Что нового?

НОВОСТИ Ваша карта бита. так ли страшны утечки данных, как о них говорят

GLOV

Бывалый
ПРЕССА ФОРУМА
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
ЮБИЛЕЙНАЯ ЛЕНТА

GLOV

Бывалый
ПРЕССА ФОРУМА
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
20 Апр 2019
Сообщения
666
Симпатии
79
eRUB
4,624
Род занятий

Готовые кошельки, Дебетовые карты

ГАРАНТ
1

#1
52513.jpg


На прошлой неделе СМИ сообщили сразу о двух крупных утечках данных клиентов: у Сбербанка и «Билайна». Что делать, если информация о вас попала к мошенникам?

«Сами по себе данные как цель атакующих — тренд последнего времени, — утверждает руководитель отдела безопасности банковских систем Positive Technologies Тимур Юнусов. — Мы видим, что более половины всех киберпреступлений совершаются с целью получения данных. При этом в случае атак на частных лиц основным типом украденной информации являются как раз учетные записи (44% всех случаев во втором квартале 2019 года) и данные банковских карт (34% соответственно)». Данные входят в топ-5 наиболее часто продающихся и покупающихся в дарквебе сущностей, показывают исследования Positive Technologies. При этом 24% из них — непосредственно данные банковских карт. И данные о банковской карте с балансом от нескольких сотен до нескольких тысяч долларов на счете продаются недорого — в среднем за 9 долларов. Зачем мошенникам номера банковских карт?

Код доступа
Чтобы получить номер карты потенциальной жертвы, не обязательно ломать базу данных. «Я размещала на avito.ru объявления о продаже пальто, детского велосипеда и автокресла, — рассказала Банки.ру пользователь Елена. — Каждый раз мне перезванивали буквально через пять минут, говорили, что за товаром будет направлен курьер, и просили продиктовать номер банковской карты, якобы чтобы оплатить безналом. В первый раз я не поняла, что это мошенники, и продиктовала номер карты Сбербанка и срок ее действия. Хорошо, сразу после звонка меня осенило. Карту я заблокировала, а при всех последующих звонках говорила, что принимаю только наличные», — поделилась читательница.

Зная лишь номер карты, денежные средства списать нельзя, но иногда этих данных достаточно, чтобы оплатить покупку в Интернете. В частности, некоторые интернет-магазины, такие как Amazon, запрашивают при оплате товара лишь номер банковской карты. В этом находят лазейки злоумышленники. Так, в схеме, ставшей уже традиционной, мошенники часто используют информацию с сайта avito.ru. Они звонят продавцу товара под видом покупателя и предлагают перевести деньги за товар на банковскую карту. Продавец диктует номер карты, срок ее действия. Узнать имя и фамилию держателя мошенникам, владеющим соответствующими базами, не составляет труда.

Как пояснил директор по мониторингу операций и диспутам Альфа-Банка Алексей Голенищев, некоторые интернет-магазины действительно не поддерживают технологии 3D-Secure и не запрашивают CVC2 или CVV2. Но такую операцию можно легко оспорить. Опаснее другое: зная номер карты и, например, номер мобильного телефона, мошенники могут прибегнуть к приемам социальной инженерии и выманить у клиента пароли доступа к мобильному и интернет-банку, одноразовые коды для подтверждения операций и многое другое, говорит Голенищев.

Эксперты утверждают, что многое зависит от настройки глубины процессинга банка-эмитента. «Для проведения покупки в карточной платежной системе, в принципе, достаточно только номера карты, который нужен для идентификации счета, и даты окончания действия карты, и то не всегда», — рассказывает технический директор Qrator Labs Артем Гавриченков. По его словам, остальные данные — код с обратной стороны, регистрация держателя, его подпись и прочее — необходимы только для подтверждения, что карта действительно находилась в руках у человека, осуществлявшего оплату. «По сути, они нужны самим платежным системам и мерчантам (продавцам. — Прим. Банки.ру) для доказательства легальности перевода, если в дальнейшем будут возникать какие-либо диспуты по этому поводу», — добавляет Гавриченков.

