Must-read
4 октября 2018, 9:14

Фишеры, скиммеры, взломщики: как защитить деньги на карте

Деньги могут украсть через фальшивый банкомат или заразив компьютер вирусами. Обычно мошенники ловят людей на их собственной небрежности. Главный совет, чтобы обезопасить свои средства от «фишинга» и «скимминга», – внимательность, а какие карты самые надежные, расскажут эксперты.

Чаще всего злоумышленники пользуются излишней доверчивостью и невнимательностью граждан. Отсюда самый популярный способ: клиенту банка приходит СМС с информацией о блокировке карты или проведении несуществующей платежной операции. В сообщении всегда указан номер телефона, на который предлагается позвонить для получения «более подробной информации». 

Расчет делается на то, что испуганный получатель СМС тут же перезвонит её отправителю. А тот, представившись сотрудником банка, просит назвать все данные карты: ее номер, CVV- и PIN-код. Защититься от этого можно только одним способом: никак не реагировать на подобные СМС, а еще лучше – удалять их. Для спокойствия можно позвонить в свой банк (номер телефона указан на обороте карты), рассказать о ситуации и проверить счет.

Фишинг

Разновидностей фишинга (от англ. fishing – рыбная ловля, выуживание) много, но все сводятся к тому, что сам пользователь на сайте, созданном мошенниками, вводит данные своей карты. Такие странички очень похожи на сайт «родного» банка или магазина, а разница обычно в адресе, предупреждает Роман Янковский, партнер юрфирмы «Зарцын, Янковский и партнёры». Так, вместо alfabank.ru может быть alfabanc.ru, а вместо open.ru – oper.ru. Попасть на такой сайт можно разными путями:

преступники по электронной почте отправляют владельцу карты подделанное под официальное письмо, рассказывает Дмитрий Солдаткин, председатель КА "Солдаткин, Зеленая и Партнеры". В нем просят «для проверки» перейти по ссылке, которая и ведет на мошеннический ресурс;на фальшивый портал пользователя может перебросить, когда тот нажмет на всплывающую рекламу;можно самому найти сайт мошенника при поиске нужной страницы.

После того, как вы ввели данные своей карты на таком ресурсе, эта информация пересылается злоумышленникам. Зная номер, имя владельца и срок окончания действия карты, преступники смогут расплачиваться ей на сайтах интернет-магазинов, где не требуется вводить CVV- или одноразовые коды. Еще один вариант – мошенники сразу перекинут оттуда деньги на свою карту через сервисы перевода Card2Card. Там тоже не требуется вводить CVV- и прочие дополнительные коды. 

Для защиты внимательно проверяйте веб-адрес сайта банка и интернет-магазина, на который зашли – оригинальный это ресурс или его мошенническая копия. 

Кроме внимательности, одной из самых простых профилактических мер, которая защитит от многих видов мошенничества, является подключение СМС-оповещения обо всех операциях с вашим банковским счетом. Если на телефон начнут приходить сообщения о платежах, которые клиент не совершал, – надо сразу обращаться в банк для блокировки карты. Еще один совет – записать в телефон или записную книжку номер своей кредитной организации. У некоторых банков есть удобная система, чтобы «заморозить» кредитную карту по одному СМС или через приложение на телефоне. Клиенту в СМС будет достаточно набрать: «БЛОКИРОВКА 1234 (последние цифры номера карты)». После чего можно пойти в банк и попросить перевыпустить карту, у которой будет уже другой номер. Сам счет при этом остается прежним, меняют только номер «ключа» – карты, которую уже знают преступники. Некоторые клиенты банков в качестве профилактики сами перевыпускают карту, не дожидаясь окончания срока ее действия. Это может стоить денег – лучше заранее проверить тарифы на сайте банка или в офисе, прежде чем пойти на такой шаг. 

