Возможно, некоторые советы покажутся вам элементарными, но именно с них начинается безопасность.

Способы мошенничества с картами

Фантазия преступников безгранична. Буквально каждый год появляются новые, более изощрённые способы. Рассмотрим основные из них.

Мошенничество с банковскими картами называется кардингом.

Начнём с «классики». Вы пришли снять деньги через банкомат. Торопитесь, буквально на бегу вводите PIN-код, при этом болтаете по телефону. Вы даже не посмотрели на неприметного паренька в бейсболке и тёмных очках, заглядывавшего вам через плечо. Зато он наблюдал за вами очень внимательно. Он подсмотрел и запомнил цифры, которые вы вводили. Дальше элементарный гоп-стоп - и прощайте, денежки.

Также в суматохе можно не разглядеть, что перед тобой не настоящий банкомат, а фальшивка. Ведь аппарат точь-в-точь как настоящий. Наклейки, инструкции - всё как надо. Вставляете карту, вводите PIN-код, а на экране высвечивается: «Устройство неисправно», «Произошла системная ошибка», «Недостаточно средств» или что-то в этом роде. Что ж, бывает. Вы отправляетесь искать другой банкомат. Но раньше, чем вы его найдёте, мошенники опустошат ваш счёт. Ведь при помощи банкомата-фантома они уже считали все необходимые данные о вашей карте.

Часто имитируют неисправность банкоматов . Например, поздно вечером вы возвращаетесь домой и решаете по пути обналичить зарплату. Вставили карту, ввели PIN-код, сумму - всё идёт прекрасно. Картоприёмник отдал карту, но лоток, где должны появиться деньги, не открывается. Сломался? Наверное! Вокруг темно, нужно позвонить в банк и разобраться, что случилось. Вы отошли буквально на десять метров, а шустрые воришки уже отклеили скотч и забрали ваши деньги. Да-да, купюры не выпускала простая клейкая лента.

Другой приём называется «ливанская петля» . Это когда в картоприёмник вставляется лассо из фотоплёнки. Если угодить в него, карту уже не вытащить. Как правило, тут же находится «помощник»: «У меня вчера точно так же банкомат съел карточку, я ввёл вот такую комбинацию и PIN-код, и всё заработало». Вы пробуете, терпите фиаско и отправляетесь за помощью в банк. В это время добрый самаритянин забирает карту и идёт опустошать её. PIN-код он знает. Вы сами только что открыто ввели его. Помните?

Впрочем, банкомат может быть настоящим и даже исправным. Это не проблема, если у злоумышленников есть скиммер . Это устройство для считывания информации, закодированной на магнитной полосе карты. Физически скиммер представляет собой накладной блок, прикрепляемый к картоприёмнику, при этом он выглядит как часть конструкции банкомата.

Слева - банкомат без скиммера, справа - со скиммером

При помощи передатчика мошенники получают информацию со скиммера и изготавливают поддельные карты. Они будут пользоваться скиммированной картой, но деньги будут списываться со счёта оригинальной. Отсюда название метода - скимминг, от английского «снимать сливки».

Как они узнают PIN-код? В дополнение к скиммеру у них есть другие девайсы. Например, накладная клавиатура . Она полностью имитирует настоящую, но при этом запоминает набираемые комбинации клавиш.

Накладка на клавиатуру

Как вариант - миниатюрная камера, направленная на клавиатуру и замаскированная под коробку с рекламными буклетами.

Скрытая видеокамера

Разновидность скимминга - шимминг . Вместо громоздких накладок используется тонкая элегантная плата, вставляемая через картоприёмник прямо внутрь банкомата. Дальше схема такая же, как при скимминге. Но степень опасности выше: разглядеть, что в банкомате «жучок», практически невозможно. Утешает, правда, что изготовить шим довольно непросто - его толщина не должна превышать 0,1 мм. Почти нанотехнологии. :)

Фишинг - распространённый способ интернет-мошенничества. Большинству из вас не нужно объяснять, что это такое. Возможно, кто-то даже получал «письмо от банка» с просьбой перейти по ссылке и уточнить реквизиты. Причём фишинговая страница выглядела как настоящая, те же цвета, шрифты, логотипы, за исключением досадной «опечатки» в адресной строке.

В последнее время всё больше распространяется подвид фишинга - вишинг . Проще говоря, развод по телефону . Мошенники моделируют звонок автоинформатора. Пугающий роботизированный голос сообщает вам, что ваша карта заблокирована, или подверглась атаке хакеров, или вам срочно нужно погасить долг по кредиту. За подробностями звоните по такому-то номеру. Вы звоните, и учтивый «оператор» просит вас «сверить» номер карты, срок её действия, верификационный код… Как только вы продиктовали последнюю цифру, можете попрощаться со своими деньгами. Пока вы придёте в себя, их уже потратят в каком-нибудь интернет-магазине.

Кстати, в связи с тем, что для использования карты необязательно её физическое наличие, мошенники всё активнее пользуются методами социальной инженерии . Так меня чуть не обманули.

Я продавала мебель. Разместила объявление с фотографиями на известном сайте. Указала номер, через который у меня не проходит ни одна аутентификация. Вскоре позвонил мужчина. Представился Василием, сотрудником фирмы, сдающей квартиры посуточно. Рассказал, что им понравился мой диван - берут не глядя! Деньги прямо сейчас переведут мне на карту. Нет проблем. Я часто покупаю в интернете, для этих целей у меня есть специальная карта. Списать с неё тогда было нечего, зато пополнить - пожалуйста. Но одного номера звонившему было мало - собеседник просил ещё срок действия и CVV2. Я не назвала, а Василий обиделся. Сказал, кто я и куда мне надо идти, и бросил трубку.

