02.02.2014

Эксперт: У мошенников достаточно техсредств для кражи денег с банковской карты

Киберпреступники, ворующие деньги с карточек ничего не подозревающих граждан, уже стали в Украине своеобразной легендой. Их мало кто видит. Но вот результаты их деятельности весьма плачевны и проявляются в виде серьезно уменьшенного количества денег на счетах клиентов без объективных на то причин. И не важно, лежали ли на карточке «резервные» пара сотен гривен или сумма, которой хватило бы на новый автомобиль. При этом вернуть свои «кровные» практически невозможно – деньги испаряются в неизвестном направлении. Усугубляет проблему тот факт, что люди частенько сами дают аферистам «ключ от квартиры, где деньги лежат», игнорируя наипростейшие правила безопасности.

О том, что стоит знать о возможностях мошенников и элементарных методах защиты от них, ForUm`y рассказал член Комитета Независимой ассоциации банков Украины по вопросам банковской инфраструктуры и платежных систем Александр Третяк.

– Какой процент краж денег с банковских карт клиентов, по статистике, приходится на те случаи, когда большая степень вины лежит на самом человеке?

– Точной статистики нет. В принципе, каждый случай несанкционированного доступа к средствам клиента в той или иной степени обусловлен игнорированием им правил пользования платежной картой и элементарных мер собственной безопасности. Мошенники постоянно усовершенствуют свои методы, от которых клиенту довольно сложно самостоятельно защититься.

– А зависит ли вероятность атаки от того, какая сумма находится на счету?

– Не зависит. В большинстве случаев мошенники даже не знают, сколько денег на счету. Атаки нацелены не на конкретного клиента и не на конкретный счет. Целью мошенников является получение доступа к максимальному количеству карточных счетов.

– Какие нарушения правил безопасности со стороны клиента наиболее распространены?

– Для начала необходимо разобраться, какие операции с картами доступны клиенту и, соответственно, мошеннику. Условно их можно разделить на операции по снятию наличных и торговые операции, например, оплата товаров или услуг. Снятие наличных всегда происходит при наличии карты, а вернее, считывании данных карты каким-либо устройством, например, банкоматом. Также такие операции всегда подтверждаются вводом пин-кода. В этом случае достаточно распространенным нарушением со стороны клиента является несохранность пин-кода. Часто клиенты записывают его в мобильные телефоны, реже у них вместе с картой хранится бумажка с записанным пин-кодом либо даже пин-конверт, который они не уничтожили.

Операции по снятию наличных для мошенников более сложная процедура, поскольку нужно с магнитной полосы считать данные карты, а для этого необходимы технические средства и пин-код. Тем не менее, несмотря на то, что для мошенников более привлекательны операции с наличными, они предпочитают операции, проводимые в Интернете без присутствия карты. В самом простом случае для подтверждения такой операции достаточно внешних данных карты: ее номера, срока ее действия и кода CVV2, который находится на обратной стороне карты. Как правило, именно эти данные клиенты не защищают. Мы привыкли отдавать карту в руки официанту в ресторане, отправлять ее копию по электронной почте при бронировании гостиницы, не смотреть на то, что делает с картой кассир в супермаркете. Это дает посторонним людям массу возможностей запомнить, сфотографировать, переписать внешние данные карты, ее реквизиты.

– Есть ли правила, которые нельзя нарушать в принципе? Почему?

– По сути, существует одно главное правило – максимально ограничивать доступ посторонних к данным своей карты. Прежде всего, речь идет о реквизитах (срок действия, номер, код CVV2) и, конечно же, пин-коде.

– Стоит ли заводить отдельную карту для расчетов в Интернете?

– Да, это будет очень действенной мерой. Особенно это полезно для тех людей, которые, во-первых, часто рассчитываются в Интернете, а во-вторых, это хорошо для тех, у кого на основном карточном счету имеются достаточно большие суммы. В этом случае разумно иметь две карты, одна из которых предназначена исключительно для расчетов в Интернете. Не лишним будет также установить на такой карте лимиты на необходимые суммы. Также можно полностью блокировать проведение любых операций в сети по такой карте, а активировать ее только на момент расчета.

– Иногда в сети приходится публиковать номер карты, например, благотворительные сборы средств и прочее. Может ли это привести к потере денег?

– В этом случае самого по себе номера карты недостаточно для проведения каких-либо операций. Кроме него обязательно запрашивается срок действия и CVV2 код. То есть, разместив в сети один лишь номер карты, клиент не подвергает себя опасности. Однако необходимо помнить о сохранности остальных реквизитов.

– А что нужно делать, чтобы, к примеру, кассиры или официанты не могли воспользоваться его беспечностью?

– Чтобы быть полностью уверенным, клиент должен проследить за действиями, скажем, официанта. То есть нужно видеть, что делают с вашей картой. И вы имеете на это полное право. Например, у вас есть право требовать, чтобы POS-терминал принесли за столик и осуществляли операцию непосредственно перед вами. Но можно и подойти к кассовому узлу и посмотреть, что делают с картой, хотя это и не всегда удобно для самих клиентов. Потому есть одна маленькая хитрость. Код CVV2, три цифры на обороте карты, можно заклеить или закрасить маркером, предварительно запомнив или записав. Это не будет нарушением со стороны клиента, но обезопасит его. Когда операция, проводимая в POS-терминале, требует подтверждения пин-кодом, то его ни в коем случае нельзя говорить официанту. Пин-код нужно ввести собственноручно и принять меры, чтобы его никто не увидел.

