Что такое скимминг и фишинг

Компьютерная грамотность с Надеждой

Заполняем пробелы — расширяем горизонты!

Виды мошенничества с банковскими картами и в Интернете

Ах, обмануть меня не трудно.
Я сам обманываться рад!

В нашей стране (и в мире) ежедневно совершаются сотни случаев, когда мошенники снимают деньги с банковских карт. Россия — на 1-ом месте в мире по количеству кибератак, входит в пятерку стран по фишинговым атакам после Бразилии, Индии, Китая и Казахстана и в тройке стран по количеству атак на смартфоны, на которых подключен интернет-банк.

Банки постоянно совершенствуют способы защиты карт, а нечистые на руку люди находят всё новые способы мошенничества. В принципе, все та же старая история, что с вирусами и антивирусами. Новые вирусы всегда появляются раньше. А в случае с «гениальными» вирусами обычно нужно время прежде, чем разработчики антивирусов «поймут», как им можно эффективно противостоять, внесут исправления в свои антивирусы и разошлют пользователям эти обновления.

Чтобы не попасться на недобрые умыслы злоумышленников и сохранить свои честно заработанные деньги на банковской карте, следует знать, какие бывают виды мошенничества и на что следует обращать внимание, пользуясь картой.

1 Скимминг

Под скиммингом подразумевается установка на банкоматы специальных нелегальных устройств, которые считывают с магнитной полосы пластиковой карты всю информацию о ней и считывают вводимый вами ПИН-код.

Подобные внештатные устройства (скиммеры) встраиваются в банкоматы, идеально повторяя его детали. Они могут быть в виде картоприёмника, клавиатуры, миниатюрной видеокамеры над клавиатурой, часто используют накладки на контрольный считыватель у входа в зону самообслуживания.

Чтобы обезопасить себя и свои денежные средства от махинаций при помощи скиммеров, важно соблюдать несколько простых правил.

• Во-первых, не стоит вставлять карту в банкомат, на котором имеются шатающиеся, неплотно закреплённые детали, щели, следы клея, непонятные наклейки и т. д.
• Во-вторых, при вводе ПИН-кода важно обязательно прикрывать клавиатуру рукой.
• Желательно пользоваться банкоматами, установленными непосредственно в банках.

2 Фишинг

Фишинг произошло от английского phishing, от fishing — рыбная ловля, выуживание. Другими словами, фишинг означает, что пользователю дают приманку-наживку. Если он ее «проглотит», то попадет на удочку мошенников.

Фишинг представляет собой такой вид мошенничества, при котором злоумышленник посредством распространения вредоносного программного обеспечения, направляющего пользователя карты на фишинговый сайт вместо официального сайта банка, узнаёт ПИН-код карты, логин и пароль от личного кабинета.

Распространены фишинговые сайты банков, интернет-магазинов, электронных платежных систем и других раскрученных интернет-сервисов.

Помимо фишинговых страниц в интернете используются такие приёмы, как звонки на телефон, отправка СМС и писем на электронный ящик, якобы от имени сотрудников банка. Кстати, использование известного имени банка (с почти незаметной модификацией) составляет 70% финансового фишинга.

В ходе общения мошенники, пользуясь растерянностью владельца карты, «выпытывают» необходимую им информацию по карте.

Основные виды фишинга следующие:

• Почтовый
• Комбинированный
• Онлайн-фишинг
• Фарминг

Почтовый фишинг означает получение поддельных, фишинговых писем якобы от вашего банка, а также включает распространение троянских и других нехороших программ. Пример приведен в «Оде троянскому коню».

Из личной практики могу сказать, что почтовый фишинг бывает связан не только с электронной почтой. Недавно в почтовый ящик опустили квитанцию для оплаты ЖКХ (точнее, оплата кап.ремонта), которую сложно отличить от настоящей.

Комбинированный фишинг означает комбинацию разных видов фишинга. Например, присылают смс-ку (sms-фишинг), в которой предлагают позвонить по номеру телефона (голосовой фишинг — вишинг), либо в смс-ке просят пройти на фишинговый сайт.

Онлайн-фишинг предполагает привлечение ничего не подозревающего пользователя на поддельную страницу онлайн-банкинга. Как я уже упоминала выше, сегодня мошенники свои усилия преимущественно направляют на атаку мобильного интернет-банкинга. Соответствующее приложение для онлайн-банкинга пользователи скачивают и устанавливают на своих смартфонах. Мошенники-хакеры считают «делом чести» найти уязвимости в этих приложениях, чтобы проникнуть в банкинг и похитить денежные средства.

