Возобновился интерес мошенников к «фишинговым» сайтам, имитирующим услуги пополнения счетов мобильных телефонов и интернет-провайдеров. С начала 2015 г. было выявлено пять таких сайтов, сообщил «Вестям» руководитель по безопасности технологий розничного бизнеса Альфа-Банка Украина Сергей Досенко.

Строго говоря, назвать такой вид мошенничества карточным нельзя, поскольку сайт не собирает информацию по карте, а выманивает из клиента деньги. «Например, человек ищет дешевый авиабилет, находит подходящее предложение на одном из сервисов, делает все необходимые операции и отправляет деньги мошенникам, даже не замечая, что осуществляет операцию перевода с карты на карту, а не платеж за билет», — объяснил «Вестям»» начальник управления платежных карт Коммерческого индустриального банка Денис Мельник.

Если говорить о схемах мошенничества с использованием технологий платежных карт, то сейчас наиболее распространены три: социальная инженерия (психологическое воздействие на обманутого человека, который в результате своими руками добровольно отдает деньги мошенникам), фишинговые сайты и перехват данных карты путем внедрения вредоносного программного обеспечения (вирусов) на смартфон.

Как уточнили опрошенные нами специалисты по банковской безопасности, мошенники активизировали все сценарии выманивания у клиентов полных данных по карте вместе с кодами CVV/CVC2. Например, набирают популярность попытки использовать для этих целей приложения, как для компьютеров, так и для смартфонов. Причем, по словам Дениса Мельника, риски гораздо выше при установке приложений на компьютер, поскольку кроме здравого смысла и антивирусной программы (если она есть) ничто не защищает человека от зловредного ПО. «В то же время распространение мобильных приложений контролируется владельцами программных платформ, которые следят за их содержимым и действиями, которые те могут осуществлять без ведома клиента», — отметил он.

Правда, игровые приложения мошенники прекрасно используют, чтобы при помощи детей выманивать данные или деньги с родительских кредиток. Например, в какой-то момент игры всплывающий баннер предлагает бонусы или прохождение бесплатных уровней за введение данных банковской карты, включая коды безопасности. Понятно, что полученные таким образом бонусы оказываются совсем не бесплатными.

«Банки фиксировали и случаи фишинговых рассылок и от имени кредитных агентств, которые предлагали выдать клиентам кредит на очень лояльных условиях, — рассказал «Вестям» начальник центра информационной безопасности «Фидобанка» Олег Ковальчук. — Для этого клиентам предлагалось заполнить соответствующую анкету со всеми паспортными данными, указать номер платежной карты, на которую должны зачисляться средства, а также указать CVV-код карты, по которому будто бы будет разыгрываться приз».

Можно вернуть до 30%

Из-за уловок жуликов у людей пропадают со счетов самые разные суммы. По словам Сергея Досенко, потери, которые клиенты заявляют как несанкционированные списания, сейчас колеблются в диапазоне 99-599 грн.

Используется и уже вполне привычное «телефонное» мошенничество. «К примеру, приходят смс, якобы от имени мобильных операторов, с текстом – «Вы выиграли приз. Детали по номеру мобильного ***». Клиент звонит по указанному номеру телефона, там ему сообщают, что необходимо пополнить мобильный номер/карту на сумму X грн для того, чтобы ему вернули сумму X+ бонусы в размере 3X. Человек пополняет данный номер через терминал, обещанные деньги не получает. После чего телефон, который указан в смс-сообщении, не отвечает», — рассказал Олег Ковальчук.

При этом специалисты обнадеживают: если несанкционированные операции проходили у интернет-торговца, который не поддерживает технологию 3D secure, тогда операции подлежат оспариванию через международные платежные системы и денежные средства удается вернуть клиентам. Правда, процент успешных возвратов не превышает 30%.

«Почти невозможно вернуть деньги тем клиентам, которые самостоятельно отправили платеж мошенникам с карты, не поддерживающей системы защиты 3D secure/Secure code. Поскольку транзакция была санкционирована владельцем карты, и все необходимые для этого данные введены вручную», — объяснил «Вестям» Денис Мельник.

То есть самую важную роль в этом вопросе играет уровень грамотности самого клиента и правильное использование платежных карт в интернет. Поэтому финучреждения постоянно публикуют материалы и рекомендации о правильном и безопасном проведении расчетов в сети, о необходимости использования антивирусных программ и их постоянном обновлении, а также об эффективности смс-информирования о транзакциях как меры безопасности.

Со своей стороны банки ведут активный мониторинг операций, а доступ к онлайн платежам открывают только по прямой команде владельца карты. Кроме того, они активно продвигают карты, поддерживающие системы защиты 3D secure/Secure code и предоставляют клиенту возможность самостоятельно устанавливать лимиты, изменять ПИН-код, отключать проверку кода верификации CVV2 и переводить средства с карточного счета на сберегательный. Это существенно снижает вероятность кражи средств со счета или как минимум уменьшает масштаб потери.

Просят мобильщиков помочь

А еще недавно ПриватБанк обратился к мобильным операторам с просьбой изменить механизм восстановления припейд-карт в случае кражи мобильных телефонов. Как писали «Вести», злоумышленники нашли способ получать дубликаты «финансовых» номеров клиентов. Они сначала звонили жертве на мобильный, а потом приходили в сервисный центр, заявляли номер как потерянный и для подтверждения называли три последних входящих звонка, которые сами же и совершили. А получив дубликат сим-карты, автоматически получали доступ к смс-паролям, необходимым для пользования интернет-банкингом. И со счета человека начинали пропадать деньги.

В Альфа-Банке пошли по другому пути. «Учитывая ситуацию на зарубежных рынках, а также массовый переход клиентов к использованию смартфонов (миникомпьютеров) для доступа к Интернет-банкингу или для проведения операций с платежными картами через интернет-ресурсы, мы рассматривали возможность контроля перевыпуска сим-карты через механизмы мониторинга технических параметров смс-сообщения. Такой механизм эффективно зарекомендовал себя в ряде зарубежных стран в 2010-2011 годах, после системных случаев мошенничества», — рассказал «Вестям» Сергей Досенко.

В МТС-Украина нас успокоили: мошенникам такой маневр больше не удастся. «Процедура идентификации абонента в случае утери сим-карты у нас не ограничивается тремя последними номерами входящих. Для того, чтобы оформить заявку на получение дубликата сим-карты, абоненту задают несколько вопросов, ответ на которые может знать только владелец номера», — заверила пресс-секретарь «МТС Украина» Виктория Павловская. Но дальнейшее усложнение процедуры замены сим-карты, по ее мнению, привело бы скорее к неудобству абонентов, чем к защите от мошенников.

«Мы постоянно находимся в сотрудничестве с банками, активно участвуем в разработке и внедрении решений, которые без какого-либо дискомфорта для пользователей позволят банкам защитить своих клиентов и их банковские счета от посягательств мошенников.

Со своей стороны готовы к конструктивному диалогу, чтобы помочь банкам в решении описанной проблемы, — рассказала она «Вестям». — Один из совместных проектов в области информационной безопасности, кстати, уже на стадии реализации».

В тему Украинцы теряют тысячи гривен на новой афере