Не все пропало. Как уберечь деньги на картах от мошенников

Никто не ожидает возврата украденных наличных просто потому, что когда-то заплатил за кошелек. Но многие подсознательно рассчитывают, что, заплатив банку за обслуживание карты, можно ожидать 100-процентной возвратности украденных с нее средств. Это не так. Особенно если сам клиент не проявляет осторожности в обращении с собственными деньгами. Рассказываем, как правильно обращаться с пластиковой картой, чтобы снизить риск утраты средств в результате мошенничества, и что делать, если страшное все же произошло.

Фото: Brian A Jackson

ЧТО ЗА КАРТОЧНАЯ БЕЗОПАСНОСТЬ?

Стандартный набор рекомендаций по безопасности при использовании банковских карт известен: не писать на них ПИН-код, не заносить его в очевидной форме в телефон, не сообщать посторонним, не входить в интернет-банк с общего компьютера и т. д. Но на самом деле список того, чего делать не следует, а также того, что сделать было бы желательно в целях профилактики мошенничества, намного шире.

И затрагивают меры предосторожности не только карты. Карта — лишь один из банковских инструментов для распоряжения деньгами. Сами деньги лежат не на карте, а на счете, к которому привязана карта. Способы распорядиться деньгами на нем одной только картой не ограничиваются.

Дистанционный доступ к счету дает не только карта, но и интернет- и мобильный банк. Поэтому обеспечивать надо безопасность не только карт, но и устройств, через которые обеспечивается доступ к банковскому счету: смартфона, планшета, компьютера и т. д.

ВНИМАНИЕ! ОПАСНО

Лишиться денег на счете можно как в результате довольно очевидных событий, так и по не всегда явным причинам. Рассмотрим четыре основных типа опасных ситуаций. Все они требуют внимания и превентивных мер от банковских клиентов.

Во-первых, это утрата карты (телефона, планшета и т. п.). Это очень распространенная ситуация. Причем утратить все сразу довольно просто. Достаточно забыть сумку в кафе/такси и пр. Такое же случается?

Во-вторых, деньги со счета могут исчезнуть в результате заражения вирусами устройств, через которые клиент входит в интернет- или мобильный банк. Вирусы способны на многое: от кражи паролей до подмены приложений или отправки и перехвата sms. Скачав добротный вирус, можно лишиться денег и даже не сразу это заметить.

Третий тип угрозы возникает при использовании карты в сомнительных местах: недостаточно защищенных банкоматах, терминалах, а также при совершении операций через поддельные сайты, приложения, интернет-магазины...

Четвертая опасная ситуация — самая обидная: когда клиент неосознанно раскрывает свои данные мошенникам. Подход, который используют злоумышленники, чтобы выманить данные, называется «социальная инженерия». Как это работает? Мошенники звонят или пишут sms от лица банка, запугивая некой экстренной ситуацией (якобы заблокирована карта/счет, кто-то пытается украсть с нее деньги и т. д.), и требуют срочно раскрыть данные вашей карты, ПИН-код, одноразовые пароли для проведения транзакций и т. д. Хотя этому способу воровства уже много лет, он очень популярен и занимает первое место по числу жалоб.

Рассмотрим, что можно всему этому противопоставить.

ТЕРЯЕМ БЕЗ ПОТЕРЬ

Очевидный и всем известный совет при утере карты — позвонить в банк (кстати, если ответа оператора ждать долго, можно быстро заблокировать карту через мобильный банк) и заблокировать ее — быстро выполним не всегда.

Но даже если вы утратили все сразу: и карту, и телефон, и компьютер — и все это досталось злоумышленникам, то шанс сохранить деньги есть.

Позвонить в банк и заблокировать карту в такой ситуации можно и с чужого мобильного или городского телефона. Но для этого надо знать номер банковского колл-центра и реквизиты карты для блокировки. Банкиры рекомендуют клиентам: как только получили новую карту, запомните или запишите последние 4 цифры ее номера и телефон для связи с банком на любой носитель помимо смартфона. Это позволит сэкономить время на дозвон в банк и блокировку карты (в среднем, если помнить все данные, она «съедает» 20 секунд, умноженные на количество карт).