Никто не спорит, что мобильный интернет-банкинг – вещь удобная. Однако за 2014 г. было похищено более 1 млрд. рублей при несанкционированных операциях с платежными картами при использовании смартфонов и интернет-устройств.

Фарминг

Фишинговый сайт с первого взгляда сложно отличить от настоящего сайта, разницы практически не видно как в дизайне сайта, так и в названии банка, а точнее, в имени домена, который мы видим в адресной строке браузера. Например, возьмем домен sberbank.ru. Согласитесь, что не каждый пользователь насторожится, если увидит в адресной строке браузера другой домен: cberbank.ru или sberbank .ru (с пробелом перед точкой) и т.п.

Многие пользователи могут спросить: а почему не блокируют фишинг-сайты? Ответ заключен в продолжительности жизни фишинг-сайта – максимум сутки. Если фишинг-сайт проживет дольше, то появляется возможность вычислить мошенника, который заходит на сайт для того, чтобы получить информацию чужих о логинах и паролях. А на блокировку фишинг-сайта нужна минимум неделя.

SMS фишинг

Рассмотрим SMS-фишинг на конкретном примере. На мобильный телефон пришла SMS-ка примерно с таким текстом: «Ваша карта заблокирована. Обратитесь в банк для разблокировки по тел. 8 800 …..».

Если позвонить по указанному номеру, то с Вами будет проделана тщательная психологическая работа с целью получить доступ к вашей почте или (чего тянуть?) сразу к данным банковской карты.

Достаточно знать 3 номера (16-значный номер карты, 3-значный CVC-код и 4-значный срок действия карты), чтобы оплатить по банковской карте в Интернете любую покупку.

Прежде чем сразу звонить по номеру, указанному в SMS-сообщении, стоит ввести в поисковик (Яндекс или Гугл) этот номер и посмотреть, является ли этот номер действительно номером банка или банально номером мошенников. Зачастую поисковик сразу выдает в поисковой выдаче, что «номер такой-то — это мошенники».

Помимо поисковика, можно зайти на официальный сайт своего банка, найти страницу «Контакты» и позвонить на горячую линию банка, чтобы выяснить, отправлял ли Вам банк какое-либо SMS-сообщение.

Рис. 1. Главная страница официального сайта Сбербанка

Телефон банка также можно найти на обратной стороне банковской карточки.

Во избежание хищения денег таким способом, ни при каком условии не следует называть реквизиты карты (16-значный номер карты, 3-значный CVC-код и 4-значный срок действия карты) по телефону. Не нужно перезванивать на телефонные номера, полученные по почте либо через СМС, а также заходить на страницы онлайн-банка и личного кабинета, используя ссылки, указанные в таких сообщениях.

3 заблуждения

1. Некоторые пользователи считают, что работа в режиме инкогнито надежно защищает от фишинга. На самом деле, он никого не защищает.
2. Второе заблуждение состоит в том, что фишингом занимаются школьники и еще, может быть, некоторые программисты. Фишингом занимается организованная преступность (зачастую межрегиональная преступность), это криминальный бизнес.
3. Зачастую школьники более серьезно и ответственно подходят к вопросу безопасности, чем их родители. Здесь уместно вспомнить поговорку «устами младенца глаголит истина».

Какая разница между http и https?

Вроде бы, ответ «простой»: в «https» есть буква «s», а в «http» она отсутствует.

Если серьезно, то протокол «https» означает защищенное соединение, при котором данные пользователя передаются в зашифрованном виде. Защищенный протокол должен использоваться на сайтах, где есть прием платежей, передача личных данных пользователя. Протокол появился сравнительно недавно.

Протокол «http» — это НЕ защищенное соединение. Он существует давно.

Все уважающие себя банки работают по протоколу «https». Ниже на рис. 2 приведена адресная строка браузера, в которой видно, как выглядит соединение со Сбербанком. Обратите внимание, что есть зеленый замок – верный признак защищенного https-соединения:

Рис. 2. Защищенное соединение сайта Сбербанка Онлайн в адресной строке браузера

На рис. 3 приведено защищенное https-соединение другого банка. Как видно, в начале адресной строки браузера стоит зеленый замок – обращайте на него внимание при работе со своим онлайн-банком.

