Приемы карточной самообороны
На чью защиту не стоит рассчитывать держателям банковских карт
Скандал, связанный с утечкой информации о 200 тыс. банковских карт с сайта РЖД, заставил пассажиров самостоятельно заняться проверками, не оказались ли их данные в открытом доступе. Гражданин, у которого украли с карты деньги, лично ловит злоумышленника в Голландии с помощью местной полиции. Только активная самозащита своих средств может обеспечить безопасность российским держателям пластиковых карт.
На прошлой неделе разразился скандал: по информации www.sos-rzd.com, около 200 тыс. карт могло быть скомпрометировано при покупке билетов через официальный сайт РЖД. На том же сообщившем о проблеме сайте можно проверить, попали ли данные вашей карты в открытый доступ. Граждане, покупавшие в сети железнодорожные билеты, бросились проверять карты, и многие утверждают, что нашли свои данные в списке похищенных.
Между тем в ВТБ 24, расчетном банке сайта РЖД, твердо заявили, что данные карт в безопасности и никаких атак не было. А сайт, распространяющий информацию о краже данных, скорее всего, сам является мошенническим. "Мы крайне не рекомендуем вводить номера своих карт на сайте sos-rzd.com",— заявил представитель РЖД.
Действительно, существует довольно распространенный способ кражи данных — фишинг, когда мошенники обманом заставляют доверчивых пользователей ввести их на фальшивом сайте. "Один из способов получения данных клиентов — заражение компьютера вирусами, которые передают информацию мошенникам, когда человек вводит в интернете номер карты и CVV2,— рассказал "Деньгам" директор департамента карточных и дистанционных технологий Росбанка Андрей Грачев.— Поэтому очень важно использовать на своем компьютере своевременно обновляемое антивирусное ПО".
Правда, в вышеописанном случае сайт не требует вводить информацию о карте — ее можно проверить по размещенному там списку скомпрометированного пластика. Опять же вопреки стандартной технологии мошенников, авторы сайта рекомендуют тем, кто обнаружил свою карту в списке, сразу ее блокировать и перевыпускать, а не советуют звонить по незнакомому номеру и не просят вводить куда-нибудь пин-код. Утечка, по данным сайта, стала возможна из-за уязвимости "в криптографической библиотеке OpenSSL".
На сайте журнала "Компьютерра" это объясняют так: в версиях 1.0.1 и 1.0.2 beta библиотеки OpenSSL, отвечающей за шифрование данных при передаче через интернет, содержится ошибка, получившая название Heartbleed. "Установив соединение, клиент (не человек, конечно, а программное обеспечение) периодически обращается к серверу с просьбой подтвердить, что соединение еще не разорвано. В ответ сервер должен вернуть некоторый небольшой объем данных, причем количество их определяет сам клиент. Так вот, если клиент запросит больше данных, чем отправил, дефективная OpenSSL его запрос все равно удовлетворит и пришлет ему кусок из оперативной памяти длиной вплоть до 64 килобайтов",— сообщает сайт журнала.
Занимается ли sos-rzd.com фишингом — вопрос к правоохранительным органам. Но совет при малейшем подозрении на компрометацию карты блокировать ее и перевыпускать абсолютно правильный.
Руководитель дирекции обслуживания физических лиц и малого бизнеса Райффайзенбанка Андрей Степаненко обратил внимание на то, что кроме фишинга в интернете распространен другой тип мошенничества — взлом баз данных. В этом случае злоумышленники получают доступ к информации на сайтах, торгующих через интернет (например, железнодорожными билетами), где хранятся записи о трансакциях по картам с их данными. Совершать покупки в интернете следует с использованием программы 3-D Secure, советуют банкиры. Если она подключена, при авторизации покупки банк отправляет клиенту SMS с кодом подтверждения, который необходимо ввести при оплате.
Вне сети
Держатель банковской карты может столкнуться с мошенничеством не только в интернете. На днях в редакцию "Денег" обратился клиент банка ВТБ 24 Евгений. По его словам, в конце прошлого--начале этого года за рубежом по его карте стали совершаться покупки в евро, фунтах стерлингов и долларах США. Сам Евгений при этом находился в России. Пользуясь данными карты, мошенники приобретали в интернет-магазинах одежду и косметику, бронировали авиабилеты и номера в отелях, даже заказывали пиццу. Общая сумма похищенных таким образом средств достигла почти 120 тыс. рублей.
Поняв, что кто-то крадет деньги с его карточного счета, Евгений написал заявление в банк. И, ожидая ответа, провел собственное расследование: через один из интернет-магазинов выяснил, от чьего имени размещались заказы. Мошенником оказался житель Голландии. Евгений не поленился заполнить форму на сайте голландской полиции, и пару дней спустя офицер из Амстердама сообщил, что после проверки информации злоумышленник был задержан. Тот, в свою очередь, признался, что у него есть сообщник в Лондоне, который похищал данные банковских карт в гостинице.
