Карточные мошенники продолжают одурачивать украинцев. Как сообщили банкиры, львиная доля средств похищается с карточных счетов граждан после предоставления злоумышленникам информации непосредственно потерпевшими.
«Если условно сегментировать потери клиентов от основных способов мошенничества, то на телефонный фишинг приходится около половины всех заявленных в 2015 г. клиентами потерь. Еще 30% потерь приносят фишинговые сайты и 20% остальные виды мошенничества», — рассказал нам руководитель по безопасности технологий розничного бизнеса Альфа Банка (Украина) Сергей Досенко.
Обе технологии (телефонный фишинг и фишинговые сайты) направлены на получение данных о платежной карте непосредственно от ее законного держателя. После этого, полученная информация используется мошенниками для несанкционированного проведения операций в интернете (переводы «карта-карта», пополнение счетов мобильных телефонов и т.п.). При этом технологии принципиально отличаются методами обмана.
Фишинговые сайты — технологичный продукт кибермошенников. «Если раньше «киберфишеры» заманивали доверчивых пользователей письмами, то сейчас активно используются рыночные технологии продвижения интернет-сайтов», — отметил «Вестям» Досенко. Пытаясь найти бесплатный способ оплаты услуги (самый популярный запрос — пополнение счета мобильного телефона), человек попадает на фишинговый сайт. Такой сайт входит в ТОП-список наиболее популярных среди поисковых систем Сети.
Телефонный грабеж
Что касается телефонного фишинга, то здесь все намного проще: пользователь сам, хоть и неосознанно, предоставляет всю информацию для совершения платежа, или даже перечисляет свои средства как добровольный взнос. Технология «телефонной беседы» может быть хорошо спланирована, например, когда используется реальное объявление пользователя на сайте интернет-продаж. А может носить и примитивный характер, вплоть до звонков на случайный телефонный номер, владелец которого статистически может быть держателем платёжной карты любого банка Украины. Иногда мошенники представляются сотрудниками банков.
«Действительно, сейчас мошенники активно используют очень простой и популярный способ получения данных по карте клиента: они звонят клиенту напрямую, представляясь сотрудниками банков, и узнают их данные: номер карты, срок действия и CVV2 код. Увы, многие люди подвержены такой опасности», — сказал «Вестям» начальник сектора мониторинга и расследования мошеннических операций ОТП Банка Алексей Думинюк.
Кризис и события на востоке страны, по словам банкиров, создали еще более благоприятные условия для развития социальной инженерии, и телефонного фишинга в том числе. Люди, проживающие на территориях Донецкой и Луганской областей, не имеют возможности полноценно пользоваться платежными картами. В поиске способа получения наличных денег они вынуждены обращаться к сомнительным посредникам. «А те, в свою очередь, не брезгуют копированием и использованием данных о платежной карте, которую получили во временное пользование. Также местные магазины принимают оплату за товары и услуги через интернет-кошельки, используя для этого ненадежные и незащищенные электронные хранилища информации», — сетует Сергей Досенко.
Осторожно — банкомат
Помимо вышеуказанных методов, не забывают мошенники и о хорошо известном скимминге — копировании данных магнитной полосы платежной карты и ПИН-кода к ней с помощью микрокамер размещенных непосредственно в местах нахождения банкоматов. Хотя, по словам банкиров, количество таких махинаций в последние годы снижается.
После массовой компрометации платежных карт в 2013-2014 гг. (в том числе в Европе и США), банки Украины значительно нарастили эмиссию карт с микропроцессорами. Прежде всего, речь, конечно же, идет о гибридных картах, оснащенных магнитной полосой и чипов одновременно. Это позволило значительно снизить потери клиентов. «Но также это вынудило мошенников всерьез заняться селекцией карт и использовать дубликаты «гибридных» карт в тех странах, где не придерживаются стандартов обслуживания карт с микропроцессорами (прежде всего, речь идет о правилах переноса ответственности, так называемого liability shift)», — поясняет Досенко.
Помимо этого дельцы используют так называемый кэш-траппинг. «Дословно это переводится как «захват денег». В основе этого способа лежит установление накладки, которая блокирует «шторку» устройства, выдающего наличность из банкомата», — рассказал «Вестям» начальник службы информационной безопасности УкрСиббанка BNP Paribas Group Андрей Моршнев. Человек, пытающийся снять деньги в таком банкомате, не может их получить и отходит от терминала, а тем временем злоумышленники с легкостью забирают «застрявшие» купюры.
На страже денег
Банкиры уверены — объемы мошеннических операций будут расти пропорционально вместе с увеличением объемов операций по картам в целом. «Сейчас почти у каждого есть платежная карта и почти каждый проводит с помощью нее операции, и не только в банкомате. Люди понимают, что это удобно», — заметил Алексей Думинюк.
При этом работа правоохранительных органов в этом сегменте довольно специфична. «Результат здесь не в статистике, а в общей ситуации. Совместными усилиями правоохранительных органов и банков удалось подавить два наиболее опасных проявления кибермошенничества: банкоматный скимминг и киберхищения через системы дистанционного банковского обслуживания юридических лиц», — подчеркнул Сергей Досенко. Если же говорить о превентивных действиях банков, то, по его словам, даже по тем картам, где мошенникам удалось провести первые успешные операции, финансистам чаще удается сохранить клиентам средства. «При этом только в одном случае из десяти мошенникам удается провести успешные операции, а общая сумма сохраненных клиентам средств в 20 раз больше заявленных потерь», — добавил он.
Для предотвращения мошенничества банкиры создают специальные подразделения, системы мониторинга и многое другое. «В банкоматах используются уникальные антискимминговые устройства пассивного и активного типа, улучшается безопасность программ внутри банкоматов, проводится круглосуточный мониторинг подозрительных операций, устанавливаются лимиты на операции в любой конфигурации суммы, валюты, времени, размещаются заставки на банкоматах с эталонным изображением его лицевой части без скиммингового устройства», — перечисляет Андрей Моршнев. В системе интернет-банкинга также используется широкий спектр бесплатных для клиентов мер безопасности. «Это и разовые пароли, и «токены» для хранения секретных ключей. Мы постоянно мониторим все подозрительные операции по каждой карте, в том числе за рубежом, и информируем человека о любом событии со счетом, которое вызывает у нас сомнение», — говорит он.
Также, как упоминалось ранее, с целью повышения безопасности проведения операций с банковскими картами, финучреждения выпускают EMV-карты. Это карты, в которых используется чип-технология, которая позволяет минимизировать возможность компрометации информации о карте. «Также банки принимают участие в программе 3D Secure, обеспечивающей максимальную безопасность при оплате товаров и услуг в сети интернет», — рассказала «Вестям» начальник управления платежных систем VTB Bank (Украина) Светлана Ладугина.
На банк надейся, а сам не плошай
Но банкиры отмечают: основные меры предосторожности должны все-таки предпринимать сами владельцы пластика. Их просят соблюдать самые простые правила: установление лимитов на основные типы операций, и блокировка карты через интернет-банкинг. И, конечно же, нужно всегда помнить о том, что нельзя сообщать третьим лицам свои персональные данные (пин-код, CVV-код).
Если же человек обнаружил хищение средств с карты, ему нужно сразу же обращаться в банк. «Мы можем заблокировать подозрительный перевод средств и вернуть деньги на счет клиенту. Здесь многое решает оперативность реагирования, поэтому, чем быстрее владелец счета заметит «утечку», тем больше шансов у банка не дать возможность мошеннику завладеть деньгами», — резюмировал Андрей Моршнев.