Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как мошенники крадут деньги с ваших банковских карт: 11 главных схем». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Чем больше среди населения распространяются банковские карты и счета, тем активнее в этой области развивается всевозможное мошенничество. Что только не придумывают преступники, чтобы украсть денежные средства: они звонят «из банка» и представляются сотрудниками (читайте об этом, например, здесь), чтобы вытащить из человека ценные сведения о карте; проводят фиктивные розыгрыши, в рамках которых получить «выигрыш» можно только после предоставления данных о карте. Продолжать список мошеннических схем можно сколь угодно долго.
Можно ли снять деньги с карты, зная лишь ее номер?
Но одно непонятно добропорядочному человеку: почему и зачем мошенникам нужен номер банковской карты? Разве настойчивые попытки выяснить номер не бесполезны, ведь, кажется, по одному лишь номеру нельзя провести успешную кражу денег со счета?
К сожалению, снятие денег по одному лишь номеру возможно. Причиной тому послужило распространение магазинов в сети интернет: преступники в режиме онлайн покупают некий товар или услугу, представляясь владельцем карты. Деньги списываются с карточки жертвы, пока та ни о чем не подозревает.
Да, формально это сложно назвать именно снятием денег, ведь преступники лишь покупают что-то в интернете. Но, фактически, это именно кража, т.к. полученное в результате покупки имущество затем перепродается на черном рынке по низкому ценнику. Так злоумышленник получает «черную наличку», и все это — за счет жертвы.
У некоторых карт предусмотрена система безопасности, благодаря которой подобный сценарий становится невозможным. Например, к числу таких карт относится Maestro и карты Momentum. При всем желании, через них нельзя совершить покупку в интернете, не предоставив полные сведения о карте — а полные данные, благо, преступникам получить гораздо сложнее, чем обычный номер карточки.
Кроме того, интернет-магазины тоже стараются учитывать «мошеннический спрос» на подобное обналичивание денег. В результате система требует несколько раз проверить настоящего в актуальный момент владельца карточки: сначала сам сайт требует ввести CVV-код (что это — читайте здесь) и срок действия пластика, а затем банковская система, обслуживающая карту — например, Сбербанк Онлайн — дополнительно высылает смс на привязанный телефон с просьбой подтвердить транзакцию.
Что еще более важно, так это особенная опасность для клиентов Сбербанка. В отличие от ВТБ, Газпромбанка и любой другой крупной банковской организации в России, Сбербанк дает возможность при совершении перевода узнать имя и первую букву фамилии получателя перевода. Можно сказать, что снятие денег только по номеру карточки — это головная боль клиентов Сбербанка, но в меньшей — клиентов остальных банков.
Номер карты и срок действия – можно ли списать по ним деньги с карты
Некоторые пользователи в сети, общаясь с продавцами или покупателями в сети, сталкиваются с просьбами сообщить номер карты и термин завершения её действия. Обычно это поясняется необходимостью выполнения требуемого платежа, для чего требуются указанные реквизиты.
Опасаясь мошеннического списания средств, многих интересует, могут ли по номеру карты и дате её завершения снять деньги с карты? Отвечаем – да, могут.
Большинство уважающих себя интернет-площадок кроме данных карты используют подтверждение платежа в форме CVV/CVC и OTP кода, делая мошеннический обман невозможным. Тем не менее, еще находятся отдельные интернет-магазины, отели и другие контрагенты, способные списывать деньги лишь по номеру карты и сроку её действия без подтверждения оплаты (в частности, в этом была замечена американская площадка «Amazon»). Обычно в таких случаях речь идёт о небольших деньгах в пару сот рублей. Тем не менее, такие случаи списаний не единожды фиксировались.
Мошенники знают и номер, и другие параметры
Другой вопрос возникает тогда, когда мошенники получили доступ к другим параметрам. Например, банковская карта была украдена с кошелька или утеряна. Тогда вопрос о том, можно ли по номеру карты снять деньги, становится еще актуальней. Но и здесь не все критично.
Здесь уже могут быть варианты:
- Снятие денег в банкомате. Не зная пароля, мошенники не смогут получить доступ к деньгам. Другой вопрос в том, что часто люди хранят пин-коды от карт в кошельках. И если третьи лица получают доступ к кошелькам, то они беспрепятственно получают доступ и к деньгам. Каких-то мер безопасности по идентификации пользователя через сетчатку глаза еще не придумали.
