Руководитель направления «Связь и интернет» сайта «Банки.ру» Антонина Самсонова о способах защиты банковских аккаунтов и других онлайн-счетов.
Человечество давно использует различные варианты денежных средств: шкурки, камешки, монеты, бумажные деньги, теперь вот и электронные. А как только появились деньги, появились и мошенники, пытающиеся эти деньги присвоить.
Много тысяч лет деньги были вполне материальны и ощутимы: их можно было потрогать, попробовать на зуб, спрятать в сундук и закрыть на замок. Но воры всегда находили способ их изъять. И, при определенном приближении, все эти способы можно условно разделить на две группы: «механические» и «психологические». С механическими способами все понятно: сломать замок, проникнуть в сейф, вынести деньги. Или просто из кармана кошелек украсть. А вот психологические способы всегда были более изощренными и даже иногда «красивыми». Правда жертвам от этого не легче. И тут фантазия мошенников была неистощима: от «волшебных бобов», гаданий и чудесных фокусов до масштабных финансовых пирамид.
С цифровизацией всего и вся деньги и финансовые операции все больше уходят в онлайн. Вплоть до того, что некоторые наши современники умудряются месяцами обходиться совсем без наличных. А если деньги уходят в онлайн, то вслед за ними уходят и мошенники.
Времена изменились, механические способы стали более изощренными и наукоемкими. Да и психологические способы от них не отстают, ведь человек остается человеком, даже если в руках у него смартфон вместо топора. Давайте посмотрим на наиболее популярные способы кражи онлайн-денег и расскажем, как от них уберечься.
Хочешь узнать своё имя на языке миньонов?
В Facebook целую неделю ходила шуточная запись: «Хочешь узнать, как бы звучало твое имя на языке миньонов? Напиши в комментарии номер своей банковской карты, срок действия и код с обратной стороны». Выглядит, конечно, смешно. Не верится, что кто-то может клюнуть на такую штуку, хотя, думаю, находились и такие. Данный пример хорошо, хоть и несколько гротескно, иллюстрирует технологию фишинга.
Применительно к нашей теме, фишинг — это способ получения конфиденциальной информации пользователя для совершения платежей от его имени или вывода средств с его счетов. Ловят людей самыми различными способами: присылают письма и SMS якобы от банка с просьбой перейти по ссылке или позвонить по телефону. Перешел по ссылке — а там онлайн-банк, точная копия вашего онлайн-банка, только адрес другой, но кто же тот адрес проверяет. Вы вводите логин, пароль, код из SMS — и все: злоумышленники получили полный доступ к вашим деньгам.
Мошенники — неплохие психологи, поэтому чаще всего такие сообщения подкрепляются пугающими новостями вроде: «С вашего счета списаны деньги! Если Вы не совершали эту операцию, немедленно свяжитесь с банком по такому-то телефону». Что делает перепуганный человек? Кидается звонить по указанному номеру, сообщая незнакомым людям свои паспортные и платежные данные. Заканчивается это все тем, что с его счета списываются деньги. И на этот раз по-настоящему.
Кроме SMS и писем все чаще сообщается о фишинговых звонках якобы представителей банков или технических служб, которые, под разными предлогами, узнают нужную им информацию. Казалось бы, кто же на такое купится? К сожалению, покупаются. Ведь по ту сторону линии сидят люди подготовленные, обученные специальным приемам. А даже самый умный и осторожный человек может быть уставшим, расстроенным, нетрезвым, наконец. И сам отдает все козыри в руки злоумышленников.
Защита от фишинга стара как мир, но при этом железобетонно эффективна. Во-первых, нужно помнить, что представители банков, сотовых операторов, провайдеров и прочих никогда не звонят клиентам с просьбой продиктовать конфиденциальные данные или ввести какие-то команды на телефоне. Такие компании очень трепетно относятся к личным данным клиента и жестко регулируются законодательством.
Во-вторых, получив сообщение о чем-то (списании денег со счета телефона, банковского счета, изменении настроек онлайн-банка и так далее), прежде всего нужно выдохнуть и проверить информацию. Посмотреть баланс на своем счету, сверить номер телефона и адрес в ссылке с данными на официальном сайте банка. И, если заметите что-то странное, обязательно связаться с банком. Только по тем контактным данным, которые вы видите на официальном сайте, а не тем, что вам прислали в SMS. Внимательность, осторожность и критическое мышление – лучшая защита от мошенников во все времена.
