Как защитить свою банковскую карту от мошенников в интернете
Одно из самых прибыльных киберпреступлений - мошенничество с кредитными или банковскими картами. Размах подобных преступлений в мире настолько велик, что у банков обычно есть лимит убытков по карточным операциям (где-то до 1%).
При этом в полном цикле аферы участвует множество людей. Каждый цикл требует определенных знаний, связей или технических средств.
Схема мошенничества:
- Получение информации о банковских картах;
- Обработка полученной информации (сортировка, классификация и др.);
- Конвертирование данных в реальные деньги.
Кардеров интересует:
- Срок действия карты, номер, имя держателя, фамилия, код CVV;
- Card Dump (электронная копия);
- PIN-код карты + PIN-код банкинга.
Способы получения данных карты
- Незаконный доступ к серверу банка или магазина - самый сложный метод и поэтому наиболее редко используемый на практике. При этом методе хакеры взламывают серверы банковских организаций, получая таким образом доступ к данным. Абсолютно все банки тщательно следят за сохранностью хранящихся данных и используют самые передовые системы защиты. Поэтому метод сложно-выполним и не особо востребован мошенниками.
- Доступ к актуальной информации с использованием официального статуса (Insider) – при нем личные данные владельцев карт предоставляются работником банковской структуры. К сожалению, от такого «человеческого фактора» защитится самостоятельно невозможно. В случае инсайдерской кражи ответственность за нее перед владельцем карты полностью несет организация-работодатель мошенника.
- Захват интернет-трафика (редкий метод), например, когда кто-то передает данные своей карты по электронной почте. Метод заключается в перехвате сообщений электронной почты, чаще всего путем предварительной установки вредоносного ПО на компьютер или телефон. Для массовых краж метод не используется, так как сложно предугадать кто, кому и когда отправляет свои данные. Иногда он используется для целевых атак, в таком случае мошенник специально просит жертву отправить ему личные данные.
- Физическая кража карты.
- Получение данных карты при использовании в торговой организации.
- Получение данных с помощью фишинга.
- Получение данных карт или ПИН-кода с помощью скимминга.
Более подробно самые распространенные способы получения данных карты мы рассмотрим ниже.
Физическая кража карты
Самый банальный способ - просто украсть карту. У многих пользователей ПИН-код написан на одной и той же карте. Также известны случаи, когда у виновника украденного кошелька обнаруживаются листы с пин-кодами.
Помимо использования «ловкости рук», при этом способе кражи данных кредитной картычасто используют дополнительные уловки.
Кража путем отвлечения хозяина
В заранее оговоренной ситуации, отвлекая внимание неосторожной жертвы (например, указывая туристу направление или прося совместное фото), мошенники крадут его сумку с кредитной картой и телефоном. Когда жертва замечает исчезновение своих ценностей, один из симпатичных, обычно хорошо одетых участников группы услужливо советует им немедленно отключить кредитную карту, а также предлагает для этого свой мобильный телефон. Однако мошенник звонит своему партнеру, который, играя в службу поддержки клиентов, просит ничего не подозревающую жертву ввести PIN-код с помощью кнопок телефона. Набор кода записывается на диктофон, поэтому воры получают не только карту, но и связанный с ней ПИН-код. Банковский счет ничего не подозревающей жертвы, которая считает, что карта заблокирована, тем временем уже используется злоумышленником.
Поставщику финансовых услуг никогда не нужно вводить PIN-код для карты. Учреждение идентифицирует вас на основе другой информации. На обратной стороне карты вы найдете номер телефона, по которому можно позвонить в случае кражи карты. Запишите этот номер и звоните в случае возникновения проблем.
Получение данных карты при использовании в торговой организации
Копирование кредитной карты в ресторанах
В пункте общественного питания официант может незаметно скопировать кредитную карту несколькими способами, фактически на глазах у ничего не подозревающей жертвы. При оплате, когда владелец карты передает ее ему, он роняет ее на землю, и когда он поднимает ее, тянет вниз с помощью считывающего устройства, прикрепленного к его лодыжке, или просит карту, он поворачивается, как бы вставляя ее, а затем возвращает, потому что он предпочитает вывести мобильный ридер. К тому времени, как он вернул карточку, он уже скопировал ее. Он фиксирует PIN-код и изображение карты с помощью мини-камеры.
