Мошенники придумывают все новые изощренные способы воровства денег с пластиковых карт, а их подкованность в сфере информационных технологий оказывается мощным оружием. Преступники совершенствуют как технологии, так и психологические методы, чтобы «раскусить» владельца заветной банковской карточки.

«Газета.Ru» рассказывает, как мошенники пользуются нашими слабостями и как оставить преступников с носом.

Методы преступлений в сфере IТ развиваются очень прогрессивно, при этом именно кража денег в безналичной форме представляет наибольшую общественную опасность. Злоумышленники неустанно совершенствуют «орудия совершения преступления».

«Происходит постоянное соревнование между средствами защиты, разрабатываемыми по заказу кредитных организаций, и средствами незаконного доступа к денежным средствам, изобретаемыми преступниками», — рассказали «Газете.Ru» в пресс-службе МВД.

Во-первых, мошенники устанавливают на банкоматы специальные устройства-накладки (скиммеры), которые считывают с магнитной полосы всю информацию. Видеокамера или накладная клавиатура запоминают PIN-код. Если преступники не устанавливают внешнее устройство, то они могут запустить вредоносное программное обеспечение — это тоже скимминг.

Во-вторых, данные о владельцах карт можно получить, например, в базах данных крупных торговых сетей, куда преступники научились проникать.

В-третьих, мошенники любят дурачить свои жертвы, рассылая по электронной почте запросы, якобы от банков, с просьбой подтвердить или обновить персональные данные. Это фишинг — от английского «рыбная ловля», «выуживание». 

 

И наконец, четвертый способ — это «развод» по телефону. Преступник выясняет у владельца карты все данные под предлогом разблокировки карты или совершения с ней каких-либо операций.

По данным ЦБ, с банковских карт россиян в 2019 году похищено более 960 млн рублей.

В 2018 году объем похищенных с карт средств составил 1,08 млрд рублей.

Как пояснили в ведомстве, мошенничества в отношении банковских карт проходят по нескольким статьям Уголовного кодекса: 

159.3 (Мошенничество с использованием электронных средств платежа), 

159.6 (Мошенничество в сфере компьютерной информации),

183 (Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну),

187 (Неправомерный оборот средств платежей),

272 (Неправомерный доступ к компьютерной информации),

273 (Создание, использование и распространение вредоносных компьютерных программ) УК.

В 2020 году по этим статьям зарегистрированы сотни, а то и тысячи преступлений.

Банковские карты и деньги на них становятся легкой добычей для преступников, если нет качественной защиты.

Залог безопасности денежных средств — это не только инструменты защиты, предлагаемые банком, но и аккуратность самого владельца карты.

«Общая рекомендация для защиты от мошенничества со средствами банковских клиентов заключается в том, что пользователям следует иметь как минимум две карты: зарплатную (на которой хранятся основные средства) и дополнительную», — советует технический директор Qrator Labs Артем Гавриченков.

«Снимать деньги со счета зарплатной карты категорически не рекомендуется вне крупных отделений самого банка», — предупреждает он.

Для повседневных операций необходимо использовать вторую карту. Кроме того, желательно установить лимит суммы единовременного списания и подключить SMS-оповещения из банка.

«К сожалению, от скимминга защититься сложно, пока в банковских картах используется магнитная полоса», — рассказал заместитель руководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин.

По его словам, она до сих пор применяется на картах для совместимости с терминалами и банкоматами старого образца, хотя ЦБ и обязал банки выпускать карты с чипами еще в 2015 году.

«Если пользователь по какой-то причине не сменил старую карту с магнитной полосой на карту с чипом, ему срочно нужно заняться этим», — предупреждает руководитель группы исследований безопасности банковских систем Positive Technologies Ярослав Бабин.

Как на беду, устройства преступников становятся все более современными, поэтому осмотр банкомата и поиск на нем злодейского аппарата не всегда может спасти от хищений.

«Продукция опытных криминальных поставщиков мало отличается от оригинальных элементов, а может и полностью закрывать видимую часть банкомата. Неспециалист просто не заметит разницы», — предупреждает ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов.

Кроме того, вместо внешних устройств злоумышленники научили запускать в банкомат вредоносную программу. Тем не менее, чтобы не стать жертвой, перед использованием банкомата нужно потратить минутку на его осмотр — изучить отверстие для вставки карты, клавиатуру и поверхность самого банкомата.

Оставить преступников ни с чем могут бесконтактные терминалы, отмечает Никитин. В этом случае не требуется вставлять карту в картоприемник, достаточно поднести карту или устройство (например, смартфон) к считывателю. Для оплаты товаров и услуг лучше пользоваться бесконтактным методом, а еще лучше смартфоном и «умными часами» — так безопаснее.

Что касается выуживания информации по телефону — никакие данные по карте сообщать нельзя, даже если человек на другом конце провода представился сотрудником банка. Скорее всего, если он запрашивает такую информацию, то является не сотрудником банка, а лишь мошенником, владеющим «социальной инженерией». Для проверки можно перезвонить в банк и узнать, от кого был звонок.

«Важно понимать, что ни при каких условиях специалист банка не может запретить клиенту перезвонить в банк самостоятельно. Угрозы того, что в случае прерывания звонка заблокируется карта или счет клиента, в абсолютном большинстве случаев свидетельствуют о том, что звонящий является мошенником», — говорит Гавриченков.

«Сейчас среди злоумышленников широкое распространение получают атаки, которые легко и дешево масштабируются», — отмечает Бабин. Этим качествам отвечает интернет-мошенничество — фишинг, цель которого получить данные владельца карты. По словам Бабина, «злоумышленники пользуются слабостями или банальным невниманием людей».

Мошенники проводят массовые рассылки электронных писем якобы от банков, а в письмах часто содержится прямая ссылка на сайт банка, неотличимый от настоящего. Если пользователь введет свой логин и пароль на такой странице — пиши пропало, данные у мошенников.

Именно поэтому не рекомендуется переходить по ссылкам на веб-страницы банка, полученным, например, в SMS или e-mail, и вводить там свои данные, предупреждают эксперты. Желательно установить антивирус с модулем защиты от фишинга и онлайн-мошенничества.

За прошедший год с помощью веб-фишинга удалось похитить около 250 млн рублей, средняя сумма хищений — 1 000 рублей. Ежедневно происходит около 1300 подобных атак, рассказали «Газете.Ru» в Group IB.

«Российские банки очень хорошо защищены, сегодня используются комплексные системы безопасности, включающие защитные решения для банкоматов, способные заблокировать вредоносную программу, и технологии, защищающие от онлайн-мошенничества. Однако человек остается самым слабым звеном, и если он сам сообщил преступнику данные карты или информацию для входа в онлайн-банкинг, то вернуть средства будет довольно проблематично», — отмечает Голованов.

Что касается проникновения в базы данных, практически невозможно дать универсальный совет, поскольку в этом случае сам держатель карты бессилен. Утечка данных может произойти в результате кибератаки или уязвимости, а также в случае их продажи недобросовестными сотрудниками. Если пользователь знает, что его данные были скомпрометированы, то лучше изменить пароли на важных сервисах, предупреждает Голованов.