Чаще всего злоумышленники пользуются излишней доверчивостью и невнимательностью граждан. Отсюда самый популярный способ: клиенту банка приходит СМС с информацией о блокировке карты или проведении несуществующей платежной операции. В сообщении всегда указан номер телефона, на который предлагается позвонить для получения «более подробной информации».
Расчет делается на то, что испуганный получатель СМС тут же перезвонит её отправителю. А тот, представившись сотрудником банка, просит назвать все данные карты: ее номер, CVV- и PIN-код. Защититься от этого можно только одним способом: никак не реагировать на подобные СМС, а еще лучше – удалять их. Для спокойствия можно позвонить в свой банк (номер телефона указан на обороте карты), рассказать о ситуации и проверить счет.
Разновидностей фишинга (от англ. fishing – рыбная ловля, выуживание) много, но все сводятся к тому, что сам пользователь на сайте, созданном мошенниками, вводит данные своей карты. Такие странички очень похожи на сайт «родного» банка или магазина, а разница обычно в адресе, предупреждает Роман Янковский, партнер юрфирмы «Зарцын, Янковский и партнёры». Так, вместо alfabank.ru может быть alfabanc.ru, а вместо open.ru – oper.ru. Попасть на такой сайт можно разными путями:
- преступники по электронной почте отправляют владельцу карты подделанное под официальное письмо, рассказывает Дмитрий Солдаткин, председатель . В нем просят «для проверки» перейти по ссылке, которая и ведет на мошеннический ресурс;
- на фальшивый портал пользователя может перебросить, когда тот нажмет на всплывающую рекламу;
- можно самому найти сайт мошенника при поиске нужной страницы.
После того, как вы ввели данные своей карты на таком ресурсе, эта информация пересылается злоумышленникам. Зная номер, имя владельца и срок окончания действия карты, преступники смогут расплачиваться ей на сайтах интернет-магазинов, где не требуется вводить CVV- или одноразовые коды. Еще один вариант – мошенники сразу перекинут оттуда деньги на свою карту через сервисы перевода Card2Card. Там тоже не требуется вводить CVV- и прочие дополнительные коды.
Для защиты внимательно проверяйте веб-адрес сайта банка и интернет-магазина, на который зашли – оригинальный это ресурс или его мошенническая копия.
Кроме внимательности, одной из самых простых профилактических мер, которая защитит от многих видов мошенничества, является подключение СМС-оповещения обо всех операциях с вашим банковским счетом. Если на телефон начнут приходить сообщения о платежах, которые клиент не совершал, – надо сразу обращаться в банк для блокировки карты. Еще один совет – записать в телефон или записную книжку номер своей кредитной организации. У некоторых банков есть удобная система, чтобы «заморозить» кредитную карту по одному СМС или через приложение на телефоне. Клиенту в СМС будет достаточно набрать: «БЛОКИРОВКА 1234 (последние цифры номера карты)». После чего можно пойти в банк и попросить перевыпустить карту, у которой будет уже другой номер. Сам счет при этом остается прежним, меняют только номер «ключа» – карты, которую уже знают преступники. Некоторые клиенты банков в качестве профилактики сами перевыпускают карту, не дожидаясь окончания срока ее действия. Это может стоить денег – лучше заранее проверить тарифы на сайте банка или в офисе, прежде чем пойти на такой шаг.
Установка нелицензионных программ приводит к тому, что злоумышленники заражают устройства пользователя вирусами, которые позволяют получить всю информацию из девайсов, поясняет Солдаткин. Эти вирусы работают таким образом, что передают мошенникам все данные, которые пользователь вводит в своем интернет-браузере: логины и пароли от разных сайтов, включая соцсети, интернет-банки, электронные кошельки и любые карточные данные. При этом компьютер или телефон пострадавшего может заразиться от любого скачанного файла. Одним из примеров подобного вируса являются кейлоггеры – программы, которые фиксируют нажатия клавиш на клавиатуре. Они становятся альтернативными клавиатурами, чтобы злоумышленник на своем компьютере мог видеть сведения, которые набирает жертва. Чтобы избежать заражения, необходимо постоянно обновлять антивирусную защиту и не открывать подозрительные ссылки и письма.