Карту с магнитной полосой можно скопировать за считанные секунды, поэтому рекомендуется запросить карту с чипом у поставщика финансовых услуг. При совершении платежа следите за своей картой и не позволяйте ее забирать у вас. Если уронили, подозревайте. При вводе кода прикрывайте клавиатуру другой рукой.
Мошенничество в магазинах
Преступники могут изменить ПИН-код (который нужно ввести при совершении платежа), с помощью размещенного на кассе магазина устройства, на свой одним движением, которое передает им все данные.
У мошенников также есть известная уловка - просто сфотографировать лицевую и обратную стороны кредитной карты. Поскольку карта содержит всю информацию, необходимую для совершения покупок в Интернете, преступники могут легко потратить деньги на карте.
При совершении платежа желательно хранить карту таким образом, чтобы на ней было видно как можно меньше данных, и не класть карту на кассу.
Фишинг
Фишинг — это мошенничество с использованием электронной почты, которое выдает себя за компанию, чтобы обманом заставить получателей раскрыть учетные данные или щелкнуть ссылку, содержащую вредоносное ПО. Большинство атак фишинга заключается в заманивании жертвы ссылкой на мошеннический веб-сайт или включении вложения электронной почты с вредоносным ПО.
Большинство фишинговых писем содержат тему, вызывающую тревогу или интригу, побуждающую жертв действовать быстро. За исключением высоконаправленных атак, фишинговое электронное письмо обычно является разовым событием. Часто хакеры отправляют одно электронное письмо сразу нескольким получателям, явление известное как волна, чтобы повысить шансы на успех.
Электронные письма с адресным фишингом не содержат ссылок или вложений и предназначены для того, чтобы обманом заставить получателя завершить финансовую транзакцию, например осуществить банковский перевод, приобрести подарочные карты или изменить информацию о прямом депозите.
Элементы фишингового письма
Все фишинговые письма содержат один из двух компонентов: ссылку или вложение. Чтобы заставить жертв щелкнуть ссылку или открыть вложение, требуется сложный набор инструментов и методов. Ниже приведены некоторые из наиболее важных элементов фишингового письма:
- Сюжетная линия. Пожалуй, самый важный элемент фишингового письма - тема, призванная побудить, встревожить или запугать жертву, чтобы она открыла письмо. Хакеры, которые провели свое исследование, пишут узконаправленные темы, чтобы побудить жертв открыть электронные письма.
- Подмена электронной почты. Подмена электронной почты включает создание адреса электронной почты, который выглядит как адрес доверенной компании. При подмене отображаемого имени хакер добавляет желаемое отображаемое имя в поле отправителя электронного письма. В других случаях хакер будет использовать адрес электронной почты, напоминающий законный рабочий адрес электронной почты, в качестве отображаемого имени.
- Выдача себя за бренд. Хакеры выдают себя за бренды, которым вы доверяете больше всего. Атакуя предприятия, хакеры выдают себя за бренды, с которыми они связаны, например, банк или поставщика программного обеспечения. Чтобы создать иллюзию легитимности, фишеры используют реальные логотипы бизнеса и продуктов, а также другие визуальные элементы идентичности бренда.
- Фишинговая ссылка. Ссылка обычно помещается в текст сообщения электронной почты, но ее также можно разместить во вложении или в легитимно размещенном файле в такой службе, как OneDrive или SharePoint, чтобы избежать обнаружения известными фишинговыми ссылками с помощью фильтров электронной почты. Жертвы соблазняются щелкнуть ссылку в электронном письме, которое направляет пользователя посетить веб-сайт для входа в учетную запись.
- Вложение. Вложения включены либо для того, чтобы скрыть фишинговую ссылку от фильтра электронной почты, либо для доставки вредоносных программ / программ-вымогателей. Часто в виде документа Word, файла PDF или .zip вложение выглядит как законная деловая переписка, например, счет-фактура. Ссылка может вести на фишинговый веб-сайт или привести к автоматической загрузке вредоносных программ или программ-вымогателей.
