Кардинг: как обезопасить себя от карточных воров?

Можно ли с чужой карточки снять деньги или рассчитаться с ее помощью в магазине? Надежно ли сейчас защищен пластик? Верчу в руках свою старую карточку. ПИН-код давно забыт, но пластик пока действующий, а на счете осталась небольшая сумма. Вот и решила поставить эксперимент на себе. Итак, в магазин идти рискованно: могут попросить ввести ПИН-код. К тому же на лицевой стороне написаны имя и фамилия держателя. Остается один вариант: попытать счастья на просторах интернета. 

Открываю белорусский сайт скидок. Завожу личный кабинет и решаюсь пополнить баланс: на это денег на счете хватит. Поначалу — все как по маслу. Мне высвечивается карточка, на которой нужно заполнить недостающие данные: номер, срок действия, имя и фамилию, а также специальный код на обратной стороне. Рядом надпись: “Мы никогда не запрашиваем ПИН-код банковской карты!” Ну что ж, большое спасибо. Заполняю все графы и... полный провал. Большими красными буквами система выдает: “Операция отклонена. Карта требует регистрации 3D-Secure. Обратитесь в банк-эмитент”. 

Поворот неожиданный, но руки не опускаю: отправляюсь тестировать крупные онлайн-магазины. На белорусских сервисах меня везде встречал злополучный логотип MasterCard SecureCode. Известный китайский интернет-гипермаркет тоже подвел (или как раз наоборот?). Решаю сменить тактику: ищу менее известные магазины. 

Крупный южнокорейский онлайн-ретейлер. Продают одежду, косметику, кухонную утварь и прочее. Регистрируюсь, выбираю несколько товаров, ввожу свой адрес и реквизиты карточки. Наконец все проходит без сучка без задоринки: заказ — кожаная сумка и сережки — готовится к вылету. Правда, через какое-то время получаю на электронную почту письмо: не видать мне аксессуаров. На счету недостаточно денег. А если бы они были? Да и на месте сумки с сережками мог оказаться смартфон, телевизор или путевка на Багамы...

Рынок электронной коммерции растет быстрыми темпами. По оценкам компании eMarketer, в прошлом году его доля в глобальной розничной торговле — более 7 процентов (1,6 трлн долларов), а к 2019 году увеличится до 12 процентов (3,5 трлн долларов). Конечно, для кардеров это лакомый кусок. Оплачивать покупки и услуги деньгами с чужих счетов они приноровились давно. 

Пару лет назад наши финучреждения стали подключать дополнительные сервисы для безопасных интернет-платежей: 

3D-Secure для карточек платежной системы MasterCard и Verified by Visa для Visa. Нужно дать “опознать” себя дополнительным способом: кроме реквизитов карточки, потребуется использовать  дополнительный пароль, специально созданный клиентом, или ввести дополнительный одноразовый пароль, который, как правило, приходит на телефон в виде СМС. Чтобы технология сработала, должны выполняться сразу три условия: ее должны поддерживать банк-эмитент и онлайн-магазин (вернее, банк, его обслуживающий), а также к сервису должна быть подключена карточка клиента. Впрочем, найти при желании интернет-торговца, не поддерживающего 3D-Secure и Verified by Visa, не так уж сложно. Директор КартЦентра ОАО “Бел-инвестбанк” Вадим Головчиц поясняет:

— Если интернет-магазин не поддерживает технологию 3D-Secure, а оплата на его сайте происходит с использованием карточки, подключенной к данному сервису, то в соответствии с правилами платежных систем риски и ответственность переносятся на банк, обслуживающий данный интернет-магазин.

Хорошая альтернатива для расчетов в байнете — ЕРИП. Не нужно никуда вводить реквизиты своей карточки. Достаточно зайти в интернет-банкинг (можно через мобильный банкинг, инфокиоск), выбрать в списке нужную компанию, ввести данные о покупке и сумме — готово. Но так ли это безопасно?