Для онлайн-покупок также можно завести специальную виртуальную карту: она не имеет реквизитов и привязана к конкретному владельцу. Чтобы ее получить, нужно обратиться в свой банк или открыть через личный кабинет в банковском приложении. На нее можно переводить деньги по необходимости – ровно столько, сколько нужно для покупки. Более простой вариант – завести обычную карту «только для покупок», установить на ней лимит единоразовых и ежемесячных трат. Для более эффективной защиты можно подключить к банковской карте технологию 3D Secure. Это еще одна «ступень» для проведения транзакции – чаще всего это СМС-код, который нужно ввести на сайте банка для подтверждения платежа.
Этот способ кражи средств с карт заключается в том, что мошенник устанавливает на банкомат одно устройство, считывающее информацию с магнитной ленты карты, а второе присоединяет к клавиатуре банкомата для записи пин-кода, говорит Янковский. Иногда вместо второго устройства используется видеокамера. Некоторые «фанаты своего дела» устанавливают целые поддельные банкоматы для получения таких сведений, отмечает эксперт: «Вы можете даже не заметить того, что с банкоматом не все в порядке: после ввода пин-кода устройство обычно имитирует ошибку». После этого ничего не подозревающий гражданин забирает карту, данные которой уже скопировало фальшивое устройство, поясняет юрист. Дальше преступнику лишь остается изготовить копию карты с помощью специального оборудования, которое продается за $200–300 даже в популярном интернет-магазине eBay, и снять с нее деньги.
Наиболее эффективная защита от перечисленных видов мошенничества – опять же внимательность клиента, уверяет Матвей Протасов, партнер . Он советует не передавать карту в руки посторонним лицам, закрасить или стереть защитный код на оборотной стороне, не сообщать посторонним её реквизиты и проверочные коды. Кроме того, в случае замены номера телефона всегда нужно отвязывать старый номер от банковских приложений, добавляет эксперт. Ещё один совет юриста – не хранить крупные суммы денег на «карточном» счёте, а переводить их туда с другого счёта по мере необходимости.
Это тоже может быть одной из форм мошенничества, рассказывает Янковский. Оплачивая какой-либо товар банковской картой, продавец сообщает, что платеж не прошел и необходимо повторить действие. Но и в первом случае, и при повторе операции деньги списываются, о чем покупатель в лучшем случае узнает в этот же день, поясняет эксперт.
Перед тем как проводить карту второй раз, лучше проверить свой баланс и посмотреть в интернет-банке список последних проведённых операций по карте. Если деньги уже списаны, лучше не платить еще раз, а обсудить ситуацию с продавцом: возможно, это действительно ошибка. Если же продавец настаивает на повторном платеже, а отказаться от покупки никак не хочется, то возьмите оба чека об оплате и будьте готовы к тому, что придется доказывать двойное списание. Если, конечно, продавец не скроется вместе с вашими деньгами.
Мошенники приходят в офис сотового оператора с поддельной доверенностью и просят изготовить дубликат сим-карты, к которой привязана банковская карта, и потом спокойно совершают операции по вашей карте, говорит Янковский. Также, если сим-карта прекращает действовать, мошенники могут зарегистрировать новую симку с тем же номером, который все еще привязан к банковской карте, предупреждает юрист. Чтобы защититься от такого мошенничества, некоторые сотовые операторы предлагают клиентам подключить услугу «Запрет обслуживания по доверенности». Но и это не поможет, если злоумышленники, зная о крупной сумме на карте, вступят в сговор с сотрудниками операторов сотовой связи. Тогда они все равно выпустят дубликат сим-карты для использования онлайн-банкинга или получения разового кода-пароля для крупной транзакции, объясняет этот способ Протасов. В такой ситуации банку и сотовому оператору придется доказывать отсутствие своей вины в случившемся. Если у них это не получится, то им придется выплатить украденные деньги клиенту. Именно к такому выводу пришел Верховный суд в деле № 5-КГ15-164 (см. «МТС или Сбербанк – кто возместит убытки за кражу денег со счета через «мобильный банк»).