Большинство карт сейчас привязано к номеру телефона, чтобы при помощи СМС-сообщений подтверждать операции или, к примеру, вход в интернет-банк. Чего только не делают злоумышленники, чтобы завладеть нужной SIM-картой: похищают телефоны, перехватывают СМС, делают дубликаты симок и так далее.

Правила безопасности при использовании карт

Оформив в банке дебетовую или кредитную карту, мы получаем договор банковского обслуживания и конверт с PIN-кодом. Жаль, что в дополнение к этому набору не прикладывают памятку с элементарными правилами безопасности для держателей карт. В неё следовало бы включить следующие рекомендации.

• По возможности сделайте себе гибридную карту - с чипом и магнитной полосой (к сожалению, карты только с чипом в России почти не используются). Такая карта лучше защищена от взлома и подделки путём скимминга.
• Выучите PIN-код наизусть. Если же на память надежды нет, запишите его на листочек, но храните отдельно от карты.
• Никогда, ни при каких обстоятельствах не сообщайте третьим лицам PIN-код и CVV2-код карты, а также срок её действия и на кого она зарегистрирована. Ни один банк не будет спрашивать у вас эти реквизиты. А для зачисления средств на ваш счёт достаточно лишь 16-значного номера, указанного на лицевой стороне карты.
• Не используйте так называемые зарплатные карты для расчётов в магазинах и оплаты интернет-покупок. Деньги с карточного счёта лучше переводить на лицевой либо устанавливать суточные лимиты на все виды совершаемых операций.
• Выбирайте банкоматы, расположенные внутри офисов банков или в охраняемых точках, оборудованных системами видеонаблюдения.
• Не пользуйтесь подозрительными моделями банкоматов. А прежде чем вставить карту в терминал, внимательно осмотрите его. Нет ли чего-нибудь подозрительного на клавиатуре или в картоприёмнике? Не висит ли поблизости странный лоток с рекламой?
• Не стесняйтесь закрывать клавиатуру рукой и просить отойти в сторону особо любопытных товарищей в очереди. При возникновении проблем не пользуйтесь советами «случайных помощников» - никуда не уходя, сразу звоните в банк и блокируйте карту.
• Если вы потеряли карту, а также если у вас есть основания полагать, что третьи лица узнали её реквизиты, немедленно обратитесь в банк и заблокируйте её.

Проще всего позвонить. Если карта у вас на руках, номер службы поддержки можно увидеть на её оборотной стороне. Как правило, контактные центры работают круглосуточно. Если карта осталась в банкомате и вы не знаете телефон своего банка, позвоните в компанию, осуществляющую техническое обслуживание банкомата. Номер должен быть указан на терминале.

Кроме того, узнайте о возможности и условиях страхования карты в вашем банке. У некоторых кредитных учреждений есть специальные программы защиты клиентов от мошенников и возмещения им ущерба.

Правила безопасности при пользовании банкингом

Не выходя из дома можно воспользоваться большим пакетом услуг. Например, оплатить что-нибудь или перевести деньги на свой либо чужой счёт.

Банкинг - дистанционное банковское обслуживание.

Выделяют интернет- и СМС-банкинг. Первый позволяет осуществлять операции через личный кабинет клиента на сайте банка или через приложение, а второй подразумевает информирование о транзакциях посредством СМС-сообщений.

Чтобы пользоваться банкингом без риска утраты денег, необходимо соблюдать следующие базовые меры предосторожности.

• Не входите в интернет-банк с чужих компьютеров или из публичных незащищённых сетей. Если же это всё-таки случилось, по завершении сессии нажмите «Выход» и очистите кеш.
• На личном компьютере установите антивирус и своевременно его обновляйте. Используйте современные версии браузера и почтовых программ.
• Не скачивайте файлы, полученные из непроверенных источников, не переходите по ненадёжным ссылкам. Не открывайте подозрительные письма и сразу же блокируйте их отправителя.
• Без необходимости не вводите никакие свои персональные данные, помимо логина и пароля.
• Проверяйте адресную строку. Должно использоваться защищённое HTTPS-соединение. А малейшее несовпадение с доменом банка почти наверняка означает, что вы находитесь на фишинговом сайте.
• Придумайте сложный пароль для входа в личный кабинет, а также используйте одноразовые пароли, запрашиваемые банками для подтверждения действий в личном кабинете.

Запомните! Банки не рассылают сообщений о блокировке карт, а в телефонном разговоре не выспрашивают конфиденциальные сведения и коды, связанные с картами клиентов.

Чтобы уберечь симку, к которой привязана карта, оперативно уведомляйте банк при получении подозрительных сообщений и ни в коем случае не звоните по указанным в них номерам. Проинформируйте банк, если сменили номер или потеряли SIM-карту. Установите пароль на телефон и не снимайте блок с экрана, если кто-то посторонний наблюдает за вашими действиями. А если SIM-карта оформлена на вас лично, то запретите её замену по доверенности.

Что делать, если мошенники списали деньги с карты

Споры между клиентами и банками нередки. Первые, узнав о несанкционированном списании средств со своих счетов, просят вернуть свои кровные, а вторые зачастую разводят руками: «Вы сами всё рассказали мошенникам».

В 2011 году вступил в силу Федеральный закон № 161 «О национальной платёжной системе», призванный упорядочить и изменить в лучшую сторону практику оказания платёжных услуг. В частности, он установил правовые основы всей платежной системы в целом и скорректировал правила осуществления безналичных расчётов, а также эмиссии и использования электронных денег.

В 2014 году вступила в силу статья 9 данного закона. Норма защищает пользователей банковских карт от мошенничества. Закон устанавливает презумпцию невиновности клиентов. Банк обязан возместить суммы, перечисленные со счёта клиента в результате не санкционированной им операции, если только не будет доказано, что клиент сам нарушил порядок использования электронного платёжного средства.

