Захистити платіжну картку від шахраїв: прості правила, що збережуть ваші гроші
Гроші перекочували з гаманців у платіжні картки, проте це не зупинило злодіїв: вони, як і раніше, намагаються вкрасти чуже. Що слід пам'ятати, аби їм завадити?
У травні 2019 року киянка Ганна полетіла відпочивати за кордон. Вночі їй на телефон почали надходити повідомлення. Вранці вона виявила, що хтось "зламав" її телефонну картку, увійшов до пошти та акаунтів у соцмережах і почав знімати гроші з банківських рахунків.
За ніч жінка втратила 285 тис грн.
У 2018 році статистика збитків вкладників українських банків від незаконних дій з платіжними картками вперше за три роки погіршилася. У 2017 році було 77,6 тис шахрайських спроб, а у 2018 році — 105,5 тис. Динаміка, відверто кажучи, не радує.
У травні 2018 року учасники опитування щодо системних ризиків фінансового сектору включили шахрайство та кіберзагрози у п'ятірку головних ризиків ринку.
Які ж є основні шахрайські схеми щодо карток і як цим схемам протистояти?
Соціальна інженерія
Основний вид шахрайства з платіжними картками ніяк не пов'язаний з новими технологіями або хакерами, а базується на зловживанні людською довірою та чесністю. Такий вид шахрайства називається соціальною інженерією.
Конкретний приклад наводить голова правління Української асоціації фінтех- та інноваційних компаній Ростислав Дюк: "Зловмисники під виглядом співробітників банку або покупців на OLX намагаються дізнатися повні реквізити картки включно з терміном дії та секретним CVV-номером".
Головна порада — нікому не повідомляти дані карток, навіть працівникам банку. Щоб переказати гроші на картку, людині досить знати її номер — 16 цифр. Також не варто довіряти будь-кому одноразові коди, що приходять у вигляді смс в банківському додатку.
Зазвичай шахраї намагаються за допомогою повідомлень або телефонних дзвінків отримати саме цю інформацію.
"Справжні працівники банку не будуть просити вас надати інформацію про вашу картку. Все логічно — вони можуть бачити майже все і без вас", — пояснює експерт Digital Security School 380 Павло Бєлоусов.
Що у такому разі можна робити?
Перший варіант — встановити мінімальний ліміт для інтернет-оплати.
Другий варіант — завести картку для оплати в інтернеті та переказувати на неї необхідну суму перед оплатою. Навіть якщо шахраї дізнаються дані картки, вони не зможуть вкрасти велику суму.
Третій варіант — деякі банки пропонують функцію динамічного секретного CVV-коду. Йдеться про тризначний код, який зазвичай написаний на звороті картки. Після підключення функції код буде змінюватися щогодини. Побачити його можна буде тільки у банківському додатку на смартфоні. Бєлоусов радить користуватися цією функцією.[BANNER1]
Дублікат телефонної картки
Друга шахрайська схема складніша і базується на тому, що банки прив'язують рахунки своїх клієнтів до телефонних номерів. Перші клієнти онлайн-банкінгу наприкінці 1990 років використовували динамічні паролі на флешках. Без такої флешки керувати своїм рахунком було неможливо.
Пізніше Приватбанк почав відправляти паролі клієнтам на телефон у текстовому повідомленні. Згодом ця зручна, але небезпечна з точки зору захисту інформації система стала поширюватися на інші фінансові установи. Також банки часто використовують для верифікації звичайний дзвінок на телефон.
Зараз смартфон є цифровим гаманцем, а іноді — навіть терміналом з приймання карток. Отже, той, хто встановить контроль над телефонним номером, зможе контролювати і банківські рахунки власника цього номера.
Укравши телефон, можна легко отримати доступ до рахунків. Проте коштами можна заволодіти й віддалено, виготовивши дублікат телефонної картки.
"Сім-картку важко скопіювати, адже потрібен фізичний доступ до неї. Проте можна випустити дублікат, чим і займаються шахраї. Трапляється це тоді, коли основна сім-картка буде поза зоною досяжності. Наприклад, коли абонент за кордоном.
У цей період можна подати заяву на випуск нової картки й отримати доступ до онлайн-сервісів", — каже інженер з кібербезпеки компанії Hacken Сергій Харюк.
Найпростіше зробити копію передплаченої сім-картки, про власника якої оператор зв'язку не має даних. Шахрай якимось чином дізнається про останні номери телефонів, на які були зроблені дзвінки з номера жертви.
Він може ініціювати такі дзвінки сам. Наприклад, подзвонити за оголошенням та попросити людину передзвонити пізніше. Шахрай також може "помилково" поповнити рахунок людини, щоб пізніше назвати оператору зв'язку точну дату та суму останнього поповнення номера.
"Усі ці дані шахраї можуть легко дістати. Не варто забувати про кримінальну співпрацю шахраїв з працівниками магазинів стільникового зв'язку, які мають повноваження випускати "загублені" картки", — застерігає Бєлоусов.
Як убезпечити себе від шахрайства
По-перше — захистити банківські рахунки на випадок фізичної втрати телефона: встановити додаткові паролі, заборонити відображення повідомлень на заблокованому екрані, налаштувати віддалений доступ до пристрою та знати, як швидко заблокувати телефонну картку.