- Операции в интернете. Все зависит от того, какие ограничения будут установлены по счету, как будет производится оплата, в какой сети т. д. Небольшие интернет магазины часто не требуют подтверждения оплаты через код безопасности. В таком случае при наличии реквизитов карты легко можно оплатить платеж. Не зря крупные банки лимитирует операции в интернете. И если субъекту нужно оплатить покупку больше установленного лимита, он должен позвонить в банк и пройти идентификацию.
Простые правила, как обезопасить себя от мошенников
- Ни в коем случае никому не сообщайте СVV-код и дату окончания действия банковской карты, даже при телефонном разговоре с «сотрудником» банка.
- Никому не говорите ПИН-код от карточки и старайтесь не терять ее, тем более не передавать другим. Сейчас для снятия наличных мошенникам достаточно знать номер карточки и ПИН-код.
- Если существует опция установки лимита на снятие средств и онлайн-покупки, лучше ею воспользоваться. Проще иногда менять лимит для совершения крупных приобретений, а затем снова уменьшать его, чем рисковать потерей денег. Так, если бы мошенники узнали номер банковской карты, то функция установки лимита позволила бы предотвратить кражу.
- Обязательно блокируйте утерянные карточки сразу после обнаружения пропажи. Для этого необходимо обратиться в банк-эмитент.
- Оформляя банковскую карту, делайте выбор в пользу чипованной. Уровень надежности у нее более высокий.
- Рассказываем необычный «лайфхак». CVV-код можно замазать корректором, тогда при расчете, к примеру, за ужин в ресторане можно будет не бояться, что данные карты станут известны мошенникам, ведь ее приходится отдавать официанту. Для совершения транзакции просто нужно будет сообщить трехзначный код.
- Прежде чем совершить операцию в банкомате, убедитесь в отсутствии на нем посторонних устройств, а также близко стоящих и наблюдающих за вами людей. И помните, видеокамера должна быть направлена на лицо, а не на клавиатуру для ввода ПИН-кода.
Возможные мошеннические схемы, если банк находится далеко
Если номер, привязанный к «пластику», был утерян, а лично посетить банк не получается, необходимо срочно связаться с ним и заблокировать карточку. Это можно сделать так:
Для идентификации личности владельца понадобится назвать:
Банк ВТБ 24, Почта банк и другие принимают заявки на перевыпуск пластикового носителя в режиме online, но за новым придется явиться лично. Но есть и те, кто присылают «пластик» курьером или по почте, к примеру, так делает Тинькофф.
При возникновении проблем с СМС сервисом и авторизацией в интернет-банке или программе на мобильном, также можно дистанционно обратиться в службу поддержки клиентов.
Стоит отметить, что в банковской отрасли существует термин «скомпрометированная карта». Это платежный инструмент, код CVV2 или CVC2 которого, числовая комбинация и прочие сведения украдены злоумышленниками или стали известны другим людям.
Этого достаточно для предоставления банком доступа к вашим средствам. Узнать о краже данных можно только лишь после того, как им воспользуются мошенники.
Зная CVV Сбербанка или другого эмитента, можно выполнять платежи на торговых интернет площадках, не поддерживающих или отказавшихся от спецтехнологии 3D-Secure. Иными словами, держателю не приходит код подтверждения покупки, и любой человек может воспользоваться картой.
Продавец в онлайн магазине сам принимает решение о необходимости использования 3D-Secure, банк в этом не участвует. Многие компании для упрощения процесса покупки своих товаров специально убирают данную технологию.
Отключение SMS-оповещений
Если вам не хочется получать сообщения с единоразовым паролем для подтверждения каждой совершаемой операции по своей карточке, можно деактивировать этот сервис. Можно позвонить в call-центр своего банка с телефона, привязанного к «пластику» или посетить филиал с документом, подтверждающим личность.
Вот только с СМС уведомлениями о транзакциях автоматически отключается возможность совершения онлайн покупок, платежей и переводов. Можно убирать эту услугу лишь тогда, когда карточка используется исключительно для покупок в оффлайн торговых точках и вывода «налички».
Удобно, что при снятии денег с карты владельцу моментально приходит сообщение на номер, поэтому он оперативно реагирует. Следовательно, правоохранительным органам будет проще найти преступников, а банку сделать возврат средств.
