем обмана по телефону. Выглядит это примерно так: злоумышленник звонит на телефон владельца карты, представляется сотрудником банка, приносит извинение за сбой в компьютерной системе или за утерю данных (также может попросить подтвердить получение платежа), попросит клиента уточнить реквизиты его карточного счета. Не обязательно такое общение может происходить по телефону – используют и электронную почту, и социальные сети. На вашу почту приходит письмо от «банка» с просьбой уточнить реквизиты карты или предоставить другую конфиденциальную информацию. Выглядеть это письмо будет максимально реалистично, как будто это действительно ваш банк просит предоставить данную информацию.

Также вы можете получить письмо о том, что выиграли в лотерею или можете получить наследство от дальнего богатого родственника, и вам нужно предоставить реквизиты вашей карты, чтобы вы могли получить ваш «приз». Данный вид мошенничества относится к так называемым «нигерийским письмам», но цель несет одну – получить ваши деньги.

 

 

Поддельные сайты

Для того, чтобы получать данные о картах, злоумышленники могут создавать специальные поддельные фишинговые сайты. Обычно «подделывают» сайты популярных банков, интернет-магазины, которые уже пользуются доверием, однако доменное имя будет отличаться на одну-две буквы от известных порталов. Такой сайт будет внешне выглядеть как настоящий, и вам будет предложено ввести реквизиты платежной карты для совершения покупки или другой операции. Но, фактически вы ничего не получите, а только передадите данные о своей карте мошенникам. Более качественные фишинговые сайты состоят из двух частей – основная «картинка» загружается с настоящего сайта, и поэтому неотличима от оригинала. И только поля ввода информации принадлежат мошенникам.

Чтобы избежать подобных угроз, внимательно проверяйте URL (адрес) сайта, на котором совершаете покупки. Совершать оплаты можно только на тех страницах, которые используют защищенное соединение - протокол https. И даже несмотря на наличие https протокола все равно рекомендуется нажать на иконку и проверить, к какому сайту вы подключились.

 

Обязательно узнайте в банке при открытии карты, поддерживает ли он защиту 3-D Secure – когда банк привязывает карту к номеру вашего мобильного телефона. Для совершения платежей в сети рекомендуем использовать только такие карты, или же использовать специальную виртуальную карту, которая предназначена только для online платежей. Также можно рекомендовать совершать платежи только на тех сайтах, которые тоже поддерживают 3-D Secure. На таких сайтах Вы не сможете просто ввести номер карты и заплатить. Сначала Вы получите на ваш мобильный (который вы указали банку) sms-сообщение с кодом подтверждения операции, и только после его введения будет совершена оплата. 3-D Secure является вашей страховкой, даже в тех случаях, когда мошенники каким-то образом украдут ваши деньги, банк обязан Вам их возместить.

Меры предосторожности: Никогда не сообщайте конфиденциальные данные вашего счета посторонним, даже если они представляются работниками вашего банка. Если же по какой-то причине это произошло, то Вам необходимо сразу поставить в известность банк, заблокировать, а затем перевыпустить карты.

Также необходимо отметить, что ни один сотрудник банка ни при каких обстоятельствах не будет спрашивать у вас PIN-код и код безопасности, который указан на обороте платежной карты (CVV2/CVC2). Оба кода являются Вашими конфиденциальными данными, которые запрещено сообщать как банку, так и третьим лицам.

 

 

Вирусы и спам-рассылки

Похитить реквизиты вашей карты злоумышленники могут также при помощи компьютерных вирусов. Для того, чтобы они получили ваши данные, вам нужно всего лишь совершить какую-то операцию с картой (пусть даже и на легальном сайте) на зараженном компьютере и вирус во время проведения платежа считает и отошлет своему автору всю банковскую информацию. Заражение может происходить через спам-рассылки, а также посещение зараженных сайтов. Обезопасить себя от такого рода угроз достаточно сложно. Специалисты рекомендую использовать надежное антивирусное ПО, регулярно обновлять базы и выполнять проверку компьютера. Но, стоит отметить, что даже такие меры не смогут дать 100% гарантии. Все зависит от мастерства автора вируса, сможет ли он создать такой вирус, который распознает далеко не каждый антивирус. Через спам-рассылку может приходить не только зловредный код, но и фишинговые письма от «представителя службы безопасности банка» с просьбой зайти на сайт и выполнить некоторые операции.

Меры предосторожности:

Обязательно использовать надежное антивирусное ПО, регулярно обновлять базы и проводить проверку компьютера.

Не открывать подозрительные письма, не переходить по ссылкам, даже если письмо получено от «вашего банка».
 

Атака через SMS банкинг

В последнее время аферисты стали более изобретательными, чем раньше и с успехом используют схемы обмана, которые основаны на использовании «дыр» в безопасности мобильных операторов и банка.

Жертвами такого вида мошенничества становятся люди, которые ведут активную жизнь в соцсетях, совершают продажи через различные доски объявлений, занимаются благотворительностью и часто используют для этого пластиковые карты.

