Шахрайство з банківськими картами: способи захисту

Банківська карта – це дуже зручний і вигідний інструмент. З цим важко сперечатися, у карти є і відсоток на залишок, і кэшбэк, до того ж карта просто-напросто компактніше, ніж готівка. Також пластикова картка потенційно більш безпечна — при крадіжці готівки ними зможе скористатися будь-хто, а от щоб скористатися вкраденої картою, потрібно прикласти деякі зусилля, дізнатися ПІН-код, наприклад, хоча це і не обов’язково.

На просторах інтернету є безліч статей і заміток з описом різних видів шахрайства, причому, способи крадіжки грошей з карт постійно вдосконалюються та оновлюються. Скіммінг, фішинг -, фармінг – всі ці терміни означають різні способи розкрадання грошей з картки. Фантазія шахраїв не знає кордонів, застосовуються різні пристрої для копіювання магнітної смуги карти (скіммінгу), використовуються спеціальні накладки на клавіатуру банкомату для отримання ПІН-коду або різні приховані камери для тієї ж мети. Часто клієнт сам повідомляє всі дані про своїй карті, наприклад, на шахрайські сайти, які як дві краплі води схожі на оригінальні. Часто зустрічається схема, при якій клієнту дзвонить нібито співробітник банку з проханням уточнити яку-небудь інформацію.

Головне, що потрібно знати — на будь-якій карті є вся необхідна інформація для крадіжки з неї грошей.

Хтось заперечить, що для користування картою потрібно обов’язково знати ПІН-код, проте, на жаль, це не так. Навіть дитина знає, що ПІН-код ні в якому разі не можна писати на самій карті, і, чесно кажучи, мене завжди дивувало, навіщо на карту наноситься інша інформація, за допомогою якої можна також незаконно використовувати чужі гроші.

Ось основні дірки в безпеці пластикових карт:

1 Наявність магнітної смуги.
Звичайно, сучасні карти оснащені спеціальним чіпом, який практично неможливо скопіювати. Однак магнітна смуга на них як і раніше є. Термінали оплати в деяких торгових точках дозволяють здійснити оплату тільки за допомогою магнітної смуги, не вимагаючи вставляти картку в чіп-рідер для зчитування інформації з чіпа.

2 Необов’язковий введення ПІН-коду для здійснення покупок.
Потрібно обов’язково вводити ПІН-код для здійснення покупки або достатньо просто розписатися на чеку — визначаєте не Ви, а власник платіжного термінала (іноді не потрібно ні того, ні іншого, буквально кілька днів тому для здійснення покупки в «Пятерочке» мені виявилося достатньо просто вставити картку в чіп-рідер, навіть без введення ПІН-коду).

Щоб підробити підпис, зразок якої є на звороті картки, якихось специфічних художніх навичок не потрібно. Касир, звичайно, може вимагати паспорт для звірки підпису та імені власника карти, однак це теж право продавця, а не його обов’язок.

3 Незахищені інтернет-платежі.
Банки, що випускають карти, які підтримують технологію 3D-Secure (Verified by Visa і MasterCard SecureCode), особливо підкреслюють, що їхні картки дозволяють здійснювати покупки онлайн більш безпечно. Це, звичайно, так, 3D-Secure передбачає додаткову ступінь захисту: для здійснення покупки потрібно ввести пароль, який приходить Вам по смс.

Проте недостатньо, щоб Ваша карта підтримувала функцію 3D-Secure, інтернет-магазин також її підтримував. Є безліч сайтів, де 3D-Secure просто не використовується (Aliexpress, наприклад).

Таким чином, для здійснення покупки по картці в мережі інтернет досить знати лише 3 комбінації цифр (які просто нанесені на мапу):
— Термін дії картки;
— Номер картки;
— CVV2 або СVC2 код – (3 цифри, надруковані на звороті карти).
CVV2 (Card Verification Value) — тризначний код перевірки дійсності картки платіжної системи Visa. CVC2 (Card Validation Code) – тризначний код перевірки картки платіжної системи MasterCard.

Ім’я власника карти знати не обов’язково, якщо у відповідному полі при здійсненні покупки вказати щось начебто «MR. CARDHOLDER», то платіж, швидше за все, буде здійснено.

Я ще можу якось пояснити наявність на самій карті эмбоссированного номера, строку дії та імені власника (це потрібно, наприклад, для оплати «по старинці» з допомогою імпринтера, коли робиться відбиток Вашої картки), але от навіщо на самій карті друкувати CVV2/CVC2 коди – для мене загадка. Набагато логічніше було б видавати цей код у запечатаному конверті, за аналогією з ПІН-кодом. До речі, щоб підібрати послідовність з 3-х цифр від 0 до 9, потрібно перебрати максимум 1000 варіантів (10*10*10=1000).

