Могут ли бесконтактным способом украсть деньги с карты?

Украсть деньги с банковской карточки сложнее, чем вытащить из кошелька. Тем не менее мошенники осваивают новые технологии и научились подбирать ключи даже к банковским картам.

Какая информация о вашей карте нужна злоумышленникам?

Им нужны реквизиты вашей карты: номер карты, имя и фамилия владельца, срок действия, код проверки подлинности карты (три цифры на обратной стороне, например, CVV или CVC), ПИН-код. Также код из смс для подтверждений платежей и переводов на тех сайтах, где платежи нужно подтверждать с помощью такого кода.

Место действия: магазин или кафе

1. Вы платите обычной банковской картой

Злоумышленником может оказаться работник сферы торговли и услуг. Официант, кассир или продавец, принимая для расчета вашу банковскую карту, может сфотографировать нужные данные (номер карты, срок действия, имя владельца и код на обратной стороне), а после расплатиться ей в интернете.

Как предотвратить?

Рассчитываясь, постарайтесь не упускать из вида свою карту. И вводите ПИН-код так, чтобы он не был виден посторонним.

2. Вы платите через терминал, но оплата не проходит

В кафе официант приносит вам POS-терминал (на картинке), вы расплачиваетесь, но тут официант говорит, что оплата не прошла, и просит повторно ввести ПИН-код. Делая это, вы рискуете заплатить дважды.

Как предотвратить?

Подключите смс-уведомления о платежах. Обязательно попросите чек с уведомлением о сбое или отказе от операции (POS-терминал всегда печатает такой).

3. Вы платите картой с системой бесконтактной оплаты

Картами с системой бесконтактной оплаты можно расплачиваться мгновенно, в одно касание, если ваш платеж не превышает определенный лимит. ПИН-код при этом вводить не нужно. Злоумышленники могут похитить деньги с такой карты, прислонив считыватель или POS-терминал к сумке.

Как предотвратить?

Чтобы бесконтактная оплата не проходила без вашего ведома, карту лучше хранить в экранирующем отсеке кошелька, сумки или специальном чехле для банковских карт.

Место действия: банкомат

Самый распространенный способ кражи реквизитов карты (номер, имя и фамилия владельца, срок действия) при ее использовании в банкомате — установка на банкомат скиммера. Это специальное устройство, которое копирует данные с магнитной полосы карты.

Могут украсть и ПИН-код, установив на банкомат скрытую камеру или накладную клавиатуру. Поддельную клавиатуру ставят прямо поверх оригинальной, и сам банкомат реагирует на нажатия как обычно — вы даже не заметите, что что-то идет не так.

Злоумышленники, используя украденные данные, могут изготовить копию вашей карты.

«Приехал как-то к другу в Москву, около его дома заглянул в магазин — а там только наличными оплата. Побежал к банкомату, торопился. Непримечательный такой банкомат в том же магазине нашел, рядом еще крутились двое парней-«техников» в униформе, с оборудованием, настраивали что-то…»

Будьте бдительны, не наступайте на чужие грабли!

Как предотвратить?

Скиммер способен украсть информацию только с магнитной полосы, но не со специального чипа.

• Проверьте банкомат: нет ли на нем посторонних устройств. Клавиатура не должна отличаться по фактуре, а тем более шататься.
• Когда вводите ПИН-код, всегда прикрывайте клавиатуру свободной рукой, чтобы никто не подсмотрел.
• Старайтесь пользоваться банкоматами внутри отделений банков. Их чаще проверяют и лучше охраняют.

Лучше всего, если на банкомате есть «крылья» для клавиатуры — на них невозможно поставить накладную клавиатуру, а также сложнее подсмотреть ваш ПИН-код.

Место действия: где угодно

1. Вы получили тревожное смс-сообщение или звонок от родственника

С незнакомого номера вам пишет или звонит якобы родственник и говорит, что попал в беду и ему срочно нужны деньги, но времени объяснять ситуацию у него нет. В таких сообщениях часто манипулируют срочностью ситуации, и присылают их в крайне неудобное время, например, ночью.

Как предотвратить?

Не спешите переводить деньги. Попытайтесь выяснить детали — обычно долгие разговоры не входят в планы злоумышленников. Если выяснить ничего толком не удалось, перезвоните родственнику, от имени которого обращаются, чтобы убедиться, он ли вам звонит/пишет.

2. Вам пришло сообщение «от банка»

С незнакомого номера приходит смс-сообщение, что ваша карта заблокирована. В смс указан номер, по которому нужно позвонить для уточнения деталей.

Позвонив, вы попадете в фальшивую службу безопасности банка, где вас будут убеждать сообщить данные карты или подойти к ближайшему банкомату и произвести операции.

Выполнив указания злоумышленников, вы откроете им доступ к карте и они украдут ваши деньги.

«У меня на удочку мошенников через мобильный попался отец. Сначала он получил смс якобы от меня с чужого номера, где просили ничего не спрашивать и пополнить счёт. Сообщение отец увидел, кстати, уже после того, как завершилась история, а мошенники решили долго не ждать ответа и испытать удачу другим путём…»

Будьте бдительны, не наступайте на чужие грабли!

Как предотвратить?

Не перезванивайте — сперва выясните, действительно ли звонили из вашего банка. Настоящие банки обычно присылают уведомления с одного и того же номера. Кроме того, на вашей карте указан телефонный номер для связи с банком — позвоните по нему и уточните, заблокирована ли она. Или обратитесь к сотрудникам ближайшего отделения банка.

3. Вам звонят из госучреждения

Вам звонят люди и представляются сотрудниками Банка России, прокуратуры, суда, Министерства здравоохранения, Министерства финансов и других учреждений. Они сообщают, например, о положенном возмещении ущерба от действий мошенников: о компенсации за купленные медицинские товары или услуги экстрасенсов.

Если для получения обещанной компенсации «сотрудник» попросит вас что-то оплатить (подоходный налог, налог на прибыль, банковский сбор, обязательную страховку, госпошлину, комиссию за перевод денег), а тем более попросит предоставить паспортные данные или банковские реквизиты, это — телефонный мошенник.

Как предотвратить?

