Чи справді безпечні банківські карти без номера?

Українські Альфа-банк і monobank практично синхронно заявили про випуск перших платіжних карт без реквізитів. Банки стверджують, що використання такої карти є максимально безпечним. Однак все не так однозначно …

З 15 жовтня Альфа-Банк починає випуск платіжних карт без нанесення реквізитів. Вся основна ідентифікаційна інформація (номер картки, термін дії та CVV-код) більше не буде надрукована на карті, замість неї банк вкаже тільки ім’я власника карти. Насправді, всі ці реквізити звичайно ж є, просто вони перемістяться в мобільний додаток відповідного банку і будуть доступні власнику в його смартфоні. У розділі «Номер карти та реквізити» він побачить повний номер карти й термін дії, а CVV-код – тільки після введення одноразового SMS-пароля при запиті «Отримати CVV».

Альфа-Банк Україна заявляє, що таким чином він забезпечить високий рівень безпеки та зручності в момент оплати карткою, де б вона не відбувалася – в транспорті, в кафе або торговому центрі, оскільки у шахраїв просто не буде шансу підглянути реквізити карти. Карти Travel і Platinum Black стануть першими картами без номера. Надалі Альфа-Банк поступово застосує даний формат і до інших карт.

Дійсно, номер картки, дату і навіть CVV-код досить просто підглянути та сфотографувати за допомогою камери смартфона, перебуваючи біля каси в той момент, коли покупець розплачується карткою де-небудь в торговому центрі. Власне, згідно зі статистикою, чи не кожен другий клієнт оплачує покупки платіжною карткою, тому довго чекати «безготівкового» покупця не доведеться. Крім того, як показують спостереження, продавці в супермаркетах чомусь вважають, що безконтактні карти краще спрацьовують, якщо їх прикласти до термінала CVV-кодом вгору.

Номер карти та термін дії не є такою вже секретною інформацією (згадаємо, що багато людей без всяких побоювань публікують номер карти в інтернеті, коли збирають матеріальну допомогу та інше), а CVV-код на «пластику» легко (і варто) заклеїти. Але, навіть якщо шахрай дізнається про всі реквізити, він не зможе зняти гроші з картки, не дізнавшись про код 3D-Secure, який банк висилає в SMS. І ось тут починається найцікавіше: якщо у злочинця вистачить вправності виманити у майбутньої жертви код 3D-Secure, то він зможе видурити й всі інші банківські реквізити. Більш того, в деяких випадках зловмисникам взагалі не потрібно знати будь-які реквізити по карті.

Нижче ми зібрали основні способи розкрадання грошей з вашого карткового рахунку, коли злочинця не цікавить ваш номер картки та CVV-код.

Афера з «захищеним» банківським рахунком

Це шахрайство, як і більшість інших, пов’язаних з картковими рахунками, складається з двох кроків. Крок перший:  увійти в довіру. Крок другий: примусити жертву виконати бажані дії по переказу грошей.

Такий алгоритм цілком логічний: перш, ніж ви наважитесь зробити якісь дії з вашим рахунком, до яких вас буде підштовхувати шахрай, ви повинні повірити йому. Тому злочинець, представившись співробітником банку, може довго розповідати вам про те, що служба безпеки банку виявила різні підозрілі оборудки, як шахраї обдурюють клієнтів банку, і що ви повинні остерігатися певних програмних додатків, певних сайтів і певних сумнівних платежів. Наприклад, можуть бути такі питання: «Чи не були загублені або вкрадені, банківські картки, чи не передавали третім особам? Чи не оплачували чи товар в сумнівних інтернет-магазинах останнім часом?». Найцікавіше полягає в тому, що такі застереження загалом є цілком вірні! Однак це лише свідчить про те, що для вас шахрай приготував інший спосіб обдурення, а не один з тих, які були перераховані в його питаннях.

Наступний крок зловмисників – змусити вас переказати гроші на інший рахунок, який насправді є банківським рахунком злочинців. І ось тут фантазія аферистів може піти дуже далеко. Наприклад, нещодавно на форумах досвідчені користувачі повідомили про наступний хитрий алгоритм виманювання грошей. Перше – зловмисники повідомляють, що на ваших рахунках зафіксована підозріла активність, ніби хтось намагається поцупити всі ваші гроші. Друге – вам пропонують терміново зняти всі гроші з вашого рахунку в банкоматі, оскільки в безготівковому вигляді їх зберігати небезпечно. І третє – всі ці гроші потрібно покласти на «спеціальний захищений» банківський рахунок і негайно отримати «премію» від банку в якості «компенсації за неспокій». До речі, саме ця «премія» і є головною приманкою, адже без неї потенційна жертва може відмовитися знову класти гроші на рахунок після того, як вони були зняті через банкомат. Зайве пояснювати, що «спеціальний захищений» банківський рахунок в реальності належить аферистам.

Алгоритм, на перший погляд, здається складним і нереалістичним, проте зловмисники діють вміло, підкріплюючи телефонні переговори скан-копіями документів від банку (звичайно ж, липовими) та іншими речами. Крім того, шахраї в процесі розгортання афери ніде не питають номер карти, CVV-код, PIN-код та інші секретні речі, чим притупляють увагу жертви.

