Карта бита. Основные приемы мошенников с банковскими картами
МОСКВА, 9 сен — РИА Новости, Мария Салтыкова. По данным ЦБ на начало этого года, на одного жителя России приходилось примерно две банковских карты. Одновременно растет и число случаев мошенничества с ними. Какие основные способы кражи денег со счетов используют преступники и как избежать воровства, — в материале РИА Новости. 1. Скимминг Термин "скимминг" происходит от английского "skim" — "собирать сливки". Мошенники устанавливают на банкомат специальное устройство — скиммер, который копирует все данные с магнитной полосы карты. А если преступники установят мини-камеру или накладку для клавиатуры, они могут получить и пин-код. Устанавливать скиммеры могут не только на банкоматы — ими может воспользоваться и продавец магазина, где человек расплачивается карточкой. Как защититься: Во-первых, перед использованием внимательно осмотреть банкомат: нет ли на нем странных конструкций — вмонтированных мини-камер или накладной клавиатуры. Особенно осторожно большинство специалистов советуют пользоваться уличными банкоматами: там мошенникам проще установить считыватель или записать на камеру, как жертва набирает пин-код. При наборе пин-кода необходимо всегда прикрывать клавиатуру рукой. Более безопасными при этом считаются банкоматы с "крыльями" для клавиатуры: они затрудняют установку лжеклавиатур и практически полностью исключают возможность записи пин-кода на скрытую камеру. Кроме того, надо подключить SMS-оповещение обо всех операциях по счету — тогда удастся быстро отреагировать на внезапные списания. Также можно поставить лимит на снятие крупных сумм наличных — так мошенники не смогут снять все деньги за один раз. 2. Фишинг Фишинг, или подтверждение данных, — мошенничество, которое не связано напрямую с картами. В этом случае клиенту пишут или звонят якобы из банка с просьбой подтвердить конфиденциальную информацию. Выглядит это так: владельцу карты по телефону сообщают, что по счету проведены сомнительные транзакции и нужно подтвердить данные, чтобы карту не заблокировали. Для этого просят назвать CVV-код, после чего с легкостью снимают деньги со счета. Злоумышленники также часто подделывают сайты банков: в этом случае держатель карты получает письмо "от банка" и переходит по указанной в нем ссылке. После этого от него требуют ввести логин и пароль. Распознать обман бывает нелегко: мошенники используют логотипы и копируют стиль банковского учреждения до мелочей. Как защититься: Не доверять сообщениям, где просят указать персональные данные, и уж точно не надо называть свой CVV-код. В этих случаях лучше связаться с банком самому и уточнить информацию. Кроме того, следует регулярно обновлять антивирусное ПО, отвечающее за доступ к сайтам. 3. Фарминг Этот способ получил свое название от английского "farming" — "занятие сельским хозяйством". Персональные данные пользователя фармеры получают не из электронной почты, а через официальные веб-сайты. Мошенники меняют адрес страницы банка на поддельный на DNS-серверах и перенаправляют клиента на свой сайт. Перейдя по ложной ссылке, кроме этого, можно загрузить себе вирус или шпионскую программу. "Фарминг — по сути, усовершенствованный технически фишинг. "Схожесть поддельных страниц у мошенников уже 100%-ная", — говорит руководитель группы исследования и анализа мошенничества "Лаборатории Касперского" Денис Горчаков. Несмотря на свое совершенство, по данным "Лаборатории", сейчас эта технология понемногу отходит у преступников на второй план. Дело в том, что атаки на пользователей с помощью фарминга требуют от злоумышленников определенных действий. Современные киберпреступники немного ленивы: у них "есть тенденция на упрощение и удешевление атак, снижение их технической сложности", объяснил Горчаков. "Известные нам фарминг-активности на данный момент исчезают в России и появляются на территории соседних стран", — указал он. Как защититься: По словам Горчакова, для защиты лучше использовать специальное ПО, которое умеет распознавать внесение несанкционированных изменений в настройки операционной системы. Такое ПО при этом должно содержать антивирусные и антифишинговые компоненты одновременно. 4. "Ливанская петля" (траппинг) Этот экзотичный метод был изобретен в Ливане — с его помощью мошенники охотятся не за данными, а за самой банковской картой. Выглядит это так: клиент банка думает, что вставляет карту в банкомат, но в реальности вводит ее в заранее подготовленный преступниками "конверт" из фотопленки или чего-то подобного, где она тут же застревает. Пользователь не замечает этого, вводит пин-код, а после этого не может забрать карту назад. Как только он уходит, мошенник быстро извлекает карту с "конвертом" из пленки. Стоит отметить, что для установки "ливанской петли" обычно выбирают банкоматы, которые находятся далеко от отделения банка, — чтобы клиент не успел оперативно сообщить об этом его сотрудникам. Как защититься: Если карта застряла в банкомате, прежде чем уйти от него, надо заблокировать карту по телефону или с помощью СМС-команды на включенном мобильном банке. От посторонней помощи в этом случае лучше отказаться. Часто мошенники представляются сотрудниками банка и предлагают ввести при них пин-код — настоящие банковские специалисты этого не требуют. 