Использование пиратского софта на телефонах и компьютерах

Установка нелицензионных программ приводит к тому, что злоумышленники заражают устройства пользователя вирусами, которые позволяют получить всю информацию из девайсов, поясняет Солдаткин. Эти вирусы работают таким образом, что передают мошенникам все данные, которые пользователь вводит в своем интернет-браузере: логины и пароли от разных сайтов, включая соцсети, интернет-банки, электронные кошельки и любые карточные данные. При этом компьютер или телефон пострадавшего может заразиться от любого скачанного файла. Одним из примеров подобного вируса являются кейлоггеры – программы, которые фиксируют нажатия клавиш на клавиатуре. Они становятся альтернативными клавиатурами, чтобы злоумышленник на своем компьютере мог видеть сведения, которые набирает жертва. Чтобы избежать заражения, необходимо постоянно обновлять антивирусную защиту и не открывать подозрительные ссылки и письма. 

Для онлайн-покупок также можно завести специальную виртуальную карту: она не имеет реквизитов и привязана к конкретному владельцу. Чтобы ее получить, нужно обратиться в свой банк или открыть через личный кабинет в банковском приложении. На нее можно переводить деньги по необходимости – ровно столько, сколько нужно для покупки. Более простой вариант – завести обычную карту «только для покупок», установить на ней лимит единоразовых и ежемесячных трат. Для более эффективной защиты можно подключить к банковской карте технологию 3D Secure. Это еще одна «ступень» для проведения транзакции – чаще всего это СМС-код, который нужно ввести на сайте банка для подтверждения платежа.

Скимминг

Этот способ кражи средств с карт заключается в том, что мошенник устанавливает на банкомат одно устройство, считывающее информацию с магнитной ленты карты, а второе присоединяет к клавиатуре банкомата для записи пин-кода, говорит Янковский. Иногда вместо второго устройства используется видеокамера. Некоторые «фанаты своего дела» устанавливают целые поддельные банкоматы для получения таких сведений, отмечает эксперт: «Вы можете даже не заметить того, что с банкоматом не все в порядке: после ввода пин-кода устройство обычно имитирует ошибку». После этого ничего не подозревающий гражданин забирает карту, данные которой уже скопировало фальшивое устройство, поясняет юрист. Дальше преступнику лишь остается изготовить копию карты с помощью специального оборудования, которое продается за $200–300 даже в популярном интернет-магазине eBay, и снять с нее деньги. 

Наиболее эффективная защита от перечисленных видов мошенничества – опять же внимательность клиента, уверяет Матвей Протасов, партнер АБ "Романов и партнеры". Он советует не передавать карту в руки посторонним лицам, закрасить или стереть защитный код на оборотной стороне, не сообщать посторонним её реквизиты и проверочные коды. Кроме того, в случае замены номера телефона всегда нужно отвязывать старый номер от банковских приложений, добавляет эксперт. Ещё один совет юриста – не хранить крупные суммы денег на «карточном» счёте, а переводить их туда с другого счёта по мере необходимости.

Ошибочная операция в магазине 

Это тоже может быть одной из форм мошенничества, рассказывает Янковский. Оплачивая какой-либо товар банковской картой, продавец сообщает, что платеж не прошел и необходимо повторить действие. Но и в первом случае, и при повторе операции деньги списываются, о чем покупатель в лучшем случае узнает в этот же день, поясняет эксперт.Перед тем как проводить карту второй раз, лучше проверить свой баланс и посмотреть в интернет-банке список последних проведённых операций по карте. Если деньги уже списаны, лучше не платить еще раз, а обсудить ситуацию с продавцом: возможно, это действительно ошибка. Если же продавец настаивает на повторном платеже, а отказаться от покупки никак не хочется, то возьмите оба чека об оплате и будьте готовы к тому, что придется доказывать двойное списание. Если, конечно,  продавец не скроется вместе с вашими деньгами. 

Взлом мобильного приложения

Мошенники приходят в офис сотового оператора с поддельной доверенностью и просят изготовить дубликат сим-карты, к которой привязана банковская карта, и потом спокойно совершают операции по вашей карте, говорит Янковский. Также, если сим-карта прекращает действовать, мошенники могут зарегистрировать новую симку с тем же номером, который все еще привязан к банковской карте, предупреждает юрист. Чтобы защититься от такого мошенничества, некоторые сотовые операторы предлагают клиентам подключить услугу «Запрет обслуживания по доверенности». Но и это не поможет, если злоумышленники, зная о крупной сумме на карте, вступят в сговор с сотрудниками операторов сотовой связи. Тогда они все равно выпустят дубликат сим-карты для использования онлайн-банкинга или получения разового кода-пароля для крупной транзакции, объясняет этот способ Протасов. В такой ситуации банку и сотовому оператору придется доказывать отсутствие своей вины в случившемся. Если у них это не получится, то им придется выплатить украденные деньги клиенту. Именно к такому выводу пришел Верховный суд в деле № 5-КГ15-164 (см. «МТС или Сбербанк – кто возместит убытки за кражу денег со счета через «мобильный банк»).

