Как защитить деньги на банковской карте

# Вопросы безопасности, Советы клиентам, Банки
Апрель 2017 г
SimbirSoftMobile

У любого человека, который пользуется банковскими картами, рано или поздно возникает вопрос о том, как снизить риск потери финансов с банковской карты. Прежде, чем ответить на эти вопросы, разберемся, как мошенники списывают денежные средства.

Чтобы вывести средства с карты, злоумышленнику достаточно знать номер вашей карты, срок действия карты и CVV/CVC, код.

Пользователи банковских карт в общей массе достаточно умны для того, чтобы не раскрывать перечисленные данные. Поэтому кардеры применяют более экзотические приемы кражи денег с карт. Оговорюсь, что в статье мы рассматриваем наиболее известные варианты кражи денежных средств. Рассмотреть абсолютно все невозможно: одной статьи для этого будет недостаточно, да и мы можем знать не о всех способах.

    Для простоты разделим методы злоумышленников на три категории:
  • Удаленные - связанные с программным обеспечением, мобильными устройствами и прочими гаджетами
  • Традиционные - физический или зрительный контакт с картой
  • Методы социальной инженерии - хитрость, обман, введение в заблуждение. Это вариации в духе "сын попал в аварию" и прочие приколы с авансовыми платежами через сайты объявлений.

  • Сегодня мы рассматриваем кражи с помощью высоких технологий.

Удаленные способы или получение банковской информации с помощью телефона

В роли инструмента может выступать как мобильное устройство жертвы, так и телефон преступника.
Некоторые банки предоставляют возможность перевода денег с помощью смс-сообщений на короткий номер (например, на номер 900). С помощью этой функции можно перевести деньги с карты одним сообщением на счет оператора сотовой связи или, например, карту ответственного члена рабочего коллектива собирающему на подарок коллеге.

Поэтому на территории СНГ набирает популярность увод денег с помощью перевыпуска сим-карт. Люди, как правило, довольно беспечно относятся к своим номерам и сим-картам: не понравился тариф - выкинул симку в мусорку. Операторы сотовой связи могут перевыпустить сим-карту с номером, на который был привязан мобильный банкинг бывшего клиента. Этим и пользуются негодяи. Это тем более актуально, учитывая, что сим-карта на сером рынке стоит около 10 рублей за штуку, а одноразовый телефон - 500 рублей.

Как уберечься

Перед тем, как перестать пользоваться номером - проверьте не привязан ли к нему мобильный банк.

    Есть и более технологичные способы, связанные с атакой на телефон жертвы:
  • Заражение телефона вирусом с последующим получением информации о карточках и перехватом кодов подтверждения
  • Продажа телефона с предустановленной программой-шпионом
  • Перехват трафика пользователя через беспроводные сети

Существуют атаки, от которых пользователь не может защититься самостоятельно, но они редки в связи со сложной реализацией. Например, распределенные атаки подбора на карты VISA. Карты, как правило, выпускают на срок до пяти лет (60 месяцев), а номер карты генерируется заранее известным алгоритмом. Злоумышленникам достаточно 60 запросов к интернет-магазинам, которые не удосужились позаботиться о безопасности пользователей, чтобы подобрать правильную комбинацию. CVV код состоит всего из трех цифр (1000 возможных вариантов), поэтому наличие базы таких магазинов позволяет подбирать нужные комбинации за секунды.

Как злоумышленники получают ваши данные

  • Пользователь установил программу на мобильное устройство, на котором также установлен банк-клиент или приходят СМС от банка. Программа оказалась шпионской. В дальнейшем злоумышленник имеет доступ к вашему мобильному устройству и данным банк-клиента. К сожалению эта проблема сегодня распространяется не только на ПО с сомнительных площадок, но и на вполне официальное.
  • Пользователь воспользовался чужим компьютером с уже установленным “зловредом” или же незнакомой wi-fi сетью, настроенной специальным образом. Данные для доступа к личному кабинету интернет-банка вполне вероятно стали общественным достоянием.
  • Покупка чего-либо в сомнительном интернет-магазине. Вполне возможно, что по итогу даже пришлют товар, но данные о карте уйдут не туда, куда бы вы хотели.

