Безопасность банковских карт — общие правила противодействия мошенникам

Проблема безопасности банковских карт так или иначе касается подавляющего большинства населения, потому что и зарплаты, и пенсии в РФ почти всем перечисляют на счет банковской карты. Более того, у многих есть не одна, а масса дебетовых и кредитных карт, и на некоторых из них могут находиться приличные суммы денег, особенно если это карта-копилка с процентами на остаток. Или это может быть кредитная карта с большим кредитным лимитом (риск что украдут сразу большую сумму), а мошенники не дремлют, очень изобретательны и у них масса приемчиков.

Для управления своим финансовым хозяйством очень удобно использовать интернет-банк (личный кабинет с входом через браузер с компьютера) или мобильный банк (мобильное приложение) на смартфоне. Рекомендую не бояться, а всегда иметь возможность контролировать свои финансы и распоряжаться ими, но соблюдать правила безопасности, которых немало.

Даже если у вас нет интернет-банка, для покупок в интернете коды подтверждения приходят на ваш номер телефона. Для подтверждения операций в интернет-банке — тоже. Отказ от использования смартфона ничего не гарантирует, вот пример:

Я не использую смартфоны и приложения для онлайн банкинга на них совсем. CMC получил на звонилку samsung 2007 года выпуска. Вход на фишинговый сайт по рекламе и тупые действия через обычный ноутбук тоже samsung под win 10.

Отсюда вывод первый: не пользуйтесь Samsung

Телефон/смартфон — ключ к вашим деньгам

пароль должен стоять и на сим-карте, и на самом телефоне.

Отдельно нужно упомянуть 2 специфические, криминальные, и очень опасные ситуации, в которых может быть замешан оператор сотовой связи (ОПСОС).

1. Мошенники по поддельной доверенности получили СИМ-карту с вашим номером
2. Мошенники сделали переадресацию СМС и вызовов с вашего номера на свой у ОПСОС-а.

В 2022 году операторы связи приняли некоторые меры. Теперь после замены сим-карты оператор отправляет СМС на старую симку. Например, МТС:

Более того, оператор ограничивает СМС-сообщения от банков и даже звонки в банки с новой симки на 24 часа.

При восстановлении SIM-карты на 24 часа может быть ограничено поступление входящих SMS от банков, портала «Госуслуги» и ряд платежей через сервис МТС Деньги. По истечении 24 часов доступ будет полностью восстановлен.

Это сделано для того, чтобы, в случае неправомерного получения дубликата сим-карты, владелец номера смог бы принять меры и не потерять доступ к своему кабинету Госуслуг и новой сим-карте.

Все аспекты безопасности можно разбить на части примерно так:

• Безопасность информации — в каких банках у вас деньги, номера карт, ваши персональные данные
• Безопасность телефонного номера
• Безопасность смартфона/телефона
• Физическая безопасность банковских карт
• Безопасность информации о банковских картах

Вывод второй:

Безопасность начинается в вашей голове

Можно много рассуждать о безопасности банковских карт, обеспечивает ли банк эту безопасность, но главная дыра (которая находится) в безопасности — это голова клиента банка. Клиенты могут делать совершенно необъяснимые с точки зрения логики поступки, например:

• Нацарапать пин-код на карте (думаю, всем понятно, что так делать не нужно и почему)

• Подключить мобильный банк к своему номеру телефона, потом поменять номер, выкинув старую симку и не отключив мобильный банк (номер освобождается и неизвестный получает ваши СМС о расходах + доступ к кодам подтверждения операций). Такая ситуация встречается почаще.
• Сообщать кому-либо (обычно по телефону) цифровой код, полученный по СМС или через push на свой телефон (последствия могут быть — не только потеря всех денег с карт и вкладов в банке, но и взятие на себя кредита онлайн в личном кабинете, который мошенники тоже присвоят себе) — вот это самый популярный вариант потери крупных сумм денег
• По просьбе неизвестного звонящего, клиенты устанавливают на свой телефон программу для удаленного управления телефоном типа TeamViewer или подобную, после чего СМС-коды мошенники получают самостоятельно и полностью распоряжаются деньгами потерпевшего через мобильные приложения — такое тоже бывает
• Разговаривая с кем-то по телефону, как загипнотизированный, клиент может даже пойти к банкомату, снять наличные (даже с кредитной карты, даже с комиссией), и тут же отправить их на указанный «безопасный счет» непонятно кому, чтобы деньги «не украли мошенники» — без комментариев
• Очень смешной развод, когда присылают СМС что ваша карта заблокирована и указывают номер, по которому нужно перезвонить (раньше это был популярный способ). Люди перезванивают и получают дальнейшие инструкции, как перевести деньги мошенникам.

