Банковские карты используются в нашей стране все шире. Здесь играет роль не только принудительный перевод всех предприятий и организаций на перечисление заработной платы работникам в электронном виде, но и широкое распространение банками кредитных карт среди населения.
Правда, после прошлогодней атаки антимонопольного комитета на основных организаторов высокорисковых потребительских экспресс-кредитов, в которых реальные процентные ставки ловко маскировались, и которые заёмщик мог получить прямо в магазине, акценты поменялись. На смену приходят «револьверные» (с возобновляемой кредитной линией) банковские карты.
Есть уже карты с совмещением функций «электронного кошелька» и банковского вклада, т. е. на содержимое карты начисляются проценты, сравнимые с процентами по вкладу. Кроме простых дебетовых и кредитных карт шире распространяются и элитные международные карты, позволяющие пользоваться этим удобным инструментом в разных странах мира. Но язык не поворачивается сказать «и безопасным инструментом», поскольку здесь мы обсуждаем именно слабые места в использовании банковских карт. И безопасность их находится под большим вопросом, поскольку одновременно с бурным ростом использования «пластика» населением растет и число случаев мошеннических операций с ним.
А если учесть тот факт, что именно граждане России во всех странах мира традиционно считаются самыми изобретательными и находчивыми, можно себе представить, во сколько раз больше различных приемов мошенничества могут придумать преступные элементы в нашей стране. Проблема эта становится уже настолько серьезной, что Центробанк России даже выпустил специальное письмо №197-Т, адресованное как кредитным организациям, а также пользователям их услуг, в котором говорится о рисках при дистанционном банковском обслуживании (ДБО).
Под дистанционным банковским обслуживанием в широком смысле понимается «телебанкинг» или проведение банковских операций на основании распоряжений, передаваемых клиентом удаленным образом (т. е. без его визита в банк). Платежные пластиковые карточки теоретически тоже могут рассматриваться как особый случай «телебанкинга», однако в банковской сфере под термином ДБО понимают дистанционную работу клиента со своим счетом, отделяя этот термин от других операций: снятие денег со своего счета, оплата услуг с помощью карты.
Рекомендации по защите своей банковской карты от незаконного ее использования мошенниками, приводимые в данном письме, можно целиком перенести и на использование простых платежных карт. Ряд мошеннических приемов незаконного использования вашей банковской карты, описанных в рекомендациях Центробанка, также относится практически ко всем видам банковских карт.
Банк России сообщил в своем письме, что в последнее время в российском сегменте сети Интернет участились сетевые атаки на сайты и серверы кредитных организаций. Есть и попытки неправомерного получения персональной информации пользователей систем ДБО: пароли, секретные ключи средств шифрования и аналогов собственноручной подписи, ПИН-коды и номера банковских карт, а также персональные данные их владельца.
Наиболее распространенными методами нарушения нормального функционирования систем ДБО называются распределенные интернет-атаки типа «отказ в обслуживании», при которых «большое количество компьютеров (от нескольких сотен до сотен тысяч), программное обеспечение которых предварительно специальным образом дистанционно модифицируется лицами, предпринимающими попытки неправомерного получения персональной информации пользователей систем ДБО, по команде указанных лиц начинают одновременно направлять массовые запросы на атакуемый ресурс, серьезно нарушая либо полностью блокируя его работу. При этом владелец ресурса, как правило, не может самостоятельно, без помощи провайдера Интернета, восстановить работоспособность ресурса. Продолжительность атак может составлять несколько суток, в течение которых оказывается невозможным ДБО множества клиентов кредитной организации, что может нанести прямой ущерб этой организации и ее клиентам».
Банк России в связи с этим рекомендовал банкам учитывать возможность возникновения таких нештатных ситуаций и включать в договоры с провайдерами обязательства по принятию мер, направленных на оперативное восстановление функционирования ресурсов, а также ответственности за несвоевременное исполнение своих обязательств.
