Как украсть деньги с банковской карты?
1.
Что случилось?
2.
Скимминг и фишинг? Можно по-русски?
3.
А что, кто-то верит этим звонкам «сотрудников банка»?
4.
И как отличить настоящего сотрудника банка от поддельного?
5.
А как еще?
6.
Ой. Давайте по порядку.
7.
Окей. А с сайтами что?
8.
Понятно. А как с рассылками быть?
9.
Нагнали страху. Есть какие-то способы себя обезопасить?
10.
Окей, буду внимательней.
Что случилось?
Не случилось, а случается постоянно — у людей крадут деньги с их счетов, причем жертвы сами сообщают мошенникам все данные, не понимая, что делают. Большинство людей думает, что их не обворуют и начинают переживать, когда деньги уже сняты и сделать ничего невозможно. Способов украсть ваши деньги масса, например, скимминг и фишинг.
Скимминг и фишинг? Можно по-русски?
Скимминг — это когда мошенники ставят разные сомнительные устройства на банкомат и физически копируют данные вашей карты. Мы уже один раз подробно об этом рассказывали. Фишинг — это когда данные карты добываются обманом: мошенники представляются не теми, кем они не являются. Эта карточка — о фишинге. Главная задача фишинга — получить ваш пинкод, номер карты, CVC-номер (три цифры около подписи), срок действия карты, смс с кодом. При этом мошенникам необязательно знать все из перечисленного, поэтому главное, что надо уяснить — никогда никому не сообщайте эти данные. Да, когда вы платите, например, в интернет-магазине — у вас попросят и номер карты, и срок истечения, и CVC: поэтому покупайте только на проверенных сайтах. И в любом случае, никогда не сообщайте эти данные голосом. Если же вы попадетесь на разводку и сообщите свои данные, вернуть после этого деньги будет практически невозможно: потому что вы сообщили все сами и добровольно.
А что, кто-то верит этим звонкам «сотрудников банка»?
Им верят очень многие. И вы тоже можете поверить: на этих звонках работает целая индустрия, в том числе профессиональные актеры, которые могут отлично сыграть сотрудника банка.
И как отличить настоящего сотрудника банка от поддельного?
По одному или нескольким признакам:
1. Поддельный сотрудник звонит и спрашивает код из СМС или данные карты (номер, срок истечения, CVC-код) — он никогда не должен этого делать.
2. Поддельный сотрудник недостаточно осведомлен. Например, не может ответить на вопрос о других ваших продуктах в банке или последних операциях.
3. Поддельный сотрудник слишком настойчив: пытается вас переубедить, настаивает, чтобы вы сообщили нужные сведения прямо сейчас.
4. Поддельный сотрудник звонит с мобильного телефона, или его номер не определяется.
Если звонок вызывает у вас сомнение — повесьте трубку и перезвоните по проверенному телефону в ваш банк — узнайте, правда ли вам звонили.
А теперь внимание: если вас не пронять фальшивыми звонками, это не спасение. Потому что фишинг устраивают не только по телефону.
А как еще?
Смски, почтовые рассылки, поддельные сайты.
Ой. Давайте по порядку.
Давайте. Начнем с смсок. В фальшивой смске могут сообщить о блокировке счетов или о снятии большой суммы денег. Или в сообщении обещают приз или выгоду без каких-либо усилий, например, заработок в 30 000 рублей за час работы в день. Или сообщение содержит орфографические, пунктуационные или другие ошибки. Скорее всего, в смске будет указан поддельный номер телефона, по которому вас будет ждать разводка.
Окей. А с сайтами что?
Тут возможностей для обмана гораздо больше, но если быть внимательными, всего можно избежать. За чем нужно следить?
1. За названием банка (а также интернет-магазина или какого-то популярного сервиса) в адресе (или ссылке, на которую вы собираетесь нажать). В нем может быть малозаметная ошибка. Например, Sderbank вместо Sberbank или Tiknoff вместо Tinkoff.
