Мошенничество с банковскими картами

Обычно IVR запрограммированы на входящие вызовы — для приветствия абонентов («Спасибо за звонок в нашу компанию. Если Вы знаете внутренний номер сотрудника, наберите номер прямо сейчас»). Теперь злоумышленники стали использовать IVR и для исходящих звонков — чтобы воровать данные банковских карт. Запрограммированные мошенниками роботы, представляясь сотрудниками банков, просят граждан назвать данные карт, логины-пароли для входа в интернет-банк, CVV-коды, PIN-коды (причины называются разные, в основном — «для уточнения информации» или «сбой системы»). По прогнозам Zecurion, в 2016 году объемы хищений средств с карт россиян с помощью роботов вырастет на 40–50%.

Как правило, мошенники запускают роботизированные программы в облачных дата-центрах — чтобы cкрыть следы (по IP-адресам злоумышленников вычислить проще). Чтобы у собеседников не возникло подозрений, системы направляют их и на живых «сотрудников». Концептуально это социальная инженерия, цель которой — получение реквизитов платежных инструментов.

— Новая мошенническая схема достаточно специфична, но эффективна, — комментирует руководитель аналитического центра Zecurion Владимир Ульянов. — Жертвы мало знают о том, что роботы могут звонить. Сталкиваясь с нестандартной ситуацией, банковские клиенты теряются — это первое, что нужно злоумышленникам, дальше обрабатывать человека гораздо легче. Во-вторых, автоответчик вызывает доверие: в представлении людей подобные системы используют крупные компании; также робот не обладает интеллектом, чтобы обманывать. Но при этом граждане, которые становятся мишенью мошенников, забывают, что настраивают систему живые люди.

По словам руководителя цифрового бизнеса группы Бинбанка Дмитрия Каштанова, мошенники начинают использовать схему с роботами, уже получив логины-пароли банковских клиентов для входа в интернет-банк.

— С помощью схемы злоумышленники, как правило, выясняют одноразовые пароли для подтверждения операций через интернет-банк, они приходят клиентам в SMS, — указывает собеседник. — И если ранее мошенники сами звонили гражданам для их получения, то теперь стали использовать роботов. Один из вариантов, когда робот сообщает клиенту, что произошла ошибочная трансакция в результате сбоя системы и для ее отмены нужен одноразовый пароль, который пришел в SMS.

По мнению руководителя направления по борьбе с мошенничеством центра информационной безопасности компании «Инфосистемы Джет» Алексея Сизова, автоматизация лишает новую схему кибератаки гибкости.

— Если потенциальной жертве звонит обычный человек, он может подстраиваться под поведение жертвы, робот же этого сделать не может, а значит, «качество атаки» снижается, — считает Алексей Сизов. — При этом не исключено, что автопрозвоны на выходе дадут злоумышленникам больше, если качество понизится в три раза, а количество обзвонов увеличится в пять раз. Многое будет зависеть от изобретательности злоумышленников по настройке автозвонков.

По словам Владимира Ульянова, схема не может гарантированно работать без предварительной подготовки жертвы — не каждый держатель карт хранит их данные в нагрудном кармане, чтобы по любому звонку достать и продиктовать все реквизиты.

— А если совершать несколько звонков, человек может задуматься, соотнести факты и заподозрить неладное, — указывает собеседник. — Самые эффективные и работающие инструменты социальной инженерии получают информацию здесь и сейчас, пока жертва не собралась с мыслями.

Владимир Ульянов остерегает клиентов от поспешных действий.

— Не торопитесь предоставлять всю информацию, которую от вас требуют, — советует эксперт. — Еще хорошая практика: сбросить звонок, перезвонить по контактному телефону, указанному на сайте банка, и уточнить информацию, действительно ли вам звонили и с какой целью.

Он также советует не общаться с неизвестными по телефону, поясняя, что, когда вы принимаете звонок, уверенности в том, что звонят действительно из банка, быть не может. В конце концов, даже если вас действительно тревожит кредитная организация, то это ни к чему вас не обязывает. Поэтому лучше связаться с банком по официальным каналам и уточнить информацию.

За весь 2015 год злоумышленники увели с карт с возможностью бесконтактной оплаты 2 млн рублей, а за январь–апрель 2016-го — уже 1 млн рублей. Это следует из расчетов, которые специально для «Известий» подготовила компания Zecurion, специализирующаяся на вопросах безопасности дистанционного банковского обслуживания.

Мошенники воруют деньги с помощью самодельных считывателей, способных сканировать банковские карты с чипами RFID (аналоги легальных бесконтактных PoS-терминалов: RFID-ридеров, посылающие электромагнитные сигналы). Кроме того, преступники используют для кражи денег «по воздуху» смартфоны, оснащенные чипами NFC (NFC — разновидность RFID).

Бесконтактное кибермошенничество пришло в Россию из Европы. Суть хакерской схемы похожа на перехват сигналов электрозамков угонщиками автомобилей. Хакерский ридер очень похож на легальное устройство, но он отличается более продвинутой функциональностью: злоумышленнику достаточно приблизить на 5–20 см такое устройство к карте с чипом RFID, как вся необходимая информация будет считана. Мошенникам достаточно бесконтактно получить номер карты и дату окончания срока ее обслуживания. С помощью этого минимума уже можно проводить операции через подставные интернет-площадки или изготовить дубликат магнитной полосы, достаточной для списания средств клиентов.

