Мошенничество с банковскими картами

В офлайн преступники воруют данные карт с помощью скимминга — установки на АТМ устройств, считывающих номер, срок действия карты, PIN-код. В Сети — путем фишинга (кража логинов и паролей клиентов через Сеть с помощью сайтов-двойников и рассылку троянов на персональные компьютеры пользователей).

По данным Zecurion, за январь–июнь 2016 года злоумышленники похитили с помощью скимминга 900 млн рублей, с помощью фишинга — 140 млн рублей. Доля офлайн-краж возросла на фоне снижения объемов краж денег с карт россиян в абсолютном выражении. В прошлом году на офлайн-мошенничество приходилось 84% похищенных с карт средств (1,56 млрд рублей), на онлайн — 16% (293 млн). А в 2014 году — 86% (1,88 млрд рублей) и 14% (307 млн) соответственно.

— Сложнее стало монетизировать те данные, которые получены через интернет-каналы, — пояснил «Известиям» руководитель аналитического центра Zecurion Владимир Ульянов. — Банки вводят дополнительные меры защиты от несанкционированных списаний, различные ограничения по операциям, многофакторную аутентификацию клиентов, профилирование пользователей. Всё это усложняет деятельность мошенников.

По словам Владимира Ульянова, злоумышленники в попытке увеличить охват аудитории вынуждены активнее работать с офлайновыми клиентами. Первыми в категории риска оказываются клиенты-пенсионеры из-за низкого уровня осведомленности по вопросам безопасности.

— Дополнительно к данным с магнитной полосы у пенсионеров практически всегда можно узнать (спросить, подсмотреть из-за плеча и т.д.) пин-код, — говорит Владимир Ульянов. — Впрочем, такие клиенты практически не пользуются электронными сервисами банков, и в этом смысле карточки пенсионеров более защищены от кражи данных в интернете.

Алексей Сизов, руководитель направления противодействия мошенничеству центра информационной безопасности компании «Инфосистемы Джет», отмечает, что банкоматы для злоумышленников стали интереснее, потому что цепочка от кражи данных до получения денег намного проще, чем в случае с онлайн-мошенничеством: скиммировал карту (установка оборудования занимает от нескольких секунд до нескольких минут), сделал подделку (это занимает минут пять), пошел и снял деньги.

— Фишинг не дает быстрого результата в чистом виде, — отмечает Алексей Сизов. — Украв только логин — пароль, нужно получить еще дубликат SIM-карты (SMS с одноразовыми паролями для совершения операций приходят на мобильный телефон).

Алексей Сизов обращает внимание на то, что реальные офлайн-мошенники никогда не идут к банкомату.

— Одни крадут данные с карт граждан, другие делают клоны, третьи снимают деньги, — поясняет представитель «Инфосистемы Джет». — Самый большой риск у последних, и таких, как правило, находят в интернете среди безработных.

По словам Владимира Ульянова, чаще всего атакам злоумышленников, специализирующихся на скимминге, подвергаются АТМ банков, лидирующих по размеру банкоматных сетей (Сбербанк, ВТБ24, Росбанк, «Уралсиб», Альфа-банк и пр.). Эксперт отмечает, что речь, как правило, идет о регионах, где требования ЦБ по безопасности банкоматов соблюдаются менее тщательно.

Мария Воронцова, ведущий эксперт по информационной безопасности InfoWatch, указывает, что физическая защита банкоматов от офлайн-мошенников мало где применяется, хотя такие решения на рынке информационной безопасности существуют уже давно. По словам собеседницы, банки «по старинке» обходятся организационными мерами, предпочитая осуществлять периодическую визуальную проверку банкоматов.

В банках не наблюдают роста офлайн-мошенничества.

— Мы видим абсолютное снижение объемов скимминга, — комментирует начальник управления пластиковых карт ВТБ24 Александр Бородкин. — Прежде всего это обусловлено переводом основной массы эмиссии в России на карты с чипом (скимминг по которым для злоумышленников крайне затруднен).

По словам директора дирекции мониторинга электронного бизнеса Альфа-банка Алексея Голенищева, объем средств россиян, похищенных офлайн-мошенниками, год от года снижается, банки постоянно повышают степень защиты своих АТМ.