Примерно половину украденного клиенту ВТБ 24 удалось вернуть самостоятельно после обращений непосредственно на зарубежные интернет-порталы. В марте пришел ответ из банка, где говорилось, что мошеннический характер операций не установлен и клиенту следует обратиться в правоохранительные органы. На запрос "Денег" в ВТБ 24 ответили так: "Кредитная организация имеет все основания отказать клиенту в том случае, если оспариваемые им операции проведены в сети интернет с вводом реквизитов банковской карты и при этом не выявлены мошеннический характер этих операций и факты компрометации самой карты. Поэтому урегулирование вопроса находится в компетенции правоохранительных органов. Однако следует учитывать, что в подобных ситуациях банк инициирует процедуру опротестования в рамках международной платежной системы. В случае успешного опротестования средства клиенту возмещаются. Вполне возможно, что и в нашем случае средства (или часть средств) уже возвращены клиенту".
И действительно, когда статья готовилась к публикации, Евгению начали поступать на счет новые порции денег. Дело в том, что опротестование трансакций по правилам платежных систем — дело не очень быстрое, может затянуться на несколько недель. Так что гражданин, самостоятельно найдя преступников и стребовав свои деньги с иностранных интернет-сайтов, может существенно сократить срок их возврата. И если бы у Евгения была подключена услуга SMS-оповещения о трансакциях, пропажу средств со счета он обнаружил бы гораздо раньше, и украденная сумма могла бы оказаться заметно меньше.
Намного опаснее другой распространенный тип мошенничества — скимминг. "Как правило, на приемник карт в банкомате устанавливается специальная накладка, которая считывает данные карты,— рассказывает Андрей Грачев.— Поэтому необходимо внимательно смотреть на приемное устройство карты. Бывает также, что на банкомате устанавливают маленькие видеокамеры, чтобы подсмотреть пин-код. Поэтому, когда вы собираетесь его вводить, желательно прикрывать клавиатуру". Особо опасным этот вид мошенничества делает то, что банкоматные трансакции по правилам платежных систем не оспариваются. Считается, что, если злоумышленник ввел пин-код, это значит, что держатель карты не смог обеспечить его сохранность и, следовательно, сам ответствен за пропажу денег.
По статистике, в России мошенничества с картами очень часто совершаются после их физической кражи, например, вместе с бумажником. В таком случае владельцу необходимо максимально быстро заявить о краже в банк, заблокировать карту.
"Промедление с уведомлением о спорной трансакции освобождает банк от всякой ответственности,— говорит ответственный секретарь Финпотребсоюза Ирина Свинцовская.— По возможности подайте и письменное заявление в банк о возврате денег на карточный счет". Чтобы успешно оппонировать финансовым организациям, любое обращение к ним надо облекать в письменную форму. Необходимо получить на руки копию своего обращения с отметкой банка о вручении. В случае невозврата денег надо идти в суд.
Возвратно-поступательный закон
1 января 2014 года в России вступили в силу новые правила возврата денег, незаконно списанных с карточного счета клиента. Согласно поправкам к 9-й статье закона "О национальной платежной системе", держатель карты уже не должен доказывать, что он не виноват в списании средств, теперь докопаться до правды — обязанность самого банка. От гражданина же, в свою очередь, требуется в течение суток с момента получения информации о трансакции заявить о своем несогласии с ней.
После принятия этих поправок держатели карт ожидали, что теперь украденные деньги банк им будет возвращать сразу, а потому уже сам разбираться с мошенниками. "У многих граждан, к сожалению, складывается представление, что по этому закону в случае зафиксированной мошеннической операции по карте банк сразу же вернет деньги,— говорят в Альфа-банке.— Но это не совсем так. У банка есть возможность рассмотреть требование или претензию клиента в течение 30 дней. Если банк в течение этого срока убедился, что вины клиента нет и есть факт мошенничества со стороны третьих лиц, банк вернет средства клиенту". На деле получается, чтобы получить назад пропавшие деньги, держателям карт нередко приходится обращаться в правоохранительные органы или в суд, так было и раньше.
Как отмечают представители банков, для них после принятия поправок тоже практически ничего не изменилось. По словам Андрея Степаненко, поправки лишь несколько систематизировали процедуру работы со спорными случаями. "После внесенных изменений процесс стал более клиенториентированным, однако по сути он остался прежним,— согласен с коллегой Андрей Грачев.— Если банк видит, что клиент прав, средства возмещаются, но, если в ходе проверки у банка появились основания считать, что клиент участвовал в проведении трансакции, средства восстановлены не будут. Следует отметить, что наш банк страхует убытки, вызванные несанкционированными операциями по картам, поэтому обоснованность заключений наших специалистов постоянно перепроверяется специалистами страховщика".
Некоторые эксперты полагали, что принятие поправок к 9-й статье закона о Национальной платежной системе вызовет рост мошенничества. Однако, как отмечает глава департамента управления рисками Visa в России Олег Скородумов, по предварительным оценкам, в нынешнем году уровень мошенничества существенно не повысился. "В минувшем году уровень мошенничества по картам Visa в России оставался стабильно низким и составлял примерно пять копеек на тысячу рублей — это в десять раз ниже среднемировых показателей",— сообщил Скородумов.