7.2.3. Атаки на держателей карт
Одним из объектов атак злоумышленников является держатель карты. Изучение судебной практики по уголовным делам показывает, что самыми многочисленными случаями противоправных действий в области платежных карт являются дела по фактам хищения денежных средств с использованием похищенных карт и ПИН-кода. ПИН-код может быть получен различными способами: похищен вместе с картой, подсмотрен, получен от держателя в результате угроз или даже пыток. Известны случаи, когда держатели карт, работающие вахтовым методом в районах Крайнего Севера, просили банки блокировать их карты на время своего проезда с места работы домой, так как такие рейсы встречали криминальные элементы с целью получения денежных средств. ПИН-код держателя может быть подсмотрен при использовании карты в банкомате или торговом предприятии. Особенно опасно вводить ПИН-код в торгово-сервисных предприятиях, так как при его введении нормальной является ситуация, что в кассу стоит очередь и за спиной держателя находится человек, который видит, как вводится ПИН-код. Помимо этого, недобросовестный владелец или сотрудник магазина может оборудовать место установки ПОС или кассового терминала скрытой системой видеонаблюдения. Подглядывание ПИН-кода может быть особенно опасно, если банк-эмитент предоставляет держателям карт возможность изменить ПИН-код и держатель установил одинаковый ПИН-код ко всем своим картам (чтобы легче запомнить). В этом случае компрометация такого ПИН-кода может привести к хищению денежных средств со всех карт. Иногда держатели карт сталкиваются с так называемым дружественным мошенничеством: член семьи, близкий друг, коллега по работе и т. п. берет карту втайне от законного владельца и, зная ПИН-код, получает деньги в банкомате. На банкоматах также могут устанавливаться различные ловушки, предназначенные либо для захвата карты, либо для захвата наличных денежных средств. При захвате карты обычно злоумышленник «помогает» держателю с целью узнать еще и ПИН-код. Такой «доброжелатель» может похитить у держателя карту и без каких-либо устройств, а просто отвлекая держателя в момент, когда карта выходит из банкомата.
В последнее время большое распространение получил обман держателей карт с использованием средств мобильной связи. Обычно клиент получает на телефон SMS-сообщение, что по какой-то причине его карта заблокирована, дополнительную информацию можно получить по указанному телефону. Характерной особенностью таких сообщений является отсутствие в них реквизитов карт, хотя банки всегда указывают последние цифры номера карты держателя. Так как у одного держателя может быть несколько карт и карты могут быть разных банков, в сообщении необходимо явно указать, о какой карте идет речь. Но мошенники не знают номера карты, а зачастую и банка-эмитента. Банк можно угадать, например Сбербанк — крупнейший эмитент. В остальном расчет злоумышленников строится на методах социальной инженерии. При звонке держателя (номер телефона, конечно же, не совпадает с контактными телефонами банка, указанными на оборотной стороне карты) держатель должен пройти процедуру идентификации, при этом разглашается номер карты и другая критичная информация (срок действия, кодовое слово, последняя легитимная операция). После этого может быть несколько вариантов действий мошенников. Используя полученную конфиденциальную информацию, они могут перезвонить в банк-эмитент и, выдав себя за держателя, либо изменить какие-либо данные, например номер мобильного телефона, либо получить какие-то дополнительные сведения. Другой вариант действий — держателю сообщают, что по его карте прошли какие-то операции, например оплата нескольких мобильных телефонов, «банк» (мошенники) посчитал их подозрительными и просит держателя подтвердить их легитимность. Так как держатель никаких операций не совершал, то просит их отменить. Для этого мошенники просят держателя пройти к банкомату и выполнить операции отмены оплаты мобильных телефонов. На самом деле держатель, инструктируемый «злодеями», не отменяет операции, а своими собственными руками осуществляет перечисление денежных средств на чужие телефоны. Указанная схема используется и при незаконных интернет-операциях, когда банк для их подтверждения высылает держателю одноразовые пароли с использованием SMS. В этом случае в качестве легенды по отмене несанкционированных операций у держателя запрашивают данные коды и, получив их, проводят интернет-операции.
Для получения данных кодов мошенники пытаются перехватить высылаемые банками SMS-сообщения. Это возможно упоминавшимся уже способом получения персональных данных держателя с последующим изменением номера телефона в банке. Также мошенники могут изготовить поддельную доверенность и обратиться в представительство оператора мобильной связи с заявлением об утрате телефона и просьбой выдать новую SIM-карту со старым номером. В этом случае старая SIM-карта у держателя перестает работать, а все SMS-пароли банк высылает на телефон, находящийся у злоумышленников. Для борьбы с таким мошенничеством некоторые банки контролируют процесс смены SIM-карт. Особенно уязвимы мобильные телефоны, а вмести с ними и мобильный банкинг или его элементы, стали с распространением смартфонов, особенно с операционной системой Android. Разработано множество вариантов вредоносного программного обеспечения, направленного и на хищение SMS-паролей, которые не показываются держателю (так же как не показываются и другие сообщения от банка, например об операциях оплаты), и на полный контроль работы мобильного телефона — возможность получать сообщения и формировать команды (сообщения). До появления каких-либо новых технологических решений для телефонов, особенно с операционной системой Android, использование мобильного банка достаточно рискованно.
Приведем некоторые меры безопасности, которые необходимо соблюдать держателям карт с целью не допустить несанкционированных операций по своим картам.
7.2.4. Общие рекомендации для держателей карт по мерам безопасности
Платежные карты являются средством доступа к денежным средствам, находящимся на вашем банковском счете, поэтому отношение к их использованию и хранению должно быть аналогично отношению к наличным денежным средствам. Чтобы использование платежных карт было удобным и приятным, а ваши денежные средства оставались в сохранности, просим вас обратить внимание на следующие простые правила и рекомендации.
1. Храните карту вне доступа третьих лиц, не передавайте карту и (или) не сообщайте ее реквизиты (номер, срок действия, код безопасности на полосе для подписи) третьим лицам, кроме случаев, когда это требуется в процессе оплаты товаров/услуг.
2. Проявляйте аккуратность при хранении и вводе ПИН-кода (не храните записанным вместе с платежной картой). Помните о том, что ответственность за операции, совершенные с использованием ПИН-кода, возлагается на клиента.
3. Будьте бдительны при получении электронных писем или SMS-сообщений якобы от имени банка (например, о блокировке карты или каких-либо платежах), особенно если они содержат ссылки или номера телефонов для связи, отличные от телефонов на оборотной стороне вашей карты. Ссылки в электронных письмах могут вести на мошеннический сайт. Не сообщайте никакой информации о себе и ваших картах позвонившим лицам. При возникновении подозрений звоните в банк по телефонам «горячей линии». Помните о том, что информация о коде безопасности карты (CVC2/CW2), ПИН-коде, а также о паролях/кодах на проведение/отмену операций никогда не запрашивается сотрудниками банка.
