На вашем счете 0 рублей. Как онлайн-покупки нас разоряют и что с этим делать
Поэтому мы решили разобраться, чем опасны онлайн-покупки и безналичный расчет как таковой, а заодно — как не стать той девочкой или тем мальчиком, которые заходят на сайт купить кеды, а покупают еще полный готический прикид и 10 футболок со Stranger Things, и потом им не на что обедать всю неделю. Незапланированные покупки в интернете — верный способ опустошить кредитку, хотя вроде бы никто, кроме самого покупателя, тут ответственности не несет. Как рассказывает руководитель интернет-магазина vezuvdom.ru Дмитрий Будневский, обычно покупки совершают лишь от 1 % до 5 % посетителей сайта онлайн-магазина, который, конечно, стремится конверсию увеличить. Помимо онлайн-чатов, кнопок с запросом на обратный звонок (инструменты, выводящие на прямое общение с продажниками) посетителю могут показывать информацию о том, что товара, который он смотрит, осталось мало. Типичная уловка интернет-магазинов из того же ряда — показать, что распродажа заканчивается, акция по бесплатной доставке действует последний день и т. п. Любого рода обратные отсчеты — это обычные инструменты вовлечения в покупки, довольно часто магазины не меняют их месяцами, так каждый день распродажа и «заканчивается». «Интернет привлекателен для продавцов контрафакта: обмануть покупателя легче, чем с глазу на глаз в обычном магазине, а анонимность в Сети позволяет скрыться от ответственности. С помощью хорошо сверстанного сайта, известного логотипа и изображений оригинальной продукции сбить покупателей с толку не составляет особого труда. Зачастую интернет-магазины мошенников выглядят не менее представительно, чем официальные», — комментирует Юрий Вопилов, генеральный директор Brand Monitor (компания специализируется на пресечении незаконного использования торговых знаков). Основные моменты, по которым можно выявить сайт с подделками, говорит эксперт, — это наличие огромных скидок (на сайтах официальных магазинов вне «черных» пятниц, понедельников и прочих скидки редко превышают 20–30 %), отсутствие эквайринга и наличие множества некликабельных позитивных отзывов якобы из соцсетей. Любопытно вспомнить, что на заре безналичных расчетов (первый «пластик» появился в США в конце 50-х) в этой сфере царила полная анархия. Действующие кредитки рассылались по почте, люди не очень понимали, что с ними делать, — хотя мошенники, конечно, сообразили быстро: достаточно пошарить по почтовым ящикам и набрать активных карточек, за траты по которым платить будешь не ты. «В итоге под давлением законодателей две платежные системы приняли решение руководствоваться принципом „клиент всегда прав“: в любой спорной или неоднозначной ситуации держатель карты мог вернуть свои деньги, — рассказывает Марк Хатин, руководитель департамента рисков ChronoPay. — Это не очень нравилось продавцам и банкам, на которых легла основная тяжесть убытков от мошенничества, но в итоге выиграли все: потребители получили удобный платежный инструмент, магазины — рост продаж, банки — комиссии за обслуживание и проценты по карточным кредитам, а две дальновидные платежные системы захватили международный рынок и стали всем известными Visa и Mastercard». В дальнейшем обе системы, прямо заинтересованные в том, чтобы поменьше проигрывать обокраденным клиентам в судах, начали работать над стандартами безопасности и ввели средства идентификации при помощи EMV-чипа и 3D-secure. Как говорит Марк Хатин, это привело к снижению мошенничества до единичных случаев: «Например, через платежный шлюз ChronoPay ежемесячно проходят десятки миллионов транзакций, за тот же период по ним поступает меньше пяти обращений от правоохранительных органов с подозрением на хищение денежных средств. Конечно, это слабое утешение, если не повезло именно вам». «У меня в поездке украли сумку с картой, паспортом и билетом на поезд, — рассказывает Елена. — Каким-то образом сняли все средства порциями по 500 рублей. Билет я с горем пополам смогла восстановить через дорожную полицию, но самое забавное, что с украденным билетом на посадку пришла и еще одна женщина, которая уверяла, что она — это я». В приведенных случаях мошенники не знали пина. Получается, номера карты и правда достаточно, чтобы увести деньги? Да. Во-первых, есть сайты (некоторые сервисы покупки билетов, например), на которых для подтверждения покупки не требуется вводить контрольный код, достаточно номера карты, Ф.