Универсальные правила, при выполнении которых существенно снижается риск мошенничества, достаточно просты. Вспоминайте их каждый раз, когда хотите воспользоваться платежной картой. Никогда не пишите ПИН-код на карте и не храните записанный ПИН-код вместе с картой. Это все равно, что оставить открытую машину с ключами в замке зажигания. Выучите ПИН-код наизусть Никогда и никому не сообщайте свой ПИН-код. Его не имеет права требовать у вас никто – ни работник банка, ни сотрудник правоохранительных органов, ни персонал торговой точки. Никогда не передавайте карту (или ее сканкопию) другому человеку. У вас есть гарантия, что человек, которому вы доверили карту, тоже внимательно читал данный материал? Никогда и никому не сообщайте номер своей карты. Единственное исключение – служба поддержки платежных карт банка. Никогда не оставайтесь без действия при утере или краже карты. Немедленно сообщите об этом по телефону в службу поддержки платежных карт банка. Никогда не пренебрегайте возможностью устанавливать лимиты на операции по карте. Если вы не тратите в сутки более тысячи гривен, зачем устанавливать возможность тратить больше? Никогда не выпускайте карту из поля зрения. Представьте, что вы даете кассиру или официанту все деньги и просите взять его сколько нужно. Никогда не пользуйтесь банкоматами в пустынном месте или на окраине города. Вообще, самый надежный банкомат тот, который стоит в отделении банка. Никогда не используйте для оплаты в интернете карты, на которых находятся крупные суммы. Лучше вообще завести для таких целей специальную отдельную карту. Никогда не пользуйтесь сомнительными, малоизвестными, без надежных рекомендаций сайтами при проведении оплаты картами в интернете. Базовое определение (От англ. skimming - снимать) – вид мошенничества с платежными картами, при котором для получения данных платежной карты (цифровая информация, ПИН-код) используются специальные устройства (скиммеры, накладки на клавиатуру, видеокамеры) с дальнейшей целью изготовления и несанкционированного использования копии/дубликата платежной карты. Доступным языком Сверху картридера цепляется (обычно на клей) несложное устройство под цвет банкомата, которое читает карты при их приеме. ПИН-код снимается или накладкой на клавиатуру, или установленной неподалеку камерой. Полученные данные используются мошенниками для изготовления дубликатов карт. Важно знать! Как это выглядит На картридере банкомата может быть установлен АНТИскиммер, который часто путают с собственно скиммером. Разница их в следующем: Скиммер имеет более выступающую часть справа, как раз там, где проходит магнитная полоса карты У антискиммера более выступающая часть находится слева Что дальше? Схема, по которой средства пострадавшего клиента попадают мошеннику выглядит следующим образом: Установка устройств на банкомат Считывание данных карты и ПИН-кода Продажа полученной информации через интернет Создание дубликата карты ИЛИ Обналичивание средств по дубликату С некоторыми из основных общепринятых рекомендаций по безопасности использования платежных карт в банкоматах можно ознакомится, перейдя по ссылке формата *.doc справа. Ниже приведены описания имеющихся продуктов Альфа-Банка, которые наряду со своими основными функциями являются эффективными инструментами противодействия последствиям скимминга. Карты EMV-стандарта (чиповые). В отличие от карт с магнитным носителем, в чиповых картах применяется более сложный алгоритм защиты. Стоимость такой карты несколько дороже традиционной, но обычным скиммером информацию с чипа считать уже невозможно. Выпуск именно EMV карт рекомендован клиентам которые преимущественно используют платежную карту для проведения операций в АТМ как на территории Украины так и за рубежом. Управление лимитами. Если вы не тратите со своей карты более чем, скажем, тысячу гривен в день, то зачем вам возможность тратить больше? Установить лимит по операциям не более чем на определенную сумму и количество операций в сутки можно, позвонив в службу поддержки платежных карт Альфа-Банка или же самостоятельно, через интернет-сервис управления счетом My Alfa-Bank, речь о котором пойдет далее. Услуга M-Banking. При совершении любой операции по карте, система мгновенно генерирует отправку СМС-уведомления на ваш мобильный. Простое, немного устаревшее, но по прежнему эффективное средство оперативно локализовать или предупредить последствия неприятного прецедента с вашей картой. Особое внимание следует обращать на операции, которым вы не можете дать логичное объяснение (проверка баланса, тестовые операции на малые суммы, фигурирование в суммах операций иностранных валют и т. п.). «Доходный сейф». Дополнительный счет к основному карточному, предназначенный как