— Больше средств мошенники уводят, заражая АТМ вирусами, подключаясь к cash-диспенсерам, — указывает представитель Альфа-банка. — Банкоматы похищают, взрывают. Но все эти атаки на АТМ не учитываются международными платежными системами и поэтому не отражаются в статистике.

В пресс-службе Сбербанка сообщили, что наблюдают активное развитие "социальной инженерии ": мошенники разными способами вводят клиентов банков в заблуждение и выуживают у них важную информацию, необходимую для доступа к счетам: коды, пароли и пр.

В 2015 году были приняты поправки в Уголовный кодекс, установившие ответственность за фишинг и скимминг (максимальный тюремный срок — 10 лет, максимальный штраф — 1 млн рублей). Но, по словам экспертов, проблема не решена: дела по хищениям с карт заводятся с трудом, а расследуются еще медленнее.

Риск столкнуться с мошенничеством, особенно если вы турист, выше всего в Мексике, Бразилии и США. В Европе - от 10 до 30 процентов. В России показатели тоже неутешительные - более 20 процентов. Приверженцы безналичного расчета этим летом тоже рискуют угодить в лапы преступников, причем, как показывает практика, из-за банальной невнимательности. Так, во время поездки в Вену с семьей американский турист Бен Тедеско забрел на площадь перед собором Святого Стефана и решил снять деньги в банкомате, установленном в стене. Поверх слота для карты он обнаружил приклеенный скиммер (считывающее устройство), снял его и зафиксировал произошедшее на видео, чтобы предостеречь туристов.

Мошенникам не повезло: Бен Тедеско оказался старшим консультантом по техническим услугам в области безопасности.

Схема работы скиммера проста: когда вы вставляете карту в банкомат, считываются данные с черной магнитной дорожки, после чего злоумышленники изготавливают дубликат вашего "пластика" и снимают деньги со счета. Недостающие данные, например, ПИН-код, как правило, получают через съемку скрытой миниатюрной видеокамеры.

Остальные данные преступники черпают из соцсетей, рассказал MarketWatch сотрудник ACI, занимающийся сбором данных о мошенничестве. По его словам, чем больше данных владелец карты выкладывает о себе в Сети (где живет, какую школу закончил, что и где предпочитает покупать), тем легче злоумышленникам собрать по кусочкам портрет жертвы и подтвердить ее личность в случае возникновения вопросов у банка.

Путешественники, несмотря на то, что знают о вероятности потерять деньги на карте, все еще не научились принимать меры предосторожности, говорится в исследовании платежной системы PayPal. 73 процента респондентов заявили, что уверены в сохранности средств и даже не думают об этом во время отпуска. Около половины держателей "пластика" хотя бы одним глазком следят за деньгами на счету.

Чтобы не попасть в такую ситуацию за рубежом, как турист в Вене, которому просто повезло избежать последствий, помните, что лучше всегда иметь при себе немного наличных при прилете в другую страну, советует главный стратег по безопасности Carbon Black Бен Джонсон. Если забыли взять с собой наличные, то лучше снять их в банкомате в офисе известного или знакомого банка, а не в уличном банкомате, вмонтированном в стену.

Однозначно избежать мошенничества через скиммеры позволит наличие чипа на карте, так как его преступники пока не научились копировать. С точки зрения защищенности неважно, какой тип "пластика" - кредитку или дебетовую - вы возьмете в поездку, говорит руководитель направления оперативного анализа и противодействия мошенничеству банка "Хоум Кредит" Алексей Манеркин. Оба типа карт находятся на одном уровне защиты.

Помимо простых советов вроде неразглашения своего ПИН-кода, эксперты также советуют избегать онлайн-оплату по карточке во время выхода в Сеть через незащищенные публичные точки Wi-Fi (в кафе, торговых центрах, на вокзалах, в аэропорте). Перед отъездом за границу и сразу после приезда меняйте пароль в личный кабинет, добавляет Бен Джонсон.

Если же кражи избежать не удалось, то незамедлительно сообщите об этом в банк-эмитент и заблокируйте карту. "Деньги вернут, если владелец не нарушал условия договора (в части пользования картой и правил хранения секретной информации) и сообщил о мошеннической операции в установленный законом срок. Это 24 часа", - заключает Алексей Манеркин.

