Кардинг, фишинг и скимминг: что это и как защитить свои средства?

Мошеннические схемы то и дело претерпевают изменения. Согласно обзору ФинЦЕРТа, объем несанкционированных операций, совершенных с использованием платежных карт, эмитированных на территории РФ, в 2018 году составил 1,4 млрд рублей, что на 44% больше, чем в прошлом году. По данным Генпрокуратуры, количество выявляемых в России киберпреступлений за шесть лет выросло почти в 16 раз, до 174 тысяч (сюда входят и незаконные операции с картами). Владельцам важно сохранять бдительность и не попадаться на уловки мошенников. Разберемся, с какими видами кардинга можно столкнуться и как защитить свои средства. Кардинг Термином кардинг (carding) называют мошеннические операции с платежными картами (реквизитами карт), не одобренные держателем карты. Кардинг включает в себя различные способы обмана законных владельцев материальных средств. Алексей Сизов, начальник отдела по противодействию мошенничеству Центра прикладных систем безопасности «Инфосистемы Джет», выделяет три базовых направления мошеннических действий: Кража или незаконное получение карты — это либо физическое воздействие на владельца, либо поиск уязвимости в процессе выдачи, доставки или оформления банковского продукта и использование карты злоумышленником. Компрометация данных карты для последующего изготовления подделки. В первую очередь речь идёт о копировании данных магнитной полосы карты и краже PIN-кода. Наиболее широко этот вид мошенничества был распространен до массового перевода карт на чиповые технологии. Сегодня такая схема встречается редко, так как в России около трёх лет назад ввели запрет на выпуск нечиповых карт, а почти по всему миру действует Chip Liability Shift — обязанность банка-эквайера обслуживать карту с чипом именно по чипу. Компрометация реквизитов карты для совершения операций CNP (без присутствия карты). Яркий пример — оплата покупок или услуг в интернете. Конечная цель преступников во всех случаях — получить доступ к деньгам. Для реализации своих замыслов мошенники изобретают весьма хитрые схемы, нередко пользуясь доверчивостью и невнимательностью граждан. Один из популярных способов обвести вокруг пальца собственника карты — это фишинг. Фишинг Фишинг (phishing от англ. fishing — рыбная ловля, закидывание удочки) — буквально выуживание реквизитов карты у ее держателя. Примечательно, что необходимые данные передает сам владелец. Как правило, прибегают к нескольким видам фишинга. СМС-фишинг На телефон отправляют сообщение: о блокировке карты, якобы от имени банка и номером телефона, позвонив по которому, можно решить проблему; о выигрыше, забрать который можно, заплатив за доставку. Вариаций смс-фишинга масса, но все они сводятся к предложению передать данные карты. В таких случаях нужно проявить бдительность. Если поступили сведения о блокировке, следует звонить в банк по официальному номеру, а подлинность сообщения о выигрыше уточнить, связавшись с магазином или сервисом, проводящими акцию. Фото: Лаборатория Касперского Интернет-фишинг Мошенники создают фишинговые (поддельные) страницы, имитирующие официальные сайты банков, платежных сервисов или магазинов, меняя в названии несколько букв или знаков. Увы, далеко не все внимательно проверяют веб-адрес, смело кликая на ссылку. Нередко злоумышленники заманивают на фишинговые сайты, отправляя поддельные электронные письма, составленные техподдержкой банка, скажем, о блокировке карты. Под предлогом проверки информации о держателе они просят ввести все реквизиты, узнав которые, беспрепятственно получают доступ к деньгам. Выманивают данные и прикрываясь продажей товаров. Прежде чем оставлять реквизиты карты на сайте, нужно тщательно сверить веб-адрес с официальным названием магазина, сервиса или платёжной системы, а также проверить ссылки, находящиеся на странице: если ресурс фишинговый, скорее всего, они не работают. Когда нужно воспользоваться сайтом кредитной организации, лучше сразу обратиться к официальному перечню, размещенному на сайте ЦБ. Вишинг Вишинг (англ. vishing — от voice phishing) идентичен фишингу, с той только разницей, что злоумышленники звонят по телефону, представляясь сотрудниками банка, покупателями товаров и так далее, таким образом пытаясь выманить у держателя PIN-код или заставить его совершить определенные действия со счетом. Владельцу карты нужно помнить, что сотрудники банка не требуют сообщить PIN-код, а в случае блокировки карты скорее всего предложат подъехать в офис лично. Покупателям товаров в принципе ни к чему знать конфиденциальные данные о карте продавца, поэтому просьбы сообщить такие сведения должны насторожить. Скимминг Еще один метод, которым активно пользуются мошенники, это скимминг. Скимминг — это копирование данных платежной карты с помощью специального устройства (скиммера). Данные карты считываются, когда владелец вставляет ее в банкомат. Для получения PIN-кода злоумышленники устанавливают мини-камеры или накладки на клавиатуру. Фото: Tgraph.io Шимминг Шимминг — это модернизированная разновидность скимминга. Схема обмана аналогична: со вставляемых в банкомат карт считываются все важные данные, отличие лишь в том, что визуальных признаков присутствия «шима» внутри аппарата нет. Мошенники вместо весьма громоздких и визуально заметных