Инструкции по безопасности, которые выдают своим клиентам банки, не меняются долгие годы. Везде перечислены приблизительно одинаковые риски и даны одинаковые советы, как их избежать.
Однако, время не стоит на месте, меняются как сами банковские карты, так и весь окружающий мир, и это не могло не сказаться на безопасности банковских карт. Поэтому я решил рассмотреть возможные риски хищения средств с банковских карт в наше время.
Копирование пластиковой карты
Часто можно встретить совет о том, что нужно осмотреть банкомат на предмет «дополнительных устройств», закреплённых преступниками на банкомате — скиммерах. Это такие накладки, которые размещались в районе картридера; когда клиент вставлял карту в банкомат — они копировали данные с магнитной полосы. Пин-код при этом либо снимали на скрытую камеру, либо «запоминали» с помощью фальшивой накладной клавиатуры.
Сейчас за рубежом часто стали использовать скиммеры, которые не видны невооружённым глазом — их размещают внутри картридера банкомата.
За рубежом скиммеры активно используются преступниками — в новостях можно найти много упоминаний об этом, но в России скиммеров можно не опасаться.
Во-первых, всё меньше остаётся мест, где для оплаты используется магнитная полоса. Но, главное, данные, скопированные с карт в России, не могут быть использованы за рубежом, в связи с тем, что платежные системы Visa и MasterCard больше не работают в нашей стране — т.е. перепродавать данные российских клиентов за рубежом нет смысла.
Призрачные платежи в банкоматах
Если скиммеров, фактически, можно уже не опасаться, то остаётся вероятность встретить накладную клавиатуру, которая будет распознавать вводимый пин-код.
Некоторое время назад в Бразилии была выявлена вредоносная программа, которая заражала банкоматы. Банкомат, заражённый такой программой, в момент обслуживания проводил ещё одну «дополнительную операцию» — оплату покупки. И, хотя визуально программу не видно, но накладную клавиатуру можно обнаружить.
Об использовании подобной схемы хищения средств в России пока неизвестно, но представить, что какие-то злоумышленники зарегистрируют терминал на фирму-однодневку, и попытаются каким-то образом заразить банкоматы, несложно.
Защититься, кстати, от подобной схемы хищения средств достаточно просто. Можно даже не разглядывать клавиатуры, выискивая фальшивые, а просто пользоваться банкоматами исключительно бесконтактно.
Несанкционированные списания с помощью бесконтактных платежей
В интернете часто можно встретить истории о том, что злоумышленники списывают деньги с помощью переносного терминала, которым «прижимаются» к пассажирам в общественном транспорте. О реальных случаях таких хищений неизвестно.
Тут, скорее, можно опасаться того, что с карты считают какие-то базовые данные — номер карты, срок действия и, иногда, список последних операций по карте.
Защититься от этого можно с помощью специального защитного чехла или кошелька. Но, я бы не стал заморачиваться — считать данные всё же не так просто, а пользы от них не так уж и много. Одного номера и срока действия карты для того, чтобы совершить платёж, недостаточно — нужен, как минимум, ещё и код верификации — CVC/CVV, который нанесён на обратной стороне карты (получить его бесконтактно нельзя).
Воровство средств с карты в интернете
С помощью банковской карты можно расплачиваться в интернет-магазинах. Обычно для этого достаточно знать номер карты, код верификации (CVC/CVV) и срок действия. Также при большинстве платежей будет запрашиваться код для подтверждения платежа, который отправляется банком по SMS (или каким-то иным способом).
Злоумышленники ставят перед собой задачу выманить у вас реквизиты карты, для того чтобы начать с неё списывать деньги. Это возможно и без дополнительного подтверждения кодом из SMS — некоторые сайты, в т.ч. и в России принимают оплату без такого подтверждения (на одном из таких я каждый месяц оплачиваю коммунальные платежи).
Кроме того, были случаи, когда злоумышленники создают фальшивый сайт, в котором предлагают оплатить покупку. Параллельно с этим они инициируют перевод с карты на карту, а код, необходимый для подтверждения перевода, вводит сам клиент, предполагая, что он необходим для оплаты заказа.
Для защиты от хищения средств с карты в интернете нужно быть внимательным к сайту, где совершается покупка. К незнакомым сайтам лучше относиться настороженно. Если пришло интересное предложение что-то купить по электронной почте, или увидели его где-то в сети, то лучше не переходить по ссылке, а зайти на сайт и найти товар там самостоятельно (чтобы не попасться на фишинговую ссылку).
Часто советуют завести для интернет-расчётов отдельную виртуальную карту. Но гораздо надёжнее — перейти на оплату с помощью СБП или различными Pay-сервисами (YandexPay, SberPay, TinkoffPay и т.д.).
В этом случае реквизиты карты нигде не указываются, подтверждение платежа осуществляется на вашем устройстве, при этом видите наименование юрлица, которому будет осуществлён перевод.
Да, в этом случае вы можете лишиться кешбэка, но думаю, это небольшая плата за безопасность.
Потеря (кража) карт и телефонов
Если потерять карту или телефон, то тоже есть риск остаться без денег.
Если карта поддерживает бесконтактные платежи (а все новые карты их поддерживают), то при оплате до 3000 ₽ пин-код запрашиваться не будет.
Нашедший вполне сможет ею воспользоваться — пройтись по магазинам, придерживаясь указанного лимита.
Точно так же обстоит ситуация при бесконтактной оплате телефоном — устройство не нужно разблокировать, если сумма покупки меньше трёх тысяч рублей.
Но тут ситуация немного лучше. Приложение Mir Pay позволяет отключить эту функцию в настройках, и тогда телефон нужно будет разблокировать при любой операции.
Правда, в альтернативных сервисах дело может обстоять иначе. Например, в Tinkoff Pay отключить возможность оплаты заблокированным телефоном нельзя.
Поэтому не теряйте карты и телефоны, а в приложении Mir Pay включите настройку «Запрос подтверждения при оплате».