Не следуйте указаниям и ничего не оплачивайте. Не предоставляйте личную информацию, у настоящих сотрудников она уже есть.

Место действия: дом

1. Вам пришло письмо или уведомление

Вы получаете по почте уведомление на бланке с реквизитами Банка России. В нем сказано, что суд постановил выплатить вам компенсацию, для этого нужно связаться с контактным лицом. И как можно скорее, иначе компенсация перейдет в пользу государства — так злоумышленники подталкивают вас действовать.

Как предотвратить?

Не спешите связываться с контактным лицом, указанным в письме, проверьте данные. Позвоните по номеру телефона для обращений, указанному на официальном сайте Банка России. Если письмо оказалось фальшивым, обратитесь с жалобой в правоохранительные органы.

Помните, Банк России присылает СМС и e-mail только в ответ на ваше обращение через Интернет-приемную.

СМС-сообщения от регулятора поступают с короткого номера 3434, электронные письма – с адреса noaddress@cbr.ru.

Любые сообщения с других номеров, особенно требующие введения ПИН-кода, подтверждения операций, предоставления личных данных и других сведений, следует расценивать как попытку мошенничества.

Защититесь от мошенников:

• Подключите мобильный банк, чтобы отследить операции, которые вы не совершали. Так вы сможете оперативно отреагировать на действия мошенников — а время в этом случае очень важно.
• Не храните крупные суммы денег на карте, которую вы носите с собой и используете для повседневных трат.
• Если вы планируете использовать карту только в России — обязательно сообщите об этом сотрудникам банка.
• Расскажите пожилым родственникам об уловках мошенников — именно они чаще всего становятся мишенью злоумышленников.

Что делать, если вы все-таки столкнулись с мошенничеством?

Если с вашей банковской карты вдруг списали деньги:

• Как можно скорее позвоните в банк (номер есть на обороте карты), сообщите о мошеннической операции и заблокируйте карту.
• Обратитесь в отделение банка и попросите выписку по счету. Напишите заявление о несогласии с операцией. Сохраните экземпляр заявления с отметкой банка о приеме.
• Обратитесь в правоохранительные органы с заявлением о хищении.

Банк рассмотрит заявление в течение 30 дней. Если операция была международной — в течение 60 дней.

Компенсация

Получив ваше заявления, банк проведет служебное расследование и решит вопрос о возмещении ущерба.

Если вы соблюдали меры безопасности и обратились в банк не позже, чем через сутки после списания денег, то можете рассчитывать на возмещение.

Однако если вы сами сообщили злоумышленникам ПИН-код или код из смс, необходимый для подтверждения платежей и переводов, к сожалению, банк не вернет вам денег.

С пластиковых карт начали угонять деньги «по воздуху»

В России появился новый вид мошенничества — кража денег с карт россиян, оснащенных технологиями бесконтактной оплаты товаров (карта прикладывается к PoS-терминалу, сумма покупки списывается с «пластика»).

По данным компании Zecurion, мошенники увели с карт россиян с помощью своих самодельных терминалов (RFID-ридеров) 2 млн рублей в 2015 году.

Опрошенные компании, специализирующиеся на IT-безопасности, отметили, что мошенники научились воровать с карт с помощью смартфонов, оснащенных чипами NFC (NFC — разновидность RFID).

Технологии бесконтактной оплаты товаров разработаны американскими платежными системами Visa (PayWave) и Mastercard (PayPass) для ускорения и упрощения безналичной оплаты покупок. Карты с технологией PayPass выпускает 43 крупных российских банка, карты c PayWave — 16.

Технологии PayPass и PayWave применяются на картах с чипом и магнитной полосой. При расчетах такой картой не нужно вводить PIN-код, а также ставить подпись на чеке, если сумма покупки небольшая (до 1 тыс. рублей). По оценкам Zecurion, карты с бесконтактной технологией оплаты есть у 2 млн россиян. Заявлено, что в России больше 30 тыс.

точек приема PayPass: предприятия транспорта, торговли, сферы услуг.

Visa и Mastercard на своих сайтах, посвященных PayPass и PayWave, предусмотрели правила безопасности, но они не отличаются от тех, что выработаны для классических банковских карт (PIN-код должен быть неочевидным; его не следует писать на обратной стороне «пластика»; карта всегда должна быть в поле зрения, а телефоны для связи с банком — под рукой). PayPass и PayWave начали распространять в России в 2008 году, но до сих пор широкого распространения не получили: небольшое количество банков, эмитирующих такие карты, объясняется сложностью и дороговизной этой технологии, да и сама карта стоит дороже обычных на 50–100% (в зависимости от дизайна и типа карты).

Суть схемы похожа на перехват сигналов электрозамков угонщиками автомобилей. Как сообщили в Zecurion, средства с карт PayPass и PayWave списываются мошенниками с помощью самодельных считывателей, способных сканировать банковские карты с чипами RFID (см. фото). По большому счету это аналоги легальных бесконтактных PoS-терминалов: RFID-ридеров, посылающие электромагнитные сигналы.

— Хакерский ридер очень похож на легальное устройство, но он отличается более продвинутой функциональностью, — рассказал «Известиям» руководитель аналитического центра Zecurion Владимир Ульянов. — Злоумышленнику достаточно приблизить на 5–20 см такое устройство к карте с чипом RFID, как вся необходимая информация будет считана.

В переполненном транспорте, на рынке, в магазине сделать это нетрудно. Человек может даже не заметить «воровства». Полученные данные мошенники записывают/передают на карты-клоны — для дальнейших операций (влекут хищения средств с подлинных банковских карт).

Стоимость легального считывателя для PayPass и и PayWave — от 20 тыс. рублей. Но надо понимать, что хакерам для считывателя нужно немного, а компоненты не очень сложно заказать.

Стоимость RFID-ридеров, которыми пользуются хакеры для воровства денег с банковских карт россиян, составляет $100, — их хакеры изготавливают самостоятельно.

Самый примитивный считыватель состоит из специального контроллера, антенны для приема сигнала и интерфейса для подключения к компьютеру и программного обеспечения на самом компьютере.

