В нашей стране (и в мире) ежедневно совершаются сотни случаев, когда мошенники снимают деньги с банковских карт. Россия - на 1-ом месте в мире по количеству кибератак, входит в пятерку стран по фишинговым атакам после Бразилии, Индии, Китая и Казахстана и в тройке стран по количеству атак на смартфоны, на которых подключен интернет-банк.

Банки постоянно совершенствуют способы защиты карт, а нечистые на руку люди находят всё новые способы мошенничества. В принципе, все та же старая история, что с вирусами и антивирусами. Новые вирусы всегда появляются раньше. А в случае с «гениальными» вирусами обычно нужно время прежде, чем разработчики антивирусов «поймут», как им можно эффективно противостоять, внесут исправления в свои антивирусы и разошлют пользователям эти обновления.

Чтобы не попасться на недобрые умыслы злоумышленников и сохранить свои честно заработанные деньги на банковской карте, следует знать, какие бывают виды мошенничества и на что следует обращать внимание, пользуясь картой.

1 Скимминг

Под скиммингом подразумевается установка на банкоматы специальных нелегальных устройств, которые считывают с магнитной полосы пластиковой карты всю информацию о ней и считывают вводимый вами ПИН-код.

Подобные внештатные устройства (скиммеры) встраиваются в банкоматы, идеально повторяя его детали. Они могут быть в виде картоприёмника, клавиатуры, миниатюрной видеокамеры над клавиатурой, часто используют накладки на контрольный считыватель у входа в зону самообслуживания.

Чтобы обезопасить себя и свои денежные средства от махинаций при помощи скиммеров, важно соблюдать несколько простых правил.

  • Во-первых, не стоит вставлять карту в банкомат, на котором имеются шатающиеся, неплотно закреплённые детали, щели, следы клея, непонятные наклейки и т. д.
  • Во-вторых, при вводе ПИН-кода важно обязательно прикрывать клавиатуру рукой.
  • Желательно пользоваться банкоматами, установленными непосредственно в банках.

2 Фишинг

Фишинг произошло от английского phishing, от fishing — рыбная ловля, выуживание. Другими словами, фишинг означает, что пользователю дают приманку-наживку. Если он ее «проглотит», то попадет на удочку мошенников.

Фишинг представляет собой такой вид мошенничества, при котором злоумышленник посредством распространения вредоносного программного обеспечения, направляющего пользователя карты на фишинговый сайт вместо официального сайта банка, узнаёт ПИН-код карты, логин и пароль от личного кабинета.

Распространены фишинговые сайты банков, интернет-магазинов, электронных платежных систем и других раскрученных интернет-сервисов.

Помимо фишинговых страниц в интернете используются такие приёмы, как звонки на телефон, отправка СМС и писем на электронный ящик, якобы от имени сотрудников банка. Кстати, использование известного имени банка (с почти незаметной модификацией) составляет 70% финансового фишинга.

В ходе общения мошенники, пользуясь растерянностью владельца карты, «выпытывают» необходимую им информацию по карте.

Основные виды фишинга следующие:

  • Почтовый
  • Комбинированный
  • Онлайн-фишинг
  • Фарминг

Почтовый фишинг означает получение поддельных, фишинговых писем якобы от вашего банка, а также включает распространение троянских и других нехороших программ.

Из личной практики могу сказать, что почтовый фишинг бывает связан не только с электронной почтой. Недавно в почтовый ящик опустили квитанцию для оплаты ЖКХ (точнее, оплата кап.ремонта), которую сложно отличить от настоящей.

Комбинированный фишинг означает комбинацию разных видов фишинга. Например, присылают смс-ку (sms-фишинг), в которой предлагают позвонить по номеру телефона (голосовой фишинг - вишинг), либо в смс-ке просят пройти на фишинговый сайт.

Онлайн-фишинг предполагает привлечение ничего не подозревающего пользователя на поддельную страницу онлайн-банкинга. Как я уже упоминала выше, сегодня мошенники свои усилия преимущественно направляют на атаку мобильного интернет-банкинга. Соответствующее приложение для онлайн-банкинга пользователи скачивают и устанавливают на своих смартфонах. Мошенники-хакеры считают «делом чести» найти уязвимости в этих приложениях, чтобы проникнуть в банкинг и похитить денежные средства.

