Как крадут деньги с банковских карт и почему банки отказываются их возвращать

Многие давно перестали пользоваться наличными деньгами — есть банковские карты, с которых оплачиваются все покупки, и электронные кошельки. Но отсутствие банкнот не уберегает от краж. С банковских карт деньги улетают ничуть не меньше, чем из подрезанных карманов и сумок. Только вместо ловких карманников теперь технологии и социальная инженерия.

Ваша банковская карта тоже под угрозой

Для начала — немного статистики от Банка России. Она показывает масштаб проблемы.

За 2019 год зарегистрировано 576 566 операций, совершённых без согласия клиента. Так в отчётах Банка России называют переводы мошенникам и кражу денег с банковских счетов. Общая сумма — 6 миллиардов 426,5 миллионов рублей. В общей массе денежных переводов это ничто — 0,0023 %. Однако настораживают другие моменты:

• количество операций, совершённых без согласия клиента, неуклонно растёт. В 2017 году было зафиксировано 317 тысяч, в 2018 — 417 тысяч, в 2019 — 576 тысяч случаев;
• средняя сумма перевода мошенникам в 2019 году — 10 000 рублей для физических лиц и 152 000 рублей для юридических лиц;
• банки возместили клиентам только 15 % похищенного (935 миллионов рублей в 2019 году).

Низкий процент возмещений связан с тем, как преступники получают деньги от доверчивых граждан. В 69 % случаев речь идёт о социальной инженерии. Злоумышленники убеждают жертв в том, что они должны сообщить им трехзначный код или перевести деньги. Для банка это нарушение договора обслуживания и повод не возвращать деньги. Единственный выход в такой ситуации — обращение в полицию с заявлением о мошенничестве. Это не самый популярный способ среди граждан, особенно если речь идёт о маленькой сумме.

Итак, что мы имеем:

• каждый год всё больше граждан и организаций становятся жертвами краж с банковских карт;
• банки возвращать потерянные деньги не спешат;
• полиция не знает о значительном числе банковских краж, так как жертвы не подают заявление, мошенники продолжают безнаказанно обманывать людей.

Ваши средние 10 000 рублей на карте тоже под угрозой. Я уже рассказывал о телефонном мошенничестве: первая часть — про схемы обмана, вторая часть — про то, как не лишиться денег. Звонки и сообщения с разными просьбами от сотрудников банка и специалистов службы безопасности — главный инструмент обмана. Но есть и другие способы украсть деньги с банковской карты.

Вы станете жертвой фишинговой атаки

Вероятность потерять деньги: высокая.

Один из самых опасных способов — создание фейковых страниц популярных сервисов. В топе у злоумышленников сайты банков, платёжных сервисов, крупных интернет-магазинов. Некоторые фейки сделаны так топорно, что сразу видна разница, но есть и качественные копии.

В 2017 году cлужба кибербезопасности Сбербанка за 9 месяцев мониторинга обнаружила и закрыла свыше 600 доменов, использовавшихся для фишинговых атак. К сожалению, более свежую статистику найти не удалось. Скорее всего, её просто не ведут, так как никто не занимается целенаправленным поиском и блокировкой фишинговых ресурсов разного рода.

Иногда к фишингу примешивается социальная инженерия. Пользователь видит на развлекательном сайте или в ленте соцсети ссылку на кредит с выгодными условиями. Чтобы получить его, нужно ввести в форму данные банковской карты — якобы это требуется для проверки кредитной истории заявителя. Естественно, деньги жертва не получает, а теряет — мошенник берёт данные из формы и списывает средства со счёта.

Для проверки карты со счёта спишут 160 рублей. И потом весь остаток, потому что это фишинг / Фото: anti-malware.ru

 Ссылки на фишинговые сайты часто приходят в письмах на электронную почту. В прошлом году я часто получал сообщение с темой «Поздравляем! Вы выиграли 30 000 рублей!». Внутри — чушь про какой-то розыгрыш по адресам электронной почты и предложение немедленно забрать выигрыш. Для этого нужно перейти по ссылке и ввести данные банковской карты.

Фишинговыми могут быть не только сайты, но и мобильные приложения банков. Из Google Play и App Store их стараются оперативно удалять, но иногда пользователи всё-таки успевают скачать подделку до того, как модераторы её вычистят.

Одна из показательных историй, связанных с фишингом, — действие трояна FANTA. В 2019 году специалисты компании Group-IB, занимающейся предотвращением кибератак, рассказали о новой стратегии мошенников.