Эту информацию нам с вами тоже неплохо запомнить, чтобы понять, почему порой интернет-ресурсы кредитных организаций перестают работать в самый неподходящий момент. Получается, что в таких ситуациях клиент и банк находятся «по одну сторону баррикад» и страдают от таких вынужденных сбоев в работе одновременно.
В письме Центробанка раскрываются и наиболее часто встречающиеся методы неправомерного получения персональной информации о клиентах банков, пользующихся системой ДБО, с целью кражи их денежных средств.
Одним из таких методов называется рассылка по электронной почте сообщений, в которых под какими-либо предлогами (техническое перевооружение организации, обновление или сверка баз данных кредитной организации и т. п.) предлагается ввести с клавиатуры компьютера указанные коды в поля экранных форм.
При этом имитируются сеансы информационного взаимодействия с кредитной организацией, например, через созданный дубликат ее web-сайта. Одновременно на компьютер клиента с сайта могут передаваться специальные вредоносные программы, являющиеся «закладками» и выполняющими в фоновом режиме на компьютере клиента скрытые функции, связанные с неправомерным получением персональной информации клиента.
Британская Ассоциация систем клиринговых платежей (Association for Payment Clearing Services), опубликовавшая информацию о наиболее распространённых видах «карточного» мошенничества на Западе, называет такой способ «фишинг» («рыбная ловля»).
Пример подобного сообщения пользователям Интернета приводит сайт «Банк-клиент.ру» (www.bank-klient.ru): «Здравствуйте, к сожалению, в виду того, что некоторые базы данных были взломаны хакерами, Visa установила новую систему безопасности. Вам следует проверить ваш остаток, и в случае обнаружения подозрительных транзакций обратиться в ваш банк-эмитент. Если вы не обнаружите подозрительных транзакций, это не означает, что данные карты не потеряны и не могут быть использованы. Возможно, ваш банк-эмитент еще не обновил информацию. Поэтому мы настоятельно рекомендуем вам посетить наш сайт и обновить ваши данные, иначе мы не сможем гарантировать вам возврат украденных денежных средств. Спасибо за внимание. Нажмите сюда для обновления ваших данных».
Еще одним методом незаконного получения реквизитов банковских карт, описанным в письме ЦБ, называются мошенничества во время проведении клиентом операций через банкоматы. При этом используются накладные устройства на клавиатуру для ввода ПИН-кода или на устройство для приема карт в банкомат, а также специально приспособленные для этих целей «фальшивые» банкоматы, которые незаконно устанавливаются, как правило, в не контролируемых банками местах и внешне не отличаются от реальных банкоматов.
Полученные таким образом банковские реквизиты клиентов – держателей банковских карт используются для изготовления поддельных банковских карт, частично (так называемый «белый пластик») или полностью имитирующих подлинные. При использовании в банкоматах поддельные банковские карты предоставляют их обладателям все возможности подлинных карт.
Британская Ассоциация систем клиринговых платежей классифицирует эти действия как «скимминг» (от англ. to skim – снимать, просматривать). Однако Центробанк не упомянул о другом высокотехнологическом способе снятия информации о карте. Продвинутые западные мошенники устанавливают в непосредственной близости от банкоматов миниатюрные видеокамеры, следящие за движением рук клиентов. Такое видеооборудование находится сейчас в свободной продаже. Приобрести мини-камеры, стоимостью порядка четырёхсот долларов США, предлагают даже по электронной почте.
Упоминаются в письме ЦБ и различные виды телефонного мошенничества. В частности, направление мошенниками на мобильные телефоны клиентов банков SMS-сообщений о необходимости позвонить по подложным номерам телефонов, которые в действительности не принадлежат банкам.
Другой способ – это звонки клиентам с сообщением автоинформаторов о предоставлении продуктов и услуг банка с предложением нажать определенные клавиши на телефоне для подтверждения согласия в их приобретении и т. п. Тем самым клиенты банка провоцируются к вступлению в контакты с мошенниками, целью которых является получение конфиденциальной клиентской информации: номера банковской карты и ПИН-кода.