В любом случае, ввод дополнительных данных по карте зависит от преференций самой платежной системы. Одна система может требовать введения только CVV-кода, другая — кода и, например, адреса регистрации держателя. Так, по словам эксперта, Visa и Mastercard не требуют в обязательном порядке запрашивать именно такие данные: если существуют иные способы идентификации держателя карты, можно использовать их. Ультимативно можно ничего не проверять и проводить любые операции с любых карт, по первому требованию откатывая платежи в случае подозрительных активностей. Что касается сайта Amazon, по данным Гавриченкова, если по платежу возникает спорная ситуация, Amazon блокирует осуществлявший платеж аккаунт, но деньги на карту возвращает.

В банках, как правило, есть системы фрод-мониторинга, которые пресекают спорные действия. Например, если мошенник несколько раз пытается подобрать срок действия карты.

«Если в таком случае расходная операция все же была проведена и деньги списаны с карты, банк-эмитент может успешно опротестовать эту операцию как неавторизованную», — уверен директор департамента платежных карт банка «Союз» Сергей Серебряков. Он отмечает, что при таком раскладе жертвой кражи средств станет вовсе не клиент, а эмитент, если он по каким-то причинам пропустит сроки опротестования. Если же торгово-сервисное предприятие к тому времени уже расторгнет договор с банком, пострадает эквайер.

Банкиры указывают и на более сложные схемы мошенничества при продаже товаров или услуг и с использованием сервисов перевода с карты на карту: клиенту зачисляют на карту некоторую сумму, потом говорят, что это ошибка, и просят вернуть на другую карту. «Клиент, совершая такой перевод именно на другую карту, сам того не подозревая, становится сообщником преступников, поскольку первая сумма, поступившая ему на карту, была украдена у жертвы. А возвращает он сумму на другую карту — карту мошенника. Таким образом, жертва уверена, что деньги украл клиент», — предупреждает Серебряков.

Какие ваши аргументы?
Если мошенники похитили деньги с помощью украденных у банка (или оператора) данных, доказать вину компаний будет проблематично. По словам адвоката, заместителя председателя коллегии адвокатов «Де-юре» Антона Пуляева, единственный шанс вернуть денежные средства — если банк или сотовый оператор открыто признают, что утечка конкретных конфиденциальных данных произошла по их вине, либо если в рамках расследования уголовного дела будут задержаны лица, совершившие мошенничество. «При этом крайне сложно доказать вину банка в утечке конфиденциальной информации, которая послужила причиной кражи денежных средств. Довольно редко кто признает вину без весомых доказательств, и банки не исключение», — говорит адвокат.

Представители банков в свою очередь указывают, что защитить себя от кражи денег в результате утечки данных клиент может, только принимая определенные меры. Заместитель директора дирекции некредитных продуктов и дистанционных каналов ТрансКапиталБанка Наталья Базалей среди таких мер называет подключение СМС-информирования к карте, регулярную проверку интернет-банка, а в случае обнаружения несанкционированных списаний с карты — срочное обращение в банк и заявление о несогласии с операцией. «Если клиент обратится в течение 24 часов после совершения операции, есть очень большой шанс вернуть деньги», — обнадеживает Базалей.

«Если вы подозреваете, что данные вашей карты «утекли», очевидно, что стоит ее заблокировать (как украденную) и перевыпустить, — советует Тимур Юнусов. — Обратите внимание на то, чтобы номер новой карты отличался от старой, потому что в случае простого перевыпуска по истечении срока карта может иметь тот же самый номер. А это, как вы понимаете, тот же набор входных данных, с которого может начаться атака и который уже скомпрометирован».

Не заговаривайте с неизвестным
Чем еще грозят утечки данных? Например, в случае с «Билайном» никаких платежных данных не утекло, но безопасники все равно бьют тревогу.

Дело в том, что чем больше информации о вас знает злоумышленник, тем эффективнее он может ее использовать для так называемого социального инжиниринга, когда вас ставят в ситуацию, в которой вы сами сообщаете мошенникам необходимые им данные.

Эксперты напоминают: не сообщайте важную информацию тому, кто звонит вам сам, кем бы он ни представлялся — службой безопасности банка, работодателем, другом детства или сотрудником сотового оператора. Озвучивать личные и платежные данные можно только тогда, когда вы сами звоните в банк (оператору и т. д.) по проверенному номеру (например, указанному на карте или на сайте банка). Во всех остальных случаях рисковать не стоит.
 
Сверху Снизу