Никто не спорит, что мобильный интернет-банкинг – вещь удобная. Однако за 2014 г. было похищено более 1 млрд. рублей при несанкционированных операциях с платежными картами при использовании смартфонов и интернет-устройств.

Фарминг

Фишинговый сайт с первого взгляда сложно отличить от настоящего сайта, разницы практически не видно как в дизайне сайта, так и в названии банка, а точнее, в имени домена, который мы видим в адресной строке браузера. Например, возьмем домен sberbank.ru. Согласитесь, что не каждый пользователь насторожится, если увидит в адресной строке браузера другой домен: cberbank.ru или sberbank .ru (с пробелом перед точкой) и т.п.

Многие пользователи могут спросить: а почему не блокируют фишинг-сайты? Ответ заключен в продолжительности жизни фишинг-сайта – максимум сутки. Если фишинг-сайт проживет дольше, то появляется возможность вычислить мошенника, который заходит на сайт для того, чтобы получить информацию чужих о логинах и паролях. А на блокировку фишинг-сайта нужна минимум неделя.

SMS фишинг

Рассмотрим SMS-фишинг на конкретном примере. На мобильный телефон пришла SMS-ка примерно с таким текстом: «Ваша карта заблокирована. Обратитесь в банк для разблокировки по тел. 8 800 …..».

Если позвонить по указанному номеру, то с Вами будет проделана тщательная психологическая работа с целью получить доступ к вашей почте или (чего тянуть?) сразу к данным банковской карты.

Достаточно знать 3 номера (16-значный номер карты, 3-значный CVC-код и 4-значный срок действия карты), чтобы оплатить по банковской карте в Интернете любую покупку.

Прежде чем сразу звонить по номеру, указанному в SMS-сообщении, стоит ввести в поисковик (Яндекс или Гугл) этот номер и посмотреть, является ли этот номер действительно номером банка или банально номером мошенников. Зачастую поисковик сразу выдает в поисковой выдаче, что «номер такой-то — это мошенники».

Помимо поисковика, можно зайти на официальный сайт своего банка, найти страницу «Контакты» и позвонить на горячую линию банка, чтобы выяснить, отправлял ли Вам банк какое-либо SMS-сообщение.

сбербанк фишинг

Рис. 1. Главная страница официального сайта Сбербанка

Телефон банка также можно найти на обратной стороне банковской карточки.

Во избежание хищения денег таким способом, ни при каком условии не следует называть реквизиты карты (16-значный номер карты, 3-значный CVC-код и 4-значный срок действия карты) по телефону. Не нужно перезванивать на телефонные номера, полученные по почте либо через СМС, а также заходить на страницы онлайн-банка и личного кабинета, используя ссылки, указанные в таких сообщениях.

3 заблуждения

  1. Некоторые пользователи считают, что работа в режиме инкогнито надежно защищает от фишинга. На самом деле, он никого не защищает.
  2. Второе заблуждение состоит в том, что фишингом занимаются школьники и еще, может быть, некоторые программисты. Фишингом занимается организованная преступность (зачастую межрегиональная преступность), это криминальный бизнес.
  3. Зачастую школьники более серьезно и ответственно подходят к вопросу безопасности, чем их родители. Здесь уместно вспомнить поговорку «устами младенца глаголит истина».

Какая разница между http и http s?

Вроде бы, ответ «простой»: в «https» есть буква «s», а в «http» она отсутствует.

Если серьезно, то протокол «https» означает защищенное соединение, при котором данные пользователя передаются в зашифрованном виде. Защищенный протокол должен использоваться на сайтах, где есть прием платежей, передача личных данных пользователя. Протокол появился сравнительно недавно.

Протокол «http» — это НЕ защищенное соединение. Он существует давно.