С 26 сентября 2018 года банки по закону смогут блокировать карты клиентов при подозрении, что деньги с них переводят мошенники. После блокировки банк должен сообщить об этом владельцу счёта, а тому придётся или подтвердить операцию, или сообщить о попытке хищения.

Иными словами, закон разграничивает ответственность банка и клиента.

1. Банк сообщил клиенту о несанкционированной операции? Если нет, ответственность полностью лежит на банке. Если сообщил, переходим к пункту № 2.
2. Клиент проинформировал банк не позднее следующего рабочего дня после уведомления от банка, что данная операция совершена без его (клиента) согласия? Если нет, ответственность лежит на клиенте. Если проинформировал, переходим к пункту № 3.
3. Банк смог доказать, что клиент нарушил порядок использования электронных денежных средств? Если да, ответственность лежит на клиенте. Если нет, ответственность полностью лежит на банке и он обязан возместить клиенту всю сумму оспоренной операции.

Обязательным условием возмещения несанкционированно списанных средств является уведомление банка об использовании карты без согласия её держателя.

Сообщить банку, что карта используется кем-то другим, нужно не позднее одного дня , следующего за днём, когда клиент обнаружил мошенничество.

Соблюдение этого дедлайна очень важно. Просрочили - на возврат денег можно не рассчитывать.

Кроме того, у клиента на руках должно остаться доказательство уведомления. Речь идёт о втором экземпляре обращения в банк с отметкой о приёме, сделанной уполномоченным сотрудником, или письменном уведомлении об отправке по адресу банка ценного заказного письма с описью вложений.

Обращение в банк не отменяет и не заменяет обращение в правоохранительные органы.

Выводы

Итак, краткий алгоритм действий при незаконном списании средств с банковской карты таков:

1. Не паникуем, звоним в банк и блокируем карту. Плюс просим оператора назвать остаток на счету и последние совершённые транзакции.
2. В течение суток бежим в банк и пишем заявление. Обязательно визируем у уполномоченного сотрудника банка свой экземпляр заявления.
3. Если сотрудники кредитного учреждения каким-либо образом препятствуют этому и отказываются принять заявление (закончились бланки, технический перерыв и так далее), обращаемся в прокуратуру.
4. Пишем заявление в полицию. Особенно если вы столкнулись с грабежом или разбоем.
5. Ждём возврата денег.

Если банк отказывается возмещать средства, списанные с карты, ссылаясь, например, на нарушение порядка использования электронных денежных средств, вы можете отстаивать свои права в суде.

Мошенничество в сети совершенствуется пропорционально развивающимся технологиям. От обмана не застрахован никто, включая пользователей крупных банков. Безопасность Сбербанка онлайн основывается как на собственной системе шифрования данных, так и на бдительном отношении пользователей к собственным действиям. Только совокупное соблюдение правил использования сервиса гарантирует защиту персональных данных и средств на счете.

Как Сбербанк защищает пользователей

В первую очередь Сбербанк онлайн защищает своих пользователей протоколом HTTPS. Определить его просто – в адресной строке браузера в самом начале высвечивается зеленый замочек и наименование компании. Принцип действия протокола основан на прямой передаче данных от пользователя к серверу Сбербанка без возможности перехвата сведений третьими лицами. Мошеннические сервисы не могут использовать HTTPS, ссылаясь при этом на Сбербанк, потому что организация регистрируется в системе единожды.

Выбрать безопасный сайт – важная задача каждого пользователя

Насколько безопасен сервис в таком режиме – наиболее распространенный вопрос всех клиентов банка. Протокол HTTPS – это не только зеленый значок в браузерной строке. Передача данных осуществляется в зашифрованном виде без возможности утечки информации. Введенные логин и пароль остаются только внутри системы, что исключает возможность доступа к личному кабинету мошенниками.

Все остальные правила безопасности Сбербанка онлайн касаются непосредственно действий пользователя.

Сбербанк онлайн – безопасные способы использования

Первое, что нужно запомнить пользователям Сбербанка онлайн, официальный адрес – http://www.sberbank.ru. Это главная страница сайта. Для получения какой-либо информации протокол HTTPS не используется, поэтому на этом этапе зеленого замочка в адресной строке нет.

При попытке входа в личный кабинет происходит перенаправление на страницу https://online.sberbank.ru. Это единственный адрес, используемый для входа в систему. Здесь уже используется защищенное соединение. Ввод логина и пароля полностью безопасен.

Все остальные адреса Сбербанка можно смело считать мошенническими.

Визуально их можно не отличить на первый взгляд, потому что название сайта может отличаться всего лишь на один знак, а визуализация страницы вообще не имеет отличий. При введении логина и пароля на подобном ресурсе сведения мгновенно попадают к мошенникам.

Кроме этого, существует ряд способов, как обезопасить себя при использовании Сбербанка онлайн:

1. Доступ в личный кабинет осуществляется только по логину и пароля (идентификатор и пароль). Данные можно запросить в банкомате или пройти регистрацию на сайте. Дополнительных сведений от пользователя не требуется.
2. Отмена операции внутри системы невозможна. Если для ее осуществления требуется ввести пароль или данные карты, то ресурс мошеннический.
3. Получение смс-сообщений с паролем для подтверждения операций. Следует обращать внимание на реквизиты карты, указанные в сообщении, а также на сумму. Подтверждать нужно только те операции, которые были инициированы лично.
4. Пароль для входа в систему – строго конфиденциальная информация. Сотрудники банка никогда не спрашивают эти данные.
5. Не рекомендуется пользоваться Сбербанком онлайн через мобильные устройства. Гаджеты обладают иной системой шифрования данных, что не отвечает полноценным версиям ресурса для компьютера. Для планшета и смартфона существуют специальные приложения.
6. После окончания работы с сервисом необходимо не просто закрыть страницу, но и предварительно нажать кнопку «выход».

