Как защитить реквизиты карты
Какие данные нельзя сообщать и в каких случаях включать параноика
Реквизиты банковской карты — это секретная информация. Если она попадет в руки не тех людей, вы можете потерять деньги.
В России 68% мошеннических операций совершается с помощью реквизитов. Это самый распространенный способ украсть деньги с карты. Мошеннику нужны только цифры, которые написаны прямо на карте, — и он уже сможет вас ограбить.
Что за реквизиты?
Реквизиты — это всё, что написано на карте: номер из 16 цифр (иногда 18), имя и фамилия владельца, срок действия и CVC-код — трехзначный код безопасности на обратной стороне. Для удобства мы отнесем к реквизитам и смс-код, который присылает вам банк, когда вы платите в интернете или переводите деньги.
По правилам платежных систем реквизиты нельзя сообщать посторонним. Если банк узнает, что ваши реквизиты попали в чужие руки, то сразу заблокирует карту. Однако кое-что сообщать все-таки можно. Если кратко, дела обстоят так:
Что можно сделать, зная реквизиты карты?
По реквизитам карты можно заплатить в интернете или оформить перевод с карты на карту. Человек, который знает ваши реквизиты, имеет полный доступ к деньгам.
Вернуть потерянное будет сложно. В договорах на оказание банковских услуг прописано, что ответственность за сохранность данных карты несет держатель карты. Если он сам добровольно эти реквизиты сообщил посторонним, банк за такие действия ответственности не несет. Придется обращаться в полицию и если она найдет мошенника, с него и взыскивать ущерб.
Какие реквизиты нужны вору, чтобы украсть мои деньги?
Обычно номер карты, срок действия, CVC-код и код из смс. Но есть магазины, которые проводят операции с меньшим числом реквизитов.
Например, чтобы заплатить на «Амазоне», нужен только номер, имя и срок действия. Ни кода безопасности, ни одноразового пароля из смс не нужно:
Виды мошенничества с картами
Фальшивые банкоматы. Не каждый банкомат, который вы видите, обязательно принадлежит банку. Мошенники могут скупать на черном рынке старые банкоматы, перенастраивать их и получать доступ к данным карты. Снять наличные в таком банкомате не получится — он выдаст сообщение, что купюр нет или что он неисправен. Зато такой банкомат передаст мошенникам все реквизиты карты.
Чтобы обезопасить себя, проверьте банкомат на карте с банкоматами в приложении банка.
Скрытые камеры. Мошенники крепят их на банкомат или прячут где-то возле. Миниатюрная камера направлена на клавиатуру банкомата и записывает, как клиенты вводят пин. Еще камера может записать все реквизиты, указанные на карте: имя владельца, срок действия и даже код безопасности.
Скимминг. Скиммер — это считыватель магнитной ленты на карте. Мошенники прикрепляют его к картоприемнику банкомата.
Банки знают об уловках мошенников, и поэтому начали выпускать банкоматы без картоприемников. На современных банкоматах карту достаточно приложить к специальной площадке со значком бесконтактной оплаты. Если есть альтернатива, рекомендую пользоваться именно такими банкоматами.
Траппинг, или «ливанская петля». Мошенник вставляет в картридер кусок фотопленки или пластика, и карта, попадая в прорезь, не возвращается владельцу, а попадает в конверт, который мошенник вытащит и получит возможность пользоваться картой.
По возможности пользуйтесь банкоматами без прорезей. В них карта в принципе не может быть удержана из-за неисправности устройства и к мошенникам в руки не попадет ни при каких обстоятельствах.
Накладная клавиатура. Мошенники устанавливают на банкомат поддельную клавиатуру поверх оригинальной. Поддельная запоминает все, что вы набираете, и передает нажатия на настоящие клавиши.
Фишинг. Это рассылка писем и уведомлений от имени брендов, банков, платежных систем, почтовых сервисов, социальных сетей. В письме содержится ссылка, якобы ведущая на сайт сервиса, но на самом деле она ведет на сайт мошенников, внешне не отличающийся от оригинала.
