Классика жанра: как уберечься от новой волны карточного мошенничества

15673
26

В последние несколько месяцев владельцы банковских карт в Украине массово страдают от аферистов. Как все-таки сохранить свои деньги в эти нелегкие времена? Разберем ситуацию на реальных примерах из жизни (имена, названия, суммы и реквизиты изменены).

Credit card stealing

Пример №1

— Добрый день! Вас беспокоят из службы безопасности банка N. Это Иванов Иван Иванович?

— Да, это я. А что случилось?

— Мы заметили, что с вашей карты пытаются обналичить деньги в одном из банкоматов. Для того, чтобы это предотвратить нужно срочно принять меры!

— А что же делать? У меня там столько денег лежит!

— Не волнуйтесь, сейчас мы проверим подлинность вашей карты и заблокируем мошенника. Скажите, номер вашей карты — 1234 5678 9101 1213?

— Да, вроде все верно.

— Иван Иванович, на обороте карты есть семь цифр. Три последние — это номер отделения банка, в котором вы ее получили. Назовите их, пожалуйста.

— 123.

— И также срок действия карты.

— 12/17

— Иван Иванович, благодарю вас за информацию. Сейчас мы заблокируем мошенника и уведомим вас о результатах. Всего доброго!

— Спасибо вам большое. Всего доброго!

Спустя несколько дней, Иван Иванович проверит счет и в панике будет звонить в банк, где ему скажут, что деньги с его карты были переведены на другую карту и обналичены где-нибудь в Виннице, хотя сам он все время находился в Николаеве.

И тут в памяти клиента возникает тот злосчастный разговор с человеком, представившимся сотрудником банка и просившим назвать ему реквизиты карты. Причин, зачем ему нужны реквизиты, он мог назвать сразу несколько.

Так что первое и самое главное правило → никогда не сообщайте данные своей карты посторонним лицам.

Если аферист узнает ее 16-значный номер и трехзначный код на ее обороте, он сможет купить в интернете любой товар, пополнить себе счет, перевести деньги на свою карту и т.д.

Depositphotos_39089167_s

Пример №2

Ситуация точно такая же, как и в первом примере, только теперь вместо CVV-кода «сотрудник службы безопасности банка» выманивает пин-код карты.

Итак, если в руки постороннему лицу попадет пин-код, то он не только будет покупать себе блага онлайн, но еще и сможет обналичить средства в любом банкомате буквально тут же.

Помните, пожалуйста, что пин-код знаете только вы. В случае, если кто-либо звонит вам, представляется сотрудником службы безопасности банка и просит сообщить пин-код, даже под угрозой того, что вся банковская система сейчас рухнет, никогда этого не делайте! Работники банка не имеют права запрашивать пин у клиента.

Это были примеры классики «социальной инженерии». Подобъем промежуточные итоги:

  • никогда и ни при каких обстоятельствах не сообщайте срок действия карты, ее CVV-код и, тем более, пин-код посторонним лицам;
  • никогда не сообщайте эти данные даже сотрудникам банков (пин-код знаете только вы и больше никто!).

Пример №3

Однажды Надя зашла на сайт интернет-магазина X и купила себе прекрасную сковороду. Цена вопроса — 500 грн. На карте до покупки было 10 000 грн. После покупки сумма должна была бы стать 9 500 грн, но, проверив счет через день, Надя обнаружила ужасное — на ее счету было 2,73 грн.

Чтобы не вдаваться в подробности, скажу, что деньги Надя вернула, но это стоило ей кучу времени и нервов.

Что случилось на самом деле?

Все просто — после покупки CVV-код карты клиентки сохранился на сервере, откуда его без труда вытащил немного разбирающийся в системном администрировании спец. После этого ему оставалось случайным образом подобрать срок действия карты, что у него с успехом и получилось.

Оплачивая что-либо онлайн, нужно руководствоваться простым, но спасающим деньги правилом — смотреть в адресную строку браузера.

Скажем, вы покупаете электронные билеты на поезд. Перед покупкой обратите внимание на начало адреса сайта. Там вы должны увидеть протокол https:// (см. скриншот) и значок замка перед ним.

screen1

Это значит, что сайт защищает информацию о платеже. То есть, вашими деньгами и реквизитами карты никто посторонний не завладеет.

