ITnews уже рассказывал о таком виде интернет-мошенничества как фишинг. Сегодня своими соображениями делится специалист в области интернет-платежей Юлия Кащенко.
Расскажите, пожалуйста, о таком виде мошенничества с платежными карточками, как фишинг. В чем его основная особенность?
Итак, как известно, фишинг (phishing = fishing + password) – это один из видов интернет-мошенничества, направленный на получение конфиденциальных данных пользователей посредством рассылки поддельных сообщений от лица банков, провайдеров, платежных систем и других организаций. Обычно такие письма приходят в виде уведомлений клиента о каких-либо событиях (сбои в системе, утеря данных и т.п., в том числе даже совершенствование системы по борьбе с фишингом), в связи с которыми пользователь должен представить, обновить или подтвердить те или иные конфиденциальные данные.
Еще это может быть получение реквизитов платежных карт доверчивых владельцев через поддельные сайты мошенников, или телефонный фишинг – выуживание реквизитов карт по телефону. Основная особенность состоит в том, что жертва мошенничества по собственной воле предоставляет реквизиты своей карты. Еще одними интересными особенностями фишинга являются стремление запугать жертву (например, угрозой заблокировать счет в случае не подтверждения идентификационных данных).
Обрисуйте общий принцип, по какому происходит воровство.
Могу описать несколько примеров:
Например последняя атака выглядела так - на украинских сайтах поиска работы участились объявления следующего характера: предлагается "лёгкий заработок в Интернете" и для этого надо зарегистрироваться на определенном сайте, далее вам предлагают ввести данные вашей карты (номер карты, срок действия, CVV2-код) мотивируя это тем, что на неё будут производится выплаты заработанных денег. Для большего доверия мошенники даже ставят логотип Portmone.com и ссылаются на нас, как на партнёров.
Справка ITnews: CVV2 (Card Verification Value) или CVC2 (Card Verification Code) - это специальное число, состоящие из 3 цифр, которое обеспечивает дополнительную безопасность при CNP (Card Not Present) транзакциях, т.е. таких транзакциях, при которых сама карта не присутствует, а используются её реквизиты. CVV2 и CVC2 по сути одно и то же, первое встречается на картах Visa, второе на MasterCard. CVV2 (CVC2) как правило написан на обороте карты (последние три цифры на полосе для подписи). На картах VISA Electron и Mastercard Cirrus Maestro CVC2/CVV2 коды не печатаются. Для получения этого кода необходимо обратиться в службу поддержки банка.
До этого был вот такой вариант - с целью получения персональных данных держателя, а также реквизитов самой платежной карты злоумышленники звонили по номеру телефона клиента и представлялись сотрудниками одного из крупных банков. После подтверждения фамилии, имени и отчества клиента мошенники пытались под тем или иным предлогом узнать паспортные данные, номер самой карты, ПИН-код и код безопасности. Сотрудники банка никогда не совершают такого рода звонков. Также банк не рассылает электронные письма и SMS-сообщения клиентам – держателям карт банка, с просьбой подтвердить номер платежной карты, и/или другие персональные идентификаторы.
Справка ITnews: PIN-код – это дополнительный способ защиты денежных средств, как правило четырехзначный. PIN-код клиент получает вместе с картой в специальном конверте. Нужно его помнить, но при этом не сообщать другим лицам и не писать на карте или держать вместе с картой. Потеря PIN-кода влечет за собой замену карты. Если 3 раза при вводе PIN-кода в банкомате набрать его неправильно, платежная карта будет задержана банкоматом. Если это случится, для возвращения своей платежной карты нужно будет обращаться в банк и писать заявление на выдачу карты, изъятой банкоматом.
Что касается писем по электронной почте, поясним: человеку приходит письмо якобы от имени банка, в котором сообщается, скажем, о сбое в программном обеспечении или о новых настройках безопасности, которые позволят защитить интересы держателя карты и т.п. - вариантов масса. Данные письма содержат просьбу подтвердить персональные данные и реквизиты карты, для чего предлагается пройти по ссылке. Ссылка, если ее открыть, будет точной копией сайта банка. Этот подставной сайт и создан специально с целью сбора данных. Выуживают, как вы понимаете, ценную информацию, которая позволит мошенникам поживиться за чужой счет.