И.О., срока действия и CVV, и то не всегда. «У мужа один раз с карты купили несколько авиабилетов по 1500 долларов каждый, — говорит Юлия (Калифорния). — Потом банк все вернул». Во-вторых, выяснить Ф.И.О. хозяина карты только по номеру в некоторых банках тоже не проблема: для карт некоторых банков достаточно перевести тому, чья карта, через онлайн-банк небольшую сумму. В России, например, такой схемой мошенники активно пользуются на сервисах – досках объявлений от частных лиц. «Я недавно зарегистрировалась на „Авито“, чтобы продать два детских комбинезона. Через 15 минут после того, как я вывесила объявления, мне позвонил какой-то мужик и выразил готовность купить оба. Немедленно. С самого начала очень жал, чтобы сразу перевести мне деньги, и просил номер карты, — рассказывает Марина. — Было почти 12 ночи, я удивилась: комбезы были на разный возраст, хорошие, конечно, но чтобы так… В общем, когда он в третий раз завел пластинку про карту, я насторожилась и сказала, что только утром. Повесила трубку. Утром прочла на том же „Авито“ статью, что „никогда не давайте номер карты незнакомцам“. Конечно же, никто не перезвонил». Для кражи личных данных существует множество способов — от перехвата сведений по Wi-Fi до методов социальной инженерии. По Wi-Fi данные крадут, например, по схеме «атака посредника», когда мошенники создают Wi-Fi-точку с открытым доступом, куда человек подключается, пользуется интернетом, возможно, вводит логины и пароли, говорит Марк Хатин. «Еще один способ — фишинг. Злоумышленники создают точную копию популярного интернет-магазина, который внешне отличается от оригинала, допустим, только одной буквой в адресной строке. Обманувшиеся покупатели вводят реквизиты своих карт и передают их прямо в руки мошенникам, но те не пытаются сразу же снять деньги, а передают их настоящей компании, сайт которой они подделали, — будто ничего не произошло. В результате покупатель получает свой товар и даже не подозревает, что его персональные данные уже похищены. Пока не деньги, а номер карты, ее срок действия, имя держателя, и код CVV». Хотя бывает, что вместе с личными данными крадут и деньги. Как рассказала москвичка Анна, с ней такой случай произошел при общении через сервис знакомств. Девушка познакомилась с симпатичным молодым человеком, русским врачом, живущим в Германии. «Много общались, содержательно, интересно. Потом парень попросил совета: что купить жене состоятельного друга. Через некоторое время написал, что решил подарить AppleWatch, благо деньги есть — да к тому же по акции смог взять 2 по цене 1. Теперь он хочет отправить собеседнице в Россию второй экземпляр — и даже уже отправил, осталось курьеру сообщить адрес доставки и телефон. «Меня такой поворот, конечно, напряг. Пишу, спасибо, не надо мне дорогих подарков, адрес не дала, а вот телефон да. Тут же — его письмо: адрес не обязателен, по номеру телефона меня уже нашла фирма — и действительно, на почту и телефон приходит информация о присланной посылке. Он пишет, что курьер мне позвонит и привезет домой, но есть одна проблема: за получение надо заплатить какой-то взнос. Пусть я не волнуюсь, он в посылку деньги уже положил. Просто надо сначала перевести эти деньги с карточки, а то посылку не привезут. У Анны уже был случай, когда за доставку надо было платить — только в тот раз незначительные сувениры подруге за границу отправляла она сама, и в какой-то момент подруга отправила подарок обратно, поскольку очень выросли тарифы за получение. Поэтому девушка ничего не заподозрила. «На скорую руку проверила, что есть такая курьерская служба, действительно популярная. Перевожу деньги — около 2000 рублей. При проведении платежа мелькнула странная надпись: вместо „оплачено“ или „платеж совершен“ — „платеж зачислен