Как воруют чаще всего

Самый популярный тип мошенничества, на который приходится более 66% случаев, относится к похищению информации о карте. Это номер карты, окончание ее срока действия, имя владельца и трехзначные коды CVV2 (Card Verification Value) или CVC2 (Card Validation Code), используемые для интернет-платежей. Чаще всего злоумышленники приобретают эту информацию на черном рынке. Компания McAfee Labs провела собственный анализ цен на подобные предложения и установила диапазон – от 5 до 200 долларов США за одну карту в зависимости от региона, детализации информации и количества денег на счету владельца. Данные о картах добываются хакерскими атаками на платежные системы, магазины и банки, а также похищаются непосредственно у владельцев.

Один из самых распространенных способов хищения – с помощью вирусов для смартфонов. Причем, по данным Group-IB, одной из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничеств, в России в конце 2014 – начале 2015 года таким способом было похищено примерно 100 миллионов рублей.

Украв данные о карте, мошенники чаще всего совершают покупки в интернете, а также делают денежные переводы на свои счета.

Основную опасность для пользователей мобильных устройств сегодня представляют банковские вирусы-троянцы, объяснил РИА Новости Владимир Кусков, аналитик угроз для мобильных платформ "Лаборатории Касперского". Это специальное вредоносное ПО, направленное на хищение финансовой информации пользователя.

"Для более глубокой интеграции в системе один из троянцев запрашивает получение администраторских прав и перекрывает своим окном стандартный системный диалог. В итоге пользователь, нажимая на кнопку "Да", не представляет, на что именно согласился. Также есть модификация вируса, которая запрашивает у пользователя разрешение стать основным приложением для работы с SMS. Это позволяет троянцу обойти ограничения системы и скрывать от пользователя входящие SMS сообщения от банков и платежных систем. Другое распространенное семейство банковских троянцев Svpeng всячески маскирует свое присутствие и пытается мешать работе некоторых популярных в России защитных приложений. Svpeng может красть информацию о банковских картах пользователя с помощью фишинговых окон, перехватывать, удалять и отправлять текстовые сообщения. Некоторые вредоносные программы на экране устройства перекрывают открытое легитимное банковское приложение фишинговым окном, имитирующим это приложение. Самыми примечательными примерами таких программ могут служить троянец Trojan-SMS.AndroidOS.OpFake.cc и представители семейства Trojan-Banker.AndroidOS.Acecard. Одна из модификаций OpFake.cc умеет перекрывать интерфейс более 100 легитимных банковских и финансовых приложений. Другое семейство Acecard перекрывает более 30 банковских приложений, к тому же имеет способность перекрывать экраны любых других приложений по команде от управляющего сервера" – делится деталями Владимир Кусков.

Другие способы похищения денег с карт

Следом за похищением информации о картах с большим отрывом следует кража карт и скимминг (считывание данных с магнитной дорожки карты), который теряет популярность по мере увеличения на рынке карт с чипами и замены устаревших платежных терминалов. Мошенники используют специальные накладки на платежные терминалы и слоты банкоматов, а потом изготавливают дубликат карты. Одновременно злоумышленники пытаются заполучить PIN-код, для чего используют скрытые камеры наблюдения и другие средства.

Полностью обезопасить себя от мошенников нельзя, но сократить риски в разы – запросто.

Советы по защите карт и данных

Всегда незамедлительно блокируйте застрявшую в банкомате карту. Мошенники используют специальные конверты-липучки, устанавливаемые в щель банкомата для приема карт. Вставленная карта попадает в этот конверт и не считывается банкоматом. Пока владелец разбирается с ситуацией, подошедший мошенник дает совет набрать на всякий случай на клавиатуре банкомата PIN-код. Разумеется, это не помогает. При этом PIN-код становится ему известным благодаря установке скрытой камеры. После ухода владельца карты, мошенник извлекает конверт и забирает карту себе.

Скрывайте трехзначный код CVV2 (Card Verification Value) или CVC2 (Card Validation Code) от посторонних глаз. Он расположен на обратной стороне карты и используется для подтверждения интернет-транзакций. Одни заклеивают его тонким непрозрачным скотчем, другие закрашивают маркером. Однако полностью удалять его не рекомендуется во избежание проблем при оплате в магазинах.

Старайтесь пользоваться банкоматами в отделениях банков. Уличные банкоматы наиболее привлекательны для скимминга.