Полученные данные мошенники записывают/передают на карты-клоны — для дальнейших операций (влекут хищения средств с подлинных банковских карт). Из доступной «по воздуху» информации для злоумышленников также представляет интерес и история операций по карте, включающая в себя точные суммы и даты списаний. Располагая этими данными, несложно составить примерный профиль владельца и предположить текущий остаток по счету. У мошенников есть и более дешевые способы кражи данных с бесконтактных карт — обычный смартфон с поддержкой NFC. Им можно с расстояния в несколько сантиметров воровать данные банковских клиентов.

Технологии PayPass и PayWave применяются на картах с чипом и магнитной полосой. При расчетах такой картой не нужно вводить PIN-код, а также ставить подпись на чеке, если сумма покупки небольшая (до 1 тыс. рублей). По оценкам Zecurion, карты с бесконтактной технологией оплаты есть у 2 млн россиян. По оценкам, в России больше 30 тыс. точек приема PayPass: предприятия транспорта, торговли, сферы услуг.

По словам замдиректора департамента аудита защищенности Digital Security Глеба Чербова, объем хищений «по воздуху» растет пропорционально распространению технологии бесконтактной оплаты.

— Также увеличению такого вида хищений способствует совершенствование злоумышленниками техник считывания данных с карт и схем списания и вывода средств, — поясняет Чербов. — Основной стратегией защиты клиентов должно стать информирование пользователей о возможных рисках, связанных с наличием бесконтактного интерфейса в платежной карте. Значительная часть обладателей может даже не догадываться о возможностях новой карты и о возможностях потенциальных злоумышленников соответственно.

По прогнозам компании Zecurion, за 2016 год объемы хищений с бесконтактных карт граждан достигнут 2,5 млн рублей. А по итогам 2017 года — 5 млн рублей.

Руководитель разработки карточных продуктов группы Бинбанка Никита Игнатенко указывает, что бесконтактная технология не уступает контактным способам оплаты с точки зрения безопасности.

— Данные «обычной» карты могут считать с помощью скимминг-устройства, а при бесконтактной оплате это практически невозможно, — поясняет Никита Игнатенко. — Для мошеннических операций с помощью RFID-ридеров необходимо, чтобы карта располагалась очень близко к считывателю, что минимизирует риски. Но даже если мошенники смогут соорудить супермощный считыватель, максимум, что может потерять человек, — это 1 тыс. рублей, для проведения операции на более крупные суммы всегда требуется введение PIN-кода.

По словам директора департамента платежных систем СМП Банка Елены Биндусовой, для защиты от несанкционированного списывания средств с помощью специальных сканирующих устройств вендоры предлагают защитный «пластик» размером с банковскую карту.

— Данная технология достаточно давно и активно используется для защиты карт с возможностью бесконтактной оплаты в Европе, — поясняет Елена Биндусова. — Разработчики гарантируют, что при использовании защитного пластика сигнал до карты не доходит, а значит, считать данные невозможно. В России технология пока не получила широкого распространения. По мере увеличения количества карт, поддерживающих технологию PayWave/PayPass, предложение по защите данных будет расширяться.

В MasterCard отметили, что пользоваться бесконтактной технологией так же безопасно, как и другими решениями MasterCard для безналичной оплаты. Официальные представители Visa не ответили на запрос «Известий».

В рамках исследования было опрошено 100 банков-партнеров Zecurion, которые с 2013 года отчитываются перед ЦБ об инцидентах, связанных с хищениями денег со счетов россиян (в том числе через интернет- и мобильный банк). Компания оценивала сводные данные банков по клиентам, которые не устанавливали антивирусы на персональные компьютеры (ПК) или сообщали свои логины-пароли для входа в личный кабинет на сайте банка третьим лицам.

В обзоре Zecurion говорится, что главным образом мошенники атакуют ПК с помощью троянов для кражи логинов-паролей, а затем получения дубликата SIM-карты с целью вывода средств со счета клиента (одноразовые пароли для операции приходят на мобильный телефон). На руку злоумышленникам играет человеческий фактор: иногда клиенты сами открывают страницу интернет-банка, например в офисе, отходят от ПК и могут стать потенциальными жертвами хищений. Или подключают интернет-банк к соцсетям, которые не несут ответственности за утерю денег граждан. Смартфоны с этой точки зрения еще менее защищены: многие россияне для упрощения входа в мобильный банк предпочитают вводить четырехзначный код вместо логинов-паролей (это предлагает банк в мобильном приложении для ускорения доступа к счету) и тем самым увеличивают степень уязвимости приложения.

По оценкам руководителя направления противодействия мошенничеству компании «Инфосистемы Джет» Алексея Сизова, более чем в 70% случаев пострадавший после осознания факта мошенничества сам понимает, «как его развели».

