Рухнул еще один бастион в сфере банковской безопасности. Мошенники научились имитировать страницы оплаты, якобы защищенные 3-D Secure — технологией, ранее считавшейся одной из наиболее эффективных для обеспечения защиты платежных данных пользователей при оплате покупок онлайн во всем мире. Речь о проверочном коде, который приходит на телефон и, таким образом, добавляет еще один шаг аутентификации для онлайн-платежей, позволяющий торговым точкам и банкам дополнительно убедиться, что платеж совершает именно держатель карты, чтобы защититься от мошеннических операций.
По данным специалистов по информационной безопасности компании Group-IB, ежемесячно происходит около 3,7 миллиона случаев мошенничества с использованием подложных 3-D Secure страниц, с которых деньги покупателей уходят напрямую мошенникам через легальную транзакцию в банке. За первые шесть месяцев 2021 года ущерб от данной схемы оценивается на сумму свыше 400 миллионов рублей.
Это новая и серьезная угроза, но следует помнить, что использование IT-технологий в мошеннических схемах с банковскими счетами и картами все еще уступает преступлениям, совершаемым с использованием человеческого фактора, с применением огромного спектра возможностей социальной инженерии — совокупности психологических и социологических приемов, методов и технологий, позволяющих получить конфиденциальную информацию.
Об этом «СП» рассказала Начальник Управления поддержки продаж Департамента розничного бизнеса Банка «Солидарность» Олеся Вандюкова:
— На сегодняшний день, самые распространенные способы хищения средств с банковских карт по-прежнему основаны на психологических методах убеждения, обмана или запугивания клиентов. По данным российского Центробанка, среди всех атак более 80% приходится на связанные с социальной инженерией. Наиболее популярен среди мошенников телефонный фишинг — так называют процесс выманивания персональных данных у банковских клиентов.
Представляясь банковскими сотрудниками («службой безопасности» или «службой финансового мониторинга»), мошенники сообщают о якобы замеченной ими подозрительной активности на банковском счете клиента, и предлагают ему продиктовать данные карты, чтобы банк принял меры по защите средств. Убеждают перевести деньги на отдельный счет якобы для их защиты, сделать это можно онлайн либо сняв деньги в банкомате — в этом случае клиенту даже могут заказать до него такси.
Просят установить специальное программное обеспечение для «защиты средств», с помощью которого мошенники могут украсть данные карты и оформить предварительно одобренный кредит, после чего вывести средства.
«СП»: — Пандемия, кризис и вызванные ими жизненные осложнения усугубили ситуацию в этой сфере?
— С самого начала пандемии мошенники активно эксплуатируют тему коронавируса, будь то «бесплатная» диагностика, медицинская помощь, пособия, компенсации, возврат средств за авиабилеты и другие предлоги, конечной целью которых является перевод денег.
Например, сообщают пожилым людям о положенных выплатах от имени сотрудников Пенсионного фонда, и просят в этом случае сообщить номер банковской карты и другие данные якобы для перечисления денег. В некоторых случаях злоумышленники предлагают перевести деньги на сторонний счет для уплаты «госпошлины за будущую компенсацию».
При звонках от мошенников могут отображаться реальные номера банковских телефонов. Они могут представляться также полицейскими или работниками бюро кредитных историй.
«СП»: — То есть, отличить злоумышленников от реальных представителей банка или правоохранительной системы очень затруднительно, особенно, для людей старшего поколения…
— Поэтому важно помнить, что в любом случае не стоит сообщать третьим лицам данные банковской карты, в том числе четырехзначный PIN-код и трехзначный CVC-код, указанный на обороте.
Но, к сожалению, по результатам исследований, здесь тревожная статистика: около четверти владельцев банковских карт готовы раскрыть посторонним трехзначный код безопасности, а также срок действия карты и код из смс-сообщения (3DSecure).
«СП»: — И, конечно, социальные сети — это океан возможностей для разного рода мошенников?
— Да, соцсети предоставляют очень большой простор не только для онлайн — мошенников, но и для оффлайновых злоумышленников. Информации, размещенной в них, вполне достаточно, чтобы применять против жертвы самые различные приемы социальной инженерии. Что, как следствие, может привести к тому, что хакеры получат доступ ко многим аккаунтам и даже, возможно, к банковским счетам своей жертвы.
