Что можно сделать с реквизитами банковской карты со стороны мошенников
Почему никому нельзя сообщать номер и срок действия карты?
Практически все, кто пользуется дебетовыми или кредитными картами, знают, что CVV-код на обратной стороне никому говорить нельзя, ведь это чревато потерей денежных средств с карты. Эксперты Центра цифровой экспертизы Роскачества утверждают, что номер и срок действия карты также никому нельзя озвучивать, ведь этой информации достаточно, чтобы оставить жертву без средств на карте.
Содержание
Этим летом МВД России опубликовало статистику, согласно которой число преступлений с использованием банковских карт с января по июнь 2020 года возросло почти на 500% по сравнению с аналогичным периодом 2019 года. По результатам аналитики Positive Technologies, доля атак, направленных на частных лиц, в целом составила 14%, треть из них – это данные платежных карт.
Откуда такой огромный прирост количества преступлений?
Двухфакторная аутентификация становится международным стандартом, и в абсолютном большинстве случаев сегодня для того, чтобы осуществить перевод с карты, оплатить товар или услугу онлайн, требуется СМС-подтверждение. Тем не менее во многих сервисах такси, а также на зарубежных сайтах (например, на онлайн-маркетах Amazon и AliExpress, в магазине игр Steam, при оплате хостинговых услуг и так далее) после того, как данные карты один раз введены, оплата может осуществляться без подтверждения по СМС. По умолчанию в настройках этих сервисов двухфакторная аутентификация отключена. Таким образом, если злоумышленник завладел данными вашей карты, он сможет потратить с нее всю сумму (например, закажет себе товары или выведет деньги другим образом – даже через онлайн-игру). Вы узнаете об оплате только постфактум, получив уведомление от банка (или вообще не узнаете, если уведомления отключены). Если данные карты были скомпрометированы, важно ее вовремя заблокировать, моментально позвонив на горячую линию банка. Именно поэтому не стоит экономить на СМС-уведомлениях – однажды они могут спасти ваши деньги.
Покупка онлайн: какие правила нужно соблюдать
1. Не храните все деньги на одной карте, а разбивайте суммы между несколькими.
Лучше всего хранить деньги на «не засвеченной» в интернете карте, а для онлайн-покупок использовать дополнительную карту, на которую переводить небольшие суммы по требованию для оплаты онлайн. Для таких целей отлично подходят виртуальные карты.
2. Если ваш банк позволяет установить лимиты на траты по вашим картам – сделайте это.
В этом случае, даже получив доступ к вашей карте, злоумышленники не смогут потратить все ваши деньги и снять сумму больше, чем установлено лимитом.
3. Лучше не привязывать банковские карты к интернет-магазинам, особенно если не собираетесь часто совершать покупки: вводите данные только при необходимости!
Также после совершения покупки проверяйте, не сохранилась ли карта в системе интернет-магазина, и, если все же сохранилась, удаляйте данные карты вручную.
4. Не храните и не пересылайте в мессенджерах реквизиты карты, в том числе в виде фотографий.
Если такая необходимость все же возникла, лучше разбить реквизиты на несколько частей и отправить разными каналами (например, в разных мессенджерах или часть по электронной почте, а часть – в мессенджере). И не забудьте потом удалить сообщение с реквизитами. Увы, в наше время это уже не паранойя, а обычное правило цифровой безопасности.
5. Если ваш банк предоставляет возможность ограничивать операции в интернете по вашей карте, обязательно активируйте эту опцию.
Разрешайте онлайн-транзакции только в момент покупки.
6. Не экономьте на СМС-уведомлениях.
Они позволяют максимально быстро узнать о мошеннических транзакциях. Как только пошли внеплановые списания – немедленно блокируйте карту в приложении или попросите сделать это оператора банка (номер телефона указан на обратной стороне карты).
Что говорить можно, а что – нельзя?