Как не попасться на удочку хакеров
Пользователя убеждают ввести данные карты якобы для оплаты товаров или услуг, но на самом деле покупки не происходит, а данные попадают в руки мошенников.
Совет здесь только один: не переходить по ссылкам, если не уверены в их надежности. Убедитесь, что отправитель — именно тот, за кого себя выдает.
Смс-мошенничество. Мошенники через смс убеждают держателя карты перевести деньги. Например, предлагают поучаствовать в розыгрыше приза, получить компенсацию или просто позвонить на платный номер.
Вишинг — телефонное мошенничество. Самый распространенный сейчас вид мошенничества.
Мошенники представляются работниками службы безопасности, сотрудниками правоохранительных органов, Центробанка. Бывает, что они представляются покупателями на сайтах объявлений.
Цель у них одна — получить реквизиты карты: ее номер, код безопасности, а если повезет, то и код из смс.
Можно ли сообщать номер банковской карты и имя владельца
Если у кого-то есть номер карты, он не сможет украсть ваши деньги. Но он может использовать это знание для фишинга: прикинуться банком и выудить у вас другую информацию.
А вот если у мошенника есть и номер карты, и ваше имя латиницей, он сможет подобрать срок действия методом перебора и, например, привязать карту к «Амазону».
Номер карты и имя владельца следует беречь точно так же, как вы бережете данные паспорта.
Мошеннику нужен только номер карты, срок действия и ваше имя, чтобы украсть деньги.
Какие данные карты можно сообщать для перевода денег, а какие нельзя
| Можно сообщать | Нельзя сообщать |
|---|---|
| Номер из 16 цифр | Имя и фамилия |
| Cрок действия | |
| Код безопасности на обратной стороне | |
| Код из смс |
Вопросы о безопасности банковских карт из жизни
Я забыл карту в кафе, вернулся за ней через 15 минут. Надо перевыпускать? Лучше перевыпустить. Если вам не повезет, официант перепишет реквизиты в блокнот или просто сфотографирует карту. Он не будет тратить все деньги, а просто через месяц-другой по-тихому купит что-нибудь в интернете.
Если у вас не подключен смс-банк, вы можете даже не заметить пропажи денег с карты. А если клиент не забил тревогу, то и банк ничего не заметит. Вы никогда не узнаете, что деньги украли.
Официант унес карту, чтобы провести оплату на кассе. Это плохо? Да. Целую минуту он может делать с вашей картой что угодно. Если вам совсем не повезет, официант окажется еще и скиммером: проведет карту через специальный считыватель, потом продаст данные в Таиланд через анонимный форум. Там ребята обналичивают сразу и много.
Чтобы такого не случилось, попросите официанта принести терминал. Сейчас во всех приличных заведениях терминал приносят к столу. Но если такой возможности нет, сходите на кассу вместе с официантом.
Мошенница пытается выманить код из смс для «подключения услуги»
Мы постоянно твердим, что код из смс никому говорить нельзя. Тем приятнее видеть, как это знание спасает деньги.
Вот несколько признаков, что звонок от мошенников:
Чтобы не слушать разговор — вот что там произошло
Читателю на мобильный поступил входящий звонок с неизвестного городского номера. Девушка представилась сотрудницей известного банка, обратилась по имени и отчеству и предложила рассказать про специальные предложения от банка.
Сначала она предложила бесплатно увеличить кредитный лимит по карте — читатель отказался. Сразу поступило второе предложение: подключить бесплатную услугу, которая уменьшает ставку по кредитной карте, если не погасить задолженность в беспроцентный период. На это предложение читатель согласился, и сотрудница начала «подключение» услуги.
После этого банк отправил на телефон клиента смс с кодом. Мошенница представила все так, будто это код для подключения услуги: она попросила сообщить этот код и произнести слово «подключить». Конечно, не ей, это небезопасно. Система переключит разговор на робота. Он-то уж точно не станет использовать полученную информацию во вред клиенту.