5. Мошенничество с помощью третьих лиц Стать жертвой обмана у банкомата можно и с помощью чужой банковской карты. Обычно это происходит так: мошенники копируют данные с чьей-либо карты, а затем предлагают другому человеку снять средства с дубликата за небольшую плату. Ничего не подозревающей жертве обнальщиков выдают белую карту без картинки и эмбоссированного имени, с которой он должен будет снять деньги и передать их "заказчику". Несмотря на борьбу правоохранительных органов с этим явлением, объявления о наборе таких "ассистентов" до сих пор встречаются в интернете. "Конечно, это противозаконно, но если следовать мерам безопасности, то никаких проблем не возникает. Со многими дропами (обнальщиками) мы работаем не один год, никаких проблем ни у кого не было", — сообщают на одном из сайтов мошенники. В действительности помощнику обнальщиков грозит уголовная ответственность как соучастнику преступления. В качестве доказательства вины правоохранительные органы обычно используют изъятый дубликат карты и запись с видеокамер у АТМ. Как защититься: Избегать подобных предложений и просьб. В случае если незнакомец обращается за такой помощью рядом с банкоматом, не соглашаться: лучше прослыть невоспитанным, чем оказаться обманутым. 6. Вредоносное ПО в банкоматах Новый вирус, атакующий банкоматы, появился в России в начале этого года — о нем рассказал замначальника ГУБЗИ ЦБ Артем Сычев. Согласно источникам "Коммерсанта", получившим информацию о проблеме в рассылках FinCert, речь идет о так называемом бестелесном или бесфайловом вирусе, который "живет" в оперативной памяти банкомата. При введении заданного кода он выдает всю наличность из первой кассеты диспенсера, где хранятся самые крупные купюры (номиналом в одну или пять тысяч рублей) — 40 штук. Отмечалось, что поражены были устройства крупнейшего производителя банкоматов — NCR, поэтому опасность может представлять банкомат любого банка. "Лаборатория Касперского", впрочем, позже опровергла эту информацию. Представитель "Лаборатории" тогда сообщил РИА Новости, что атаки на банкоматы ранее действительно наблюдались, но вредоносное ПО не имело отношения к бесфайловым вирусам. Как защититься: Большинство специалистов в области информационной безопасности уверяют: клиентам в данном случае беспокоиться особо не о чем. При данном виде атак деньги похищаются именно из банкомата, а не с карт и счетов пользователей. Биометрия в банкоматах: безопасно ли будущее С начала этого года ряд российских банков из топ-50 начал тестирование новой технологии — биометрической идентификации пользователей. С ее помощью клиентов будут распознавать по голосу, изображению лица и отпечаткам пальцев. Среди банков, уже приступивших к экспериментам в этой области — Сбербанк, "ВТБ 24", Тинькофф-банк, "Открытие", Промсвязьбанк, "Хоум Кредит", Модульбанк и Росевробанк. Так, в Сбербанке пилотный проект по идентификации банкоматом клиента по лицу стартовал в июне 2017 года. В его рамках в Agile-офисе Сбербанка размещен банкомат с возможностью выполнения всех безналичных операций, доступных в личном кабинете для всех сотрудников банка. Как сообщили РИА Новости в пресс-службе банка, итоги проекта подведут в конце этого года, после этого банк подумает, стоит ли тиражировать эксперимент. По данным пресс-службы, для построения трехмерной модели человеческого лица выделяют контуры глаз, бровей, губ, носа и других элементов лица, а затем вычисляют расстояние между ними. Для определения уникального шаблона, соответствующего определенному человеку, требуется от 12 до 40 характерных элементов. Шаблон должен учитывать множество вариаций изображения на случаи смены выражения лица, наклона, поворота и изменения освещенности. После его создания с помощью сотрудников банка человек сможет нажать на кнопку "Обслуживание по биометрии" на банкомате и выполнить необходимые операции. Специалисты по информационной безопасности, впрочем, отмечают, что подобные методы тоже не лишены недостатков. "Главное, чтобы идентификация (узнавание) оставалась идентификацией, а не превращалась в аутентификацию (определение подлинности)", — говорит Горчаков из "Лаборатории Касперского". По его словам, "биометрические системы — вещь удобная, однако статистически вероятность ошибки в них гораздо выше, чем при использовании традиционных механизмов". Это может помочь банкам дополнительно убедиться в достоверности личности их клиента, заранее узнать его. Но аутентифицировать пользователя надо в любом случае с использованием более надежных способов, уверен эксперт.