Как указывает замдиректора департамента аудита защищенности компании Digital Security Глеб Чербов, мошенникам достаточно бесконтактно получить номер карты и дату окончания срока ее обслуживания.

— Этих данных уже достаточно для проведения транзакций через подставные интернет-площадки или изготовления дубликата магнитной полосы карты, также достаточного для списания средств, — поясняет Чербов.

— Из доступной «по воздуху» информации для злоумышленников также представляет интерес и история операций по карте, включающая в себя точные суммы и даты списаний. Располагая этими данными, несложно составить примерный профиль владельца и предположить текущий остаток по счету.

У мошенников есть и более дешевые способы кражи данных с бесконтактных карт — обычный смартфон с поддержкой NFC. Им можно с расстояния в несколько сантиметров воровать данные банковских клиентов.

Но Чербов успокаивает, что защититься от мошеннической атаки не так сложно.

— Существуют кошельки, которые защищают карту от считывания (RFID blocking wallet), появились карты, которые кладутся в кошельки рядом с собственными — по цене около 500 рублей, — говорит Чербов.

— Также пользователям новых карт можно посоветовать придерживаться давно известных рекомендаций относительно того, чтобы быть внимательными с SMS-информированием и соблюдать другие известные правила при проведении трансакций.

По словам замруководителя блока операционного и IT-сопровождения Бинбанка Игоря Новожилова, бесконтактное мошенничество пришло из Европы.

— Сложно предсказать потенциальный объем хищений, но с ним однозначно можно бороться, — уверен Новожилов. — Считывающее устройство должно быть поднесено практически вплотную к карте. Эта особенность уже обеспечивает определенный уровень защиты.

Сложно представить, как кто-то допустит, чтобы по его карманам водили сканером. А если в кошельке две и более бесконтактных карты, то это только усложняет задачу считывания. Также можно менять порог суммы оплаты для ввода PIN-кода.

Сама технология разрабатывалась для быстрых покупок на маленькие суммы, например оплата городского транспорта, прессы в ларьке и т.п.

Важно! Не дайте украсть деньги с вашей карты. Что нужно знать

Воровство денег с банковских карт – один из наиболее прибыльных видов криминального бизнеса. Порой для виртуальной кражи технические знания не требуются вовсе.

Если верить статистике деньги с карты воруют именно по вине самого клиента. Например, человек написал пин-код на обратной стороне карты, а потом потерял кошелек или при оплате в ресторане отдал карту официанту, а тот сфотографировал ее. Но, существует несколько основных способов, которыми пользуются злоумышленники с целью совершения противоправного действия:

— Скимминг: неизвестные копируют данные банковской карты (точнее, только магнитной ленты с нее) и потом могут сделать копию, чтобы затем снять с нее деньги. Для копирования используется специальное устройство — скиммер.

Он представляет собой небольшую накладку на картоприемник банкомата. Как правило, эта накладка практически незаметна. Часто к ней ещё добавляют накладную клавиатуру, которая должна «запомнить» вводимый пароль.

Либо мошенники устанавливают маленькую камеру, направленную на клавиатуру;

— Социальная инженерия: преступники звонят жертве и представляются сотрудниками банка. И под разнообразным предлогом требуют назвать ФИО, номер карты, CVV/CVC-коды, срок действия и так далее. И как только человек называет информацию, то можно попрощаться с деньгами;

 — «Письма счастья» на почту и email: злоумышленник может выдать себя за кого угодно — например, за представителя банка или за известный бренд, решивший прислать скидку на свои товары. В письме подробно расписана выгода, а в конце будет стоять ссылка на мошеннический сайт, на котором нужно будет ввести данные банковской карты.

— Фишинг: при использовании этого способа мошенники будут любой ценой заставлять ввести данные карты на фальшивом сайте для оформления какой-либо покупки. И заметить отличие можно будет только по маленькой опечатке в адресе сайта или подмене доменной зоны (то есть вместо привычных ru или com на конце адреса будет стоять su, ua, pro и так далее);

— Вирусное заражение: вирус может попасть на компьютер или смартфон как угодно: при случайном переходе не на тот сайт, скачивании приложение из стороннего источника, открытии зараженного файла.

Вирусы и шпионские программы могут попасться даже на внешне благонадежных сайтах — например, часто мошенники взламывают ресурсы и ставят на них зараженные ссылки, баннеры и перенаправления.

И нередко вирусные ссылки приходят в SMS-сообщениях и по почте;

— Кража банковской карты: в данном случае достаточно получить доступ к самой карте, чтобы использовать ее в магазинах, где есть терминалы бесконтактной оплаты.

Как безопасно пользоваться картой:

• перед тем как пользоваться банкоматом, следует внимательно его осмотреть на наличие посторонних устройств. Если что-то вызывает сомнения, сообщите сотрудникам банка.
• не называйте данные банковской карты, не перезванивайте по номерам из SMS;
• не переходите по подозрительным ссылкам из писем и не вводите на странных сайтах данных от карты, личного кабинета и так далее. Для получения скидок, подтверждения личности не нужны ни пароль от личного кабинета интернет-банкинга, ни данные пластиковой карты;
• внимательно относитесь к тому сайту, на котором вы расплачиваетесь картой или где вводите данные от нее. Проверяйте адреса сайтов;
• пользуйтесь антивирусными программами и не забывайте их обновлять;
• не сообщайте никому коды из смс — даже сотрудникам банка;
• не оставляйте карту без присмотра, не позволяйте продавцу в магазине или официанту уносить ее из поля зрения;
• установите подтверждение всех операций по карте пин-кодом;
• закажите дополнительную карту, чтобы расплачиваться в интернете.

Сотня способов украсть деньги с вашей банковской карты, или как обезопасить себя от мошенников?

Во Владимирской области в 2019 году зафиксировали 932 факта хищения денег с банковских счетов граждан.

По данным полиции, с каждым годом появляется все больше способов дистанционного мошенничества: доверчивых граждан вводят в заблуждение посредством махинаций в интернете или телефонных звонков, используют похищенные или потерянные банковские карты, подкарауливают жертву у банкомата, взламывают личные аккаунты в социальных сетях.