Є сайти, які не вимагають навіть CVV2/CVC2 для здійснення покупки, наприклад, Amazon.

Поступово кількість інтернет-магазинів, які не використовують функцію 3D-Secure, скорочується, оскільки при обґрунтованому опротестування клієнтом спірної операції відшкодовувати збитки, зрештою, припадає саме власникам інтернет-магазинів, які не використовують відповідні заходи безпеки при прийомі платежів.

4 Безконтактні платежі PayPass (MasterCard) і PayWave (Visa).
Метод безконтактної оплати придумали для прискорення процесу покупки, що особливо актуально для великих торговельних підприємств, де економія навіть кількох секунд на кожній операції дозволяє значно скоротити черги. Для ще більшої економії часу при здійсненні покупок до 1000 рублів не потрібно не тільки вставляти картку в чіп-рідер, але і вводити ПІН-код.

Нещодавно з’явився новий спосіб шахрайства, при якому зловмисники перехоплюють сигнал з карти за допомогою спеціальних пристроїв:

мошенничество с банковскими картами

Використання даної дірки в безпеці – це справа техніки. Розробники, звісно, запевняють, що в технології безконтактних платежів використовуються сучасні способи кодування інформації, що вважати інформацію з чіпа не так-то просто, а ще складніше потім їй скористатися. Проте немає нічого неможливого:

мошенничество с банковскими картами

Хтось заперечить, що сума транзакції, при якій не потрібно вводити ПІН-код, занадто мала, щоб серйозно зацікавити шахраїв. Однак 1000 рублів – це обмеження для однієї операції, а де гарантія, що вона буде одна?

Радіус дії антени для безконтактних платежів у карти невеликий, всього кілька сантиметрів, але їх якраз буде достатньо, наприклад, у громадському транспорті, де велика щільність народу. Піднести зчитувальний пристрій на карті, що знаходиться у Вас в кишені, можна цілком непомітно.

Звичайно, легальні переносні термінали для оплати завжди мають зареєстрованого власника, і навряд чи який-небудь реальний власник ТСП (торгово-сервісного підприємства) вийде на велику дорогу для здійснення непомітних списання грошей з карт нічого не підозрюють громадян у громадському транспорті. Тільки де гарантія, що дана схема шахрайства не буде вдосконалена за допомогою підставних фірм, підставних осіб, яких-небудь технічних новинок і т. д.

Чесно кажучи, серед моїх знайомих немає жодного людини, який би постраждав від крадіжки грошей з допомогою PayPass або PayWave. Можна навіть подумати, що вся ця історія вигадана просто для продажу спеціальних алюмінієвих гаманців для карт, які не пропускають ніякі сигнали:

мошенничество с банковскими картами

У будь-якому разі, мене трохи турбує, що я не можу самостійно відключити технологію PayPass або PayWave на своїй карті, якщо вона мені не потрібна. Також немає можливості самому зменшити максимальну суму операції, при якій не потрібно вводити ПІН-код.

Що каже закон

Клієнти захищені від шахрайських дій та несанкціонованого використання картки 161-ФЗ. У статті 9 Федерального закону від 27.06.2011 N 161-ФЗ (ред. від 29.12.2014) «Про національну платіжній системі» говориться, що банк зобов’язаний відшкодувати суму операції, здійсненої без Вашої згоди, якщо Ви повідомили банку про це не пізніше дня, наступного за днем, в якому Ви отримали повідомлення від банку про здійснення операції:

мошенничество с банковскими картами

Даний закон зобов’язує банки інформувати клієнта про всі операції з карткою:

мошенничество с банковскими картами

Тут виникає питання: а як саме банк повинен повідомляти клієнтів про операції, і що є достатньою підставою вважати, що клієнт повідомлений про операції? У законі чітких формулювань немає. Причому банк не може заявити, що Ви самі відмовилися від смс-інформування, тому повідомляти Вас ніхто і не зобов’язаний. За законом Ви можете відмовитися від будь-яких додаткових платних послуг, у тому числі від платного смс-інформування. Про це нам говорить стаття 16 Закону РФ від 07.02.1992 N 2300-1 (ред. від 13.07.2015) «Про захист прав споживачів»

мошенничество с банковскими картами

Відповідно, в договорі з банком повинен бути прописаний альтернативне джерело повідомлення про операції, наприклад, через електронну пошту.