накладок на картоприемник используют тонкое, гибкое, практически незаметное устройство, которое располагается внутри картридера. Оно считывает данные карты, используемые впоследствии злоумышленниками. Поддельные банкоматы Иногда мошенники создают поддельные банкоматы, оставляя их в неохраняемых местах. Такие устройства внешне полностью копируют настоящие, а вот «начинка» содержит встроенный компьютер с установленной на него системой, скиммер и накладки на клавиатуру. Жертва вставляет карту, пытается совершить какие-то действия, но банкомат выдает ошибку. Человек забирает карту, но вся информация с нее уже считана. Попасться на удочку злоумышленников можно не только пользуясь банкоматом, но и расплачиваясь картой, скажем, в ресторанах или магазинах. Алгоритм схож: официант, продавец или кассир, могут использовать скиммер или переносное устройство, прикрепленное к терминалу. Защититься от скимминга можно, если пользоваться банкоматами, находящимися в отделениях банков. Уровень защиты в кредитных организациях в разы выше, и установить считывающие устройства там намного сложнее. Ну а когда возможности обратиться в отделение нет, старайтесь выбирать банкоматы, стоящие под камерами, в охраняемых местах. Визуально проверяйте аппарат, скажем, накладку на картоприемник: если она шатается, значит, с ней что-то не так. Расплачиваясь картой, следите, чтобы ее данные никто не фотографировал на телефон. Внедренные вирусы В этом случае злоумышленники внедряют в электронное устройство (телефон, компьютер) программу, способную считывать данные карты. Подобные вирусы могут передавать мошенникам информацию, которую пользователь вводил в интернет-браузер: логины и пароли от социальных сетей, интернет-банков, электронных кошельков, различных сайтов и так далее. Вредоносная программа может попасть на телефон или ноутбук случайно, под видом другой программы, неосторожно скачанной из электронного письма или с непроверенного сайта. Чтобы избежать обмана, важно вовремя обновлять антивирус и пользоваться только лицензионным софтом. Способы защиты Перечень описанных видов мошенничества не исчерпывающий. Алексей Сизов, начальник отдела по противодействию мошенничеству Центра прикладных систем безопасности «Инфосистемы Джет», отмечает, что среди мошеннических схем встречаются: Использование реквизитов карт для получения доступа к другим продуктам, например, ДБО или онлайн-кредитованию, где информация о карте, последних операциях и тем более коды подтверждения и паспортные данные являются достаточными сведениями для смены паролей в онлайн- или мобильном банке и совершения иных манипуляций со счетами. Кража средств с бесконтактных карт. Эта схема наделала много шума некоторое время назад, однако больших потерь зафиксировано не было, и вряд ли стоит ожидать существенных проблем в этом направлении. С течением времени схемы обмана только совершенствуются. Естественно, с злоумышленниками активно борются сами банки. Алексей Сизов «Инфосистемы Джет» «С мошенничеством борются профильными системами антифрод-мониторинга, следящими за поведением карт (совокупностью характеристик по количеству операций, суммам, месту проведения и типу операций). Такие системы стали обязательными с 2003-2004 года, когда появились требования по мониторингу со стороны международных платёжных систем Visa и Mastercard. Кроме автоматизированных систем, большой вклад в безопасность внесла технология “чиповых” карт, которая практически полностью исключила возможность эффективного клонирования. Помимо этого, банки постоянно занимаются контролем ключевых процессов по выпуску карт, их дистанционной доставки и прочих, что на самом деле связано с задачами идентификации и аутентификации держателя очно или дистанционно» Однако не только банки, но и сами владельцы карт должны принимать меры предосторожности. Алёна Цыганова, старший юрисконсульт консалтинговой компании Alta Via, всем, кто заботится о сохранности своих денежных средств, советует соблюдать несколько простых правил: Хранить PIN-код, а также данные для входа в интернет-банк (логин, пароль, проверочные слова или специальные коды) в безопасном месте, а лучше всего — в своей памяти. Не сообщать третьим лицам данные карты и одноразовые СМС-пароли для подтверждения операций. Быть осмотрительными, совершая покупки в интернете. Использовать только проверенные и официальные сайты. Товары/услуги на незнакомых сайтах по явно заниженным ценам должны насторожить. А также выбирать банкоматы, расположенные в офисах банка или крупных торговых центрах с видеонаблюдением. Алексей Сизов, рекомендует внимательно изучать уведомления от банка о совершаемых операциях, использовать отдельную карту для оплаты в интернете, устанавливать суточные лимиты (если банк предоставляет такую возможность) и не держать все сбережения на счете одной карты. Если деньги уберечь всё же не удалось, Алёна Цыганова рекомендует незамедлительно обратиться в банк с заявлением о несогласии с проведенными операциями (п. 11 ст. 9 ФЗ N 161-ФЗ), а также в полицию. Материалы по теме: Рекомендации по безопасности для банков от ЦБ и все о кэшбэках: финтех-дайджест Что такое поведенческая биометрия и кто применяет её на российском рынке ИИ для мониторинга кредитных рисков и доля платежей с использованием карт «Мир»: финтех-дайджест