Стоит отметить, что при online операциях деньги обычно не сразу списываются со счета, а временно замораживаются. И если своевременно принять меры, банковская организация сможет выполнить отмену транзакции и сбережения не пропадут.
Виды мошенничества с картами
Фальшивые банкоматы. Не каждый банкомат, который вы видите, обязательно принадлежит банку. Мошенники могут скупать на черном рынке старые банкоматы, перенастраивать их и получать доступ к данным карты. Снять наличные в таком банкомате не получится — он выдаст сообщение, что купюр нет или что он неисправен. Зато такой банкомат передаст мошенникам все реквизиты карты.
Чтобы обезопасить себя, проверьте банкомат на карте с банкоматами в приложении банка.
Скрытые камеры. Мошенники крепят их на банкомат или прячут где-то возле. Миниатюрная камера направлена на клавиатуру банкомата и записывает, как клиенты вводят пин. Еще камера может записать все реквизиты, указанные на карте: имя владельца, срок действия и даже код безопасности.
Скимминг. Скиммер — это считыватель магнитной ленты на карте. Мошенники прикрепляют его к картоприемнику банкомата.
Банки знают об уловках мошенников, и поэтому начали выпускать банкоматы без картоприемников. На современных банкоматах карту достаточно приложить к специальной площадке со значком бесконтактной оплаты. Если есть альтернатива, рекомендую пользоваться именно такими банкоматами.
Траппинг, или «ливанская петля». Мошенник вставляет в картридер кусок фотопленки или пластика, и карта, попадая в прорезь, не возвращается владельцу, а попадает в конверт, который мошенник вытащит и получит возможность пользоваться картой.
По возможности пользуйтесь банкоматами без прорезей. В них карта в принципе не может быть удержана из-за неисправности устройства и к мошенникам в руки не попадет ни при каких обстоятельствах.
Накладная клавиатура. Мошенники устанавливают на банкомат поддельную клавиатуру поверх оригинальной. Поддельная запоминает все, что вы набираете, и передает нажатия на настоящие клавиши.
Фишинг. Это рассылка писем и уведомлений от имени брендов, банков, платежных систем, почтовых сервисов, социальных сетей. В письме содержится ссылка, якобы ведущая на сайт сервиса, но на самом деле она ведет на сайт мошенников, внешне не отличающийся от оригинала.
Как не попасться на удочку хакеров
Пользователя убеждают ввести данные карты якобы для оплаты товаров или услуг, но на самом деле покупки не происходит, а данные попадают в руки мошенников.
Совет здесь только один: не переходить по ссылкам, если не уверены в их надежности. Убедитесь, что отправитель — именно тот, за кого себя выдает.
Смс-мошенничество. Мошенники через смс убеждают держателя карты перевести деньги. Например, предлагают поучаствовать в розыгрыше приза, получить компенсацию или просто позвонить на платный номер.
Вишинг — телефонное мошенничество. Самый распространенный сейчас вид мошенничества.
Мошенники представляются работниками службы безопасности, сотрудниками правоохранительных органов, Центробанка. Бывает, что они представляются покупателями на сайтах объявлений.
Цель у них одна — получить реквизиты карты: ее номер, код безопасности, а если повезет, то и код из смс.
Клиенты Сбербанка в опасности
Если вы являетесь клиентом Сбербанка, то наверняка знаете, что можете переводить деньги с одной карты на другую, зная только её номер. Действительно, это очень удобно, но безопасно ли?
Если вы продаёте или продавали что-либо на Авито, наверняка вам часто предлагали перевести средства на вашу пластиковую карту. Все, естественно, соглашаются, но мало кто задумывается, кому в итоге станет известен их номер.
Зная номер карточки, злоумышленник сможет узнать и ФИО жертвы, сделав любой денежный перевод на минимальную сумму, в процессе которого система сообщит ему, кому именно придут финансовые средства (его даже не нужно доводить до конца). Таким образом, недоброжелатель будет владеть всеми необходимыми сведениями для того, чтобы тратить деньги ничего не подозревающего человека.
Вы можете спросить, что же в этом такого? Да то, что зная ФИО и номер, злоумышленник может сделать любую покупку в интернете на сервисах, где не требуется ввод CVV-кода или MasterCard Secure Code.