Рис. 3. Защищенное соединение с Юникредит банком в адресной строке браузера

3 Махинации с банковской картой в интернете

Оплачивая покупки в интернете, имеется большая вероятность нарваться на сайт с вредоносным кодом, установленным мошенниками. Это могут быть сайты известнейших компаний, владельцы которых и не догадываются, что в их сервис внедрён вредоносный код. «Засветив» свою карту на подобном сайте, Вы предоставляете злоумышленникам отличную возможность в дальнейшем самостоятельно осуществлять покупки, расплачиваясь вашими средствами.

Обезопасить себя от такого вида мошенничества просто – не стоит расплачиваться своей постоянной картой, делая покупки в интернете. Для этого можно завести отдельную карту и класть на счёт только сумму, необходимую для покупки. Или же пользоваться сервисами электронных денег типа Яндекс Деньги и Webmoney.

Банковская карта может быть привязана к обычному банковскому счету. Однако в том же банке можно завести и другие банковские счета, к которым НЕ будет привязана карточка.

Можно в банке получить виртуальную банковскую карту, которая пригодна только для оплаты в Интернете.

4 Недобросовестный обслуживающий персонал

Нередки случаи, когда с банковской карты волшебным образом пропадают все деньги после посещения магазина, кафе, ресторана, АЗС и прочих заведений. Дело в том, что некоторые недобросовестные сотрудники содействуют с мошенниками или сами таковыми являются.

Оставаясь с вашей картой один на один, они переписывают её данные либо считывают информацию через скиммеры, описанные выше. Поэтому не следует отдавать свою банковскую карту посторонним лицам. Все операции должны проводиться на ваших глазах. При этом стоит внимательно проследить, чтобы карта не вставлялась в подозрительные устройства.

Можно подключить SMS-информирование, когда при каждой операции с картой на мобильный телефон приходит смс-сообщение о снятии или поступлении денег. Например, для карточки Сбербанка Maestro услуга SMS-информирования по всем операциям с картой стоит 30 рублей в месяц, а для карточки Classic – 60 рублей в месяц.

К сожалению, ещё не найдено стопроцентной защиты банковской карты от проделок мошенников. Злоумышленники с каждым днём изобретают всё новые способы, как обобрать честный народ. Поэтому

безопаснее всего держать крупные суммы денежных средств на банковских счетах, к которым не привязаны пластиковые карточки.

При использовании онлайн-банкинга ВАЖНО:

1. Определить безопасность сайта для ввода своих данных (правильное, без изменений название банка в адресной строке браузера (домен сайта);
2. Проверить наличие https-соединения – должен быть зеленый замок в адресной строке браузера;
3. Пароль (он должен быть хорошим, а еще лучше – сложным) к онлайн-банкингу нужно менять НЕ реже 1 раза в течение полугода;
4. Желательно подключить sms-оповещение для входа в онлайн-банкинг, а также для подтверждения оплаты чего-либо через онлайн-банк.

5 Если мошенники знают номер банковской карты

Такую карту следует немедленно заблокировать. И тут может идти счет на минуты. Чем быстрее успеете заблокировать, тем мошенники меньше денег успеют снять.

Я писала ЗДЕСЬ о хронике событий в апреле 2014 года, когда с сайта РЖД были похищены данные банковских карт. Банк мне тогда бесплатно перевыпустил виртуальную карту для оплаты в Интернете.

Сейчас есть закон, что если в банк сообщить о том, что мошенники сняли деньги с карты в течение 24 часов после того, как это произошло, тогда банк возвращает деньги на карточку.

Заблокировать банковскую карту можно:

• Если позвонить оператору банка.
• Функция блокировки карты есть во многих интернет-банках. Иногда бывает проще самостоятельно заблокировать банковскую карту, чем дозвониться до банка.

Такой банковской картой, платежные реквизиты которой известен мошенникам, нельзя больше пользоваться, надо в банке заказать новую карту.

6 Голосование «Тратите ли Вы деньги в интернете?»

Прошу принять участие в голосовании. Всего 15 вариантов ответов. Чтобы проголосовать, можно поставить галочки напротив 1-ого ответа или 2-х ответов и так далее, до 14 ответов. Спасибо за участие!

