Домашняя академия Банковская карта: обман по коду
Ведущие программы – Константин Корольков и Наталья Стребнева.
Как обезопасить себя от списывания денег с банковской карты, привязанной к телефону? В области обмана владельцев банковских карт появились ли какие-то новые способы? Или все они остаются прежними?
Эксперт программы – Игорь Дороненков, начальник юридического отдела организации "Росконтроль".
И. Дороненков: На мой взгляд, способы обмана владельцев банковских карт остались прежними. Последние новости технического порядка датируются сообщения двух- или трёхлетней давности, когда нашли существенные изъяны в протоколе GSM, с помощью которого общаются между собой мобильные телефоны, построена мобильная связь. Поскольку протокол этот был создан очень давно, в 70-е годы, сейчас выяснилось, что он недостаточно защищён от перехвата данных. На самом деле к банкам это имеет отношение косвенное, потому что это изъян в работе операторов связи.
Что касается СМСок, призывающих человека совершить какие-то манипуляции, отправить какие-то коды и прочее, они по-прежнему приходят?
И. Дороненков: Да, безусловно. Ещё не все об этом знают. Опять же человек может быть чем-то расстроен, и на него это повлияет. Последние сообщения были связаны с тем, что появилось мошенничество необычной формы, когда людей просили набрать какую-то непонятную длинную последовательность цифр и специальных символов. То есть, условно, *800#325#, а потом какие-то десять букв…
И к чему такой набор цифр и специальных символов приводил?
И. Дороненков: Как сообщалось, это была возможность с помощью мобильного банка Сбербанка перевести денежные средства либо на мобильный телефон, либо на карту другого лица.
В этом наборе цифр и символом как раз и был номер телефона или номер банковской карты зашифрован?
И. Дороненков: Да. Мобильный банк позволяет при помощи условных кодов переводить денежные средства. Это на самом деле удобно для тех людей, у которых нет смартфона или когда смартфон не работает, потому что нет устойчивого покрытия Интернета, но, тем не менее, возможность отправить СМСку есть.
Мошенники в этом варианте применяли приёмы социальной инженерии и уговаривали человека эту комбинацию ввести, но прежде, чтобы у человека возник страх, его пугали, что, если он этого не сделает, у него спишутся налоги или штрафы. А человек-то знает, что он всё оплатил. Второй вариант – мошенники могли использовать какую-то приманку. Говорили, что если человек введёт эту последовательность цифр и специальных символов, это означает, что он согласен участвовать в их бонусной программе, что у него тогда будут бонусы, больше проценты и т.п.
Что нужно делать владельцу карты, если он получил такого рода СМСку? Я бы позвонила в банк.
И. Дороненков: Безусловно, это так. На самом деле, когда вам звонят и говорят, что ужас-ужас-ужас, вам надо достаточно спокойно относиться к такого рода звонкам. Это могут быть абсолютно легальные звонки. Но могут быть и мошенники. При этом надо учитывать, что у мошенников, к сожалению, есть возможность, в том числе, маскировать свои вызовы под легальные номера банка. При этом мошенник может входящий вызов (то, что владелец карты видит на экране) замаскировать.
Но он не может перехватить ваш звонок в банк. Поэтому рекомендация: если вам позвонили вроде бы из вашего банка, сказали условно, что это банк такой-то, вы берёте банковскую карту этого банка, если вы действительно обслуживаетесь в этом банке, и смотрите, какой телефон указан на этой карте. И звоните только по этому номеру. Ещё вариант. Если вы находитесь рядом с Интернетом, можно зайти на сайт банка и посмотреть правильный номер телефона, и дальше уже всё уточнить у оператора.
А у человека, который вам позвонил, вы можете спросить, с кем вы разговариваете, какое для вас спецпредложение, какая программа. И абсолютно нормально можете ему сказать, что в связи с участившимися случаями мошенничества вы его очень внимательно выслушали, всё очень хорошо и понятно, либо наоборот, всё очень плохо, но вам надо уточнить в банке, потому что вы, мол, опасаетесь. Это абсолютно нормальная фраза. Это и есть разумная осторожность и осмотрительность, к чему призывают практически все юристы.
