Если данные карты узнали мошенники что делать
Какими способами мошенники похищают деньги с карт. Как не стать жертвой
За первое полугодие 2020 года мошенники украли у банковских клиентов с их карт и счетов 4 млрд руб., совершив более 360 тыс. несанкционированных операций. Из этой суммы банки смогли вернуть пострадавшим только 12,1% (около 485 млн руб.), а общий объем похищенных средств больше показателей аналогичного периода прошлого года на 39%.
Какие схемы мошенничества получили наиболее широкое распространение и как не стать их жертвой — в обзоре РБК.
Способы хищения денег с банковских карт
Самым распространенным способом мошенничества является социальная инженерия — методы обмана и введения клиентов в заблуждение с целью кражи денежных средств. По данным ЦБ, в первом полугодии 2020 года на нее пришлось 83,8% случаев от общего числа атак. Традиционно мошенники звонят банковским клиентам под видом «службы безопасности банка» или «службы финансового мониторинга» и сообщают о том, что по карте якобы совершена подозрительная операция. Под предлогом спасения денежных средств они заставляют клиента совершить ряд действий, чтобы украсть деньги с его счета. Контактную и персональную информацию о клиентах злоумышленники получают, покупая «слитые» базы в даркнете (теневой сегмент интернета. — РБК) либо находя их там же в свободном доступе. Также для убедительности они могут звонить с подменных номеров банков и других структур. Далее схема мошенничества развивается по нескольким сценариям.
В последнее время стали появляться более сложные схемы: к звонкам от «банковских работников» добавились звонки от «правоохранительных органов», которые «подтверждают», что кто-то пытается украсть деньги клиента, поэтому их надо спасти путем перевода на «безопасный» счет. Также злоумышленники начали звонить от имени бюро кредитных историй и сообщать, что обнаружили попытки оформления кредитов с использованием паспорта жертвы.
Во время пандемии и перехода многих процессов в онлайн-формат киберпреступники также активизировались в интернете, предупреждал ЦБ. По данным регулятора, за первое полугодие 2020 года мошенникам удалось украсть в интернете свыше 2 млрд руб., то есть более 50% из общего объема похищенных за этот период средств.
По данным «Лаборатории Касперского», в 2020 году активно росли объемы телефонного мошенничества и скама. С января по ноябрь компания обнаружила почти 86 тыс. скам-ресурсов, из них 62,5 тыс. были заблокированы во втором полугодии. Особенно распространено такое явление в русскоязычном сегменте интернета. По подсчетам компании, потенциальный ущерб от мошенничества мог бы превысить 13 млрд руб., если бы каждая заблокированная попытка перехода пользователя на подобный ресурс повлекла за собой обман хотя бы одного человека.
В России в этом году среди всех входящих звонков с неизвестных номеров доля спама составила 63%, а доля звонков с подозрением на мошенничество — 5,9%. При этом злоумышленники активно пользовались технологией подмены номера. Чаще всего они указывали телефоны финансовых организаций, государственных учреждений или юридических лиц. «Люди проводят все больше времени с телефоном под рукой и чаще берут трубку. Но при этом возможность принять взвешенное решение в разговоре у них есть не всегда. Часто злоумышленники использовали актуальную новостную повестку, чтобы вызвать доверие у жертвы», — объясняет Голованов.
Как не стать жертвой мошенников
Однако вернуть деньги, которые были украдены с помощью социальной инженерии, сложно, так как потерпевший добровольно подтверждал операции по своему счету и у банка есть основания отказать в возврате средств, предупреждает юрист. Клиент может обратиться в банк с требованием заблокировать мошенническую операцию, но, как показывает практика, в подавляющем большинстве случаев в отсутствие документов, подтверждающих факт совершения мошеннических действий, банк, скорее всего, ответит отказом. «Этот отказ можно оспорить в суде, но опять же, как показывает практика, если вы подтвердили операцию списания сами в порядке, установленном банком, шансы минимальны», — добавляет Иккерт.