Фишинг, вишинг, скимминг и шимминг: что это такое и как надежно защитить деньги на карте

Когда слушаешь невероятные истории знакомых о том, как у кого-то украли деньги с карты, обычно думаешь, что с тобой такого точно не случится. А зря. В любой момент можно потерять бдительность и поддаться панике. Или же по невнимательности нарваться на специальную накладку на клавиатуре банкомата.

Чтобы не попадаться на уловки мошенников, мы разобрали самые распространенные из них. Бонусом в конце статьи подскажем, как наверняка защититься от всего этого.

Фишинг

Это несанкционированное списание денег с банковской карты за счет использования секретных данных, которые практически на блюдечке преподносит сам владелец. Например, это может быть номер карты, имя держателя, CVC/CVV-код. Такие мошеннические действия прозвали фишингом, потому что данные буквально выуживают (от англ. fishing — «рыбная ловля», «закидывание удочки»).

Что происходит при СМС-фишинге

Вам отправят сообщение о блокировке карты от имени банка и попросят позвонить по указанному номеру, чтобы решить проблему. Или же сообщат о выигрыше чего-либо — и чтобы забрать приз, вам нужно заплатить за доставку. Вариаций много, но все они сводятся к предложению передать данные карты.

Что происходит при интернет-фишинге

На электронную почту может прийти письмо якобы от техподдержки банка. Допустим, по поводу подозрительной активности по карте. Под предлогом проверки информации вас просят ввести все реквизиты. Или же вы попадете на поддельную (фишинговую) страницу, которая имитирует официальный сайт агрегатора авиабилетов. Разница будет лишь в названии — мошенники изменят несколько букв или знаков.

Вишинг

По смыслу то же самое, что и фишинг, но только аферисты звонят по телефону. Они уверенно представляются сотрудниками банка, чтобы выманить у вас CVC/CVV-код или заставить совершить определенные действия со счетом.

Бывают прямо-таки запутанные схемы (реальная история нашего читателя)

Вам звонит следователь и сообщает, что сейчас ваш однофамилец ходит по разным банкам и берет большие кредиты по вашей доверенности. Конечно, речь крайне продуманная и поставленная. Цель на этом этапе — заставить человека паниковать.

Чтобы это остановить, он свяжет вас с сотрудником Центробанка, который конечно уже в курсе происходящего. В этот момент по плану мошенников вы уже начали паниковать и отключили критическое мышление.

Далее общение переходит в WhatsApp, где начинается новое нагнетание ситуации с целью выведать данные карты. Конкретно в этом случае они нужны для расследования дела и для того, чтобы обезопасить счета.

Скимминг и шимминг

Скимминг — это копирование данных карты с магнитной полосы с помощью специального устройства (скиммера). Для получения PIN-кода мошенники устанавливают мини-камеры или накладки на клавиатуру.

Шимминг — это усовершенствование разновидность скимминга. Механика аналогична, но уже визуальных признаков «шима» внутри банкомата нет. Вместо заметных накладок используют тонкое, гибкое и практически незаметное устройство внутри картридера (отверстие в банкомате для приема платежных карт). Оно-то и считывает данные карты.

Как защитить себя от мошенничества

1. Если пришло СМС о блокировке, звоните только по официальному номеру банка, а подлинность выигрыша уточняйте в магазине. То же самое касается любых звонков. Помните историю нашего читателя? Он сразу позвонил в Центробанк.
2. Тщательно сверяйте веб-адреса с официальным названием магазина, если собираетесь оставить там реквизиты карты. То же самое со ссылками — на фишинговых сайтах они вряд ли кликабельные.
3. Никому не сообщайте данные карты. Помните, что никто не имеет права запрашивать PIN или CVC/CVV. Даже сотрудники банка.
4. Изучайте поверхность банкоматов. Обычно фальшивые панели плохо держатся, на ровной поверхности может встретиться мини-углубление, которое издалека выглядит как черная точка (возможно, это глазок камеры). Выпуклая или отличающаяся по тону клавиатура тоже должна насторожить — мошенники не всегда могут покрасить свои запчасти в цвет оригинальных.
5. Застрахуйте такие риски. Для этого заведите карту надежного банка, который предлагает финансовую защиту и гарантию возврата денежных средств при наступлении страхового случая. Например, в УБРиР есть готовый пакет «Бизнес-карта под защитой». В него в том числе входит открытие корпоративного расчетного счета и выпуск банковской карты MasterCard Business Unembossed.

