Как крадут деньги с банковских карт и почему банки отказываются их возвращать
Ваша банковская карта тоже под угрозой
Для начала — немного статистики от Банка России. Она показывает масштаб проблемы.За 2019 год зарегистрировано 576 566 операций, совершённых без согласия клиента. Так в отчётах Банка России называют переводы мошенникам и кражу денег с банковских счетов. Общая сумма — 6 миллиардов 426,5 миллионов рублей. В общей массе денежных переводов это ничто — 0,0023 %. Однако настораживают другие моменты:
- количество операций, совершённых без согласия клиента, неуклонно растёт. В 2017 году было зафиксировано 317 тысяч, в 2018 — 417 тысяч, в 2019 — 576 тысяч случаев;
- средняя сумма перевода мошенникам в 2019 году — 10 000 рублей для физических лиц и 152 000 рублей для юридических лиц;
- банки возместили клиентам только 15 % похищенного (935 миллионов рублей в 2019 году).
Итак, что мы имеем:
- каждый год всё больше граждан и организаций становятся жертвами краж с банковских карт;
- банки возвращать потерянные деньги не спешат;
- полиция не знает о значительном числе банковских краж, так как жертвы не подают заявление, мошенники продолжают безнаказанно обманывать людей.
Вы станете жертвой фишинговой атаки
Вероятность потерять деньги: высокая.Один из самых опасных способов — создание фейковых страниц популярных сервисов. В топе у злоумышленников сайты банков, платёжных сервисов, крупных интернет-магазинов. Некоторые фейки сделаны так топорно, что сразу видна разница, но есть и качественные копии.
В 2017 году cлужба кибербезопасности Сбербанка за 9 месяцев мониторинга обнаружила и закрыла свыше 600 доменов, использовавшихся для фишинговых атак. К сожалению, более свежую статистику найти не удалось. Скорее всего, её просто не ведут, так как никто не занимается целенаправленным поиском и блокировкой фишинговых ресурсов разного рода.
Иногда к фишингу примешивается социальная инженерия. Пользователь видит на развлекательном сайте или в ленте соцсети ссылку на кредит с выгодными условиями. Чтобы получить его, нужно ввести в форму данные банковской карты — якобы это требуется для проверки кредитной истории заявителя. Естественно, деньги жертва не получает, а теряет — мошенник берёт данные из формы и списывает средства со счёта.
Ссылки на фишинговые сайты часто приходят в письмах на электронную почту. В прошлом году я часто получал сообщение с темой «Поздравляем! Вы выиграли 30 000 рублей!». Внутри — чушь про какой-то розыгрыш по адресам электронной почты и предложение немедленно забрать выигрыш. Для этого нужно перейти по ссылке и ввести данные банковской карты.
Фишинговыми могут быть не только сайты, но и мобильные приложения банков. Из Google Play и App Store их стараются оперативно удалять, но иногда пользователи всё-таки успевают скачать подделку до того, как модераторы её вычистят.
Одна из показательных историй, связанных с фишингом, — действие трояна FANTA. В 2019 году специалисты компании Group-IB, занимающейся предотвращением кибератак, рассказали о новой стратегии мошенников.
- Будущая жертва размещает объявление на «Авито».
- Спустя некоторое время на указанный в объявлении телефон приходит сообщение о переводе на счёт полной стоимости товара. Детали платежа человеку предлагают посмотреть по ссылке.
- По ссылке открывается фишинговая страница, копирующая дизайн «Авито». На ней размещено описание товара, а также указана полученная продавцом сумма. После нажатия на кнопку «Продолжить» на смартфон скачивается вредоносный APK, замаскированный под приложение «Авито».
- Если такая маскировка срабатывает, фишинговая атака продолжается. Человек устанавливает и запускает приложение «Авито», переходит по фейковым страницам и оставляет данные банковской карты, чтобы получить платёж.
В связи с пандемией коронавируса мошенники придумали новые способы фишинга. Вот два ярких примера:
- мошенники предлагают россиянам вернуть деньги за несостоявшиеся перелеты. Для перевода полной стоимости они просят сообщить платёжные данные;
- в соцсетях распространяются ссылки на сервисы, на которых якобы можно получить финансовую поддержку в связи с введением карантинных мер.
- Не переходите по сомнительным ссылкам из ленты соцсетей и писем.
- Проверяйте адрес сайта, на котором собираетесь совершить покупку. Для верности походите по его страницам, чтобы убедиться в подлинности ресурса.
- Заведите отдельную карту для покупок в интернете. Переводите на неё сумму покупки, чтобы не потерять все деньги, если данные карты окажутся в руках злоумышленников.
Данные вашей карты украдут у крупной компании
Вероятность потерять деньги: высокая.Куда большую опасность по сравнению с фишинговыми страницами представляет взлом официального интернет-магазина, сайта авиаперевозчика или другого ресурса, которым вы пользуетесь для оплаты товаров и услуг. Вот два пугающих примера
В 2018 году была обнаружена кража сведений о 5 миллионах банковских карт из платёжной системы премиальных американских ритейлеров Saks Fifth Avenue и Lord&Taylor. На момент выявления утечки 125 000 карт выставили на продажу.
