Карточное мошенничество

Новые схемы карточного мошенничества.
Выводы основаны на данных ФинЦЕРТ Банка России.
ЦБ предупредил российские банки о новой схеме, позволяющей преступникам получить информацию об остатке средств на счетах клиентов. Эти данные используются злоумышленниками для мошенничества с применением методов социальной инженерии, говорится в письме Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере.

Типичные схемы обмана:

Информация об остатке средств на счетах клиентов.

Злоумышленники обращаются в систему IVR (интерактивное голосовое меню), подменяя номера клиентов, и запрашивают конфиденциальные сведения, вводя для этого последние четыре цифры номеров банковских карт. Затем преступники связываются с реальными клиентами и представляются сотрудниками Банка. Чтобы подтвердить, что звонок совершается работником финансовой организации, мошенники называют своим жертвам ранее украденные данные об остатках средств на их счетах.

Чтобы избежать  подобных ситуаций, финансовые организации должны использовать дополнительный параметр аутентификации — например, секретный код, устанавливаемый клиентом при заключении договора, считают в ЦБ. 

Хищение  аккаунта в Интернет-банке.

Наиболее частые  виды мошенничества приходятся на схемы социальной технологии, при которых клиенты самостоятельно переводят деньги аферистам. Этот самый небезопасный вариант для клиента Банка. При получении доступа к личному кабинету и средствам подтверждения транзакций (коды в СМС или push-уведомлениях) мошенник может не только вывести средства со счетов клиента, но и попытаться воспользоваться в своих интересах предодобренным кредитом.

Получить доступ к аккаунту в Интернет-банке мошенник может, зная номер карты, узнав код подтверждения, который придёт на телефон владельцу учётной записи.

Чаще всего заполучить его мошенники пытаются с помощью социальной технологии (для идентификации запрашивают номер карты, просят сообщить код, чтобы «отменить» мошеннический платёж и «сохранить» деньги или перевести их на «безопасный счёт»; предлагают принять участие в акции, и просят подтвердить таким образом свою личность; и т.д.).

Привязка данных карты к магазину приложений или системе электронных платежей.

Зная номер банковской карты или один раз узнав у жертвы код подтверждения, злоумышленники могут привязать ее к магазину приложений и расплачиваться за покупки с помощью своего мобильного устройства. Также подход может использоваться для встроенных покупок в играх: артефакты или донаты оплачиваются с чужой карты, а потом перепродаются другим игрокам. Существуют примеры, когда мошенники создают приложение с высокой стоимостью (более 100 долларов), сами покупают его, оплатив чужой картой, после чего получают деньги от владельцев магазина приложений.

Также мошенники нередко моделируют «звонок от покупателя» по размещённому клиентом объявлению и для оплаты просят указать не только номер карты, но и её код безопасности или код из СМС-сообщения. Для оплаты действительному покупателю необходим лишь номер карты или телефон, привязанный к ней, предупреждают в ЦБ.

Оплата картой в онлайн-магазинах.

Иногда пользователи выкладывают в социальных сетях фото банковской карты, собственной или, например, найденной, чтобы вернуть владельцу.


Рекомендации по предотвращению мошенничества

Простые правила поведения при дистанционных платежах, которые помогут снизить риск мошенничества.

  1. Никому не отдавайте свою карту. Помните, что для оплаты счёта в ресторане официант не должен забирать вашу карту.
  2. Мошенники часто торопят своих жертв, чтобы они не успели опомниться и сообразить, что их обманывают. Не стоит торопиться, принимая решения. Можно сбросить звонок и перезвонить в банк по номеру, указанному на вашей карте. Это единственный номер телефона банка, по которому можно получить достоверную информацию.
  3. Подключите оповещения или регулярно просматривайте транзакции по карте в интернет-приложении банка. Это снизит риск того, что сумма будет списана незаметно, так как зачастую мошенники проверяют правильность карточных данных, совершая транзакции на небольшие суммы. Это также поможет предотвратить дальнейшие списания при своевременной блокировке карты.
  4. Нужно насторожиться, если скидку предлагает интернет-магазин, о котором Вы никогда не слышали. Можно поискать отзывы о нём в сети Интернет.
  5. Заведите отдельную карту для покупок онлайн. Если для покупок используется кредитная карта, лучше оформить карту с небольшим кредитным лимитом.
  6. Для Android-устройств установите антивирусное ПО.