Что делать, если обманули, но у вас есть страховка в УБРиР

• Позвонить в банк по горячей линии, рассказать о том, что случилось, и попросить немедленно заблокировать карту.
• Сообщить в полицию.
• Проинформировать АО «Д2 Страхование» и получить консультацию по необходимому пакету документов.
• Собрать бумаги по страховому случаю и передать в отделение банка.

Теперь вы знаете, на какие уловки идут мошенники, чтобы украсть ваши деньги. Тут можно дать только два совета: будьте внимательны и защитите свою карту страховкой на случай потери бдительности. В конце концов мы же не роботы. Переходите по ссылке и изучите пакет «Бизнес-карта под защитой» подробнее.

Как украсть деньги с банковской карты?

Не случилось, а случается постоянно — у людей крадут деньги с их счетов, причем жертвы сами сообщают мошенникам все данные, не понимая, что делают. Большинство людей думает, что их не обворуют и начинают переживать, когда деньги уже сняты и сделать ничего невозможно. Способов украсть ваши деньги масса, например, скимминг и фишинг.

Скимминг и фишинг? Можно по-русски?

Скимминг — это когда мошенники ставят разные сомнительные устройства на банкомат и физически копируют данные вашей карты. Мы уже один раз подробно об этом рассказывали. Фишинг — это когда данные карты добываются обманом: мошенники представляются не теми, кем они не являются. Эта карточка — о фишинге. Главная задача фишинга — получить ваш пинкод, номер карты, CVC-номер (три цифры около подписи), срок действия карты, смс с кодом. При этом мошенникам необязательно знать все из перечисленного, поэтому главное, что надо уяснить — никогда никому не сообщайте эти данные. Да, когда вы платите, например, в интернет-магазине — у вас попросят и номер карты, и срок истечения, и CVC: поэтому покупайте только на проверенных сайтах. И в любом случае, никогда не сообщайте эти данные голосом. Если же вы попадетесь на разводку и сообщите свои данные, вернуть после этого деньги будет практически невозможно: потому что вы сообщили все сами и добровольно.

А что, кто-то верит этим звонкам «сотрудников банка»?

Им верят очень многие. И вы тоже можете поверить: на этих звонках работает целая индустрия, в том числе профессиональные актеры, которые могут отлично сыграть сотрудника банка.

И как отличить настоящего сотрудника банка от поддельного?

По одному или нескольким признакам:

1. Поддельный сотрудник звонит и спрашивает код из СМС или данные карты (номер, срок истечения, CVC-код) — он никогда не должен этого делать.

2. Поддельный сотрудник недостаточно осведомлен. Например, не может ответить на вопрос о других ваших продуктах в банке или последних операциях.

3. Поддельный сотрудник слишком настойчив: пытается вас переубедить, настаивает, чтобы вы сообщили нужные сведения прямо сейчас.

4. Поддельный сотрудник звонит с мобильного телефона, или его номер не определяется.

Если звонок вызывает у вас сомнение — повесьте трубку и перезвоните по проверенному телефону в ваш банк — узнайте, правда ли вам звонили.

А теперь внимание: если вас не пронять фальшивыми звонками, это не спасение. Потому что фишинг устраивают не только по телефону.

А как еще?

Смски, почтовые рассылки, поддельные сайты.

Ой. Давайте по порядку.

Давайте. Начнем с смсок. В фальшивой смске могут сообщить о блокировке счетов или о снятии большой суммы денег. Или в сообщении обещают приз или выгоду без каких-либо усилий, например, заработок в 30 000 рублей за час работы в день. Или сообщение содержит орфографические, пунктуационные или другие ошибки. Скорее всего, в смске будет указан поддельный номер телефона, по которому вас будет ждать разводка.

Окей. А с сайтами что?

Тут возможностей для обмана гораздо больше, но если быть внимательными, всего можно избежать. За чем нужно следить?

1. За названием банка (а также интернет-магазина или какого-то популярного сервиса) в адресе (или ссылке, на которую вы собираетесь нажать). В нем может быть малозаметная ошибка. Например, Sderbank вместо Sberbank или Tiknoff вместо Tinkoff.

2. За поведением браузера. У всех современных браузеров есть технологии, которые находят подозрительные сайты. И вас предупредят об опасности — главное, не игнорировать такие сообщения.

3. За тем, как выглядит сайт. Бывают сайты-пустышки, прикидывающиеся, например, интернет-магазином, но только в нем нет ни товаров, ни отзывов на них.

