Как мне доказать кражу с моей банковской карточки и взлом мобильного банкинга?

Уроки из кражи моей кредитной карты

Как мне доказать кражу с моей банковской карточки и взлом мобильного банкинга?

Утро начиналось как обычно, я спешил на работу. Дела пошли наперекосяк буквально за минуту — SMS-оповещение «обрадовало» меня новостью о том, что с моей банковской карты списано $80 за покупку, которую я не совершал.

Что было дальше, догадаться не слишком сложно — блокировка карты, написание претензии в банк, выпуск новой карты. Сразу скажу, что моя история закончилась хорошо, мне вернули деньги, в основном благодаря моей быстрой реакции. Но важнее здесь даже не концовка истории, а уроки, которые я извлек из произошедшего.

Урок 1. Скорость имеет значение

В случае с российскими картами — решающее значение. По законодательству 2014 года банк обязан компенсировать держателю карты убытки, возникшие при мошенническом списании, если операция опротестована в течение суток.

При взломе карты решающее значение имеет скорость, с которой вы опротестуете платеж в банке

Tweet

В любом банке мира вероятность доказать свою правоту тем выше, чем быстрее вы опротестовали списание и заблокировали карту. Для этого об операциях по карте надо узнавать максимально оперативно. Идеально — через SMS-оповещения.

Ежедневные e-mail с выпиской тоже неплохи, а внимательный просмотр счета раз в месяц является крайней мерой, если ваш банк не дает более удобных вариантов.

У меня SMS-оповещение было, поэтому заблокировал я карту через 5 минут, а опротестовал транзакцию вечером того же дня.

Урок 2. Все страховки хороши

Каждый дополнительный уровень защиты осложняет жизнь мошенникам и минимизирует ваши потери.

Включите 3D-Secure (MasterCard SecureCode, Verified by Visa) для онлайн-платежей, двухфакторную аутентификацию при входе в интернет-банк, выбирайте карты с защитой chip and pin, а не более старомодные варианты с подписью и магнитной полосой.

Пользуйтесь интернет-платежами только через защищенный Wi-Fi и установите на компьютер надежный антивирус. Страховка в прямом смысле тоже не помешает — разного рода страховые продукты часто можно подключить к своим банковским картам.

Я пользовался всеми этими мерами вместе, поэтому, уверен, множество попыток увести деньги с моей карты были неудачными — я просто о них не узнал.

Урок 3. Предосторожности — не панацея

К сожалению, благосостояние преступников напрямую зависит от их умения обходить защиту банков. Именно поэтому все предосторожности, описанные выше, помогают не во всех случаях.

Самые популярные способы расстаться с данными своей карты — снятие денег в банкомате, на котором злодеи установили скиммер, а также совершение онлайн-платежей на зараженном компьютере.

В первом случае злодеи сделают дубликат карты и снимут с нее наличные, во втором — украдут реквизиты, а после этого потратят деньги в интернет-магазинах или переведут с помощью набирающих популярность сервисов прямого перевода с карты на карту.

Впрочем, я весьма осторожен и поэтому, скорее всего, стал жертвой более коварного варианта.

Как мы узнали в этом году, опасной может быть и оплата картой в крупном магазине, компьютеры которого заражены специализированным троянцем.

Это особенно актуальная угроза для покупателей в США, где в основном используются устаревшие магнитные считыватели. Моя карта путешествовала в США неоднократно и вполне могла стать жертвой подобной махинации.

Нельзя исключить и еще один вариант — утечку платежных данных из одного из интернет-магазинов.

Правда, к моей карте была подключена 3D-Secure, но кто-то из мошенников не поленился и отыскал магазин, в котором используется устаревшая система обработки платежей, работающая без 3D-Secure. Там с карты и списали деньги.

В общем и целом вывод такой: профилактика, увы, не всегда помогает — иногда придется использовать «активную защиту», что возвращает нас к пункту 1.

Урок 4. Кража денег с карты — это организованная преступность

Через неделю произошла новая попытка оплаты в другом американском интернет-магазине. Спустя несколько дней — еще одна. А еще через неделю — офлайновый платеж в мексиканском супермаркете

Подтверждение этому факту пришло забавным образом.

После того как я успешно заблокировал карту, примерно неделю ничего не происходило. Но потом пришло новое SMS — попытка оплаты в каком-то другом американском интернет-магазине. Спустя несколько дней — еще одна.

А еще через неделю — офлайновый платеж в мексиканском супермаркете.

Все эти попытки были неудачны, ведь карта заблокирована. Но кто-то пытался снова и снова. Объяснение может быть лишь одно: те, кто похитил данные карты, перепродавали их много раз разным покупателям (очевидно, вместе с тысячами других кредиток, попавших в базу), и каждый пытался нажиться на мне сызнова.

Урок 5. Всегда имейте план Б

А лучше заодно В, Г»и Д. В моем случае сумма гипотетического ущерба была бы очень небольшой, и никакой катастрофы не случилось, даже если бы деньги пропали безвозвратно. Но некоторые мои друзья расстались с куда более крупными суммами. Причем нередко такие неприятности случаются во время отпуска, и люди банально лишаются возможности заплатить за обед или проезд в транспорте.

Чтобы не попасть в подобную ситуацию, всегда нужно иметь минимум две разные карты, а лучше — три или четыре. Разные платежные системы, разные банки, распределенные по всем картам деньги.

Одну отдельную карту имеет смысл держать для интернет-платежей и не хранить на ней значительных сумм. Удобной альтернативой являются виртуальные одноразовые карты, которые выпускают для интернет-платежей многие банки.

И если говорить о путешествии, небольшая сумма старых добрых наличных в качестве неприкосновенного запаса «на всякий случай» никогда не бывает лишней.