Могут быть и другие ситуации, от которых у здравомыслящего человека должны волосы сразу дыбом вставать, а брови — домиком. Предположим, что все вышеперечисленные ситуации вам понятны и очевидны, и таких простых ошибок вы не допустите ни при каких обстоятельствах. Но я бы не зарекался, даже с виду разумные и рассудительные люди иногда делают глупости с финансами.

С помощью сценариев обмана, основанных на психологическом воздействии, по данным Банка России, совершалось порядка 86% всех несанкционированных операций в системах дистанционного банковского обслуживания физлиц в первой половине 2020-го года.

Безопасность телефонного номера

Здесь теоретически возможна ситуация, когда некто, вероятно в сговоре с сотрудникам салона оператора связи, по поддельной доверенности получает сим-карту с вашим номером телефона, после чего получает вместо вас все СМС с кодами подтверждения операций в банке. Это криминал, и такой случай заслуживает отдельного рассмотрения, сборник около 30 случаев. Билайн и 4 подряд замены сим-карты одного клиента.

• смартфон нужно не только защитить паролем, но еще и установить запрет показывать на заблокированном экране текст входящих СМС и пуш-сообщений;
• сим-карту тоже надо защитить пин-кодом, для надежности (если смартфон свежий) можно вообще перейти на eSIM;
• банковскую карточку и телефон не держать вместе;
• если потеряли карту — тут же звонить в банк и блокировать удаленное обслуживание (вспомнить кодовое слово заранее)

К сожалению, бывают атаки на телефонного оператора, когда мошенникам удается устроить переадресацию СМС на себя. Если вы в этот момент не заблокируете карту/доступ в интернет-банк, то можете потерять деньги сразу в нескольких банках. Пример — https://www.banki.ru/services/responses/bank/response/10345825/ . Мошенники звонят, долго удерживают жертвы на линии, копии СМС приходят на телефон жертве, но она их не видит, т.к. разговаривает по этому же аппарату.

Во время разговора начинают сыпаться смс, но я их не читаю, т.к. разговариваю. НО, даже если бы я не разговаривала, я могла находиться в бассейне, спать, телефон мог быть в машине/дома и т. д. Далее мошенники взламывают личный кабинет МТС, о чем я узнаю позже и настраивают переадресации на 2 номера.

В результате обчищены счета в банках Тинькофф и Райффайзенбанк, пытались почистить и Сбербанк, но сработал антифрод.

1.    Крадут 2 платежами с Тинькофф почти 130000 руб — весь кредитный лимит
2.    Крадут с Райффайзена 50 000 с дебетовой.
3.    Пытались взломать Сбер и перевести с кредитки 30 500 и Сбербанк – единственный кто остановил подозрительный платеж!

Судя по детализации от МТС, с номером происходит какая-то вакханалия (переадресация, безусловная переадресация). Вернуть под контроль личный кабинет у меня получается только спустя 1,5 часа

Что делать в случае таких звонков? Лучше быстро закончить разговор. А в случае прихода подозрительных СМС немедленно блокировать карты, быстрее всего это сделать в мобильном приложении банка. В некоторых банках для этого можно отправить специальные СМС со своего номера.

Безопасность данных с карты — номер, CVV и т.д.

Многие знают, что CVV-код с обратной стороны карты никому сообщать нельзя.

• Номер карты — можно сообщить, если вы хотите получить перевод, но ничего более.
• Если кроме номера, кто-то узнает хотя бы имя и фамилию, риск уже будет.
• Если сообщить еще и срок годности карты, риск увеличится.
• Если сообщить CVV-код — считайте что вы уже не хозяин деньгам на своей карте
• Если еще и код из СМС скажете — это полный доступ к вашим деньгам

Популярные ситуации, когда мошенники пытаются у вас выведать данные карты:

• Авито — вы что-то продаете. Чтобы сделать вам перевод (аванс или всю сумму), просят номер карты, а потом еще код безопасности (CVV) или даже «код подтверждения». Это как раз ситуация, когда кроме номера карты ничего сообщать нельзя (мошенники и так уже знают многовато — ваш номер телефона и номер карты, могут попробовать сбросить доступ к интернет-банку, если вы на Авито указали номер телефона, к которому он привязан)
• Звонок якобы из банка, просят номер карты. Нет, сотрудникам банка он не нужен, звонят мошенники

Пример. Потерпевшая продавала товар на Авито

Я сообщила не всю информацию по карте, а только номер. Код, который они мне прислали, никак не был связан с банковской картой, в смс было указано регистрация в приложении для IPhone и все.