Якщо банк не повідомляє клієнта про операції, то при несанкціонованої оплаті він не зможе відмовити Вам у поверненні грошей, пославшись, що Ви пропустили термін подачі заяви:

мошенничество с банковскими картами

Головна проблема криється в 15 пункті даної 9-ї статті. Банк повинен відшкодувати суму операції, здійсненої без згоди клієнта, якщо клієнт не порушував порядок використання електронного засобу платежу:

мошенничество с банковскими картами

Варто почитати правила використання карток будь-якого банку, як стає зрозуміло, що порушити ці правила простіше простого.

Наприклад, «Ощадбанк» вимагає від клієнтів дотримуватися «необхідних заходів» для запобігання втрати карти. Які конкретно заходи є «необхідними», ясна річ, не уточнюється:

мошенничество с банковскими картами

Якщо при шахрайської операції вводився коректний ПІН-код або використовувався вірний код підтвердження при онлайн-покупках (функція 3D-Secure), то довести щось у разі несанкціонованого списання грошей з карти практично неможливо.

Причому, банк ще може взяти з Вас штраф за безпідставне опротестування операції, якщо в ході розгляду заяви буде з’ясовано, що несанкціонована операція стала можлива за порушення клієнтом умов користування банківської карти. «Тінькофф Банк», наприклад, за подібне опротестування бере штраф у розмірі 3000 рублів:

мошенничество с банковскими картами

Способи захисту банківських карт від шахрайства

Перш ніж говорити про способи захисту банківських карт від шахрайства, потрібно відразу підкреслити:

На пластикових картах не можна тримати великі суми грошей.

Незважаючи на всі запобіжні заходи, на 100% захиститися від шахрайства не вийде, можна лише зменшити вірогідність несанкціонованого списання грошових коштів з банківської карти.

Тому використовувати карту для накопичення грошових коштів як альтернативу банківському вкладу (наприклад, «Локо-банк» пропонує 12,5% на залишок коштів по карті) вкрай небажано. Сприймайте відсоток на залишок по карті просто як приємний незначний бонус (відповідно, «незначною» він виходить, якщо великих сум на карті Ви тримати не будете).

Отже, що ж потрібно робити, щоб захистити свою картку від шахраїв? Відповідь проста – потрібно зберегти в таємниці всі дані карти.

1 Фізичні способи захисту даних карти.
Як вже було описано вище, на карті нанесено достатньо даних для крадіжки з неї грошей. Сфотографувати обидві сторони карти на смартфон можна за пару секунд, ненабагато довше копіюються дані магнітної смуги з допомогою спеціального обладнання. Тому не можна залишати свою картку без нагляду.

Варто також чим-небудь прикрити CVV2/CVC2 код на звороті карти, хоча б непрозорим скотчем. Звичайно, скотч завжди можна відліпити, але непомітно від Вас, «випадково», так би мовити, підглянути ці три цифри не вийде. Деякі взагалі радять стерти цей код з картки (природно, попередньо запам’ятавши його), правда, можуть виникнути проблеми з прийомом карти, особливо за кордоном. Чесно кажучи, у мене такої проблеми ніколи не виникало, стертий CVV2/CVC2 на моїх картах жодного разу не викликав ні у кого підозр.

Хтось виводить магнітну смугу карти з ладу, щоб оплату можливо було здійснити тільки за допомогою чіпа. Правда, у такому випадку скористатися послугами банкомата навряд чи вийде, до того ж є ТСП, які вміють зчитувати тільки магнітну смугу. Варто мати на увазі, що при виведенні з ладу магнітної смуги можна випадково пошкодити і чіп картки.

Також до фізичних способів захисту карти, природно, відноситься захист конфіденційності Вашого ПІН-коду. Нікому не повідомляйте цю заповітну комбінацію з 4-х цифр. Природно, не пишіть ПІН-код на самій картці. Вводячи PIN-код при оплаті товарів і послуг, а також при користуванні послугами банкомата, обов’язково прикривайте клавіатуру іншою рукою. Для більшої безпеки під час введення тексту доторкніться пальцями не до чотирьох, а, припустимо, до шести клавіш (дві клавіші натискати не треба, просто зобразіть натискання). Так зловмисникові буде важко визначити ПІН-код, навіть якщо Ваші дії були записані на приховану камеру.

Намагайтеся використовувати банкомати, що знаходяться в офісах банків. Непомітно прикрутити на такі пристрої яке-небудь додаткове обладнання для крадіжки даних з Вашої картки вкрай важко, так як вони знаходяться під постійним наглядом.

Запам’ятайте, що не можна нікому повідомляти Ваш ПІН-код. Банк ніколи не зажадає від Вас повідомити цю комбінацію цифр. Для операцій в інтернеті ПІН-код також вводити не потрібно.