«Новинкой» в сфере мошенничества с банковскими картами стала «история с банкоматом», когда предыдущий клиент «забывает» свою карту в картоприемнике после совершения операции.

Когда наступает очередь следующего клиента, он просто вынимает карту, кроме того, в это время банкомат настойчиво информирует, что карта будет проглочена. Когда приходит «забывчивый» хозяин и ему возвращают карту, он, проверяя баланс, начинает уверять, что с его счета списаны деньги.

Интересно, что тут же находятся и «свидетели», которые разыгрывают спектакль вместе с новоявленной «жертвой».

«Жертва» угрожает вызвать полицию и уверяет, что, поскольку на карте остались отпечатки пальцев, доказать, что деньги пропали именно по вине следующего клиента, будет легко. Как правило, «история с банкоматом» разыгрывается в уединенных местах, где не так много народа, а жертву выбирают из тех, кто под напором может стушеваться и отдать деньги, как правило, это пенсионеры.

Эксперты владимирского отделения Банка России советуют в таких случаях не прикасаться к чужой карте и дождаться, пока ее проглотит банкомат, а если клиент взял чужую карту, не стоит поддаваться прессингу — полицию нужно вызвать самому.

На банкоматах есть камеры, а все финансовые операции фиксирует банк, поэтому аферисты ничего не докажут и, скорее всего, скроются до приезда правоохранителей.

Можно также позвонить в банк, чтобы сообщить адрес банкомата и проверить сохранность видео, а также постараться снять лица мошенников на камеру, чтобы после обратиться в полицию.

Другой способ «терминального» мошенничества — когда злоумышленник начинает на терминале операцию, не вставляя карту, не завершает ее и отходит, выбрав способ оплаты картой.

Терминал дает на завершение операции 90 секунд, и если свою карту вставит следующий клиент, то именно с его счета будут списаны деньги.

Чтобы не попасться на эту уловку, нужно обратить внимание, не горит ли на терминале надпись «вставьте карту», в этом случае незавершенную операцию нужно отметить.

Среди новых способов дистанционного мошенничества — предложение отправить деньги на так называемый «зеркальный» счет: мнимые «сотрудники» банка звонят и предупреждают, что кто-то пытается получить доступ к вашему счету.

Причем, аферисты не пытаются выведать какие-либо смс-коды и другую информацию, а просто предлагают перевести деньги на счет, который специально открыт для таких случаев, — то есть, человек самостоятельно переводит деньги мошенникам.

Набирает обороты способ мошенничества, когда людям звонят неизвестные, представляются сотрудниками правоохранительных органов и информируют, что человеку положена компенсация, например, за купленные медицинские товары или участие в финансовых пирамидах.

Так, например, жительнице Владимирской области сообщили о возможности 10 миллионной компенсации.

В итоге женщина перевела мошенникам почти 1,5 млн рублей — за несуществующие «канцелярские расходы, судебную госпошлину, справки, подтверждающие плохое состояние здоровья, доставку денег инкассаторским способом, услуги адвоката, 13% налоговых сборов и другие несуществующие расходы». Причем, эти деньги женщине пришлось взять в кредит.

Большая доля мошеннических действий связана с покупкой-продажей товаров на популярных сайтах «Авито» или «Юла», когда человек переводит предоплату, но в итоге остается ни с чем, либо когда у продавца выведывают данные банковской карты якобы для осуществления перевода. Аналогично преступники действуют, создавая отдельные сайты или группы продаж в соцсетях.

Распространение получают кражи с банковских счетов с использованием IP-телефонии, когда злоумышленники звонят с номеров, идентичных номерам колл-центров кредитных организаций (8-800, 8-495), и представляются сотрудниками службы безопасности банка.

Клиенту сообщают, что по карте зафиксированы подозрительные операции, просят связаться с «сотрудником банка», который, сославшись на сбой на сервере, выведывает данные банковской карты: номер и CVV-код, а также данные для входа в личный банковский кабинет.

Раскрыть такие преступления наиболее сложно, поскольку такие организованные группы, как правило, работают в других регионах и скрываются под видом колл-центров.

За год с сентября 2018 до сентября 2019 года Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России заблокировал 4 тысячи 936 номеров, с которых поступали мошеннические звонки и рассылки. По сравнению с тем же периодом 2017-2018 годов число таких номеров выросло в 38 раз.

По-прежнему мошенники прибегают к способу «розыгрыша призов», когда злоумышленник либо по телефону, либо в соцсетях, либо в смс сообщает человеку, что он выиграл ценный приз в лотерее популярной компании — осталось только получить «приз» или оплатить его пересылку: в ходе общения преступники также выясняют банковские реквизиты жертв и похищают деньги.

Нередки случаи, когда владимирцы устанавливают на телефоны вредоносные программы, которые позволяют мошенникам дистанционно заходить в банковские приложения и личные кабинеты, чтобы похитить деньги. Только за последний год — с сентября 2018 по сентябрь 2019 года — Центробанк заблокировал около 780 тысяч подобных сайтов.

В полиции напоминают, что ни при каких обстоятельствах не стоит передавать реквизиты банковской карты третьим лицам. Кроме того, нужно игнорировать смс-сообщения о якобы заблокированной банковской карте, поскольку сотрудники банка в любом случае знают реквизиты, номера ваших карт и счетов и никогда не будут «выпытывать» у вас данные сведения.

Начальник 7 отдела управления уголовного розыска УМВД Владимирской области Ярослав Лазарев на пресс-завтраке, посвященном безопасности в сфере безналичных платежей во владимирском отделении Центробанка, рассказал журналистам, что в 2019 году полиции удалось возбудить несколько уголовных дел по фактам дистанционного мошенничества.

фото пресс-службы УМВД по Владимирской области

Так, этапированный из Челябинской области обвиняемый рассылал сообщения: «с вашей карты успешно списано 9 тысяч 899 рублей», а потом представлялся сотрудником банка и выяснял у абонентов данные банковской карты. Он уже осужден по 10 эпизодам мошенничества, но заявления от потерпевших продолжают поступать, поэтому полицейские прогнозируют возбуждение еще серии уголовных дел.

