Банки в последнее время все чаще предупреждают белорусов о виртуальных мошенниках. Злоумышленники создают «липовые» аккаунты в соцсетях и общаются с клиентами от имени банка, пытаются выведать личные данные в Viber, предлагают якобы пройти опрос и получить деньги на карту. О подобных случаях мошенничества регулярно рассказывает и МВД. FINANCE.TUT.BY поинтересовался у эксперта по кибербезопасности, какими приемами чаще всего пользуются мошенники и как обезопасить свои деньги.
— С учетом развития банковских сервисов с использованием пластиковых карт и интернет-банкинга увеличивается количество и разнообразие используемых мошеннических схем, — отмечает Александр Бисярин, начальник отдела противодействия кибермошенничеству департамента безопасности БПС-Сбербанка. — Банки очень много времени и ресурсов уделяют защите своих систем, поэтому сегодня мошенникам достаточно трудно похитить деньги именно технически, например, взломав интернет-банк. Поэтому они идут по пути так называемой социальной инженерии — незаконного метода получения информации, при котором человек сам предоставляет все конфиденциальные сведения о карте. Методы постоянно совершенствуются, реагируют как на изменение спектра банковских услуг, так и на борьбу с мошенничеством. Но очень часто разглашение данных происходит именно по вине держателя карты.
В банке обращают внимание на тенденцию: в последнее время такой тип мошенничества особенно распространен в соцсетях. Причем попасться на него могут даже самые внимательные пользователи.
— Почему-то среди мошенников особенно популярна социальная сеть «ВКонтакте», — говорит Александр Бисярин. — Сначала мошенники взламывают чей-то аккаунт или получают пароль у пользователя соцсети с помощью фишинга, а затем обращаются ко всем его друзьям с попыткой выманить у них данные о карточках. Есть очень много примеров того, как именно это может происходить. Например, мошенник пишет от имени человека, чью страницу он взломал: «У меня закончилась карточка, а мне нужно срочно получить перевод. Дай мне реквизиты твоей карты».
Еще один популярный ныне способ мошенничества касается тех, кто продает что-нибудь в интернете.
— Этому человеку пишут: «Мы сейчас рассчитаться с вами не можем, давайте переведем деньги удаленно». Затем могут попросить данные карты или попросить ввести их в якобы интернет-банке по ссылке. Но на самом деле по ссылке будет фишинговый сайт, специально сделанный так, чтобы выглядеть максимально похожим на настоящий, — рассказывает Александр Бисярин. — Причем сейчас есть мошеннические сайты, максимально приближенные по дизайну к официальным сайтам банков. Пользователю могут прислать поддельную ссылку на сайт «его» банка, чтобы усыпить бдительность. Там нужно ввести логин, пароль и иные данные от своего интернет-банка либо реквизиты карточки. Мошенникам этого достаточно, чтобы совершить хищение денег со счета клиента банка.
И, наконец, третья распространенная схема — это якобы лотерея от имени банка, которая позволяет получить денежный приз на карточку.
— Или такой вариант: прими участие в опросе и получи за это приз. А чтобы его получить, нужно ввести на поддельном сайте реквизиты карты, которые попадут в руки мошенников, — добавляет Александр Бисярин.
Что делать, чтобы не попасться на уловки мошенников?
— Самое главное — относиться к своей карточке так же, как вы относитесь к наличным деньгам, — советует Александр Бисярин. — Карточка должна быть всегда при вас, ни у кого не должно быть к ней доступа. Если вы кому-то ее отдаете, например продавцу, то нужно следить за тем, что именно он с ней делает. Поскольку сейчас клиенты все чаще пользуются интернет-банками, обратите внимание на то, чтобы на компьютере и телефоне был установлен антивирус и не было скачано никаких «левых» программ.
Особое внимание эксперты обращают на то, какие данные о своем пластике в принципе можно сообщать другим людям.
— Все, что нужно, чтобы осуществить перевод на вашу карточку, — это ее номер. Никакие иные данные вроде срока действия или CVV-кода ни при каких обстоятельствах нельзя сообщать других людям. Таким образом, если неизвестный просит сообщить код на обороте банковской карты (CVV), кодовое слово или код из СМС — перед вами с высокой долей вероятности мошенник. Если вы услышали эту просьбу, спокойно завершите разговор и сообщите в банк телефонный номер, с которого вам звонили. Крайне важно: перезванивать нужно только по номеру, который указан на официальном сайте или на карте банка, но ни в коем случае не набирайте номер, который продиктовал собеседник или по которому только что звонил неизвестный — подчеркивает Александр Бисярин. — Для покупок в интернете лучше завести отдельную карточку, например виртуальную, и переводить на нее по мере надобности ровно ту сумму, которую вы хотите потратить в ближайшее время. Интернет-ресурс, которым вы собираетесь воспользоваться для покупки, нужно проверить по тем же поисковым системам. Чтобы не попасться на фишинговые схемы, реквизиты вводите только на проверенных сайтах. А если вам нужно попасть в интернет-банк, не переходите по прямым ссылкам, которые могут прислать вам неизвестные люди. Лучше зайдите на сайт банка, а оттуда — уже наверняка в единственный официальный интернет-банк.
