Статья опубликована в № 3860 от 26.06.2015 под заголовком: Пластические махинации

Карточные мошенники за год украли у граждан 1,58 млрд рублей

Как злоумышленники выманивают пароли и ПИН-коды у держателей пластиковых карт

В 2014 г. объем мошеннических операций с использованием платежных карт составил 1,58 млрд руб.; чтобы достичь такого результата, злоумышленники использовали более 70 000 платежных карт, 70% из которых – расчетные (дебетовые), следует из июньского обзора ЦБ.

В большинстве случаев (68%) такие операции совершаются с использованием реквизитов действующих платежных карт, в 21% случаев мошенники изготавливали поддельные карты. Несанкционированные операции по утерянным или украденным картам зафиксированы в 11% случаев, подсчитали в ЦБ.

По словам банкиров, сегодня для выуживания персональных данных держателей карт и их кредиток (фишинга) мошенники активно используют методы социальной инженерии (науки об управлении поведением человека без технических средств на основе психологии).

Вам компьютер

Стандартная фишинговая схема начинается с sms о блокировке карты, рассказывает вице-президент банка «ХМБ Открытие» Юрий Божор. Доверчивые люди звонят по телефону, указанному в sms, и называют «сотрудникам службы безопасности банка» номер карты для проверки, CVV-код и другие данные. Если карта жертвы защищена системой 3D Secure, для завершения транзакции нужен пароль, который автоматически поступает на телефон. Поэтому мошенники говорят, что для разблокировки карты пришлют проверочное sms-сообщение и клиент должен назвать указанный в нем код. На самом же деле в этот момент они совершают покупку через интернет-магазин либо переводят средства на свою карту или счет мобильного телефона.

Представившиеся сотрудниками службы безопасности или контактного центра банка мошенники могут также убедить клиента подойти к ближайшему банкомату и выполнить под их контролем операции по «спасению» средств, рассказывает представитель Сбербанка.

Слепо следуя получаемым по телефону инструкциям, люди своими руками переводят средства на электронные кошельки, банковские карты или телефоны мошенников, сетуют банкиры.

В подтверждение Божор вспоминает клиентку, которая в декабре неожиданно получила sms-уведомление о выигрыше компьютера. Позвонив по указанному в sms номеру, она услышала, что некая компания начинает бизнес в России, поэтому провела розыгрыш среди 28 000 абонентов. Чтобы получить свой выигрыш, женщина охотно продиктовала фамилию, имя, отчество и адрес для доставки. Компьютер не привезли, однако перезвонили и объяснили: «Доставить компьютер не получается, но, поскольку западное руководство настаивает на вручении приза, фирма готова зачислить на счет победительницы его стоимость – 150 000 руб.». Внушительная сумма заставила забыть о безопасности, и дама продиктовала мошенникам номер карты и другие данные, якобы необходимые для перечисления средств.

Сразу списать деньги с карты, защищенной технологией 3D Secure, злоумышленникам не удалось, у «победительницы» запросили код из тестовой эсэмэски. В итоге сначала с карты было списано 50 000 руб., на повторную транзакцию на ту же сумму среагировали сотрудники службы предотвращения мошенничества банка и заблокировали карту. Мошенники же сообщили клиентке о проблемах с картой и посоветовали обратиться в банк. «Возмущенная клиентка позвонила в банк, пожаловалась, что ей мешают получить выигрыш, и долго не верила, что это мошенники», – рассказывает банкир.

Мошенники все чаще пытаются заманить клиентов на подложные интернет-сайты с очень низкими ценами на авиабилеты или бытовую технику, рассказывает директор по мониторингу электронного бизнеса Альфа-банка Алексей Голенищев. В опцию оплаты на поддельном сайте мошенники «встраивают» сервисы перевода денег с карты на карту с вводом одноразового пароля, который приходит по sms. Клиент опрометчиво его вводит, будучи уверен, что оплачивает покупку. При этом в sms указывается, на какие цели идут средства: если видно, что это перевод на карту, а клиент совершает покупку, то он ни в коем случае не должен вбивать и передавать кому-либо этот код, предостерегает представитель Альфа-банка.

В подобных ситуациях вся вина за утрату денег полностью лежит на самом клиенте и банки не компенсируют похищенное мошенниками, напоминают юристы.

Отпечатки

Самый популярный вид мошенничества, по мнению представителя «ВТБ 24», – скимминг (кража данных карты при помощи считывающего устройства на банкоматах и других платежных устройствах общего пользования).

Чтобы уберечься от него, не следует пользоваться банкоматами в плохо освещенных и безлюдных местах, нужно использовать банкоматы только надежных и проверенных банков, не допускать сторонних наблюдателей при снятии наличных, а также не прибегать к помощи посторонних лиц, говорит начальник операционного управления Райффайзенбанка Наталья Воеводина.

«При введении пин-кода всегда прикрывайте клавиатуру. Это не позволит мошенникам увидеть ваш пин-код или записать его на видеокамеру», – сказано в памятке Сбербанка. Поскольку памятка по безопасности согласно условиям использования карт Сбербанка является частью договора, клиент обязан соблюдать установленные в ней правила. Если банк докажет, что пин-код был записан мошенниками при помощи камеры только потому, что клиент не прикрыл клавиатуру рукой, суд вполне может и отказать клиенту в возмещении украденного, объясняет партнер Tertychny Law Иван Тертычный. Непонятно, правда, что делать, если мошенники установили накладную клавиатуру. Вменить в обязанность клиенту отличать настоящую клавиатуру от поддельной, по-видимому, нельзя, добавляет Тертычный.

Час расплаты

По словам Тертычного, существуют общие правила выплат компенсаций в случае карточного мошенничества. Если банк не уведомил клиента об операции в установленном договором порядке, а также если банк допустил операции по карте после сообщения клиента об ее утрате, ответственность полностью лежит на банке, утверждает он. В обоих случаях банк обязан возместить клиенту все потери от несанкционированных операций.

Клиент обязан предоставить в банк контактную информацию и следить за ее актуальностью: невыполнение этих требований может привести к отказу банка в возмещении средств в случае мошеннических операций, предупреждает начальник отдела департамента защиты информации Газпромбанка Николай Пятиизбянцев.

«Клиент может опротестовать операцию по карте, если соблюдаются два условия. Первое: клиент обратился в банк с заявлением не позднее дня, следующего за днем получения от банка уведомления об операции. Второе: у банка нет доказательств нарушения клиентом порядка использования карты, например хранения клиентом пин-кода вместе с картой», – говорит Тертычный. Он вспоминает случай, когда клиент принес в суд запечатанный пин-конверт и доказал, что никак не мог сообщить свой пин-код кому-либо, поскольку сам не знал его.