Источник: https://www.kaspersky.ru/blog/5-lessons-i-learned-from-my-credit-card-hack/6046/

Ограбление по-хакерски

Как мне доказать кражу с моей банковской карточки и взлом мобильного банкинга?

В субботу МВД на своем официальном сайте сообщило о задержании жителя Челябинской области, который, по данным следствия, разработал банковский троян, предназначенный для хищения денег через программы мобильного банкинга, установленные на смартфонах под управлением Android.

Кроме него в состав преступной группы входили еще четыре человека. В сообщении также говорится о «предотвращенном ущербе» – более 50 млн руб.

В результате обысков у членов преступной группы изъяли компьютеры со следами распространения вируса, мобильные телефоны, SIM-карты, серверы и банковские карты, на которые производилось зачисление похищенных денежных средств.

В России уровень зараженных устройств оказался в четыре раза выше общемирового, говорится в отчете о проблемах безопасности мобильной платформы… →

Одновременно с пресс-релизом МВД появилось сообщение информационного агентства FlashNord со ссылкой на неназванные источники в МВД о том, что в регионах жертвами мошенников стали от 20 тыс. до 30 тыс. клиентов Сбербанка.

Со ссылками на региональные СМИ и источники в полиции было названо число пострадавших в отдельных регионах: в Калининградской области – около 250 человек, в Мурманской области – около 200, в Санкт-Петербурге и Ленинградской области – около 300, в Приморском крае – 400, в Оренбурге – почти 150.

В Сбербанке «Газете.Ru» не подтвердили информацию о массовых хищениях денег со счетов клиентов.

«В настоящее время Сбербанк не отмечает повышенного фона обращений со стороны клиентов, информация, опубликованная в СМИ, проверяется», – говорится в сообщении.

Также в банке напомнили о необходимости устанавливать антивирусное ПО, а также о том, что недавно вышла обновленная версия приложения мобильного банка для Android со встроенным антивирусом.

В компании Group-IB, занимающейся предотвращением и расследованием киберпреступлений и мошенничества с использованием высоких технологий, подтвердили «Газете.Ru», что речь идет об одном и том же инциденте, и рассказали о деталях.

Злоумышленники организовывали вирусные атаки на мобильные устройства клиентов российских банков, работающих на платформе Android.

Троянская программа, которую они использовали, после установки на мобильное устройство запрашивала баланс привязанной к номеру банковской карточки, скрывала поступающие SMS-уведомления и осуществляла переводы денежных средств с банковского счета на счета, подконтрольные злоумышленникам.

Сами хакеры назвали свою программу «5 рейх», а в системе управления использовали нацистскую символику (запрещена в России), из-за чего данная преступная группа получила кодовое название «Фашисты», сообщили «Газете.Ru» в Group-IB.

Первые сведения об используемой преступниками вредоносной программе появились в июле 2013 года. Троян сделан именно для того, чтобы совершать хищения с банковских счетов.

Со временем программа эволюционировала, и новые функции позволяли совершать хищения более эффективно.

Одним из первых способов совершения хищений было использование SMS-банкинга – процедуры перевода денег при помощи отправки специально сформированного SMS на номер банка.

Позже злоумышленники начали собирать данные пластиковых карточек, для чего использовали фишинговые (фальшивые) страницы в сети. Вредоносная программа показывала поверх окна Google Play свое окно с предложением ввести данные банковской карточки.

После того как пользователь ввел данные карточки, они немедленно передавались на сервер злоумышленника.

В дальнейшем хакеры сделали фишинговые страницы и для некоторых российских и украинских банков, но в этот раз они получали не данные карточек, а логины и пароли от интернет-банкинга.

Когда пользователь запускал банковское приложение, троянская программа подменяла оригинальное окно на фишинговое, где пользователь сам вводил необходимые данные, которые немедленно отправлялись на сервер злоумышленника.

Обладая логином, паролем, а также доступом ко всем SMS, в том числе от банков с SMS-кодами, злоумышленник мог успешно совершать банковские переводы.

Распространяли вредоносную программу через SMS-рассылки, в которых была ссылка на загрузку вредоносной программы под видом Adobe Flash Player, во время установки которой запрашивались права администратора.

Позже в сети появилась информация, что вредоносной программой было заражено около 340 тыс. смартфонов и пострадали клиенты разных банков.

Группа хакеров из России и Украины похитила около миллиарда рублей. Среди пострадавших оказались банки и финансовые учреждения России и всего мира. →

Если учесть известные проблемы с безопасностью у операционной системы Android и низкий уровень компьютерной грамотности у населения, происшедшее выглядит закономерным, однако многие моменты вызывают вопросы.

В первую очередь это масштабы преступной деятельности, которых сумела достичь группа из пяти человек. Если данные анонимных источников из МВД верны, то для достижения числа 20–30 тыс. пострадавших, с учетом того что озвученные данные о потерпевших в разных регионах составляют от 150 до 400 человек, преступники должны были осуществлять хищения практически во всех 85 субъектах РФ.

Во-вторых, это затраты на подготовительный этап. Пользователь не попадет на нужный порносайт сам по себе, а рекламные SMS не рассылаются бесплатно. Если речь идет о 20–30 тыс.

успешных установок вредоносной программы, то попыток установки, в ходе которых пользователи начинали что-то подозревать и отказывались либо от установки, либо от предоставления администраторских прав, в несколько раз больше.

При этом рекламная сеть, даже если это сеть обмена порнотрафиком, взимает деньги за каждую попытку установки. То есть речь идет о миллионах рублей, что является существенным и довольно рискованным вложением для группки региональных преступников.

Если же допустить, что информация о 340 тыс. зараженных смартфонов соответствует действительности, то затраты на «продвижение» вредоносного ПО уже достигают порядка миллионов долларов.

Разработка мобильного трояна также задача непростая и отнюдь не дешевая.