Для того, чтобы получить доступ к вашему счету злоумышленнику понадобиться Ваш номер мобильного, который привязан к карте, а также номер карты. Номер карты вы можете указать в объявлении, например. Или же при совершении сделки сообщите его покупателю. Ну, а номер мобильного у вас всегда указан в том же объявлении.

А для того, чтобы злоумышленник мог «получить» Ваш номер мобильного, он будет играть на Ваших эмоциях и беспечности.

Схема получения SIM-карты с вашим номером может быть примерно такой:

Вам звонят по указанному в объявлении номеру телефона, который привязан к карте. «Покупатель» интересуется деталями сделки, просит номер карты для перевода денег, тут связь обрывается, вы перезваниваете, сообщаете номер карты и оговариваете детали сделки.

Потом еще кто-то звонит, или присылает СМС с вопросом о товаре и просьбой перезвонить, вы, естественно, вежливо отвечаете, что товар вроде как уже купили. И так несколько раз.

Может кто-то «ошибочно» пополнить вам счет на 5-10 грн, и прислать СМС с просьбой вернуть деньги, так как ошиблись. Как правило, вы их еще и вернете «ошибившемуся».

И Вы уже попались на удочку мошенников, так как для восстановления утерянной карты нужно не так уже и много. Например, предоставить одну из комбинаций: три номера, на которые осуществлялись исходящие звонки и их ориентировочная дата осуществления, и остаток средств на счете абонентского номера или три номера, на которые осуществлялись исходящие звонки и их ориентировочная дата осуществления, и один из последних переводов денежных средств с указанием даты, суммы и номера на который был осуществлен перевод средств.

А злоумышленник уже получил эти данные у Вас, позвонив 3 раза с разных номеров и вынудив Вас перезвонить ему. Да еще и счет Вам пополнил.

 

Далее мошенник пойдет в центр обслуживания абонентов, скажет, что потерял телефон, и ему без проблем выдадут «дубликат», а Вашу SIM-карту заблокируют. У каждого оператора есть процедура восстановления утраченной SIM карты, чем мошенники и пользуются. Если у вас не предоплаченный тариф, а контракт, то для восстановления понадобится предоставить паспорт. Это усложнит задачу, но не всегда.

А дальше, имея на руках вашу SIM-карту и номер пластика, можно многое…

Например, некоторые банки позволяют снятие денег без карты, для этого на номер, привязанный к карте, придет одноразовый СМС-код, которым нужно подтвердить операцию в банкомате и снять деньги. Также некоторые банки предоставляют услугу SMS-банкинга, который открывает перед мошенником огромное количество возможностей: можно при помощи СМС перевести определенную сумму на другой счет, пополнить телефон, запросить CVV2 код, запросить PIN-код карты, а также много других услуг, которые, несомненно, очень удобны. Но также несут дополнительные угрозы.

Что же можно предпринять:

1.       Завести несколько карточных счетов. На одном держите основные средства, а на втором оставляйте необходимый минимум, который используется для онлайн-платежей, продаж и покупок. Требуйте у банка выставить нулевой кредитный лимит на этой карте.

2.       Использовать для привязки к карте контрактный номер телефона, который нужно держать в секрете.

3.       Установить нулевой лимит на онлайн-платежи.

4.       Отключить услугу SMS-банкинга.

5.       Не сообщать посторонним код CVC/CVV2 и при расчете картой в магазине следить, что бы его не подсмотрел обслуживающий персонал. Как вариант, можно заклеить или стереть код, запомнив или записав его в другом месте.

7. В любом случае не терять бдительность, не разглашать личных данных посторонним (хотя, следует отметить, что номер мобильного и номер карты не являются конфиденциальными данными).

 

Общие советы или как не стать жертвой мошенников

•        Обязательно подпишитесь на услугу SMS-информирования, которая позволит получать уведомления о всех операциях по карте на номер телефона, который будет предназначен только для работы с банковской картой, не публикуйте его нигде и не используйте для других целей.

•        Не храните вместе карту и ее PIN-код.

•        Для расчетов в интернете закажите у банка специальную карту, на которую перебрасывайте только те суммы, которые необходимы для оплаты.

•        Никогда не сообщайте реквизиты карты посторонним: ни продавцам, ни даже банку, который выпустил вашу карту.

•        Меняйте PIN-код карты не реже раза в месяц.

•        Установите лимит на совершение платежей в интернете.

•        По возможности храните код CVV2/CVC2 отдельно, а на самой карте сделайте так, чтобы его невозможно было прочитать (например, заклейте), это не даст возможности завладеть данным кодом аферистам.

•        Заблокируйте возможность расчетов в интернете вашими картами. Сейчас некоторые банки не позволяют платить VIP-картами в интернете (Gold, Platinum, Premium).

•        Закажите себе карты не с магнитной полосой, а с чипом (обычно такая карта стоит дороже на 30–50 грн). До сих пор не известно случаев взлома или подделки такого чипа.

 

Немного статистики…

В течение последнего года количество случаев краж средств с банковских карт выросло больше, чем в три раза.

Только за последний год было зафиксировано порядка 250 случаев использования скиммеров (накладок на банкоматы).

В общем по Киеву зафиксировано случаев мошенничества на сумму примерно 14 млн.грн.