Прикрывайте рукой клавиатуру при наборе PIN-кода. Особенно если вы снимаете деньги в незнакомом месте, или что-то вызывает у вас подозрения. Чтобы узнать PIN-код, мошенники могут устанавливать скрытые камеры как на самом банкомате, так и рядом с ним.

Используйте SMS-уведомления об операциях. В случае подозрительного платежа немедленно звоните в банк и блокируйте карту. При определенных условиях такие операции удается оспорить.

Храните на повседневной карточке минимально необходимую сумму денег. А для хранения больших сумм лучше открыть в банке дополнительные счета или карты и переводить с них деньги по мере возникновения потребности. Также через интернет-банк можно установить лимит на снятие наличных, чтобы минимизировать потери в непредвиденных случаях.

Никогда никому не сообщайте PIN-код. Социальная инженерия – целая наука. Чаще всего мошенники представляются сотрудниками банка с целью узнать PIN-код или код доступа к системе интернет-банкинга.

Установите на смартфон антивирус. Но избегайте продуктов малоизвестных компаний. Они сами могут оказаться вирусами-троянцами.

Никогда не устанавливайте никаких приложений вне официальных магазинов типа Google Play или Яндекс.Store. Особенно во время серфинга по Сети. Иногда запросы об установке какого-либо приложения могут появляться даже на проверенных сайтах ввиду размещения ими таргетированных объявлений Google Adsense. Вместе с объявлениями злоумышленники научились посылать запросы на установку приложений.

При возникновении неожиданной ошибки не вводите PIN-код повторно. Лучше отмените операцию, выньте карту и попробуйте провести оплату заново. Мошенники, вступившие в сговор с владельцем платежного терминала, могут перенастроить его таким образом, что первый запрос PIN-кода будет системным, а повторный – фиктивным. В этом случае они получат незашифрованный PIN-код и смогут его использовать при работе со сделанным дубликатом карты. Также платежные терминалы никогда не должны спрашивать коды CVV2 и CVC2.

При установке приложений всегда проверяйте список запрашиваемых ими разрешений, таких как отправка и чтение SMS-сообщений или доступ к списку контактов. При возникновении подозрений откажитесь от установки.

Не открывайте ссылки в SMS-сообщениях от незнакомых абонентов. Это самый распространенный путь попадания вирусов в систему.

О снижении числа воровства денежных средств с помощью методов социальной инженерии «Известиям» сообщила специализирующаяся на банковской безопасности компания Zecurion. Эксперты установила, что принципиально новых ходов кибержулики пока не придумали, а о старых трюках знают уже даже пожилые пользователи, которых оперативно информируют их дети.

Тем не менее, аналитики предупреждают, что в недалеком будущем непременно появятся новые методы вытягивания персональной информации о счетах и банковских картах, в том числе, с помощью данных в социальных сетях. В качестве базовой меры безопасности специалисты советуют не использовать в паролях доступах личную информацию.

— Нельзя указывать свои данные на подозрительных сайтах. Нужно иметь отдельные (не привязанные к карточкам) счета в банках для хранения сбережений, использовать усовершенствованные системы оплаты, создавать виртуальные карты или иметь специальную отдельную карту с функцией 3D-secure для платежей в интернете, — сообщил директор департамента аудита защищенности Digital Security Алексей Тюрин.

Новые методы обработки клиентов банков уже активно используют за рубежом, а значит вскоре традиционно они придут и в Россию, отмечают эксперты.

После того как в распоряжении таких людей оказывается банковская карта, они используют ее для совершения нелегальных операций. Так, например, на эти карты можно перевести преступные доходы и обналичить их, а также снять в банкомате средства с чужих интернет-банков или электронных кошельков.

Кроме того, участились и случаи смс-мошенничества, отмечают в ЦБ. Так, например, гражданину может прийти сообщение о том, что на его карте заблокирована определенная сумма и для ее разблокировки необходимо позвонить по указанному номеру телефона. В ходе этого разговора мошенники стараются выведать номер счета гражданина, кодовое слово и другие данные, с помощью которых они получат доступ к деньгам.

Дело не в опасности карт

Между тем говорить о низкой безопасности банковских карт сегодня не приходится, подчеркивает вице-президент по безопасности MasterCard в России Евгений Балезин. "На российском рынке за несколько последних лет в результате планомерных усилий уровень защищенности операций растет, и этот рынок находится в числе достаточно благополучных", — отмечает он.

