Банковская карта – это очень удобный и выгодный инструмент. С этим трудно спорить, у карты есть и процент на остаток, и кэшбэк, к тому же карта просто-напросто компактнее, чем наличные. Также пластиковая карточка потенциально более безопасна – при краже наличных ими сможет воспользоваться кто угодно, а вот чтобы воспользоваться украденной картой, нужно приложить некоторые усилия, узнать ПИН-код, например, хотя это и не обязательно.
На просторах интернета есть множество статей и заметок с описанием различных видов мошенничества, причём, способы кражи денег с карт постоянно совершенствуются и обновляются. Скимминг, фишинг, фарминг – все эти термины означают различные способы хищения денег с карты. Фантазия мошенников не знает границ, применяются различные устройства для копирования магнитной полосы карты (скимминга), используются специальные накладки на клавиатуру банкомата для заполучения ПИН-кода или различные скрытые камеры для той же цели. Зачастую клиент сам сообщает все данные о своей карте, например, на мошеннических сайтах, которые как две капли воды похожи на оригинальные. Часто встречается схема, при которой клиенту звонит якобы сотрудник банка с просьбой уточнить какую-либо информацию.
Главное, что нужно знать – на любой карте есть вся необходимая информация для кражи с неё денег.
Кто-то возразит, что для пользования картой нужно обязательно знать ПИН-код, однако, к сожалению, это не так. Даже ребенок знает, что ПИН-код ни в коем случае нельзя писать на самой карте, и, честно говоря, меня всегда удивляло, зачем на карту наносится другая информация, с помощью которой также можно незаконно использовать чужие деньги.
Вот основные дыры в безопасности пластиковых карт:
1 Наличие магнитной полосы.
Конечно, современные карты оснащены специальным чипом, который практически невозможно скопировать. Однако магнитная полоса на них по-прежнему есть. Терминалы оплаты в некоторых торговых точках позволяют произвести оплату только с помощью магнитной полосы, не требуя вставлять карту в чип-ридер для считывания информации с чипа.
2 Необязательный ввод ПИН-кода для совершения покупок.
Нужно ли обязательно вводить ПИН-код для совершения покупки или достаточно просто расписаться на чеке – определяете не Вы, а владелец платёжного терминала (иногда не нужно ни того, ни другого, буквально несколько дней назад для совершения покупки в «Пятерочке» мне оказалось достаточно просто вставить карту в чип-ридер, даже без ввода ПИН-кода).
Чтобы подделать подпись, образец которой есть на обороте карты, каких-то специфических художественных навыков не требуется. Кассир, конечно, может потребовать паспорт для сверки подписи и имени владельца карты, однако это тоже право продавца, а не его обязанность.
3 Незащищенные интернет-платежи.
Банки, выпускающие карты, которые поддерживают технологию 3D-Secure (Verified by Visa и MasterCard SecureCode), особо подчёркивают, что их карты позволяют совершать покупки онлайн более безопасно. Это, конечно, так, 3D-Secure предполагает дополнительную ступень защиты: для совершения покупки требуется ввести пароль, который приходит вам по смс.
Однако недостаточно, чтобы ваша карта поддерживала функцию 3D-Secure, нужно чтобы и интернет-магазин также её поддерживал. Есть множество сайтов, где 3D-Secure просто не используется (Aliexpress, например).
Таким образом, для совершения покупки по карте в сети интернет достаточно знать всего 3 комбинации цифр (которые просто нанесены на карту):
– Срок действия карты;
– Номер карты;
– CVV2 или СVC2 код – (3 цифры, напечатанные на обороте карты).
CVV2 (Card Verification Value) – трёхзначный код проверки подлинности карты платёжной системы Visa. CVC2 (Card Validation Code) – трёхзначный код проверки карты платёжной системы MasterCard.
Имя владельца карты знать не обязательно, если в соответствующем поле при совершении покупки указать что-то вроде “MR. CARDHOLDER”, то платеж, скорее всего, будет осуществлен.
Я ещё могу как-то объяснить наличие на самой карте эмбоссированного номера, срока действия и имени владельца (это нужно, например, для оплаты «по старинке» с помощью импринтера, когда делается оттиск вашей карточки), но вот зачем на самой карте печатать CVV2/CVC2 коды – для меня загадка. Гораздо логичнее было бы выдавать этот код в запечатанном конверте, по аналогии с ПИН-кодом. Кстати, чтобы подобрать последовательность из 3-х цифр от 0 до 9, нужно перебрать максимум 1000 вариантов (10*10*10=1000).
Есть сайты, которые не требуют даже CVV2/CVC2 для совершения покупки, например, Amazon.