А разве владельца карты не должно насторожить то, что не он позвонил в банк, чтобы уточнить какие-то вопросы, когда для разговора человек вооружён паспортом, пластиковой картой, которой он обладает, а его просят эти данные сообщить? Представьте, вдруг раздаётся неожиданный звонок, и человека просят назвать номер банковской карты, подтвердить CCV-код и что-то ещё сделать. Разве это не должно насторожить владельца банковской карты? Потому что, если у банка есть какое-то спецпредложение, то он сам позвонит по этому поводу, но едва ли он будет у человека, который является клиентом этого банка, спрашивать номер его карты.
Ещё настораживает и другое. Часто, когда мы оплачиваем в Интернете свои покупки, к нам приходит от банка какой-то цифровой код, который мы должны, получив его, снова ввести. Чем опасно сообщение вот этого кода? Больше спишут? Ведь это код для конкретной операции?
И. Дороненков: Сообщение кода конкретной операции, скорее всего, ни к чему страшному не приведёт. Но есть потенциальный изъян в системе передачи данных в сотовых сетях, когда мошенник может параллельно с вашим номером завести себе такой же и перевести на себя обмен смс-сообщениями. Соответственно, если мошенник проделал большую работу и знает частично номер вашей карты и номер телефона, она может, эта его работа может принести ему плоды. Условно говоря, вы пытаетесь оплатить что-то в Интернете, а он подменяет часть запроса, и вам придёт какая-то смска, но на большую сумму для другого платежа. То есть, человек пытается, например, оплатить какую-то детскую книгу, а ему приходит подтверждение операции о покупке дорогой электроники или драгоценностей. То есть, того, что можно потом легко перепродать.
Что касается безопасности, на самом деле я бы предлагал разделить хранение. Большую сумму денег положить на сберегательный счёт, отделив его и оговорив с банком, что к сберегательному счёту невозможен доступ через дистанционное обслуживание. Ни с помощью СМС нельзя списать, ни через банковское приложение. Нельзя эти деньги снять. Для того чтобы их списать, надо прийти в банк, показать там паспорт и перевести эти деньги на карту. И, соответственно, хранить на карте только относительно небольшие деньги, которые вам нужны в повседневной жизни.
Когда мы храним на банковской карте небольшую сумму денег, получается, что будет невыгодно для мошенника попытаться украсть 500 рублей либо 5000 рублей.
Помните, вы спрашивали, не должны ли настораживать входящие звонки? Тут надо обратить внимание на то, что банки не могут быть абсолютно уверены, когда они позвонили вам, что трубку взяли именно вы. Взять трубку может мама, сестра или дочь. Соответственно, банк может попросить подтвердить вашу личность, но это будет либо кодовое слово, которое банк просит назвать при оформлении карты, либо опять же паспортные данные. Но при этом никакой номер счёта, коды с банковской карты, срок действия карты спрашивать не будут.
Банк может вам сообщить об истечении срока действия банковской карты, назвав последние её четыре цифры. Это нормально. И именно банк сообщит человеку эти цифры, а не владелец карты.
До сих пор сталкиваются люди с рассылкой смс-сообщений с номера 900, в которых сообщается, что их карта заблокирована, просьба связаться с оператором по такому-то телефону. И если ты наберёшь номер этого телефона, то, как говорят, денежки сразу и утекут. Это правда?
И. Дороненков: Там бывают разные варианты. В конце концов, используется здесь мошенничество не в сфере банковских технологий, а мошенничество в области телефонных технологий. В этом случае вы звоните на платный номер, где у вас минута разговора с оператором будет стоить 20-50-100 и даже 300 рублей. Таким образом, например, с вас списали 300 рублей, а на самом деле до мошенника доходит 50 рублей, но, тем не менее, себестоимость всей этой процедуры достаточно небольшая. Условно, мошенник за рассылку всех этих СМС заплатил 1000 рублей, но он разослал эти СМС на 300 номеров, из которых 10 человек откликнулись, и он получил за 1000 рублей достаточно существенную сумму в 5000 рублей. То есть, всё-таки выгода для него в этом есть.