В результате мошенникам удалось выманить номер паспорта, но код из смс читатель не сообщил — это и спасло его деньги.
Как мошенники завоевали доверие
Во время разговора мошенники убедили читателя, что звонят из банка, и расположили его к общению. Вот как им это удалось.
Обратились по имени и отчеству. Мошенники в начале разговора обратились к нашему читателю по имени и отчеству и, по его словам, этим завоевали его доверие. Кроме того, они знали последние четыре цифры номера карты, которые упомянули в специальном предложении. У читателя создалось впечатление, что такая информация может быть только у банка — а значит, звонит настоящий сотрудник.
Но чтобы узнать эти данные о владельце карты, достаточно номера телефона. В 2019 году Банк России запустил систему быстрых платежей, СБП, которая позволяет переводить деньги между разными банками по номеру телефона. Перед отправкой платежа система подскажет имя получателя — для проверки, чтобы деньги ушли по адресу.
Но не всем можно перевести деньги через СБП. Чтобы выполнить перевод, оба банка — отправителя и получателя средств — должны подключиться к системе, а оба клиента должны разрешить перевод через систему в интернет-банке или мобильном приложении. Когда клиент банка подключил свой счет к СБП, узнать его имя по номеру телефона может любой пользователь системы, даже если их счета открыты в разных банках.
В приложении Тинькофф-банка при переводе по номеру телефона видны имя и первая буква фамилии. Видны счета и в других банках
Мошенница знала последние четыре цифры номера карты. Узнать номер карты сложнее, чем имя и отчество, но тоже возможно. Некоторые банки при переводе своему клиенту по номеру телефона сообщают больше информации. Например, при переводе по номеру телефона внутри Сбера приложение кроме имени покажет еще и часть номера карты. Полный номер таким способом узнать не получится, но последние четыре цифры приложение показывает.
Скорее всего, мошенники перебором номеров нашли данные читателя. Они не были нацелены на конкретного человека и собирали базу для обзвона из тех номеров, для каких смогут узнать данные владельца. Получив имя и отчество, мошенники звонят по этому номеру телефона от имени банка, в котором нашелся счет.
Есть и другие варианты. Возможно, мошенники воспользовались одной из нелегальных баз данных. Или у них есть свой человек в банке.
Иногда через приложение банка можно также узнать номер счета другого клиента по его номеру мобильного. В любом случае, если звонящий знает ваше имя и какие-то личные данные, это не гарантия, что вам звонит сотрудник банка.
Сбер по номеру телефона для своих клиентов показывает имя, отчество, первую букву фамилии и часть номера карты
Услугу для снижения ставки, на которую согласился наш читатель, назвали частью премиального пакета. Клиент может подумать, что такие пакеты предлагают только лучшим, — так мошенники усыпляют бдительность и отключают логику. При слове «бесплатно» бдительность отключается еще быстрее.
Скорее всего, в арсенале мошенников есть и другие «услуги», которые они предлагают в зависимости от ответов жертвы. Главное, чтобы разговор продолжился.
Для сообщения кода из смс переключают на «автоматизированную систему». По версии мошенницы, это нужно для безопасности: людям сообщать этот код нельзя, а роботам — пожалуйста. Конечно, это бред: перевод звонка на «робота» легко сымитировать, клиент никак такое не проверит. Мошенник продолжает слушать жертву, заходит с помощью кода в ее интернет-банк и крадет деньги.
Самозащита от мошенников
Что еще настораживает в разговоре
Читатель не почувствовал подвоха в начале разговора и спохватился только на последнем этапе — когда мошенники попросили код из смс. Это главный признак, по которому можно определить мошенников. Номер телефона тоже не так важен: сотрудники банка могут звонить с разных номеров, а мошенники научились подменять номера.
Но в разговоре нашлось еще несколько подозрительных признаков.
Посторонний шум. Сотрудники банков обзванивают клиентов с рабочих мест в офисе или из колцентра. Обычно при таких разговорах не слышно постороннего шума или чужой речи. Мошеннические колцентры часто выдает шум или голос соседнего оператора: банк вряд ли организует работу колцентра так, что клиент через телефон сможет услышать информацию о другом клиенте.