1. Будущая жертва размещает объявление на «Авито».
2. Спустя некоторое время на указанный в объявлении телефон приходит сообщение о переводе на счёт полной стоимости товара. Детали платежа человеку предлагают посмотреть по ссылке.
3. По ссылке открывается фишинговая страница, копирующая дизайн «Авито». На ней размещено описание товара, а также указана полученная продавцом сумма. После нажатия на кнопку «Продолжить» на смартфон скачивается вредоносный APK, замаскированный под приложение «Авито».
4. Если такая маскировка срабатывает, фишинговая атака продолжается. Человек устанавливает и запускает приложение «Авито», переходит по фейковым страницам и оставляет данные банковской карты, чтобы получить платёж.

Несмотря на кажущуюся сложность исполнения (всё-таки человека надо заставить установить приложение, а потом ещё и ввести данные карты), за 9 месяцев 2019 года по этой схеме мошенники получили как минимум 35 миллионов рублей. От их действий пострадали клиенты 70 банков, а также пользователи популярных платёжных систем. Проблема в том, что троян постоянно модифицируется, так что вполне возможно, что вы станете его жертвой в 2020 году.

Пожалуйста, добавьте карту, чтобы мы списали с неё деньги / Фото: group-ib.ru

В связи с пандемией коронавируса мошенники придумали новые способы фишинга. Вот два ярких примера:

• мошенники предлагают россиянам вернуть деньги за несостоявшиеся перелеты. Для перевода полной стоимости они просят сообщить платёжные данные;
• в соцсетях распространяются ссылки на сервисы, на которых якобы можно получить финансовую поддержку в связи с введением карантинных мер.

Как защититься

1. Не переходите по сомнительным ссылкам из ленты соцсетей и писем.
2. Проверяйте адрес сайта, на котором собираетесь совершить покупку. Для верности походите по его страницам, чтобы убедиться в подлинности ресурса.
3. Заведите отдельную карту для покупок в интернете. Переводите на неё сумму покупки, чтобы не потерять все деньги, если данные карты окажутся в руках злоумышленников.

Данные вашей карты украдут у крупной компании

Вероятность потерять деньги: высокая.

Куда большую опасность по сравнению с фишинговыми страницами представляет взлом официального интернет-магазина, сайта авиаперевозчика или другого ресурса, которым вы пользуетесь для оплаты товаров и услуг. Вот два пугающих примера

В 2018 году была обнаружена кража сведений о 5 миллионах банковских карт из платёжной системы премиальных американских ритейлеров Saks Fifth Avenue и Lord&Taylor. На момент выявления утечки 125 000 карт выставили на продажу.

В 2019 году издание LIFE рассказало историю россиянки, которая потеряла деньги через приложение Uber и банковский клиент «ВТБ». Сначала она получила уведомления о списании и возврате нескольких рублей — типичные операции во время привязки новой карты к аккаунту. Затем в течение 20 минут с её карты были списаны 5 платежей за услуги Uber общей стоимостью 14 118 рублей. Даже после блокировки карты были зафиксированы попытки списания денег.

Вероятно, во втором случае карта была скомпрометирована на стороне Uber. У компании вообще очень сложные отношения с безопасностью. Например, правительство США в 2017 году фактически заставило её подписать соглашение о проверке на соответствие требованиям безопасности каждые 2 года в течение ближайших 20 лет.

Торговля платёжными данными вообще прибыльное дело. В конце марта сотрудники ФСБ задержали более 30 граждан России, Украины и Литвы, которые создали несколько десятков интернет-магазинов, через которые можно купить платёжные сведения клиентов разных банков. В ходе обысков были изъяты более 1 миллиона долларов и трёх миллионов рублей, золотые слитки и драгоценные монеты.

Как защититься

1. Подключите уведомления обо всех операциях с банковским счётом.
2. Заблокируйте карту, как только увидите неизвестное списание.

Злоумышленники сделают копию вашей карты

Вероятность потерять деньги: низкая.

На банкоматы крепятся скиммеры — устройства, считывающие данные с магнитной полосы. Вместе с ними устанавливаются камеры, задача которых — зафиксировать, как вы вводите ПИН-код. Имея на руках информацию о карте, злоумышленники делают копии, а ПИН-код помогает им быстро обналичить ваш счёт.

