Новый микрочип призван спасти россиян от краж с банковских картЭксперты полагаютт, что чип не спасет клиентов от кибератакС 1 июля 2015 года банки обязаны выдавать карты только с микрочипом, данные которого в настоящее время невозможно скопировать. Это, в свою очередь, затруднит действия так называемых скиммеров, получающих незаконный доступ к персональной информации клиентов с целью хищения денег с их счетов. Однако сколько бы ни совершенствовался механизм защиты от различных мошеннических схем, число киберпреступлений в России с каждым годом растет. Просто потому, что отечественный рынок банковских карт еще далек от насыщения: значит, поле для злоупотреблений будет только расширяться.
«Большая дорога» скиммеров и фишеровПо данным МВД, в прошлом году было зарегистрировано более 11 тыс. компьютерных преступлений. Рост за год составил более 50%. На долю краж и мошеннических операций в финансовой сфере пришелся 41% уголовных дел. Остальное — незаконное проникновение на серверы, взламывание электронной почты, несанкционированное использование лицензионных программных продуктов и т.д.
История умалчивает, сколько преступники в общей сложности «зарабатывают». Есть только экспертные оценки. Если верить отчету Group-IB в 2013–2014 годах, то мошенники украли с банковских карт, в том числе через системы интернет-банкинга, не менее $680 млн.
Сейчас на «большую дорогу» выходят продвинутые преступники, фишеры, скиммеры и прочие организаторы разнообразных незаконных схем в Интернете. Мошеннические операции с пластиковыми картами не первый год являются главной проблемой отечественной банковской сферы. Большая доля несанкционированных списаний происходит с помощью так называемого скимминга, то есть считывания при помощи специального устройства данных с магнитной полосы карты: в России, по подсчетам компании Visa, доля скимминга в общем объеме мошеннических операций с картами этой системы достигает 49%.
У нас на одного человека приходится до двух карт, и это один из самых низких показателей в Европе. На одного американца в среднем приходится до 4. То есть если карт будет больше, то и число злоупотреблений с ними также станет больше, а значит, владельцы «пластика» должны обладать элементарными правилами безопасности.
В 2014 году вступили в силу нормы закона «О национальной платежной системе», обязывающие банки компенсировать собственнику карты незаконно списанные средства. Однако на практике вернуть их удается далеко не всегда: например, в случаях, если клиент передавал карту в пользование третьим лицам, даже собственным детям, или вовремя не уведомил банк о сомнительной операции.
Вера граждан в государство помогает мошенникамПо информации «Лаборатории Касперского», доля атак, направленных на выманивание конфиденциальных данных пользователей в России, в 2014 году достигла 20%. При этом злоумышленники стали меньше использовать банковские бренды и сосредоточили свое внимание на интернет-магазинах и платежных системах. В России имена известных онлайн-шопов использовались в 6% атак, а 5% срабатываний защитных технологий пришлось на фейковые страницы платежных систем.
Часто преступники играют на доверии граждан к государству. Клиенты банков периодически получают sms или email-рассылки с информацией о якобы блокировке банковской карты и предложениями перезвонить по указанным телефонам. В качестве отправителя может указываться «Центробанк России», CentroBank, «Служба безопасности Банка России». Злоумышленники пытаются выяснить у граждан номера карт, PIN-коды, количество денежных средств, размещенных на счетах. На профессиональном жаргоне это называется фишинг. В этом случае необходимо незамедлительно обратиться в свою кредитную организацию по телефону, который написан на оборотной стороне карты.
В прошлом году был разоблачен один из мошеннических сайтов, который рекламировался через ссылки в социальных сетях. Он имел дизайн, на 100% схожий с официальным порталом Федеральной службы судебных приставов. Введя свои данные в «Банк данных исполнительных производств» пользователь «узнавал», что в отношении его проводится проверка, либо ему закрыт выезд за рубеж, либо на его имущество вот-вот будет наложен арест. Чтобы узнать детали, он должен был отправить платное sms на некий номер. В должниках оказывались абсолютно все посетители, и кто-то тут же расставался с несколькими сотнями рублей. Мошенники убивали сразу двух зайцев — и персональные данные получали, да еще и зарабатывали.