И это далеко не все виды мошенничества. По данным того же ресурса «Банк-клиент.ру», в сети Интернет данные о «пластиковых» картах воруют и продают данные целыми базами! Например, наш соотечественник, хакер Максим Иваньков (никнейм «Максус»), похитил базу кредитных карт в 300 тысяч штук в американском Интернет-магазине CD Universe, оценил находку в $100 тысяч и безрезультатно пытался получить за неё выкуп.
Также распространен на Западе и самый неприятный вид мошеннических операций с банковскими картами – «дружественное мошенничество», когда коллега по работе, близкий друг или даже член семьи, имея доступ к месту хранения пластиковой карты и ПИН-коду, использует её в своих целях без ведома владельца.
У нас в стране уже довольно частым стал способ использования чужих банковских карт, которые некоторые розничные банки рассылают своим клиентам по почте. Письмо с картой либо падает в ящик, но до адресата не доходит, либо «оседает» ещё в почтовом отделении или в офисе банка-посредника таких услуг.
Буквально неделю назад сообщалось, что в Калмыкии завершено расследование уголовного дела о мошенничестве с использованием банковских карт. Эксперт-криминалист республиканского МВД Омадыков и предприниматель Воронцов создали организованную группу. Сценарий был один: из отделений почтовой связи Элисты похищались кредитные карты, выпущенные банком «Русский Стандарт» и адресованные клиентам банка, затем через справочно-информационный центр банка указанные карты активировались, а имеющиеся на них денежные средства обналичивались через банкоматы. Всего за период преступной деятельности группы подобным образом было похищено 455 тысяч рублей.
На Украине дело дошло до того, что работники банка оформляли кредиты по своей клиентской базе. В Винницкой области руководитель отделения банка, главный бухгалтер и банковский оператор, имея доступ к соответствующей информации о клиентах, с использованием компьютерной техники оформляли на них кредиты от 2500 до 4000 гривен. Общая сумма ущерба составляет 44600 гривен. Умножим цифру на 5 и получим примерную сумму в рублях. Мошенничество вскрылось, когда в МВД пошли массовые жалобы от жителей городка Хмельник на сообщения о неуплаченных кредитах, которые они на самом деле не оформляли.
Данные магнитной полосы вашей банковской карты могут быть украдены и официантом в ресторане, когда вы расплачиваетесь по счёту, в парикмахерской, в салоне – да где угодно. Такой способ распространен в так называемых «странах повышенного риска». Банк «ВТБ 24» относит к списку таких стран Украину, Афганистан, Пакистан, Кубу, Мексику, Албанию, Андорру.
Интересные данные по нашей стране привел журнал «Профиль» со ссылкой на ГУБЭП МВД РФ: на долю Петербурга приходится 85% всех преступных транзакций, 13% – на Москву, а оставшиеся 2% – на остальные регионы России.
Банк России настоятельно рекомендует в своем документе всем российским банкам довести эту предупреждающую информацию до своих клиентов, в том числе и с использованием своих сайтов. Надо сказать, что немногие банки выполнили этот добрый совет ЦБ, мотивируя тем, что систему ДБО они еще не внедрили, а держателей банковских карт они информируют о мерах безопасности при выдаче карты. Хотя лишнее напоминание клиентам о возможности мошенничества с их картами в этом случае вовсе не было бы лишним.