С учетом существующего разделения труда среди киберпреступников – одни группы специализируются на разработке вредоносного ПО, другие на заражении пользователей, третьи на поддержании сетевой инфраструктуры, четвертые на выводе и легализации украденных денег – базовый код для модификации был либо куплен на черном рынке, либо предоставлен.

В-третьих, это объемы подозрительного сетевого трафика и денежных транзакций. Надо понимать, что службы безопасности банков имеют дело с кардерами – преступниками, специализирующимися на хищении денег с банковских карточек, – далеко не первый год, а сотовые операторы часто сталкиваются с SMS-мошенничествами.

Стандартная вредоносная программа скрывает свою работу неидеально: пользователь получает SMS об отказе в списании денег, а система мобильного банкинга получает множество неудачных запросов и даже блокирует клиента. Все это приводит к обращениям клиентов и попадает в поле зрения службы безопасности банка. Таким образом, можно отследить подобные запросы на списание денег по суммам, номерам счетов, куда переводятся деньги.

В случае постепенного хищения денег через зараженные смартфоны невозможно достичь подобного масштаба преступной деятельности. Если же перевод денег на счета преступников производится одновременно с множества счетов пользователей, то эти транзакции не могут остаться незамеченными.

Если взять минимальный размер списания 1 тыс. руб. и предполагаемое количество пострадавших 20 тыс. пользователей, получаем сумму 20 млн руб. Таким образом, при использовании 100 SIM-карт через каждый телефонный номер потребуется обналичить 200 тыс. руб., а при 1 тыс.

SIM-карт каждый член преступной группы должен был успеть снять деньги с 200 мобильных номеров.

Связанные с информационной безопасностью скандалы, гремевшие весь 2014 год, не утихнут и в этом году, прогнозируют аналитики. Усиление активности… →

Артем Баранов, ведущий вирусный аналитик ESET Russia, считает, что в этой истории достаточно много темных пятен, однако главное, по его мнению, что проведены следственные мероприятия, члены преступной группы задержаны, предполагаемый ущерб подсчитан, а вредоносное ПО идентифицировано.

«Кстати, если принять во внимание заявленный ущерб по стране, группа может быть значительно больше. Не исключено, что следственными органами раскрыты не все детали деятельности преступной группы, и, возможно, мы увидим новые аресты в будущем», – считает Баранов.

По мнению эксперта, пока без ответа остался главный вопрос: каким механизмом воспользовались злоумышленники для похищения средств? С вредоносным ПО или без него, невозможно просто взять и перевести денежные средства с одного счета на другой – нужно подтверждать операцию.

Но если сервис банка позволяет переводить средства без подтверждения, отправкой простого SMS-сообщения, эта услуга может обернуться катастрофой для владельцев зараженных устройств.

Инфицированный Android-смартфон будет бесконтрольно рассылать SMS, переводя средства, а злоумышленникам не потребуется даже доступ к аккаунту онлайн-банкинга.

В этом случае сама вредоносная программа может быть довольно простой, злоумышленникам достаточно написать анализатор входящих SMS и механизм генерации новых по определенному шаблону. Скорее всего, с помощью такой услуги можно переводить небольшие суммы (установлен лимит).

Что касается источников заражения, можно предположить, что ссылки на установку трояна приходили через мессенджеры и личные сообщения в социальных сетях, а также размещались на стенах пользователей соцсетей.

Для того чтобы не стать жертвой киберпреступников, специализирующихся на краже денег через интернет, антивирусный эксперт «Лаборатории Касперского» Виктор Чебышев дал читателям «Газеты.Ru» несколько простых советов.


1. Никогда не переходите непосредственно по ссылкам на сайты банков и других финансовых организаций. Чтобы не стать жертвой злоумышленников, надо обязательно вводить адрес вручную – эта элементарная мера предосторожности позволит вам не оказаться на поддельной странице, которая выглядит точно так же, как и оригинал.

2. Используйте только сложные пароли. Ваш пароль ни в коем случае не должен быть связан с вашей личностью, например, кличка собаки или девичья фамилия матери.

3. При передаче конфиденциальных данных используйте зашифрованное соединение. Понять, что соединение в должной мере защищено, можно, если адрес сайта начинается с https, при этом в адресной строке будет отображаться специальный символ, например иконка открытого замка.

Рекомендации для владельцев Android-смартфонов


1. Оплата через телефон или планшет – это очень удобно, однако существуют реальные угрозы проникновения на устройство поддельного приложения, которое полностью копирует и замещает собой оригинальное.

Скрывая настоящее приложение, это вредоносное ПО начинает запрашивать у пользователя учетные данные, пароли и другую конфиденциальную информацию, которая может быть использована для кражи денег и их перевода на счета злоумышленников.

2. Никогда не следует переходить по ссылкам в SMS/е-mail-спам-сообщениях. Если вы хотите установить какое-либо ПО на свое устройство, нужно скачивать его из официальных источников. Не забывайте обновлять ОС и установленные приложения, так как в обновлениях устраняются известные хакерам уязвимости.

На сегодняшний день на рынке есть разнообразные защитные решения, которые не только помогают бороться с проникновением на устройство вредоносных программ, но также способны защитить хранящуюся на смартфоне конфиденциальную информацию в случае утери или кражи гаджета.

Не стоит забывать о необходимости обновлять ваше защитное решение.

3. Не осуществляйте jailbreak/rooting устройства: при взломе официальной прошивки ваш девайс становится более уязвимым для вредоносных программ. Стоит также использовать программные средства удаленного блокирования (уничтожения) данных в случае утери (кражи) смартфона.

Источник: https://www.gazeta.ru/tech/2015/04/13/6637105/great-android-russian-robbery.shtml

Как защитить свой мобильный банк?

Как мне доказать кражу с моей банковской карточки и взлом мобильного банкинга?

У стремительно растущей популярности онлайн– и мобильного банкинга есть и обратная сторона.