Существует ли какое-то общее правило, по которому можно распознать этот вид махинации?
Следует помнить, что банки никогда не запрашивают по электронной почте или телефону персональную информацию о своих клиентах (логин и пароль, номер карты, ПИН, номер счета, данные паспорта). Если человек получил информационное письмо от банка, содержащее ссылку, нужно проверить ее правильность — как правило, мошенники используют невнимательность клиентов. И второе, если просят ввести данные карты на сайте для перевода денег - для выплаты заработка: подобные сайты являются мошенническими и предназначены для выманивания реквизитов платежных карт.
Каким образом это можно предотвратить?
Самое главное и простое правило - не разглашайте данные своей платежной карты неизвестным и посторонним людям. При оплате в Интернете нужно проверять, используется ли на странице ввода данных карты безопасное соединение (в адресной строке появляется https://). ПИН-код карты для оплаты в Интернет не используется и поэтому не запрашивается легитимными магазинами. Никогда не вводить карточные данные на сайтах, предлагающих сомнительный заработок в Интернете и требующих для этого все реквизиты карты, включая CVV2-код.
И на будущее, самое главное – расплачиваться платежной картой только на сайтах, которым доверяете. Это не сложно. В Украине, кстати, всего три системы, которые обслуживают интернет-магазины – межбанковская система Portmone.com, Украинский процессинговый центр и Приватбанк.
Что делать если воровство уже произошло?
Первое – это заблокировать карту в банке. В отношении возврата денег – боюсь, что банки не вернут утерянные деньги, так как они были потеряны по вине владельца карты.
Насколько часто случаи такого вида преступной деятельности остаются нераскрытыми?
По данным органов, раскрываемость преступлений с использованием банковских карт не превышает 10-15 %. Как правило, клиент попадает в неприятную ситуацию из-за собственной неосторожности, нарушая важнейшие правила сохранения конфиденциальной информации.
Но для иллюстрации проблемы могу сказать, что в день в системе Portmone.com мы блокируем до 500 карт, которые определяются нашей мониторинговой системой как мошеннические. Дело в том. что эффективный автоматизированный мониторинг является сейчас наиболее эффективным средством борьбы с фишингом. Поэтому еще могу сказать, что 90% попыток оплаты ворованными картами мы успешно предотвращаем, а информацию о ворованных картах рассылаем по банкам-эмитентам.
Вот вы говорите, что основная причина этого вида мошенничества – низкая грамотность населения. Почему банки не ведут разъяснительную работу? Это связано с высокими затратами или существуют иные причины?
К сожалению, банки никаких мер не предпринимали и не предпринимают. Боюсь, нынешняя позиция банков страусиная – не подымать шума, вдруг само пройдет.
На наши сообщения банкам и информацию о ворованных картах большинство банков, к сожалению, никак не реагируют и никаких расследований не проводят. К сожалению, чем крупнее банк, тем меньше его интересуют проблемы клиентов. Перефразируя старое выражение – потеря денег одного клиента - это трагедия, потеря тысяч клиентов - это статистика.
Исходя из этого, банки проводят мало работ по обучению картодержателей элементарным средствам безопасности при использовании платежных карт. Единственное что банки с хорошей репутацией ответственно относятся к карточному бизнесу и могут предложить инструменты для защиты своих средств: ЧИП-карты, мобильный и интернет-банкинг и т.д. Используя эти услуги банка, всегда можно знать, какие операции происходят по карте и вовремя среагировать в случае подозрительных транзакций. Чем больше карт банк эмитировал, тем конечно больше клиентов обращаются с отказами от операций. Для снижения уровня мошенничества в банках работают отделы мониторинга, которые в случае подозрительных операций блокируют карты до выяснения обстоятельств. В случае всплеска отказов от операций, банки проводят оперативные расследования и находят места утечки информации, которые сразу зарываются. После чего попавшие под подозрение карты блокируются и выпускаются новые, как правило, за счет банка.