Чип – не панацея: как крадут деньги с банковских карт

Основываясь на статистике британского агентства Payments Cards & Mobile, в 2013 году в странах Европы, Америки и Канады со счетов банковских карт мошенниками было украдено более шести миллиардов евро. Такие данные приводит британское агентство Payments Cards & Mobile. При этом замена устаревших платежных терминалов новыми и переход на карты с чипом взамен магнитной полосы оправдали себя лишь отчасти. Было отмечено лишь временное снижение уровня мошенничества, которое затем сменилось новым ростом.

Чип – не панацея: как крадут деньги с банковских карт

Как воруют чаще всего

Самый популярный тип мошенничества, на который приходится более 66% случаев, относится к похищению информации о карте. Это номер карты, окончание ее срока действия, имя владельца и трехзначные коды CVV2 (CardVerification Value) или CVC2 (Card Validation Code), используемые для интернет-платежей. Чаще всего злоумышленники приобретают эту информацию на черном рынке. Компания McAfee Labs провела собственный анализ цен на подобные предложения и установила диапазон – от 5 до 200 долларов США за одну карту в зависимости от региона, детализации информации и количества денег на счету владельца. Данные о картах добываются хакерскими атаками на платежные системы, магазины и банки, а также похищаются непосредственно у владельцев.

Один из самых распространенных способов хищения – с помощью вирусов для смартфонов. Причем, по данным Group-IB, одной из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничеств, в России в конце 2014 – начале 2015 года таким способом было похищено примерно 100 миллионов рублей.

Украв данные о карте, мошенники чаще всего совершают покупки в интернете, а также делают денежные переводы на свои счета.

Основную опасность для пользователей мобильных устройств сегодня представляют банковские вирусы-троянцы, объяснил РИА Новости Владимир Кусков, аналитик угроз для мобильных платформ «Лаборатории Касперского». Это специальное вредоносное ПО, направленное на хищение финансовой информации пользователя.

«Для более глубокой интеграции в системе один из троянцев запрашивает получение администраторских прав и перекрывает своим окном стандартный системный диалог. В итоге пользователь, нажимая на кнопку «Да», не представляет, на что именно согласился. Также есть модификация вируса, которая запрашивает у пользователя разрешение стать основным приложением для работы с SMS. Это позволяет троянцу обойти ограничения системы и скрывать от пользователя входящие SMS сообщения от банков и платежных систем. Другое распространенное семейство банковских троянцев Svpeng всячески маскирует свое присутствие и пытается мешать работе некоторых популярных в России защитных приложений. Svpeng может красть информацию о банковских картах пользователя с помощью фишинговых окон, перехватывать, удалять и отправлять текстовые сообщения. Некоторые вредоносные программы на экране устройства перекрывают открытое легитимное банковское приложение фишинговым окном, имитирующим это приложение. Самыми примечательными примерами таких программ могут служить троянец TrojanSMS.AndroidOS.OpFake.cc и представители семействаTrojanBanker.AndroidOS.Acecard. Одна из модификаций OpFake.cc умеет перекрывать интерфейс более 100 легитимных банковских и финансовых приложений. Другое семейство Acecard перекрывает более 30 банковских приложений, к тому же имеет способность перекрывать экраны любых других приложений по команде от управляющего сервера» – делится деталями Владимир Кусков.

Другие способы похищения денег с карт

Следом за похищением информации о картах с большим отрывом следует кража карт и скимминг (считывание данных с магнитной дорожки карты), который теряет популярность по мере увеличения на рынке карт с чипами и замены устаревших платежных терминалов. Мошенники используют специальные накладки на платежные терминалы и слоты банкоматов, а потом изготавливают дубликат карты. Одновременно злоумышленники пытаются заполучить PIN-код, для чего используют скрытые камеры наблюдения и другие средства.

 

Полностью обезопасить себя от мошенников нельзя, но сократить риски в разы – запросто. 

Советы по защите карт и данных

Всегда незамедлительно блокируйте застрявшую в банкомате карту.Мошенники используют специальные конверты-липучки, устанавливаемые в щель банкомата для приема карт. Вставленная карта попадает в этот конверт и не считывается банкоматом. Пока владелец разбирается с ситуацией, подошедший мошенник дает совет набрать на всякий случай на клавиатуре банкомата PIN-код. Разумеется, это не помогает. При этом PIN-код становится ему известным благодаря установке скрытой камеры. После ухода владельца карты, мошенник извлекает конверт и забирает карту себе.

Скрывайте трехзначный код CVV2 (Card Verification Value) или CVC2 (CardValidation Code) от посторонних глаз. Он расположен на обратной стороне карты и используется для подтверждения интернет-транзакций. Одни заклеивают его тонким непрозрачным скотчем, другие закрашивают маркером. Однако полностью удалять его не рекомендуется во избежание проблем при оплате в магазинах.

Любая Картинка с кодом CVV2

Старайтесь пользоваться банкоматами в отделениях банков. Уличные банкоматы наиболее привлекательны для скимминга.

Прикрывайте рукой клавиатуру при наборе PIN-кода. Особенно если вы снимаете деньги в незнакомом месте, или что-то вызывает у вас подозрения. Чтобы узнать PIN-код, мошенники могут устанавливать скрытые камеры как на самом банкомате, так и рядом с ним.

Используйте SMS-уведомления об операциях.  В случае подозрительного платежа немедленно звоните в банк и блокируйте карту. При определенных условиях такие операции удается оспорить.

Храните на повседневной карточке минимально необходимую сумму денег. А для хранения больших сумм лучше открыть в банке дополнительные счета или карты и переводить с них деньги по мере возникновения потребности. Также через интернет-банк можно установить лимит на снятие наличных, чтобы минимизировать потери в непредвиденных случаях.

 

Никогда никому не сообщайте PIN-код. Социальная инженерия – целая наука. Чаще всего мошенники представляются сотрудниками банка с целью узнать PIN-код или код доступа к системе интернет-банкинга.

Установите на смартфон антивирус. Но избегайте продуктов малоизвестных компаний. Они сами могут оказаться вирусами-троянцами.

Никогда не устанавливайте никаких приложений вне официальных магазинов типа Google Play или Яндекс.Store. Особенно во время серфинга по Сети. Иногда запросы об установке какого-либо приложения могут появляться даже на проверенных сайтах ввиду размещения ими таргетированных объявлений Google Adsense. Вместе с объявлениями злоумышленники научились посылать запросы на установку приложений.

При возникновении неожиданной ошибки не вводите PIN-код повторно.Лучше отмените операцию, выньте карту и попробуйте провести оплату заново. Мошенники, вступившие в сговор с владельцем платежного терминала, могут перенастроить его таким образом, что первый запрос PIN-кода будет системным, а повторный – фиктивным. В этом случае они получат незашифрованный PIN-код и смогут его использовать при работе со сделанным дубликатом карты. Также платежные терминалы никогда не должны спрашивать коды CVV2 и CVC2.

При установке приложений всегда проверяйте список запрашиваемых ими разрешений, таких как отправка и чтение SMS-сообщений или доступ к списку контактов. При возникновении подозрений откажитесь от установки.

Не открывайте ссылки в SMS-сообщениях от незнакомых абонентов. Это самый распространенный путь попадания вирусов в систему.

https://ria.ru/economy/20160911/1476546955.html