Мобильный банк – официальное приложение Сбербанка

При соблюдении хотя бы основных правил пользования Сбербанком онлайн риск взлома личного кабинета и потери средств крайне минимален. Не стоит забывать об общей безопасности в сети:

• использование лицензионного антивируса на ПК;
• игнорирование рекламных ссылок и сообщений на страницах интернета;
• хранение данных для входа в безопасном месте;
• регулярная смена пароля (раз в 3-6 месяцев);
• использование в качестве пароля хаотичной комбинации символов.

Отвечая на вопрос, безопасен ли Сбербанк онлайн, то можно смело ответить «Да», поскольку защита пользователя в сети в большем счете зависит от него самого.

Насколько безопасен мобильный банк Сбербанка

Мобильный банк от Сбербанка – это официальное приложение для мобильных устройств. С помощью него можно воспользоваться практически всеми услугами, представленными в Сбербанке онлайн. Главное правило, которое должен помнить каждый пользователь – скачивать программу необходимо из официальных источников в зависимости от операционной системы устройства.

Скачав мобильный банк на смартфон или планшет, действия пользователя в системе защищаются в автоматическом режиме. Это касается переводов и получения средств со счета на счет, а также всех остальных операций. Как правило, приложение самостоятельно запоминает данные для входа, но при этом предлагает установить личный пароль.

Хранение конфиденциальной информации, касающейся входа в приложение или систему, подразумевает аналогичные действия, что и при использовании Сбербанка онлайн – нельзя передавать данные третьим лицам, включая сотрудников банка.

Надежные сайты защищены протоколом HTTPS

Дополнительные меры безопасности при использовании мобильного банка:

• выход в сеть через приложение необходимо осуществлять только из проверенных мест – к ним относится мобильный трафик и домашний Wi-Fi-интернет. При нахождении в гостях или общественных местах не рекомендуется совершать операции в мобильном приложении, поскольку сама сеть не является защищенной;
• исключить несанкционированный доступ к устройству – не рекомендуется оставлять смартфон или планшет без присмотра на работе или учебе;
• при потере устройства нужно срочно позвонить в службу поддержки Сбербанка и сообщить о происшествии. Приложение будет отвязано от гаджета, что не даст возможность мошенникам воспользоваться им даже при успешной разблокировке. Также необходимо заблокировать мобильный номер, чтобы злоумышленники не смогли воспользоваться услугой смс-оповещения;
• при смене сим-карты необходимо отвязать прежний номер от профиля в системе и зарегистрировать новый.

Безопасность мобильного банка Сбербанка во многом возлагается на самого пользователя. Элементарное использование приложения без доступа к данным посторонними лицами ничем не грозит для человека.

Как защитить вклады

Возможности Сбербанка онлайн и мобильного банка позволяют открывать вклады, не выходя из дома. У многих скептиков эта услуга не вызывает доверия, поскольку, по их мнению, имеется риск потери средств.

На самом деле такие суждения не имеют ничего общего с реальностью. При открытии вклада в мобильном приложении или через компьютерную версию сайта операция регистрируется на сервере Сбербанка, а не в устройстве пользователя. В дальнейшем клиент может управлять накоплениями как дистанционно, так и при личном посещении филиала банка.

Безопасность вкладов обеспечивается теми же инструментами, что и доступ к сервису. Если соединение защищено, к устройству и аккаунту нет доступа от третьих лиц, то все действия, включая и накопления, находятся в полной безопасности.

Защита средств на счете предусматривает соблюдение основных мер по использованию мобильного приложения и сервиса Сбербанк онлайн.

Представьте ситуацию: оставили вы на 5 минут без присмотра телефон (например, на зарядке). Возвращаетесь и видите SMSку о переводе крупной суммы денег 3-ему лицу. Представили? А это ведь легко может быть реальностью… В статье пойдёт речь о не очень безопасной системе входа в мобильное приложение Сбербанка, дабы предупредить пользователей о возможности финансовых потерь.

После того, как у меня затупил телефон, мне пришлось сбросить его к заводским настройкам. Установив из Play-маркета приложение «Сбербанк Онлайн», и прождав значительное время, пока приложение сканирует телефон на наличие вирусов, создаётся полное ощущение, что тут всё хорошо с безопасностью. Но каково же было моё удивление, когда после ввода логина и готовности ввести пароль, вместо него меня просят ввести SMS-код, который тут же пришёл на этот же телефон!

Сначала я подумал, что возможно где-то на карте памяти сохранился какой-нибудь идентификатор сессии, из-за которого не надо проходить процедуру ввода пароля, а достаточно пройти упрощённую процедуру подтверждения по SMS. Но это было не так.

Тогда мы с коллегой решили проверить на его телефоне, смогу ли я войти в его приложение. Мы берём его телефон, открываем приложение, выбираем «Сменить пользователя» в меню, вводим логин (который секретным не является и используется им на разных сервисах). И, бинго, опять вводим SMS-код и оказываюсь внутри приложения с полным доступом ко всем финансам! Всё дело заняло пару минут времени.

А как же блокировка телефона по паролю/секретному ключу/отпечатку пальца, спросите вы? Ну во-первых, дело тут не в устройстве а SIM-карте. И полный возврат к заводским настройкам также может свести на нет всю защиту, просто это будет немного дольше.

Кроме того, в ОС куча приложений, которые просят разрешений на чтение SMS. Не удивлюсь, если появится вирус, способный сымитировать вход в приложение с чтением и последующим входом кода из SMS.