Чаще всего проблемы с картами и кража денег происходят из-за клиентов банка. "Это так называемая "социальная инженерия", когда злоумышленники связываются с держателем карты, например, по телефону, представляются от имени банка и получают информацию о номере карты, PIN-коде, кодовом слове", — поясняет он.

Именно из-за высокого уровня безопасности банковских карт и продуктов хакерам уже не остается ничего, кроме как работать не над взломом систем, а над "взломом людей", соглашается с Балезиным зампредправления "Локо Банка" Андрей Люшин.

"Моделируются ситуации, когда человек сам дает мошенникам доступ ко всем счетам, причем инструментарий у преступников за последние два года серьезно увеличился", — подчеркивает Люшин. По его словам, такой способ украсть средства — самый удобный для мошенников, так как он не требует высоких затрат, а правоохранительным органам трудно доказать факт преступления.

Пенсионеры под прицелом

"Продавать карты могут только те люди, которые не понимают, зачем они им нужны. Они никогда не пользуются ими и рассчитывают получить выгоду, продав за небольшие деньги", — объясняет директор Центра "Федеральный методический центр по финансовой грамотности системы общего и среднего профессионального образования" Николай Берзон.

Большинство граждан не задумывается о том, что последствия могут быть самыми непредсказуемыми и опасными. Например, при помощи чужой карты и PIN-кода можно открыть онлайн-счет и делать с ним "все что угодно, вплоть до финансирования террористических организаций", предполагает Берзон.

Под ударом, скорее всего, окажутся пенсионеры, которые приходят в "Сбербанк" за своей пенсией со сберегательной книжкой. Карты, которые им выдал банк и на которые также перечисляется их пенсия, лежат дома "без дела" — значит, их можно продать, объясняет Берзон.

Поддерживает его и профессор кафедры прикладной макроэкономики НИУ ВШЭ Игорь Николаев. "Большинство граждан преклонного возраста хотят получать деньги только наличными. Даже если они и пользуются карточкой, то для того, чтобы тут же снять всю пенсию в банкомате", — отмечает он. Поэтому пожилые люди — первые претенденты на то, чтобы быть обманутыми.

Основные правила

Между тем передавать свою банковскую карту третьему лицу, как и все остальные важные данные, запрещено во всех банках, напоминает Андрей Люшин. "Если такой факт обнаружится, банк незамедлительно блокирует карту", — подчеркивает он. Но большинству граждан это неизвестно.

"Финансовая грамотность нашего населения оставляет желать лучшего, особенно в отдаленных от Москвы регионах", — сетует Николай Берзон.

Банки, платежные системы и непосредственно Минфин стараются бороться с этим: они проводят специальную программу, чтобы помогать гражданам избегать негативного опыта. Так, например, на таких курсах сегодня учится порядка полутора тысяч учителей, которым рассказывают, как преподавать экономику в школе и научить молодежь распознавать мошенничество.

Однако с молодым поколением проблем сегодня нет, уверен Николаев, гораздо сложнее объяснить новую информацию людям в возрасте. У Балезина из MasterCard есть для них свод "простых, но важных правил". Так, например, он напоминает, что при получении банковской карты необходимо подписать ее, подключить смс-оповещения, а также ни под каким предлогом нельзя никому сообщать ее данные: PIN-код, CVV, кодовое слово и пароли от интернет-банка.

"Люди должны понимать, что ни платежная система, ни банк не будут запрашивать подобную информацию — а для того, чтобы они это понимали, необходима постоянная образовательная работа, которая, к счастью, уже ведется", — подчеркивает Балезин.

"Сегодня около четырех часов утра на пульт вневедомственной охраны Главного управления Росгвардии по городу Москве поступила информация о том, что в одном из отделений банка, расположенном на Нахимовском проспекте, неизвестные с различных пластиковых карт обналичивают крупную сумму денег", — сообщили в пресс-службе.

Прибыв на место, сотрудники Росгвардии задержали четверых человек, которые пытались скрыться на автомобиле. При задержании подозреваемые попытались избавиться от денежных средств, раскидывая купюры по проезжей части.

Во время досмотра автомобиля сотрудники Росгвардии обнаружили 15 пластиковых карт с пин-кодами, оформленные на разные фамилии, десять мобильных телефонов, сим-карты и три миллиона рублей.