O безопасности бесконтактных платежах

До момента, когда все устройства для приема банковских карт в Латвии будут оснащены функцией бесконтактных платежей, осталось всего девять месяцев.

Требования международных организаций платежных систем VISA и Mastercard устанавливают, что с 2020 года все устройства для приема платежных карт должны принимать бесконтактные карты.

К настоящему моменту в Латвии выдано уже свыше 900 000 бесконтактных карт, причем бесконтактные платежи поддерживают две трети всех мест торговли, принимающих оплату картами, — свидетельствуют данные Ассоциации финансовой отрасли за 2018 год.

За последний год количество бесконтактных карт выросло на 91%.

А поскольку бесконтактные платежи уже стали новой нормой, вместе с ними начали появляться и городские легенды или мифы.

Какие вопросы волнуют людей в эпоху бесконтактных платежей и являются ли бесконтактные карты мишенью чьих-либо преступных посягательств, в беседе с членом подкомитета платежных карт Ассоциации финансовой отрасли и руководителем Отдела дебетовых карт Swedbank Latvija Лиеней Гасиней, директором по продуктам компании Verifone Baltic Каспарсом Жвигулисом и начальником Отдела по борьбе с киберпреступностью Государственной полиции Дмитрием Хоменко обсудил блогер Кристапс Скутелис.

Лимиты и алгоритмы безопасности

В странах Балтии лимит платежа с помощью бесконтактной карты без ввода PIN-кода составляет 25 евро. Однако PIN-код по-прежнему нужно держать в памяти, так как, во-первых, он необходим при оплате покупок на сумму более 25 евро, а, во-вторых, POS-терминал время от времени будет запрашивать ввести PIN-код, чтобы убедиться, что картой пользуется ее владелец, а не кто-то другой.

Еще более безопасными бесконтактные платежи делают разработанные платежными системами алгоритмы, которые предусматривают, что по достижении определенного числа или суммы покупок POS-терминал требует вести PIN-код (в зависимости от алгоритма). Поэтому платить бесконтактным способом, пока на карте не закончатся деньги, не получиться.

Нужно также иметь в виду, что в разных странах лимиты бесконтактных платежей могут отличаться. Если ваша карта выдана одним из латвийских банков, то максимальный лимит платежа за рубежом составит 25 евро. В свою очередь в случае, если в стране, в которую вы приехали, действует меньший лимит, то и ваш лимит будет таким же. Просто следите за уведомлениями на терминале.

За каждым терминалом для приема карт стоит банковский счет

Истории о том, что мошенники с помощью купленного в интернет-магазине терминала могут украсть деньги с бесконтактной карты, например, во время поездки в общественном транспорте, не соответствуют действительности.

Представитель Ассоциации финансовой отрасли и Swedbank Лиене Гасиня подчеркивает:  «Купить терминал, конечно, можно, но это так же бесполезно, как приобрести мобильный телефон и не подключить его к оператору – нет номера, нет подключения и с ним ничего нельзя сделать».

Все устройства для приема карт регистрируются в банках или других финансовых учреждениях. Терминал, который зарегистрирован за рубежом, может принимать платежи в Латвии, если к нему привязан соответствующий договор. Устройство должно иметь операционную систему, договор и лицензию, оно не может быть анонимным, соответственно, его можно легко отследить.     

«В момент оплаты деньги «не попадают» в терминал, а переводятся на привязанный к терминалу счет финансового учреждения.

Если предположить, что злоумышленники захотят незаконно использовать эту функцию для получения денежных средств, они сначала должны будут открыть легитимный банковский счет, т.е. раскрыть себя.

Для организованной преступности это огромное препятствие, так как анонимно украсть денежные средства невозможно», — отмечает начальник Отдела по борьбе с киберпреступностью Государственной полиции Дмитрий Хоменко.

Кроме того, терминалы оснащены различными функциями безопасности. Например, при попытке подключения к терминалу неавторизованного устройства память терминала автоматически стирается.

«Это означает, что терминал становится непригодным для использования, причем установить другое программное обеспечение в этом случае тоже будет невозможно. Устанавливать программное обеспечение на терминалы может только надежный и проверенный источник, к тому он контролируется с помощью специальных ключей.

Неавторизованное подключение невозможно», — добавляет директор по продуктам компании Verifone Baltic Каспарс Жвигулис.

Могу ли я случайно оплатить покупку дважды?

Популярность бесконтактных платежей стремительно растет, поэтому в вашем кошельке вполне могут оказаться несколько бесконтактных платежных карт. Даже если вы поднесете к терминалу кошелек, в котором находятся несколько бесконтактных карт, можете быть уверены, что деньги будут сняты только один раз.

«Если в такой ситуации устройство «поймает» только одну карту, платеж будет авторизован и все будет в порядке.

Если же в поле зрения устройства попадут сразу несколько карт, на его экране появится сообщение с просьбой поднести только одну карту, так как в радиусе приема констатировано несколько радиоволн.

Чтобы оплатить покупку, к терминалу должна быть поднесена только одна платежная карта, рассчитаться одновременно двумя картами невозможно», — поясняет Каспарс Жвигулис.

Расстояние, на которое должна быть поднесена карта, составляет в среднем 4 см. Оно зависит не только от вида и модели терминала, но и от встроенной в карту антенны.

Карта всегда должна оставаться в руках покупателя

«Современные технологии приходят в нашу жизнь, и в обществе все больше укореняется представление о том, что карты, бесконтактные расчеты – это некий ключ к деньгам, которые хранятся на счете. Нередко люди к карте относятся гораздо беспечнее, чем к кошельку или наличным.

Некоторые носят карты во внешнем кармане, куда они точно не положили бы наличные. К карте нужно относиться с ответственностью и вниманием, этому нужно учить также детей и внуков», — подчеркивает начальник Отдела по борьбе с киберпреступностью Государственной полиции Дмитрий Хоменко.

Карте является собственностью банка, и передача карты третьим лицам является нарушением договора. Лиене Гасиня говорит: «Карту ни в коем случае нельзя выпускать из рук, независимо от того, имеет ли она бесконтактную функцию или нет.

Если карту нужно поместить в терминал и это делает продавец, все должно происходить на глазах у покупателя. Карта является личным платежным средством и каждый из нас несет ответственность за ее передачу третьим лицам».