Итак, номер карты, состоящий из 16 цифр, пересылать можно; срок действия карты и имя вместе с номером – не рекомендуется, поскольку есть сайты, на которых этой информации, даже без трехзначного CVV-кода, достаточно для проведения оплаты. Разумеется, код безопасности на обратной стороне сообщать никому нельзя, и, если эта информация утекла в Сеть, карту можно выбросить. Нельзя также сообщать никому, особенно по телефону, коды из СМС от банка. Не зря в каждой СМС банк пишет вам, что нельзя никому озвучивать данный код.
Всегда перед оплатой онлайн проверяйте, куда именно вы вводите данные карты – настоящий ли это сайт: проверяйте написание домена, наличие безопасного соединения. Словом, соблюдайте стандартные антифишинговые правила. Также всегда держите включенным антивирус, чтобы он вовремя вас предупредил о том, что вы находитесь на потенциально опасном мошенническом сайте. Любые операции, связанные с картами, совершайте вдумчиво и осознанно – ни в коем случае не на автомате, иначе мошенники при желании легко поймают вас на крючок.
Мошенница пытается выманить код из смс для «подключения услуги»
Мы постоянно твердим, что код из смс никому говорить нельзя. Тем приятнее видеть, как это знание спасает деньги.
Вот несколько признаков, что звонок от мошенников:
Чтобы не слушать разговор — вот что там произошло
Читателю на мобильный поступил входящий звонок с неизвестного городского номера. Девушка представилась сотрудницей известного банка, обратилась по имени и отчеству и предложила рассказать про специальные предложения от банка.
Сначала она предложила бесплатно увеличить кредитный лимит по карте — читатель отказался. Сразу поступило второе предложение: подключить бесплатную услугу, которая уменьшает ставку по кредитной карте, если не погасить задолженность в беспроцентный период. На это предложение читатель согласился, и сотрудница начала «подключение» услуги.
После этого банк отправил на телефон клиента смс с кодом. Мошенница представила все так, будто это код для подключения услуги: она попросила сообщить этот код и произнести слово «подключить». Конечно, не ей, это небезопасно. Система переключит разговор на робота. Он-то уж точно не станет использовать полученную информацию во вред клиенту.
В результате мошенникам удалось выманить номер паспорта, но код из смс читатель не сообщил — это и спасло его деньги.
Как мошенники завоевали доверие
Во время разговора мошенники убедили читателя, что звонят из банка, и расположили его к общению. Вот как им это удалось.
Обратились по имени и отчеству. Мошенники в начале разговора обратились к нашему читателю по имени и отчеству и, по его словам, этим завоевали его доверие. Кроме того, они знали последние четыре цифры номера карты, которые упомянули в специальном предложении. У читателя создалось впечатление, что такая информация может быть только у банка — а значит, звонит настоящий сотрудник.
Но чтобы узнать эти данные о владельце карты, достаточно номера телефона. В 2019 году Банк России запустил систему быстрых платежей, СБП, которая позволяет переводить деньги между разными банками по номеру телефона. Перед отправкой платежа система подскажет имя получателя — для проверки, чтобы деньги ушли по адресу.
Но не всем можно перевести деньги через СБП. Чтобы выполнить перевод, оба банка — отправителя и получателя средств — должны подключиться к системе, а оба клиента должны разрешить перевод через систему в интернет-банке или мобильном приложении. Когда клиент банка подключил свой счет к СБП, узнать его имя по номеру телефона может любой пользователь системы, даже если их счета открыты в разных банках.
В приложении Тинькофф-банка при переводе по номеру телефона видны имя и первая буква фамилии. Видны счета и в других банках
Мошенница знала последние четыре цифры номера карты. Узнать номер карты сложнее, чем имя и отчество, но тоже возможно. Некоторые банки при переводе своему клиенту по номеру телефона сообщают больше информации. Например, при переводе по номеру телефона внутри Сбера приложение кроме имени покажет еще и часть номера карты. Полный номер таким способом узнать не получится, но последние четыре цифры приложение показывает.
Скорее всего, мошенники перебором номеров нашли данные читателя. Они не были нацелены на конкретного человека и собирали базу для обзвона из тех номеров, для каких смогут узнать данные владельца. Получив имя и отчество, мошенники звонят по этому номеру телефона от имени банка, в котором нашелся счет.