Воровство денег через каналы дистанционного банковского обслуживания — в частности, интернет-, мобильный или СМС-банкинг — давно не новость. По данным компании Group IB, специализирующейся на расследовании киберпреступлений, число таких случаев растет на 40—200 процентов ежегодно. Профессор кафедры защиты информации БГУИР Тимофей Борботько объясняет:

— Чтобы деньгами кто-то воспользовался, нужно, чтобы все идентификаторы, которые дают возможность получить доступ к карт-счету, были скомпрометированы. Для этого злоумышленники используют троянские вредоносные программы. То есть те, которые загружаются на устройство — компьютер, мобильный телефон либо планшет — и работают в оперативной памяти: собирают полезные сведения, чтобы передать их на серверы преступников.

Минувшей весной в России поднялась шумиха вокруг программы “5-й рейх” — трояна, предназначенного для хищения денег через программы мобильного банкинга. От атак вредоносной программы пострадало до 30 тысяч клиентов “Сбербанка”. В сети ходит информация, что всего было заражено более 340 тысяч смартфонов. 

Распространялся троян в том числе через СМС-рассылки, где была ссылка на его скачивание под видом Adobe Flash Player — с виду вполне безопасно. Тимофей Борботько говорит:

— Даже наличие антивируса не гарантия того, что вредоносная программа не попадет на устройство. Поиск антивирусом вредоносных программ ведется по сигнатурам и шаблонам, которые загружаются с серверов производителей. Злоумышленники — люди неглупые. Они проверяют готовый продукт на антивирусе с последними обновлениями баз данных — система не должна обнаружить вредоносную программу. Ко всему прочему, качество такого программного обеспечения достаточно высокое. Оно не должно создавать проблем при работе с устройством, иначе человек рано или поздно его обнаружит. 

Тем временем “банк на диване” у нас стремительно набирает популярность. 

На октябрь прошлого года к интернет-банкингу у нас было подключено 2,4 млн человек (прирост за девять месяцев — 26 процентов), мобильным банкингом пользовалось 0,4 млн человек (плюс 33 процента). 

Наши банки постепенно внедряют новые защитные решения, в частности — биометрию. В “Белинвестбанке” отпечаток пальца обеспечивает вход в мобильный банкинг (услуга доступна только владельцам устройств на операционной системе iOS). Вадим Головчиц объясняет — это быстро, безопасно и удобно:

— Биометрические технологии — один из самых безопасных подходов для аутентификации клиентов. 

В теории совершенствовать меры безопасности можно бесконечно. На практике все упирается не только в технологические возможности, но и в финансовые — все же это бизнес. К тому же достаточно держателям карточек быть внимательнее — и риски можно существенно снизить. Тимофей Борботько поясняет:

— Все вредоносные программы человек устанавливает сам. Проблема в том, что на каждом своем компьютере владелец является администратором — то есть обладает неограниченными правами. А значит, те же права — у программ, которые он устанавливает. Все упирается в то, что люди общаются с компьютером, как с черным ящиком, и никто не знает, что в нем творится. 

В свое время у нас активно стали ратовать за повышение финансовой грамотности населения. Это дало эффект. Теперь банки все активнее переходят в цифру. Так что, похоже, самое время позаботиться и о компьютерной грамотности. 

Для онлайн-платежей:

Не переходите по ссылкам на сайты банков, магазинов и т. д. Вводите адрес вручную. 

Это позволит избежать попадания на “фишинговые” страницы.

При совершении платежа используйте зашифрованное соединение: адрес сайта должен начинаться с https, в адресной строке — специальный символ, например иконка открытого замка.

Перед тем как заказывать карточку, поинтересуйтесь, поддерживает ли банк технологии 

3D-Secure и Verified by Visa. Активируйте услугу и обращайте внимание на то, чтобы протоколом безопасности пользовались сайты, на которых вы совершаете покупки.

Никогда не вводите на сайтах интернет-магазинов ПИН-код.

Если вы часто совершаете онлайн-покупки, обзаведитесь специальной карточкой для интернет-платежей и храните там только те суммы, которые вы планируете потратить.

Для пользователей мобильного и интернет-банкингов:

Установите антивирус, не забывайте обновлять его и операционную систему в целом.

Не осуществляйте jailbreak/rooting устройства, то есть не взламывайте официальную 

прошивку — это сделает устройство более уязвимым к хакерским атакам.

Скачивайте файлы и программы только из официальных источников.

Никогда не переходите по ссылкам в СМС или е-mail-спам-сообщениях.

gavrusheva@sb.by