- Фишинговая страница. Фишинговая страница — это мошенническая веб-страница, которая выдает себя за бренд. Несложные страницы легко обнаружить, но продвинутые фишеры используют настоящий CSS с веб-страниц брендов, чтобы сделать свои веб-страницы идентичными реальным. Фишинговые страницы выдают себя за страницы входа в систему, где жертвы вводят свое имя пользователя и пароль для доступа к своей учетной записи. Когда они это делают, их учетные данные украдены.
Как избежать фишинговых атак
- Подтвердите отправителя электронной почты
Если вы считаете, что электронное письмо выглядит подозрительно, позвоните человеку или организации, от которых, как утверждается, написано электронное письмо, — это простой способ проверить, что письмо было отправлено законно.
- Правильно ли выглядит содержимое электронной почты?
Одним из контрольных признаков того, что электронное письмо может быть вредоносным, является его формулировка и содержание. Довольно часто фишинговые письма отправляются из стран, где английский не является основным языком. В этом случае фишинговые электронные письма часто могут содержать орфографические, грамматические и пунктуационные ошибки или формулировку, которая использовалась в неправильном контексте.
- Подумайте, прежде чем нажать
Фишинговые письма часто содержат вредоносные URL-ссылки. Как правило, эти URL-ссылки ведут жертву на веб-сайты, которые могут содержать вредоносное ПО, или на веб-страницы, которые запрашивают у жертвы ввод конфиденциальной информации, такой как данные кредитной карты.
- Не все прикрепленные файлы безопасны
Вредоносные файловые вложения очень часто используются при фишинговых атаках. Злоумышленники отправляют прикрепленные файлы, содержащие вредоносное ПО, которое можно использовать для взлома вашего компьютера и получения доступа к конфиденциальной информации, такой как имена пользователей, пароли или финансовая информация. Вложения файлов могут быть названы таким образом, чтобы побудить получателя открыть их, например, может быть получен документ PDF с именем «Payslip.pdf» или файл изображения может быть отправлен с вашим именем, содержащимся в названии файла.
- Используйте антивирусный продукт
Большая часть фишинговых писем будет пытаться установить вредоносное ПО либо через встроенные URL-ссылки, либо через прикрепленные вредоносные файлы. Наличие актуального антивирусного приложения, которое выполняет регулярные проверки на вашем компьютере, повышает вашу защиту от вредоносных вложений, а также вирусов и вредоносных программ из Интернета.
- Обновляйте свою операционную систему и приложения
Время от времени в операционных системах и приложениях обнаруживаются слабые места в системе безопасности, которые могут позволить злоумышленнику взломать их. Автоматическая установка обновлений безопасности для вашей операционной системы и установка последних обновлений для приложений, таких как Microsoft Office, Adobe Reader, Java и веб-браузер, помогает гарантировать, что ваше программное обеспечение не уязвимо для последних угроз безопасности.
- Знание - сила
Фишинговые атаки по электронной почте со временем становятся все более изощренными. Изучение методов, которые злоумышленник может попытаться использовать в фишинг-атаке, имеет жизненно важное значение для повышения вашей осведомленности о безопасности и снижения вероятности того, что вы станете жертвой фишинга.
Скимминг
Физическое снятие с кредитных или дебетовых карт осуществляется с помощью устройств, которые подключаются к считывателю карт на банкомате, кассовом терминале, общественном билетном киоске или заправочной станции. Скиммер разработан так, чтобы гармонировать с существующим оборудованием, поэтому люди его не замечают. Воры также устанавливают крошечные камеры вокруг банкоматов и бензоколонок, чтобы фиксировать ПИН-коды к номерам украденных карт.
Некоторые новые устройства настолько крошечные, что воры могут вставить их в существующий считыватель кредитных карт, сделав их полностью невидимыми. Шимминг стал более распространенным после появления чип-карт, которые были разработаны для предотвращения подделки карт. Хотя шимминг не позволяет фальсификаторам дублировать чип-карты, они могут украсть достаточно информации, чтобы изготовить карту с магнитной полосой для учетной записи держателя карты или использовать учетную запись держателя карты для транзакций электронной торговли.