Как уберечься

  1. Не осуществляйте покупки в интернете на сомнительных площадках. Читайте отзывы о интернет-магазинах.
  2. Заведите себе специальную карточку для покупок и перед покупкой переводите на нее необходимое количество денег с основной карты. Основную карту не используйте в интернете вообще.
  3. Не подключайте мобильный банк или интернет-банк без необходимости, особенно если вы не пользуетесь ими.
  4. При выборе карты в банке берите ту, что имеет поддержку 3D Secure (все транзакции будут с подтверждением по SMS)
  5. Не используйте сомнительные Wi-Fi сети для работы с мобильным банком
  6. При покупке телефона с рук - сбросьте все данные, откатите его к заводскому состоянию ПО
  7. Когда отказываетесь от старого номера телефона, проверьте, отвязан ли от него мобильный банк.
  8. Jailbreak - основной канал доставки вредоносного ПО на iOS-устройства, а для Android - “рутирование”. Так ли Вам нужны эти права?
  9. Если банк позволяет, установите лимиты на максимальные суммы операций, осуществляемых через мобильный банк.

Физический уровень

Потеря карты

Многие пишут PIN-код карты прямо на карте и не затирают CVV. Здесь все просто и понятно: сразу звоните в банк и блокируйте карту, пока ей не воспользовались нашедшие.

Как уберечься

Никогда не пишите PIN-код на карте. Запомните его или запишите.
Перепишите CVV/CVC код в записную книжку, а сам код затрите или аккуратно заклейте непрозрачной клейкой лентой.
Разумеется, если вы передаете кому-то карту, вовсе не обязательно, что этот кто-то украдет ваши деньги, но такой сценарий вполне возможен и часто реализуется.

Как уберечься

Никогда не передавайте карту официантам, кассирам, администраторам и иным “должностным” лицам. Даже, если карта всегда находится в поле вашего зрения, злоумышленник может заранее установить скрытую камеру или другое оборудование (например, зараженный POS-терминал) и получить заветные комбинации цифр и букв карты без вашего ведома.

Неправильные банкоматы и терминалы оплаты

Скиммеры

Вы воспользовались "необычным банкоматом", на который без ведома сотрудников банка установили "скиммер". В этом случае работа с банкоматом будет штатной, вы не заметите ничего необычного, но злоумышленник получит трек-код вашей карты. Его считает накладка на картоприемник, а скрытая камера снимет пин-код. В дальнейшем злоумышленник выпустит копию вашей карты и воспользуется ей.

Как уберечься

Внимательно изучайте банкомат: если он выглядит не так, как в прошлый раз - лучше найдите другой, а еще лучше - позвоните в банк и сообщите об этом. Пользуйтесь банкоматами, которые расположены внутри филиалов банков - на них труднее установить навесное оборудование типа скиммеров.

Ливанская петля и вариации на эту тему

Мошенники подстраивают щель для карточек в банкомате таким образом, чтобы банкомат "зажевал" карту. Злоумышленник, изображая "доброго прохожего", советует жертве пару раз ввести PIN-код, чтобы получить карту обратно. Разумеется, банкомат не возвращает карту, прохожий уходит, а жертва остается ни с чем. После этого преступник достает специальным инструментом карту и, зная PIN-код, использует по своему усмотрению. Впрочем, узнать пин-код может помочь скрытая камера и банальное подглядывание из-за спины.

Как уберечься

Если банкомат зажевал или проглотил вашу карту – немедленно звоните в банк и блокируйте свой счёт.

Список можно продолжать довольно долго, изобретательность мошенников не знает границ. Тем не менее, если вы будете следовать простым правилам, то существенно снизите риск потери денег со счета.