Береги деньги от интернет-мошенников: новое в безопасности онлайн-платежей
Методы, которыми пользуются мошенники, чтобы завладеть необходимыми для оплаты в интернете реквизитами пластиковых карт, неизменны в течение долгого времени. Что делают банки, чтобы защитить онлайн-платежи пользователей пластика, и о чем нужно помнить самим пользователям.
Методы, которыми пользуются мошенники, чтобы завладеть необходимыми для оплаты в интернете реквизитами пластиковых карт, неизменны в течение долгого времени. К наиболее распространенным из них относятся:
- мошеннические сайты: сайты-однодневки или сайты-клоны известных порталов. Введенные на них данные карты напрямую попадают к мошенникам;
- фишинг: мошенники запрашивают данные вашей карты, представляясь сотрудниками банка, правоохранительных органов, или сообщая вам о выигрыше в лотерею по телефону или электронной почте;
- вредоносное программное обеспечение (вирусы) на вашем компьютере, которые крадут данные вашей карты, когда вы вводите их для оплаты в интернете;
- взлом баз данных интернет-магазинов или процессинговых центров;
- теоретически завладеть данными вашей карты могут и недобросовестные сотрудники кафе, ресторанов или торговых точек, если для проведения платежа карту уносят из вашего поля зрения. В таком случае сотруднику достаточно просто переписать данные, нанесенные на карту.
В дальнейшем мошенникам остается только использовать полученные данные для расчетов в интернете, чтобы вы не досчитались на своем счету нескольких сот, а то и тысяч гривен. Чтобы избежать таких неприятностей, банки продолжают совершенствовать методы защиты карточных счетов от мошенников.
Электронные методы
Для защиты проводимых в интернете платежей международные платежные системы используют технологию 3-DSecure – дополнительный защитный код, который вводится пользователем при каждой транзакции. Для карт Visa эта технология носит название «Verified by Visa», для карт MasterCard–«MasterCard SecureCode», узнать об их использовании интернет-магазином или сайтом для оплаты услуг можно по наличию соответствующих логотипов на сайте.
Правда, одного наличия логотипа 3-DSecure на сайте отнюдь не достаточно для того, чтобы ваш платеж можно было считать защищенным. Для использования такой защиты необходимо, чтобы ее поддерживал банк-эмитент вашей карты.
Интересно, что хотя сама технология уже давно не нова, для украинского рынка она по-прежнему остается своего рода новинкой. Так, если в России технологию MasterCard SecureCode поддерживают 12 банков , о чем можно узнать на сайте международной платежной системы, то на украинской страничке MasterCard даже нельзя найти информацию о такой технологии.
К сожалению, использование технологии 3-DSecure среди учреждений из числа 50-ти лидеров по активам подтвердили только в ПриватБанке. Другие банки, поддерживающие эту технологию, Prostobank.ua обнаружить не удалось – по крайней мере, сотрудники колл-центров банков о ней ничего сказать не смогли. Однако если вы регулярно расплачиваетесь картой в интернете, стоит поинтересоваться возможностью подключения к технологии 3-DSecure в вашем банке.
При этом хорошая новость состоит уже в том, что в активе ПриватБанка более половины активных платежных карт в Украине или свыше 17 миллионов штук. То есть совершать платежи с использованием технологии 3-DSecure так или иначе может значительное число украинских держателей пластика.
В целом же украинские банки не спешат внедрять не только прогрессивные, но даже старые и проверенные технологии защиты онлайн-платежей, такие как одноразовые пароли, получаемые по СМС или в банкомате. Абсолютное большинство банков считают достаточным использование трехзначного кода, напечатанного на обороте карты. Для карт Visa он называется CVV2, а для карт MasterCard – CVC2.
По исследованиям компании «Простобанк Консалтинг» на 9.07.2012 г., только три учреждения из числа 50-ти лидеров по активам используют дополнительные способы авторизации плательщика, кроме кодов CVV2/CVC2. Кроме вышеупомянутого ПриватБанка, использующего одноразовые СМС-пароли в рамках технологии 3-DSecure, подтверждение СМС-паролем применяется также по картам Первого Украинского Международного Банка. В Укрсоцбанке применяются разные способы защиты при разных видах платежей: СМС-пароли, одноразовые пароли из банкомата и т.п.
