Кіберзлочинці, які крадуть гроші з карток громадян, котрі нічого не підозрюють, вже стали в Україні своєрідною легендою. Їх мало хто бачить. Але результати їхньої діяльності вельми плачевні і проявляються у вигляді серйозно зменшеної кількості грошей на рахунках клієнтів без об'єктивних на те причин. І не важливо, на картці лежали «резервні» пара сотень гривень, чи сума, якої вистачило б на новий автомобіль. При цьому повернути свої «кровні» практично неможливо - гроші випаровуються у невідомому напрямку. Посилює проблему той факт, що люди частенько самі дають аферистам «ключ від квартири, де гроші лежать», ігноруючи найпростіші правила безпеки.

 

Про те, що варто знати про можливості шахраїв й елементарні методи захисту від них, ForUm`y розповів член Комітету Незалежної асоціації банків України з питань банківської інфраструктури та платіжних систем Олександр Третяк.

 

- Який відсоток крадіжок грошей з банківських карт клієнтів, за статистикою, припадає на ті випадки, коли велика ступінь провини лежить на самій людині?

 

- Точної статистики немає. У принципі, кожен випадок несанкціонованого доступу до засобів клієнта в тій чи іншій мірі обумовлений ігноруванням ним правил користування платіжною карткою й елементарних заходів власної безпеки. Шахраї постійно вдосконалюють свої методи, від яких клієнтові досить складно самостійно захиститися.

 

- А чи залежить ймовірність атаки від того, яка сума знаходиться на рахунку?

 

- Не залежить. У більшості випадків шахраї навіть не знають, скільки грошей на рахунку. Атаки націлені не на конкретного клієнта і не на конкретний рахунок. Метою шахраїв є отримання доступу до максимальної кількості карткових рахунків.

 

- Які порушення правил безпеки з боку клієнта найбільш поширені?

 

- Для початку необхідно розібратися, які операції з картками доступні клієнту і, відповідно, шахраю. Умовно їх можна розділити на операції зі зняття готівки і торгові операції, наприклад, оплата товарів або послуг. Зняття готівки завжди відбувається за наявності картки, а вірніше, через зчитування даних картки будь-яким пристроєм, наприклад, банкоматом. Також такі операції завжди підтверджуються введенням пін-коду. У цьому випадку досить поширеним порушенням з боку клієнта є незбереження пін-коду. Часто клієнти записують його в мобільні телефони, рідше у них разом з карткою зберігається папірець із записаним пін-кодом або навіть пін-конверт, який вони не знищили.

 

Операції зі зняття готівки для шахраїв - складніша процедура, оскільки потрібно з магнітної смуги зчитати дані картки, а для цього необхідні технічні засоби і пін-код. І все таки, незважаючи на те, що для шахраїв більш привабливі операції з готівкою, вони воліють операції, що проводяться в Інтернеті без присутності картки. У самому простому випадку для підтвердження такої операції достатньо зовнішніх даних картки: її номера, терміну її дії та коду CVV2, який знаходиться на зворотній стороні картки. Як правило, саме ці дані клієнти не захищають. Ми звикли віддавати картку в руки офіціантові в ресторані, відправляти її копію електронною поштою при бронюванні готелю, не дивитися на те, що робить з карткою касир у супермаркеті. Це дає стороннім людям масу можливостей запам'ятати, сфотографувати, переписати зовнішні дані картки, її реквізити.

 

- Чи є правила, які не можна порушувати в принципі? Чому?

 

- По суті, існує одне головне правило - максимально обмежувати доступ сторонніх до даних своєї картки. Насамперед, йдеться про реквізити (термін дії, номер, код CVV2) і, звичайно ж, пін-код.

 

- Чи варто заводити окрему картку для розрахунків в Інтернеті?

 

- Так, це буде дуже дієвим заходом. Особливо це корисно для тих людей, які, по-перше, часто розраховуються в Інтернеті, а по-друге, це добре для тих, у кого на основному картковому рахунку є досить великі суми. У цьому випадку розумно мати дві картки, одна з яких призначена виключно для розрахунків в Інтернеті. Не зайвим буде також встановити на такій картці ліміти на необхідні суми. Також можна повністю блокувати проведення будь-яких операцій у мережі за такою карткою, й активувати її тільки на момент розрахунку.

 

- Іноді в мережі доводиться публікувати номер картки, наприклад, благодійні збори коштів та інше. Чи може це призвести до втрати грошей?

 

- У цьому випадку самого лише номеру картки недостатньо для проведення будь-яких операцій. Крім нього обов'язково запитується термін дії та CVV2 код. Тобто, розмістивши в мережі один лише номер картки, клієнт не піддає себе небезпеці. Однак необхідно пам'ятати про збереження інших реквізитів.

 

- А що потрібно робити, щоб, наприклад, касири або офіціанти не могли скористатися його безпечністю?

 

- Щоб бути повністю впевненим, клієнт повинен простежити за діями, скажімо, офіціанта. Тобто, потрібно бачити, що роблять з вашою карткою. І ви маєте на це повне право. Наприклад, у вас є право вимагати, щоб POS-термінал принесли за столик і здійснювали операцію безпосередньо перед вами. Але можна і підійти до касового вузла і подивитися, що роблять з картою, хоча це і не завжди зручно для самих клієнтів. Тому є одна маленька хитрість. Код CVV2, три цифри на звороті карти можна заклеїти або зафарбувати маркером, попередньо запам'ятавши або записавши. Це не буде порушенням з боку клієнта, але убезпечить його. Коли операція, проведена в POS-терміналі, вимагає підтвердження пін-кодом, то його у жодному разі не можна говорити офіціантові. Пін-код потрібно ввести власноруч і вжити заходів, щоб його ніхто не побачив.