Как защитить реквизиты карты
Какие данные нельзя сообщать и в каких случаях включать параноика
Реквизиты банковской карты — это секретная информация. Если она попадет в руки не тех людей, вы можете потерять деньги.
В России 68% мошеннических операций совершается с помощью реквизитов. Это самый распространенный способ украсть деньги с карты. Мошеннику нужны только цифры, которые написаны прямо на карте, — и он уже сможет вас ограбить.
Что за реквизиты?
Реквизиты — это всё, что написано на карте: номер из 16 цифр (иногда 18), имя и фамилия владельца, срок действия и CVC-код — трехзначный код безопасности на обратной стороне. Для удобства мы отнесем к реквизитам и смс-код, который присылает вам банк, когда вы платите в интернете или переводите деньги.
По правилам платежных систем реквизиты нельзя сообщать посторонним. Если банк узнает, что ваши реквизиты попали в чужие руки, то сразу заблокирует карту. Однако кое-что сообщать все-таки можно. Если кратко, дела обстоят так:
Что можно сделать, зная реквизиты карты?
По реквизитам карты можно заплатить в интернете или оформить перевод с карты на карту. Человек, который знает ваши реквизиты, имеет полный доступ к деньгам.
Вернуть потерянное будет сложно. В договорах на оказание банковских услуг прописано, что ответственность за сохранность данных карты несет держатель карты. Если он сам добровольно эти реквизиты сообщил посторонним, банк за такие действия ответственности не несет. Придется обращаться в полицию и если она найдет мошенника, с него и взыскивать ущерб.
Какие реквизиты нужны вору, чтобы украсть мои деньги?
Обычно номер карты, срок действия, CVC-код и код из смс. Но есть магазины, которые проводят операции с меньшим числом реквизитов.
Например, чтобы заплатить на «Амазоне», нужен только номер, имя и срок действия. Ни кода безопасности, ни одноразового пароля из смс не нужно:
Виды мошенничества с картами
Фальшивые банкоматы. Не каждый банкомат, который вы видите, обязательно принадлежит банку. Мошенники могут скупать на черном рынке старые банкоматы, перенастраивать их и получать доступ к данным карты. Снять наличные в таком банкомате не получится — он выдаст сообщение, что купюр нет или что он неисправен. Зато такой банкомат передаст мошенникам все реквизиты карты.
Чтобы обезопасить себя, проверьте банкомат на карте с банкоматами в приложении банка.
Скрытые камеры. Мошенники крепят их на банкомат или прячут где-то возле. Миниатюрная камера направлена на клавиатуру банкомата и записывает, как клиенты вводят пин. Еще камера может записать все реквизиты, указанные на карте: имя владельца, срок действия и даже код безопасности.
Скимминг. Скиммер — это считыватель магнитной ленты на карте. Мошенники прикрепляют его к картоприемнику банкомата.
Банки знают об уловках мошенников, и поэтому начали выпускать банкоматы без картоприемников. На современных банкоматах карту достаточно приложить к специальной площадке со значком бесконтактной оплаты. Если есть альтернатива, рекомендую пользоваться именно такими банкоматами.
Траппинг, или «ливанская петля». Мошенник вставляет в картридер кусок фотопленки или пластика, и карта, попадая в прорезь, не возвращается владельцу, а попадает в конверт, который мошенник вытащит и получит возможность пользоваться картой.
По возможности пользуйтесь банкоматами без прорезей. В них карта в принципе не может быть удержана из-за неисправности устройства и к мошенникам в руки не попадет ни при каких обстоятельствах.
Накладная клавиатура. Мошенники устанавливают на банкомат поддельную клавиатуру поверх оригинальной. Поддельная запоминает все, что вы набираете, и передает нажатия на настоящие клавиши.
Фишинг. Это рассылка писем и уведомлений от имени брендов, банков, платежных систем, почтовых сервисов, социальных сетей. В письме содержится ссылка, якобы ведущая на сайт сервиса, но на самом деле она ведет на сайт мошенников, внешне не отличающийся от оригинала.