Пример №4

— Здравствуйте! Я по поводу объявления о продаже стиральной машинки на site.com.

— Добрый день. Слушаю вас.

— Хотел бы купить ее. Могу ли я заплатить безналом? Просто переведу деньги на вашу карту.

— Без проблем. А посмотреть ее не хотите?

— Да я такую же себе покупал, а теперь вот родителям хочу приобрести. Поэтому знаю, как она выглядит и что она надежная. Так что смысла ее осматривать, в принципе, не вижу.

— Окей. А когда вы сможете заплатить?

— Хоть сейчас. Мне нужен ваш номер карты, срок ее действия и три последние цифры на ее обороте.

— Молодой человек, я вам для справки скажу, что я — руководитель службы мониторинга системы онлайн-платежей. Так что, в худшем случае, через 20 минут за вами приедет милиция. Поэтому я сделаю вид, что вы просто оступились и больше обманывать людей не будете.

Да, этот случай произошел с нашей сотрудницей буквально несколько дней назад. И хорошо, что все хорошо закончилось. Просто помните, что целью мошенника может стать абсолютно любой человек.

Самый полезный совет

Самый полезный совет по безопасности платежей в интернете — заведите себе виртуальную карту и перед тем, как соберетесь что-либо оплатить, переведите на нее нужную сумму денег. Это касается, в первую очередь, покупок товаров в интернет-магазинах. Во вторую — оплаты коммуналки, автоматического пополнения мобильного и переводов между картами.

Если виртуальной у вас нет, то лучше, чтобы ваша нынешняя карта работала по технологии 3D Secure.

Credit Card Security

Как понять, что она работает по этой технологии:

  • если на вопрос «приходит ли вам перед списанием денег SMS-сообщение с кодом?» вы отвечаете «Да», значит ваша карта защищена технологией 3D Secure.

Почему это лучше? Потому, что даже узнав ее CVC или CVC-2 код, мошенник ничего не сможет сделать, не получив доступа к вашим SMS-сообщениям.

А теперь тонкий момент — аферисты научились выманивать код из SMS-сообщения. «Как так?», — спросите вы, «Ведь, если человек сам не скажет аферисту этот пароль, тот его никогда не узнает!».

Да, вы правы. Но многочисленные примеры из жизни показывают, что человек готов вынести мошеннику на блюдечке и пин-код, и пароль из SMS-сообщения.

Последний известный мне пример закончился кражей в размере около 90,000 грн. А всему виной то, что обманутый клиент назвал и CVV-код, и пароль, присланный банком по SMS.

Итак, что нужно сделать для сохранения своих денег и нервов:

  1. Никому не сообщайте реквизиты своей банковской карты, кто бы их не просил.
  2. Перед оплатой в интернете, не поленитесь заглянуть в строку браузера — перед адресом сайта должен быть защищенный протокол https://.
  3. Перед получением карты в банке, поинтересуйтесь, поддерживает ли она технологию 3D Secure.
  4. Для регулярных платежей в интернете постарайтесь использовать виртуальную карту.
Оставить комментарий

Комментарии | 26

  • Неточность. 3D Secure — даже если и подключено, не на всех сайтах работает. В некоторых инет магазинах несмотря хоть и подключен Secure — номера карты, даты и CVV хватит для оплаты.
    Так, что основной вывод — БЕРЕГИТЕ CVV

    • Так и есть — лучший способ для оплаты онлайн — это виртуальная карта.
      Перед покупкой, например, закинул туда 3500 грн, купил себе заветные туфли на каком-нибудь условном сайт.ком и пошел радоваться)

      Ну а CVV — это уже вообще самая что ни на есть классическая классика.

    • В этом случае платежная система по идее берет на себя риски и выступает гарантом. Есть ограничения по сумме. Например у нас это PayU, мелкие платежи без 3D Secure проводятся после первого успешного платежа с подтверждением.

  • А если банально карту потерять и обнаружит потерю через, к примеру, сутки. То в течении этих суток кто-то без проблем сможет воспользоваться картой и ее CVV-кодом? В ПриватБанке без смс ничего не сделаешь с картой 🙂 Да и с остальными. Одна беда — если ваш номер узнают, то его можно без проблем восстановить в отделении оператора (думаю все читали статью на эту тему). Так что еще лучше и корпоративный номер купить, чтобы только твой был!
    А так да, сука эти аферисты умнеют с каждым годом.