— Всё чаще мошенники при атаках на массовый сегмент используют рядовые уязвимости на стороне клиента: это «дыры» платформы Android, Java на ПК, отсутствие и несвоевременное обновление антивирусов (а иногда и их отключение, когда устанавливается нелегитимный софт), — поясняет Алексей Сизов. — Но кроме технических особенностей атаки, усложнения ее для совершения мошеннических действий, злоумышленники всё чаще используют социальную инженерию для максимальной отвлечения жертвы от того, что происходит.

Руководитель аналитического центра Zecurion Владимир Ульянов отмечает: чем чаще пользователи заходят в интернет- и мобильный банк с разных устройств, сетей, мест, тем выше риски. По логике эксперта, при таком подходе у клиентов выше вероятность воспользоваться скомпрометированной сетью или зараженным устройством.

— В свою очередь, сильно рискуют и «пассивные» пользователи сервисов дистанционного банковского обслуживания, — говорит Владимир Ульянов. — Хотя процент пострадавших среди них меньше, чем среди активных пользователей, проблема усугубляется тем, что возможные мошенничества могут оставаться незамеченным в течение долгого времени, за которое преступники выведут деньги и вернуть их уже не будет возможности.

При этом возмещение убытков клиентам остается на усмотрение самой кредитной организации и далеко не во всех случаях банки компенсируют клиентам потери — только с целью повышения лояльности.

Директор департамента аудита защищенности Digital Security Алексей Тюрин напоминает россиянам основные способы защиты от хакеров: не устанавливать программное обеспечение, в безопасности которого вы не уверены, по возможности обновлять ПО, пользоваться антивирусом, не доверять всем звонкам и SMS — они могут быть не из банка.

В офлайн преступники воруют данные карт с помощью скимминга — установки на АТМ устройств, считывающих номер, срок действия карты, PIN-код. В Сети — путем фишинга (кража логинов и паролей клиентов через Сеть с помощью сайтов-двойников и рассылку троянов на персональные компьютеры пользователей).

По данным Zecurion, за январь–июнь 2016 года злоумышленники похитили с помощью скимминга 900 млн рублей, с помощью фишинга — 140 млн рублей. Доля офлайн-краж возросла на фоне снижения объемов краж денег с карт россиян в абсолютном выражении. В прошлом году на офлайн-мошенничество приходилось 84% похищенных с карт средств (1,56 млрд рублей), на онлайн — 16% (293 млн). А в 2014 году — 86% (1,88 млрд рублей) и 14% (307 млн) соответственно.

— Сложнее стало монетизировать те данные, которые получены через интернет-каналы, — пояснил «Известиям» руководитель аналитического центра Zecurion Владимир Ульянов. — Банки вводят дополнительные меры защиты от несанкционированных списаний, различные ограничения по операциям, многофакторную аутентификацию клиентов, профилирование пользователей. Всё это усложняет деятельность мошенников.

По словам Владимира Ульянова, злоумышленники в попытке увеличить охват аудитории вынуждены активнее работать с офлайновыми клиентами. Первыми в категории риска оказываются клиенты-пенсионеры из-за низкого уровня осведомленности по вопросам безопасности.

— Дополнительно к данным с магнитной полосы у пенсионеров практически всегда можно узнать (спросить, подсмотреть из-за плеча и т.д.) пин-код, — говорит Владимир Ульянов. — Впрочем, такие клиенты практически не пользуются электронными сервисами банков, и в этом смысле карточки пенсионеров более защищены от кражи данных в интернете.

Алексей Сизов, руководитель направления противодействия мошенничеству центра информационной безопасности компании «Инфосистемы Джет», отмечает, что банкоматы для злоумышленников стали интереснее, потому что цепочка от кражи данных до получения денег намного проще, чем в случае с онлайн-мошенничеством: скиммировал карту (установка оборудования занимает от нескольких секунд до нескольких минут), сделал подделку (это занимает минут пять), пошел и снял деньги.

— Фишинг не дает быстрого результата в чистом виде, — отмечает Алексей Сизов. — Украв только логин — пароль, нужно получить еще дубликат SIM-карты (SMS с одноразовыми паролями для совершения операций приходят на мобильный телефон).

Алексей Сизов обращает внимание на то, что реальные офлайн-мошенники никогда не идут к банкомату.

— Одни крадут данные с карт граждан, другие делают клоны, третьи снимают деньги, — поясняет представитель «Инфосистемы Джет». — Самый большой риск у последних, и таких, как правило, находят в интернете среди безработных.

По словам Владимира Ульянова, чаще всего атакам злоумышленников, специализирующихся на скимминге, подвергаются АТМ банков, лидирующих по размеру банкоматных сетей (Сбербанк, ВТБ24, Росбанк, «Уралсиб», Альфа-банк и пр.). Эксперт отмечает, что речь, как правило, идет о регионах, где требования ЦБ по безопасности банкоматов соблюдаются менее тщательно.

Мария Воронцова, ведущий эксперт по информационной безопасности InfoWatch, указывает, что физическая защита банкоматов от офлайн-мошенников мало где применяется, хотя такие решения на рынке информационной безопасности существуют уже давно. По словам собеседницы, банки «по старинке» обходятся организационными мерами, предпочитая осуществлять периодическую визуальную проверку банкоматов.

В банках не наблюдают роста офлайн-мошенничества.