2. За поведением браузера. У всех современных браузеров есть технологии, которые находят подозрительные сайты. И вас предупредят об опасности — главное, не игнорировать такие сообщения.
3. За тем, как выглядит сайт. Бывают сайты-пустышки, прикидывающиеся, например, интернет-магазином, но только в нем нет ни товаров, ни отзывов на них.
4. За тем, как вы попали на сайт — бывает, что при нажатии на одну ссылку, открывается сразу несколько. Нормальные сайты так себя не ведут.
5. И еще: никогда не вводите никакие данные карты на сайте, у которых в начале адреса нет https:// (именно https, а не http, потому что только https-сайты обеспечивают безопасную передачу информации).
Понятно. А как с рассылками быть?
Рассылка, возможно, самый опасный способ фишинга — потому что они валятся в вашу почту без предупреждения, то есть, чтобы получить опасное письмо, не надо делать вообще ничего. Чтобы понимать масштаб: ежедневно во всем мире отправляется 156 миллионов фишинговых писем, 16 миллионов из них проскакивают через спам-фильтры, половину этих писем открывают, 800 000 кликают на ссылкам и 80 000 отдают свои данные. Еще раз: 80 000 человек в мире ежедневно только с помощью рассылок отдают свои деньги бандитам. Как определить фальшивую рассылку?
1. Внимательно смотрите на адрес отправителя. Главный обман всегда там. Либо в нем есть намеренная опечатка (sbelbank, а не sberbank), или письмо отправлено с адреса, зарегистрированного в открытом почтовом сервисе (gmail, mail, yandex и т. п.) Какой бы официальной и красивой и похожей на правду ни была рассылка, если с адресом отправителя что-то не то — значит, это точно обман.
2. Смотрите на ссылки внутри рассылки. Посмотрите, куда вас собираются отправить — если вас ведут не на официальный сайт компании, якобы приславшей рассылку, не ходите туда.
3. Ищите грамматические ошибки и опечатки. Тоже причина для беспокойства.
Очень рекомендуем почитать по этому поводу статью на Habrahabr — там много примеров, из которых следует, что иногда фишинговые письма выглядят практически как настоящие и найти обман крайне сложно.
Нагнали страху. Есть какие-то способы себя обезопасить?
Во-первых, с этим борются сами банки. Служба безопасности есть у каждого банка — и это по сути частная спецслужба, которая ищет мошенников. Но вы сами тоже можете себя обезопасить. Вот советы «Тинькофф Банка», вместе с которым мы сделали эту карточку:
1. Заведите отдельную карту для покупок в интернете. Дополнительная карта использует тот же счет, что основная, но у нее другие платежные данные. Даже если их уведут, вы заблокируете дополнительную карту и останетесь с основной.
2. Установите на дополнительной карте лимит на расходы, например, 5000 рублей в месяц. Лимит можно изменить в любой момент.
3. Позвоните по номеру на обороте карты и уточните, подключен ли у вас 3-D Secure — это когда любую оплату в интернете нужно подтверждать через код в смске. Если не подключен, узнайте, как это сделать. Если подключить 3-D Secure нельзя, меняйте банк.
4. Не носите карту и телефон вместе. Положили карту в чехол для телефона — сделали за мошенника полдела. При оплате он получит смску с кодом на ваш же телефон.
5. Установите антивирус и регулярно обновляйте его.
6. Не скачивайте программы и фильмы с пиратских сайтов, это самый надежный способ схватить вирус.
7. Не устанавливайте на Android приложения не из Google Play.
8. Защитите телефон пин-кодом или отпечатком пальца. Никто не должен добраться до ваших СМС, кроме вас. Обязательно отключите показ текста сообщений на заблокированном экране. Конечно, так удобнее вводить код . Мошенникам в том числе.
Окей, буду внимательней.
А еще расскажите это все своим пожилым родственникам, если они у вас есть. Возможно, они не покупают в интернете, но они меньше всего защищены от того, чтобы их обманули по телефону.
Другие материалы из совместного проекта «Медузы» и «Тинькофф Банк» читайте здесь.