– Какие действия посторонних должны насторожить клиента, если, по его мнению, происходит что-то не то?

– Например, когда официант забирает вашу карту в счете и уносит ее, мы не видим, что он с ней делает. Но бывает, что операция совершается при нас. В таком случае нас должно насторожить, если официант слишком пристально рассматривает карту с обеих сторон, пытается как-то запомнить данные карты. Бывают случаи, когда в ресторанах и других местах, где используются POS-терминалы, персонал пытается считать данные магнитной полосы карты. Если магнитной полосой карты провели через какое-то постороннее устройство, это также повод для беспокойства.

– В последнее время ведется много разговоров о скимминговых устройствах. Насколько они в действительности распространены в Украине?

– Реальных цифр, которые бы свидетельствовали о том, сколько банкоматов было оборудовано скимминговыми устройствами, нет. А те цифры, которые нам доступны, скорее всего, занижены. Просто достаточно часто банки не афишируют эту информацию или даже не видят смысла ее публиковать без злого умысла. Для многих маленьких банков эта тема вообще нова. Но в целом, можно наблюдать тенденцию к росту. Если сравнивать 2012-й и 2013 годы, то виден несомненный рост использования скимминговых устройств.

Сегодня мошенники имеют возможности для изготовления очень качественных скиммеров. На протяжении 2013 года очень эффективной мерой противодействия такого рода мошенничеству была установка банками так называемых антискимминговых накладок. То есть это устройство, которое сам банк устанавливает на картоприемник. Оно механически препятствует установке скиммера. Сейчас же мошенники научились изготавливать скиммеры, которые приспособлены для установки поверх антискиммеров. Повторюсь, они изготавливаются достаточно качественно. Мошенники используют материалы, которые очень похожи на те, из которых сделан банкомат, окрашивают устройства в соответствующие цвета. Бывают случаи, когда идентифицировать скиммер сложно даже профессионалам и сотрудникам банка. Что уж говорить о клиентах.

– Неужели скиммеры так легко установить?

– Установка скиммера занимает не больше одной минуты. В людных местах на это никто не обращает внимания. Очень тяжело понять, устанавливает ли кто-то накладку на картоприемник или просто пользуется банкоматом. Например, накладку с продетой в нее картой носят в кармане, а при установке мошенник делает все те же движения, что и обычный клиент. Плюс, могут быть сообщники, которые создают толпу, очередь, которая заслоняет человека, устанавливающего скиммер. Точно так же из кармана или рукава достается замаскированная видеокамера, которая при помощи магнитов устанавливается так, чтобы можно было видеть клавиатуру, на которой вводится пин-код. Непрофессионалу очень сложно отличить посторонние устройства от штатного устройства банкомата, поэтому банки стараются регулярно проводить осмотр банкоматов сотрудниками.

– Как в таком случае искать безопасные банкоматы?

– В принципе, прикрыв рукой клавиатуру при вводе пин-кода, клиент себя уже обезопасит. Без пин-кода данные, считанные с карты, абсолютно бесполезны для мошенников. Воспользоваться этой информацией они не смогут. Для клиента такое поведение должно стать правилом, даже если банкомат находится в условно безопасном месте. Я бы советовал клиентам обращать больше внимания не на внешний вид банкомата, а на качество крепления всех устройств. К примеру, банки устанавливают антискимминговые накладки так, чтобы они были защищены от вандалов, чтобы их было непросто демонтировать. Мошенники же, напротив, делают свои устройства так, чтобы их можно было максимально быстро снять. Нелишним будет подергать устройство на картоприемнике. Если оно останется у вас в руках, то этим банкоматом пользоваться не стоит, а необходимо сражу же сообщить о таком случае в банк.

– Реально ли вернуть хотя бы часть средств, которые были украдены мошенниками?

– Когда в той или иной мере имеет место неосторожность, халатность клиента, то здесь вопрос возврата денег за счет средств банка решается индивидуально каждым банком. Такие моменты рассматриваются в рамках проявления лояльности к клиенту. Каких-то единых критериев здесь нет. Возможно, это может зависеть от степени сложности мошенничества, от того, насколько сложно клиенту было обезопасить себя. Например, скимминговые устройства сложно опознать, они установлены мошенниками профессионально, и, как ни крути, банкомат является собственностью банка, что означает определенную степень ответственности. Несомненно, все операции, которые оспариваются клиентами и по правилам МПС подлежат возмещению, банк обязан расследовать. МПС – это единые правила международных платежных систем, которые обязательны для выполнения всеми банками. Это служебный документ для внутреннего пользования, которым должны руководствоваться банковские сотрудники. Согласно МПС, операции, подтвержденные пин-кодом, не подлежат оспариванию в платежных системах, потому что ввод пин-кода считается первичным признаком того, что операцию совершил клиент.

Источник: for-ua.com