— Мы видим абсолютное снижение объемов скимминга, — комментирует начальник управления пластиковых карт ВТБ24 Александр Бородкин. — Прежде всего это обусловлено переводом основной массы эмиссии в России на карты с чипом (скимминг по которым для злоумышленников крайне затруднен).

По словам директора дирекции мониторинга электронного бизнеса Альфа-банка Алексея Голенищева, объем средств россиян, похищенных офлайн-мошенниками, год от года снижается, банки постоянно повышают степень защиты своих АТМ.

— Больше средств мошенники уводят, заражая АТМ вирусами, подключаясь к cash-диспенсерам, — указывает представитель Альфа-банка. — Банкоматы похищают, взрывают. Но все эти атаки на АТМ не учитываются международными платежными системами и поэтому не отражаются в статистике.

В пресс-службе Сбербанка сообщили, что наблюдают активное развитие "социальной инженерии ": мошенники разными способами вводят клиентов банков в заблуждение и выуживают у них важную информацию, необходимую для доступа к счетам: коды, пароли и пр.

В 2015 году были приняты поправки в Уголовный кодекс, установившие ответственность за фишинг и скимминг (максимальный тюремный срок — 10 лет, максимальный штраф — 1 млн рублей). Но, по словам экспертов, проблема не решена: дела по хищениям с карт заводятся с трудом, а расследуются еще медленнее.

Риск столкнуться с мошенничеством, особенно если вы турист, выше всего в Мексике, Бразилии и США. В Европе - от 10 до 30 процентов. В России показатели тоже неутешительные - более 20 процентов. Приверженцы безналичного расчета этим летом тоже рискуют угодить в лапы преступников, причем, как показывает практика, из-за банальной невнимательности. Так, во время поездки в Вену с семьей американский турист Бен Тедеско забрел на площадь перед собором Святого Стефана и решил снять деньги в банкомате, установленном в стене. Поверх слота для карты он обнаружил приклеенный скиммер (считывающее устройство), снял его и зафиксировал произошедшее на видео, чтобы предостеречь туристов.

Мошенникам не повезло: Бен Тедеско оказался старшим консультантом по техническим услугам в области безопасности.

Схема работы скиммера проста: когда вы вставляете карту в банкомат, считываются данные с черной магнитной дорожки, после чего злоумышленники изготавливают дубликат вашего "пластика" и снимают деньги со счета. Недостающие данные, например, ПИН-код, как правило, получают через съемку скрытой миниатюрной видеокамеры.

Остальные данные преступники черпают из соцсетей, рассказал MarketWatch сотрудник ACI, занимающийся сбором данных о мошенничестве. По его словам, чем больше данных владелец карты выкладывает о себе в Сети (где живет, какую школу закончил, что и где предпочитает покупать), тем легче злоумышленникам собрать по кусочкам портрет жертвы и подтвердить ее личность в случае возникновения вопросов у банка.

Путешественники, несмотря на то, что знают о вероятности потерять деньги на карте, все еще не научились принимать меры предосторожности, говорится в исследовании платежной системы PayPal. 73 процента респондентов заявили, что уверены в сохранности средств и даже не думают об этом во время отпуска. Около половины держателей "пластика" хотя бы одним глазком следят за деньгами на счету.

Чтобы не попасть в такую ситуацию за рубежом, как турист в Вене, которому просто повезло избежать последствий, помните, что лучше всегда иметь при себе немного наличных при прилете в другую страну, советует главный стратег по безопасности Carbon Black Бен Джонсон. Если забыли взять с собой наличные, то лучше снять их в банкомате в офисе известного или знакомого банка, а не в уличном банкомате, вмонтированном в стену.

Однозначно избежать мошенничества через скиммеры позволит наличие чипа на карте, так как его преступники пока не научились копировать. С точки зрения защищенности неважно, какой тип "пластика" - кредитку или дебетовую - вы возьмете в поездку, говорит руководитель направления оперативного анализа и противодействия мошенничеству банка "Хоум Кредит" Алексей Манеркин. Оба типа карт находятся на одном уровне защиты.

Помимо простых советов вроде неразглашения своего ПИН-кода, эксперты также советуют избегать онлайн-оплату по карточке во время выхода в Сеть через незащищенные публичные точки Wi-Fi (в кафе, торговых центрах, на вокзалах, в аэропорте). Перед отъездом за границу и сразу после приезда меняйте пароль в личный кабинет, добавляет Бен Джонсон.

Если же кражи избежать не удалось, то незамедлительно сообщите об этом в банк-эмитент и заблокируйте карту. "Деньги вернут, если владелец не нарушал условия договора (в части пользования картой и правил хранения секретной информации) и сообщил о мошеннической операции в установленный законом срок. Это 24 часа", - заключает Алексей Манеркин.

Как воруют чаще всего

Самый популярный тип мошенничества, на который приходится более 66% случаев, относится к похищению информации о карте. Это номер карты, окончание ее срока действия, имя владельца и трехзначные коды CVV2 (Card Verification Value) или CVC2 (Card Validation Code), используемые для интернет-платежей. Чаще всего злоумышленники приобретают эту информацию на черном рынке. Компания McAfee Labs провела собственный анализ цен на подобные предложения и установила диапазон – от 5 до 200 долларов США за одну карту в зависимости от региона, детализации информации и количества денег на счету владельца. Данные о картах добываются хакерскими атаками на платежные системы, магазины и банки, а также похищаются непосредственно у владельцев.

