Около 70 млрд рублей сняли с пластиковых карт россиян в прошлом году. Сумма, что и говорить, впечатляет. Возникает вопрос: можно ли сберечь от мошенников честно заработанное? Эксперты утверждают: да. Только сделать это с каждым днем становится все сложнее…
«Успешный» дебют
Несанкционированный съем средств с карты чаще всего связывают с кражей ПИН-кода.
Как правило, при получении карты в банке нового клиента обязательно предостерегают: секретную комбинацию цифр нельзя сообщать никому, иначе… Тем не менее до сих пор встречаются случаи, когда наивный владелец пластика вместе с картой хранит в кошельке и бумажку с заветными цифрами. В этом случае благодарный вор, заполучив и то и другое, снимает деньги в течение первых же часов…
Однако вопреки распространенному мнению, кражи ПИН-кодов – не такое уж распространенное явление. Значительная часть сумм уходит с карт законных владельцев совершенно другим путем.
– Способы мошенничеств все время совершенствуются, – рассказывает Владимир Крапоулов, начальник отдела УЭБиПК ГУ МВД России по Красноярскому краю. – И кражи средств с карты все меньше связаны с банальной неосторожностью. Вот, к примеру, недавний случай, который произошел с клиентами крупного банка в Красноярске. У нескольких десятков человек (точное количество пострадавших еще уточняется) были сняты в течение короткого времени достаточно крупные суммы денег с помощью хорошо отработанной в западной части России технологии – скимминга – специальной накладки для банкомата. Причем ранее в Красноярске вообще не было таких устройств: единственный раз регистрировали попытку установки, которая была пресечена сотрудниками безопасности банка.
Скимминг – это специальное устройство с миниатюрной видеокамерой. Оно считывает магнитную ленту с банковской карты, а камера фиксирует вводимый PIN-код. Данные используются, чтобы снять деньги с дубликата карты. На этот раз мошенники успешно установили скимминговые устройства в банкоматах, которые находились в красноярских магазинах. Ни служба безопасности, ни установленное видеонаблюдение в торговых точках им не помешали.
– Мы, к примеру, смогли определить преступников, которые устанавливают скимминговые устройства, только по записи видеокамер банкоматов, – рассказывает Владимир Крапоулов. – Камеры, имеющиеся в самих магазинах, в этом не помогли.
Клиентам, можно сказать, повезло: мошенников нашли достаточно быстро, и банк взял на себя обязательство вернуть деньги. Такое бывает далеко не всегда.
Сайт-фальшивка
Скимминг – лишь один способ из целого арсенала, которым владеют мошенники. Причем не самый частый: нужно покупать специальное оборудование, успеть незаметно установить его… Гораздо проще воспользоваться специальным кодом, расположенным на обратной стороне некоторых пластиковых карт.
– Если мошеннику попала в руки карта, он смог зафиксировать информацию о сроке ее действия и номере, узнать трехзначный код, то этих сведений вполне достаточно, чтобы совершать покупки в некоторых интернет-магазинах, – рассказывает Владимир Крапоулов.
А уж если карта с магнитной полосой (как правило, не требующая ввода ПИН-кода в магазинах) была похищена, то никаких препятствий для того, чтобы потратить чужие деньги, просто не существует. Кроме того, когда хозяин карты блокирует ее с помощью горячей линии банка.
Баланс карты может сильно уменьшиться и в том случае, если ею пользуется только сам владелец пластика. Каким образом? Когда списывают не одну сумму, а ровно в два раза больше.
Очень часто такое бывает на отдыхе в странах Южной Азии – Вьетнаме или Таиланде: в ресторанах обслуживающий персонал дважды проводит через считывающее устройство – а клиенту показывает один чек.
Если не подключена услуга об СМС-информировании, владелец карты может находиться в полном неведении…
Как же минимизировать риски? Целесообразно пользоваться двумя картами: одну из них при этом можно использовать только для расчетов в Сети, магазинах и т. д. Ее пополнять можно только на ту сумму, которая вскоре понадобится вам для расчета. И даже если сведения о ней попадут к злоумышленникам, большую сумму они снять не смогут.
Наиболее «эффективные» способы увода наличных – через Интернет. Многие клиенты пользуются системами, позволяющими оплачивать детский сад, покупать билеты или гасить кредит в режиме онлайн. Не нужно никуда ехать, стоять в очереди и вообще тратить свое драгоценное время. Но, к сожалению, и для злоумышленников такой способ достаточно удобен. Они создают интернет-копию страницы, на которую очень легко попасть…
ПРИМЕР
Мы приводим историю одного из пострадавших клиентов, выложенную на форуме. Название банка убрали намеренно: к сожалению, от подобного типа мошенничества не застрахована ни одна организация.
«Я зашел на страницу ***Онлайн, по адресу, прописанному в руководстве к данной системе… На карте на тот момент находилось более 400 тысяч рублей. Страница, на которую я вошел, не вызвала подозрений – это была точная копия страницы ***Онлайн. Как я потом уже заметил, отличался только номер телефона техподдержки.
Авторизовался, введя логин и пароль, после чего появилось окно для ввода одноразового пароля. Мне пришло СМС с паролем, и я ввел его на страничке. После этого появилось сообщение, что на сайте проводятся технические работы и возможно получение СМС о ложных операциях, которые можно отменить, введя одноразовый пароль. Затем действительно пришли четыре сообщения о переводе 99 тысяч рублей на счета разных физлиц. Когда это произошло, мне позвонили на сотовый, представились сотрудниками банка и, назвав по имени-отчеству, подтвердили: на сайте проводятся технические работы, чтобы войти на страничку, нужно отменить операции.