Еще один совет: блокировать нужно не только банковскую карту, но и (если пропал еще и телефон) сим-карту — у мобильного оператора. Но и это не поможет, если пропажа обнаружилась не сразу.

Лайфхак

На этот случай лучше устанавливать пароль и на смартфон, и на сим-карту, советуют эксперты. Это помешает мошенникам взломать ваш интернет-банк, переставив украденную сим-карту в другое устройство: один лишь пароль от интернет-банка защиту не гарантирует.

Еще один совет — дедовский, но иногда он может оказаться полезным. Не забудьте при получении поставить подпись на обратной стороне карты в специальном поле. Это поможет продавцу уличить вора при несовпадении подписей в чеке и на карте (правда, подпись требуется не всегда).

И, наконец, как это ни банально, ПИН-код нельзя сообщать даже ближайшим родственникам. Это не пустые слова.

Вот так бывает

«Если банк обладает информацией, что ПИН-код вашей карты известен кому-то кроме вас, например, у него есть записи с видеокамер, где ваш родственник снимает с вашей карты наличные, это априори является нарушением и может быть рассмотрено судом (и такие прецеденты есть) как недобросовестность клиента. Что автоматически лишит его права требовать возмещения средств», — отмечает Евгений Царев, эксперт по информационной безопасности RTM Technologies (участвует в расследовании хищений с банковских счетов). Это не уловка банка, продолжает эксперт. В такой позиции банка есть логика: ведь родственник мог сообщить ПИН-код кому-то еще. Если подобная «утечка» родственнику произошла, лучше перевыпустить карту, не дожидаясь инцидентов, и в будущем не допускать «утечки» вообще никому, советует Царев.

СТРАШНАЯ ЗАРАЗА

Казалось бы, противопоставить вредоносным вирусам, внедряющимся в интернет- и мобильный банк и ворующим данные, а потом и деньги, можно антивирусные программы. Установить антивирус рекомендуют и банкиры, однако предупреждают: антивирус не панацея.

Во-первых, как бы это глупо ни звучало, пользователи иногда просто игнорируют предупреждения антивирусных программ. Этого делать ни в коем случае нельзя, предупреждают в компании Group-IB (специализируется на предотвращении и расследовании киберпреступлений).

Во-вторых, сами антивирусные программы, конечно, все время совершенствуются, но и вирусы тоже. Более того, выкладывая новые вирусы на хакерские форумы, вирусописатели предварительно тестируют их на самых популярных антивирусах, добавляют в компании.

Вот так бывает

«Приезжая расследовать инцидент с хищением средств со счета в банк или компанию, откуда украли деньги, наши криминалисты обращают внимание, что на многих зараженных машинах сотрудников установлены самые популярные антивирусы», — рассказывают в Group-IB (специализируется на предотвращении и расследовании киберпреступлений). Например, был случай, когда антивирусы пропустили фишинговые (поддельные, направленные, как правило, «от лица» известных организаций, — «Ориентир») письма с вредоносным вложением, и, хотя спустя несколько часов все же начали определять файл как вредоносный, злоумышленники тут же переделали его так, что он снова стал незаметным для антивирусов.

Поэтому даже с антивирусом нельзя забывать о компьютерной «гигиене». «Никогда не отвечайте на спам, не переходите по указанным в нем ссылкам и не открывайте вложенные в сомнительное письмо файлы, чтобы не заразить свое устройство вирусом. Не открывайте подозрительные ссылки и письма, даже если они пришли от коллег и друзей», — предостерегают в Group-IB.

Опасно скачивать приложения из неофициальных интернет-магазинов и посещать сайты с сомнительным контентом.

Важно также регулярно устанавливать обновления операционной системы устройства с доступом к интернет- и мобильному банку.

Вирус может быть встроен в дешевый смартфон от малоизвестного производителя, так что лучше отказаться от установки на нем мобильного банка. Если вы подозреваете, что столкнулись с вирусом, включите безопасный режим и удалите его.