Самая надежная защита — это, разумеется, полный и безоговорочный отказ от любого пребывания в социальной сети. Но это далеко не всегда возможно, потому что социальные сети уже перестали быть обычным развлечением и превратились в полнофункциональный и удобный
инструмент для ведения деловой переписки, проведения всевозможных рекламных кампаний и другой активной деятельности, присущей современным людям. Поэтому, если целиком отказаться от использования социальных сетей невозможно, то надо обязательно придерживаться несложных правил безопасного и комфортного общения в интернете.
Давно не редкость рассылки по списку друзей со взломанного аккаунта с просьбой перевести деньги на карту. Поэтому подобную информацию всегда необходимо перепроверять по другим каналам связи.
Также обращайте внимание на ссылки, которые сбрасывают вам ваши друзья и, особенно, незнакомые люди. Может оказаться так, что вместо адреса odnoklassniki.ru там будет написано что-то вроде odnok1assniki.ru, и кликнув по ней, возможно, вы запустите в свой компьютер вирус, произойдет утечка данных.
Прежде чем написать что-либо о себе в социальных сетях, подумайте, какие это может вызвать последствия. К сожалению, даже самые малозначимые — на первый взгляд — сведения о вас, подробности о вашей личной жизни могут рассказать злоумышленникам слишком много. Сложно заранее предугадать, что именно может пригодиться мошеннику, но совершенно точно для всех должно быть понятно, что соцсеть — не место для размещения сканов паспорта и других документов.
Очень многие соцсети имеют поддержку сторонних приложений, которые можно устанавливать на свою страницу. Но не стоит этого делать — эти дополнения могут получить доступ к вашим персональным данным и, как следствие, красть пароли и логины.
Еще один популярный способ мошенничества связан с продажами на сайтах объявлений, где покупатель по поддельной ссылке вводит данные для оплаты несуществующего товара. Рассылаемые мошенниками письма могут содержать ссылки на такие поддельные сайты, имитирующие странички интернет-магазинов с большими скидками, а также отелей, сервисов по продаже авиабилетов, страховых компаний, различных ведомств.
Мошеннические письма приходят также под видом квитанций об оплате коммунальных платежей или в виде официальных уведомлений от банков и других организаций. Остерегайтесь оплачивать покупки на подозрительных сайтах, не переводите деньги, если нет уверенности в получателе. Контролируйте все операции по счету и пользуйтесь антивирусными программами.
«СП»: — Некоторые предпочитают перестраховаться и хранить сбережения только в наличных деньгах, лишаясь, таким образом множества преимуществ, которые дают современные финансовые технологии…
— На сегодняшний день, банковские карты — удобный инструмент для решения различных задач. Кроме основной своей функции — хранить и передавать средства — с их помощью можно экономить и зарабатывать на программах лояльности, получать скидки от торговых предприятий, платежных систем.
Поэтому высоким спросом сейчас пользуются карты с начислением кешбэка (возврат части потраченной суммы), при оплате в разных торговых сетях и с начислением процентов на остаток, что является прекрасной альтернативой обычным вкладам в банках, поскольку на них устанавливаются практически такие же ставки, как на вклады. При этом деньги можно снимать и пополнять в любое время. Это удобно и выгодно. Например, наш банк предлагает клиентам Флагманскую карту «Солидарность» с кэшбэком 5% и с ежемесячным процентом на остаток до 4,5%.
Также среди клиентов достаточно популярно открытие «Накопительного счета» — это альтернатива вклада. Удобный продукт для клиента, позволяющий максимально гибко управлять собственными сбережениями: при необходимости, можно пополнить или снять средства, с начислением процентов на ежедневный остаток (до 500 000 — 4,1%, свыше 500 000 -3%). Его можно использовать для краткосрочных сбережений, получения пенсий, различных пособий.
«СП»: — И все-таки, что делать, если мошенники получили данные и сняли деньги с карты?
— Подробные инструкции для таких случае, как правило, размещают на своих официальных сайтах все банки. Но для действий в экстренной ситуации нужно запомнить хотя бы следующий минимум. Первое — позвонить в банк, заблокировать карту, заявив о несанкционированном использовании средств. Второе — в офисе банка составить документ о несогласии с операцией. И третье — подать заявление в полицию о краже денег с карты.
А чтобы до такого не дошло, нужно придерживаться рекомендаций по безопасности, и помнить: если мошенники похитят все данные карты, плюс узнают код 3DSecure, то вернуть деньги будет крайне проблематично. Ведь правила платежных систем в этом случае возлагают ответственность на клиента.