Где люди выдают мошенникам то, что они располагают какими-то средствами?
И. Дороненков: В телефонном мошенничестве чаще бывает веерная рассылка. На самом деле схем очень много. Их надо разграничивать, но статистика здесь сложная. В начале этого года были сообщения о том, что две женщины в Брянской области собирали мусор в сбербанке из мусорных корзин, куда люди сбрасывают чеки, и по итогу они смогли у 20 человек списать денежные средства.
А как это они смогли сделать?
И. Дороненков: Когда вы оформляете банковскую карту, вам операционист предлагает подключить сбербанк-онлайн. Соответственно, получить код для сбербанк-онлайн вы можете, только распечатав в банкомате или в терминале квиточек. Из условных 10 тысяч человек, который прошли эту процедуру за три месяца, 50 человек выкинули этот листочек в мусорную корзину. Мошенницы отсортировали этот мусор и нашли эти чеки. Дальше они с использованием своего знакомого из салона сотовой связи узнали, к какому номеру привязаны карты и кто владелец этого номера, сделали фальшивую доверенность и перехватили управление над телефоном. Это уже более организованный преступный способ. Здесь была целенаправленная атака. Правоохранительные органы, по сообщениям прессы, смогли подтвердить только 20 случаев. Похищенная сумма составила порядка 600 тысяч рублей. То есть, это была целенаправленная атака.
Какие меры должен предпринять владелец банковской карты, чтобы с его карты мошенники не списали деньги?
И. Дороненков: Первое. Все значительные суммы хранить на отдельном счёте, где отключено удалённое банковское обслуживание с помощью СМС или программного клиента банка в смартфоне или телефоне. А на карте, которой вы пользуетесь постоянно и где подключено удалённое обслуживание, хранить надо те суммы, потерять которые для вас не так страшно и которые для мошенника не будут весомыми для совершения кражи. Во-вторых, если вы получаете звонок из банка, вы можете сообщить информацию о части паспортных данных либо кодовое слово. При этом вы должны удостовериться, что обращаются именно к вам. То есть, если просто позвонили и сказали, что они из банка и просят сообщить, с кем они разговаривают, в этом случае никаких паспортных данных и кодовых слов сообщать нельзя. В случае подозрительных звонков вы берёте пластиковую карту того банка, в котором вы обслуживаетесь, а там всегда есть номер телефона, либо смотрите на сайте, куда вы должны позвонить. И сами уже инициируете звонок в службу поддержки банка с вопросом, а что происходит, есть ли какое-то у банка для меня специальное предложение, есть ли у меня какие-то проблемы. Также не стоит поддаваться на панические сообщения или попытки вас запугать сообщениями, что Служба судебных приставов или Налоговая служба сейчас с вас спишет миллион рублей, потому что вы – должник по налогам или скрываетесь от уплаты алиментов. На самом деле эти службы всегда предлагают вас прийти, всегда также можно позвонить на телефоны "горячих линий" этих государственных органов и там уточнить, что сейчас происходит, есть ли такая проблема.
А случаи мошенничества, связанные со считыванием данных банковских карт при использовании банкомата, по-прежнему, имеют место быть? Или банкоматы становятся более безопасными?
И. Дороненков: Банкоматы становятся более безопасными, но, тем не менее, и мошенники тоже не стоят на месте. За счёт того, что удешевляются все технологические процессы, сейчас уже, к сожалению для потребителей и для банков, считывающие устройства бывают практически незаметными. То есть, если раньше это были достаточно массивные накладки, то сейчас, по последним сообщениям, есть уже прямо тоненькие-тоненькие пластиковые полосочки.
Полностью программу слушайте в аудиофайле.