4. За тем, как вы попали на сайт — бывает, что при нажатии на одну ссылку, открывается сразу несколько. Нормальные сайты так себя не ведут.

5. И еще: никогда не вводите никакие данные карты на сайте, у которых в начале адреса нет https:// (именно https, а не http, потому что только https-сайты обеспечивают безопасную передачу информации).

Понятно. А как с рассылками быть?

Рассылка, возможно, самый опасный способ фишинга — потому что они валятся в вашу почту без предупреждения, то есть, чтобы получить опасное письмо, не надо делать вообще ничего. Чтобы понимать масштаб: ежедневно во всем мире отправляется 156 миллионов фишинговых писем, 16 миллионов из них проскакивают через спам-фильтры, половину этих писем открывают, 800 000 кликают на ссылкам и 80 000 отдают свои данные. Еще раз: 80 000 человек в мире ежедневно только с помощью рассылок отдают свои деньги бандитам. Как определить фальшивую рассылку?

1. Внимательно смотрите на адрес отправителя. Главный обман всегда там. Либо в нем есть намеренная опечатка (sbelbank, а не sberbank), или письмо отправлено с адреса, зарегистрированного в открытом почтовом сервисе (gmail, mail, yandex и т. п.) Какой бы официальной и красивой и похожей на правду ни была рассылка, если с адресом отправителя что-то не то — значит, это точно обман.

2. Смотрите на ссылки внутри рассылки. Посмотрите, куда вас собираются отправить — если вас ведут не на официальный сайт компании, якобы приславшей рассылку, не ходите туда.

3. Ищите грамматические ошибки и опечатки. Тоже причина для беспокойства.

Очень рекомендуем почитать по этому поводу статью на Habrahabr — там много примеров, из которых следует, что иногда фишинговые письма выглядят практически как настоящие и найти обман крайне сложно.

Нагнали страху. Есть какие-то способы себя обезопасить?

Во-первых, с этим борются сами банки. Служба безопасности есть у каждого банка — и это по сути частная спецслужба, которая ищет мошенников. Но вы сами тоже можете себя обезопасить. Вот советы «Тинькофф Банка», вместе с которым мы сделали эту карточку:

1. Заведите отдельную карту для покупок в интернете. Дополнительная карта использует тот же счет, что основная, но у нее другие платежные данные. Даже если их уведут, вы заблокируете дополнительную карту и останетесь с основной.

2. Установите на дополнительной карте лимит на расходы, например, 5000 рублей в месяц. Лимит можно изменить в любой момент.

3. Позвоните по номеру на обороте карты и уточните, подключен ли у вас 3-D Secure — это когда любую оплату в интернете нужно подтверждать через код в смске. Если не подключен, узнайте, как это сделать. Если подключить 3-D Secure нельзя, меняйте банк.

4. Не носите карту и телефон вместе. Положили карту в чехол для телефона — сделали за мошенника полдела. При оплате он получит смску с кодом на ваш же телефон.

5. Установите антивирус и регулярно обновляйте его.

6. Не скачивайте программы и фильмы с пиратских сайтов, это самый надежный способ схватить вирус.

7. Не устанавливайте на Android приложения не из Google Play.

8. Защитите телефон пин-кодом или отпечатком пальца. Никто не должен добраться до ваших СМС, кроме вас. Обязательно отключите показ текста сообщений на заблокированном экране. Конечно, так удобнее вводить код . Мошенникам в том числе.

Окей, буду внимательней.

А еще расскажите это все своим пожилым родственникам, если они у вас есть. Возможно, они не покупают в интернете, но они меньше всего защищены от того, чтобы их обманули по телефону.

Другие материалы из совместного проекта «Медузы» и «Тинькофф Банк» читайте здесь.

Что такое скимминг и фишинг

Мошеннические схемы то и дело претерпевают изменения. Согласно обзору ФинЦЕРТа, объем несанкционированных операций, совершенных с использованием платежных карт, эмитированных на территории РФ, в 2018 году составил 1,4 млрд рублей, что на 44% больше, чем в прошлом году. По данным Генпрокуратуры, количество выявляемых в России киберпреступлений за шесть лет выросло почти в 16 раз, до 174 тысяч (сюда входят и незаконные операции с картами).

Владельцам важно сохранять бдительность и не попадаться на уловки мошенников. Разберемся, с какими видами кардинга можно столкнуться и как защитить свои средства.