Ловись, рыбка, большая и маленькая
Некоторые случаи фишинга настолько массовые и наглые, что приобретают своё имя и входят в историю. Хотя, к сожалению, это совсем не ограждает новых жертв мошенников, люди попадаются на такие «удочки» с завидной регулярностью.
Яркий пример — «мошенничество имени Avito». Мошенники мониторят сайты типа Avito и «Юлы», выбирают те объявления, где продается что-то дорогое. Дальше все старо как мир: мошенник звонит продавцу, уверяет, что готов купить дорогую вещь прямо сейчас, и просит данные карты, чтобы перевести предоплату. Окрыленные мыслями о быстрой продаже, люди не задумываясь отдают все данные, включая cvv2/cvc2.
Такой же массовый и прибыльный «бизнес» — поддельные интернет-магазины. Создается сайт интернет-магазина каких-либо популярных товаров (иногда это просто торговая страница, лендинг). «Магазин» активно раскручивается в поисковиках. Это не быстро, но серьезно повышает доверие к сайту. Дальше все товары под разными предлогами продаются за предоплату.
Таким образом, мошенники не только присваивают себе деньги, перечисленные покупателями добровольно, но и получают в своё распоряжение полные данные карт, которыми незамедлительно пользуются, пока жертва ждет заказанный товар и не предпринимает никаких действий по защите своих денег.
Чаще других в эти сети попадаются подростки, домохозяйки, пожилые люди. Поэтому, будучи активным, серьезным и критически настроенным ко всяким «разводам», подумайте о тех, кто рядом с вами. И уделите немного времени «политинформации». Это убережет вас от лишних трат, а родных и близких — от лишних расстройств.
Первое правило личного кабинета оператора — никому не говори пароль от личного кабинета
Счет мобильного телефона уже давно перестал быть просто балансом для звонков и SMS — это полноценное платежное средство. Без связи мы как без рук. Времени мало, и мы часто привязываем банковскую карту к личному кабинету на сайте оператора, чтобы пополнять баланс практически мгновенно и в любое время. В этом смысле «Мегафон» пошел еще дальше, привязав свою банковскую карту к счету телефона. Удобно? Безусловно! Безопасно? Как посмотреть.
Помня о том, что на телефонном счету денег не очень много, мы не сильно заморачиваемся со сложностью пароля. А зря. Простые пароли легко взломать. Проникнув в наш личный кабинет, мошенник может воспользоваться не только средствами на телефоне.
Если карта привязана к счету телефона, ничто не помешает злоумышленнику пополнить баланс номера на максимально доступную сумму, а потом вывести деньги со счета, например, через Qiwi. Да, он заплатит большую комиссию за вывод средств. Ну и что? Это же чужие деньги. А дальше доказать или вернуть деньги крайне сложно. Пароль — ваш, кошелек Qiwi «левый», денег давно нет.
Поэтому помним, что телефонный счет — тоже деньги. А пароль усложняем и всячески храним.
Свой чужой номер
Представьте себе ситуацию: вы долго пользовались номером телефона, к нему были привязаны мобильный банк, всякие сервисы, «напоминалки». А потом по каким-то причинам вы перестали им пользоваться. Что с ним происходит?
Оператор блокирует номер, потом он уходит в «отстойник», а затем попадает к другому абоненту. Да, новый абонент получил не вашу SIM-карту, а её дубликат. Да, чаще всего банки отслеживают такие вещи и блокируют операции при смене SIM-карты до подтверждения «легальности» SIM-карты от клиента. Чаще всего. Но не всегда. И не все банки. Ну а мы, конечно, чаще всего забываем уведомить банк о том, что больше не пользуемся SIM-картой. И, таким образом, ставим свои финансы под угрозу.
Поэтому берем за правило: обо всех изменениях в жизни банку надо сообщать. Как врачу. Чтобы потом не было мучительно больно.
«Человек в браузере»
По информации технического директора Check Point Software Technologies Никиты Дурова, банковские трояны — один из наиболее распространенных способов мошенничества в финансовой сфере. Атакам троянов и прочих вирусов подвергаются как банковские клиенты, так и сами банки. И если с атаками на банки простой человек вряд ли сможет бороться, то обезопасить себя лично он вполне способен. Давайте сначала поймем, как это работает.