Как отмечают эксперты, в последнее время все реже приходится сталкиваться со скиммингом – установкой на банкомат считывающих устройств.

Зато значительно участились попытки взлома систем дистанционного банковского обслуживания, кражи паролей в мобильных банковских приложениях и различные схемы «социального обмана».

По статистике Банка России, количество несанкционированных операций, проведенных через банкоматы или платежные терминалы в 2014 году, снизилось в два раза по сравнению с предыдущим.

Скиммеры атаковали банкоматы в 21% случаев, а доля незаконных операций в Сети достигла 65,8%. Всего в ЦБ за прошлый год зафиксировали почти 5 тыс.

попыток снять либо перевести чужие деньги через Интернет, а общая стоимость операций равнялась 1,64 млрд рублей. При этом подавляющее большинство попыток мошенников были успешными.

«Рост числа преступлений в сфере онлайн-банкинга в первую очередь связан со степенью проникновения систем ДБО: так, сейчас 40% клиентов нашего банка являются пользователями мобильного и интернет-банкинга, и эта цифра растет с каждым месяцем», – говорит начальник управления развития мобильных сервисов «МДМ Банка» Павел Михалёв.

Кроме того, эксперт связывает снижение уровня скимминговых атак с недавним введением уголовной ответственности за такие преступления. «В июне этого года вступили в силу поправки в Уголовный кодекс РФ, предусматривающие ответственность до 6 лет за скимминг, тогда как преступники, ворующие деньги у клиентов банка через digital, зачастую получают условный срок», – отмечает Павел Михалёв.

Эксперты и представители правоохранительных органов связывают это еще с несколькими факторами. Во-первых, повысился уровень защищенности банковских карт: с 1 июля этого года банки обязаны снабжать все выпускаемые карты чипом.

В отличие от «простых», оснащенных магнитной лентой, карты с чипами требуют ввода PIN-кода при каждой платежной операции.

А это усложнило жизнь скиммерам, которым, помимо перехвата данных о карте в банкоматах, теперь нужно добывать и PIN-код.

Вычисляя слабые места современных банковских технологий, мошенники изобретают всё новые способы обмана.

«Мошенники используют различные технические уловки, при этом большинство из них сводится к выманиванию у пользователя личной информации, необходимой для проведения операций с его счетами, – говорит начальник управления дистанционного банковского обслуживания ВТБ24 Елена Дегтева.

– Расчет делается на невнимательность и доверчивость – в частности, это фишинг (ссылка на поддельную страницу банка, на которой запрашивается логин и пароль для входа в интернет-банк, одноразовые коды, реквизиты банковской карты и т.п.

) или троянская программа, подкладывающая фальшивую интернет-страницу и направляющая введённые клиентом данные злоумышленникам».

Аналитическое агентство Markswebb Rank & Report провело исследование безопасности интернет– и мобильных банков. В исследовании изучалась надежность защиты систем ДБО 20 банков с наибольшим количеством пользователей онлайн-версии банка.

Во всех банках сотрудники агентства сначала действовали как клиенты, а потом – как мошенники. То есть сперва заводили дебетовые карты, регистрировались в соответствующих интернет-банках и пытались совершить покупки.

А затем пробовали подобрать пароль, перевыпускали сим-карту, привязанную к счету, и так далее.

Как показало исследование, в целом у российских банков не очень жесткие требования к безопасности.

К примеру, пять банков вообще не используют одноразовые пароли для аутентификации (входа в интернет-банк) пользователя, в двух банках SMS-пароль от одной операции можно использовать для подтверждения другой, а подтвердить номер телефона после перевыпуска сим-карты требуют только четыре банка, остальные продолжают присылать пароли на новый номер, рассказывает гендиректор Markswebb Rank & Report Алексей Скобелев.

Наибольшее количество баллов получили «Ситибанк», «Альфа-Банк», «Тинькофф Банк», ВТБ24 и «Русский Стандарт». Последние строчки в рейтинге достались Райффайзенбанку, «МТС Банку» и «Бинбанку».

Между тем, как рассказал начальник отдела развития интернет-банка физических лиц «Бинбанка» Евгений Локтев, система защиты онлайн-банка «Бинбанка» продумана до мелочей.

«Для входа в систему используется имя пользователя и пароль, для быстрого входа (когда приложение уже установлено и первый вход осуществлен) используется код или отпечаток пальца (для некоторых моделей телефонов, поддерживающих данную функцию), при входе в систему клиент получает сообщение о входе на зарегистрированный клиентом номер мобильного телефона, при совершении критических финансовых операций используются одноразовые пароли, которые также высылаются на зарегистрированный клиентом номер мобильного телефона», – перечислил он.

Эксперты сходятся во мнении: самой уязвимой частью мобильного банка является сам пользователь.

«Злоумышленник просто может подсмотреть логин и пароль для входа в мобильный банк – например, в кафе или транспорте, – говорит Павел Михалёв.

– Нередко пользователи также подвергаются атакам через так называемую социальную инженерию, когда злоумышленники обманным путем под видом знакомых или родственников выманивают у доверчивых людей персональные данные».

«Мошенники потрясающе изобретательны и великолепно умеют втираться в доверие, – согласенЕвгений Локтев, а потому рекомендует никому ни при каких обстоятельствах не давать информацию о себе, которая может быть использована для входа в интернет– или мобильный банк. – И это не всегда именно напрямую имя пользователя и пароль, но и персональные данные, знание которых может быть использовано мошенниками для изменения пароля через колл-центр банка».

А чтобы максимально усложнить задачу по взлому мобильного банка в случае утери или кражи смартфона или планшета, эксперты по банковской безопасности рекомендуют хорошо продумать пароль.

«Если говорить о технических методах проникновения в систему, то основным из них является «брутфорс» – простой перебор сочетаний логинов-паролей. Мы используем специальный метод для защиты от подобных атак, – рассказывает Павел Михалев.