Задержанные оказались уроженцами Республики Удмуртии в возрасте от 23 до 28 лет.

Ведется разбирательство, и решается вопрос о возбуждении уголовного дела.

Хакеры используют несколько схем для обмана пользователей. Есть ресурсы, предлагающие вознаграждение за выполнение рутинной работы — например, заполнение анкет. Также кибермошенники действуют через сайты, предлагающие гражданам «беспроигрышные лотереи»: пользователю сети говорят, что он выиграл много денег, и обещают их перевести ему на счет. Или же это липовая благотворительность — гражданам просто так предлагаются деньги.

— Обычно все эти схемы так или иначе приводят пользователя к тому, что деньги ему вот-вот переведут, но нужно оплатить 300–400 рублей налога, комиссии, процента за конвертацию валюты, — пояснили в «Яндексе». — И на этапе дополнительной оплаты мошенники крадут конфиденциальные данные карт банковских клиентов.

Пользователь, разумеется, никаких обещанных денег не получает. По оценкам «Яндекса», общая сумма денежных средств, которые у граждан в итоге выманивают обманным путем, составляет минимум 20 млн рублей в месяц.

В «Яндексе» уточнили, что всего на уловки мошенников попадаются около 12 тыс. пользователей в сутки, часть из них гарантированно соглашается ввести данные карт в зараженных формах для оплаты налогов или комиссий.

— Мы блокируем такие сайты, — уточнили в «Яндексе». — На данный момент заблокировано около 2 тыс. сайтов, предлагающих легкий заработок в сети. Мошенники стали еще более изощренными, предлагая пользователям ввести данные карт, чтобы оплатить комиссию или налог.

По словам замдиректора департамента аудита защищенности Digital Security Глеба Чербова, масштаб проблемы прямо пропорционален численности платежеспособного населения, недостаточно информированного о потенциальных угрозах и мерах предосторожности при проведении платежных операций.

— Злоумышленники в первую очередь рассчитывают на беспечность своих жертв, избалованных простотой совершения интернет-платежей, — пояснил Глеб Чербов.— Впрочем, отличить настоящую платежную форму от поддельной практически невозможно, ничто не мешает мошеннику сделать ее визуально идентичной привычным для пользователя платежным страницам. Наличие рядом с полями ввода карточных данных, вызывающих доверие логотипов банков и платежных систем говорит лишь о том, что их туда поместили.

Эксперт уточнил, что замочек в адресной строке браузера, символизирующий безопасность передачи данных по сети, является индикатором лишь того, что введенные данные будут защищены от перехвата по пути, но совершенно не гарантирует, что принимающая сторона не окажется мошеннической.

По словам юриста адвокатского бюро А2 Екатерины Ващилко, мошенники стали чаще использовать клоны защищенных страниц Visa и MasterCard, созданные таким образом, что неспециалисту отличить их от настоящих достаточно сложно. В итоге ложное ощущение защищенности вводимых данных карты приводит к тому, что держатели добровольно сообщают злоумышленникам всю необходимую информацию.

Причем сами мошенники стали чаще скрываться под видом надежных нанимателей, указала представитель А2. По словам Екатерины Ващилко, привлечь нарушителей к ответственности по факту совершенного преступления сложно, поскольку счета, на которые выводятся средства, регистрируются на подставных лиц и чаще всего — за пределами юрисдикции российских судов.

По словам представителя Digital Security, всегда следует с особым вниманием относиться к названию и правильности написания имени ресурса в адресной строке, особенно если на платежную страницу вела ссылка из недоверенного источника — другой сайт, электронное письмо, сообщение в мессенджере. Эксперт отметил, что современные антивирусы и средства, встроенные в браузеры, по возможности блокируют доступ пользователей к неблагонадежным ресурсам, но только после того, как о них становится известно.

Начальник управления информационной безопасности Росевробанка Дмитрий Орлов напомнил, что для совершения интернет-платежей лучше использовать отдельную карту: так риск потерять все средства снижается.