накопительный, тем не менее служит отличным инструментом безопасности, так как средства на «Доходном сейфе» недоступны для карточных мошенников. Тем более, что перемещение средств с «Доходного сейфа» на основной картсчет и обратно происходит в режиме on-line (сразу). Важно! Средства с Доходного сейфа могут автоматически списываться, если по карточному счету возникает несанкционированный овердрафт (минус). Дополнительны карты. Особенно актуальны для поездок за границу. Схема использования дополнительной к основному счету карты, средства на которую вносятся только на время поездки (а после ее окончания карта использоваться не будет), значительно минимизирует риски последствий скимминга за границей. Страхование рисков мошенничества. Данная программа страхования защищает от финансовых потерь в случае несанкционированного списания средств с карточного счета, произошедшего вследвие незаконного использования реквизитов карты или ее дубликата. Базовое определение Кибермошенничество – вид мошеннической деятельности, в основе которой лежит внедрение на персональные компьютеры и мобильные устройства пользователей вредоносного программного обеспечения (вирусы, трояны, боты и т. п.), алгоритм действий которых состоит в перехвате цифровых данных. Конечной целью данного вида мошенничества является хищение и дальнейшее несанкционированное использование в сети интернет основных реквизитов платежных карт (номер, срок действия, код CVV2/CVC2). Доступным языком В настоящее время существует множество видов зловредных программ, смысл существования которых заключается в том, чтобы до поры до времени тихо сидеть на жестком диске вашего компьютера и начинать работать (перехватывать цифровые данные) в тот момент, когда вы начинаете вводить реквизиты платежной карты с клавиатуры. Что дальше? В целом, методика работы кибер-мошенника в сети выглядит так: Внедрение зловредного программного обеспечение на компьютер пользователя Перехват данных (номер карты, срок действия, СVV2/CVC2-код), вводимых пользователем с клавиатуры компьютера Используя перехваченные данные, мошенник с помощью платежных интернет-систем осуществляет вывод средств Строго говоря, фишинг является одной из составляющей кибермошенничества, но данный подтип, обладая в достаточной степени широкими вариациями, имеет право на освещение его отдельной темой. Базовое определение Фи́ шинг (англ. phishing, от fishing — рыбная ловля, выуживание) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей, в нашем случае – к реквизитам платежной карты. Доступным языком Цель фишинга та же, что и при классической схеме кибермошенничества – кража реквизитов карт. Но методики здесь представлены несколько разностороннее. Поддельные сайты. Либо сайт несуществующей компании, продающей несуществующие товары и услуги, либо имитация реального сайта с полностью идентичным дизайном, практически неотличимым от оригинала (в 2011 г. мошенниками был создан клон сайта платежной системы Visa, где идентичными были даже значения цветовых каналов в графических элементах и интерлиньяж в верстке текста). Как это выглядит можно увидеть по файловой ссылке справа. По почте. На адрес электронной почты приходит солидно оформленное письмо (с логотипами, адресами, ссылками и пр.) смысл содержания которого заключается в том, чтобы под любым предлогом побудить пользователя предоставить в ответ реквизиты карты. Иногда письмо может содержать ссылку на сайт-клон, по которой предлагается перейти и и оставить реквизиты карты в предлагаемой к заполнению форме. Телефонный фишинг. Между мошенником (М) и жертвой (Ж) происходит примерно следущие телефонные диалоги: М. – Здравствуйте, это менеджер компании «The Company» Иванов Иван. Я звоню уточнить детали Вашего заказа. Ж. – Какого заказа? Я ничего не заказывал! М. – Ну как же! Вот у меня в базе отмечено «К отправке, заказ №00001, товар такой-то»! Ж. – Постойте, тут какая-то ошибка! М. – Давайте сверим Ваши данные: назовите номер карты, адрес и ФИО. Ж. – 1234 5678 9012 3456, адрес такой-то, Петров Петр. М. – Надо же, данные не сходятся, вероятно действительно ошибка, извините, не волнуйтесь, я отменяю этот заказ. Жертва таким образом сама сообщает мошеннику всю необходимую информацию, еще и спасибо скажет. М. – Здравствуйте, это менеджер компании «The Company» Иванов Иван. Я звоню сообщить Вам о том, что Ваш номер телефона методом случайного подбора стал победителем акции такой-то. Ваш приз составляет 10000 грн. Ж. – Как его получить?! М. – Проще простого! У Вас есть платежная карта? Если есть, то Вы можете подойти к банкомату, вставить карту и мы в телефонном режиме переведем Ваш выигрыш на карту! Несложно догадаться, что происходит далее. После того, как жертва вставит карту в банкомат, мошенник