От этой накладки больше никто не пострадает / Фото: journal.tinkoff.ru

Благодаря борьбе со скиммингом на клавиатуре банкомата появились «крылья». Они мешают камере снять цифры, даже если вы забыли закрыть их рукой, а ещё не дают установить фальшивую клавиатуру, которая бы запомнила введённый ПИН-код. 

Вторая клавиатура помогает злоумышленникам узнать ПИН-код / Фото: journal.tinkoff.ru

Скимминг может быть и ручным — например, недобросовестные официанты забирают карты, чтобы оплатить счёт, и фотографируют или запоминают платёжные данные.

Как защититься

1. Подключите оповещения об операциях, чтобы быстро заблокировать карту при неизвестном списании.
2. Используйте только проверенные банкоматы, желательно те, которые находятся в отделении банка.
3. При вводе ПИН-кода прикрывайте клавиатуру рукой.
4. Используйте карту с чипом, её сложнее подделать.
5. Не передавайте карту в чужие руки, оплачивайте покупки только самостоятельно.

К вам незаметно подойдут с терминалом для бесконтактной оплаты

Вероятность потерять деньги: очень низкая, слишком затратный способ для мошенников.

С распространением бесконтактной оплаты поднялась паника — в любом месте массового скопления людей к тебе могут подойти с ридером и снять до 1000 рублей с карты. Теоретически это возможно — для снятия денег с помощью стандартного POS-терминала необходимо, чтобы между картой и устройством было расстояние не более 4 сантиметров. В любом виде общественного транспорта в час пик люди находятся друг к другу ближе.

Выглядит устрашающе. Но неэффективно. Разве что использовать терминал в качестве оружия для угроз / Фото: zen.yandex.ru

Однако на практике всё намного сложнее.

• 4 сантиметра — это всё-таки мало. Если карта лежит в плотном кошельке в середине сумки, то добраться до неё стандартным терминалом не получится. Правда, в 2016 году в блоге «Лаборатории Касперского» рассказывали об эксперименте, в ходе которого исследователи собрали устройство, считывающее данные карты на расстоянии до 45 см. Правда, терминал получился очень большим, так что пришлось разместить его в тележке из супермаркета.
• Терминал активируется на несколько секунд. То есть вору нужно подойти к вам, незаметно ввести сумму и только после этого приложить устройство к сумке или карману, в котором находится карта.
• Нельзя списать деньги с одной карты несколько раз. После получения нужных данных терминал автоматически прекращает обмен с картой. Чтобы списать деньги с этого же или другого пластика, нужно заново вводить сумму.
• При бесконтактном считывании используется слишком много узлов, собирающих информацию о платеже: банк, который выдал карту, банк, на счёт которого будут зачислены деньги, платёжная система (Visa, MasterCard). Кроме того, POS-терминалы продаются только ИП и юридическим лицам и строго учитываются. 

В реальных условиях бесконтактный способ оплаты может стать проблемой только в случае потери карточки. Нашедший пластик человек может совершать покупки стоимостью до установленного лимита. Но если у вас включены оповещения, то вы быстро это обнаружите и заблокируете карту.

 Как защититься 

1. Не носите банковские карты в карманах. Пусть лежат в кошельке или в сумке.
2. Для параноиков — купите экранированный кошелек. Или просто оберните карточку фольгой.

Что делать, если вы обнаружили неизвестное списание с банковской карты

1. Заблокируйте банковскую карту. Обычно это можно сделать через приложение. Если приложения нет, позвоните в банк (номер указан на карте) и расскажите о произошедшем. Разбираться с конкретными причинами списания будете позже. Учитывая статистику возвратов со стороны банков и трудности в нахождении мошенников со стороны правоохранительных органов, ваша главная задача — самостоятельно минимизировать финансовый ущерб.
2. Напишите заявление об отмене несанкционированного списания денег. Претензию необходимо составить как можно скорее, не позднее следующего дня после обнаружения перевода.
3. Обратитесь в полицию и напишите заявление о несанкционированном списании денег. Мошенничество это или кража — полицейские будут определять уже самостоятельно, исходя из объективной стороны преступления.

Банк должен вернуть деньги при одновременном соблюдении двух условий:

• клиент не нарушил правила использования карты;
• с момента получения уведомления о списании прошло не более одного дня.

Большая часть отказов связана как раз с несоблюдением первого условия. Например, если вы по телефону сообщили мошеннику платёжные данные, банк не вернёт деньги. Их можно будет взыскать со злоумышленника — если, конечно, его найдут и привлекут к ответственности за обман или кражу.