Один из самых распространенных способов хищения – с помощью вирусов для смартфонов. Причем, по данным Group-IB, одной из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничеств, в России в конце 2014 – начале 2015 года таким способом было похищено примерно 100 миллионов рублей.

Украв данные о карте, мошенники чаще всего совершают покупки в интернете, а также делают денежные переводы на свои счета.

Основную опасность для пользователей мобильных устройств сегодня представляют банковские вирусы-троянцы, объяснил РИА Новости Владимир Кусков, аналитик угроз для мобильных платформ "Лаборатории Касперского". Это специальное вредоносное ПО, направленное на хищение финансовой информации пользователя.

"Для более глубокой интеграции в системе один из троянцев запрашивает получение администраторских прав и перекрывает своим окном стандартный системный диалог. В итоге пользователь, нажимая на кнопку "Да", не представляет, на что именно согласился. Также есть модификация вируса, которая запрашивает у пользователя разрешение стать основным приложением для работы с SMS. Это позволяет троянцу обойти ограничения системы и скрывать от пользователя входящие SMS сообщения от банков и платежных систем. Другое распространенное семейство банковских троянцев Svpeng всячески маскирует свое присутствие и пытается мешать работе некоторых популярных в России защитных приложений. Svpeng может красть информацию о банковских картах пользователя с помощью фишинговых окон, перехватывать, удалять и отправлять текстовые сообщения. Некоторые вредоносные программы на экране устройства перекрывают открытое легитимное банковское приложение фишинговым окном, имитирующим это приложение. Самыми примечательными примерами таких программ могут служить троянец Trojan-SMS.AndroidOS.OpFake.cc и представители семейства Trojan-Banker.AndroidOS.Acecard. Одна из модификаций OpFake.cc умеет перекрывать интерфейс более 100 легитимных банковских и финансовых приложений. Другое семейство Acecard перекрывает более 30 банковских приложений, к тому же имеет способность перекрывать экраны любых других приложений по команде от управляющего сервера" – делится деталями Владимир Кусков.

Другие способы похищения денег с карт

Следом за похищением информации о картах с большим отрывом следует кража карт и скимминг (считывание данных с магнитной дорожки карты), который теряет популярность по мере увеличения на рынке карт с чипами и замены устаревших платежных терминалов. Мошенники используют специальные накладки на платежные терминалы и слоты банкоматов, а потом изготавливают дубликат карты. Одновременно злоумышленники пытаются заполучить PIN-код, для чего используют скрытые камеры наблюдения и другие средства.

Полностью обезопасить себя от мошенников нельзя, но сократить риски в разы – запросто.

Советы по защите карт и данных

Всегда незамедлительно блокируйте застрявшую в банкомате карту. Мошенники используют специальные конверты-липучки, устанавливаемые в щель банкомата для приема карт. Вставленная карта попадает в этот конверт и не считывается банкоматом. Пока владелец разбирается с ситуацией, подошедший мошенник дает совет набрать на всякий случай на клавиатуре банкомата PIN-код. Разумеется, это не помогает. При этом PIN-код становится ему известным благодаря установке скрытой камеры. После ухода владельца карты, мошенник извлекает конверт и забирает карту себе.

Скрывайте трехзначный код CVV2 (Card Verification Value) или CVC2 (Card Validation Code) от посторонних глаз. Он расположен на обратной стороне карты и используется для подтверждения интернет-транзакций. Одни заклеивают его тонким непрозрачным скотчем, другие закрашивают маркером. Однако полностью удалять его не рекомендуется во избежание проблем при оплате в магазинах.

Старайтесь пользоваться банкоматами в отделениях банков. Уличные банкоматы наиболее привлекательны для скимминга.

Прикрывайте рукой клавиатуру при наборе PIN-кода. Особенно если вы снимаете деньги в незнакомом месте, или что-то вызывает у вас подозрения. Чтобы узнать PIN-код, мошенники могут устанавливать скрытые камеры как на самом банкомате, так и рядом с ним.

Используйте SMS-уведомления об операциях. В случае подозрительного платежа немедленно звоните в банк и блокируйте карту. При определенных условиях такие операции удается оспорить.

Храните на повседневной карточке минимально необходимую сумму денег. А для хранения больших сумм лучше открыть в банке дополнительные счета или карты и переводить с них деньги по мере возникновения потребности. Также через интернет-банк можно установить лимит на снятие наличных, чтобы минимизировать потери в непредвиденных случаях.

Никогда никому не сообщайте PIN-код. Социальная инженерия – целая наука. Чаще всего мошенники представляются сотрудниками банка с целью узнать PIN-код или код доступа к системе интернет-банкинга.

Установите на смартфон антивирус. Но избегайте продуктов малоизвестных компаний. Они сами могут оказаться вирусами-троянцами.

Никогда не устанавливайте никаких приложений вне официальных магазинов типа Google Play или Яндекс.Store. Особенно во время серфинга по Сети. Иногда запросы об установке какого-либо приложения могут появляться даже на проверенных сайтах ввиду размещения ими таргетированных объявлений Google Adsense. Вместе с объявлениями злоумышленники научились посылать запросы на установку приложений.

