Как украсть деньги с банковской карты?

Не случилось, а случается постоянно — у людей крадут деньги с их счетов, причем жертвы сами сообщают мошенникам все данные, не понимая, что делают. Большинство людей думает, что их не обворуют и начинают переживать, когда деньги уже сняты и сделать ничего невозможно. Способов украсть ваши деньги масса, например, скимминг и фишинг.

Скимминг — это когда мошенники ставят разные сомнительные устройства на банкомат и физически копируют данные вашей карты. Мы уже один раз подробно об этом рассказывали. Фишинг — это когда данные карты добываются обманом: мошенники представляются не теми, кем они не являются. Эта карточка — о фишинге. Главная задача фишинга — получить ваш пинкод, номер карты, CVC-номер (три цифры около подписи), срок действия карты, смс с кодом. При этом мошенникам необязательно знать все из перечисленного, поэтому главное, что надо уяснить — никогда никому не сообщайте эти данные. Да, когда вы платите, например, в интернет-магазине — у вас попросят и номер карты, и срок истечения, и CVC: поэтому покупайте только на проверенных сайтах. И в любом случае, никогда не сообщайте эти данные голосом. Если же вы попадетесь на разводку и сообщите свои данные, вернуть после этого деньги будет практически невозможно: потому что вы сообщили все сами и добровольно.

Им верят очень многие. И вы тоже можете поверить: на этих звонках работает целая индустрия, в том числе профессиональные актеры, которые могут отлично сыграть сотрудника банка.

По одному или нескольким признакам:

1. Поддельный сотрудник звонит и спрашивает код из СМС или данные карты (номер, срок истечения, CVC-код) — он никогда не должен этого делать.

2. Поддельный сотрудник недостаточно осведомлен. Например, не может ответить на вопрос о других ваших продуктах в банке или последних операциях. 

3. Поддельный сотрудник слишком настойчив: пытается вас переубедить, настаивает, чтобы вы сообщили нужные сведения прямо сейчас.

4. Поддельный сотрудник звонит с мобильного телефона, или его номер не определяется.

Если звонок вызывает у вас сомнение — повесьте трубку и перезвоните по проверенному телефону в ваш банк — узнайте, правда ли вам звонили.

А теперь внимание: если вас не пронять фальшивыми звонками, это не спасение. Потому что фишинг устраивают не только по телефону.

Смски, почтовые рассылки, поддельные сайты.

Давайте. Начнем с смсок. В фальшивой смске могут сообщить о блокировке счетов или о снятии большой суммы денег.  Или в сообщении обещают приз или выгоду без каких-либо усилий, например, заработок в 30 000 рублей за час работы в день. Или сообщение содержит орфографические, пунктуационные или другие ошибки. Скорее всего, в смске будет указан поддельный номер телефона, по которому вас будет ждать разводка.

Тут возможностей для обмана гораздо больше, но если быть внимательными, всего можно избежать. За чем нужно следить?

1. За названием банка (а также интернет-магазина или какого-то популярного сервиса) в адресе (или ссылке, на которую вы собираетесь нажать). В нем может быть малозаметная ошибка. Например, Sderbank вместо Sberbank или Tiknoff вместо Tinkoff. 

2. За поведением браузера. У всех современных браузеров есть технологии, которые находят подозрительные сайты. И вас предупредят об опасности — главное, не игнорировать такие сообщения.

3. За тем, как выглядит сайт. Бывают сайты-пустышки, прикидывающиеся, например, интернет-магазином, но только в нем нет ни товаров, ни отзывов на них.

4. За тем, как вы попали на сайт — бывает, что при нажатии на одну ссылку, открывается сразу несколько. Нормальные сайты так себя не ведут.

5. И еще: никогда не вводите никакие данные карты на сайте, у которых в начале адреса нет https:// (именно https, а не http, потому что только https-сайты обеспечивают безопасную передачу информации).

Рассылка, возможно, самый опасный способ фишинга — потому что они валятся в вашу почту без предупреждения, то есть, чтобы получить опасное письмо, не надо делать вообще ничего. Чтобы понимать масштаб: ежедневно во всем мире отправляется 156 миллионов фишинговых писем, 16 миллионов из них проскакивают через спам-фильтры, половину этих писем открывают, 800 000 кликают на ссылкам и 80 000 отдают свои данные. Еще раз: 80 000 человек в мире ежедневно только с помощью рассылок отдают свои деньги бандитам. Как определить фальшивую рассылку? 

1. Внимательно смотрите на адрес отправителя. Главный обман всегда там. Либо в нем есть намеренная опечатка (sbelbank, а не sberbank), или письмо отправлено с адреса, зарегистрированного в открытом почтовом сервисе (gmail, mail, yandex и т. п.) Какой бы официальной и красивой и похожей на правду ни была рассылка, если с адресом отправителя что-то не то — значит, это точно обман.

2. Смотрите на ссылки внутри рассылки. Посмотрите, куда вас собираются отправить — если вас ведут не на официальный сайт компании, якобы приславшей рассылку, не ходите туда.

3. Ищите грамматические ошибки и опечатки. Тоже причина для беспокойства.

Очень рекомендуем почитать по этому поводу статью на Habrahabr — там много примеров, из которых следует, что иногда фишинговые письма выглядят практически как настоящие и найти обман крайне сложно.

Во-первых, с этим борются сами банки. Служба безопасности есть у каждого банка — и это по сути частная спецслужба, которая ищет мошенников. Но вы сами тоже можете себя обезопасить. Вот советы «Тинькофф Банка», вместе с которым мы сделали эту карточку:

1. Заведите отдельную карту для покупок в интернете. Дополнительная карта использует тот же счет, что основная, но у нее другие платежные данные. Даже если их уведут, вы заблокируете дополнительную карту и останетесь с основной.

2. Установите на дополнительной карте лимит на расходы, например, 5000 рублей в месяц. Лимит можно изменить в любой момент.

3. Позвоните по номеру на обороте карты и уточните, подключен ли у вас 3-D Secure — это когда любую оплату в интернете нужно подтверждать через код в смске. Если не подключен, узнайте, как это сделать. Если подключить 3-D Secure нельзя, меняйте банк.

4. Не носите карту и телефон вместе. Положили карту в чехол для телефона — сделали за мошенника полдела. При оплате он получит смску с кодом на ваш же телефон.

5. Установите антивирус и регулярно обновляйте его.

6. Не скачивайте программы и фильмы с пиратских сайтов, это самый надежный способ схватить вирус.

7. Не устанавливайте на Android приложения не из Google Play.

8. Защитите телефон пин-кодом или отпечатком пальца. Никто не должен добраться до ваших СМС, кроме вас. Обязательно отключите показ текста сообщений на заблокированном экране. Конечно, так удобнее вводить код . Мошенникам в том числе.

А еще расскажите это все своим пожилым родственникам, если они у вас есть. Возможно, они не покупают в интернете, но они меньше всего защищены от того, чтобы их обманули по телефону.

Другие материалы из совместного проекта «Медузы» и «Тинькофф Банк» читайте здесь.