Как только информация скиммерована, воры извлекают ее либо забирая скиммер, либо загружая информацию со скиммера через Bluetooth. Они используют полученную информацию для изготовления поддельных карт или для онлайн-переводов и покупок.
Электронный скимминг
По мере того, как потребители перешли на электронную коммерцию, эволюционировал и скимминг карт. Преступники крадут номера карт в Интернете, внедряя небольшие фрагменты кода, называемые «электронными скиммерами», на веб-сайты электронной коммерции, чтобы захватывать и отправлять им данные кредитных карт покупателей. Пандемия COVID-19 стала неожиданной удачей для электронных скиммеров, поскольку все больше людей обращались к покупкам в Интернете.
Как можно предотвратить скимминг
Есть несколько простых шагов, которые вы можете предпринять, чтобы предотвратить скимминг. При использовании карты в физических местах соблюдайте следующие меры предосторожности:
- Используйте внутренние банкоматы, так как ворам сложнее взломать их.
- Если терминал для кредитных карт принимает транзакции NFC («коснись и заплати»), вместо карты используйте мобильное платежное приложение, такое как Apply Pay, Samsung Pay или Android Pay.
- Перед использованием проверьте устройства чтения карт, особенно банкоматы. Осмотрите все, что выглядит неуместно или плохо. Попробуйте пошевелить клавиатурой, так как злоумышленники иногда кладут на клавиатуру вставку для захвата PIN-кода. Если что-то болтается или кажется неправильным, не используйте устройство.
- Свободной рукой прикрывайте свои действия при вводе ПИН-кода.
- Никогда не позволяйте никому уйти с вашей картой. Во многих ресторанах теперь есть мобильные считыватели. Если их нету, платите в кассе, где вы можете видеть, что происходит с вашей картой.
- Избегайте использования дебетовых карт для оплаты. Если вам нужно использовать ее, используйте ее как кредитную карту без PIN-кода, чтобы скиммеры не могли использовать эту информацию для перевода денег с вашего банковского счета.
- Для устройств MacOS и Android доступны приложения «сканер скиммера», которые проверяют передачу Bluetooth на обнаружение устройств скиммера. Точность варьируется, но приложения в основном бесплатные.
Предотвратить электронный скимминг сложнее, так как невозможно обнаружить вредоносное ПО, скрытое на веб-сайте продавца. Эксперты рекомендуют хранить номер кредитной карты на сайтах, с которых вы часто делаете заказы. Поскольку электронные скиммеры собирают информацию по мере того, как вы вводите ее на сайте, чем меньше раз вы вводите данные своей карты, тем меньше вероятность ее кражи
Как защитить себя
Предотвратить мошенничество с кредитными картами
Предотвратите мошенничество с кредитными картами, защитив свою кредитную карту и вашу личную информацию.
- Держите свой PIN-код в секрете
- Выберите PIN-код, который сложно угадать. Например, не используйте свой день рождения, номер социального страхования, адрес или номер телефона в качестве PIN-кода.
- Убедитесь, что вы делаете следующее, чтобы сохранить свой PIN-код:
- никогда не сообщайте свой PIN-код другому человеку, даже члену семьи или партнеру;
- постарайтесь запомнить свой PIN-код, а не записывать его;
- если вы записываете его, убедитесь, что вы храните его в надежном месте подальше от вашей кредитной карты;
- часто меняйте свой PIN-код.
Некоторые финансовые учреждения предлагают возможность оплаты с помощью мобильного устройства, например смартфона или планшета. Храните пароль мобильного устройства и PIN-код кредитной карты в секрете, чтобы предотвратить транзакции, которые вы не совершали или не одобряли.
Советы по предотвращению мошенничества с кредитными картами
Помните эти советы при использовании кредитной карты в общественных местах или в местах работы:
- храните свою кредитную карту в надежном месте;
- ограничить количество кредитных карт, которые вы носите с собой;
- накрывайте клавиатуру рукой или телом при вводе PIN-кода, чтобы никто не мог его увидеть;
- всегда держите свою кредитную карту на виду при совершении покупки;
- сообщать обо всем, что вы считаете подозрительным в отношении устройства кредитной карты в офисе или банкомате, в головной офис компании и в эмитент вашей кредитной карты.