Постепенно количество интернет-магазинов, которые не используют функцию 3D-Secure, сокращается, поскольку при обоснованном опротестовании клиентом спорной операции возмещать убытки, в конечном итоге, приходится именно владельцам интернет-магазинов, которые не используют соответствующие меры безопасности при приёме платежей.
4 Бесконтактные платежи PayPass (у MasterCard) и PayWave (у Visa).
Метод бесконтактной оплаты придумали для ускорения процесса покупки, что особенно актуально для крупных торговых предприятий, где экономия даже нескольких секунд на каждой операции позволяет значительно сократить очереди. Для ещё большей экономии времени при совершении покупок до 1000 рублей не нужно не только вставлять карту в чип-ридер, но и вводить ПИН-код.
Недавно появился новый способ мошенничества, при котором злоумышленники перехватывают сигнал с карты с помощью специальных устройств:
Использование данной дыры в безопасности – это дело техники. Разработчики, конечно, уверяют, что в технологии бесконтактных платежей используются современные способы кодирования информации, что считать информацию с чипа не так-то просто, а ещё сложнее потом ей воспользоваться. Однако нет ничего невозможного:
Кто-то возразит, что сумма транзакции, при которой не требуется вводить ПИН-код, слишком мала, чтобы серьёзно заинтересовать мошенников. Однако 1000 рублей – это ограничение для одной операции, а где гарантия, что она будет одна?
Радиус действия антенны для бесконтактных платежей у карты небольшой, всего несколько сантиметров, но их как раз будет достаточно, например, в общественном транспорте, где большая плотность народа. Поднести считывающее устройство к карте, находящейся у вас в кармане, можно вполне незаметно.
Конечно, легальные переносные терминалы для оплаты всегда имеют зарегистрированного владельца, и вряд ли какой-нибудь реальный владелец ТСП (торгово-сервисного предприятия) выйдет на большую дорогу для осуществления незаметных списаний денег с карт ничего не подозревающих граждан в общественном транспорте. Только где гарантия, что данная схема мошенничества не будет усовершенствована с помощью подставных фирм, подставных лиц, каких-нибудь технических новинок и т.д.
Честно говоря, среди моих знакомых нет ни одного человека, который бы пострадал от кражи денег с помощью PayPass или PayWave. Можно даже подумать, что вся эта история придумана просто для продажи специальных алюминиевых кошельков для карт, которые не пропускают никакие сигналы:
В любом случае, меня немного беспокоит, что я не могу самостоятельно отключить технологию PayPass или PayWave на своей карте, если она мне не нужна. Также нет возможности самому уменьшить максимальную сумму операции, при которой не требуется вводить ПИН-код.
Подпишись на канал @hranidengi в Telegram — только там самая оперативная информация об обновлениях, полезные лайфхаки и другие интересности из мира финансов.
А ещё финансовый форум Храни Деньги! уже работает:)
А ещё финансовый форум Храни Деньги! уже работает:)
Храни Деньги! рекомендует:
Что говорит закон
Что говорит закон
Клиенты защищены от мошеннических действий и несанкционированного использования карты 161-ФЗ. В статье 9 Федерального закона от 27.06.2011 N 161-ФЗ (ред. от 29.12.2014) “О национальной платежной системе” говорится, что банк обязан возместить сумму операции, совершенной без вашего согласия, если вы сообщили банку об этом не позднее дня, следующего за днём, в котором вы получили уведомление от банка о совершении операции:
Данный закон обязывает банки информировать клиента о всех операциях с картой:
Тут возникает вопрос: а как именно банк должен уведомлять клиентов об операциях, и что является достаточным основанием считать, что клиент уведомлен об операции? В законе чётких формулировок нет. Причём, банк не может заявить, что вы сами отказались от смс-информирования, поэтому уведомлять вас никто и не обязан. По закону вы можете отказаться от любых дополнительных платных услуг, в том числе от платного смс-информирования. Об этом нам говорит статья 16 Закона РФ от 07.02.1992 N 2300-1 (ред. от 13.07.2015) “О защите прав потребителей”
Соответственно, в договоре с банком должен быть прописан альтернативный источник уведомления об операциях, например, через электронную почту.
Если банк не уведомляет клиента об операции, то при несанкционированной оплате он не сможет отказать вам в возврате денег, сославшись, что вы пропустили срок подачи заявления:
Главная проблема кроется в 15 пункте данной 9-й статьи. Банк должен возместить сумму операции, совершенной без согласия клиента, если клиент не нарушал порядок использования электронного средства платежа:
Стоит почитать правила использования карт любого банка, как становится понятно, что нарушить эти самые правила проще простого.