В случае с читателем мне показалось, что «сотрудница банка» звонила из детского сада: на фоне громкий детский голос и крики. Во время пандемии многие работодатели разрешили сотрудникам работать из дома, но банки обычно выдвигают требования к рабочему месту, особенно для общения с клиентами. Например, большинство операторов Тинькофф-банка и до пандемии всегда работали из дома, но по требованиям им нужна гарнитура с микрофоном и тишина в комнате.
Неграмотная речь собеседника. Сотрудников колцентра в банке учат правильно произносить слова, а руководители проверяют их работу по записям звонков. Банк вряд ли оставит на работе оператора, который неграмотно общается.
В записи разговора с читателем «сотрудница банка» говорила неуверенно: очень торопилась, часто оговаривалась и не знала, как отвечать на вопросы, поэтому придумывала ответы на ходу. А чего стоят «кредитные средства» с ударением на последний слог!
Запрос персональных данных. Когда сотрудник банка звонит клиенту, он уже знает его персональные данные, ему не нужно спрашивать. Кодовое слово, полное имя и номер паспорта могут спросить для идентификации, только если звонит сам клиент. А для подключения услуги или смены тарифа обычно хватает устного согласия.
Если не уверены, что разговариваете с сотрудником банка, попросите его добавочный номер и перезвоните по номеру банка, указанному на карте. Если связаться через добавочный невозможно, уточните информацию у оператора и примите решение позднее, а для подключения услуги перезвоните в банк.
Что делать, если сообщили код мошенникам
У героя этой статьи все кончилось хорошо: он не сообщил код из смс. Вместо этого он завершил звонок и перезвонил в банк по номеру с карты. Специалист проверил последние операции по карте и убедился, что мошенники не смогли получить доступ к деньгам.
Если сталкивались с другими разводами, пишите. Прищуримся.
Более 70% россиян используют банковские карты для получения зарплат и социальных пособий, оплаты покупок в магазинах и в Интернете. Все больше людей предпочитают не держать наличные в кошельке или дома, а пользоваться более современным, цивилизованным и удобным способом для оплат. Банки признают — дебетовые и кредитные карточки остаются самым востребованным банковским продуктом среди россиян. А еще, что данные банковских карт — лакомый кусок для мошенников, которые находят все новые способы, чтобы похитить чужие деньги.
Эти способы с каждым годом становятся все более совершенными и технологичными, признавала в июне 2020 года глава Центробанка Эльвира Набиуллина. Мошенничество с картами выходит на новый уровень, а с попытками хищения средств регулярно сталкивается каждый третий пользователь. Как работают мошенники с банковскими картами? Что будет, если номер карточки попадет в нехорошие руки? И что делать, если средства украдены? Эти вопросы журналист ФАН задал председателю Московской коллегии адвокатов Karabaev Legal Group Алексею Карабаеву.
Кардинг — мошенничество с платежными картами
Финансовые преступления с пластиковыми картами стали настолько распространенными, что им даже подобрали собственное определение. Термин кардинг подразумевает все виды действий с платежными карточками или их реквизитами, которые не были одобрены пользователем.
Преступники получают данные карт и снимают с них средства или активно покупают товары в интернет-магазинах. Причем для кражи данных мошеннику даже не нужно встречаться с владельцем «лицом к лицу» или воровать саму карту. Источниками данных обычно служат сервера интернет-магазинов, где хранятся сведения о покупателях и «привязанных» платежных инструментах, или платежные и расчетные системы, используемые на персональных компьютерах. Источником информации может стать и сам владелец карты: по статистике не менее трети всех преступлений в сфере кардинга совершается из-за того, что пользователь подробно отвечал на вопросы «сотрудника банка» или выслал SMS с кодом подтверждения злоумышленнику.