А что Сбербанк?

Через обратную связь я писал дважды об этой проблеме сбербанку и оставил отзыв на banki.ru. Но сбербанк судя по всему не считает это проблемой. Кроме того, в условиях использования был найден следующий пункт:

Не совмещайте устройства доступа к системе «Сбербанк Онлайн» и устройства получения SMS-сообщений с подтверждающим одноразовым паролем (например, мобильный телефон, смартфон или планшет). Для мобильных устройств созданы специализированные версии системы.
При утрате мобильного телефона, на который Вы получаете сообщения с SMS-паролем, сразу же обратитесь к оператору сотовой связи и заблокируйте SIM-карту.

То есть фактически приложение нельзя ставить на тот же телефон, на который приходят SMS-ки.

Выводы

Выводы можно сделать только такие - держите телефон всегда при себе, даже когда решили выйти на 5 минут в туалет. Не устанавливайте приложений с доступом к SMS. А ещё лучше - получайте SMS с кодами на кнопочный телефон без приложений.

У стремительно растущей популярности онлайн– и мобильного банкинга есть и обратная сторона. Как отмечают эксперты, в последнее время все реже приходится сталкиваться со скиммингом – установкой на банкомат считывающих устройств. Зато значительно участились попытки взлома систем дистанционного банковского обслуживания, кражи паролей в мобильных банковских приложениях и различные схемы «социального обмана».

По статистике Банка России, количество несанкционированных операций, проведенных через банкоматы или платежные терминалы в 2014 году, снизилось в два раза по сравнению с предыдущим. Скиммеры атаковали банкоматы в 21% случаев, а доля незаконных операций в Сети достигла 65,8%. Всего в ЦБ за прошлый год зафиксировали почти 5 тыс. попыток снять либо перевести чужие деньги через Интернет, а общая стоимость операций равнялась 1,64 млрд рублей. При этом подавляющее большинство попыток мошенников были успешными.

«Рост числа преступлений в сфере онлайн-банкинга в первую очередь связан со степенью проникновения систем ДБО: так, сейчас 40% клиентов нашего банка являются пользователями мобильного и интернет-банкинга, и эта цифра растет с каждым месяцем», – говорит начальник управления развития мобильных сервисов «МДМ Банка» Павел Михалёв .

Кроме того, эксперт связывает снижение уровня скимминговых атак с недавним введением уголовной ответственности за такие преступления. «В июне этого года вступили в силу поправки в Уголовный кодекс РФ, предусматривающие ответственность до 6 лет за скимминг, тогда как преступники, ворующие деньги у клиентов банка через digital, зачастую получают условный срок», – отмечает Павел Михалёв.

Эксперты и представители правоохранительных органов связывают это еще с несколькими факторами. Во-первых, повысился уровень защищенности банковских карт: с 1 июля этого года банки обязаны снабжать все выпускаемые карты чипом. В отличие от «простых», оснащенных магнитной лентой, карты с чипами требуют ввода PIN-кода при каждой платежной операции. А это усложнило жизнь скиммерам, которым, помимо перехвата данных о карте в банкоматах, теперь нужно добывать и PIN-код.

Вычисляя слабые места современных банковских технологий, мошенники изобретают всё новые способы обмана.

«Мошенники используют различные технические уловки, при этом большинство из них сводится к выманиванию у пользователя личной информации, необходимой для проведения операций с его счетами, – говорит начальник управления дистанционного банковского обслуживания ВТБ24 Елена Дегтева . – Расчет делается на невнимательность и доверчивость – в частности, это фишинг (ссылка на поддельную страницу банка, на которой запрашивается логин и пароль для входа в интернет-банк, одноразовые коды, реквизиты банковской карты и т.п.) или троянская программа, подкладывающая фальшивую интернет-страницу и направляющая введённые клиентом данные злоумышленникам».

Аналитическое агентство Markswebb Rank & Report провело исследование безопасности интернет– и мобильных банков. В исследовании изучалась надежность защиты систем ДБО 20 банков с наибольшим количеством пользователей онлайн-версии банка. Во всех банках сотрудники агентства сначала действовали как клиенты, а потом – как мошенники. То есть сперва заводили дебетовые карты, регистрировались в соответствующих интернет-банках и пытались совершить покупки. А затем пробовали подобрать пароль, перевыпускали сим-карту, привязанную к счету, и так далее.

Как показало исследование, в целом у российских банков не очень жесткие требования к безопасности. К примеру, пять банков вообще не используют одноразовые пароли для аутентификации (входа в интернет-банк) пользователя, в двух банках SMS-пароль от одной операции можно использовать для подтверждения другой, а подтвердить номер телефона после перевыпуска сим-карты требуют только четыре банка, остальные продолжают присылать пароли на новый номер, рассказывает гендиректор Markswebb Rank & Report Алексей Скобелев.

Наибольшее количество баллов получили «Ситибанк», «Альфа-Банк», «Тинькофф Банк», ВТБ24 и «Русский Стандарт». Последние строчки в рейтинге достались Райффайзенбанку, «МТС Банку» и «Бинбанку».

Между тем, как рассказал начальник отдела развития интернет-банка физических лиц «Бинбанка» Евгений Локтев , система защиты онлайн-банка «Бинбанка» продумана до мелочей. «Для входа в систему используется имя пользователя и пароль, для быстрого входа (когда приложение уже установлено и первый вход осуществлен) используется код или отпечаток пальца (для некоторых моделей телефонов, поддерживающих данную функцию), при входе в систему клиент получает сообщение о входе на зарегистрированный клиентом номер мобильного телефона, при совершении критических финансовых операций используются одноразовые пароли, которые также высылаются на зарегистрированный клиентом номер мобильного телефона», – перечислил он.

