Ваша карта бита. Так ли страшны утечки данных, как о них говорят - «Тема дня»

На прошлой неделе СМИ сообщили сразу о двух крупных утечках данных клиентов: у Сбербанка и «Билайна». Что делать, если информация о вас попала к мошенникам?

«Сами по себе данные как цель атакующих — тренд последнего времени, — утверждает руководитель отдела безопасности банковских систем Positive Technologies Тимур Юнусов. — Мы видим, что более половины всех киберпреступлений совершаются с целью получения данных. При этом в случае атак на частных лиц основным типом украденной информации являются как раз учетные записи (44% всех случаев во втором квартале 2019 года) и данные банковских карт (34% соответственно)». Данные входят в топ-5 наиболее часто продающихся и покупающихся в дарквебе сущностей, показывают исследования Positive Technologies. При этом 24% из них — непосредственно данные банковских карт. И данные о банковской карте с балансом от нескольких сотен до нескольких тысяч долларов на счете продаются недорого — в среднем за 9 долларов. Зачем мошенникам номера банковских карт?

Чтобы получить номер карты потенциальной жертвы, не обязательно ломать базу данных. «Я размещала на avito.ru объявления о продаже пальто, детского велосипеда и автокресла, — рассказала Новости Банков пользователь Елена. — Каждый раз мне перезванивали буквально через пять минут, говорили, что за товаром будет направлен курьер, и просили продиктовать номер банковской карты, якобы чтобы оплатить безналом. В первый раз я не поняла, что это мошенники, и продиктовала номер карты Сбербанка и срок ее действия. Хорошо, сразу после звонка меня осенило. Карту я заблокировала, а при всех последующих звонках говорила, что принимаю только наличные», — поделилась читательница.

Зная лишь номер карты, денежные средства списать нельзя, но иногда этих данных достаточно, чтобы оплатить покупку в Интернете. В частности, некоторые интернет-магазины, такие как Amazon, запрашивают при оплате товара лишь номер банковской карты. В этом находят лазейки злоумышленники. Так, в схеме, ставшей уже традиционной, мошенники часто используют информацию с сайта avito.ru. Они звонят продавцу товара под видом покупателя и предлагают перевести деньги за товар на банковскую карту. Продавец диктует номер карты, срок ее действия. Узнать имя и фамилию держателя мошенникам, владеющим соответствующими базами, не составляет труда.

Как пояснил директор по мониторингу операций и диспутам Альфа-Банка Алексей Голенищев, некоторые интернет-магазины действительно не поддерживают технологии 3D-Secure и не запрашивают CVC2 или CVV2. Но такую операцию можно легко оспорить. Опаснее другое: зная номер карты и, например, номер мобильного телефона, мошенники могут прибегнуть к приемам социальной инженерии и выманить у клиента пароли доступа к мобильному и интернет-банку, одноразовые коды для подтверждения операций и многое другое, говорит Голенищев.

Эксперты утверждают, что многое зависит от настройки глубины процессинга банка-эмитента. «Для проведения покупки в карточной платежной системе, в принципе, достаточно только номера карты, который нужен для идентификации счета, и даты окончания действия карты, и то не всегда», — рассказывает технический директор Qrator Labs Артем Гавриченков. По его словам, остальные данные — код с обратной стороны, регистрация держателя, его подпись и прочее — необходимы только для подтверждения, что карта действительно находилась в руках у человека, осуществлявшего оплату. «По сути, они нужны самим платежным системам и мерчантам (продавцам. — Прим. Новости Банков) для доказательства легальности перевода, если в дальнейшем будут возникать какие-либо диспуты по этому поводу», — добавляет Гавриченков.

В любом случае, ввод дополнительных данных по карте зависит от преференций самой платежной системы. Одна система может требовать введения только CVV-кода, другая — кода и, например, адреса регистрации держателя. Так, по словам эксперта, Visa и Mastercard не требуют в обязательном порядке запрашивать именно такие данные: если существуют иные способы идентификации держателя карты, можно использовать их. Ультимативно можно ничего не проверять и проводить любые операции с любых карт, по первому требованию откатывая платежи в случае подозрительных активностей. Что касается сайта Amazon, по данным Гавриченкова, если по платежу возникает спорная ситуация, Amazon блокирует осуществлявший платеж аккаунт, но деньги на карту возвращает.