«Кардинг разделяют на две группы — реальный и web, — комментирует председатель Московской коллегии адвокатов Karabaev Legal Group Алексей Карабаев. — Реальный предусматривает создание дубликатов банковских карт. С них в дальнейшем и снимают деньги. Действия мошенников при web-кардинге ограничиваются сетью Интернет».
Реальный кардинг в последние годы претерпел изменения. Крадут карты все реже, как и прибегают к изготовлению их дубликатов. Мошеннические схемы ограничило массовое внедрение банками чиповых технологий. Стандарт Chip Liability Shift не позволяет банкам-эквайерам обслуживать карты без чипов. А делать такие мошенники пока не научились. Поэтому кража денег все больше переходит в онлайн.
«Чтобы мошенники украли деньги с карты, им нужны ее данные, — продолжает Алексей Карабаев. — Одного только номера недостаточно. У преступника должны быть сведения о сроке действия карты, имя владельца и трехзначный код на оборотной стороне. Получив эти данные, злоумышленники либо переводят средства на свой счет, либо покупают на них товары».
Как мошенники могут украсть данные карты
Чтобы получить сведения о карточке, преступнику не обязательно держать ее в руках. Действия пользователя вполне могут привести к тому, что информация, которая должна оставаться конфиденциальной, окажется не в тех руках. В утечках данных принято винить банки, но значительно чаще виновником оказывается сам владелец карты.
Фишинг. Пользователь попадается на удочку, «закинутую»преступниками в виде сайта-клона. Обычно копируют страницы банков с формой для входа в аккаунт. Или создают приложения, которое рассылает ссылку на фишинговый сайт тысячам пользователей. Потребителю достаточно зайти в свой личный кабинет (в данном случае ненастоящий) и оплатить какую-либо покупку. Данные будут скопированы и использованы в дальнейшем для хищения средств.
«При переходе на фишинговый сайт возможны несколько вариантов развития событий, — уточняет Алексей Карабаев. — Жертва сама вводит учетные данные в предлагаемую форму и или же с сайта на компьютер пользователя загружается вредоносная программа, которая и ворует данные при первой же онлайн-оплате».
Главная проблема мошенников, использующих фишинговые техники, — заманить пользователя на сайт. Для этого используются разнообразные способы воздействия: запугать, вызвать любопытство, совершить «рутинное» действие — в ход идет все. Проще всего донести эту информацию по e-mail: пользователь получает письмо, где сообщаются актуальные для него сведения:
Вариантов писем множество, а результат знакомства с ними всегда один. В компьютер пользователя проникает вредоносное ПО, которое делает скрины экрана при проведении онлайн платежей и отправляет данные преступникам. Расчет при этом обычно делается на банальную невнимательность пользователей: человек открывает письмо «автоматически» или без подозрений загружает очередной файл из «деловой переписки».
Преступники, которые не дружат с программным обеспечением, работают по телефону. В 2020 году стали особенно популярными звонки от псевдобанковских сотрудников. Сценарий звонков одинаков. Молодой человек или бойкая девушка звонят на мобильный телефон, представляются сотрудником Сбербанка. И просят подтвердить денежный перевод, который был совершен буквально несколько минут назад. Для подтверждения перевода необходимо назвать код CVV/CVV2.
Эта мошенническая схема ориентирована на предпринимателей и людей, активно использующих онлайн-переводы с карт. Телефоны ищут в сети Интернет, ориентируются на тех, кто продает товары или предлагает услуги. А так как большинство пользователей банковских карт в России используют услуги Сбера, шансы мошенников найти жертву по телефону высоки.
Скимминг. Чтобы мошенники узнали номер банковской карты, владельцу может быть достаточно снять деньги в ближайшем банкомате. На его корпусе устанавливают миниатюрную камеру, которую маскируют рекламными элементами, и записывают действия пользователей. На записи могут быть зафиксированы PIN-код, номер карточки, имя ее владельца. Получив эти данные, преступник создает дубликат, содержащий PIN-код на магнитной ленте. И может активно пользоваться платежным инструментом: расплачиваться в магазинах, кассах самообслуживания, на автозаправках.