В письме приводятся разработанные Центробанком РФ конкретные рекомендации о мерах предосторожности для клиентов, использующих систему ДБО и пользователей простых дебетовых банковских карт, которые мы приводим ниже:
исключить возможность неправомерного получения персональной информации пользователей систем ДБО (не передавать ее неуполномоченным лицам);
осуществлять банковские операции только с использованием банкоматов, установленных в безопасных местах (в государственных учреждениях, подразделениях банков, крупных торговых комплексах, гостиницах, аэропортах и т. п.);
не использовать банковские карты в организациях торговли и обслуживания, не вызывающих доверия;
при совершении операций с банковской картой без использования банкоматов не выпускать ее из поля зрения;
не пользоваться устройствами, которые требуют ввода ПИН-кода для доступа в помещение, где расположен банкомат;
не использовать ПИН-код при заказе товаров либо услуг по телефону/факсу или по Интернету;
при наличии возможности, предоставляемой банком, использовать реквизиты карты одноразового использования (так называемой «виртуальной карты») для осуществления оплаты товаров либо услуг через Интернет;
пользоваться услугой SMS-оповещения о проведенных операциях с применением ДБО (в случае возможности получения такой услуги);
осуществлять информационное взаимодействие с кредитной организацией только с использованием средств связи (мобильные и стационарные телефоны, факсы, интерактивные web-сайты/порталы, обычная и электронная почта и пр.), реквизиты которых оговорены в документах, получаемых непосредственно в кредитной организации.
Напомним и мы ряд практических рекомендаций, которые многие слышали, но не все им следуют:
Не храните ПИН-код в одном месте с картой. Тем более не пишите его на самой карте.
Заранее запишите телефоны службы безопасности вашего банка и держите всегда под рукой, чтобы быстро блокировать ее при обнаружении утери или кражи, а также при подозрении, что ваша карта «засветилась» у мошенников.
При использовании банкомата или удаленного терминала прикрывайте рукой клавиатуру и обязательно заберите чек.
Не пользуйтесь отдельно стоящими или расположенными в темных и безлюдных местах банкоматами.
Сохраняйте все чеки до того момента, когда получите выписку по счету.
При передаче карты продавцу, официанту, служащему гостиницы ни на минуту не выпускайте карту из поля зрения, особенно за рубежом.
При необходимости проведения платежей в Интернете оформите специальную карту, предназначенную только для транзакций в сети.
Установите лимиты расходования средств на картах детей, родных и близких – это ограничит финансовые потери в случае мошенничества.
Так что, чем бдительнее вы будете со своей банковской картой, тем меньше вероятность денежных потерь. Недаром говорит народная мудрость: «Береженого – и бог бережет». Но и сами не плошайте.
'%20d='M12%2021.6a9.6%209.6%200%201%200%200-19.2%209.6%209.6%200%200%200%200%2019.2Z'/%3e%3cpath%20fill='url(%23b)'%20d='M11.814%2015.9s1.992-.006%202.676%201.578c.042.102.072.21.078.318.018.222-.138.45-.516.3-.606-.24-1.65-.36-2.238-.36-.588%200-1.626.12-2.238.36-.378.15-.534-.078-.516-.3a.989.989%200%200%201%20.078-.318c.69-1.584%202.676-1.578%202.676-1.578Z'/%3e%3cpath%20fill='url(%23c)'%20d='M8.868%2014.436c.51%200%20.924-.626.924-1.398%200-.772-.414-1.398-.924-1.398s-.924.626-.924%201.398c0%20.772.414%201.398.924%201.398Z'/%3e%3cpath%20fill='url(%23d)'%20d='M8.502%2012.534c.54%200%20.99.552%201.122%201.302.108-.228.168-.504.168-.804%200-.774-.414-1