– Даже имея логин и пароль к мобильному банку «жертвы», злоумышленник не сможет провести неавторизованные операции, потому что операции подтверждаются одноразовыми СМС-паролями».

Очевидное правило: пароль должен состоять из разных символов – прописных и строчных букв, цифр, значков (например, % или $). Стоит избегать очевидных цифровых (12345) и буквенных (qwerty, «пароль») комбинаций.

Пароли, которые легко ассоциируются с вами: фамилия, дата рождения или город – также небезопасны.

Павел Михалев также рекомендует использовать биометрическую аутентификацию в мобильном банке с помощью технологии Touch ID на iPhone и графического ключа на смартфонах на базе Android.

А тем, кто проводит в интернет– и мобильном банке операции на крупные суммы, а также хочет обеспечить максимальную безопасность платежам, Елена Дегтева рекомендует пользоваться генератором паролей. «Его можно использовать в течение нескольких лет, что позволит реже обращаться в офис банка», – напоминает она.

«Мошенники могут звонить или отправлять SMS-рассылки от имени банка для получения конфиденциальных данных: логина, пароля, одноразового кода подтверждения платежа, данных кредитной карты», – предупреждает начальник управления экономической безопасности АО «Райффайзенбанк» Вадим Будаев.

Как правило, на мобильный телефон клиента банка приходит SMS о том, что его банковская карта якобы заблокирована либо по ней осуществляются подозрительные трансакции. В сообщении настоятельно рекомендуется связаться со «службой безопасности банка» или «отделом безопасности Visa».

Здесь же указан и номер телефона для связи – как правило, мобильного, но с городским кодом.

При звонке на такой номер афера развивается по нескольким сценариям: чаще всего мошенник, выдающий себя за «работника службы безопасности банка», вынуждает доверчивого клиента сообщить свои паспортные данные и реквизиты банковской карты, после чего снимает деньги с его счета.

Иногда картой напрямую оплачивается счет мобильного телефона, после чего деньги обналичиваются через компанию – оператора связи. В другом случае, выполняя инструкции «сотрудника банка», клиент привязывает к мобильному телефону мошенника свой онлайн-банк, и тот опустошает его счет.

Еще один вариант: потерпевший по указанию мошенника вставляет свою карту в банкомат и вводит ряд команд «для разблокирования карты». На самом же деле эти команды обеспечивают перевод денег со счета потерпевшего на счет мошенника. Иногда, но гораздо реже, отмечает Вадим Будаев, злоумышленники используют менее «технологичный» метод мошенничества, суть которого в получении по поддельной доверенности SIM-карты, привязанной к мобильному номеру телефона жертвы.

Эксперты предупреждают: ни один российский банк, а тем более платежные системы Visa и Master Card никогда не производят рассылки SMS о блокировке карты и тем более о «подозрительных трансакциях».

Поэтому при получении подозрительного сообщения владелец банковской карты ни в коем случае не должен звонить по указанному номеру телефона, а немедленно обратиться в банк по телефону, который имеется на самой банковской карте.

Вернуть украденные мошенниками деньги крайне сложно. Прежде всего потерпевшему придется доказать, что он сам не «помог» аферистам получить доступ к своему счету.

«К сожалению, российское законодательство в данной области несовершенно, но по каждому факту мошенничества проводится расследование, – рассказывает Павел Михалёв.

– В тех случаях, когда клиент не нарушал условий банковского договора, мы всегда идем навстречу».

Так что сколь бы ни были совершенны применяемые банком технологии безопасности, они не имеют смысла, если пренебрегать элементарными правилами безопасности в Интернете.

Как защитить онлайн-банк: – никогда не скачивайте мобильное приложение банка на неофициальных ресурсах или со сторонних сайтов, так как они могут быть заражены вирусами, устанавливайте программы только через официальные магазины: Google Play, Apple Store, Windows Store; – владельцам мобильных устройств на базе Android рекомендуем в разделе «Настройки»-«Безопасность» убрать галочку с графы «Неизвестные источники», это позволит защитить гаджет от установки приложений со сторонних сайтов; – установите антивирус и регулярно осуществляйте сканирование гаджета, в настройках антивируса активируйте проверку приложений при установке; – не прибегайте к взлому системы защиты устройства: Root (на платформе Android) и Jailbreak (на платформе iOS), это значительно повышает уязвимость смартфона для вредоносных программ; – включите на устройстве функцию автоблокировки и защитите его паролем; – не храните на устройстве логины и пароли, номера карт, паспортные данные и прочую конфиденциальную информацию, чтобы она не стала достоянием посторонних в случае утери гаджета. – не открывайте подозрительных ссылок в Интернете, полученных по почте, в сообщении или из социальных сетей.

– будьте внимательны, и в случае нестандартного поведения устройства при использовании мобильного банка, появления запроса на предоставление дополнительной информации о платежных картах или отказа от регистрации устройства в сети оператора (SIM-карта недействительна) обращайтесь в банк для блокировки системы.

Источник: https://59.ru/text/business/54118331/

Банки обязали возмещать украденное с карточек украинцев

Как мне доказать кражу с моей банковской карточки и взлом мобильного банкинга?

Украинским банкам запретили безосновательно отказывать владельцам платежных карт в возмещении ущерба при кражах денег со счетов с использованием ПИН-кода. Верховный суд, рассматривая дело №6-71цс15, выдал общую правовую позицию: финучреждение имеет право не возвращать человеку пропавшие средства только, если сможет доказать, что хищение произошло по вине клиента.

«До сих пор финансисты не утруждали себя доказательствами, и лишь создавали иллюзию расследования. Но итог почти всегда был один: если деньги сняли в банкомате или расплатились в магазине, вводя ПИН-код (он нужен для чиповых карт), то ни о каких компенсациях и речи быть не может.