Квалификация преступлений с картами
Российское законодательство только сейчас начинает подстраиваться под изменившиеся реалии. Осенью прошлого года Верховный суд в своем постановлении «О судебной практике по делам о мошенничестве, присвоении и растрате» подробно разъяснил правовые аспекты «мошенничества в сфере компьютерной информации» (ст. 159.6 УК РФ). Разработчики документа после долгих обсуждений сошлись на том, что это «вмешательство в функционирование средств хранения, обработки и передачи информации». Таким образом, постановление отделило «компьютерное» мошенничество от кражи через «ввод тех или иных сведений».
В частности, кражей, а не мошенничеством надо считать ситуацию, когда злоумышленник похитил деньги у жертвы, подобрав пин-код от чужой карты, или воспользовался «мобильным банком» другого человека. Но подобная трактовка применима лишь в том случае, если похититель не использовал при входе в приложение компьютерные вирусы или программы для взлома. Аналогично расцениваются и преступления, которые совершили с помощью поддельных сайтов, интернет-магазинов и электронной почты – их надо квалифицировать как «простое», а не «компьютерное» мошенничество. Документ разъяснил и то, что хищение электронных денег ничем не отличается от кражи наличных.
В обсуждаемой теме проблемным является вопрос о месте совершения преступления, отмечает партнер Дарья Константинова: «ВС в своем постановлении оставил такой момент без разъяснений. И суды на основании позиции Конституционного суда стали относить к нему место открытия электронного счета потерпевшего».
Кто виноват: банк или клиент
Если деньги все же похитили, пользователю следует в первую очередь понять, как именно и когда все произошло. Для этого нужно сначала обратиться в банк, выпустивший карту, говорит Владислав Кудрявцев, юрист . Связаться с кредитной организацией надо в течение первых суток, как только клиент обнаружил пропажу денег, иначе бремя доказывания ляжет на пострадавшего, а банк освобождается от ответственности компенсировать украденное (ч. 14 ст. 9 ФЗ «О национальной платежной системе»). После того как жертва известила банк о случившемся, надо идти в ближайшее отделение полиции и писать заявление о краже.
Если мошенник нашел клиента не случайно: знал, каким банком пользуется жертва и её телефон, то, скорее всего, из кредитной организации произошла утечка части конфиденциальных данных, говорит управляющий партнер Сергей Егоров. Но, по его словам, на практике доказать этот факт практически невозможно.
Если жертва в течение суток сообщила в банк о краже и обратилась в полицию, то именно кредитной организации придется доказывать, что они не виноваты в случившемся. Если у банка не окажется убедительных аргументов в пользу небрежности своего клиента, законности и должной осмотрительности своего поведения, то именно кредитная организация будет возвращать деньги (ч. 15 ст. 9 ФЗ «О национальной платежной системе»).
Но судебная практика по таким историям неоднородна. С банковской карты жителя Приморья Сергея Данилина* злоумышленники сняли деньги в одном из банкоматов города Богота (Колумбия). Хотя сам пострадавший в этой стране никогда не был, а в момент спорных операций ехал на поезде из Хабаровска во Владивосток. Но даже это обстоятельство не помогло ему взыскать деньги с банка. Первая инстанция, ссылаясь на то, что деньги снимались по правильному PIN-коду, посчитала виноватым в этой ситуации самого Данилина. Апелляция оставила такое решение без изменений (дело № 33-503). Вот и Сергею Рубцову* не удалось в судебном порядке добиться возврата денег, которые злоумышленники сняли у него с кредитной карты. Ульяновский областной суд подчеркнул, что при спорных операциях вводился правильный PIN-код, а на карте к моменту преступления уже имелся долг, накопленный самим пострадавшим (дело № 33-842/2015). Более того, апелляция заметила, что уголовное дело по факту кражи еще не доказывает снятие денег без ведома заявителя.