Чесно кажучи, я був дуже здивований, що АТ «Кредит Європа Банк» вимагає ввести ПІН-код картки при отриманні доступу до інтернет-банку. Я навіть спеціально зателефонував на гарячу лінію, щоб уточнити необхідність даної процедури. Виявилося, що дійсно потрібно вводити ПІН-код, а не одноразовий пароль для активації, присланий по смс):

мошенничество с банковскими картами

2 Не розголошуйте третім особам дані вашої картки.
Ніколи не повідомляйте дані вашої картки по телефону, електронній пошті і т. д. Дуже часто шахраї під виглядом співробітників банку вимагають уточнити якусь інформацію або виконати певні дії, щоб відмінити помилкову операцію. Прийменники бувають самі різні: технічний збій, перевірка системи, несанкціонований доступ, виявлення помилки при заповненні анкети і т. д.

Останнім часом до шахрайства з картами залучають навіть автовідповідачі. До автоматизованої програмі довіри у громадян чомусь більше:

мошенничество с банковскими картами

Головне, що потрібно зробити у випадку такого «дзвінка з банку» — це просто покласти трубку і самому подзвонити на гарячу лінію банку (на офіційний номер телефону, який можна подивитися на сайті або на самій карті).

Також популярною шахрайською схемою є запит реквізитів Вашої карти нібито від потенційного покупця для внесення передоплати або оплати товару цілком при використанні онлайн-майданчиків, начебто Avito. Клієнт зображує глибоку зацікавленість у Вашому оголошенні, докладно розпитує Вас про товар і виявляє бажання якомога швидше внести передоплату, щоб бути твердо впевненим, що Ви не продасте іншого такий необхідний товар. Для цього йому неодмінно потрібні всі дані Вашої картки, щоб зробити С2С (card to card) переклад. Хоча насправді, щоб зробити Вам переклад C2C, достатньо знати тільки номер картки.

3 Електронні способи захисту.
Сюди, насамперед, відноситься базова захист Вашого обладнання: установка ліцензійного антивіруса на Ваш домашній комп’ютер і смартфон.

Не переходити за підозрілими посиланнями, не відкривайте листи від невідомих осіб.

Не варто нехтувати і основними рекомендаціями для користування онлайн-банкінгом. Не використовуйте незахищені wifi-мережі, вводите дані за допомогою екранної клавіатури і мишки, регулярно оновлюйте пароль доступу до інтернет-банку, складаючи комбінацію з рядкових і заголовних літер, цифр і символів. Перевірте адресу сайту в адресному рядку, переконайтеся в безпеці з’єднання при введенні пароля від інтернет-банку (адреса інтернет-банку повинен починатися з https://, обов’язковий символ «s», а в браузері має з’явитися зображення замку. Клікнувши по замку, можна переглянути дані про сертифікат безпеки):

мошенничество с банковскими картами

Також обов’язково поставте ліміти за операціями на карту, якщо банк дозволяє так робити. Операції CNP (card not present), тобто операції в інтернеті, взагалі краще скасувати і включати, тільки коли потрібно здійснити оплату. Для онлайн-покупок краще випустити віртуальну карту і переводити на неї суворо необхідну для покупки суму.

Можна прив’язати свою банківську карту до сервісу Яндекс-Гроші або PayPal, тоді зникне необхідність щоразу вводити всі дані карти для здійснення онлайн-покупок.

Мобільний телефон – ключ до карти, тому я рекомендую завести окремий телефон для прийому смс-повідомлень від банків, краще без доступу в інтернет. Даний рада я вже давав в одній із статей («Мобільні оператори з великої дороги»), і деякими читачами ця пересторога була визнана непотрібною.

Кожен сам для себе вирішує, які захисні заходи достатні особисто для нього, а які надмірні. Деякі клієнти настільки обережні, що взагалі не користуються картами з міркувань безпеки.

Якщо у Вас виникли які-небудь сумніви в конфіденційності інформації по Вашій картці, або за нею вже здійснена будь-яка транзакція без Вашого відома, потрібно негайно сповістити банк про це і заблокувати картку (обов’язково майте телефон гарячої лінії Вашого банку в оперативному доступі і не забувайте своє кодове слово).

Банківська карта – це зручно, просто треба віддавати собі звіт, що 100% захисту від шахрайства немає, можливо тільки скоротити ймовірність настання негативних подій.

Сподіваюся, моя стаття була вам корисна, про всіх уточненнях і доповненнях пишіть в коментарях.

За оновленнями в цій та інших статтях можна стежити на Telegram-каналі: @hranidengi.

У зв’язку з блокуванням Телеграма створено дзеркало каналу в ТамТам (месенджер від Mail.ru Group з подібним функціоналом): tt.me/hranidengi.

Підписатися в Телеграм Підписатися в ТамТам

Підписуйтесь, щоб бути в курсі всіх змін:)

comments powered by HyperComments