Есть и другие варианты. Возможно, мошенники воспользовались одной из нелегальных баз данных. Или у них есть свой человек в банке.
Иногда через приложение банка можно также узнать номер счета другого клиента по его номеру мобильного. В любом случае, если звонящий знает ваше имя и какие-то личные данные, это не гарантия, что вам звонит сотрудник банка.
Сбер по номеру телефона для своих клиентов показывает имя, отчество, первую букву фамилии и часть номера карты
Услугу для снижения ставки, на которую согласился наш читатель, назвали частью премиального пакета. Клиент может подумать, что такие пакеты предлагают только лучшим, — так мошенники усыпляют бдительность и отключают логику. При слове «бесплатно» бдительность отключается еще быстрее.
Скорее всего, в арсенале мошенников есть и другие «услуги», которые они предлагают в зависимости от ответов жертвы. Главное, чтобы разговор продолжился.
Для сообщения кода из смс переключают на «автоматизированную систему». По версии мошенницы, это нужно для безопасности: людям сообщать этот код нельзя, а роботам — пожалуйста. Конечно, это бред: перевод звонка на «робота» легко сымитировать, клиент никак такое не проверит. Мошенник продолжает слушать жертву, заходит с помощью кода в ее интернет-банк и крадет деньги.
Самозащита от мошенников
Что еще настораживает в разговоре
Читатель не почувствовал подвоха в начале разговора и спохватился только на последнем этапе — когда мошенники попросили код из смс. Это главный признак, по которому можно определить мошенников. Номер телефона тоже не так важен: сотрудники банка могут звонить с разных номеров, а мошенники научились подменять номера.
Но в разговоре нашлось еще несколько подозрительных признаков.
Посторонний шум. Сотрудники банков обзванивают клиентов с рабочих мест в офисе или из колцентра. Обычно при таких разговорах не слышно постороннего шума или чужой речи. Мошеннические колцентры часто выдает шум или голос соседнего оператора: банк вряд ли организует работу колцентра так, что клиент через телефон сможет услышать информацию о другом клиенте.
В случае с читателем мне показалось, что «сотрудница банка» звонила из детского сада: на фоне громкий детский голос и крики. Во время пандемии многие работодатели разрешили сотрудникам работать из дома, но банки обычно выдвигают требования к рабочему месту, особенно для общения с клиентами. Например, большинство операторов Тинькофф-банка и до пандемии всегда работали из дома, но по требованиям им нужна гарнитура с микрофоном и тишина в комнате.
Неграмотная речь собеседника. Сотрудников колцентра в банке учат правильно произносить слова, а руководители проверяют их работу по записям звонков. Банк вряд ли оставит на работе оператора, который неграмотно общается.
В записи разговора с читателем «сотрудница банка» говорила неуверенно: очень торопилась, часто оговаривалась и не знала, как отвечать на вопросы, поэтому придумывала ответы на ходу. А чего стоят «кредитные средства» с ударением на последний слог!
Запрос персональных данных. Когда сотрудник банка звонит клиенту, он уже знает его персональные данные, ему не нужно спрашивать. Кодовое слово, полное имя и номер паспорта могут спросить для идентификации, только если звонит сам клиент. А для подключения услуги или смены тарифа обычно хватает устного согласия.
Если не уверены, что разговариваете с сотрудником банка, попросите его добавочный номер и перезвоните по номеру банка, указанному на карте. Если связаться через добавочный невозможно, уточните информацию у оператора и примите решение позднее, а для подключения услуги перезвоните в банк.
Что делать, если сообщили код мошенникам
У героя этой статьи все кончилось хорошо: он не сообщил код из смс. Вместо этого он завершил звонок и перезвонил в банк по номеру с карты. Специалист проверил последние операции по карте и убедился, что мошенники не смогли получить доступ к деньгам.
Если сталкивались с другими разводами, пишите. Прищуримся.