Кардинг

Термином кардинг (carding) называют мошеннические операции с платежными картами (реквизитами карт), не одобренные держателем карты. Кардинг включает в себя различные способы обмана законных владельцев материальных средств.

Алексей Сизов, начальник отдела по противодействию мошенничеству Центра прикладных систем безопасности «Инфосистемы Джет», выделяет три базовых направления мошеннических действий:

1. Кража или незаконное получение карты — это либо физическое воздействие на владельца, либо поиск уязвимости в процессе выдачи, доставки или оформления банковского продукта и использование карты злоумышленником.
2. Компрометация данных карты для последующего изготовления подделки. В первую очередь речь идёт о копировании данных магнитной полосы карты и краже PIN-кода. Наиболее широко этот вид мошенничества был распространен до массового перевода карт на чиповые технологии. Сегодня такая схема встречается редко, так как в России около трёх лет назад ввели запрет на выпуск нечиповых карт, а почти по всему миру действует Chip Liability Shift — обязанность банка-эквайера обслуживать карту с чипом именно по чипу.
3. Компрометация реквизитов карты для совершения операций CNP (без присутствия карты). Яркий пример — оплата покупок или услуг в интернете.

Конечная цель преступников во всех случаях — получить доступ к деньгам. Для реализации своих замыслов мошенники изобретают весьма хитрые схемы, нередко пользуясь доверчивостью и невнимательностью граждан. Один из популярных способов обвести вокруг пальца собственника карты — это фишинг.

Фишинг

Фишинг (phishing от англ. fishing — рыбная ловля, закидывание удочки) — буквально выуживание реквизитов карты у ее держателя. Примечательно, что необходимые данные передает сам владелец. Как правило, прибегают к нескольким видам фишинга.

СМС-фишинг

На телефон отправляют сообщение:

• о блокировке карты, якобы от имени банка и номером телефона, позвонив по которому, можно решить проблему;

• о выигрыше, забрать который можно, заплатив за доставку.

Вариаций смс-фишинга масса, но все они сводятся к предложению передать данные карты. В таких случаях нужно проявить бдительность.

Если поступили сведения о блокировке, следует звонить в банк по официальному номеру, а подлинность сообщения о выигрыше уточнить, связавшись с магазином или сервисом, проводящими акцию.

Фото: Лаборатория Касперского

Интернет-фишинг

Мошенники создают фишинговые (поддельные) страницы, имитирующие официальные сайты банков, платежных сервисов или магазинов, меняя в названии несколько букв или знаков. Увы, далеко не все внимательно проверяют веб-адрес, смело кликая на ссылку.

Нередко злоумышленники заманивают на фишинговые сайты, отправляя поддельные электронные письма, составленные техподдержкой банка, скажем, о блокировке карты. Под предлогом проверки информации о держателе они просят ввести все реквизиты, узнав которые, беспрепятственно получают доступ к деньгам. Выманивают данные и прикрываясь продажей товаров.

Прежде чем оставлять реквизиты карты на сайте, нужно тщательно сверить веб-адрес с официальным названием магазина, сервиса или платёжной системы, а также проверить ссылки, находящиеся на странице: если ресурс фишинговый, скорее всего, они не работают. Когда нужно воспользоваться сайтом кредитной организации, лучше сразу обратиться к официальному перечню , размещенному на сайте ЦБ.

Вишинг

Вишинг (англ. vishing — от voice phishing) идентичен фишингу, с той только разницей, что злоумышленники звонят по телефону, представляясь сотрудниками банка, покупателями товаров и так далее, таким образом пытаясь выманить у держателя PIN-код или заставить его совершить определенные действия со счетом.

Владельцу карты нужно помнить, что сотрудники банка не требуют сообщить PIN-код, а в случае блокировки карты скорее всего предложат подъехать в офис лично. Покупателям товаров в принципе ни к чему знать конфиденциальные данные о карте продавца, поэтому просьбы сообщить такие сведения должны насторожить.

Скимминг

Еще один метод, которым активно пользуются мошенники, это скимминг. Скимминг — это копирование данных платежной карты с помощью специального устройства (скиммера). Данные карты считываются, когда владелец вставляет ее в банкомат. Для получения PIN-кода злоумышленники устанавливают мини-камеры или накладки на клавиатуру.