Тем временем в мире технологии не стоят на месте, и в США компания MasterCard уже готовит к запуску новинку. Видимо, сами платежные системы не слишком рассчитывают на банки в вопросах повышения безопасности платежей, поскольку новый сервис разработан для интернет-магазинов. Программа будет анализировать данные о запрашиваемой покупке (тип и стоимость товара, место пребывания покупателя и т.п.) и сравнивать их с данными об известных способах мошеннического использования карты. Таким образом планируется выявлять недобросовестных покупателей.
Не проходит недели, чтобы в поле общественного внимания не возник вопрос о мошеннических схемах при пользовании услугами SMS-сообщений. Какой бы соблазнительной и (или) безобидной ни была просьба в поступившем на мобильник сообщении перезвонить на короткий номер или отправить на него SMS, не откликайтесь. Кто клюнет — тот поплатится. Причем в самом прямом смысле этого слова. Расплата неминуема, жертву стерегут наглые и прожорливые хищники. Кто они? (http://www.ultimate-mails.com/)
Расходы ограничены
Другой распространенный метод защиты ваших денег на карточном счету от интернет-мошенников – это установление лимита на расчеты картой в интернете. Чаще всего, уже при выпуске карты на ней установлен некий размер лимита по умолчанию, который в будущем вы можете изменять по своему усмотрению.
В данном случае установление лимита на расходы в интернете – не попытка банка вас ограничить, ведь вы всегда можете повысить лимит через интернет-банкинг или позвонив в колл-центр банка, а необходимая мера безопасности. Если мошенники и завладеют данными вашей карты, то, по крайней мере, не смогут украсть все деньги сразу. С этой точки зрения, чем меньше установленный лимит – тем лучше для вас.
Однако, как и в случае с электронными методами защиты, далеко не все банки стоят на страже ваших сбережений. По исследованиям компании «Простобанк Консалтинг» на 9.07.2012 г., только шесть учреждений из числа 50-ти банков-лидеров по активам по умолчанию устанавливают на своих платежных картах нулевой лимит на расходы в интернете. Еще пять банков ограничивают эту сумму не более чем тысячей гривен в день.
Что касается максимальных лимитов, то здесь нам удалось обнаружить три учреждения, согласные списывать с карты по платежам в интернете от 50-ти тысяч гривен до 10-ти тысяч долларов. И, наконец, четыре учреждения вовсе не лимитируют расходы по карте в интернете.
Это может привести к тому, что владелец карты, никогда не совершавший платежей в интернете, может в один день лишиться всех средств на карте, если злоумышленники завладеют номером его счета и CVV2/CVC2 кодом. Потому для держателя карты крайне важно знать, доступна ли его карта для платежей в интернете и каков лимит на списание средств онлайн.
Лимиты на платежи картой в интернете, установленные по умолчанию по классическим пластиковым картам в банках из числа 50-ти лидеров по активам, по исследованиям компании «Простобанк Консалтинг» на 9.07.2012 г.