10 вещей, которые сможет сделать мошенник, завладевший данными вашего паспорта
Однажды человека может разбудить неожиданный звонок с требованием вернуть долг, а в почтовом ящике окажется повестка в суд. Но кредитов он не брал, закон не нарушал — возможно, кто-то наживается на его паспортных данных.
Вот как могут подставить мошенники, заполучив информацию из паспорта.
Взять микрокредит
Чтобы взять кредит в крупном банке, одних паспортных данных недостаточно: потребуется хотя бы копия документа.
А вот оформить микрозаем в интернете можно с помощью сведений с первых страниц паспорта — номера, даты выдачи, кода подразделения и места рождения.
Обратившись в несколько микрофинансовых организаций, мошенники получат существенную сумму на свои карты — а затем исчезнут, оставив жертву с долгами.
Зарегистрировать фирму
Пользуясь данными чужого паспорта, мошенники регистрируют фирму-однодневку. Так они безнаказанно творят темные дела: уклоняются от налогов или собирают с обычных людей деньги за предзаказ дорогих товаров.
Оформить рассрочку
Некоторые интернет-магазины предлагают клиентам покупать товары в рассрочку: чтобы забрать вещь, нужно указать паспортные данные, а оплатить покупку можно позже.
Это на руку мошенникам: они заказывают товар по чужому документу, а курьеру говорят, что покупку получит другой человек — не владелец паспорта. Предупрежденный курьер спокойно отдает дорогую вещь аферисту, но расплачиваться за нее должен ничего не подозревающий владелец паспорта.
Прислать квитанцию
Зная ФИО жертвы и адрес регистрации, мошенники подделывают квитанции на оплату штрафов от государственных органов.
Чтобы оплатить «штраф» и избежать суда, аферисты просят как можно скорее воспользоваться вложенной квитанцией.
Зарегистрировать электронный кошелек
Мошенники, которые обманывают людей в интернете, часто просят жертв выслать им деньги на электронный кошелек — поэтому аферистам выгодно использовать чужие данные. Так вся ответственность за мошенничество ляжет на плечи подставного владельца кошелька, а настоящие преступники останутся незамеченными.
Подделать паспорт
Притвориться полицейским
Мошенник предлагает «выкупить» родственника, попавшего в беду: якобы ребенка доставили в отдел полиции, потому что он сделал что-то противозаконное. Этот обман распространен и многие о нем знают, поэтому лжеполицейский прикрывается персональными данными жертвы: называет точный возраст и имя ребенка, а еще данные паспорта родителя, которые «пробил» по полицейской базе.
Выяснить номер телефона по паспортным данным несложно. Многие указывают его на страницах в соцсетях или на страницах-визитках, которые можно найти, просто набрав имя и фамилию жертвы в поисковике.
Обманывать на сайтах объявлений
Мошенник размещает объявление о продаже дорогой вещи по бросовой цене: утверждает, что надо продать срочно, поэтому и скидка большая. А так как цена привлекательная, то и желающих много, поэтому аферист настаивает на предоплате: чтобы не терять время, если покупатель вдруг передумает.
В качестве гарантии липовый продавец высылает скан паспорта — разумеется, чужого, а после получения денег перестает отвечать на сообщения.
Шантажировать
Заполучив чужие паспортные данные, мошенники находят владельца паспорта в соцсетях и предлагают заплатить им за удаление информации о документе, а иначе обещают оформить микрозаймы на имя жертвы.
Из тех, кто согласится, мошенники вытягивают все более крупные суммы, шантажируя новыми махинациями. Если жертва отказывается платить, аферисты присылают сообщение с другого аккаунта, притворяясь обманутым покупателем с сайта объявлений: мол, знаю ваши паспортные данные, если не возместите ущерб — обращусь в полицию.
Оформить симкарту
Если сотрудник посчитает копию верной, мошенник сможет оформить симку на чужие данные. Это поможет преступнику обманывать людей по телефону, не боясь полиции, — в случае чего оператор выдаст паспортные данные жертвы.