Эксперты сходятся во мнении: самой уязвимой частью мобильного банка является сам пользователь. «Злоумышленник просто может подсмотреть логин и пароль для входа в мобильный банк – например, в кафе или транспорте, – говорит Павел Михалёв. – Нередко пользователи также подвергаются атакам через так называемую социальную инженерию, когда злоумышленники обманным путем под видом знакомых или родственников выманивают у доверчивых людей персональные данные».

«Мошенники потрясающе изобретательны и великолепно умеют втираться в доверие, – согласенЕвгений Локтев, а потому рекомендует никому ни при каких обстоятельствах не давать информацию о себе, которая может быть использована для входа в интернет– или мобильный банк. – И это не всегда именно напрямую имя пользователя и пароль, но и персональные данные, знание которых может быть использовано мошенниками для изменения пароля через колл-центр банка».

А чтобы максимально усложнить задачу по взлому мобильного банка в случае утери или кражи смартфона или планшета, эксперты по банковской безопасности рекомендуют хорошо продумать пароль. «Если говорить о технических методах проникновения в систему, то основным из них является «брутфорс» – простой перебор сочетаний логинов-паролей. Мы используем специальный метод для защиты от подобных атак, – рассказывает Павел Михалев. – Даже имея логин и пароль к мобильному банку «жертвы», злоумышленник не сможет провести неавторизованные операции, потому что операции подтверждаются одноразовыми СМС-паролями».

Очевидное правило: пароль должен состоять из разных символов – прописных и строчных букв, цифр, значков (например, % или $). Стоит избегать очевидных цифровых (12345) и буквенных (qwerty, «пароль») комбинаций. Пароли, которые легко ассоциируются с вами: фамилия, дата рождения или город – также небезопасны. Павел Михалев также рекомендует использовать биометрическую аутентификацию в мобильном банке с помощью технологии Touch ID на iPhone и графического ключа на смартфонах на базе Android.

А тем, кто проводит в интернет– и мобильном банке операции на крупные суммы, а также хочет обеспечить максимальную безопасность платежам, Елена Дегтева рекомендует пользоваться генератором паролей. «Его можно использовать в течение нескольких лет, что позволит реже обращаться в офис банка», – напоминает она.

«Мошенники могут звонить или отправлять SMS-рассылки от имени банка для получения конфиденциальных данных: логина, пароля, одноразового кода подтверждения платежа, данных кредитной карты», – предупреждает начальник управления экономической безопасности АО «Райффайзенбанк» Вадим Будаев .

Как правило, на мобильный телефон клиента банка приходит SMS о том, что его банковская карта якобы заблокирована либо по ней осуществляются подозрительные трансакции. В сообщении настоятельно рекомендуется связаться со «службой безопасности банка» или «отделом безопасности Visa». Здесь же указан и номер телефона для связи – как правило, мобильного, но с городским кодом. При звонке на такой номер афера развивается по нескольким сценариям: чаще всего мошенник, выдающий себя за «работника службы безопасности банка», вынуждает доверчивого клиента сообщить свои паспортные данные и реквизиты банковской карты, после чего снимает деньги с его счета. Иногда картой напрямую оплачивается счет мобильного телефона, после чего деньги обналичиваются через компанию – оператора связи. В другом случае, выполняя инструкции «сотрудника банка», клиент привязывает к мобильному телефону мошенника свой онлайн-банк, и тот опустошает его счет. Еще один вариант: потерпевший по указанию мошенника вставляет свою карту в банкомат и вводит ряд команд «для разблокирования карты». На самом же деле эти команды обеспечивают перевод денег со счета потерпевшего на счет мошенника. Иногда, но гораздо реже, отмечает Вадим Будаев, злоумышленники используют менее «технологичный» метод мошенничества, суть которого в получении по поддельной доверенности SIM-карты, привязанной к мобильному номеру телефона жертвы.

Эксперты предупреждают: ни один российский банк, а тем более платежные системы Visa и Master Card никогда не производят рассылки SMS о блокировке карты и тем более о «подозрительных трансакциях». Поэтому при получении подозрительного сообщения владелец банковской карты ни в коем случае не должен звонить по указанному номеру телефона, а немедленно обратиться в банк по телефону, который имеется на самой банковской карте.

Вернуть украденные мошенниками деньги крайне сложно. Прежде всего потерпевшему придется доказать, что он сам не «помог» аферистам получить доступ к своему счету. «К сожалению, российское законодательство в данной области несовершенно, но по каждому факту мошенничества проводится расследование, – рассказывает Павел Михалёв. – В тех случаях, когда клиент не нарушал условий банковского договора, мы всегда идем навстречу».

Так что сколь бы ни были совершенны применяемые банком технологии безопасности, они не имеют смысла, если пренебрегать элементарными правилами безопасности в Интернете.

Как защитить онлайн-банк:
– никогда не скачивайте мобильное приложение банка на неофициальных ресурсах или со сторонних сайтов, так как они могут быть заражены вирусами, устанавливайте программы только через официальные магазины: Google Play, Apple Store, Windows Store;
– владельцам мобильных устройств на базе Android рекомендуем в разделе «Настройки»-«Безопасность» убрать галочку с графы «Неизвестные источники», это позволит защитить гаджет от установки приложений со сторонних сайтов;
– установите антивирус и регулярно осуществляйте сканирование гаджета, в настройках антивируса активируйте проверку приложений при установке;
– не прибегайте к взлому системы защиты устройства: Root (на платформе Android) и Jailbreak (на платформе iOS), это значительно повышает уязвимость смартфона для вредоносных программ;
– включите на устройстве функцию автоблокировки и защитите его паролем;
– не храните на устройстве логины и пароли, номера карт, паспортные данные и прочую конфиденциальную информацию, чтобы она не стала достоянием посторонних в случае утери гаджета.
– не открывайте подозрительных ссылок в Интернете, полученных по почте, в сообщении или из социальных сетей.
– будьте внимательны, и в случае нестандартного поведения устройства при использовании мобильного банка, появления запроса на предоставление дополнительной информации о платежных картах или отказа от регистрации устройства в сети оператора (SIM-карта недействительна) обращайтесь в банк для блокировки системы.