В офлайне преступники воруют данные карт в основном с помощью скимминга — установки на банкоматы устройств, считывающих номер, срок действия карты, PIN-код. В Сети главным образом — путем фишинга. Это кража логинов и паролей клиентов через Сеть с помощью сайтов-двойников и рассылки троянов на персональные компьютеры пользователей. Как уточнили в Zecurion, снижение объемов киберхищений в 2017 году связано с усилением систем кибербезопасности банков. Повысить уровень защищенности банки заставило повышенное внимание Центробанка к их информбезопасности — так, специалисты FinCERT при Банке России начали участвовать в проверках кредитных организаций. Кроме того, регулятор собирается выпустить ГОСТ по кибербезопасности, готовится профстандарт для антихакеров.

В общем объеме киберхищений лидируют именно офлайн-кражи. При совершении операций в банкоматах нужно внимательно осматривать аппараты на предмет скиммеров, их можно обнаружить на ощупь на клавиатуре. Эксперты также наблюдают активное развитие «социальной инженерии» в офлайне: мошенники разными способами вводят клиентов банков в заблуждение и выуживают у них важную информацию, необходимую для доступа к счетам: коды, пароли. Чтобы избежать таких офлайн-краж, нужно критически воспринимать любые просьбы сообщить данные карт и сразу перезванивать в свой банк.

— Доля офлайн-мошенничества всё еще слишком велика: подавляющее большинство краж связано со скиммингом — 48% списаний, — отметили в Zecurion. — Наиболее актуальные угрозы в Сети — несанкционированный доступ к мобильному банку (13% онлайн-списаний), интернет-банку (28%), покупки через интернет-магазины с использованием реквизитов карт без физического их присутствия (25%).

По словам руководителя направления противодействия мошенничеству центра информационной безопасности компании «Инфосистемы Джет» Алексея Сизова, скимминг появился раньше фишинга, и это уже десятилетием отработанная схема, которую достаточно дешево эксплуатировать.

— Компоненты скиминговых устройств можно свободно купить в интернете с доставкой на дом и итоговой ценой готового устройства для клонирования карты до $50, — пояснил Алексей Сизов.

Впрочем, представитель «Инфосистем джет» не уверен в том, что офлайн-кражи будут всегда лидировать по объему ущерба. По прогнозам эксперта, к 2018 году объем хищений с банковских карт в Сети может превысить объемы скимминга. Банки совершенствуют свои системы кибербезопасности, но клиенты продолжают проявлять халатность. Они часто не устанавливают на компьютеры или смартфоны антивирусы, не используют для покупок в Сети отдельные карты, не включают SMS-уведомления для контроля за операциями по «пластику» и подтверждения входа с помощью двухфакторной аутентификации — например, с помощью кода, пересылаемого по SMS.

Чтобы не попасться на уловки мошенников в онлайне, эксперты советуют гражданам соблюдать все эти меры предосторожности.

В 2015 году были приняты поправки в Уголовный кодекс, установившие ответственность за фишинг и скимминг (максимальный тюремный срок — 10 лет, максимальный штраф — 1 млн рублей). Но, по словам экспертов, проблема не решена: дела по хищениям с карт заводятся с трудом, а расследуются медленно. В 2017 году был разработан профильный законопроект об ответственности за кражу электронных денег и денежных средств с карт, по которому предусмотрено лишение свободы сроком до трех лет. Госдума собирается рассмотреть его до ухода на летние каникулы, а утвердить в октябре.

В Zecurion уверены, что ужесточение ответственности принципиально не повлияет на количество краж денег с карт.

Сегодня в 07:48 - Мошенники придумали новую схему кражи денег с кредитных карт. На этот раз их мишенью стали люди, продающие товары на интернет-сайтах, пишут "Известия".

По информации издания, злоумышленники прибегают к так называемой социальной инженерии — они притворяются покупателями и обманным путём узнают CVV-код от карты.

— Злоумышленники достаточно ловко маскируют свои цели и подменяют понятия, например, код CVV они могут назвать нейтральным "номером счёта", — приводит издание слова главы компании Zecurion Владимира Ульянова.

По предварительным данным, потери клиентов от новой схемы обмана эксперты оценили в 200 млн рублей. А в прошлом году злоумышленники похитили с банковских карт россиян 650 миллионов рублей.

Согласно закону, банк может без согласия клиента приостановить работу карты на срок до двух рабочих дней, если транзакции носят подозрительный характер.

Кроме того, финансовые организации должны направлять в Центробанк информацию обо всех таких случаях или попытках провести такой перевод.