|
Банк |
Тип пластиковой карты |
Лимит на расчеты в интернете по умолчанию |
|---|---|---|
|
Platinum Bank |
Visa Classic |
0 грн. |
|
Дельта Банк |
Visa Classic/ MC Mass |
0 грн. |
|
Клиринговый дом |
Visa Classic |
0 грн. |
|
ПриватБанк |
Visa Classic/ MC Mass |
0 грн. |
|
УКРАИНСКИЙ БИЗНЕС БАНК |
MC Mass |
0 грн. |
|
УкрСиббанк |
Visa Classic/ MC Mass |
0 грн. |
|
Проминвестбанк |
Visa Classic/MC Mass |
27 долл/день |
|
Credit Agricole |
Visa Classic/ MC Mass |
500 грн. по каждой операции |
|
БМ Банк |
Visa Classic/MC Mass |
100 долл/день |
|
Укринбанк |
Visa Classic/MC Mass |
100 долл/день |
|
Надра Банк |
Visa Classic/ MC Mass |
800 грн/день |
|
Сбербанк России (Украина) |
Visa Classic/ MC Mass |
1 000 грн/день |
|
Банк Форум |
Visa Classic/ MC Mass |
1500 грн. за операцию, 3 000 грн/день |
|
Райффайзен Банк Аваль |
Visa Classic/MC Mass |
200 долл/день |
|
БТА Банк |
Visa Classic/ MC Mass |
2 000 грн/день |
|
Имэксбанк |
Visa Classic/MC Mass |
300 долл/день |
|
Эрсте Банк |
Visa Classic/ MC Mass |
2 500 грн/день, 5 операций |
|
Финансовая инициатива |
MC Mass |
3 000 грн/день |
|
ЕВРОГАЗБАНК |
Visa Classic |
3 000 грн/день |
|
ОТП Банк |
Visa Classic/MC Mass |
4 000 грн/день / 4 500 грн/день |
|
Правэкс-Банк |
Visa Classic |
500 долл/день |
|
Актив-банк |
Visa Classic |
5 000 грн/день |
|
Укрэксимбанк |
Visa Classic/MC Mass |
5 500 грн/день |
|
Кредобанк |
Visa Classic/ MC Mass |
5 000 грн/день, 10 операций |
|
Укргазбанк |
Visa Classic/ MC Mass |
5 000 грн/день, 5 операций |
|
Пиреус Банк |
Visa Classic |
6 000 грн/месяц |
|
ВТБ Банк |
Visa Classic/MC Mass |
7 000 грн/день |
|
Мегабанк |
Visa Classic/ MC Mass |
7 000 грн/день |
|
БАНК КРЕДИТ ДНЕПР |
Visa Classic/MC Mass |
1 000 долл/день |
|
МАРФИН БАНК |
Visa Classic/MC Mass |
1 000 долл/день |
|
Первый Украинский Международный Банк |
Visa Classic/ MC Mass |
8 000 грн/день, 6 операций |
|
Терра Банк |
MC Mass |
10 000 грн/день |
|
Кредитпромбанк |
Visa Classic/ MC Mass |
10 000 грн/день, 5 операций |
|
VAB Банк |
Visa Classic/ MC Mass |
12 000 грн/день, 5 операций |
|
Таврика |
Visa Classic |
15 000 грн/день |
|
АктаБанк |
Visa Classic/ MC Mass |
16 000 грн/день, 10 операций |
|
Пивденкомбанк |
MC Mass |
2 000 долл/день |
|
Киевская Русь |
Visa Classic/ MC Mass |
25 000 грн/день |
|
Банк 3/4 |
Visa Classic |
6 000 долл/день |
|
Universal Bank |
MC Mass |
50 000 грн/день |
|
Альфа-Банк |
Visa Classic/ MC Mass |
55 000 грн/день, 25 операций |
|
Хрещатик |
Visa Classic/MC Mass |
10 000 долл/день |
|
Unicredit Bank |
Visa Classic |
5 операций в день, без ограничения суммы |
|
Индустриалбанк |
Visa Classic/ MC Mass |
5 операций в день, без ограничения суммы |
|
Брокбизнесбанк |
Visa Classic |
без ограничений |
|
Ощадбанк |
Visa Classic/ MC Mass |
без ограничений |
|
Пивденный |
Visa Classic/ MC Mass |
без ограничений |
|
Финансы и Кредит |
Visa Classic/ MC Mass |
без ограничений |
|
Укрсоцбанк, UniCredit Bank ™ |
Visa Classic/ MC Mass |
информация о лимите конфиденциальна |
По данным компании "Простобанк Консалтинг"
Карта без пластика
Наиболее рекомендуемый банкирами способ защитить ваши деньги от кражи через интернет – обзавестись картой, специально предназначенной для онлайн-расчетов. К таким картам относятся VisaVirtuon и MasterCard Virtual. «Фактически VisaVirtuon – это обычная платежная карта, отличие которой от других карт состоит в том, что ею можно рассчитаться только в интернете (нельзя расплатиться в торговой сети или снять средства через банкомат). Карта не предназначена для хранения денежных средств, потому их и нельзя с нее украсть. Перед тем, как осуществить платеж в интернете, клиент просто переводит необходимую сумму со своей основной карты на VisaVirtuon и расплачивается ею», – поясняет Александр Горинов, исполнительный директор по вопросам безопасности Банка Форум .