Например, известный интернет-магазин Amazon требует ввода только номера карточки, имя владельца и срок окончания её действия.
Как отключить СМС-подтверждение
Если клиенту банка надоели SMS-уведомления о каждой операции по карте, их вместе с СМС-подтверждением транзакций можно отключить. Для этого нужно либо позвонить в колл-центр эмитента с номера сотового, привязанного к карте, либо прийти в отделение с паспортом.
Вместе с SMS-подтверждением операций будет отключена возможность делать покупки, платежи и переводы онлайн. Избавляться от этой услуги следует только в том случае, если карта действительно нужна только для оффлайн-покупок и снятия наличных.
Обратите внимание: при онлайн-транзакциях средства, как правило, не списываются с картсчета сразу, а временно замораживаются. Так что если вовремя забить тревогу, банк может отменить операцию и оставить деньги клиента в целости и сохранности.
Как выбрать безопасную карту
Таким образом, получается, что если человек знает номер карты, то он вполне может списать средства с нее, и для того, чтобы осуществить эту операцию, вовсе нет нужды искать все остальные данные о владельце карты, потому что это можно сделать достаточно легко. Вы теперь знаете, как мошенники могут легко узнать ФИО владельца карты и как можно подобрать самостоятельно срок действия чужой карты.
Что же можно сказать в пользу защиты от таких неправомерных действий? От интернет-мошенников обезопасить себя достаточно просто – нужно всего лишь использовать для повседневной жизни карты типа Maestro Momentum или Cirrus. Такие карты выдают в Сбербанке, и без дополнительной защитной информации посторонний человек не сможет снять или перевести средства с вашей карты, а также совершить покупку в Интернете.
Кроме этого, стоит задуматься над тем, какими банкоматами вы пользуетесь при снятии средств. Лучше всего использовать те устройства, которые находятся в офисах Сбербанка или те, которыми вы пользуетесь постоянно и считаете их проверенными. На такие банкоматы мошенники не смогут поставить считывающее устройство скиммер, поэтому такие устройства являются наиболее безопасными.
Что касается мер безопасности, кроме перечисленных, то стоит еще обратить внимание на то, что использовать ресурсы для интернет-банкинга нужно с большой осторожностью. Мошенники не сидят на месте и постоянно совершенствуют свои навыки по изощренным кражам денег с карт.
Сейчас очень популярным является создание вирусных форм страниц, которые являются полной копией популярных ресурсов для оплаты услуг или товаров. К ним относятся социальные сети, интернет-магазины, сайты банков и т.д. Нужно всегда внимательно смотреть на адрес сайтов и сравнивать его с оригиналом. Если вы заметили различия в них, то знайте – вас пытаются обмануть!
Итак, мы уже разобрались, могут ли снять деньги по номеру карты. Ответ неприятный, но правдивый. Теперь исследуем вопрос, как мошенники снимают деньги с карты, зная только номер карты — так мы поймем, в каких именно ситуациях нужно быть вдвойне внимательным.
Все начинается с, казалось бы, невинного объявления на, например, доске «Авито» или сообщения в социальной сети. Часто человек, становящийся жертвой мошенников, сначала размещает небольшую информацию о себе — например, объявление о продаже машины, бытовой техники, ноутбука и т.п.
Мошенник списывается с продавцом, представляясь самым обычным покупателем. Он всячески имитирует интерес к объекту торговли, выражает свое желание купить его прямо сейчас. Таким образом он выпытывает номер карты продавца, чтобы «поскорее перевести деньги за товар». Дело сделано — продавец, предвкушая получение денег, дает номер карточки.
Далее злоумышленник заходит в Сбербанк Онлайн и вбивает номер для совершения перевода. Достаточно отправить всего лишь 1 рубль или даже не отправлять ничего, если операция производится через мобильное приложение — и преступнику уже станет известно имя и первая буква фамилии получателя.
Другие способы получения наличных в Сбербанке
Если клиент не желает или не умеет пользоваться банкоматом, или у него нет банковской карты, ему остается только обслуживание в кассе банка. Для любой операции в кассе понадобится паспорт, сберкнижка или чековая книжка (для организации), пластиковая карта (при наличии). Нужно дождаться своей очереди, живой или электронной. Операционист проверит документы и остаток на счете, о чем он должен сообщить клиенту. Операция занимает не так много времени, деньги на руки клиенту выдаются в кассе.