Шимминг

Шимминг — это модернизированная разновидность скимминга. Схема обмана аналогична: со вставляемых в банкомат карт считываются все важные данные, отличие лишь в том, что визуальных признаков присутствия «шима» внутри аппарата нет.

Мошенники вместо весьма громоздких и визуально заметных накладок на картоприемник используют тонкое, гибкое, практически незаметное устройство, которое располагается внутри картридера. Оно считывает данные карты, используемые впоследствии злоумышленниками.

Поддельные банкоматы

Иногда мошенники создают поддельные банкоматы, оставляя их в неохраняемых местах. Такие устройства внешне полностью копируют настоящие, а вот «начинка» содержит встроенный компьютер с установленной на него системой, скиммер и накладки на клавиатуру. Жертва вставляет карту, пытается совершить какие-то действия, но банкомат выдает ошибку. Человек забирает карту, но вся информация с нее уже считана.

Попасться на удочку злоумышленников можно не только пользуясь банкоматом, но и расплачиваясь картой, скажем, в ресторанах или магазинах. Алгоритм схож: официант, продавец или кассир, могут использовать скиммер или переносное устройство, прикрепленное к терминалу.

Защититься от скимминга можно, если пользоваться банкоматами, находящимися в отделениях банков. Уровень защиты в кредитных организациях в разы выше, и установить считывающие устройства там намного сложнее.

Ну а когда возможности обратиться в отделение нет, старайтесь выбирать банкоматы, стоящие под камерами, в охраняемых местах. Визуально проверяйте аппарат, скажем, накладку на картоприемник: если она шатается, значит, с ней что-то не так. Расплачиваясь картой, следите, чтобы ее данные никто не фотографировал на телефон.

Внедренные вирусы

В этом случае злоумышленники внедряют в электронное устройство (телефон, компьютер) программу, способную считывать данные карты. Подобные вирусы могут передавать мошенникам информацию, которую пользователь вводил в интернет-браузер: логины и пароли от социальных сетей, интернет-банков, электронных кошельков, различных сайтов и так далее.

Вредоносная программа может попасть на телефон или ноутбук случайно, под видом другой программы, неосторожно скачанной из электронного письма или с непроверенного сайта.

Чтобы избежать обмана, важно вовремя обновлять антивирус и пользоваться только лицензионным софтом.

Способы защиты

Перечень описанных видов мошенничества не исчерпывающий. Алексей Сизов, начальник отдела по противодействию мошенничеству Центра прикладных систем безопасности «Инфосистемы Джет», отмечает, что среди мошеннических схем встречаются:

1. Использование реквизитов карт для получения доступа к другим продуктам, например, ДБО или онлайн-кредитованию, где информация о карте, последних операциях и тем более коды подтверждения и паспортные данные являются достаточными сведениями для смены паролей в онлайн- или мобильном банке и совершения иных манипуляций со счетами.
2. Кража средств с бесконтактных карт. Эта схема наделала много шума некоторое время назад, однако больших потерь зафиксировано не было, и вряд ли стоит ожидать существенных проблем в этом направлении.

С течением времени схемы обмана только совершенствуются. Естественно, с злоумышленниками активно борются сами банки.

Однако не только банки, но и сами владельцы карт должны принимать меры предосторожности. Алёна Цыганова, старший юрисконсульт консалтинговой компании Alta Via, всем, кто заботится о сохранности своих денежных средств, советует соблюдать несколько простых правил:

1. Хранить PIN-код, а также данные для входа в интернет-банк (логин, пароль, проверочные слова или специальные коды) в безопасном месте, а лучше всего — в своей памяти.
2. Не сообщать третьим лицам данные карты и одноразовые СМС-пароли для подтверждения операций.
3. Быть осмотрительными, совершая покупки в интернете. Использовать только проверенные и официальные сайты. Товары/услуги на незнакомых сайтах по явно заниженным ценам должны насторожить. А также выбирать банкоматы, расположенные в офисах банка или крупных торговых центрах с видеонаблюдением.

Алексей Сизов, рекомендует внимательно изучать уведомления от банка о совершаемых операциях, использовать отдельную карту для оплаты в интернете, устанавливать суточные лимиты (если банк предоставляет такую возможность) и не держать все сбережения на счете одной карты.

Если деньги уберечь всё же не удалось, Алёна Цыганова рекомендует незамедлительно обратиться в банк с заявлением о несогласии с проведенными операциями (п. 11 ст. 9 ФЗ N 161-ФЗ), а также в полицию.