Лишь Анне Егоровой* из Ставропольского края удалось убедить суд в отсутствии своей вины. У нее сняли деньги через мобильное приложение банка, хотя она не подписывала договор на его подключение и даже не имела сотового телефона, без которого нельзя воспользоваться этой программой. Такие доказательства убедили Ессентукский городской суд, который постановил, что банк обязан вернуть истцу украденные деньги. Из-за такой неоднозначной судебной практики имеет смысл заранее застраховать свои средства от кражи. Такую услугу банки обычно предлагают сами при выдаче карты.
Дополнительные опции и решение законодателя
Самое сложное сочетать безопасность и удобство для клиента в пользовании банковской картой, ведь все дополнительные меры защиты обычно упираются в усложнение процесса покупок, отмечает Александр Степанов, эксперт по розничной банковской методологии одного из ведущих российских банков. На его взгляд, будущее в этой сфере лежит в широких возможностях интернет-банкинга и мобильных приложений, в которых клиент сможет сам настраивать дополнительные способы защиты: «К примеру, отключать опцию восстановления пароля через сим-карту или включать вспомогательные идентификаторы на вход в интернет-банк».
Многие клиенты банков опасаются приобретать карты с бесконтактной оплатой (технология PayPass), однако это опасение в некотором смысле излишне. Такие карты считаются наиболее безопасными из-за того, что возможность их клонирования полностью исключена. В случае потери такой карты клиент может оперативно её заблокировать, используя мобильное приложение или позвонив в банк.
О безопасности банковских клиентов заботится и законодатель – с 26 сентября 2018 года вступили в силу поправки к ФЗ «О национальной платежной системе». Нововведения наделяют банки правом без заявления клиентов приостанавливать выполнение подозрительных платежей на срок до двух рабочих дней, если операции произведены с нового устройства или новой сим-карты либо с «нетипичной» географией перечислений и суммой перевода. Кредитную организацию смутит, если вы станете оплачивать покупку со старого смартфона, хотя в течение полугода до этого рассчитывались через PayPass последней модели iPhone.
Если когда-то с устройства пытались незаконно выводить деньги, то сведения об этом девайсе попали в специальную базу ЦБ. Это означает, что когда кто-то снова решит вывести деньги через это устройство, банк заморозит такую операцию и станет уточнять информацию у своего клиента. Из кредитной организации владельцу карты позвонят и в том случае, если пару часов назад он оплачивал покупки, находясь на окраине Омска, а сейчас пытается снять деньги из банкомата в Колумбии. Аналогично вызовет подозрения у банка ситуация, когда с карты их клиента, живущего в Челябинске, в течение одного дня пойдут переводы денег в Венесуэлу. Хотя, раньше их клиент таких операций никогда не проводил.
Кроме того, новеллы легализуют обмен данными о случаях мошенничества в финансовой сфере между банками, подчеркивает Вадим Заборский, координатор направления «Информационная безопасность» проектного офиса по реализации программы «Цифровая экономика» из аналитического центра при Правительстве РФ.
Параллельно с этим Центробанк разработал проект указаний по этой же теме. Документ предполагает, что ЦБ станет получать сведения об операциях, которые похожи на мошеннические. Процедура будет следующей: после того, как кредитная организация заблокирует подозрительный платеж, она сразу направляет сведения о нем в Банк России. Информация, направляемая в Центробанк, должна включать в себя информацию о плательщике, получателе средств, об устройстве, с использованием которого осуществлялась операция, о номере карты, сумме, валюте операции, времени совершения операции и её номере. Если владелец карты решит перевести деньги получателю, находящемуся в такой базе, банк заморозит платеж и позвонит своему клиенту, чтобы уточнить необходимость проведения такой операции.
Перечисленные изменения тоже могут дать почву для нового вида мошенничества: злоумышленники будут звонить вам и просить назвать сведения карты, угрожая блокировкой за якобы подозрительную операцию. Поэтому базовым остается совет о внимательности в любых ситуациях.
* – имена и фамилии действующих лиц изменены.