Распространённые примеры мошенничества

По телефону
Данный вид мошенничества имеет множество вариаций, которые объединяет то, что владельцу карты звонят с незнакомого номера и под любым предлогом просят сообщить её реквизиты. В большинстве случаев злоумышленники используют следующие схемы:
  1. Выигрыш в лотерею. Преступник представляется менеджером известной компании и сообщает, что клиент стал победителем розыгрыша. Для получения вознаграждения необходимо срочно выслать реквизиты своей банковской карты.
  2. Звонок из службы безопасности банка. «Фальшивый сотрудник» извещает клиента о том, что его карту пытались взломать и просит уточнить данные для исправления ситуации. Телефонные мошенники всегда говорят уверенно, имеют хорошо поставленный голос, а на любой вопрос клиента имеют заранее подготовленный ответ. 
Через СМС клиенту Банка
Эта схема имеет много общего с предыдущим способом. Разница заключается в том, что ложная информация приходит в тексте СМС-сообщения. Рассылка осуществляется с незнакомого номера, но мошенники подписываются известной компанией. Распространённый пример подобных фейковых сообщений: «Ваша карта заблокирована. Перезвоните по номеру +7926ХХХХХХХ. Ваш банк АО «БАНК». Если клиент не реагирует, то преступники могут прислать повторное СМС с угрозой взыскания штрафа или комиссии. Перезвонившего просят сообщить данные карты, провести манипуляции в банкомате или Интернет-банке.

Куда обращаться в случае хищения средств?

После выявления факта незаконного списания денег с карты необходимо срочно её заблокировать и обратиться в ближайшее отделение банка-эмитента. Дальнейшая процедура включает следующие этапы:

  1. Клиент пишет заявление о несогласии с конкретной расходной операцией. Банк проводит служебное расследование по факту хищения средств. В установленные сроки (до 30 дней) владелец карточки уведомляется о решении.
  2. Банк может вернуть деньги только в том случае, если пользователь не нарушал правила безопасности, то есть добровольно не сообщал конфиденциальную информацию третьим лицам.
  3. Независимо от решения эмитента, владелец карточки имеет право обратиться в правоохранительные органы и написать заявление о хищении денежных средств.

!!! Ежедневно злоумышленники изобретают новые способы хищения средств с банковских карт, поэтому невозможно предугадать все сценарии развития событий. Однако при соблюдении указанных элементарных мер безопасности любой пользователь сможет предотвратить нанесение ущерба от действий мошенников.


Распространенные примеры мошенничества

Как правило, злоумышленники звонят пострадавшим на мобильный телефон и представляются сотрудниками Банка, Центрального Банка, полиции, прокуратуры, ФСБ, ФССП, Службы Финансового мониторинга и т.д. и угрозами (в том числе заведением уголовного дела), убеждением, вхождением в доверие и иными методами принуждают установить на смартфон или персональный компьютер, подключённый к ДБО, постороннюю программу, якобы для перевода денежных средств на специальный счёт, спасения от мошенников и т.д. Вследствие установки постороннего программного обеспечения злоумышленники получают полный доступ к смартфону или персональному компьютеру пострадавшего и его денежным средствам и переводят их в сторонние Банки.

В итоге пострадавший теряет все денежные средства безвозвратно.

Информируем, что работники Банка:

  • не звонят клиентам Банка посредством служб коротких сообщений (мессенджеров) наподобие Viber, WhatsApp, Telegram и т.п. Все обращения к клиентам представителями Банка осуществляются по телефону, указанному клиентом при оформлении документов в Банке
  • не переводят общение с телефонного разговора на общение в якобы корпоративных, служебных, безопасных и иных чатах
  • при звонке по телефону обязательно проводят процедуру идентификации клиента и владеют полной информацией о фамилии, имени и отчестве клиента, чего, как правило, не знают мошенники
  • не обращаются к клиентам Банка с просьбой об установке никакого программного обеспечения, кроме мобильного приложения ДБО Банка из официальных источников
  • не просят сообщить им коды и пароли, а также данные банковских карт (номера, сроки действия, секретные коды)
  • не запрашивают сведения об остатке денежных средств на счетах клиента
  • не требуют держать в тайне информацию об их звонке

Также сообщаем, что никакие представители силовых структур (полиция, ФСБ и т.п.), надзорных и иных органов, регулирующих финансовую деятельность, не в праве обращаться к гражданам посредством телефона и иных средств связи с любыми вопросами, направленными на переводы денежных средств клиентов с их счетов в банках.

Уважаемые клиенты, оплачивая товары и услуги на Интернет-ресурсах, убедитесь, что принимающий сервис поддерживает технологию безопасной оплаты 3D-secure.
Эта технология требует подтверждения платежа по СМС / PUSH-уведомлению, содержащему код подтверждения. В случае если Интернет-ресурс не поддерживает технологию 3D-secure, рекомендуем вам отказаться от оплаты, так как такой сайт с большой долей вероятности может оказаться мошенническим и оплата на нём может повлечь несанкционированные списания денежных средств с ваших карт.