на вашу карту в Тинькофф банке“ (у меня нет счета в этом банке). А в форме получения посылки статус „неоплачено“ так и не меняется». Только через несколько дней Анна села детально разбираться в ситуации — и заметила, что сайт, на который прислал ссылку ее знакомец, немного отличается от сайта курьерской компании. «К вам может прийти спам, предлагающий бесплатные продукты, призы или товары по значительно сниженной стоимости. Чтобы „получать“ эти товары, придется зарегистрироваться на сайте, то есть оставить свои данные, вас могут попросить купить другие товары, прежде чем вы получите „бесплатный подарок“ или скидку», — приводит другие примеры фишинга Денис Путиков, специалист аналитического центра Falcongaze (занимается разработкой программного обеспечения в сфере информационной безопасности). Еще для кражи данных активно используются троянские программы, которые записывают, анализируют и передают мошенникам все нажатия клавиш (в этот момент хочется перестать писать статью дальше — Прим. авт.), которые могут содержать номера карт, пароли и логины, продолжает эксперт. Тогда в период продажи базы украденных карт может проходить проверка — выборочно с некоторых карт мошенники пытаются перевести небольшую сумму. Делается это для проверки актуальности базы». Адресат должен выглядеть невинно — довольно часто, говорит эксперт, переводы делаются на благотворительные организации. «Мы в Андорре покупали по карте аккумулятор для фотоаппарата в маленькой лавке — через несколько дней пошли попытки списания на 1 доллар в iTunes. Мы карту заблокировали и перевыпустили, ничего не списалось, — рассказывает Евгений. — В Мадриде на рынке у Мигеля как-то вытащили карту, мы сразу же перекинули все деньги на накопительный счет, все цело». Торговля через мобильные приложения тоже активно интересует киберпреступников — но тут, как говорит Денис Путиков, плюс для пользователя (потенциальной жертвы) в том, что безопасность приложений обеспечивают Google Play или Apple App Store — если вы их скачали там, разумеется. «Хотя сейчас Google и Apple находят в магазинах приложений сотни вредоносных программ, и некоторые зараженные программы все равно проходят через процесс проверки и попадают на мобильных устройства, этот способ онлайн-покупок все равно является более безопасным, чем пользование интернет-магазинами», — говорит эксперт. Типичные причины для подозрений: нетипичное место операции, короткий интервал между транзакциями, сумма покупки, сильно превышающая средний чек в этом магазине, многократно повторяющиеся списания на маленькую сумму. Тут тоже, конечно, могут случиться накладки — кому приятно оказаться с заблокированной картой и без наличных где-нибудь в Албании только из-за того, что решил развлечь себя покупками. «Если же банк ничего не заподозрил, а вам пришло уведомление об операции, которую вы не совершали, в т.ч. на незначительную сумму, — надо срочно звонить в банк и отменять операцию, блокировать карту, — говорит Марк Хатин. — Если мошенники смогли обойти все защитные механизмы и увести ваши деньги, то остается только обращаться в банк с заявлением о возмещении денежных средств по процедуре chargeback — банк должен вернуть вам деньги на основании правил международных платежных систем и пункта 15 статьи 9 Федерального закона № 161 „О национальной платежной системе“, если не будет доказано, что кража произошла исключительно по вашей вине — что в российской практике случается довольно часто». Но не всегда. «У меня год назад увели с карты 2000 долларов маленькими порциями, — рассказывает Мария. — Банк все вернул, но я замучилась заполнять заявления на каждые украденные 20 баксов». Вернуть средства можно, но это может быть долго и непросто. Вот, как говорит Денис Путиков, необходимый минимум гигиены при онлайн-покупках, который позволит свести риски к минимуму: «Устанавливайте приложения только от Adobe, Microsoft, Apple и т.д. Создавайте сложные пароли. Убедитесь, что ваше интернет-соединение безопасное. Вручную вводите адрес сайта интернет-магазина. Никогда при покупках не пользуйтесь компьютером в общем доступе.