Точка зрения / февраль 2019
Не останься с пустым кошельком: 7 лайфхаков как обезопасить свои финансы и не попасться на уловки злоумышленников

Артем Гавриченков, технический директор Qrator Labs
Артем Гавриченков,
технический директор Qrator Labs
28.02.2019

В век информационных технологий кражи денег переместились в киберпространство. Современных мошенников хлебом не корми - дай придумать новый способ отъема средств у добропорядочных граждан, и банковские карты для этого - просто золотая жила. Расскажем об изощренных способах обмана и воровства денег и, главное, о том, как пользователям не попасться на крючок злоумышленников.

Больше карт - выше безопасность

Главный совет всем держателям банковских карт - иметь минимум две карты: зарплатную и дополнительную. Расплачиваться в магазинах зарплатной картой крайне не рекомендуется - для проведения повседневных операций следует использовать вторую карту (и это может быть карта другого банка), и средства на нее переводить исключительно в том объеме, в котором они могут понадобиться в ближайшие несколько часов или дней. Даже снимать деньги с основной карты не следует в ненадежных банкоматах вне крупных отделений самого банка.

Это позволит минимизировать риски мошенничества, поскольку даже в случае, если счет был скомпрометирован, клиент лишится лишь небольшой суммы денег. Вообще, операцию по переводу средств очень легко произвести "на ходу", используя мобильное приложение: усилия будут затрачены минимальные, при этом на другой чаше весов будет лежать потенциальное спасение всех средств на счету.

"Я работаю в вашем банке, мамой клянусь"

Нередко можно встретить ситуацию, когда клиенту банка звонит человек, представляясь сотрудником банка, и спрашивает у клиента пароль или SMS-код якобы для подтверждения ранее проведённой операции. Здесь важно понимать, что никакие данные по карте, пароль, содержимое полученных от банка SMS по телефону сообщать нельзя. Все специалисты банка обладают доступом к информации о пользователях в рамках полномочий, определенных для них политикой безопасности этого банка.

Если человек называет себя сотрудником финансового учреждения и требует от пользователя сообщить информацию, известную и самому клиенту, и банку, это означает одно из двух: либо человек не имеет доступа к этой информации, а следовательно, сотрудником банка не является, либо, если это действительно сотрудник, то, по внутренним политикам банка, такую информацию ему знать не положено. В обоих случаях можно констатировать, что происходит некая аномальная ситуация.

Что нужно в этот момент сделать: если входящий звонок идет с незнакомого номера, необходимо положить трубку и не продолжать разговор. Если же на экране телефона отображается название банка или номер, записанный в телефонной книжке, следует положить трубку и набрать этот номер заново, уточнив у оператора call-центра, был ли звонок действительно от специалиста банка и, если да, на что был уполномочен оператор и с какой целью.

Ни при каких условиях специалист банка не может запретить клиенту перезвонить в банк самостоятельно. Угрозы того, что в случае прерывания звонка заблокируется карта или счет клиента, в абсолютном большинстве случаев свидетельствуют о том, что звонящий является мошенником.

Отдельным моментом является политика предоставления премиальных банковских услуг в ряде банков. В случае если клиент пользуется премиальным обслуживанием, он получает личный номер персонального менеджера, с которым работает в дальнейшем. К этому необходимо относиться особенно настороженно: телефон сотрудника мог быть украден, потерян, злоумышленники могли получить дубликат его SIM-карты (об этом ниже) или просто подделать номер. Поэтому при каждом звонке с такого номера и попытке выведать какие-либо данные следует самому перезванивать в офис банка, не предоставлять никакие данные по телефону, а ключевую информацию сообщать исключительно лично в офисе банка.

Личные данные - под замком

Если раньше интерес для злоумышленников представляли любые данные пользователей, позволяющие провести незаконные платежи (номера карт, пароли, контрольные вопросы и ключевые слова), то тенденцией последних нескольких лет становится использование методов социальной инженерии, когда мошенники представляются знакомыми или родственниками клиентов для вымогательства у них средств. Потому теперь в фокусе кибермошенников - данные о ближайшем круге общения человека.

Существует техника по отъему номера телефона у пользователя хотя бы на несколько часов, когда либо с использованием поддельного паспорта или доверенности, либо в сговоре с сотрудниками салонов сотовой связи злоумышленники получают SIM-карту на имя определенного человека с его номером телефона (старая при этом деактивируется). С этой картой мошенники далее, с одной стороны, могут отсылать SMS о переводе средств. Такой "метод" (носящий название SIM swapping) успешно работает, поскольку практически для любого банка номер телефона является достаточным средством аутентификации для целого ряда операций.

Второе, ещё менее приятное следствие SIM swapping состоит в том, что мошенники могут выдавать себя за знакомых сотрудников банка (например, тех же менеджеров премиум-аккаунтов) или ваших друзей и родственников, и при этом даже если вы будете им перезванивать для проверки, то всё равно будете общаться с подставным лицом. Поэтому если вашему родственнику вдруг срочно потребовалась крупная сумма денег (в особенности на незаконную операцию), не полагайтесь на умение различать голоса и настаивайте на личной встрече.