Дескать, код знает только владелец карты, и если он стал известен третьему лицу, то виноват только он, поскольку нарушил договор, в котором написано, что на нем лежит обязанность хранить его от лишних глаз. Финансисты делали вид, что не знают, как мошенники взламывают карты с магнитной полосой и крадут потом деньги.

 Даже если видео-камера банкомата фиксировала незнакомое лицо, когда оно крало деньги с карты, могли сказать: «А вдруг вы кого-то подговорили, чтобы вам сняли деньги, а теперь требуете компенсации». Вернуть деньги было крайне сложно. А теперь ВСУ постановил: не пострадавший должен оправдываться перед банком, а банк должен обстоятельно доказать передачу ПИН-кода посторонним.

Если не доказал — должен вернуть все, что пропало со счета», — рассказал старший партнер адвокатской компании «Кравец и Партнеры» Ростислав Кравец.

Банкиры с этим, конечно, не соглашаются, утверждая, что отказывали в компенсациях лишь в случаях, когда кража денег действительно произошла по вине человека.

«Большинство банков при рассмотрении заявлений о мошенничестве с картой клиента придерживаются правила, что потери лучше возместить. Другое дело, что банк не благотворительная организация и сначала проводит работу по изучению всех обстоятельств.

Если сомнений в том, что операция действительно не была санкционирована клиентом, а его вины в ней нет — скорее всего, деньги будут возвращены», — сказал нам начальник управления платежных карт Коммерческого индустриального банка Денис Мельник.

Хотя юристы говорят, что количество споров владельцев карт и банков в последнее время увеличивалось — по мере роста активности карточных мошенников.

«К сожалению, споры между клиентами и банками при исчезновении денежных средств после ввода ПИН-кода в банкомате — очень распространены в настоящее время. До сих пор чаша весов Фемиды чаще склонялись в пользу финансовых учреждений.

Банки опирались на тот факт, что клиент, в соответствии с заключенным договором, несет ответственность за ПИН-код и обязан держать его в тайне.

И человеку нужно было иметь сильную доказательную базу для разрешения спора в свою пользу», — говорит партнер АО «СК Груп» Юлия Курило.

База должна быть настолько сильной, чтобы владельца карты в итоге не смогли посадить. Некоторые банки пугали этим особенно рьяных спорщиков за пропавшие деньги.

«Самой негативной для клиента может оказаться ситуация, когда банк для того чтобы доказать вину владельца карточного счета в исчезновении денег с карт после введения ПИН-кода, может инициировать в отношении клиента уголовное производство по делу о мошенничестве.

Если правоохранительные органы сочтут обоснованным заявления банка о преступлении, то в лучшем случае клиенту придется принять участие в некоторых следственных действиях, в худшем — оказаться на скамье подсудимых», — объяснил ситуацию юрист юрфирмы FELIX Святослав Бартош.

Из-за сложной экономической ситуации финансисты готовы тянуть до последнего — только бы подольше не компенсировать человеку украденное мошенниками. Потому, чтобы по максимуму сократить расследование финансистов, а может и обойтись и досудебных расследованием и мировой выплатой компенсации, юристы дают обманутым жуликами людям несколько советов.

«Приложите все усилия, чтобы как можно быстрей письменно уведомить банк о хищении денег с карточного счета. При этом соберите как можно больше доказательств того, что вы в этот момент не могли пользоваться картой.

Это могут быть, например, отметки в паспорте (в случае пребывание за границей), чеки из магазинов (заправок), видеозаписи, показания свидетелей, даже свидетельство нотариуса о факте пребывания вас в каком-то месте (если разница в расстояниях между вашим местом пребывания и местом снятия денег довольно большая). Если платежная карта осталась при вас, то обязательно предоставьте ее в ближайшее отделение вашего банка с сопроводительным письмом. Все эти действия помогут собрать доказательную базу в будущем споре с банком, если он откажется возвращать незаконно списанную суму», — подытожил Святослав Бартош.

Елена Лысенко

Источник: https://minfin.com.ua/2015/05/27/7269710/

Как можно украсть данные вашей банковской карты

Как мне доказать кражу с моей банковской карточки и взлом мобильного банкинга?

Мошенничество с банковскими картами — популярный вид бизнеса в даркнете. В нём, как догадываетесь, ровно ноль легального. Увы, это не мешает ему развиваться вовсю.

Рассказываем, как и где в даркнете получают данные банковских карт. И что с ними происходит дальше.

Примечание: вся информация в этой статье даётся в ознакомительных целях. Помните, что любые действия с чужими картами – уголовное преступление.

Главный вопрос. Как всё-таки получают данные чужой карты?

Методов очень много. Многие из них можно распознать с опытом, а некоторые – только вручную, пошарившись руками по банкомату или заметив неладное с ним заранее.

1. Ставят скиммеры на банкоматы

На банковской карте есть магнитная полоса, с которой банкомат, терминал и другие устройства считывают информацию. Это вы точно знаете.

Но если на банкомат установить собственное считывающее устройство, данные до банка не дойдут.

Такие считыватели называются скимерами. Обычно это щель для считывания данных с магнитной полосы и фальшивая клавиатура для кражи пин-кода.

Вместо клавиатуры могут использовать камеру: она обходится недорого и подходит для любого банкомата. А клавиатуру приходится подбирать под конкретную модель банкомата.

Чип на карте не защищает от скиммера. Выше пример, как выглядит скиммер для карт с чипом.

2. Крадут через кассы и терминалы

POS-терминалы – это штуки, к которым вы прикладываете айфон или прокатываете карточку, когда оплачиваете покупку. Если установить на них вредоносное ПО, то данные с банковской карты можно попросту украсть.