 

- Які дії сторонніх повинні насторожити клієнта, якщо, на його думку, відбувається щось не те?

 

- Наприклад, коли офіціант вашу картку забирає, ми не бачимо, що він з нею робить. Але буває, що операція здійснюється при нас. У такому випадку нас має насторожити, якщо офіціант надто пильно розглядає картку з обох сторін, намагається якось запам'ятати дані картки. Бувають випадки, коли в ресторанах та інших місцях, де використовуються POS-термінали, персонал намагається зчитати дані магнітної смуги картки. Якщо магнітною смугою картки провели через якийсь сторонній пристрій, це також привід для занепокоєння.

 

- Останнім часом ведеться багато розмов про скімінгові пристрої. Наскільки вони насправді поширені в Україні?

 

- Реальних цифр, які б свідчили про те, скільки банкоматів було обладнано скімінговими пристроями, немає. А ті цифри, які нам доступні, швидше за все, занижені. Просто досить часто банки не афішують цю інформацію або навіть не бачать сенсу її публікувати без злого наміру. Для багатьох маленьких банків ця тема взагалі нова. Але в цілому можна спостерігати тенденцію до зростання. Якщо порівнювати 2012-й і 2013-й роки, то видно безсумнівне зростання використання скімінгових пристроїв.

 

Сьогодні шахраї мають можливості для виготовлення дуже якісних скімерів. Протягом 2013-го дуже ефективним заходом протидії такому роду шахрайства була установка банками так званих антискімінгових накладок. Тобто це пристрій, який сам банк встановлює на карткоприймач. Він механічно перешкоджає установці скімера. Зараз же шахраї навчилися виготовляти скімери, які пристосовані для установки поверх антискімерів. Повторюся, вони виготовляються досить якісно. Шахраї використовують матеріали, які дуже схожі на ті, з яких зроблений банкомат, забарвлюють влаштування у відповідні кольори. Бувають випадки, коли ідентифікувати скімер складно навіть професіоналам і співробітникам банку. Що вже говорити про клієнтів.

 

- Невже скімери так легко встановити?

 

- Установка скімера займає не більше однієї хвилини. У людних місцях на це ніхто не звертає увагу. Дуже важко зрозуміти, встановлює хтось накладку на карткоприймач чи просто користується банкоматом. Наприклад, накладку з продертою в неї картою носять у кишені, а при установці шахрай робить такі ж рухи, що і звичайний клієнт. Плюс, можуть бути спільники, які створюють натовп, чергу, яка затуляє людину, що встановлює скімер. Точно так само з кишені або рукава дістається замаскована відеокамера, яка за допомогою магнітів встановлюється так, щоб можна було бачити клавіатуру, на якій вводиться пін-код. Непрофесіоналові дуже складно відрізнити сторонні пристрої від штатного пристрою банкомата, тому банки намагаються регулярно проводити огляд банкоматів співробітниками.

 

- Як у такому разі шукати безпечні банкомати?

 

- У принципі, прикривши рукою клавіатуру при введенні пін-коду, клієнт себе вже убезпечить. Без пін-коду дані, зчитані з картки, абсолютно марні для шахраїв. Скористатися цією інформацією вони не зможуть. Для клієнта така поведінка має стати правилом, навіть якщо банкомат знаходиться в умовно безпечному місці. Я б радив клієнтам звертати більше увагу не так на зовнішній вигляд банкомату, як на якість кріплення всіх пристроїв. Наприклад, банки встановлюють антискімінгові накладки так, щоб вони були захищені від вандалів, щоб їх було непросто демонтувати. Шахраї ж, навпаки, роблять свої пристрої так, щоб їх можна було максимально швидко зняти. Незайвим буде посмикати пристрій на карткоприймачу. Якщо він залишиться у вас в руках, то цим банкоматом користуватися не варто, а необхідно одразу ж повідомити про такий випадок у банк.

 

- Чи реально повернути хоча б частину коштів, які були вкрадені шахраями?

 

- Коли в тій чи іншій мірі є необережність, халатність клієнта, то тут питання повернення грошей за рахунок коштів банку вирішується індивідуально кожним банком. Такі моменти розглядаються в рамках прояву лояльності до клієнта. Якихось єдиних критеріїв тут немає. Можливо, це може залежати від ступеня складності шахрайства, від того, наскільки складно клієнтові було убезпечити себе. Наприклад, скімінгові пристрої складно впізнати, вони встановлені шахраями професійно, і, як не крути, банкомат є власністю банку, що означає певну ступінь відповідальності. Безсумнівно, всі операції, які оскаржуються клієнтами і за правилами МПС підлягають відшкодуванню, банк зобов'язаний розслідувати. МПС - це єдині правила міжнародних платіжних систем, які обов'язкові для виконання всіма банками. Це службовий документ для внутрішнього користування, яким повинні керуватися банківські співробітники. Згідно з МПС, операції, підтверджені пін-кодом, не підлягають оскарженню в платіжних системах, тому що введення пін-коду вважається первинною ознакою того, що операцію зробив клієнт.

 

Валентина Дудко,

 

Спасибі за Вашу активність, Ваше питання буде розглянуто модераторами найближчим часом

1186