Сбербанк поясняет:

Вы сообщили мошенникам номер карты, по которому они начали проходить регистрацию в мобильном приложении  Сбербанк Онлайн. Далее банк направил вам одноразовый пароль, который необходим для завершения регистрации и является аналогом личной подписи. Вы его также сообщили мошенникам, что позволило им успешно завершить операцию. Так как вы самостоятельно сообщили все данные, у банка нет оснований для возврата средств.

Вывод — внимательно читайте, что написано в самой СМС, не спешите. В некоторых СМС может быть написано, что вы подключаете к своему интернет-банку чужой смартфон или уже берете кредит онлайн для мошенников на свое имя.

Также рекомендуется для объявлений на Авито и других досках объявлений заводить отдельную симку, номер которой не привязан к финансам никак.

Вопиющий случай доверия мошенникам, потеряно более 300 тыс. рублей — https://www.banki.ru/services/responses/bank/response/10421200/

В конце марта мне позвонил сотрудник банка Тинькофф (и мошенник в одном лице) и предложил застраховать денежные средства, находящиеся на моей дебетовой карте. А так как банк не имеет своих отделений, страхование будет проводиться онлайн, путем подтверждения сумм в автоматической системе. Так как банк онлайн и все предыдущие операции также производились через автоматическую систему (активация карты, формирование пин кода), я ничего криминального не заподозрила. Подтверждение сумм на страхование происходило около часа (sms приходили от Тинькофф). На тот момент я являлась клиентом банка уже год и никогда никому не переводила деньги, только расчет в магазинах и снятие в банкомате с физической карты. Неужели нельзя было временно заморозить переводы, чтобы убедиться в легальности операций? Даже в Сбербанке, после проведения двух транзакций на n-ную сумму, звонили узнать кто, откуда, с какой целью совершают транзакции. Даже потеряли бы 20-40 тыс., но если бы вовремя сработала система безопасности, удалось бы спасти более 300тыс.руб.

Что было написано в СМС с кодами, история умалчивает.

Безопасность смартфона/телефона

Еще более неприятный случай, если у вас пропадет смартфон, особенно вместе с банковскими картами. Зачастую, при этом, злоумышленник получает возможность зайти в ваш интернет-банк (личный кабинет), увидеть ваши счета, сколько денег на карте, закрыть вклады и вывести деньги в другой банк или на чей-то счет в том же банке.

Телефон и кошелек могут свистнуть в бане, в раздевалке фитнес-клуба, в ночном клубе у перебравшего клиента и т.д.

Выводы:

1. На телефон и сим-карту обязательно нужно ставить пароли.
2. Отключить показ содержимого СМС (и Push-уведомлений, если есть) на заблокированном экране, иначе все вышенаписанное бесполезно.

https://www.banki.ru/forum/?PAGE_NAME=list&FID=504

Наиболее прискорбные ситуации могут возникнуть при потере физического доступа к смартфону:

https://yandex.ru/q/question/business/moshenniki_oformili_kredit_onlain_cherez_70aadcb8/ — украли телефон и карты.

Сразу взяли кредит в Сбербанке на сумму 365000 рублей, поступивший на дебетовую карту Сбербанка, с кредитки тоже перевели туда же 10780 рублей. В мобильном приложении Тинькофф с кредитной карты перевели 73000 рублей на дебетовую карту Тинькофф и вывели на дебетовую карту Сбербанка 74000 рублей. Эти средства и личные средства неизвестный снял в банкоматах Сбербанка. Карты я заблокировал, но было поздно. На все понадобилось меньше 2-х часов чтобы взять кредит и снять в разных банкоматах. В приложении Сбербанка было видно, что были совершены оплаты двух неизвестных номеров телефонов. Попытка перевода 48000 рублей на неизвестную карту Сбербанка, еще одна попытка оформления кредита на 609756 рублей.

В мобильном приложении Альфа банк с кредитной карты были оплачены два номера телефона по 1000 рублей и аналогичная попытка перевода на неизвестную карту Сбербанка. Оформлен кредит 1644000 рублей, который Альфа банк заблокировал.