«Неприятный аспект ситуации в том, — уточняет Алексей Карабаев, — что доказать банку факт мошенничества, если использован скимминг, будет очень сложно».
Кроме прямых оплат и покупки товаров преступник, имеющий на руках данные карточки, может просто вывести деньги. Чтобы не привлекать внимания прямыми транзакциями, используются «обходные пути». Деньги переводят в виртуальный формат, оплачивая онлайн-игры, услуги онлайн-казино. Или покупают на них криптовалюты, которые потом продают и обналичивают прибыль.
Что делать, если мошенники сняли с карты деньги
Быстро выяснить, что средства были украдены, к сожалению, удается не всегда. Не все пользователи подключают услугу SMS-банкинга, которая позволяет контролировать платежи и движения средств в момент их проведения. Если оповещения по SMS нет, воровство обычно обнаруживается слишком поздно: когда счет уже опустел.
«Если мошенники сняли деньги, обращайтесь с заявлением в отделение полиции, — советует Алексей Карабаев. — В заявлении нужно указать номер карты и место, где ею расплачивались мошенники. Если номер не помните, запросите выписку в банке. Этот документ станет подтверждением незаконных платежей для полиции».
Как только о незаконных списаниях стало известно, звоните в банк. Важно как можно скорее уведомить его о том, что вы стали жертвой кардинга и ваши средства похищены. Сотрудник банка должен уточнит, какие именно платежи были совершены без вашего ведома. Оформить заявку на их оспаривание можно по телефону.
«Чтобы банк вернул деньги, — продолжает Алексей Карабаев, — вы должны подтвердить соблюдение двух важнейших условий. Первое — вы должны уведомить банк в течение суток после того, как вам стало известно о незаконном списании средств. Второе — вам придется доказать, что сами вы никому не сообщали код CVV/CVV2, PIN-код или другие сведения о карте».
Даже если вы все сделаете правильно, деньги быстро не вернут. Банк инициирует служебное расследование, продолжительность которого определена законом. Если преступники действовали в России, расследовать хищение имеют право в течение 30 дней. А если из-за рубежа — тогда расследование может затянуться 60 дней. После этого банк уведомит о принятом решении.
Решить могут в вашу пользу и нет. В первом случае банк примет доводы и вернет всю утраченную сумму на счет. На это отводится 30-60 дней, так что даже при положительном решении вопроса ждать денег придется до двух месяцев. Если же средства где-то «зависли» по пути, через пару недель после принятия банком решения стоит посетить местное отделение и написать заявление о возврате украденной суммы. В этом заявлении нужно указать, что вы требуете вернуть деньги в срок, установленный гражданским кодексом. Согласно 144 статье, на возврат средств отводится всего семь дней. Это поможет поторопить банк.
Если же банк не встанет на вашу сторону, придется пройди долгий и сложный процесс оспаривания операций. Его сложность заключается в том, что в любой платежной операции принимают участие несколько сторон. Кроме банка, карта которого стала объектом мошенничества, в переводе участвует банк-исполнитель платежа — так называемый эквайер, а еще платежная система, в которой выполняются перечисления средств.
Для претензионной работы сотрудникам банка требуются дополнительные сведения, для получения которых они связываются с пользователем. Если в ходе банковской проверки будет установлено, что пользователь сам сообщил третьим лицам PIN-код своей карты или верификационный код на обратной стороне карточки, возвращать деньги банк не будет. Добиться этого можно только через суд после получения от банка письменного отказа. Второй вариант — взыскание денег со злоумышленников в рамках уголовного преследования. Для этого как минимум необходимо, чтобы полиция нашла преступников и привлекла их к ответственности.
Как защититься от кардинга
Избежать мошенничества с картами и не стать жертвой преступников помогут осмотрительность и знание этих десяти правил.
Эти правила помогут вам защитить свои деньги, сохранить нервы, а в некоторых случаях — избежать невольного соучастия в финансовом преступлении, втянуть в которое вас могут мошенники.
Доброго здоровьица Вам и
До новых встреч на сайте 9111. ру!