Кстати, в случае если у продавца возникают подозрения в том, что карту использует не ее авторизированный владелец, он имеет право потребовать у покупателя предъявить удостоверение личности.

В момент совершения оплаты бесконтактной картой данные карты, например, имя, фамилия владельца или трехзначный номер карты, нанесенный на обратной стороне пластика, никуда не отправляются. «Ни имя владельца, ни номер его банковского счета, ни информация об остатке счета никуда не посылаются. Можете быть в этом уверены», — подчеркивает Лиене Гасиня.

Что делать, если карта была утеряна или украдена?

«В первую очередь карту нужно сражу же заблокировать удобным для вас способом – в мобильном приложении, интернет-банке или по справочному телефону банка», — отмечает Лиене Гасиня.

Использование электронных платежей представляет собой договорные отношения между банком и авторизированным пользователем карты. Во избежание каких-либо технических ошибок или недоразумений, после блокировки карты пользователь должен вместе с банком разобраться, что же на самом деле произошло, и были ли украдены денежные средства.

В случае если будет установлено, что произошла кража, необходимо обратиться в полицию. Вместе с заявлением в полицию следует подать также распечатки с банковского счета, а также предоставить всю информацию о произошедшем.

Украденные средства будут возвращены, если удастся доказать, что карточная операция была совершена неавторизированным лицом.

Количество преступлений, связанных с использованием электронных платежных средств, сокращается

«Как показывает статистика последних лет, в целом число преступлений, связанных с противоправным использованием данных электронных платежных средств, в стране сократилось.

По сравнению с 2017 годом, количество таких преступлений уменьшилось на 24–25 %. В этом есть и заслуга банков, которые ведут активную просветительскую работу среди населения, в том числе информируя об ответственном отношении к карточным данным.

Проанализировав статистику по бесконтактным картам, мы видим, что случаев краж с использованием карт этого вида стало меньше на 2%. Мы не считаем, что данный вид преступности имеет тенденцию к росту.

Мы проанализировали систему и считаем, что она является адекватно безопасной и не интересна участникам организованных преступных сообществ», — отмечает Дмитрий Хоменко.

Любое противоправное использование финансового инструмента или платежного средства, в том числе противоправное использование бесконтактной карты, является гораздо более тяжким преступным деянием, чем кража в небольшом размере. Минимальное наказание за совершение подобного преступления составляет до трех лет лишения свободы. В зависимости от обстоятельств и размеров содеянного, может быть назначено лишение свободы вплоть до 10 лет.

«Я хочу предупредить всех, особенно молодых людей, что рассчитываться чужой картой, пусть даже на один евро, противозаконно. Подобное деяние будет квалифицировано как более тяжкое преступление с соответствующим максимальным сроком лишения свободы, чем кража наличных в том же объеме», — отмечает Дмитрий Хоменко.

Чего ждать в будущем?

Оборот наличных денег в Латвии постепенно сокращается. Это будет нашим общим решением, когда мы откажемся и откажемся ли мы вообще от наличных расчетов.    

«Путь к безналичному обществу зависит и от того, как мы выплачиваем зарплаты, и от того, как рассчитывается за покупки. Еще пять лет назад оборот наличных денег был больше, чем безналичных, сегодня же наблюдается обратная тенденция. Безналичные расчеты – это эффективнее, быстрее и прозрачнее», — подчеркивает Лиене Гасиня.

Доля бесконтактных платежей в Латвии растет с каждым днем. Покупатели оценили преимущества новой технологии – удобные, быстрые и безопасные платежи за повседневные покупки.

Люди с банковскими терминалами могут украсть деньги с моей карты?

Расскажите, как защищаться от мошенников, которые могут бесконтактно провести операцию через пэйпасс, просто приложив терминал к моему кошельку? Боюсь носить с собой карту.

Заранее благодарю за ответ.

С уважением,Екатерина

Действительно, в сети часто появляются фотографии людей в метро с терминалами бесконтактной оплаты в руках. Но вот сообщений граждан, у которых таким образом сняли деньги, я не встречал.

Вероятно, единичные случаи подобных преступных посягательств действительно случались. В 2017 году об этом писали на сайте Центрального банка.

Из сообщения Центробанка можно сделать следующие выводы:

1. Украсть деньги преступникам не удалось.
2. Устройство, которое они использовали, попало к специалистам для исследования.
3. Данные с карты считались, но автоматически деньги не списали.
4. Копирование карты также не произошло. Это в принципе невозможно.

Точной информации о том, какое именно устройство использовалось и каким способом, в сообщении ЦБ нет. Это обычная практика: службы безопасности не разглашают информацию, которая может помочь преступникам.

Мы не можем утверждать, что речь идет именно о снятии денег с карты посредством платежного терминала в метро. Возможно, мошенники использовали скиммер — устройство для копирования магнитной полосы на карте — либо накладную клавиатуру для банкомата, чтобы считать пин клиента.

На практике преступник столкнется с рядом проблем.

Основным препятствием для него станет необходимость показать свои данные банку, через который будет проводиться платеж.

Допустим, карманник в метро вытаскивает у гражданина из кармана наличность. Посредников между ними нет, отследить платежи по похищенным купюрам технически невозможно.

Ни один банк не предоставляет услуги эквайринга анонимам. С получателем денег всегда подписывают договор, в котором указаны его полные данные. После этого теряется смысл преступления: получатель известен всегда.

Стоит потерпевшему обратиться в правоохранительные органы — банк получит право заблокировать доступ преступника к счету.

Преступники могут оформить фирму на подставное лицо или приобрести терминал, оформленный на подставную фирму, но не факт, что они успеют вывести деньги раньше, чем заблокируют счет.

Нет, не защитит. Карманники существуют не одну сотню лет и кошельки с поясов горожан начали срезать как раз в то время, когда появились первые монеты. Абсолютных гарантий безопасности не сможет дать никто.

Банку нужно, чтобы деньги клиентов были в безопасности. Иначе клиенты просто не будут их там хранить и банк не сможет на них зарабатывать. Мошенники, как правило, деньги на счетах не хранят, а переводят в наличность.