    • Вы правы, третье лицо может воспользоваться потерянной картой в своих целях без проблем. Если она не 3Dsecure, вот как в Привате у вас, видимо)
      Но как выманить смс-пароль, эти ребята тоже разобрались) так что берегите все цифры, касающиеся вашей карты, в сохранности)

  • скоро расскажу историю о том, как меня «нагрели» на 7500 грн, мошенники просто переиграли меня, но всегда есть НО, а именно лимит на проведение интернет платежей стоит на отметке 500 грн, но сумму списали 7500 грн, как так? (есть подтверждение специалистов с Приват24 о том, что лимит 500 грн и сайт портмоне.ком это как раз интернет ресурс на который распространяется этот лимит почему банк пропустил платеж) на письмо в банк Приват дал глупую отписку не пояснив ни чего из письма, как на пример откуда у мошенника CVV код, почему не сработал лимит на проведение интернет платежей, почему транзакция в выписке проведена на следующий день, откуда мошенник узнал сумму доступную на карте если делал это через интернет сервис… да развели, но по теории должен был влипнуть на 500 грн лимита и все… а теперь дискуссия и скорее всего суд с Приватом.

  • Странно было прочитать вот это:
    «— Молодой человек, я вам для справки скажу, что я — руководитель службы мониторинга системы онлайн-платежей. Так что, в худшем случае, через 20 минут за вами приедет милиция. Поэтому я сделаю вид, что вы просто оступились и больше обманывать людей не будете.»
    Зачем человек на такой должности поощряет прямые переводы между физиками в результате которых у «продавца» не возникает никаких обязательств и доказать что-либо практически невозможно.

  • «вы должны увидеть протокол https:// (см. скриншот) и значок замка перед ним.
    Это значит, что сайт защищает информацию о платеже. То есть, вашими деньгами и реквизитами карты никто посторонний не завладеет»

    Как у вас оказывается всё просто )

    .

    • Никто не спорит — всегда есть исключения и нюансы.
      А у вас были случаи, когда на ресурсе, в адресе которого есть https:// случались аферы по картам?

      • https это только защита трафика между сервером и клиентом, как обрабатываются данные на сервере, никакого отношения к наличию или отсутствию https не имеет. Ну и про mitm и кейлогеры на клиенте говорить не буду. Конечно вводить данные без https глупость, но надо и еще самому серверу доверять в какой-то мере.

        • Я с вами согласен, но есть ли конкретные примеры?)

        • В целом же, да. Нужно ещё и серверу доверять.
          Поэтому, если коротко, то стоит указать ссылочку на раздел «Безопасность» той или платёжной системы.

          Но, как позывает жизнь, и показывает, мягко говоря, неоднократно, сколько человеку ни говори:«Держи в сохранности свои данные», всё равно при первом удобном случае он всё сольёт)
          Парадоксально, но факт — люди не верят, что электронная квитанция имеет такую же юридическую силу, как и бумажная, зато реквизиты карты сказать первому встречному — это мы всегда пожалуйста.
          И тут уж никакие секьюры, криптографии и аудит PCI DSS не поможет))

  • AIN, добавьте в статью про увод сим-карты, это относительно новый способ кражи денег со счетов.

  • само наличии https в адресной строке не даёт гарантии, что данные не попадут третьим лицам. Если уже объясняете «для чайников» и не вдаётесь в подробности, то хотя бы добавьте, что https должен быть зелёненьким

  • Мне тоже так позвонили мошенники однажды. На мою карту должны были скинуть деньги за товар на сландо (тогда еще), а для этого якобы нужен код, который по смс придет. Они представились будто они из банка. Я сразу понял, что это мошенники и когда они меня расспрашивали я не давал о себе лишней информации, кроме той что у них уже была, а в частности мое имя, фамилия. Просто отказывал объясняя тем, что мне и так часто перечисляют деньги и доп информация никогда не требовалась. По смс пришел код который они просили назвать для проведения транзакции, я сказал ложный номер. У них ничего не получилось, они просили поточнее сказать номер, я повторил тот же не верный номер. После чего они положили трубку.

Поиск