Банковские трояны часто используют технику man-in-browser («человек в браузере») — веб-инъекции или механизмы перенаправления. Они проявляют активность и тайно ждут, когда пользователь зайдет в онлайн-банк. Затем троян может использовать кейлоггинг — фиксировать все действия пользователя на сайте, в том числе нажатие клавиш. Это позволяет хакерам завладеть информацией, необходимой для входа в систему онлайн-банкинга, перевода средств на чужой счет и других махинаций.
Никита Дуров
технический директор Check Point Software Technologies
То есть сами того не ведая, клиенты отдают свои данные в руки мошенников. Можно ли от этого защититься? Конечно.
Во-первых, вовремя обновлять ПО на компьютере, смартфоне, планшете, то есть на любом устройстве, которое вы используете для доступа к деньгам. В обновления производители включают новые защитные механизмы системы и закрывают «дыры», обнаруженные ранее. То есть чем новее ПО на вашем устройстве, тем больше вы защищены.
Во-вторых, не стоит пренебрегать антивирусами и защитными программами. И тоже максимально новой версии. В-третьих, в настройках браузера следует запретить загрузку расширений с непроверенных сайтов. И, в-четвёртых, будьте внимательны к деталям. Проверяйте адреса сайтов, которыми пользуетесь для совершения финансовых операций, и будьте осторожны, переходя по ссылкам на сайтах и в приложениях.
Мне не страшно, у меня кнопочный телефон
До сих пор бытует мнение, что если SIM-карта, к которой привязан ваш онлайн-банк, стоит в простейшем кнопочном телефоне, то мошенники вам не страшны. Да, вариантов воздействия на вас у злоумышленников меньше, но тем не менее они есть. Банальный фишинг, о котором мы говорили выше, в этом случае вполне применим. Мошеннику, по большому счету, все равно, на какой аппарат он звонит — кнопочный или новейший смартфон. Так что бдительность терять не стоит.
Кроме того, благие намерения банков сделать операции максимально быстрыми и удобными играют на руку мошенникам. Так, возможность совершения денежных переводов путем отправки USSD-запросов или SMS открыла целый пласт возможностей для преступников.
Самый банальный вариант — ваш телефон оказался в руках мошенников. А там — полная информация о ваших возможностях: наименование банка, баланс счета, примеры SMS для перевода денег со счета на счет. Даже не обладая никакими дополнительными данными, можно вывести с ваших счетов деньги в довольно короткий срок.
Поэтому никогда не оставляйте телефон без присмотра. И не пренебрегайте блокировкой аппарата (паролем, отпечатком пальца, Face ID, а лучше комбинацией способов). И вот в этом случае кнопочный телефон со стандартной и легко снимаемой блокировкой серьезно проигрывает смартфонам.
Еще один способ мошенничества, не зависящий от модели телефона — дубликат SIM-карты. Многие банки дают возможность восстановить логин и пароль от онлайн-банка с помощью привязанного к системе телефона. А значит, злоумышленник, получивший вашу SIM-карту или ее дубликат, легко получит доступ к вашим финансам.
Поэтому при потере телефона или SIM-карты необходимо как можно быстрее заблокировать «симку», обратившись к вашему оператору. А также сообщить о происшествии в банк. Кроме этого, если вы видите, что происходит что-то странное — подозрительные операции, SMS от банка об операциях, которые вы не совершали — незамедлительно свяжитесь с банком по номеру, указанному на официальном сайте и заблокируйте доступ до выяснения обстоятельств. Внимательность и быстрая реакция помогут вам сохранить свои деньги и время.
Плати хоть утюгом, но проверенным
Головокружительный технологический рост делает фантастику реальностью, давая нам неведомые раньше возможности. Но с ростом возможностей растут и потенциальные угрозы. Всего год назад человек, который платит в магазине телефоном, ловил на себе заинтересованные взгляды. Сейчас этим уже никого не удивишь.
Совсем скоро умная техника научится не только оказывать нам определенные услуги, но и получит доступ к нашим финансам. Так, холодильник сам будет заказывать необходимые продукты, а утюг — расходные материалы по мере их истощения.
А значит, у злоумышленников появятся новые возможности. Но внимательность, здравый рассудок и разумные меры безопасности защитят ваши финансы в любые времена, и независимо от того, чем вы платите. Хоть беличьей шкуркой, хоть утюгом.
Фото: VC.RU