Государству это тоже невыгодно: украденные деньги в экономику не вложат.

В любом случае деньги на карте защищены лучше, чем наличность в кошельке. Если кошелек вытащат из кармана — преступники смогут потратить все, что там есть, а отследить траты и поймать преступников будет очень сложно.

В некоторых статьях в интернете рекомендуют заворачивать карточку в пищевую фольгу. Не знаю, чем руководствуются авторы солидных изданий, советующие читателям подобный бред. Я лично опробовал этот способ и могу сказать: карта терминалами не считывается, но от регулярного разворачивания фольга быстро разрушается, а рассыпавшаяся фольга оставит карту без защиты. Так делать не нужно.

Вас защитит не фольга, а разумная осторожность и ФЗ «О национальной платежной системе». В нем сказано, что в случае совершения несанкционированной операции по переводу денег нужно как можно скорее заблокировать карту и написать заявление в банк о несогласии с проведенной операцией.

Банк обязан рассмотреть это заявление в течение 30 дней.

А если клиент нарушил правила использования карточки — например, передал пин или CVV-код третьим лицам, хранил записку с пином в кошельке, написал код на самой карточке или на соседском заборе, — банк не обязан ничего возвращать. Но только если докажет, что клиент сам виноват.

Вот пример: апелляционное определение Верховного суда Республики Саха (Якутия). В 2013 году женщина пыталась воспользоваться банкоматом, но не смогла, а средства с ее счета списали без ведома хозяйки.

В ходе разбирательства было установлено, что списание произошло в результате действий третьих лиц, получивших доступ к данным кредитной карты, но эти лица так и не были найдены. Так написано в тексте определения.

То есть это не банковский сбой, не ошибка оборудования и не «съевший» деньги банкомат. Это сделали люди, и никто этот факт не оспаривал — ни банк, ни потерпевшая, ни суд.

Хозяйка карты потребовала от банка вернуть списанные деньги и оплатить моральный ущерб. Банк не смог доказать, что женщина нарушила правила использования карточки, — и по решению суда вернул ей деньги.

Мои рекомендации:

1. Заворачивать карточку в фольгу не нужно.
2. Никому и никогда не говорите CVV-код, пин и коды, которые приходят к вам по смс.
3. Носите кошелек с карточкой в нагрудном кармане одежды: так вы можете контролировать тех, кто подходит к вам с терминалом оплаты.
4. Постарайтесь разместить карточку в глубине сумки. Терминал бесконтактной оплаты сработает на расстоянии не более двух сантиметров — размеров средней женской сумочки может оказаться достаточно для защиты от несанкционированного снятия денег.
5. Если есть возможность, пользуйтесь для оплаты смартфоном или смарт-часами.
6. Обеспечить сохранность реквизитов карточного счета — обязанность владельца счета, а не банка.
7. Закон на вашей стороне: он позволяет оспорить операцию по карте, если есть достаточно доказательств.
8. На возврат денег можно рассчитывать только в том случае, если вы соблюдаете все требования безопасности.

Если у вас есть вопрос о личных финансах, дорогих покупках или семейном бюджете, пишите: ask@tinkoff.ru. На самые интересные вопросы ответим в журнале.

9 способов украсть деньги с вашей карты

Итак, расскажем про 9 способов украсть деньги с вашей карты

Скимминг

Один из самых распространенных способов украсть деньги с банковской карты — скопировать ее. И для этого был придуман скимминг. С помощью этого метода воры копируют данные банковской карты (точнее, только магнитной ленты с нее) и потом могут сделать копию, чтобы затем снять с нее деньги.

Для копирования используется специальное устройство — скиммер. Он представляет собой небольшую накладку на картоприемник банкомата. Как правило, эта накладка практически незаметна. Часто к ней ещё добавляют накладную клавиатуру, которая должна «запомнить» вводимый пароль.

Либо мошенники устанавливают маленькую камеру, направленную на клавиатуру. Выглядеть она может как угодно. К слову, скиммер можно установить куда угодно — на двери банка, если в него нужно входить по карточке, в терминалы оплаты услуг и товаров (например, в кафе) и так далее.

Есть несколько способов защититься от скимминга: внимательно осматривайте терминалы и банкоматы, в которые планируете засовывать карточку.

Если в них есть что-то подозрительное — допустим, картоприемник подозрительно болтается, или клавиатура перекошена, или что-то лишнее торчит на корпусе — то лучше поищите другое устройство. Наиболее часто скиммеры устанавливают в уличные банкоматы и стоящие в помещениях без камер и охраны.

Поэтому лучше дойти до ближайшего банка и снять деньги в местных терминалах. Кстати, за нахождение скиммеров некоторые банки награждают нашедших. Так что можно позвонить на горячую линию и обрисовать проблему.

Социальная инженерия

Как известно, человеческий фактор способен разрушить даже самую защищенную систему. И мошенники этим откровенно пользуются. Они часто наглым образом обманывают людей, пользуясь финансовой неграмотностью и доверчивостью человека.

Наиболее распространенный способ: обманщики звонят жертве и представляются сотрудниками банка, полицейскими, налоговой службой — да кем угодно, кого может заинтересовать банковская карта. И под благовидным предлогом требуют назвать ФИО, номер карты, CVV/CVC-коды, срок действия и так далее. И как только жертва называет информацию, то она может попрощаться с деньгами. Потому что «увести» их можно даже без SMS-пароля, если найти способ. К слову, в некоторых случаях таким могут промышлять и на торговых площадках — например, если вы что-то продаете, то может позвонить «покупатель» и попросить данные, чтобы скинуть деньги. В таком случае можно давать только номер карты. И то нежелательно. А ещё часто звонки подменяют SMS-сообщениями с просьбой перезвонить.

Чтобы не стать жертвой социальной инженерии, запомните: никогда нельзя называть данные банковской карты! Любые, даже ее номер. И не стоит перезванивать по номерам из SMS — либо снимут деньги с телефона, либо будут пытаться развести на указанную выше информацию.

Работник банка не попросит эти данные — они ему не нужны. В редких случаях может попросить назвать последние четыре цифры номера карты и кодовое слово — не более! А прочие службы даже не имеют права требовать подобную информацию. Так что не нужно обманываться.