При возникновении неожиданной ошибки не вводите PIN-код повторно. Лучше отмените операцию, выньте карту и попробуйте провести оплату заново. Мошенники, вступившие в сговор с владельцем платежного терминала, могут перенастроить его таким образом, что первый запрос PIN-кода будет системным, а повторный – фиктивным. В этом случае они получат незашифрованный PIN-код и смогут его использовать при работе со сделанным дубликатом карты. Также платежные терминалы никогда не должны спрашивать коды CVV2 и CVC2.

При установке приложений всегда проверяйте список запрашиваемых ими разрешений, таких как отправка и чтение SMS-сообщений или доступ к списку контактов. При возникновении подозрений откажитесь от установки.

Не открывайте ссылки в SMS-сообщениях от незнакомых абонентов. Это самый распространенный путь попадания вирусов в систему.

О снижении числа воровства денежных средств с помощью методов социальной инженерии «Известиям» сообщила специализирующаяся на банковской безопасности компания Zecurion. Эксперты установила, что принципиально новых ходов кибержулики пока не придумали, а о старых трюках знают уже даже пожилые пользователи, которых оперативно информируют их дети.

Тем не менее, аналитики предупреждают, что в недалеком будущем непременно появятся новые методы вытягивания персональной информации о счетах и банковских картах, в том числе, с помощью данных в социальных сетях. В качестве базовой меры безопасности специалисты советуют не использовать в паролях доступах личную информацию.

— Нельзя указывать свои данные на подозрительных сайтах. Нужно иметь отдельные (не привязанные к карточкам) счета в банках для хранения сбережений, использовать усовершенствованные системы оплаты, создавать виртуальные карты или иметь специальную отдельную карту с функцией 3D-secure для платежей в интернете, — сообщил директор департамента аудита защищенности Digital Security Алексей Тюрин.

Новые методы обработки клиентов банков уже активно используют за рубежом, а значит вскоре традиционно они придут и в Россию, отмечают эксперты.

После того как в распоряжении таких людей оказывается банковская карта, они используют ее для совершения нелегальных операций. Так, например, на эти карты можно перевести преступные доходы и обналичить их, а также снять в банкомате средства с чужих интернет-банков или электронных кошельков.

Кроме того, участились и случаи смс-мошенничества, отмечают в ЦБ. Так, например, гражданину может прийти сообщение о том, что на его карте заблокирована определенная сумма и для ее разблокировки необходимо позвонить по указанному номеру телефона. В ходе этого разговора мошенники стараются выведать номер счета гражданина, кодовое слово и другие данные, с помощью которых они получат доступ к деньгам.

Дело не в опасности карт

Между тем говорить о низкой безопасности банковских карт сегодня не приходится, подчеркивает вице-президент по безопасности MasterCard в России Евгений Балезин. "На российском рынке за несколько последних лет в результате планомерных усилий уровень защищенности операций растет, и этот рынок находится в числе достаточно благополучных", — отмечает он.

Чаще всего проблемы с картами и кража денег происходят из-за клиентов банка. "Это так называемая "социальная инженерия", когда злоумышленники связываются с держателем карты, например, по телефону, представляются от имени банка и получают информацию о номере карты, PIN-коде, кодовом слове", — поясняет он.

Именно из-за высокого уровня безопасности банковских карт и продуктов хакерам уже не остается ничего, кроме как работать не над взломом систем, а над "взломом людей", соглашается с Балезиным зампредправления "Локо Банка" Андрей Люшин.

"Моделируются ситуации, когда человек сам дает мошенникам доступ ко всем счетам, причем инструментарий у преступников за последние два года серьезно увеличился", — подчеркивает Люшин. По его словам, такой способ украсть средства — самый удобный для мошенников, так как он не требует высоких затрат, а правоохранительным органам трудно доказать факт преступления.

Пенсионеры под прицелом

"Продавать карты могут только те люди, которые не понимают, зачем они им нужны. Они никогда не пользуются ими и рассчитывают получить выгоду, продав за небольшие деньги", — объясняет директор Центра "Федеральный методический центр по финансовой грамотности системы общего и среднего профессионального образования" Николай Берзон.

Большинство граждан не задумывается о том, что последствия могут быть самыми непредсказуемыми и опасными. Например, при помощи чужой карты и PIN-кода можно открыть онлайн-счет и делать с ним "все что угодно, вплоть до финансирования террористических организаций", предполагает Берзон.

Под ударом, скорее всего, окажутся пенсионеры, которые приходят в "Сбербанк" за своей пенсией со сберегательной книжкой. Карты, которые им выдал банк и на которые также перечисляется их пенсия, лежат дома "без дела" — значит, их можно продать, объясняет Берзон.

Поддерживает его и профессор кафедры прикладной макроэкономики НИУ ВШЭ Игорь Николаев. "Большинство граждан преклонного возраста хотят получать деньги только наличными. Даже если они и пользуются карточкой, то для того, чтобы тут же снять всю пенсию в банкомате", — отмечает он. Поэтому пожилые люди — первые претенденты на то, чтобы быть обманутыми.