Дома
Защитите себя от мошенничества с кредитными картами дома, выполнив следующие действия:
- заблокируйте свой почтовый ящик, если можете, чтобы никто не украл выписки с вашей кредитной карты или замену карты;
- подпишите оборотную сторону новой кредитной карты сразу после ее получения;
- уничтожить старые кредитные карты, которые больше не действительны, разрезав их;
- храните выписки по кредитной карте в надежном месте;
- уничтожайте выписки по кредитным картам, когда они вам больше не нужны.
В сети
При совершении банковских операций или покупок в Интернете ищите веб-сайты с адресами, начинающимися с «https», или веб-сайты с изображением замка в адресной строке. Это признаки того, что ваша информация будет в безопасности.
Защитите себя от мошенничества с кредитными картами в Интернете, также выполнив следующие действия:
- использовать только проверенные и безопасные веб-сайты при обмене личной информацией или покупке чего-либо в Интернете;
- своевременно обновляйте брандмауэр компьютера, антивирусные системы и системы защиты от шпионского ПО;
- не сообщайте информацию о кредитной карте по электронной почте, так как это небезопасно;
- избегайте использования общедоступных компьютеров в библиотеках или интернет-кафе для банковских операций или покупок в Интернете;
- очистить историю и кеш компьютера по завершении сеанса, если вы используете общедоступный компьютер.
По телефону
Законные компании-эмитенты кредитных карт не запрашивают личную информацию по телефону. Используйте номер телефона, указанный на обратной стороне карты, если вы хотите связаться с эмитентом кредитной карты.
Защитите себя от мошенничества с кредитными картами во время разговора по телефону, также выполнив следующие действия:
- не сообщайте информацию о кредитной карте по телефону, если вы находитесь в общественном месте или думаете, что кто-то другой может подслушивать;
- предоставляйте данные своей кредитной карты только той компании, которой доверяете;
- запросите дополнительную информацию о собеседнике у того, кто звонит с просьбой предоставить информацию о кредитной карте.
В общем
Защитите себя от мошенничества с кредитными картами:
- хранить список карт, которые вы носите с собой, в надежном месте, включая номера телефонов, по которым можно позвонить на случай, если какая-либо из ваших карт будет потеряна или украдена;
- немедленно сообщить об утерянной или украденной карте эмитенту кредитной карты;
- ежемесячно проверять выписку по кредитной карте;
- немедленно сообщать эмитенту кредитной карты любые транзакции, которые вы не совершали или не одобряли;
- получение письменного подтверждения от эмитента вашей кредитной карты при аннулировании кредитной карты;
- проверка вашего кредитного отчета не реже одного раза в год на наличие ошибок.
Что делать, если вы потеряли кредитную карту
Если вы потеряете кредитную карту, немедленно сообщите об этом в банк. После получения уведомления банк должен аннулировать вашу утерянную кредитную карту и повторно выпустить новую.
Что еще вы можете сделать:
- регулярно проверять выписки по кредитной карте на предмет любых транзакций, которые вы не совершали;
- носите свои карты в надежном месте;
- храните список номеров вашего банка и кредитных карт в надежном месте дома для справки.
Что делать, если вы стали жертвой мошенничества с кредитными картами
Немедленно свяжитесь с вашим финансовым учреждением, если ваша кредитная карта потеряна или украдена. Свяжитесь с ним, если в выписке по кредитной карте вы обнаружите платежи, которые вы не совершали или не одобряли.
Если вы считаете, что стали жертвой мошенничества с кредитными картами:
- запишите, что произошло и как вы впервые заметили мошенничество;
- свяжитесь с эмитентом вашей кредитной карты, чтобы сообщить им о мошенничестве;
- записывать, с кем вы разговаривали и когда вы с ними разговаривали;
- сохраните все документы, которые, по вашему мнению, могут быть полезны при расследовании мошенничества полицией;
- обратитесь в местную полицейскую службу, чтобы подать жалобу;
- связаться с другими учетными записями (например, в вашей телефонной компании), которые могут быть взломаны этим человеком.