Как не попасться на удочку хакеров
Пользователя убеждают ввести данные карты якобы для оплаты товаров или услуг, но на самом деле покупки не происходит, а данные попадают в руки мошенников.
Совет здесь только один: не переходить по ссылкам, если не уверены в их надежности. Убедитесь, что отправитель — именно тот, за кого себя выдает.
Смс-мошенничество. Мошенники через смс убеждают держателя карты перевести деньги. Например, предлагают поучаствовать в розыгрыше приза, получить компенсацию или просто позвонить на платный номер.
Вишинг — телефонное мошенничество. Самый распространенный сейчас вид мошенничества.
Мошенники представляются работниками службы безопасности, сотрудниками правоохранительных органов, Центробанка. Бывает, что они представляются покупателями на сайтах объявлений.
Цель у них одна — получить реквизиты карты: ее номер, код безопасности, а если повезет, то и код из смс.
Можно ли сообщать номер банковской карты и имя владельца
Если у кого-то есть номер карты, он не сможет украсть ваши деньги. Но он может использовать это знание для фишинга: прикинуться банком и выудить у вас другую информацию.
А вот если у мошенника есть и номер карты, и ваше имя латиницей, он сможет подобрать срок действия методом перебора и, например, привязать карту к «Амазону».
Номер карты и имя владельца следует беречь точно так же, как вы бережете данные паспорта.
Мошеннику нужен только номер карты, срок действия и ваше имя, чтобы украсть деньги.
Какие данные карты можно сообщать для перевода денег, а какие нельзя
| Можно сообщать | Нельзя сообщать |
|---|---|
| Номер из 16 цифр | Имя и фамилия |
| Cрок действия | |
| Код безопасности на обратной стороне | |
| Код из смс |
Вопросы о безопасности банковских карт из жизни
Я забыл карту в кафе, вернулся за ней через 15 минут. Надо перевыпускать? Лучше перевыпустить. Если вам не повезет, официант перепишет реквизиты в блокнот или просто сфотографирует карту. Он не будет тратить все деньги, а просто через месяц-другой по-тихому купит что-нибудь в интернете.
Если у вас не подключен смс-банк, вы можете даже не заметить пропажи денег с карты. А если клиент не забил тревогу, то и банк ничего не заметит. Вы никогда не узнаете, что деньги украли.
Официант унес карту, чтобы провести оплату на кассе. Это плохо? Да. Целую минуту он может делать с вашей картой что угодно. Если вам совсем не повезет, официант окажется еще и скиммером: проведет карту через специальный считыватель, потом продаст данные в Таиланд через анонимный форум. Там ребята обналичивают сразу и много.
Чтобы такого не случилось, попросите официанта принести терминал. Сейчас во всех приличных заведениях терминал приносят к столу. Но если такой возможности нет, сходите на кассу вместе с официантом.
Развод: дуэт звонков из полиции и банка
Тинькофф Банк рассказывает о схемах, с помощью которых мошенники чаще всего крадут деньги у его клиентов. Запомните и расскажите знакомым.
Одна из популярных схем выглядит так: жертву уверяют, что ее деньги в опасности, и убеждают переложить их на «безопасный счет». Этот счет, конечно, принадлежит мошенникам. Вариантов у схемы много: иногда звонят «сотрудники банка», иногда доходит и до «майора ФСБ».
Вот что обычно делают мошенники.
Давят авторитетом. Например, звонящий представляется следователем по экономическим делам и сообщает жертве, что ее деньги якобы в опасности. Следователя трудно проигнорировать.
Добиваются реалистичности. «Следователь» говорит, что не имеет права работать с деньгами, поэтому переводит звонок «сотруднику банка». Жертве кажется, что с ней общаются сотрудники настоящих организаций и каждый отвечает за свой участок работы — все как в жизни.
Имитируют заботу о деньгах. «Сотрудник банка» обещает, что поможет защитить деньги от мошенников. Для этого нужно четко следовать его инструкциям и не вешать трубку.
Убеждают «спасти» свои деньги. Когда мошенники чувствуют, что жертва уже им доверяет, ее убеждают перевести деньги на сторонний счет или сообщить персональные данные вроде кода из смс.