Контрольные вопросы - устаревшая мера

Сегодня в ходу у злоумышленников находятся как паспортные и контактные данные, так и информация о человеке из социальных сетей и других источников. При этом совершенно необязательно, что кибермошенники будут пользоваться данными, которые потерял сам банк. Гораздо чаще они используют сведения, оставленные в свободном доступе самим человеком.

Стоит отметить, что, несмотря на категорические рекомендации Национального института стандартов и технологий США (NIST), ряд банков продолжают требовать от пользователей ввода ответов на контрольные вопросы, такие как девичья фамилия матери, кличка собаки и пр. Поэтому очень важно не разглашать подробную информацию о себе в соцсетях, на форумах, на сайтах третьих компаний. Если клиенты публикуют на других ресурсах данные, указанные в банке для идентификации их личности, они должны понимать, что эта ключевая информация будет доступна сторонним недоверенным организациям, чего допускать нельзя - это несет в себе большие риски финансовой безопасности.

В продолжение предыдущей рекомендации: часто злоумышленники могут проникать в базы данных третьих компаний с целью получения информации, однозначно идентифицирующей частных лиц перед банком, - например, ответов на контрольные вопросы и даже паролей. В том числе поэтому политика введения контрольных вопросов является устаревшей и не должна применяться, в частности из-за подверженности риску социальной инженерии.

Здесь для пользователей существует две основные рекомендации. В первую очередь пароль к банковскому аккаунту должен быть сложным и полностью уникальным. Не стоит использовать ту же схему, что и пароль от почты, соцсетей и пр. Лучше использовать менеджер паролей (по крайней мере, встроенный в браузер) для создания и хранения таких паролей. А во-вторых, по возможности не нужно соглашаться отвечать на контрольные вопросы, ссылаясь на рекомендации NIST.

Проверенный банкомат лучше новых двух

Относительно старый, но до сих пор не сдающий своих позиций механизм "карточного" воровства - скимминг (от английского skim - "снимать сливки"). Он все еще доставляет массу проблем и банкам, и их клиентам. Скимминг - это установка на банкомат специального устройства (скиммера), позволяющего считать и записать данные банковской карты, чтобы в дальнейшем изготовить ее дубликат. Скопировав информацию с карточки, скиммер передает ее злоумышленнику.

Чтобы не стать жертвой скимминга, пользователям в обязательном порядке рекомендуется визуально проверять состояние банкомата. В частности, нужно осмотреть отверстие для вставки карты, но еще внимательнее - клавиатуру и другие области банкомата, чтобы убедиться в отсутствии установленной на нем камеры или накладок на клавиши. По возможности следует использовать терминалы известных финансовых учреждений и не вставлять, по крайней мере, зарплатную карту в банкоматы, установленные вне отделений банка или в малопосещаемых местах.

На ловца и зверь бежит

Фишинг (англ. phishing от fishing - "рыбная ловля") - один из топовых видов интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей - логинам и паролям. Фишинг может предстать в виде "писем счастья" якобы от имени банков, социальных сетей, известных магазинов. Такие письма содержат ссылку, по которой "очень важно" перейти и обязательно ввести данные вашей банковской карты на сайте-клоне.

Для защиты от фишинга не рекомендуется в принципе переходить по ссылкам на веб-страницы банка, полученным, например, в SMS или письмах электронной почты. Если клиенту приходит подобное сообщение со ссылкой на личный кабинет банка, ему рекомендуется самому открыть окно браузера и ввести этот адрес вручную. В процессе ввода нужно удостовериться, что браузер демонстрирует подсказки адресной строки - знак того, что этот сайт банка пользователь ранее посещал. Ещё проще - внести адрес банка в закладки браузера и всегда при любых обстоятельствах открывать его только оттуда.

Если вы все же попались…

Согласно политикам платежных систем Visa и Mastercard, в ряде случаев хищения денег мошенническим путем пользователь может получить компенсацию от банка. Поэтому в первую очередь не следует паниковать. Нужно спокойно предпринять ряд дальнейших шагов.

Первым действием клиента должна быть блокировка банковской карты. Если есть основания полагать, что произошла утечка данных через сайт, украден пароль от личного кабинета на сайте банка, блокировку карты необходимо произвести путем звонка оператору call-центра по телефону, сохраненному заранее в записной книжке. Если же доступ к данным был получен при звонке мошенника на телефон клиента, заблокировать карту желательно, наоборот, в личном кабинете на веб-сайте банка, после чего связаться с оператором и оповестить о произошедшем службу безопасности. В каждом из случаев следует самостоятельно убедиться в том, что карта заблокирована: например, дойти до банкомата и попробовать совершить ряд операций.

Если есть серьезные основания полагать, что данные попали в третьи руки, но снятие средств с карты еще не произошло (например, клиент увидел висящую над банкоматом камеру уже после того, как открыто ввел PIN-код), крайне рекомендуется превентивно блокировать карту, особенно если на ней есть существенные средства.

 

Мнения авторов рубрики "Точка зрения" могут не совпадать с позицией редакции ComNews.ru, не влияют на выбор и освещение новостей в других частях газеты