Злам персонального онлайн-кабінету

Цей тип шахрайства особливо небезпечний, адже дозволяє зловмиснику  розпоряджатися грошима на всіх ваших картках.  Щоб дізнатися про ваш логін та пароль входу, злочинці використовують фішингові сайти, що імітують оригінальні банківські веб-портали. Правда є одна проблема – для виконання більшості фінансових операцій потрібен одноразовий пароль, що надсилається в SMS. Та зловмисники знають, як його отримати – вони дзвонять ніби від імені співробітника банку і розказують користувачу чергову байку про те, що на його банківських рахунках зафіксована підозріла активність, і для «блокування» цієї активності клієнт банку має повідомити SMS-код, який надійде на його телефон через кілька секунд.

Крім того, більшість банків пропонує зараз персональний онлайн-кабінет в мобільному додатку. Тому злочинці видумали новий і дуже небезпечний спосіб крадіжки ваших грошей – це розповсюдження троянської програми для смартфона, яка здатна перехоплювати логіни/паролі і навіть SMS-коди двофакторної аутентифікації.

Так, в минулому році вірусна лабораторія ESET виявила мобільний банківський троян для Android, який маскується під додаток з прогнозом погоди на Google Play.  Троян розпізнає популярні банківські додатки, збирає логіни і паролі за допомогою фальшивих форм введення і направляє ці дані своїм операторам. Функція перехоплення текстових повідомлень дозволяє обійти двофакторну аутентифікацію на базі SMS.

Фейкові продажі

Ще один поширений метод аферистів – збут товарів через соціальні мережі, дошки об’яв типу OLX та інші. Суть в тому, що шахраї публікують оголошення про продаж будь-якого дефіцитного товару, до того ж таки виставляють його вартість на 10-20% нижче, ніж в середньому на ринку. Водночас вони вимагають повну або часткову передоплату. Зайве говорити про те, що після отримання грошей злочинці зникають разом з ними назавжди.

Фейковий інтернет-магазин, на сьогодні вже неіснуючий. Підозріло низька ціна на товар (як на той час), граматичні помилки в опису товару та вельми дивне доменне ім'я

Фейковий інтернет-магазин, на сьогодні вже не існує. Підозріло низька ціна на товар (як на той час), граматичні помилки в опису товару та вельми дивне доменне ім’я

Ще один спосіб – створення і розкрутка фейкових інтернет-магазинів. Досить просто виявити підробку, якщо дизайн і доменне ім’я сайту не скопійовані з відомих брендів. Гірше, якщо злочинці намагаються скопіювати дизайн відомого і солідного інтернет-магазину, а доменне ім’я фейкового ресурсу відрізняється буквально на один-два символи. Тут потрібно бути просто дуже уважним.

Крім того, щоб не попастися на вудку шахраїв, не варто вестися на підозріло низькі ціни – зазвичай так збувають або товар низької якості, або товар, якого взагалі немає в наявності чи його ніхто не збирається вам відвантажувати. Якщо ж ви плануєте купувати що-небудь на платформі OLX, вимагайте від продавця продажу тільки через послугу OLX-доставка – так ви значною убезпечите себе від шахраїв.

Виграш в лотерею

Ще один популярний спосіб шахрайства – нібито виграш в лотерею або в якій-небудь акції, що проводиться роздрібним магазином, банком або виробником товарів. Зазвичай споживач отримує SMS з повідомленням, що він став переможцем та потрібно передзвонити за вказаним номером телефону, щоб забрати подарунок. Оскільки отримувати подарунки приємно всім, то багато людей передзвонюють за тим номером, щоб уточнити, де і на яких умовах можна забрати виграш. Та замість подарунка аферисти починають вимагати від клієнта певну суму грошей (як правило, не дуже велику) нібито за пересилку або оформлення виграного товару. Розрахунок йде на те, що людина без особливих зволікань заплатить гроші, тим більше, що сума невелика. Але якщо такі суми перекажуть десятки й сотні людей, то злочинці отримають хороший куш.

Типова SMS про нібито небувалий виграш. Розрахунок на те, що людина, яка його отримала, щонаймене зателефонує за одним з вказаних телефонів

Типова SMS про нібито небувалий виграш. Розрахунок на те, що людина, яка його отримала, щонайменше зателефонує за одним з вказаних телефонів

Висновки

Наведений вище аналіз прийомів злочинців показує, що платіжна карта без реквізитів не зможе забезпечити високий рівень захищеності, якщо сам власник карти є довірливим та малограмотним споживачем. Тому, незалежно від того, якою картою ви розраховуєтесь, потрібно запам’ятати два основних правила: «Безкоштовний сир буває тільки в мишоловці» і «Вранці стільці – ввечері гроші». Тобто, не треба вестись на занадто дешеві товари й не варто платити гроші за них наперед, за винятком тих випадків, коли мова йде про дійсно перевірені та солідні інтернет-магазини.

ЧИТАЙТЕ ТАКОЖ:

Читайте также:

Як спеціальні датчики можуть дізнатися про пожежу ще до її виникнення

10 найстрашніших комп’ютерних вірусів в історії

Захист персональних даних українців залишається одним із найбільших викликів у кібервійні росії проти України

Звіт «Туман війни» від Google або як війна в Україні змінила ландшафт кіберзагроз