Я последовал совету «сотрудников банка».
Через три дня я решил проверить баланс и обнаружил, что на карте нет 400 тысяч рублей… Тогда я понял, что авторизовался на копии сайта, IP-адрес был подменен. Мошенники моментально получили мой логин/пароль и параллельно авторизовались уже на настоящем сайте. Соответственно, я получаю СМС с одноразовым паролем, т. к. они вошли на сайт. Я ввожу одноразовый, он тоже уходит мошенникам, и они вводят его на реальном сайте. Все происходит параллельно – я на поддельном, они – на настоящем сайте.
Официальный ответ от банка пришел через три с лишним месяца после инцидента: «на основании того-то и того-то» (дальше идет перечисление каких-то филькиных грамот, которые я никогда не видел) «вы должны самостоятельно расследовать данную ситуацию». Все.
Безопасность средств – ваша забота
Увы, на форумах в Сети – масса подобных историй. Наверняка банки уже взяли подобные случаи на заметку, и системы управления счетом через Интернет стали более надежны. Но факт остается фактом – в тех случаях пострадавшие клиенты получили лишь стандартные ответы, которые приведены на форумах: «списание средств с Вашего счета стало возможным исключительно в результате предоставления Вами мошенникам одноразового пароля, подтверждающего выполнение операций. К сожалению, учитывая вышеизложенное, Банк не имеет оснований для возврата Вам денежных средств».
Сами же банки на вопрос, в каких случаях украденные деньги возвращаются клиенту, отвечают довольно уклончиво:
– Возможно, клиенту будут возвращены денежные средства, а возможно, и нет, каждый случай рассматривается индивидуально, – сообщили мне в пресс-службе одного из банков. – Зачастую клиенты сами виноваты в том, что лишаются средств: к примеру, не соблюдают осторожность, когда совершают операции через Интернет, не устанавливают свежие версии антивирусных программ…
Вывод здесь один: безопасность ваших средств – это ваша забота. В случае пропажи денег вы вряд ли докажете, что в отделении банка вам лишь с улыбкой предложили подписать договор и ни словом не обмолвились ни о возможных СМС «Ваша карта заблокирована, позвоните по номеру***», ни о сайтах-копиях интернет-страниц банка, списывающих все сбережения за пару минут…
Большие надежды возлагались на принятие соответствующей нормы закона «О национальных платежных системах». Однако, как пояснили в ГУ Центрального банка РФ по Красноярскому краю, с 1 января 2014 года банк обязан уведомить клиента обо всех операциях, которые будут происходить с его пластиковой картой. Если клиент сам оперативно не сообщит банку, что конкретная операция снятия наличных была проведена без его участия, то что-то доказать впоследствии будет очень сложно. Но и после такого сообщения банк имеет законное право на собственное расследование, на основании которого и будет приниматься итоговое решение о возврате средств.
Удивительно только одно: приказ переводить все организации на безналичный расчет почему-то с удивительным рвением выполняется не первый год даже в глухой тайге, где путь от поселка до ближайшего банкомата порой занимает десятки километров. А вот принять соответствующие нормы закона, которые бы обеспечивали хотя бы частичную защиту средств, похищенных мошенниками с пластиковых карт, оказывается совсем не просто.
ВАЖНО ЗНАТЬ
Правила безопасности от Банка России
- Никогда ни при каких обстоятельствах не передавайте банковскую карту для использования третьим лицам, в том числе родственникам.
- При получении банковской карты распишитесь на ее оборотной стороне в месте, предназначенном для подписи держателя банковской карты, если это предусмотрено. Это снизит риск использования банковской карты в случае ее утраты.
- С целью предотвращения неправомерных действий по снятию всей суммы денежных средств с банковского счета целесообразно установить суточный лимит на сумму операций по банковской карте.
- Не рекомендуется отвечать на электронные письма, в которых от имени кредитной организации (в том числе от той, которая выдала карту) предлагается предоставить персональные данные. Не следуйте по «ссылкам», указанным в письмах, они могут вести на сайты-двойники.
- Осуществляйте операции с использованием банкоматов, установленных в безопасных местах (например, в государственных учреждениях, подразделениях банков).
- В случае если банкомат работает некорректно (например, долгое время находится в режиме ожидания, самопроизвольно перезагружается), следует отказаться от его использования, отменить текущую операцию, нажав на клавиатуре кнопку «Отмена», и дождаться возврата банковской карты.
- Требуйте проведения операций с банковской картой только в вашем присутствии. Это необходимо в целях снижения риска неправомерного получения персональных данных, указанных на банковской карте.
- В случае если при попытке оплаты банковской картой имела место «неуспешная» операция, следует сохранить один экземпляр выданного терминалом чека для последующей проверки счета.
- Не используйте ПИН при заказе товаров и услуг через сеть Интернет, а также по телефону/факсу.
- Никогда не сообщайте персональные данные или информацию о банковской(ом) карте (счете) через сеть Интернет, например ПИН, пароли доступа к ресурсам банка, срок действия банковской карты, кредитные лимиты и т. д.
- Рекомендуется совершать покупки только со своего компьютера в целях сохранения конфиденциальности персональных данных. Если покупка совершена с чужого компьютера, нужно удостовериться, что после завершения всех операций персональные данные и другая информация не сохранились. Для этого необходимо вновь загрузить в браузере web-страницу продавца, на которой совершались покупки.
- Необходимо установить на компьютер антивирусное программное обеспечение и регулярно производить его обновление.