Все уважающие себя банки работают по протоколу «https». Ниже на рис. 2 приведена адресная строка браузера, в которой видно, как выглядит соединение со Сбербанком. Обратите внимание, что есть зеленый замок – верный признак защищенного https-соединения:

защищенное соединение

Рис. 2. Защищенное соединение сайта Сбербанка Онлайн в адресной строке браузера

На рис. 3 приведено защищенное https-соединение другого банка. Как видно, в начале адресной строки браузера стоит зеленый замок – обращайте на него внимание при работе со своим онлайн-банком.

защищенное соединение банка

Рис. 3. Защищенное соединение с Юникредит банком в адресной строке браузера

3 Махинации с банковской картой в интернете

Оплачивая покупки в интернете, имеется большая вероятность нарваться на сайт с вредоносным кодом, установленным мошенниками. Это могут быть сайты известнейших компаний, владельцы которых и не догадываются, что в их сервис внедрён вредоносный код. «Засветив» свою карту на подобном сайте, Вы предоставляете злоумышленникам отличную возможность в дальнейшем самостоятельно осуществлять покупки, расплачиваясь вашими средствами.

Обезопасить себя от такого вида мошенничества просто – не стоит расплачиваться своей постоянной картой, делая покупки в интернете. Для этого можно завести отдельную карту и класть на счёт только сумму, необходимую для покупки. Или же пользоваться сервисами электронных денег типа Яндекс Деньги и Webmoney.

Банковская карта может быть привязана к обычному банковскому счету. Однако в том же банке можно завести и другие банковские счета, к которым НЕ будет привязана карточка.

Можно в банке получить виртуальную банковскую карту, которая пригодна только для оплаты в Интернете.

4 Недобросовестный обслуживающий персонал

Нередки случаи, когда с банковской карты волшебным образом пропадают все деньги после посещения магазина, кафе, ресторана, АЗС и прочих заведений. Дело в том, что некоторые недобросовестные сотрудники содействуют с мошенниками или сами таковыми являются.

Оставаясь с вашей картой один на один, они переписывают её данные либо считывают информацию через скиммеры, описанные выше. Поэтому не следует отдавать свою банковскую карту посторонним лицам. Все операции должны проводиться на ваших глазах. При этом стоит внимательно проследить, чтобы карта не вставлялась в подозрительные устройства.

Можно подключить SMS-информирование, когда при каждой операции с картой на мобильный телефон приходит смс-сообщение о снятии или поступлении денег. Например, для карточки Сбербанка Maestro услуга SMS-информирования по всем операциям с картой стоит 30 рублей в месяц, а для карточки Classic – 60 рублей в месяц.

К сожалению, ещё не найдено стопроцентной защиты банковской карты от проделок мошенников. Злоумышленники с каждым днём изобретают всё новые способы, как обобрать честный народ. Поэтому

безопаснее всего держать крупные суммы денежных средств на банковских счетах, к которым не привязаны пластиковые карточки.

При использовании онлайн-банкинга ВАЖНО:

  1. Определить безопасность сайта для ввода своих данных (правильное, без изменений название банка в адресной строке браузера (домен сайта);
  2. Проверить наличие https-соединения – должен быть зеленый замок в адресной строке браузера;
  3. Пароль (он должен быть хорошим, а еще лучше – сложным) к онлайн-банкингу нужно менять НЕ реже 1 раза в течение полугода;
  4. Желательно подключить sms-оповещение для входа в онлайн-банкинг, а также для подтверждения оплаты чего-либо через онлайн-банк.

5 Если мошенники знают номер банковской карты

Такую карту следует немедленно заблокировать. И тут может идти счет на минуты. Чем быстрее успеете заблокировать, тем мошенники меньше денег успеют снять.

Сейчас есть закон, что если в банк сообщить о том, что мошенники сняли деньги с карты в течение 24 часов после того, как это произошло, тогда банк возвращает деньги на карточку.

Заблокировать банковскую карту можно:

  • Если позвонить оператору банка.
  • Функция блокировки карты есть во многих интернет-банках. Иногда бывает проще самостоятельно заблокировать банковскую карту, чем дозвониться до банка.

Такой банковской картой, платежные реквизиты которой известен мошенникам, нельзя больше пользоваться, надо в банке заказать новую карту.

Источник