Работают с возражениями. Если у жертвы возникают сомнения, ее сначала пытаются убедить различными уловками, а если не помогает — запугивают.
Разберем схему более подробно.
Курс о больших делах
Звонок из правоохранительных органов
Для большей убедительности жертве могут прислать в мессенджер поддельные документы: удостоверение сотрудника, акт от имени банка, ордер или приказ, на основании которого проводится расследование. Обычному человеку распознать подделку сложно: ее создают на основе реальной информации из интернета. Например, могут использовать данные сотрудников полиции.
Все это помогает надавить на жертву авторитетом и завладеть ее вниманием: проигнорировать звонок из полиции непросто.
Чего хотят. Жертву пугают, что ее деньги в опасности. Но сообщают, что правоохранители вовремя все заметили и готовы помочь. Предлог может быть любым: расследование мошеннических действий со счетами клиентов коммерческих банков, сотрудничество со следствием для выявления преступников, предотвращение утечки информации и кражи средств клиента.
При этом создается образ сильного, но заботливого правоохранителя: да, мошенников сейчас вокруг полно, вот даже вас сейчас пытаются обмануть. Но вы не переживайте, я не мошенник, поэтому спрашивать у вас данные не буду, да и не имею права.
Чтобы вызвать еще большее доверие, мошенник говорит, что после него позвонит сотрудник банка — который, в отличие от него, уполномочен работать с деньгами. Это создает иллюзию, что в происходящем участвуют разные организации и каждая отвечает за свой участок работы. Конечно, в действительности эти люди сидят в одном помещении.
Как убеждают. Часто мошенники работают с украденными данными, поэтому им не составит труда назвать жертву реальным именем, продиктовать номер карты и даже какие-то детали, например адрес регистрации. Так они входят в доверие: смотрите, у нас есть вся информация о вас, мы и правда из полиции.
Если жертва сомневается, что ей звонят из полиции или Центрального банка, мошенник предложит зайти на официальный сайт и посмотреть номера телефонов. Чтобы подтвердить, что он действительно сотрудник названной организации, мошенник перезванивает жертве с этого номера.
Обычно это действует: раз звонят с официального номера, значит, все в порядке. На самом деле мошенник может имитировать звонок с любого номера — и даже оператор связи не заметит подмены.
В ход также идут номера законов и приказов, настоящих и выдуманных. Якобы по закону № 2342 вы обязаны сотрудничать с банком и полицией по вопросу защиты денег от мошенников, а если откажетесь, то вы соучастник преступления.
Расчет на то, что жертва не знает содержания законов или не сможет отличить настоящий закон от выдуманного. Как говорится, незнание закона не освобождает от ответственности.
Звонок из банка
Кем представляются. Мошенники «из банка» чаще всего представляются сотрудниками службы безопасности. Если жертва проговаривается, в каком банке у нее деньги, звонок «переводят» именно в этот банк.
Особо изобретательные мошенники «переводят» звонок в Центральный банк. Это и само по себе способно вызвать доверие, а кроме того, помогает обойти ситуацию, когда жулики не знают, каким именно банком представляться. Конечно, на самом деле Центробанк не работает со счетами физических лиц.
Чего хотят. Главная цель мошенников — убедить жертву перевести деньги на «защищенный счет» через банкомат или мобильный банк. Разумеется, этот счет принадлежит мошенникам. Как только жертва переведет на него деньги, вернуть их будет практически невозможно.
Как убеждают. Вот какие предлоги жулики используют чаще всего:
Как защититься
Возьмите паузу. Все мошенники так или иначе хотят ваших денег. Под каким бы предлогом они ни звонили, их выдают одни и те же признаки. Но чтобы эти признаки разглядеть, нужно отразить психологическую атаку мошенника и получить полный контроль над своими мыслями и решениями.
Именно тут раскрывается сила паузы: убрав тревогу и панику, вы сможете распознать подвох.