Например, “Сбербанк” требует от клиентов соблюдать «необходимые меры» для предотвращения утраты карты. Какие конкретно меры являются «необходимыми», понятное дело, не уточняется:
Если при мошеннической операции вводился корректный ПИН-код или использовался верный код подтверждения при онлайн-покупках (функция 3D-Secure), то доказать что-то в случае несанкционированного списания денег с карты практически невозможно.
Причём, банк ещё может взять с вас штраф за необоснованное опротестование операции, если в ходе рассмотрения заявления будет выяснено, что несанкционированная операция стала возможна из-за нарушения клиентом условий пользования банковской карты. “Тинькофф Банк”, например, за подобное опротестование берёт штраф в размере 3000 рублей:
Способы защиты банковских карт от мошенничества
Способы защиты банковских карт от мошенничества
Прежде чем говорить о способах защиты банковских карт от мошенничества, нужно сразу подчеркнуть:
На пластиковых картах нельзя держать крупные суммы денег.
Несмотря на все меры предосторожности, на 100% защититься от мошенничества не получится, можно только сократить вероятность несанкционированного списания денежных средств с банковской карты.
Поэтому использовать карту для накопления денежных средств как альтернативу банковскому вкладу (например, “Локо-банк” предлагает 12,5% на остаток средств по карте) крайне нежелательно. Воспринимайте процент на остаток по карте просто как приятный незначительный бонус (соответственно, «незначительным» он получается, если крупных сумм на карте вы держать не будете).
Итак, что же нужно делать чтобы защитить свою карту от мошенников? Ответ прост – нужно сохранить в тайне все данные карты.
1 Физические способы защиты данных карты.
Как уже было описано выше, на карте нанесено достаточно данных для кражи с неё денег. Сфотографировать обе стороны карты на смартфон можно за пару секунд, ненамного дольше копируются данные магнитной полосы с помощью специального оборудования. Поэтому нельзя оставлять свою карточку без присмотра.
Стоит также чем-нибудь прикрыть CVV2/CVC2 код на обороте карты, хотя бы непрозрачным скотчем. Конечно, скотч всегда можно отлепить, но незаметно от Вас, «случайно», так сказать, подглядеть эти три цифры не получится. Некоторые вообще советуют стереть этот код с карты (естественно, предварительно запомнив его), правда, могут возникнуть проблемы с приёмом карты, особенно за рубежом. Честно говоря, у меня такой проблемы никогда не возникало, стёртый CVV2/CVC2 на моих картах ни разу не вызвал ни у кого подозрений.
Кто-то выводит магнитную полосу карты из строя, чтобы оплату возможно было совершить только с помощью чипа. Правда, в таком случае воспользоваться услугами банкомата вряд ли получится, к тому же есть ТСП, которые умеют считывать только магнитную полосу. Стоит иметь в виду, что при выводе из строя магнитной полосы можно случайно повредить и чип карты.
Также к физическим способам защиты карты, естественно, относится защита конфиденциальности вашего ПИН-кода. Никому не сообщайте эту заветную комбинацию из 4-х цифр. Естественно, не пишите ПИН-код на самой карте. Вводя ПИН-код при оплате товаров и услуг, а также при пользовании услугами банкомата, обязательно прикрывайте клавиатуру другой рукой. Для большей безопасности во время ввода прикоснитесь пальцами не к четырем, а, допустим, к шести клавишам (две клавиши нажимать не надо, просто изобразите нажатие). Так злоумышленнику будет затруднительно определить ПИН-код, даже если ваши действия были записаны на скрытую камеру.
Старайтесь использовать банкоматы, находящиеся в офисах банков. Незаметно прикрутить на такие устройства какое-либо дополнительное оборудование для кражи данных с вашей карты крайне трудно, так как они находятся под постоянным наблюдением.
Запомните, что никому нельзя сообщать ваш ПИН-код. Банк никогда не потребует от вас сообщить эту комбинацию цифр. Для операций в интернете ПИН-код также вводить не нужно.
Честно говоря, я был очень удивлен, что АО «Кредит Европа Банк» требует ввести ПИН-код карты при получении доступа к интернет-банку. Я даже специально позвонил на горячую линию, чтобы уточнить необходимость данной процедуры. Оказалось, что действительно нужно вводить ПИН-код (а не одноразовый пароль для активации, присланный по смс):
2 Не разглашайте третьим лицам данные вашей карты.
Никогда не сообщайте данные вашей карты по телефону, электронной почте и т.д. Очень часто мошенники под видом сотрудников банка требуют уточнить какую-либо информацию или проделать определенные действия, чтобы отменить ошибочную операцию. Предлоги бывают самые разные: технический сбой, проверка системы, несанкционированный доступ, обнаружение ошибки при заполнении анкеты и т.д.