Этим способом нередко злоупотребляют в кафе, на заправках, на кассах супермаркетов. А главное, жертва скорее подумает на вирус, заразивший его компьютер при интернет-оплате, чем на поход в магазин.

Недавно троих граждан Украины арестовали за кражу данных 15 млн (МИЛЛИОНОВ!!!) карт. Они заражали компьютеры с кассовыми аппаратами, затем рассылали письма от Комиссии по ценным бумагам и биржам США и от различных отелей.

Самый известный российский кардер Роман Селезнев также крал данные карт пачками в США. Порой их хранили просто в текстовых файлах на кассовых компьютерах.

Селезневу дали 27 лет тюрьмы. Не будьте как Роман.

Вариант со скимером также возможен, но скорее теоретически. Слишком заметен считыватель на небольшом терминале, который всегда на глазах.

Но в США на заправках была целая эпидемия со скиммерами, которые внедряли в терминалы.

3. Запоминают данные карт

В барах, ресторанах и кафе официанты нередко забирают вашу карту с собой и уносят к кассовому аппарату. Несложно запомнить номер, дату окончания срока и CVC/CVV-коды по дороге.

А ещё проще сфотографировать лицевую и оборотную стороны карты, пока клиент не видит.

4. Используют фишинговые приложения и сайты

Сверстать сайт, который выглядел бы точь-в-точь как оригинальный, можно меньше чем за $100. Приложение немного дороже. Отдельную страницу отрисуют за пару часов и тысячу рублей.

Чаще всего копируют сайты и приложения банков, реже популярных интернет-магазинов. Самое дорогое в этой схеме — купить или разработать фишинговое приложение или организовать рассылку по нужной базе данных.

Мошенникам нужно распространить ссылку на фишинговый сайт или приложение, заставить пользователя вбить данные для доступа в фальшивую форму.

Кроме того, фишинговые приложения часто перехватывают SMS для авторизации. Всего этого достаточно, чтобы снять деньги с вашего банковского счета подчистую.

Фишинговых сайтов сотни — только служба безопасности «Сбербанка» выявила и добилась блокировки 600 доменов.

На фишинговые письма ведутся 48% пользователей. Практически каждый второй. Возможно, и вы однажды попались, просто не заметили.

5. Взламывают сайты интернет-магазинов, авиаперевозчиков и др

Заказывая товары или билеты в интернете, вы можете лишиться денег не только на фейковом, но и на реальном сайте. Такие случаи относительно редки и часто придаются публичной огласке.

К примеру, западные ритейлер Sears и авиакомпания Delta признали, что их подрядчика по чат-поддержке взломали, в результате пострадали клиенты. Утекло около 100 тыс. записей о картах от Sears и сопоставимое количество данных от Delta.

Ещё один пример — премиальные американские ритейлеры Saks Fifth Avenue и Lord&Taylor. Хакеры взломали их платежную систему и собрали данные о 5 млн банковских карт. 125 тыс. записей о картах выставили на продажу.

Одеваются в магазинах люди небедные. Так что даже если 125 тыс. записей умножить на $10 тыс. в среднем на счету, можно больше не работать. Никогда.

6. Перехватывают данные в открытых Wi-Fi-сетях

Халявный Wi-Fi небезопасен, iPhones.ru уже писал об этом. Да и домашние роутеры нередко взламывают люди «с улицы».

Инструментов для этого хватает, даже в даркнет лезть не нужно. В итоге уведут не только аккаунт в , но и деньги с банковского счета.

6. Вам звонят и представляются сотрудником банка

Номер вашей банковской карты находят на сайте объявлений, посте для сбора пожертвований, да даже в чате WhatsApp, где все скидываются на цветы к 1 сентября.

https://www.youtube.com/watch?v=0gAAWHbBFDw

Затем вам внезапно звонят якобы представители банка и под предлогом повышения безопасности / разблокировки карты / подтверждения платежа заставляют выдать всю информацию о карте или аккаунте онлайн-банкинга.

Самый главный момент: мошенники под видом сотрудника банка просят сообщить код подтверждения операции, который придёт в SMS.

На вас это, может, и не подействует. Но менее опытных юзеров вроде вашей бабушки обычно облапошивают именно так.

Отменить операцию и доказать, что владелец аккаунта не виноват, в таких случаях крайне сложно. Ведь получается, вы номинально подтвердили операцию кодом, ничего несанкционированного не случилось.

7. Сотрудник банка хочет помочь в личке соцсети

Жертв находят в пабликах банков ВКонтакте и на форумах.

Якобы представитель финучреждения связывается с пользователем, который задал вопрос в официальной группе или на странице банка. Обещает решение проблемы. Или золотые горы, кредит по гуманным 5% в год и тому подобное.

Для продолжения просит данные карты, счета, аккаунта онлайн-банкинга, контрольные вопросы или что-нибудь ещё, что позволит «подтвердить личность». Спорим, знаете, что будет дальше?

8. Собирают инфу через безобидные приложения

И такое бывает. Недавний скандал вокруг Burger King тому подтверждение.

Разработчики, конечно, списали всё на улучшайзинг и «всё делаем для пользователя, мамой клянус», но факт остаётся фактом. Какие ещё приложения крадут банковские данные, расскажем скоро в отдельном материале.

Итак, данные банковской карты украли. Что происходит дальше?

Чаще всего ими пользуются кардеры. Они напрямую сливают деньги с вашего счета на свой (другую ворованную карту, карту случайного дропа и т. п.).

Либо, чтобы не попасться, заказывают с вашей карты товары или подарочные сертификаты в интернет-магазинах. Пока жертва оклемается, успевают обнулить карту и залезть в максимальный овердрафт.

Окей, допустим, у меня украли данные. Что делать?

При первом подозрении НЕМЕДЛЕННО блокируйте карту или вообще весь счёт. Бросайте всё, срочно.