Любой запрос данных карты — наглый обман, который приведет к воровству денег.

А если вы что-то продаете, то лучше заведите отдельную карту для приема денег от покупателей (и сразу же их оттуда снимайте либо переводите) или привяжите ее к номеру телефона — по нему тоже можно отправлять деньги.

«Письма счастья» на почту и email

Ещё один способ, позволяющий обманщикам сыграть на человеческой доверчивости и невнимательности — присылать письма. В этом случае преступник может выдать себя за кого угодно — например, за представителя банка. Или за известный бренд, решивший прислать вам (и только вам) вкусную скидку на свои товары. Или ещё кем-нибудь.

Как это происходит? Мошенник присылает письмо потенциальной жертве. В ней он описывает, что ему вообще нужно. Например, если это какой-нибудь популярный магазин, то в письме будет расписано очень подробно и завлекательно то, какие выгоды получит покупатель.

Если банк — то текст будет содержать угрозы заблокировать карту, счет, снять все деньги и натравить коллекторов. И так далее.

А в конце будет стоять ссылка на мошеннический сайт, на котором нужно будет ввести данные банковской карты или (что ещё более нагло) логин и пароль от личного кабинета онлайн-банка.

Чтобы не стать жертвой «писем счастья», никогда не переходите по подозрительным ссылкам из писем и не вводите на странных сайтах никаких данных от карты, личного кабинета и так далее. Для получения скидок, подтверждения личности и так далее не нужны ни пароль от личного кабинета интернет-банкинга, ни данные пластиковой карты.

Фишинговые атаки

Подвид социальной инженерии, оформленный в самостоятельный способ обмана. Направлен на невнимательность пользователей, которые редко проверяют адресную строку сайта при введении данных.

При использовании этого способа мошенники будут любой ценой заставлять вас ввести данные карты на фальшивом сайте. Делаться это может различными способами. Например, вы наткнетесь на интернет-магазин с привлекательными ценами и решите там что-то купить. И в форме покупки попросят ввести все необходимые данные.

Либо же в результате каких-то действий вместо странички своего банка вы попадете на точную её копию. И заметить отличие можно будет только по маленькой опечатке в адресе сайта или подмене доменной зоны (то есть вместо привычных ru или com на конце адреса будет стоять su, ua, pro и так далее).

Например, адрес сайта будет выглядеть не online.sberbank.ru, а onliine.sberbank.ru, online.sberbank.su, online.sberbanl.ru и так далее. Сразу уточним, на AliExpress данные вводить можно. Но только если это действительно AliExpress, а не точная копия китайского интернет-магазина.

Да, популярные интернет-магазины тоже могут подделывать с той же целью.

Как не стать жертвой фишинга? Всегда очень внимательно относитесь к тому сайту, на котором вы расплачиваетесь картой или где вводите данные от нее.

При оплате заказа в интернет-магазине вас всегда будет перекидывать на сайты онлайн-касс — например, на «Яндекс. Касса» или ей подобным.

Адреса сайтов этих касс внимательно проверяйте! В идеале лучше пользоваться виртуальной картой, на которую вы переводите деньги строго под осуществляемую покупку — даже если ее скомпрометируют, взять оттуда будет нечего.

Вирусное заражение

Электронные системы, к сожалению, небезопасны. И этим обманщики тоже пользуются, чтобы не дать вашим деньгам у вас остаться.

Вирус может попасть на компьютер или смартфон как угодно: случайно перешли не на тот сайт, скачали приложение из стороннего источника, открыли зараженный файл… В общем, как угодно.

Вирусы и шпионские программы могут попасться даже на внешне благонадежных сайтах — например, часто мошенники взламывают ресурсы и ставят на них зараженные ссылки, баннеры и перенаправления. И нередко вирусные ссылки приходят в SMS-сообщениях и по почте.

Чтобы не позволить вирусам пробраться на компьютер или смартфон, необходимо следовать нескольким правилам. Во-первых, обязательно пользуйтесь антивирусными программами. Желательно проверенными временем — Антивирус Касперского, Doctor Web и им подобными. Бесплатные обновляются редко и имеют много дыр в защите. Не забывайте обновлять антивирусы. А еще старайтесь не переходить на подозрительные ссылки из писем, сообщений и на сайтах в целом.

Кража банковской карты

В некоторых случаях злоумышленникам достаточно получить доступ к самой карте, чтобы снять с нее деньги. И никакие сложные пароли, блокировки и осторожность не помогут. Особенно остро эта проблема стоит с появлением карточек, имеющих возможность оплачивать деньги бесконтактно.

Как правило, мошенники воруют кошелек и используют банковские карты в магазинах, где есть терминалы бесконтактной оплаты. Причем покупают что-то недорогое — до тысячи рублей, чтобы не вводить пароль (именно такой лимит без ввода пин-кода стоит на большинстве карт).

Как действовать, чтобы не потерять деньги? Храните карту в недоступном месте, откуда ее сложно вытащить. Не носите кошелек в заднем кармане брюк или джинсов, во внешних карманах на плащах, куртках и рюкзаках.

В общем, прячьте его поглубже. На картах с бесконтактной оплатой обязательно установите лимит поменьше. Да, вам постоянно придется вводить пароль при оплате, что сводит на нет удобство бесконтактной оплаты.

Но зато украсть таким способом будет заметно сложнее.

Кража телефона

Наиболее простой способ получить доступ к вашей карте — украсть телефон. Но он будет работать не во всех случаях. Как минимум, мошенник должен быть уверен, что карта подключена к номеру украденного мобильника.

Чтобы получить доступ к банковской карте или даже личному кабинету в онлайн-банке, достаточно иметь актуальный номер телефона. Даже необязательно знать, к какому именно банку он привязан — можно использовать его везде, где-то да и выстрелит.

Когда мошенник ворует телефон, то он получает доступ к SMS-сообщениям жертвы. И через них можно быстренько вывести все деньги на другую карту, если телефон привязан к карте.

Или «восстановить» пароль на сайтах онлайн-банкинга и уже оттуда украсть все деньги.