У стремительно растущей популярности онлайн– и мобильного банкинга есть и обратная сторона. Как отмечают эксперты, в последнее время все реже приходится сталкиваться со скиммингом – установкой на банкомат считывающих устройств. Зато значительно участились попытки взлома систем дистанционного банковского обслуживания, кражи паролей в мобильных банковских приложениях и различные схемы «социального обмана».

По статистике Банка России, количество несанкционированных операций, проведенных через банкоматы или платежные терминалы в 2014 году, снизилось в два раза по сравнению с предыдущим. Скиммеры атаковали банкоматы в 21% случаев, а доля незаконных операций в Сети достигла 65,8%. Всего в ЦБ за прошлый год зафиксировали почти 5 тыс. попыток снять либо перевести чужие деньги через Интернет, а общая стоимость операций равнялась 1,64 млрд рублей. При этом подавляющее большинство попыток мошенников были успешными.

«Рост числа преступлений в сфере онлайн-банкинга в первую очередь связан со степенью проникновения систем ДБО: так, сейчас 40% клиентов нашего банка являются пользователями мобильного и интернет-банкинга, и эта цифра растет с каждым месяцем», – говорит начальник управления развития мобильных сервисов «МДМ Банка» Павел Михалёв .

Кроме того, эксперт связывает снижение уровня скимминговых атак с недавним введением уголовной ответственности за такие преступления. «В июне этого года вступили в силу поправки в Уголовный кодекс РФ, предусматривающие ответственность до 6 лет за скимминг, тогда как преступники, ворующие деньги у клиентов банка через digital, зачастую получают условный срок», – отмечает Павел Михалёв.

Эксперты и представители правоохранительных органов связывают это еще с несколькими факторами. Во-первых, повысился уровень защищенности банковских карт: с 1 июля этого года банки обязаны снабжать все выпускаемые карты чипом. В отличие от «простых», оснащенных магнитной лентой, карты с чипами требуют ввода PIN-кода при каждой платежной операции. А это усложнило жизнь скиммерам, которым, помимо перехвата данных о карте в банкоматах, теперь нужно добывать и PIN-код.

Вычисляя слабые места современных банковских технологий, мошенники изобретают всё новые способы обмана.

«Мошенники используют различные технические уловки, при этом большинство из них сводится к выманиванию у пользователя личной информации, необходимой для проведения операций с его счетами, – говорит начальник управления дистанционного банковского обслуживания ВТБ24 Елена Дегтева . – Расчет делается на невнимательность и доверчивость – в частности, это фишинг (ссылка на поддельную страницу банка, на которой запрашивается логин и пароль для входа в интернет-банк, одноразовые коды, реквизиты банковской карты и т.п.) или троянская программа, подкладывающая фальшивую интернет-страницу и направляющая введённые клиентом данные злоумышленникам».

Аналитическое агентство Markswebb Rank & Report провело исследование безопасности интернет– и мобильных банков. В исследовании изучалась надежность защиты систем ДБО 20 банков с наибольшим количеством пользователей онлайн-версии банка. Во всех банках сотрудники агентства сначала действовали как клиенты, а потом – как мошенники. То есть сперва заводили дебетовые карты, регистрировались в соответствующих интернет-банках и пытались совершить покупки. А затем пробовали подобрать пароль, перевыпускали сим-карту, привязанную к счету, и так далее.

Как показало исследование, в целом у российских банков не очень жесткие требования к безопасности. К примеру, пять банков вообще не используют одноразовые пароли для аутентификации (входа в интернет-банк) пользователя, в двух банках SMS-пароль от одной операции можно использовать для подтверждения другой, а подтвердить номер телефона после перевыпуска сим-карты требуют только четыре банка, остальные продолжают присылать пароли на новый номер, рассказывает гендиректор Markswebb Rank & Report Алексей Скобелев.

Наибольшее количество баллов получили «Ситибанк», «Альфа-Банк», «Тинькофф Банк», ВТБ24 и «Русский Стандарт». Последние строчки в рейтинге достались Райффайзенбанку, «МТС Банку» и «Бинбанку».

Между тем, как рассказал начальник отдела развития интернет-банка физических лиц «Бинбанка» Евгений Локтев , система защиты онлайн-банка «Бинбанка» продумана до мелочей. «Для входа в систему используется имя пользователя и пароль, для быстрого входа (когда приложение уже установлено и первый вход осуществлен) используется код или отпечаток пальца (для некоторых моделей телефонов, поддерживающих данную функцию), при входе в систему клиент получает сообщение о входе на зарегистрированный клиентом номер мобильного телефона, при совершении критических финансовых операций используются одноразовые пароли, которые также высылаются на зарегистрированный клиентом номер мобильного телефона», – перечислил он.

Эксперты сходятся во мнении: самой уязвимой частью мобильного банка является сам пользователь. «Злоумышленник просто может подсмотреть логин и пароль для входа в мобильный банк – например, в кафе или транспорте, – говорит Павел Михалёв. – Нередко пользователи также подвергаются атакам через так называемую социальную инженерию, когда злоумышленники обманным путем под видом знакомых или родственников выманивают у доверчивых людей персональные данные».