Универсального рецепта здесь нет — каждому помогает что-то свое: выпить воды, умыться, медленно посчитать до 10. Подобные ритуалы помогают выиграть время, чтобы снизить уровень адреналина и немного успокоиться. Подумайте, что обычно помогает вам успокоиться.
Задумайтесь, торопят ли вас. Задача банка — защищать ваши деньги. В настоящем банке никогда не будет процедуры, по которой, если вы повесите трубку, все ваши деньги улетят в неизвестном направлении. За такое лишат лицензии и оштрафуют, а из банка уйдут клиенты.
Если вам не дают времени подумать и говорят, что принять решение надо прямо сейчас, а завершить звонок — смерти подобно, вам определенно звонят мошенники. Смело вешайте трубку.
Но не прощайтесь, просто прекращайте разговор. Иначе мошенник попытается найти способ продолжить общение и развеять ваши сомнения — и у него может получиться.
Перезвоните в банк. Если вы пришли к выводу, что общались с мошенником, сразу после звонка позвоните в банк или другую организацию, о которой шла речь, и расскажите о ситуации. Телефон возьмите из независимого источника, например с официального сайта или банковской карты. Звонок поможет организации усилить меры безопасности, а вам — подстраховаться на случай, если вы ошиблись.
Не раскрывайте персональные данные. Никому ничего не сообщайте, особенно если говорят, что им-то довериться можно. Вот что обычно спрашивают мошенники:
Настоящий сотрудник банка и службы безопасности:
Подключите определитель номера. Чтобы проверить, кому принадлежит номер, можно использовать сайты с базами нежелательных звонков: например, кто-звонит.рф, neberitrubku.ru или cheinomer.ru. Или еще проще: в Яндексе или Гугле вбить поисковый запрос «$номер_телефона + кто звонил». А еще можно сразу увидеть, кто звонит, если установить на телефон приложение-определитель.
Это не поможет в ситуации, когда мошенник подменяет номер, но отсеет хотя бы часть паразитов.
очень интересно. но меня смущает в тинькофф:
1. возможность выпуска qr кода для снятия наличных без всяких подтверждающих смс.
2. возможность смены номера телефона или кодового слова просто по звонку и оглашению паспортных данных.
3. уже ставшая еженедельной рубрика на vc о том, что люди просыпаются с утра, а денег нет. и отписки банка в комментариях, что все сами виноваты и все фродеры.
это не означает, что остальные банки лучше. это означает, что я трясусь над своими деньгами, постоянно ставлю лимиты, антивирусы, никогда не беру трубку при звонке из банков, а перезваниваю сама, чтобы никогда и ни при каких обстоятельствах не говорить с мошенниками. Но при этом я постоянно в состоянии тревоги из-за того, что в один прекрасный день я увижу пустой счет, а банк мне ответит, что я сама выпустила qr код, сняла нал на другом конце страны, а по историям входа видно, что приложением пользовалась только я.
fluff, тоже постоянно вижу весёлые истории на VC про тинькофф, после которых повышается тревожность и приходится становиться экспертом в информационной безопасности. Уже принял для себя, что банк дырявый, и по-хорошему нужно переходить в другое место частично или полностью (только не в альфу, которая ещё более дырявая и про которую столько же историй).
fluff, добавьте к этому участившееся блокировки и запросы о происхождение средств по 115 фз
fluff, у линька код подтверждения 4х значный, у того же сбера 6ти, с одной стороны удобней, но явно не безопасно.
fluff, у ВТБ тоже есть по куаркоду. до 10 тысяч в сутки.
Особенно классно слушать, когда звонят из Сбербанка, а у меня нет карты сбера вообще 🙂
Никита, +1
Нет карты сбера, зато они регулярно фиксируют подозрительную активность в интернет банке.
Никита, моему хорошему другу как-то позвонили из «Сбера» и сказали что сейчас с его счета снимают несколько тысяч. Он посмеялся, послал, на тот момент у него на счёте было ноль. Снимайте, господа!