Основные правила

Между тем передавать свою банковскую карту третьему лицу, как и все остальные важные данные, запрещено во всех банках, напоминает Андрей Люшин. "Если такой факт обнаружится, банк незамедлительно блокирует карту", — подчеркивает он. Но большинству граждан это неизвестно.

"Финансовая грамотность нашего населения оставляет желать лучшего, особенно в отдаленных от Москвы регионах", — сетует Николай Берзон.

Банки, платежные системы и непосредственно Минфин стараются бороться с этим: они проводят специальную программу, чтобы помогать гражданам избегать негативного опыта. Так, например, на таких курсах сегодня учится порядка полутора тысяч учителей, которым рассказывают, как преподавать экономику в школе и научить молодежь распознавать мошенничество.

Однако с молодым поколением проблем сегодня нет, уверен Николаев, гораздо сложнее объяснить новую информацию людям в возрасте. У Балезина из MasterCard есть для них свод "простых, но важных правил". Так, например, он напоминает, что при получении банковской карты необходимо подписать ее, подключить смс-оповещения, а также ни под каким предлогом нельзя никому сообщать ее данные: PIN-код, CVV, кодовое слово и пароли от интернет-банка.

"Люди должны понимать, что ни платежная система, ни банк не будут запрашивать подобную информацию — а для того, чтобы они это понимали, необходима постоянная образовательная работа, которая, к счастью, уже ведется", — подчеркивает Балезин.

"Сегодня около четырех часов утра на пульт вневедомственной охраны Главного управления Росгвардии по городу Москве поступила информация о том, что в одном из отделений банка, расположенном на Нахимовском проспекте, неизвестные с различных пластиковых карт обналичивают крупную сумму денег", — сообщили в пресс-службе.

Прибыв на место, сотрудники Росгвардии задержали четверых человек, которые пытались скрыться на автомобиле. При задержании подозреваемые попытались избавиться от денежных средств, раскидывая купюры по проезжей части.

Во время досмотра автомобиля сотрудники Росгвардии обнаружили 15 пластиковых карт с пин-кодами, оформленные на разные фамилии, десять мобильных телефонов, сим-карты и три миллиона рублей.

Задержанные оказались уроженцами Республики Удмуртии в возрасте от 23 до 28 лет.

Ведется разбирательство, и решается вопрос о возбуждении уголовного дела.

Хакеры используют несколько схем для обмана пользователей. Есть ресурсы, предлагающие вознаграждение за выполнение рутинной работы — например, заполнение анкет. Также кибермошенники действуют через сайты, предлагающие гражданам «беспроигрышные лотереи»: пользователю сети говорят, что он выиграл много денег, и обещают их перевести ему на счет. Или же это липовая благотворительность — гражданам просто так предлагаются деньги.

— Обычно все эти схемы так или иначе приводят пользователя к тому, что деньги ему вот-вот переведут, но нужно оплатить 300–400 рублей налога, комиссии, процента за конвертацию валюты, — пояснили в «Яндексе». — И на этапе дополнительной оплаты мошенники крадут конфиденциальные данные карт банковских клиентов.

Пользователь, разумеется, никаких обещанных денег не получает. По оценкам «Яндекса», общая сумма денежных средств, которые у граждан в итоге выманивают обманным путем, составляет минимум 20 млн рублей в месяц.

В «Яндексе» уточнили, что всего на уловки мошенников попадаются около 12 тыс. пользователей в сутки, часть из них гарантированно соглашается ввести данные карт в зараженных формах для оплаты налогов или комиссий.

— Мы блокируем такие сайты, — уточнили в «Яндексе». — На данный момент заблокировано около 2 тыс. сайтов, предлагающих легкий заработок в сети. Мошенники стали еще более изощренными, предлагая пользователям ввести данные карт, чтобы оплатить комиссию или налог.

По словам замдиректора департамента аудита защищенности Digital Security Глеба Чербова, масштаб проблемы прямо пропорционален численности платежеспособного населения, недостаточно информированного о потенциальных угрозах и мерах предосторожности при проведении платежных операций.

— Злоумышленники в первую очередь рассчитывают на беспечность своих жертв, избалованных простотой совершения интернет-платежей, — пояснил Глеб Чербов.— Впрочем, отличить настоящую платежную форму от поддельной практически невозможно, ничто не мешает мошеннику сделать ее визуально идентичной привычным для пользователя платежным страницам. Наличие рядом с полями ввода карточных данных, вызывающих доверие логотипов банков и платежных систем говорит лишь о том, что их туда поместили.

Эксперт уточнил, что замочек в адресной строке браузера, символизирующий безопасность передачи данных по сети, является индикатором лишь того, что введенные данные будут защищены от перехвата по пути, но совершенно не гарантирует, что принимающая сторона не окажется мошеннической.

По словам юриста адвокатского бюро А2 Екатерины Ващилко, мошенники стали чаще использовать клоны защищенных страниц Visa и MasterCard, созданные таким образом, что неспециалисту отличить их от настоящих достаточно сложно. В итоге ложное ощущение защищенности вводимых данных карты приводит к тому, что держатели добровольно сообщают злоумышленникам всю необходимую информацию.