.398-.924-1.398-.444%200-.816.468-.906%201.098a.868.868%200%200%201%20.54-.198Z'/%3e%3cpath%20fill='url(%23e)'%20d='M7.878%209.63c-.828%200-1.536.954-.612%201.098.924.144%202.604.942%203.318%201.494.054.066.264.042.246-.12%200-.624-1.944-2.472-2.952-2.472Z'/%3e%3cpath%20fill='url(%23f)'%20d='M11.814%2016.422s1.62-.006%202.73%201.242a.675.675%200%200%200-.06-.186c-.684-1.584-2.676-1.578-2.676-1.578s-1.992-.006-2.676%201.578c-.024.06-.042.12-.06.186%201.122-1.248%202.742-1.242%202.742-1.242Z'/%3e%3cpath%20fill='url(%23g)'%20d='M15.132%2014.436c.51%200%20.924-.626.924-1.398%200-.772-.414-1.398-.924-1.398s-.924.626-.924%201.398c0%20.772.413%201.398.924%201.398Z'/%3e%3cpath%20fill='url(%23h)'%20d='M15.498%2012.534c-.54%200-.99.552-1.122%201.302a1.886%201.886%200%200%201-.168-.804c0-.774.414-1.398.924-1.398.444%200%20.816.468.906%201.098a.868.868%200%200%200-.54-.198Z'/%3e%3cpath%20fill='url(%23i)'%20d='M16.122%209.63c.828%200%201.536.954.612%201.098-.924.144-2.604.942-3.318%201.494-.054.066-.264.042-.246-.12%200-.624%201.944-2.472%202.952-2.472Z'/%3e%3cdefs%3e%3clinearGradient%20id='d'%20x1='8.877'%20x2='8.877'%20y1='12.064'%20y2='13.315'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20offset='.001'%20stop-color='%233C2200'/%3e%3cstop%20offset='1'%20stop-color='%23512D00'/%3e%3c/linearGradient%3e%3clinearGradient%20id='e'%20x1='8.83'%20x2='8.83'%20y1='12.955'%20y2='10.055'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20offset='.001'%20stop-color='%233C2200'/%3e%3cstop%20offset='1'%20stop-color='%23643800'/%3e%3c/linearGradient%3e%3clinearGradient%20id='f'%20x1='11.815'%20x2='11.815'%20y1='15.218'%20y2='16.729'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20offset='.001'%20stop-color='%233C2200'/%3e%3cstop%20offset='1'%20stop-color='%23512D00'/%3e%3c/linearGradient%3e%3clinearGradient%20id='h'%20x1='15.123'%20x2='15.123'%20y1='12.064'%20y2='13.315'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20offset='.001'%20stop-color='%233C2200'/%3e%3cstop%20offset='1'%20stop-color='%23512D00'/%3e%3c/linearGradient%3e%3clinearGradient%20id='i'%20x1='15.17'%20x2='15.17'%20y1='12.955'%20y2='10.055'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20offset='.001'%20stop-color='%233C2200'/%3e%3cstop%20offset='1'%20stop-color='%23643800'/%3e%3c/linearGradient%3e%3cradialGradient%20id='a'%20cx='0'%20cy='0'%20r='1'%20gradientTransform='matrix(8.4154%20-4.79967%203.92104%206.87487%209.836%208.178)'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20stop-color='%23FF9214'/%3e%3cstop%20offset='1'%20stop-color='%23FF4E0D'/%3e%3c/radialGradient%3e%3cradialGradient%20id='b'%20cx='0'%20cy='0'%20r='1'%20gradientTransform='matrix(2.10199%200%200%201.11973%2011.815%2017.023)'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20offset='.001'%20stop-color='%237A4400'/%3e%3cstop%20offset='1'%20stop-color='%23643800'/%3e%3c/radialGradient%3e%3cradialGradient%20id='c'%20cx='0'%20cy='0'%20r='1'%20gradientTransform='matrix(.3772%201.3029%20-.84296%20.24404%208.585%2013.07)'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20offset='.001'%20stop-color='%237A4400'/%3e%3cstop%20offset='1'%20stop-color='%23643800'/%3e%3c/radialGradient%3e%3cradialGradient%20id='g'%20cx='0'%20cy='0'%20r='1'%20gradientTransform='matrix(-.3772%201.3029%20-.84296%20-.24404%2015.441%2013.047)'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20offset='.001'%20stop-color='%237A4400'/%3e%3cstop%20offset='1'%20stop-color='%23643800'/%3e%3c/radialGradient%3e%3c/defs%3e%3c/svg%3e)
