Старые трюки
Основные способы мошенничества с картами существуют уже много лет и все равно успешно работают, рассказывает зампред правления iBank Олег Мамзер. С банкоматами работают мошенники-скиммеры и шиммеры, которые помещают на картоприемник банкомата устройство, считывающее магнитную полосу карты или ее номер и CVV-код. Затем данные карт записываются на обычный белый пластик и ваши деньги кто-то снимает в различных банкоматах мира. «Дружественное мошенничество» процветает в семьях и на работе, где коллеги и близкие могут иметь свободный доступ к картам друг друга. Другие мошенники просто подсматривают ПИН-коды у пользователей банкоматов, а затем крадут их карты. Для этого используется «ливанская петля»: в картоприемник банкомата помещается кусок фотопленки, который не дает карте выйти обратно после совершения операции. Владелец карты, поняв, что извлечь ее из банкомата невозможно, отвлекается на звонок в банк, а вор тем временем забирает карту. Технически подкованные мошенники устанавливают порой поддельные банкоматы или заражают вирусами настоящие.
В Интернете процветает фарминг — перенаправление клиентов банка или интернет-магазина на поддельную страницу. Если воспользоваться картой для совершения операции на такой странице, все данные карты уйдут прямиком к мошенникам. Способствуют утечке данных карт и разные шпионские программы и вирусы, которые мы часто скачиваем себе на компьютер или телефон вместе с полезным софтом.
Любители половить рыбку в мутной воде практикуют фишинг — рассылку фальшивых электронных писем и sms-сообщений с просьбой подтвердить данные карты. Могут украсть все данные карты и нечистые на руку сотрудники кафе или магазина, где вы пытаетесь расплатиться по счету.
Новинки сезона
В последнее время новый виток своего развития получил вишинг (от английского voice phishing) — звонок мошенников жертве с просьбами, так или иначе касающимися банковской карты. Если пример с «выигрышем в лотерею» с обязанностью сообщить все коды карты для зачисления денег уже многим известен, то новая вариация касается тех, кто хочет продать какие-то свои вещи, рассказывает руководитель направления оперативного анализа и противодействия мошенничеству банка «Хоум Кредит» Алексей Манеркин.
Вот одна из последних историй. Человек подал объявление о продаже мебели. И ему позвонил покупатель, который предложил перевести деньги на карту, а вечером заехать за покупкой. По телефону покупатель попросил продиктовать ему номер карты, срок ее действия и CVV-код. А затем сказал, что сейчас продавцу на телефон придет смс, содержащее код, и этот код также нужно сообщить. Получив код, мошенник сообщил, что деньги почему-то перевести не получилось, и предложил попробовать еще раз с новым кодом. А потом — еще раз. Надо ли говорить, что коды эти были разрешением на списание средств с банковской карты через Интернет. Владелец карты сам сообщил их поддельному покупателю своей мебели, так же, как и CVV-код карты, который абсолютно не нужен для перевода средств на карту, а необходим только для расходных операций. Трижды у владельца карты списали деньги, а он, говоря в это время по телефону, не поинтересовался приходящими sms-сообщениями о списаниях. А возможно, смс-информирование вообще не было подключено к карте, что, кстати, не является редкостью среди многих экономных граждан.
Только один относительно недавно появившийся способ мошенничества связан с новыми технологиями бесконтактной оплаты товаров и услуг банковскими картами, отмечает Олег Мамзер. Это поддельный терминал бесконтактной оплаты или просто малозаметное устройство, закрепленное в местах, где люди пользуются картами. Суть схемы похожа на перехват сигналов электрозамков угонщиками автомобилей. Средства с карт PayPass и PayWave списываются мошенниками с помощью самодельных считывателей, которые могут действовать на расстоянии до нескольких десятков сантиметров. Однако широкого распространения этот вид мошенничества сегодня не получил, говорит Мамзер, ведь в подавляющем большинстве случаев сумма транзакции по бесконтактной технологии ограничена 1000 руб., а сама технология такой системы оплаты предусматривает динамический CVV-код, меняющийся при каждой транзакции.
Кто спасет наивных?
Жертвы мошенников могут надеяться на возмещение средств, списанных с карты незаконно, это обязаны делать все банки. Однако есть условия, о выполнении которых должен немедленно позаботиться сам пострадавший, предупреждают юристы Tenzor Consulting Group. Закон о национальной платежной системе предписывает пострадавшему владельцу карты уведомить банк о мошеннической операции не позднее дня, следующего за днем получения от банка уведомления о совершенной операции. Заявление клиента банк может рассматривать до 30 дней или до 60, если средства были списаны за границей. Если банк не докажет, что владелец карты сам помог мошенникам своими действиями (например написал пин-код на потерянной или украденной карте), он возместит клиенту украденные деньги.
Даже если воры использовали ПИН-код карты и сняли деньги через банкомат, шансы вернуть свои деньги у клиента есть, сообщили нам в Бинбанке: более того, если клиент обратится с претензией в максимально короткий срок (до 24 часов с момента мошеннической операции), банк гарантированно вернет деньги. «В большинстве подобных ситуаций средства возвращаются клиенту (и банку, выпустившему карту клиента), а пострадавшим от мошенничества является банк — владелец банкомата», — отмечает вице-президент, начальник управления кредитных карт банка ВТБ24 Александр Бородкин.
Но даже если банк откажется возместить утраченные по беспечности средства, заявив, что клиент сам виноват, у владельца карты есть шансы успешно оспорить это в суде. Суды принимают во внимание, что клиент банка является экономически более слабой стороной. Поэтому именно банку придется доказывать, что некорректное обращение клиента с картой повлекло за собой потерю средств, а это не всегда просто. И положительные судебные решения в пользу пострадавших от мошенников клиентов банков есть.
А вот тем, кто экономит на смс-информировании и не вовремя узнал о том, что с картой поработали мошенники, придется туго. Опоздав с подачей претензии банку, владелец карты получит от него отказ в возмещении средств, украденных мошенниками. И у жертвы мошенников будет не много шансов вернуть средства даже через суд.
С 2014 года закон «О национальной платежной системе» обязывает банки информировать владельца карты о совершении операций по ней. Если банк не информирует клиента, это обязывает его возмещать все потери по мошенническим операциям, о которых владелец карты не был уведомлен.
Однако после вступления этого правила в силу смс-информирование бесплатным ни для кого не стало. Поэтому люди, экономящие от 20 до 60 рублей в месяц на этой услуге, продолжают спрашивать у коллег, перевели ли им наконец зарплату. Все дело в том, что закон не указывает точно, каким именно способом банк должен информировать об операциях по карте, уточняют юристы. Поэтому хитрые банкиры могут выбрать любой удобный вариант — например предоставить бесплатную выписку по счету в кассе, когда владелец карты туда явится. Это же позже подтвердил и Центробанк, поэтому о всеобщих бесплатных смс от банков пока можно забыть. Таким образом, безопаснее будет все же потратиться на смс-информирование, чем терять средства.