Вот наиболее распространенные варианты фишинга.Первый сценарий — «звонок из банка» с просьбой о погашении задолженности по кредиту. Абонент предсказуемо отрицает наличие задолженности и кредита, тогда «представители банка» просят его уточнить данные своей карты, «чтобы больше не беспокоить по этому поводу». Если человек их сообщит, мошенники без особого труда снимут средства с карты, изготовив фальшивый дубликат.
Второй — веерная рассылка электронного письма, в котором от имени одного из крупных розничных банков сообщается о якобы последних новациях в его системе безопасности. Преступники могут знать, что адресаты являются держателями карт именно этого банка, а могут и не знать. Для отвода глаз запрашиваются некоторые сведения (вплоть до потребительских предпочтений), но самое главное — номер карты и PIN-код (еще могут поинтересоваться ответом на «контрольный вопрос»). К письму прикрепляется ссылка, якобы ведущая на сайт банка-эмитента карты. На самом деле это подделка. После заполнения анкеты персональные данные клиента, а значит, и электронные средства, доступные по его карте, станут добычей мошенников.
Третий — злоумышленники по электронной почте или на аккаунт в соцсети присылают код, который рекомендуют вставить в строку браузера, либо ссылку, по которой они предлагают пройти. Код или ссылка якобы позволят видеть закрытые записи в блогах поп-звезд или популярных актеров или получить доступ к будто бы существующей базе обо всех гражданах России. На самом деле это фишинговая программа, скачивающая с вашего компьютера и пересылающая преступникам файлы cookies, которые отражают маршрут заходов выбранной ими жертвы в различные сервисы. В том числе, возможно, и пароль к личному кабинету в системе банка.
«Существуют простые универсальные правила, чтобы не оказаться у разбитого корыта, — говорит заместитель начальника Главного управления Банка России по Центральному федеральному округу Ирина Тимоничева. — Банки и операторы платежных систем никогда не присылают писем и не звонят клиентам с просьбой предоставить им данные о счете, PIN-код и т.д. — вся необходимая информация у банка и так имеется. Банк просит клиента лично заехать в офис или, если это vip-клиент, присылает к нему курьера. И еще — стоит взять себе за правило стирать пришедшие на ваш электронный адрес сообщения с непонятными вам кодами сразу после их получения. Клиентам банков нужно немедленно прекращать любую финансовую интернет-операцию, если возникли малейшие подозрения, что она проходит нештатно. Необходимо как можно чаще проверять выписки со своего счета, для чего из соображений безопасности желательно подключить услугу sms-информирования».
Кроме того, при подключении к банковскому серверу или иной веб-странице, на которой нужно ввести конфиденциальные сведения, в адресной строке или строке состояния браузера должен отображаться небольшой значок замка. Щелкнув по нему, можно увидеть информацию о сертификате подлинности, который был выдан данному сайту. Если статус отличен от This certificate is OK («Этот сертификат действителен». — «МК»), следует выйти из системы и обратиться в банк.
В ближайшем будущем многие киберпреступники могут переключить свое внимание с обычных пользователей на сами финансовые организации, где в случае успешной атаки их ждет гораздо больший куш. Хакеры постепенно учатся удаленно управлять выдачей денег в банкоматах, выполнять денежные переводы и незаметно манипулировать системой онлайн-банкинга. Примером может служить киберограбление Carbanak, в ходе которого преступники похитили почти миллиард долларов.
Популярным среди злоумышленников вредоносным ПО являются трояны, нацеленные на кражу денег со счетов. Этот тип программ включает так называемые банковские троянцы, которые собирают необходимую информацию с компьютера жертвы и пересылают ее злоумышленникам. В 2014 году зафиксировано более 16 млн попыток заражения компьютеров Windows вредоносным банковским ПО.
Эти программы могут быть установлены не только на компьютер, но и на смартфоны, привязанные к банковской карте. В прошлом году специалисты «Лаборатории Касперского» обнаружили свыше 12 тыс. новых мобильных банковских троянцев — это в 9 раз больше, чем годом ранее.