О том, как это сделать, можно прочитать на сайте производителя вашего устройства или обратиться к специалисту.

В любом случае лучше получать sms от банка и проводить банковские операции с помощью разных устройств (так вы обеспечите двойное подтверждение правомерности операции — так называемая «двухфакторная аутентификация»).

Как вариант для желающих максимально перестраховаться — завести простой кнопочный телефон только для получения sms от банка, советуют некоторые эксперты.

НЕ БАНКУЙ ГДЕ НИ ПОПАДЯ

Третий тип угроз — это скимминг (кража данных карты через банкомат, терминал и т. д. с последующим их использованием для воровства денег со счета) и фишинг (кража данных карты через поддельные сайты, приложения, интернет-магазины). Разница в том, что при скимминге данные крадет специальное устройство, встроенное в картоприемник банкомата. При фишинге владелец карты вводит свои данные сам, полагая, что сайт, который их затребовал, подлинный.

Защита от скимминга требует следующих мер предосторожности: пользоваться лучше только банкоматами в отделениях банков, проверять их на отсутствие подозрительных устройств, при вводе ПИН-кода всегда прикрывать клавиатуру ладонью, не оставлять карту без наблюдения, например, оплачивая счет в ресторане, не давать уносить карту официанту.

Защититься от фишинга — распознать поддельные сайты, приложения, интернет-магазины — гораздо сложнее. Выход — скачивать только официальные приложения, проверять точность адреса сайта магазина или банка.

Лайфхак

Хорошее средство защиты — платить в интернете отдельной картой. Так можно ограничить потери по основной карте и избежать ее компрометации в интернете и мобильных приложениях. Для этого можно использовать банковские виртуальные карты и электронные кошельки, зачисляя на них со своей обычной банковской карты лишь небольшие суммы для текущих расходов в интернете. Подойдут и мобильные кошельки Google Pay и Apple Pay (в них данные карт заменяются на токены и виртуальные счета). Кстати, последние подходят для оплаты и в офлайне.

Основной капитал или крупную сумму, не предназначенную для повседневных нужд, можно зачислить на накопительный, депозитный или обычный счет. А чтобы подстраховать и его — не выпускать к нему карту или выпускать такую карту, которая допускает только операции по зачислению средств. Радикальный способ — написать заявление и удалить такой счет вовсе из мобильного банка.

Еще одна угроза — использование бесплатного Wi-Fi в общественных местах для покупок в интернете. Это увеличивает риски кражи данных, так как такие интернет-сети менее защищены, указывают специалисты.

Ошибкой может оказаться и чрезмерное стремление к экономии.

Вот так бывает

Вы покупаете дешевый авиабилет на малоизвестном сайте. Не вчитываясь в sms от банка, вводите полученный код и — вуаля! — собственноручно отправляете деньги мошенникам. Хотя, прочтя sms и немного подумав, потери вы могли бы избежать. Ведь в сообщении было сказано, что вы совершаете перевод денег с карты на карту, чего не бывает при оплате товара/услуги юрлицу. Но кто же читает все sms?

Важно сравнивать название магазина, сумму покупки и остальную информацию.

НЕ НАКАЖИ СЕБЯ САМ

В случае с социальной инженерией главное средство — внимательность, разумность и осторожность. Вкратце: семь раз проверь, один — отрежь.

Любые звонки, рассылки, сообщения, приходящие якобы от банка, надо проверять в банке — не по телефону, указанному в сообщении, а по телефону, указанному на карте.

Аналогично надо поступать с любыми сообщениями, звонками и письмами от госорганов — например, с задолженностью по налогам, штрафам и т. п.

Любые просьбы о перечислении денег в долг, на благотворительность тоже требуют проверки: а) получателя, б) действительно ли у него есть такой запрос.

ОГРАНИЧИВАЕМ РИСКИ

Есть еще способ снизить риски, который полезно применять в дополнение ко всему вышеперечисленному.

Часто банки позволяют установить лимит на операции за определенный интервал, так что уязвимой будет часть средств в размере, например, ваших суточных трат — неприятно, но не критично.