Почти все онлайн-банки и приложения российских банков позволяют сделать это мгновенно без лишних подтверждений. Объяснять ситуацию будете позже. Оставлю несколько примеров для пары крупных банков РФ.

Сбербанк, «Сбербанк Онлайн»:

1. На главной странице в списке карт или на странице с информацией о карте нажмите «Операции» напротив нужной карты.

2. Выберите «Заблокировать».

3. Заполните форму создания заявки и нажмите «Заблокировать».

4. Нажмите «Подтвердить по SMS», введите одноразовый пароль, который вам отправит банк.

Если нет возможности зайти в приложение или сайт Сбербанка:

  • Звонок на номер службы поддержки: 900 с любого мобильного, 7 495 500 5550 по Москве, 8 800 555 55 50 из любого другого города РФ. Работает круглосуточно.
  • Отправка SMS на номер 900. Формат: БЛОКИРОВКА****Х», где **** – последние цифры номера банковской карты, а Х – причина блокировки. 0 обозначает, что карта утеряна; 1 – подозрение в краже; 2 – карту не вернул банкомат; 3 – другие причины. Дождитесь SMS с кодом подтверждения. У вас будет 5 минут, чтобы отправить его обратно, иначе карту не заблокируют.
  • Визит в отделение банка. При себе нужно иметь паспорт или другой документ с фото.
  • Введение неправильного пин-кода. Трижды.

Альфа-Банк

В онлайн-банке «Альфа Клик» заблокировать карту можно со страницы «Карты».

1. Авторизуйтесь в сервисе, наведите курсор на поле с активной картой.

2. Нажмите «Заблокировать», подтвердите.

Либо выберите в главном меню «Мои карты» —> «Блокировать карту». Аналогично это работает в мобильном приложении.

Если приложения или браузера под рукой нет, можно отправить SMS-сообщение «block» на номер 2265. В ответ вам придет список карт с обозначением последних четырех цифр каждой из них.

Отправьте второе сообщение: «block *xxxx», где хххх – четыре последние цифры номера блокируемой карты.

Ещё помогает звонок по телефону на номер 0 800 50-20-50. Наконец, карты блокируют в офисах «Альфа-банка». Равно как и любого другого банка, который выпустил вашу карту.

Помните: счет идет на секунды! Чем быстрее вы заблокируете карту, тем меньше шансов у злоумышленников. Любую скомпрометированную карту стоит перевыпустить.

Не забудьте также поменять все логины и пароли, которые могли попасть в руки мошенников.

Полезные советы. Как не дать украсть данные своей карты?

Будьте внимательны, когда переходите по ссылкам. Проверяйте адрес в адресной строке и подлинность формы в приложении.

По статистике Google, 12,4 млн пользователей в 2017 году стали жертвами фишинга.

Да, 78% пользователей знают, что опасно переходить по подозрительным ссылкам. Но 56% всё равно переходят по ссылкам из e-mail, 40% – по ссылкам в . Угроза ближе, чем вам кажется.

Не сообщайте никому больше, чем номер карты. Для перевода денег этого достаточно.

Осматривайте банкомат перед тем, как вставить в него карту. Если одни детали выглядят новее других или не подходят по цвету, не снимайте в нем деньги.

Меньше шансов нарваться на скиммер в банкомате в отделении банка, в холле приличной гостиницы или другом зале с надёжной охраной.

Не верьте в распродажи авиабилетов за копейки, скидки 80% на фейковых сайтах, кредиты под 1% в месяц от микрофинансовых организаций. Вроде очевидно, но сколько обманутых!

Не пытайтесь снять блокировку карты по ссылке из e-mail или сообщения в мессенджере. Если возникла проблема, звоните в банк по номеру, который указан на вашей карте.

Используйте двухфакторную авторизацию везде, где это возможно.

Не записывайте PIN-коды банковских карт на бумаге. И тем более на самой карте или в кошельке. Да, такое сплошь и рядом.

Сама так сделала: сотрите или закрасьте CVV2-код на обороте карты. Только запомните его перед этим. Если забудете, можно будет восстановить в банке или сделать запрос в некоторых банковских приложениях.

Заведите отдельную карту для интернет-платежей и мелких трат. Переводите на неё деньги непосредственно на расходы.

Не давайте никому карту в руки. А лучше перейдите на карту с чипом для бесконтактной оплаты или Apple Pay, Android Pay, Samsung Pay.

Не пользуйтесь интернет-банкингом через открытый Wi-Fi. Да и вообще через Wi-Fi. Наконец, если вам звонят из банка, выслушайте, запишите разговор и перезвоните на официальный номер банка, который указан у вас на карте.

Что ещё можно сделать, чтобы защитить себя

Пожалуйтесь на фишинговый сайт в Яндекс».

Посмотрите на 2IP.ru whois домена, свяжитесь с хостером, сообщите о фишинге.

И ещё один важный пример напоследок

В январе 2018 года взломали сайт производителя смартфонов OnePlus и несколько месяцев воровали данные банковских карт покупателей.

Производитель официально признал, что «часть пользователей пострадала».

А в бете прошивки OxygenOS Open Beta 2 нашли интересную функцию приложения буфера обмена: в файле badword.txt оказалось много ключевых слов вроде address, email, home, birthday.

Другие файлы позволили установить, что OnePlus отправляет IMEI и другую информацию на сервера teddymobile — компанию, которая идентифицирует пользователей по SMS-сообщениям.

Так что иногда достаточно просто купить не тот смартфон, чтобы слить данные собственной банковской карты.

P.S. Каждый раз, когда вы расшариваете эту статью, у фишеров становится на десяток жертв меньше. Берегите себя и своих близких.

поста:

(4.75 из 5, оценили: 8)

Источник: https://www.iphones.ru/iNotes/kak-kradut-dannye-bankovskih-kart-08-08-2018

Правовая помощь
Добавить комментарий