Если на руках есть банковская карточка, можно предъявить ее кассиру, он обработает информацию черех специальное устройство. Попросит посетителя ввести пин-код и выдаст деньги. Обязательно нужно взять чек.
Юридическим лицам и ИП, которым обычно требуются большие суммы, нужно заранее заказывать деньги в банке. В назначенный срок финансовый работник приходит в банк с чековой книжкой, паспортом и доверенностью на получение денег.
Кардинг — мошенничество с платежными картами
Финансовые преступления с пластиковыми картами стали настолько распространенными, что им даже подобрали собственное определение. Термин кардинг подразумевает все виды действий с платежными карточками или их реквизитами, которые не были одобрены пользователем.
Преступники получают данные карт и снимают с них средства или активно покупают товары в интернет-магазинах. Причем для кражи данных мошеннику даже не нужно встречаться с владельцем «лицом к лицу» или воровать саму карту. Источниками данных обычно служат сервера интернет-магазинов, где хранятся сведения о покупателях и «привязанных» платежных инструментах, или платежные и расчетные системы, используемые на персональных компьютерах. Источником информации может стать и сам владелец карты: по статистике не менее трети всех преступлений в сфере кардинга совершается из-за того, что пользователь подробно отвечал на вопросы «сотрудника банка» или выслал SMS с кодом подтверждения злоумышленнику.
«Если сотрудник банка просит вас предоставить ему данные вашей карты – номер карты, код CVV и срок действия, – можете смело класть трубку, – сообщает служба поддержки одного из российских банков. – У настоящих операторов достаточно информации, чтобы они могли оказать вам дистанционную поддержку, услышав от вас некоторые ваши паспортные данные и/или кодовое слово. При этом ее у них недостаточно, чтобы они сами могли покуситься на ваши сбережения, если вдруг им в голову придет такая мысль».
Код-пароль из SMS-сообщений – это еще более конфиденциальная информация, чем данные на карте, так как он открывает доступ к мобильному банку и большей части операций. Как правило, сообщения, содержащие его, также содержат в себе пометку о том, что этот пароль нельзя передавать никому, даже сотруднику банка. Даже настоящему.
Если вам позвонили из банка с сообщением о блокировке вашей карты, стоит уточнить эту информацию по телефону горячей линии банка, который, как правило, указан на обратной стороне вашей карты или на сайте банка. В любом случае не предпринимайте никаких действий и не передавайте никаких данных, пока не убедитесь, что банк действительно заметил подозрительную активность по вашему счету или заблокировал его по какой-то другой причине.
Что касается SMS-сообщений, то обратите внимание, что с обычных мобильных 11-значных номеров банковские оповещения никогда не приходят, – только с короткого номера, который оператор во многих случаях автоматически определяет названием вашего банка.
Если же «сотрудник банка» просит вас назвать ему код-пароль из SMS, нет смысла подозревать его в честности – это 100-процентный мошенник. В этой ситуации, как и в случае с текстовым сообщением, стоит прекратить общение, добавить номер телефона в черный список, а также оповестить о случившемся оператора сотовой связи и банк, чтобы они могли принять меры, дабы оградить других своих клиентов от угрозы.
Именно для защиты от массового и простого мошенничества когда‑то были изобретены карты с чипом и подтверждение транзакций с помощью кода 3-D Secure. Эти методы защиты не идеальны, у них были свои проблемы, о которых эксперты предупреждали с самого начала. Однако такие карты до сих пор не удается массово взламывать, а когда атака получается, она больше похожа на блицкриг — все происходит в считаные дни или часы. Небольшая группа злоумышленников получает максимум прибыли и исчезает с горизонта. Именно поэтому каждый случай или новая схема вызывают у экспертов большой интерес.
Такие случаи мы будем называть белыми китами. Это инциденты, которые случаются раз в 5–10 лет, заканчиваются катастрофой для атакуемых банков и многомилионными прибылями для атакующих и поэтому привлекают к себе очень много внимания со стороны прессы и регуляторов. Я расскажу о нескольких видах подобных атак, чтобы наглядно проиллюстрировать фундаментальные недостатки технологий карточных платежей.