Квалификация преступлений с картами

Российское законодательство только сейчас начинает подстраиваться под изменившиеся реалии. Осенью прошлого года Верховный суд в своем постановлении «О судебной практике по делам о мошенничестве, присвоении и растрате» подробно разъяснил правовые аспекты «мошенничества в сфере компьютерной информации» (ст. 159.6 УК РФ). Разработчики документа после долгих обсуждений сошлись на том, что это «вмешательство в функционирование средств хранения, обработки и передачи информации». Таким образом, постановление отделило «компьютерное» мошенничество от кражи через «ввод тех или иных сведений». 

В частности, кражей, а не мошенничеством надо считать ситуацию, когда злоумышленник похитил деньги у жертвы, подобрав пин-код от чужой карты, или воспользовался «мобильным банком» другого человека. Но подобная трактовка применима лишь в том случае, если похититель не использовал при входе в приложение компьютерные вирусы или программы для взлома. Аналогично расцениваются и преступления, которые совершили с помощью поддельных сайтов, интернет-магазинов и электронной почты – их надо квалифицировать как «простое», а не «компьютерное» мошенничество. Документ разъяснил и то, что хищение электронных денег ничем не отличается от кражи наличных.  

В обсуждаемой теме проблемным является вопрос о месте совершения преступления, отмечает партнер АБ «Забейда и партнеры» Дарья Константинова: «ВС в своем постановлении оставил такой момент без разъяснений. И суды на основании позиции Конституционного суда стали относить к нему место открытия электронного счета потерпевшего». 

Кто виноват: банк или клиент

Если деньги все же похитили, пользователю следует в первую очередь понять, как именно и когда все произошло. Для этого нужно сначала обратиться в банк, выпустивший карту, говорит Владислав Кудрявцев, юрист АБ "Феоктистов и партнеры". Связаться с кредитной организацией надо в течение первых суток, как только клиент обнаружил пропажу денег, иначе бремя доказывания ляжет на пострадавшего, а банк освобождается от ответственности компенсировать украденное (ч. 14 ст. 9 ФЗ «О национальной платежной системе»). После того как жертва известила банк о случившемся, надо идти в ближайшее отделение полиции и писать заявление о краже. 

Если мошенник нашел клиента не случайно: знал, каким банком пользуется жертва и её телефон, то, скорее всего, из кредитной организации произошла утечка части конфиденциальных данных, говорит управляющий партнер АБ "ЕМПП" Сергей Егоров. Но, по его словам, на практике доказать этот факт практически невозможно. 

Если жертва в течение суток сообщила в банк о краже и обратилась в полицию, то именно кредитной организации придется доказывать, что они не виноваты в случившемся. Если у банка не окажется убедительных аргументов в пользу небрежности своего клиента, законности и должной осмотрительности своего поведения, то именно кредитная организация будет возвращать деньги (ч. 15 ст. 9 ФЗ «О национальной платежной системе»). 

Но судебная практика по таким историям неоднородна. С банковской карты жителя Приморья Сергея Данилина* злоумышленники сняли деньги в одном из банкоматов города Богота (Колумбия). Хотя сам пострадавший в этой стране никогда не был, а в момент спорных операций ехал на поезде из Хабаровска во Владивосток. Но даже это обстоятельство не помогло ему взыскать деньги с банка. Первая инстанция, ссылаясь на то, что деньги снимались по правильному PIN-коду, посчитала виноватым в этой ситуации самого Данилина. Апелляция оставила такое решение без изменений (дело № 33-503). Вот и Сергею Рубцову* не удалось в судебном порядке добиться возврата денег, которые злоумышленники сняли у него с кредитной карты. Ульяновский областной суд подчеркнул, что при спорных операциях вводился правильный PIN-код, а на карте к моменту преступления уже имелся долг, накопленный самим пострадавшим (дело № 33-842/2015). Более того, апелляция заметила, что уголовное дело по факту кражи еще не доказывает снятие денег без ведома заявителя. 