«Семён Семёныч? Это служба безопасности банка»

Самый популярный способ увода денег — 97% мошенничеств это социальная инженерия в виде «службы безопасности банка«. В 2018 г. мошенники украли с карт россиян 1,3 млрд руб. – на 44% больше, чем годом ранее. Об этом говорится в отчете центра мониторинга и противодействия компьютерным атакам Fincert, структуры Банка России.

Схем развода у мошенников много, но они базируются на одном и том же.

1. Мошенники где-то добывают часть персональных данных клиента (скорее всего покупают на черном рынке N записей из базы данных банка) — и надо смириться, что ваши данные у мошенников могут быть — телефон, ФИО, адрес, паспортные данные, вплоть до состояния счета и полного номера карты.
2. Звонят на ваш номер, называют часть данных (ФИО), представляются службой безопасности банка и сообщают о якобы совершающемся переводе с вашего счета — «некто делает перевод с вашего счета в Урюпинск Василию Васильевичу». Или «это вы оформляете кредит онлайн в личном кабинете?»
3. Вы, конечно, отвечаете, что нет, это не вы. А вам предлагают «отменить перевод» или «аннулировать заявку на кредит». И пока вы не успели опомниться от шока, просят сообщить код из СМС, отправленного из банка на ваш телефон (есть варианты: продиктуйте код не мне, а введите его роботу после двух сигналов по одной цифре и т.п.)
4. Исход может быть разный, но зачастую отправки всего одного кода из СМС достаточно для очень серьезных убытков в сотни тысяч рублей, и они уже необратимы. Вы можете не только потерять свои деньги с банковских карт, но и со всех вкладов, кредитные деньги с кредитных карт и даже с кредитов, которые сами вроде бы и не брали, а всего лишь сообщили код из СМС.

Бывает, что никакой код из СМС не просят, но просят установить на ваш телефон официальную программу «чтобы поймать мошенников» типа teamvievwer, и некоторые ставят, в результате мошенники получают полный доступ к смартфону, который ключ к вашим деньгам.

Объективные факторы и обстоятельства, которыми пользуются мошенники, на которые мы повлиять не можем.

1. Утечка данных из банков, см. выше
2. В некоторых случаях, довольно редко, банки всё-таки звонят клиентам на контактный номер и интересуются, действительно ли сам клиент выполняет ту или иную операцию. В некоторых случаях это может помочь клиенту сохранить свои деньги и помешать мошенникам
3. Мошенники могут подделывать исходящий номер и изобразить что звонок идет с официального номера, принадлежащего банку и указанного на сайте банка и на вашей карте. У многих это вызывает доверие к звонящему. «Злоумышленники воспользовались подменой номера, поэтому Вам показалось, что звонок поступает из Тинькофф»

В каких случаях банк звонит клиенту?

Бывают ситуации, когда действительно живой сотрудник службы безопасности банка звонит клиенту на контактный номер. В разных банках это бывает по-разному, в Сбербанке это не принято, обычно блокируют операцию и карту, и звонит автомат, который предлагает выполнить какие-то действия или перезвонить в банк. А вот банк Тинькофф может звонить в различных ситуациях, например:

• Нехарактерная операция, например перевод на новую карту неизвестному лицу. Это бывает, если хакеры взломали страничку друга клиента в социальной сети и от его имени просят по списку друзей о материальной помощи, денег на закупку ягод и др.
• Нехарактерная операция — досрочное закрытие вклада и его вывод (такое было в 2013 году вместе с дырой в Мегафоне)
• Подозрительная активность, похожая на вирус в телефоне
• Ваша карта скомпрометирована и банк ее рекомендует заблокировать. Нужно только ваше согласие, никаких кодов из смс (случай).

Клиент совершил, возможно, нехарактерные снятия наличных, и ему позвонили из службы безопасности банка Тинькофф. Клиент подумал, что это мошенники, и не стал разговаривать. В результате карту заблокировали на пару дней до выяснения

Что могут спросить, если звонят из банка?

Главный вопрос — вы или не вы проводите операцию. Если не вы, то больше банку от вас не нужна никакая информация, ни номер карты, ни тем более коды из СМС. Если вы, то могут спросить, уверены ли вы, что вас о переводе попросил лично ваш знакомый, а не кто-то, получивший доступ к чужому аккаунту (проверить просто — позвонить получателю по телефону).

А мне как-то служба безопасности банка звонила и просила установить антивирус. И всё заблокировала, пока не установил. И назывался тот банк Тинькофф. Всё заблокировали, и ИБ, и карты. Банк конечно, кто же ещё. И сказали конкретный антивирус установить. И не разблокировали пока не прислал скрин. А было это где-то рабочим днем 17.01.2017