Если что, увеличить лимит можно «не отходя от кассы» в мобильном или интернет-банке — изменение происходит в реальном времени. Лимиты можно установить практически на все типы операций — от снятия наличных до интернет-транзакций (Card not present, CNP, операции без карты).

НЕ СПУСКАЕМ ГЛАЗ

Закон «О национальной платежной системе» отводит клиенту всего один день на то, чтобы оспорить платеж, который он не совершал. Поэтому важно всегда иметь связь с банком, получать и читать уведомления (чаще всего sms) от него.

Некоторые банки предпочитают вместо sms отправлять push-уведомления (короткие сообщения, которые временно всплывают на экране внутри банковского приложения). Этот вариант — не лучший для клиента.

Для банка это дешевле, чем sms, но не для вас, потому что при отсутствии интернета банк направит вам sms, а значит, сэкономить на sms-информировании не удастся. При этом push-уведомления нигде не хранятся и исчезают, как только вы смахиваете их с экрана телефона. Это значит, что для полной уверенности вам придется ежедневно проверять журнал операций в интернет-банке. В отличие от sms, к которым вы можете вернуться в любой момент.

Лайфхак

Поменять тип уведомлений можно в настройках карты или мобильного банкинга в приложении.

С 26 сентября 2018 года оперативно реагировать на сообщения банка будет вдвойне важно, так как он станет обязан до получения от клиента дополнительного подтверждения «замораживать» ваши операции, которые покажутся ему мошенническими, и блокировать карту. Если банк не сможет с вами связаться, списание все равно произойдет, но через 2 рабочих дня.

КРАЙНИЙ СЛУЧАЙ

Если, несмотря на все меры предосторожности, деньги все-таки украли, паниковать не стоит.

Как только вы увидели подозрительные транзакции, сразу же сообщите об этом в банк — при признаках мошенничества он начинает проводить проверку по горячим следам.

Не медлите с подачей письменного заявления: некоторые банки в строгом соответствии с законом отводят на это лишь один день. Другим достаточно оперативного звонка в колл-центр, а письменное заявление они позволяют предоставить позднее.

Лучше заранее ознакомиться с подходом к опротестованию операций в вашем банке, так как в час икс вы можете оказаться в отпуске / за рубежом / на даче и упустите время для оспаривания.

В заявлении нужно указать дату, время, сумму спорной операции и причину, по которой вы ее оспариваете (бланки есть на сайтах банков). На основании этой информации служба безопасности может ответить на ключевой вопрос — есть ли в инциденте ваша вина. Если да, то возмещения не будет.

На подготовку ответа по «домашним» операциям (в России) закон отводит банку 30 дней, и 60 — для трансграничных операций. Если ответ вас не удовлетворил, можно пойти в суд, но сначала в любом случае следует дождаться ответа банка.

Суд — процедура длительная, затратная и с неочевидным результатом, предупреждают эксперты. «В судебном заседании нужно доказать: 1) сам факт хищения, лучше всего подкрепить его принятым заявлением в правоохранительные органы и возбуждением уголовного дела; 2) указать на явные действия или бездействие банка, которые привели к хищению; 3) доказать наличие связи между действиями или бездействием банка и убытками», — отмечает Евгений Царев. Как правило, указывает он, это удается лишь в одном случае из пяти.

И чаще всего, если банк допустил явную ошибку.

Вот так бывает

Клиент получил sms и понял, что мошенники получили доступ к счету. Он обращается в банк и требует блокировки, но операционист ошибся: вместо немедленной блокировки карты по факту инцидента запускает процедуру закрытия счета, которая может занять несколько дней. За это время мошенники успевают опустошить счет. Здесь вина банка очевидна, и в этом случае клиент, конечно, получил возмещение, говорит Евгений Царев.

Но данный пример исключительный, так что надежнее всего самому соблюдать основные требования безопасности, напоминает эксперт. Кто предупрежден — тот вооружен, так что раздел об обязанностях клиента в договоре обслуживания на сайте банка — первое, что нужно изучить, задавшись целью защитить свои деньги, резюмирует эксперт.