Очень многие здесь пишут комментарии в стиле «Сразу понял, что это мошенник, но трубку вешать не стал, а решил поразвлекаться с ним». Так вот с такими «развлечениями» есть вероятность, что все ваши слова записываются, а потом из них сделают нарезку нужных фраз и с её помощью получат доступ к. к чему угодно, где используется анализ голоса и/или нужно сказать нужную фразу.
Простой пример: не знаю, как сейчас, а раньше у того же Тинькова, чтобы активировать карту, нужно было позвонить и просто ответить «да» на вопрос робота «Хотите ли вы активировать карту?». Сейчас это стало очень распространенной практикой, и уже почти в каждом банке вас встречает робот со словами «Просто скажите, что вам нужно».
В плохом случае, если вы действительно много наговорите мошеннику, и он это запишет, то можно нарезать фразы, а потом подкорректировать паузы между словами таким образом, что даже оператор-человек не догадается, что ему подсунули запись. И можете быть уверены, что за 7-10 минут разговора с мошенником вы точно несколько раз скажете слова «карта», «кредит», «банковский счет», «получить», «выпустить», додумайте сами.
Из-за этого мне даже пришлось менять привычки: раньше всегда брал трубку и говорил «да». Сейчас переучиваюсь, чтобы говорить «слушаю» или «алло». Также в принципе стараюсь не отвечать положительно на любые вопросы от незнакомых по телефону. Например, часто первым вопросом идёт: «Я звоню Такому-то Такойтовичу. Это вы?». Опять же приучаю себя говорить, например: «Это я» вместо «да» или «верно».
Поэтому совет: если поняли, что вам звонят мошенники, сразу вешайте трубку. Если пока не поняли, старайтесь говорить как можно меньше. Как минимум, не говорить фразы «да», «хорошо», «давайте» и не называйте сами свое имя и фамилию, даже если вам их уже сказали.
Ну и анекдот в тему:
— Это служба безопасности Сбербанка, ваш перевод заблокирован. Чтобы разблокировать его, возьмите карту и прочитайте номер на ней.
— Хорошо, взял. Записываете?
— Да.
— Семь.
— Так, дальше.
— Всё.
— Как всё? Какая у вас карта?
— Семёрка червей.
Константин, это ловко звучит на бумаге, но если вы попробуете провернуть такой трюк в реальности, то быстро поймете, что речь звучит неестественно. Посмотрите на ютубе, есть такой жанр видео на ютубе, называется RYTP, там как раз занимаются подобным.
А вообще, писал статью на эту тему. Если коротко, в банке не дураки сидят и понимают, когда с ними общается живой человек: https://journal.tinkoff.ru/ask/say-yes/
>> Настоящий сотрудник банка и службы безопасности:
>Знает ваши фамилию, имя и отчество.
>Знает последние 4 цифры номера вашей карты.
>Знает, сколько у вас денег на счете.
У большинства пользователей включен приём платежей через СБП, или внутрибанком, по комбинации того, что разные банки светят в СБП и во внутренние переводы часто можно собрать ФИО по номеру телефона.
Последние 4 цифры «основной» карты также иногда банки вполне светят.
(попросите родственников так вас своего рода «пробить» с использованием имеющихся у них банков, даже попросите кинуть рублик по номеру телефона и посмотрите что будет в уведомлениях, истории и выписке)
Про балансы. Не забывайте что мыж в России, и эти данные вполне покупаются-продаются. Реально ни один банк не может гарантировать, что ни один из его сотрудников/подрядчиков, кто имеет доступ к такой информации, не приторговывает ей.
Шквалы описанных в статье звонков в мой адрес случались довольно оперативно после первого платежа премиальной («лучше» чем у 90% пользователей этого банка) картой банка1, банка2 и банка3 в больших шмоточных.
И шмоточных не только российских. Один звонила вообще признался довольно конкретно откуда дровишки, назвав довольно точно сумму покупки включая биллинг-адрес. По опечатке в адресе я сразу понял из какого большого американского магазина пришла утечка.
Отсюда вывод. Принимайте решения из того, что ни последние 4 цифры, ни баланс, ни по крайней через ФИО не являются секретом для жуликов.
Во многих странах есть YellowPages.. и ничего. живут же люди.