Эксперт напоминает и о том, что иногда мошенники могут представляться сотрудниками банка.
— Они отлично разбираются в человеческой психологии и методах воздействия на нее. Так, потенциальным жертвам звонят молодые девушки и мужчины с хорошо поставленным голосом и хорошей дикцией. А на заднем фоне во время разговора может быть слышен гул контактного центра — мошенники имитируют и его. В таких ситуациях не стесняйтесь дополнительно проверить информацию. Если вам звонит человек и говорит, что работает в банке, — перезвоните в контакт-центр и попросите соединить с ним. Если вам предлагают поучаствовать в опросе или розыгрыше, опять же позвоните в контакт-центр и уточните условия. И помните, максимум, что может спросить сотрудник банка в ходе общения о данных карты, — ее четыре последние цифры. Запрос иных данных является поводом для того, чтобы вы обратились в банк по каналу связи, указанному на официальных ресурсах банка, для уточнения обстоятельств обращения, — напоминает Александр Бисярин. — Кроме этого, ни при каких обстоятельствах не сообщайте информацию, которую банк отправляет в формате СМС-сообщений. Если эти данные требуют ввода на сторонних интернет-ресурсах, проявите бдительность и убедитесь в благонадежности ресурса.
Как безопасно пользоваться банковской картой? Советуют сотрудники банка
1. Никому не сообщайте ПИН-код от карты, CVV2/CVC2-код (трехзначное число на обороте), свои логин и пароль от личного кабинета в интернет-банке, пароль 3D Secure, SMS-пароль.
2. Никогда не записывайте ПИН-код. Если вы все же решили его записать, храните его отдельно от карты. Не записывайте ПИН-код на самой карточке.
3. Подключите услугу «SMS-оповещение». Это позволит незамедлительно узнать о несанкционированных операциях с использованием вашей карты и оперативно предпринять необходимые действия, чтобы предотвратить хищение.
4. В случае утери карты необходимо незамедлительно обратиться в банк для ее блокировки.
5. Для операций в интернете заведите отдельную карточку (Visa Virtuon или MasterCard Standard Virtual). Также можно установить лимит на совершение операций в интернете и подключить к карточке технологию «3D Secure».
6. Совершайте покупки только со своего компьютера или мобильного устройства, чтобы сохранить конфиденциальность персональных данных (реквизитов карты). Если покупка совершается с использованием чужого компьютера, не сохраняйте на нем персональные данные и другую информацию. После завершения всех операций убедитесь, что персональные данные не сохранились.
7. Установите на свой компьютер или мобильное устройство антивирусное программное обеспечение и регулярно его обновляйте. Это поможет защитить себя от вредоносного программного обеспечения.
8. Если в социальных сетях к вам обращаются друзья с просьбой помочь перевести деньги на карту, оплатить что-либо и так далее, убедитесь, что этот человек действительно является тем, за кого себя выдает.
9. Если ваш аккаунт в социальных сетях был взломан, по возможности оповестите об этом подписчиков вашей страницы и смените пароль.
10. Прежде чем участвовать в лотереях, акциях, опросах и так далее, предварительно проверьте статус их легальности.
Страдают не только «физики». Как мошенники крадут деньги у компаний
В последнее время мошенники обратили внимание не только на физических, но и на юридических лиц. Выглядит это примерно так: мошенники рассылают юрлицам электронные письма от имени партнеров или контрагентов, в которых есть вредоносное программное обеспечение.
— Мошенники используют вредоносное программное обеспечение, «зашитое» во вложения или ссылки электронных писем с актуальной тематикой — как вариант, «Отчет по совершенным операциям». Клиенты с низким уровнем информационной безопасности открывают эти письма или ссылки на ресурсы, содержащие вредоносное ПО. Таким образом мошенники получают удаленный доступ к рабочей станции клиента, где установлен интернет-банк и электронно-цифровая подпись, — объясняет Александр Бисярин. — После получения всех необходимых данных на рабочей станции клиента мошенниками запускается «обновление системы», в ходе которого со счета клиента похищаются денежные средства. По завершении хищения денежных средств рабочая станция клиента может быть выведена из строя различными способами, например уничтожается загрузочная запись жесткого диска.
Чтобы защитить бизнес от подобных ситуаций, в банке рекомендуют использовать отдельный компьютер для работы в системах дистанционного банковского обслуживания (СДБО). Он должен отвечать следующим требованиям: на компьютере должно быть установлено лицензионное программное обеспечение (это позволяет получать последние обновления безопасности), должны быть ограничены права пользователей в операционной системе и введены ограничения по использованию электронной почты и доступа к интернет-ресурсам. На тех компьютерах, с которых вы работаете в СДБО, необходимо использовать актуальные версии антивирусных программ. Ключом электронной цифровой подписи лучше пользоваться только в то время, когда вы работаете в СДБО, а по окончании работы обязательно извлекать из компьютера носитель ключа электронной цифровой подписи. Если компьютер, на котором установлена СДБО, начинает вести себя странно (например, обновляет систему без участия пользователя), его нужно отключить и обратиться к техническому специалисту в авторизованную службу поддержки. После восстановления работоспособности СДБО рекомендуется перевыпустить электронную цифровую подпись.
Добро пожаловать в реальность!