«Мошенники потрясающе изобретательны и великолепно умеют втираться в доверие, – согласенЕвгений Локтев, а потому рекомендует никому ни при каких обстоятельствах не давать информацию о себе, которая может быть использована для входа в интернет– или мобильный банк. – И это не всегда именно напрямую имя пользователя и пароль, но и персональные данные, знание которых может быть использовано мошенниками для изменения пароля через колл-центр банка».

А чтобы максимально усложнить задачу по взлому мобильного банка в случае утери или кражи смартфона или планшета, эксперты по банковской безопасности рекомендуют хорошо продумать пароль. «Если говорить о технических методах проникновения в систему, то основным из них является «брутфорс» – простой перебор сочетаний логинов-паролей. Мы используем специальный метод для защиты от подобных атак, – рассказывает Павел Михалев. – Даже имея логин и пароль к мобильному банку «жертвы», злоумышленник не сможет провести неавторизованные операции, потому что операции подтверждаются одноразовыми СМС-паролями».

Очевидное правило: пароль должен состоять из разных символов – прописных и строчных букв, цифр, значков (например, % или $). Стоит избегать очевидных цифровых (12345) и буквенных (qwerty, «пароль») комбинаций. Пароли, которые легко ассоциируются с вами: фамилия, дата рождения или город – также небезопасны. Павел Михалев также рекомендует использовать биометрическую аутентификацию в мобильном банке с помощью технологии Touch ID на iPhone и графического ключа на смартфонах на базе Android.

А тем, кто проводит в интернет– и мобильном банке операции на крупные суммы, а также хочет обеспечить максимальную безопасность платежам, Елена Дегтева рекомендует пользоваться генератором паролей. «Его можно использовать в течение нескольких лет, что позволит реже обращаться в офис банка», – напоминает она.

«Мошенники могут звонить или отправлять SMS-рассылки от имени банка для получения конфиденциальных данных: логина, пароля, одноразового кода подтверждения платежа, данных кредитной карты», – предупреждает начальник управления экономической безопасности АО «Райффайзенбанк» Вадим Будаев .

Как правило, на мобильный телефон клиента банка приходит SMS о том, что его банковская карта якобы заблокирована либо по ней осуществляются подозрительные трансакции. В сообщении настоятельно рекомендуется связаться со «службой безопасности банка» или «отделом безопасности Visa». Здесь же указан и номер телефона для связи – как правило, мобильного, но с городским кодом. При звонке на такой номер афера развивается по нескольким сценариям: чаще всего мошенник, выдающий себя за «работника службы безопасности банка», вынуждает доверчивого клиента сообщить свои паспортные данные и реквизиты банковской карты, после чего снимает деньги с его счета. Иногда картой напрямую оплачивается счет мобильного телефона, после чего деньги обналичиваются через компанию – оператора связи. В другом случае, выполняя инструкции «сотрудника банка», клиент привязывает к мобильному телефону мошенника свой онлайн-банк, и тот опустошает его счет. Еще один вариант: потерпевший по указанию мошенника вставляет свою карту в банкомат и вводит ряд команд «для разблокирования карты». На самом же деле эти команды обеспечивают перевод денег со счета потерпевшего на счет мошенника. Иногда, но гораздо реже, отмечает Вадим Будаев, злоумышленники используют менее «технологичный» метод мошенничества, суть которого в получении по поддельной доверенности SIM-карты, привязанной к мобильному номеру телефона жертвы.

Эксперты предупреждают: ни один российский банк, а тем более платежные системы Visa и Master Card никогда не производят рассылки SMS о блокировке карты и тем более о «подозрительных трансакциях». Поэтому при получении подозрительного сообщения владелец банковской карты ни в коем случае не должен звонить по указанному номеру телефона, а немедленно обратиться в банк по телефону, который имеется на самой банковской карте.

Вернуть украденные мошенниками деньги крайне сложно. Прежде всего потерпевшему придется доказать, что он сам не «помог» аферистам получить доступ к своему счету. «К сожалению, российское законодательство в данной области несовершенно, но по каждому факту мошенничества проводится расследование, – рассказывает Павел Михалёв. – В тех случаях, когда клиент не нарушал условий банковского договора, мы всегда идем навстречу».

Так что сколь бы ни были совершенны применяемые банком технологии безопасности, они не имеют смысла, если пренебрегать элементарными правилами безопасности в Интернете.

Как защитить онлайн-банк:
– никогда не скачивайте мобильное приложение банка на неофициальных ресурсах или со сторонних сайтов, так как они могут быть заражены вирусами, устанавливайте программы только через официальные магазины: Google Play, Apple Store, Windows Store;
– владельцам мобильных устройств на базе Android рекомендуем в разделе «Настройки»-«Безопасность» убрать галочку с графы «Неизвестные источники», это позволит защитить гаджет от установки приложений со сторонних сайтов;
– установите антивирус и регулярно осуществляйте сканирование гаджета, в настройках антивируса активируйте проверку приложений при установке;
– не прибегайте к взлому системы защиты устройства: Root (на платформе Android) и Jailbreak (на платформе iOS), это значительно повышает уязвимость смартфона для вредоносных программ;
– включите на устройстве функцию автоблокировки и защитите его паролем;
– не храните на устройстве логины и пароли, номера карт, паспортные данные и прочую конфиденциальную информацию, чтобы она не стала достоянием посторонних в случае утери гаджета.
– не открывайте подозрительных ссылок в Интернете, полученных по почте, в сообщении или из социальных сетей.
– будьте внимательны, и в случае нестандартного поведения устройства при использовании мобильного банка, появления запроса на предоставление дополнительной информации о платежных картах или отказа от регистрации устройства в сети оператора (SIM-карта недействительна) обращайтесь в банк для блокировки системы.