начинает сообщать комбинации клавиш, вводя которые, жертва осуществляет перевод не на свою карту, а наоборот. С некоторыми из основных общепринятых рекомендаций по безопасности использования платежных карт в сети интернет можно ознакомится, перейдя по ссылке формата *.doc справа. Ниже приведены описания имеющихся продуктов Альфа-Банка, которые наряду со своими основными функциями являются эффективными инструментами противодействия данным видам мошенничества. Интернет-сервис My Alfa-Bank. Надежно защищенный ресурс дистанционного управления счетами из любой точки мира. Безопасность осуществления всех видов базовых платежей (пополнение мобильного, оплата коммунальных услуг, погашение кредиты, переводы средств и др.) в My Alfa-Bank находится на максимальном уровне. В отличие от платежей через традиционные интернет-ресурсы, My Alfa-Bank не позволяет мошенникам перехватывать данные карт, даже когда они дистанционно контролируют персональный компьютер. Каждая операция дополнительно подтверждается пользователем с помощью присылаемого на номер мобильного телефона специального кода подтверждения. Кроме того! Система My Alfa-Bank обладает уникальной возможность проводить операции без использования полного формата карты. Можно временно отключить проверку CVV/CVC-кода и провести операцию без него, т. е. код вообще отсутствует в передаче данных. Если даже допустить вероятность перехвата данных при одной операции, то мошенник остается с неполными реквизитами карты и с невозможностью ими воспользоваться, ведь после проведения операции вы вновь можете активировать проверку CVV/CVC. Важно! Необходима особая внимательность к SIM-карте телефона, номер которого используется для получения кода подтверждения операций. При первых признаках выхода из строя SIM-карты следует обращаться не только к мобильному оператору, но и в обязательном порядке уведомить об этом банк. Дополнительны карты. Оформите отдельную карту (дополнительную к основной) специально для расчетов в сети интернет и на которую вносите (переводите) средства только в той сумме, которой планируете в ближайшее время проводить расчеты. Такая схема очень значительно минимизирует риски потери средств от кибермошенничества и фишинга. Управление лимитами. «Доходный сейф». Услуга M-Banking. Страхование рисков мошенничества. В этом разделе приводятся менее распространенные виды мошенничества, с которыми, тем не менее, специалистам Альфа-Банка приходилось сталкиваться в процессе работы. Двойные списания. Что это такое и как работает? Такое происходит чаще всего тогда, когда клиент не видит манипуляций персонала торговых точек с картой. В основном это бывает в ресторанах, АЗС и гостинницах и т. п. Технология здесь проста – кассир или официант вслед за легитимной операцией совершает повторную, на ту же сумму – попросту два раза прокатывает карту в терминале. Клиенту при этом для подписи отдается только один чек, на втором подделывается подпись клиента и недобросовестный персонал набирает товар на ту же сумму в личное пользование. Как уберечься? Очень просто – не выпускать карту из вида во время оплаты. Если есть такие предпосылки – имеете полное право требовать провести операцию оплаты в вашем присутствии. Персонал торговых точек знает, что такое право за клиентом есть, поэтому отказывать не имеет права, да и скорее всего, не будет. Ну и проверенный M-banking: будте уверены, если кассир дважды прокатает карту, то СМС из банка будет тоже два. Ручное копирование (перепись) данных. Что это такое и как работает? Как и в предыдущем описании, фигурантами здесь выступает недобросовестные служащие ресторанов, АЗС, гостинниц и т. п., то есть там, где у персонала есть возможность унести карту или спрятать ее под прилавок. Как пример: официант уносит карту от столика к кассе, и пока клиент расслабляется после хорошего обеда или ужина, реквизиты карты просто переписываются вручную, а через какое-то время недоумевающий клиент узнает, что по его карте прошли операции пополнения номера мобильного телефона. Как уберечься? Точно также, как и в случае с двойным списанием – не выпускайте карту из вида. Фальшивый банкомат. Что это такое и как работает? Редко, но все же случается. Берется списанный корпус банкомата, отмывается и красится. Далее идет установка нехитрого программного обеспечения, умеющего показывать на мониторе три фразы: «Вставьте карту», «Введите ПИН-код», «Извините, банкомат временно не работает». Клиент, пожимая плечами, уходит искать работающий банкомат. Далее все точно также, как в схеме со скиммингом. Как уберечься? Также, как и при скимминге. © Отдел безопасности платежных технологий Управление безопасности технологий розничного бизнеса Блок «Безопасность» ПАО «Альфа-Банк» www.alfabank.com.ua