Цель закона — создание механизма по борьбе с хищением денег со счетов клиентов. Положения принятого закона направлены на защиту интересов как физических, так и юридических лиц.

Закон вступает в силу через 90 дней со дня опубликования.

МОСКВА, 11 окт — РИА Новости. В этом году у банковских мошенников появился новый инструмент — они выдают себя за сотрудников банков с помощью технологии подмены телефонных номеров. Об этом сообщается в отчете Центрального банка, который был представлен на форуме инновационных финансовых технологий Finopolis.

Отмечается, что технология подмены исходящего телефонного номера на номера, которые идентичны номерам колл‐центров банков, позволила злоумышленникам успешно выдавать себя за сотрудников банковских служб безопасности. Таким образом, они совершают хищения под видом блокировки подозрительных транзакций.

Зафиксирован значительный рост числа сообщений о номерах телефонов мошенников, поступающих в Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере ЦБ (ФинЦЕРТ). Центр отправил запросы на блокировку 4936 номеров мобильных операторов и номеров в коде 8‐800.

Как отметили в Центробанке, одним из ключевых рисков является человеческий фактор. Злоумышленники, к которым попали персональные данные, легко могут имитировать разговор с работником кредитной организации, страховой компании или госструктуры. При этом жертвы мошенничества, которые считают, что эта информация известна только им, поддаются на обман, называя контрольные слова, коды подтверждений и иные данные, которые предоставляют возможность мошенникам похитить денежные средства.

Эксперты ЦБ назвали главным фактором успеха мошенников низкий уровень "компьютерной гигиены". Под этим понимается переход по ссылкам из непроверенных источников, загрузка сомнительных приложений, отказ от использования антивирусных программ и игнорирование выдаваемых ими предупреждений. Это все позволяет мошенникам получить логины и пароли от личного кабинета жертвы или первичные данные по банковской карте. Вместе с тем, чтобы полностью провести платеж, злоумышленникам необходимы еще CVC‐ и CVV‐коды, а также одноразовый пароль для подтверждения операции.

Эту информацию можно получить лишь при личном контакте. Здесь решающим является второй фактор — а именно уровень критичности мышления в стрессовой ситуации. При этом стресс не обязательно должен иметь негативный характер: это сильное эмоциональное потрясение, которое может быть положительным и радостным, предупреждается в отчете.

Способы борьбы

Заместитель руководителя CERT Group-IB Ярослав Каргалев, комментируя отчет ЦБ, рассказал РИА Новости, что бороться с технологией подмены мошенниками телефонного номера банка можно, к примеру, используя блокировку номера.

По его словам, злоумышленники действительно звонят зачастую с подменных номеров, используя для этой цели специальные сервисы IP-телефонии, позволяющие осуществлять подмену номера, — либо просто маскируют его, используя вместо нулей 000 буквы ООО и так далее. Также они массово рассылают СМС либо сообщения в мессенджерах WhatsApp и Viber от имени банка или подключают автоответчик, сообщающий о проблеме и после этого подключающий к разговору "живого оператора" из колл-центра.

Эксперт отметил, что в блокировке подменных номеров имеются свои сложности. По данным Банка России, летом этого года резко увеличилось количество мошеннических звонков клиентам, и в июне-августе регулятор отправил операторам связи данные о более чем 2,5 тысячи номеров, с которых поступали звонки клиентам банков. При этом только 200 номеров были заблокированы.

"В остальных случаях отказано "ввиду отсутствия правовых оснований", — добавил Каргалев.

При этом он назвал любопытным тот факт, что в отчете ЦБ говорится, что из 2,5 тысячи телефонных номеров подменных оказалось лишь 198 . "То есть успех аферы не столько в "красивом номере", а в том, что мошенники имеют на руках подробную информацию о клиентах банков и профессионально "прессуют" жертву", — отметил эксперт.

По словам Каргалев, подмена номера — "вершина айсберга". Нужно вопрос комплексно, предотвращая попытки социотехнических атак, отметил он.

В заключение эксперт дал клиентам совет не доверять "красивым" номерам. "Даже если разговор с кем-то, кто представился сотрудником банка, выглядит супер-реалистично — никогда не сообщайте CVV или код из СМС, прервите разговор и сами перезвоните в банк по номеру, указанному на официальном сайте или банковской карте", — сказал он.