Причем сами мошенники стали чаще скрываться под видом надежных нанимателей, указала представитель А2. По словам Екатерины Ващилко, привлечь нарушителей к ответственности по факту совершенного преступления сложно, поскольку счета, на которые выводятся средства, регистрируются на подставных лиц и чаще всего — за пределами юрисдикции российских судов.

По словам представителя Digital Security, всегда следует с особым вниманием относиться к названию и правильности написания имени ресурса в адресной строке, особенно если на платежную страницу вела ссылка из недоверенного источника — другой сайт, электронное письмо, сообщение в мессенджере. Эксперт отметил, что современные антивирусы и средства, встроенные в браузеры, по возможности блокируют доступ пользователей к неблагонадежным ресурсам, но только после того, как о них становится известно.

Начальник управления информационной безопасности Росевробанка Дмитрий Орлов напомнил, что для совершения интернет-платежей лучше использовать отдельную карту: так риск потерять все средства снижается.

В офлайне преступники воруют данные карт в основном с помощью скимминга — установки на банкоматы устройств, считывающих номер, срок действия карты, PIN-код. В Сети главным образом — путем фишинга. Это кража логинов и паролей клиентов через Сеть с помощью сайтов-двойников и рассылки троянов на персональные компьютеры пользователей. Как уточнили в Zecurion, снижение объемов киберхищений в 2017 году связано с усилением систем кибербезопасности банков. Повысить уровень защищенности банки заставило повышенное внимание Центробанка к их информбезопасности — так, специалисты FinCERT при Банке России начали участвовать в проверках кредитных организаций. Кроме того, регулятор собирается выпустить ГОСТ по кибербезопасности, готовится профстандарт для антихакеров.

В общем объеме киберхищений лидируют именно офлайн-кражи. При совершении операций в банкоматах нужно внимательно осматривать аппараты на предмет скиммеров, их можно обнаружить на ощупь на клавиатуре. Эксперты также наблюдают активное развитие «социальной инженерии» в офлайне: мошенники разными способами вводят клиентов банков в заблуждение и выуживают у них важную информацию, необходимую для доступа к счетам: коды, пароли. Чтобы избежать таких офлайн-краж, нужно критически воспринимать любые просьбы сообщить данные карт и сразу перезванивать в свой банк.

— Доля офлайн-мошенничества всё еще слишком велика: подавляющее большинство краж связано со скиммингом — 48% списаний, — отметили в Zecurion. — Наиболее актуальные угрозы в Сети — несанкционированный доступ к мобильному банку (13% онлайн-списаний), интернет-банку (28%), покупки через интернет-магазины с использованием реквизитов карт без физического их присутствия (25%).

По словам руководителя направления противодействия мошенничеству центра информационной безопасности компании «Инфосистемы Джет» Алексея Сизова, скимминг появился раньше фишинга, и это уже десятилетием отработанная схема, которую достаточно дешево эксплуатировать.

— Компоненты скиминговых устройств можно свободно купить в интернете с доставкой на дом и итоговой ценой готового устройства для клонирования карты до $50, — пояснил Алексей Сизов.

Впрочем, представитель «Инфосистем джет» не уверен в том, что офлайн-кражи будут всегда лидировать по объему ущерба. По прогнозам эксперта, к 2018 году объем хищений с банковских карт в Сети может превысить объемы скимминга. Банки совершенствуют свои системы кибербезопасности, но клиенты продолжают проявлять халатность. Они часто не устанавливают на компьютеры или смартфоны антивирусы, не используют для покупок в Сети отдельные карты, не включают SMS-уведомления для контроля за операциями по «пластику» и подтверждения входа с помощью двухфакторной аутентификации — например, с помощью кода, пересылаемого по SMS.

Чтобы не попасться на уловки мошенников в онлайне, эксперты советуют гражданам соблюдать все эти меры предосторожности.

В 2015 году были приняты поправки в Уголовный кодекс, установившие ответственность за фишинг и скимминг (максимальный тюремный срок — 10 лет, максимальный штраф — 1 млн рублей). Но, по словам экспертов, проблема не решена: дела по хищениям с карт заводятся с трудом, а расследуются медленно. В 2017 году был разработан профильный законопроект об ответственности за кражу электронных денег и денежных средств с карт, по которому предусмотрено лишение свободы сроком до трех лет. Госдума собирается рассмотреть его до ухода на летние каникулы, а утвердить в октябре.

В Zecurion уверены, что ужесточение ответственности принципиально не повлияет на количество краж денег с карт.

Сегодня в 07:48 - Мошенники придумали новую схему кражи денег с кредитных карт. На этот раз их мишенью стали люди, продающие товары на интернет-сайтах, пишут "Известия".

По информации издания, злоумышленники прибегают к так называемой социальной инженерии — они притворяются покупателями и обманным путём узнают CVV-код от карты.

— Злоумышленники достаточно ловко маскируют свои цели и подменяют понятия, например, код CVV они могут назвать нейтральным "номером счёта", — приводит издание слова главы компании Zecurion Владимира Ульянова.

По предварительным данным, потери клиентов от новой схемы обмана эксперты оценили в 200 млн рублей. А в прошлом году злоумышленники похитили с банковских карт россиян 650 миллионов рублей.