В последнее время к мошенничеству с картами привлекают даже автоответчики. К автоматизированной программе доверия у граждан почему-то больше:
Главное, что нужно сделать в случае такого «звонка из банка» – это просто положить трубку и самому позвонить на горячую линию банка (на официальный номер телефона, который можно посмотреть на сайте или на самой карте).
Также популярной мошеннической схемой является запрос реквизитов вашей карты якобы от потенциального покупателя для внесения предоплаты или оплаты товара целиком при использовании онлайн-площадок, вроде Avito. Клиент изображает глубокую заинтересованность в вашем объявлении, подробно расспрашивает вас о товаре и изъявляет желание как можно быстрее внести предоплату, чтобы быть твердо уверенным, что вы не продадите другому такой необходимый товар. Для этого ему непременно нужны все данные вашей карты, чтобы сделать С2С (card to card) перевод. Хотя на самом деле, чтобы сделать вам перевод C2C, достаточно знать только номер карты.
5000 руб. за бесплатный брокерский счёт в «Альфа-Банке», 2000 руб. за вечно бесплатную Tinkoff Platinum, бесплатная «Карта возможностей» от «ВТБ» с кэшбэком рублями до 25%, 500 руб. за бесплатную «ОТП Карту» с кэшбэком 5% на ЖКХ, 2000 баллов за «120 дней на максимум» от «Уралсиба», 1000 руб. за бесплатную карту «ВТБ», 1000 руб. за бесплатную «Альфа-Карту», сертификат на 1000 руб. за карту «Газпромбанка» с кэшбэком 35%, 500 руб. за бесплатную My Life от «УБРиР» с кэшбэком 5% на ЖКХ, 1000 руб. и 2 месяца подписки Pro за Tinkoff Black
Храни Деньги! рекомендует:
3 Электронные способы защиты.
Сюда, прежде всего, относится базовая защита вашего оборудования: установка лицензионного антивируса на ваш домашний компьютер и смартфон.
Не переходите по подозрительным ссылкам, не открывайте электронные письма от неизвестных лиц.
Не стоит пренебрегать и основными рекомендациями для пользования онлайн-банкингом. Не используйте незащищенные wifi-сети, вводите данные с помощью экранной клавиатуры и мышки, регулярно обновляйте пароль доступа к интернет-банку, составляя комбинацию из строчных и заглавных букв, цифр и символов. Проверьте адрес сайта в адресной строке, убедитесь в безопасности соединения при вводе пароля от интернет-банка (адрес интернет-банка должен начинаться с https://, обязателен символ “s”, а в браузере должно появиться изображение замка. Кликнув по замку, можно просмотреть данные о сертификате безопасности):
Также обязательно поставьте лимиты по операциям на карту, если банк позволяет так делать. Операции CNP (card not present), то есть операции в интернете, вообще лучше отменить и включать, только когда нужно совершить оплату. Для онлайн-покупок лучше выпустить виртуальную карту и переводить на неё строго необходимую для покупки сумму.
Можно привязать свою банковскую карту к сервису Яндекс-Деньги или PayPal, тогда исчезнет необходимость каждый раз вводить все данные карты для совершения онлайн-покупок.
Мобильный телефон – ключ к карте, поэтому я рекомендую завести отдельный телефон для приёма смс-оповещений от банков, лучше без доступа в интернет. Данный совет я уже давал в одной из статей (“Мобильные операторы с большой дороги”), и некоторыми читателями данная предосторожность была признана излишней.
Каждый сам для себя решает, какие защитные меры достаточны лично для него, а какие чрезмерны. Некоторые клиенты настолько осторожны, что вообще не пользуются картами из-за соображений безопасности.
Если у вас возникли какие-либо сомнения в конфиденциальности информации по вашей карте, или по ней уже совершена какая-либо транзакция без вашего ведома, нужно немедленно оповестить банк об этом и заблокировать карту (обязательно имейте телефон горячей линии вашего банка в оперативном доступе и не забывайте свое кодовое слово).
Банковская карта – это удобно, просто надо отдавать себе отчёт, что 100% защиты от мошенничества нет, возможно только сократить вероятность наступления негативных событий.
Надеюсь, моя статья была вам полезна, о всех уточнениях и дополнениях пишите в комментариях.
За обновлениями в этой и других статьях можно следить на Telegram-канале: @hranidengi.
В связи с блокировкой Телеграма создано зеркало канала в ТамТам (мессенджер от Mail.ru Group со сходным функционалом): tt.me/hranidengi.
Подписывайтесь, чтобы быть в курсе всех изменений:)
Реклама. Информация о рекламодателе по ссылкам в статье.