По-друге — захиститися на випадок дублювання сім-картки: використовувати непублічний номер для фінансових операцій, перейти на контракт або прив'язати телефонну картку до своїх паспортних даних — це можна зробити без переходу на абонплату. Така послуга доступна у фірмових салонах зв'язку оператора, а також онлайн з використанням електронного цифрового підпису — ЕЦП.
До речі, саме ЕЦП деякі банки використовують для ідентифікації клієнтів онлайн. Це безпечніше, ніж ідентифікація через повідомлення або дзвінки на телефон.[L]
"Цифровий підпис — надійний інструмент. Його потрібно зберігати в недоступному місці, наприклад, на окремій флешці, встановити пароль, не використовувати на підозрілих сайтах. Поводитися з ним як з паспортом", — радить Бєлоусов.
Окрема тема — паролі для онлайн-банкінгу, електронного цифрового підпису, електронної пошти та акаунтів у соцмережах. Паролі повинні бути різні для кожного ресурсу. Вони також мусять бути надійними — довгими та складними.
"Можливе використання якоїсь фрази, але із заміною деяких букв на цифри та з обов'язковим додаванням спеціальних символів. Для більшої надійності також рекомендую увімкнути двофакторну авторизацію", — радить Харюк.
Бєлоусов додає, що не варто використовувати у паролях персональні дані: дати народження, імена, номер автомобіля. Такі паролі простіше зламати.
Чи можуть шахраї зняти гроші з картки безконтактно
За даними НБУ, кількість активних безконтактних карток становить 4,5 млн, тобто кожна восьма платіжна картка в Україні безконтактна. Нею можна розраховуватися на відстані до 10 см від платіжного терміналу без її передавання в руки продавцю.
Шахраї можуть знімати гроші з таких карток за допомогою переносного терміналу, але робити це для них невигідно, каже Бєлоусов.
"Термінал для оплати оформити можна на юридичну особу, а це додаткові витрати. До того ж, сума безконтактної операції без підтвердження не дуже велика", — розповідає він.
Отже, вкрасти гроші безконтактно з картки за допомогою зареєстрованого терміналу — це як вкрасти звичайний гаманець.
Про списання коштів із смартфонів взагалі не йдеться: такі операції мусить ініціювати користувач і водночас підтверджувати їх паролем, відбитком пальця або сканом обличчя.
"Якщо смартфон підтримує підключення банківської карти, використовуйте цю можливість. Оплата смартфоном — найбільш безпечний спосіб", — каже Харюк.
Ще одним запобіжником безпечного використання безконтактного розрахунку є пауза між списанням коштів і фізичним доступом до них зловмисника, додає Бєлоусов. Списані гроші не одразу доступні власнику термінала, тож якщо списання відбулося помилково або злочинним методом, його можна опротестувати через свою платіжну систему. Тоді гроші не дійдуть до шахрая.
Висновок: технічно безконтактні крадіжки можливі, але на практиці це надто складна і неприбуткова схема.
Накладки на банкомат
Це найдавніший і найскладніший метод незаконного заволодіння чужими коштами.
Бєлоусов радить не використовувати картки тільки з магнітною стрічкою, без чіпів, оскільки такі картки простіше скопіювати. Він також радить користуватися банкоматами безпосередньо у відділеннях банків, де складніше потрапити на нелегально встановлений шахраями пристрій з копіювання карток.
"Банкоматами взагалі слід користуватися якомога рідше, тим більше, що розрахуватися карткою зараз можна скрізь", — підсумовує Дюк.
Хто захищає права споживачів фінансових послуг
До останнього часу жоден державний орган не опікувався правами споживачів фінансових послуг. Поліція у випадках складних фінансових злочинів зазвичай не може надати кваліфікованої допомоги.
Час від часу фахівці дискутують про створення служби фінансового омбудсмена, але далі розмов справа не йде.
Деякі юристи почали спеціалізуватися на захисті прав клієнтів банків та страхових компаній, але юристи не працюють безкоштовно — послуги столичного адвоката за супровід справи у суді коштує понад 10 тис грн.
Більш-менш вдало з шахраями на фінансовому ринку боролися самі його учасники — банки та платіжні системи.
Wall Street Journal недавно повідомляв, що для захисту від шахрайства платіжні системи тестують технології штучного інтелекту. Це дозволяє виявляти підозрілі транзакції серед мільярдів операцій у режимі реального часу.[BANNER2]
Зрештою 20 вересня 2019 року з'явилася надія, що права споживачів фінансових послуг будуть захищені краще.
У цей день Верховна Рада підтримала закон, який надає право Нацбанку регулювати дії фінансових компаній щодо клієнтів. НБУ вже створив управління захисту прав споживачів фінансових послуг.
Упродовж трьох місяців після ухвалення закону центробанк повинен почати роботу у цьому напрямку. Зокрема, з'явиться "гаряча лінія" для скарг споживачів. Регулятор і раніше приймав такі скарги, але не мав достатньо повноважень, щоб на них реагувати. Тепер він ці повноваження отримав.
***
Текст написаний в рамках спільного проекту "Економічної правди", Центру журналістики KSE та компанії Visa. Ми прагнемо, щоб українці добре розумілись в особистих фінансах і знали елементарні правила для їхнього захисту. Ми сподіваємось, що в цьому тексті, попередніх і наступних кожен з читачів знайде для себе корисну інформацію, яка дозволить ухвалювати зважені рішення в управлінні своїми коштами. Будьте пильними!