В банках, как правило, есть системы фрод-мониторинга, которые пресекают спорные действия. Например, если мошенник несколько раз пытается подобрать срок действия карты.

«Если в таком случае расходная операция все же была проведена и деньги списаны с карты, банк-эмитент может успешно опротестовать эту операцию как неавторизованную», — уверен директор департамента платежных карт банка «Союз» Сергей Серебряков. Он отмечает, что при таком раскладе жертвой кражи средств станет вовсе не клиент, а эмитент, если он по каким-то причинам пропустит сроки опротестования. Если же торгово-сервисное предприятие к тому времени уже расторгнет договор с банком, пострадает эквайер.

Банкиры указывают и на более сложные схемы мошенничества при продаже товаров или услуг и с использованием сервисов перевода с карты на карту: клиенту зачисляют на карту некоторую сумму, потом говорят, что это ошибка, и просят вернуть на другую карту. «Клиент, совершая такой перевод именно на другую карту, сам того не подозревая, становится сообщником преступников, поскольку первая сумма, поступившая ему на карту, была украдена у жертвы. А возвращает он сумму на другую карту — карту мошенника. Таким образом, жертва уверена, что деньги украл клиент», — предупреждает Серебряков.

Если мошенники похитили деньги с помощью украденных у банка (или оператора) данных, доказать вину компаний будет проблематично. По словам адвоката, заместителя председателя коллегии адвокатов «Де-юре» Антона Пуляева, единственный шанс вернуть денежные средства — если банк или сотовый оператор открыто признают, что утечка конкретных конфиденциальных данных произошла по их вине, либо если в рамках расследования уголовного дела будут задержаны лица, совершившие мошенничество. «При этом крайне сложно доказать вину банка в утечке конфиденциальной информации, которая послужила причиной кражи денежных средств. Довольно редко кто признает вину без весомых доказательств, и банки не исключение», — говорит адвокат.

Представители банков в свою очередь указывают, что защитить себя от кражи денег в результате утечки данных клиент может, только принимая определенные меры. Заместитель директора дирекции некредитных продуктов и дистанционных каналов ТрансКапиталБанка Наталья Базалей среди таких мер называет подключение СМС-информирования к карте, регулярную проверку интернет-банка, а в случае обнаружения несанкционированных списаний с карты — срочное обращение в банк и заявление о несогласии с операцией. «Если клиент обратится в течение 24 часов после совершения операции, есть очень большой шанс вернуть деньги», — обнадеживает Базалей.

«Если вы подозреваете, что данные вашей карты «утекли», очевидно, что стоит ее заблокировать (как украденную) и перевыпустить, — советует Тимур Юнусов. — Обратите внимание на то, чтобы номер новой карты отличался от старой, потому что в случае простого перевыпуска по истечении срока карта может иметь тот же самый номер. А это, как вы понимаете, тот же набор входных данных, с которого может начаться атака и который уже скомпрометирован».

Чем еще грозят утечки данных? Например, в случае с «Билайном» никаких платежных данных не утекло, но безопасники все равно бьют тревогу.

Дело в том, что чем больше информации о вас знает злоумышленник, тем эффективнее он может ее использовать для так называемого социального инжиниринга, когда вас ставят в ситуацию, в которой вы сами сообщаете мошенникам необходимые им данные.

Эксперты напоминают: не сообщайте важную информацию тому, кто звонит вам сам, кем бы он ни представлялся — службой безопасности банка, работодателем, другом детства или сотрудником сотового оператора. Озвучивать личные и платежные данные можно только тогда, когда вы сами звоните в банк (оператору и т. д.) по проверенному номеру (например, указанному на карте или на сайте банка). Во всех остальных случаях рисковать не стоит.

Анна БРЫТКОВА, Антонина САМСОНОВА,