В 2019 году издание LIFE рассказало историю россиянки, которая потеряла деньги через приложение Uber и банковский клиент «ВТБ». Сначала она получила уведомления о списании и возврате нескольких рублей — типичные операции во время привязки новой карты к аккаунту. Затем в течение 20 минут с её карты были списаны 5 платежей за услуги Uber общей стоимостью 14 118 рублей. Даже после блокировки карты были зафиксированы попытки списания денег.
Торговля платёжными данными вообще прибыльное дело. В конце марта сотрудники ФСБ задержали более 30 граждан России, Украины и Литвы, которые создали несколько десятков интернет-магазинов, через которые можно купить платёжные сведения клиентов разных банков. В ходе обысков были изъяты более 1 миллиона долларов и трёх миллионов рублей, золотые слитки и драгоценные монеты.
Как защититься
- Подключите уведомления обо всех операциях с банковским счётом.
- Заблокируйте карту, как только увидите неизвестное списание.
Злоумышленники сделают копию вашей карты
Вероятность потерять деньги: низкая.На банкоматы крепятся скиммеры — устройства, считывающие данные с магнитной полосы. Вместе с ними устанавливаются камеры, задача которых — зафиксировать, как вы вводите ПИН-код. Имея на руках информацию о карте, злоумышленники делают копии, а ПИН-код помогает им быстро обналичить ваш счёт.
Благодаря борьбе со скиммингом на клавиатуре банкомата появились «крылья». Они мешают камере снять цифры, даже если вы забыли закрыть их рукой, а ещё не дают установить фальшивую клавиатуру, которая бы запомнила введённый ПИН-код.
Скимминг может быть и ручным — например, недобросовестные официанты забирают карты, чтобы оплатить счёт, и фотографируют или запоминают платёжные данные.
Как защититься
- Подключите оповещения об операциях, чтобы быстро заблокировать карту при неизвестном списании.
- Используйте только проверенные банкоматы, желательно те, которые находятся в отделении банка.
- При вводе ПИН-кода прикрывайте клавиатуру рукой.
- Используйте карту с чипом, её сложнее подделать.
- Не передавайте карту в чужие руки, оплачивайте покупки только самостоятельно.
К вам незаметно подойдут с терминалом для бесконтактной оплаты
Вероятность потерять деньги: очень низкая, слишком затратный способ для мошенников.С распространением бесконтактной оплаты поднялась паника — в любом месте массового скопления людей к тебе могут подойти с ридером и снять до 1000 рублей с карты. Теоретически это возможно — для снятия денег с помощью стандартного POS-терминала необходимо, чтобы между картой и устройством было расстояние не более 4 сантиметров. В любом виде общественного транспорта в час пик люди находятся друг к другу ближе.
Однако на практике всё намного сложнее.
- 4 сантиметра — это всё-таки мало. Если карта лежит в плотном кошельке в середине сумки, то добраться до неё стандартным терминалом не получится. Правда, в 2016 году в блоге «Лаборатории Касперского» рассказывали об эксперименте, в ходе которого исследователи собрали устройство, считывающее данные карты на расстоянии до 45 см. Правда, терминал получился очень большим, так что пришлось разместить его в тележке из супермаркета.
- Терминал активируется на несколько секунд. То есть вору нужно подойти к вам, незаметно ввести сумму и только после этого приложить устройство к сумке или карману, в котором находится карта.
- Нельзя списать деньги с одной карты несколько раз. После получения нужных данных терминал автоматически прекращает обмен с картой. Чтобы списать деньги с этого же или другого пластика, нужно заново вводить сумму.
- При бесконтактном считывании используется слишком много узлов, собирающих информацию о платеже: банк, который выдал карту, банк, на счёт которого будут зачислены деньги, платёжная система (Visa, MasterCard). Кроме того, POS-терминалы продаются только ИП и юридическим лицам и строго учитываются.
Как защититься
- Не носите банковские карты в карманах. Пусть лежат в кошельке или в сумке.
- Для параноиков — купите экранированный кошелек. Или просто оберните карточку фольгой.
Что делать, если вы обнаружили неизвестное списание с банковской карты
- Заблокируйте банковскую карту. Обычно это можно сделать через приложение. Если приложения нет, позвоните в банк (номер указан на карте) и расскажите о произошедшем. Разбираться с конкретными причинами списания будете позже. Учитывая статистику возвратов со стороны банков и трудности в нахождении мошенников со стороны правоохранительных органов, ваша главная задача — самостоятельно минимизировать финансовый ущерб.
- Напишите заявление об отмене несанкционированного списания денег. Претензию необходимо составить как можно скорее, не позднее следующего дня после обнаружения перевода.
- Обратитесь в полицию и напишите заявление о несанкционированном списании денег. Мошенничество это или кража — полицейские будут определять уже самостоятельно, исходя из объективной стороны преступления.
- клиент не нарушил правила использования карты;
- с момента получения уведомления о списании прошло не более одного дня.