С помощью симкарты мошенники тоже могут взять кредит, оставив должником владельца настоящего паспорта: некоторые операторы связи позволяют клиентам оформить через интернет банковскую карту с кредитным лимитом
Мошенничество по телефону
Как мошенники крадут деньги с банковских карт
Однажды одна моя знакомая получила смс с неизвестного номера: «Мама, я купил новую сим-карту. Отправь мне, пожалуйста, на этот номер 500 рублей. Как приеду, все объясню». Знакомая перечислила деньги не задумываясь, т.к. на тот момент её сын действительно был в отъезде. Позже выяснилось, что писали мошенники.
Чтобы и вы не попались на ту же удочку, расскажу какие еще способы используют финансовые мошенники, чтобы вывести деньги с карты или получить доступ к персональным данным.
Всплеск финансового мошенничества произошел в пандемию. Только за первое полугодие 2020 года мошенники украли с расчетных счетов более 4 млрд рублей и провели более 360 тысяч операций без согласия клиентов. Средняя сумма украденных денег составила 10 000 ₽.
Более 80% мошенников при звонке используют технологию подмены банковских телефонных номеров — переставляют цифры местами или меняют одну цифру. Злоумышленники выдают себя за сотрудников банков и выуживают у людей информацию, необходимую для хищения денег.
В последнее время злоумышленники меняют схемы мошенничества и используют новые уловки. В ход идет все — запускают фейковые сайты госуслуг, звонят от лица чиновника и обещают выплаты на детей или перевод денег для открытия «резервного фонда». Способы разные, но во всех схемах есть общие признаки: манипулируют чувствами людей, нагнетают страх и заставляют действовать быстро.
Рассмотрим, какие схемы разработали злоумышленники и что нужно сделать, чтобы избежать обмана.
Во время самоизоляции появилась новая схема телефонного мошенничества. Злоумышленники звонят и представляются специалистами социальных служб или сотрудниками банков. Они обещают «коронавирусные» льготы, социальные выплаты и компенсации. Предлагают оформить кредит с минимальной ставкой — до 4% или снизить проценты по действующему кредиту. Своими обещаниями они вызывают доверие и усыпляют бдительность.
Во время разговора мошенники предлагают «проверить», какая льгота положена и какую сумму можно получить. Для этого абоненту нужно сообщить паспортные данные и информацию по банковской карте, на которую якобы переведут деньги. Дополнительно уточняют, к какому номеру телефона привязана карта.
Через некоторое время у владельца карты пропадает со счета крупная сумма или все деньги. Злоумышленники воспользовались информацией и оплатили дорогостоящую покупку с карты жертвы. Даже если не сообщить злоумышленникам код безопасности CVV или CVC, полученной информации достаточно, чтобы украсть деньги. Некоторым зарубежным платежным системам хватает фамилии и имени владельца банковской карты, ее номер и срок действия — вводить необязательно.
По-прежнему звонят мошенники, которые выдают себя за работников банков. У них разработана целая схема. Сначала владелец карты получает сообщение, что с карты списаны деньги. Сообщение не вызывает сомнения, потому что номер злоумышленников напоминает номер банка. Например, летом 2020 года мошенники активно рассылали фейковые сообщения с короткого номера Сбербанка 900.
Через несколько секунд злоумышленник звонит и выдает себя за работника службы безопасности банка. Мнимый сотрудник говорит, что прямо сейчас кто-то пытается снять деньги с вашей карты, нужно действовать быстро и сработать на опережение. После такого напора злоумышленник просит назвать одноразовый пароль из смс или кодовое слово — они якобы нужны, чтобы отменить операцию. Как только человек сообщает код, мошенник тут же списывает деньги. Отличительная черта мошенников — говорят уверенно, часто повторяют слово «безопасность» и торопят с ответом.