Лишь Анне Егоровой* из Ставропольского края удалось убедить суд в отсутствии своей вины. У нее сняли деньги через мобильное приложение банка, хотя она не подписывала договор на его подключение и даже не имела сотового телефона, без которого нельзя воспользоваться этой программой. Такие доказательства убедили Ессентукский городской суд, который постановил, что банк обязан вернуть истцу украденные деньги. Из-за такой неоднозначной судебной практики имеет смысл заранее застраховать свои средства от кражи. Такую услугу банки обычно предлагают сами при выдаче карты. 

Дополнительные опции и решение законодателя

Самое сложное сочетать безопасность и удобство для клиента в пользовании банковской картой, ведь все дополнительные меры защиты обычно упираются в усложнение процесса покупок, отмечает Александр Степанов, эксперт по розничной банковской методологии одного из ведущих российских банков. На его взгляд, будущее в этой сфере лежит в широких возможностях интернет-банкинга и мобильных приложений, в которых клиент сможет сам настраивать дополнительные способы защиты: «К примеру, отключать опцию восстановления пароля через сим-карту или включать вспомогательные идентификаторы на вход в интернет-банк». 

Многие клиенты банков опасаются приобретать карты с бесконтактной оплатой (технология PayPass), однако это опасение в некотором смысле излишне. Такие карты считаются наиболее безопасными из-за того, что возможность их клонирования полностью исключена. В случае потери такой карты клиент может оперативно её заблокировать, используя мобильное приложение или позвонив в банк. 

Валерий Волох, адвокат, руководитель уголовной практики АБ «А-ПРО»

О безопасности банковских клиентов заботится и законодатель – с 26 сентября 2018 года вступили в силу поправки к ФЗ «О национальной платежной системе». Нововведения наделяют банки правом без заявления клиентов приостанавливать выполнение подозрительных платежей на срок до двух рабочих дней, если операции произведены с нового устройства или новой сим-карты либо с «нетипичной» географией перечислений и суммой перевода. Кредитную организацию смутит, если вы станете оплачивать покупку со старого смартфона, хотя в течение полугода до этого рассчитывались через PayPass последней модели iPhone.

Если когда-то с устройства пытались незаконно выводить деньги, то сведения об этом девайсе попали в специальную базу ЦБ. Это означает, что когда кто-то снова решит вывести деньги через это устройство, банк заморозит такую операцию и станет уточнять информацию у своего клиента. Из кредитной организации владельцу карты позвонят и в том случае, если пару часов назад он оплачивал покупки, находясь на окраине Омска, а сейчас пытается снять деньги из банкомата в Колумбии. Аналогично вызовет подозрения у банка ситуация, когда с карты их клиента, живущего в Челябинске, в течение одного дня пойдут переводы денег в Венесуэлу. Хотя, раньше их клиент таких операций никогда не проводил. 

Кроме того, новеллы легализуют обмен данными о случаях мошенничества в финансовой сфере между банками, подчеркивает Вадим Заборский, координатор направления «Информационная безопасность» проектного офиса по реализации программы «Цифровая экономика» из аналитического центра при Правительстве РФ.

Параллельно с этим Центробанк разработал проект указаний по этой же теме. Документ предполагает, что ЦБ станет получать сведения об операциях, которые похожи на мошеннические. Процедура будет следующей: после того, как кредитная организация заблокирует подозрительный платеж, она сразу направляет сведения о нем в Банк России. Информация, направляемая в Центробанк, должна включать в себя информацию о плательщике, получателе средств, об устройстве, с использованием которого осуществлялась операция, о номере карты, сумме, валюте операции, времени совершения операции и её номере. Если владелец карты решит перевести деньги получателю, находящемуся в такой базе, банк заморозит платеж и позвонит своему клиенту, чтобы уточнить необходимость проведения такой операции.

Перечисленные изменения тоже могут дать почву для нового вида мошенничества: злоумышленники будут звонить вам и просить назвать сведения карты, угрожая блокировкой за якобы подозрительную операцию. Поэтому базовым остается совет о внимательности в любых ситуациях.

* – имена и фамилии действующих лиц изменены.