Мошенники делают все, чтобы развеять сомнения: могут обратиться по имени и отчеству, назвать ваши паспортные данные и даже последние цифры номера карты. Эти сведения они получают из открытых источников: просматривают страницы в соцсетях, взламывают базы данных интернет-магазинов, запускают сайты-двойники, чтобы собрать персональные данные. Например, сайт — двойник видеосервиса предлагает бесплатную недельную подписку на фильмы, но за это пользователь должен оставить свои персональные данные: имя, фамилия, номер карты и срок ее действия. Бесплатного доступа пользователи, естественно, не получают, а злоумышленники собирают необходимую информацию для мошенничества.
Настоящий сотрудник банка никогда не будет запрашивать у человека номер карты, срок действия, CVV код и одноразовые коды из смс. Это запрещено внутренними инструкциями. Если у клиента несколько карт, сотрудник может уточнить последние четыре цифры карты. Также может задать вопросы по операциям для дополнительного подтверждения личности и легитимности операции, в том числе и кодовое слово. Бывают ситуации, когда клиент говорит, что покупает билеты, а сотрудник банка видит, что перевод уходит на чужую карту. Значит, клиент попал на сайт-двойник.
Иногда злоумышленники делают вид, что переключают на систему автоматизации или робота, которые должны обрабатывать одноразовый пароль. Им также нельзя сообщать код подтверждения, номер карты или CVV-код.
Обо всех изменениях банк всегда предупреждает, чтобы клиенты могли прочитать сообщение и спокойно обдумать предложение. Но сотрудник банка никогда не предложит установить приложение на телефон, перевести средства на резервный счет или снять их в ближайшем отделении банка.
Двухэтапная схема мошенничества. Цель первого этапа — вызвать у человека тревогу и ослабить внимание. Сначала мошенник представляется сотрудником банка — называет любой действующий банк. Он говорит, что вы оставили заявку на оформление кредитной карты. Если человек отказывается, лжесотрудник просит назвать банк, в котором вы обслуживаетесь. Мотивирует вопрос тем, что информация не секретная. Между кредитными организациями действует договор межбанковского партнерства, и он передаст в ваш банк информацию о мошеннических действиях.
На втором этапе звонит якобы сотрудник вашего банка и говорит, что от банка-партнера поступила информация: мошенники подали заявку на кредит от вашего имени. Для идентификации клиента ему необходимо проверить номер, срок действия карты, а заодно и секретный смс-код. А на самом деле информация нужна, чтобы украсть ваши деньги.
Предлагают «спасти» деньги в банковской ячейке. Лжесотрудник банка сообщает, что карту заблокировали и нужно срочно спасать деньги. Для этого остаток средств необходимо перевести в защищенную банковскую ячейку. А сделать это может только сотрудник банка. Поэтому деньги сначала нужно перевести ему на счет. При этом нельзя передать деньги кому-то другому, например, родственнику — карту заблокируют вместе с деньгами, и вывести их со счета будет невозможно. Так мошенник вынуждает жертву отдать деньги.
Советуют действовать быстро. Злоумышленник сообщает, что по карте провели сомнительную операцию и нужно срочно посетить ближайшее отделение банка. Но для экономии времени просят прислать нужную информацию — номер банковской карты и срок ее действия.
Мошенник пытается убедить жертву, что он действительно сотрудник банка и в подтверждение присылает смс. Чтобы жертва мошенничества купилась на обман, злоумышленники создают хитрые номера: в именных номерах заменяют букву О на цифру 0, в цифровых, наоборот, цифру заменяют буквой. Абонент получает сообщение с номера, в котором все цифры, на первый взгляд, совпадают с официальным номером банка.
Чтобы предотвратить несанкционированный перевод, мошенник просит прислать в ответном сообщении секретный код карты или иную конфиденциальную информацию. Как только потенциальная жертва отсылает данные, злоумышленники списывают деньги.
Рассылают поддельные смс. Аферисты отправляют смс о блокировке карты с целью безопасности — последняя операция показалась подозрительной. Кроме этого, в сообщении указывают номер телефона, по которому нужно позвонить для подтверждения транзакции. Когда человек перезванивает, его просят сообщить номер карты и CVV-код. Далее злоумышленники переводят деньги или делают покупки в интернет-магазинах.