Расходы на обслуживание и сроки действия виртуальных карт от банков из числа 50-ти лидеров по активам, по исследованиям компании «Простобанк Консалтинг» на 9.07.2012 г.
|
Банк |
Стоимость выпуска и обслуживания и срок действия карты |
|---|---|
|
ПриватБанк |
Срок 3 года, только в долларах. Выпуск и обслуживание – бесплатно. За каждый платеж взимается 0,35 дол. |
|
Укрэксимбанк |
Выпуск и обслуживание – бесплатно. Срок действия – 2 года. |
|
Райффайзен Банк Аваль |
Выпуск – 20 грн., обслуживание – 3 грн. в месяц. Срок действия – 1 год. |
|
Укрсоцбанк |
В пакете "Яркий": 5 грн/год на основе массовых карт, 80 грн/год на основе классических карт |
|
Проминвестбанк |
Открывается как доп.карта. Выпуск и обслуживание – бесплатно. Срок действия – 1 год. |
|
Надра |
4,9 грн. открытие счета одноразово. Срок действия -2 года. |
|
ОТП Банк |
Выпуск бесплатно, обслуживание 4 грн/мес. Срок действия – 3 года. |
|
Укргазбанк |
3 грн/мес, срок действия – 3 года. |
|
Эрсте Банк |
Стоимость пакета – 50 грн, срок действия – 2 года |
|
Форум |
Выпуск – 25 грн, срок действия – 1 год. |
|
Хрещатик |
Выпуск – 15 грн, обслуживание бесплатно. Срок действия – 5 лет. |
|
Credit Agricole |
75 грн. в год, срок действия – 2 года. |
|
Правэкс-Банк |
Выпуск – бесплатно, обслуживание – 40 грн/год. Срок действия – 2 года. |
|
БТА Банк |
10 грн/мес, срок действия – 1 год. |
|
Марфин Банк |
Выпуск бесплатно, обслуживание – 10 грн/год. Срок действия – 1 год. |
|
Кредобанк |
Открытие счета – 50 грн, выпуск карты – 30 грн. Срок действия – 1 год. |
|
Укринбанк |
Выпуск – 10 грн, обслуживание – 50 грн/год. Срок действия – 2 года. |
|
Актив-банк |
Открывается как доп.карта. Выпуск бесплатно, обслуживание от 5-70 грн/мес (в зав.от класса основной карточки). Срок действия – 3 года. |
|
Индустриалбанк |
Выпуск – бесплатно. Обслуживание – 10 грн/год. Срок действия – 2 года. |
|
Сбербанк России (Украина) |
Выпуск – бесплатно. Обслуживание – 20грн/год. Срок действия – 2 года. |
|
Пивденный |
Выпуск – бесплатно. Обслуживание – 20грн/год. Срок действия – 1 год. |
|
VAB Банк |
Выпуск – бесплатно. Обслуживание 15грн/год. Срок действия – 2 года. Минимальный взнос 50 грн. |
|
Финансовая инициатива |
Выпуск – 5 грн.Обслуживание – бесплатно. Срок действия – 2 года |
По данным компании "Простобанк Консалтинг"
Правила безопасности
Несмотря на все технические новшества по защите онлайн-платежей, эксперты констатируют, что безопасными расчеты в интернете станут только тогда, когда сами владельцы пластиковых карт будут помнить о правилах безопасности и соблюдать их. «Необходимо помнить, что никакие системы безопасности не будут эффективными, если держатель карты не будет соблюдать элементарных правил», – комментирует Андрей Белоус, начальник отдела платежных систем банка «Глобус ».
К таким правилам, в частности, относятся следующие:
- не предоставляйте полные реквизиты своей платежной карты (в том числе код CVV2/CVC2) сторонним лицам, даже если они представляются сотрудниками банка или правоохранительных органов;
- не вводите реквизиты своей карты на подозрительных сайтах, к примеру, если вам сообщают о выигрыше и просят указать реквизиты карты для зачисления приза;
- совершайте покупки только со своего личного компьютера, не пользуйтесь для этих целей услугами интернет-кафе;
- регулярно обновляйте антивирусные программы на вашем компьютере и проверяйте его на наличие вредоносных программ;
- при вводе данных карты для оплаты в интернете убедитесь, что используется защищенное соединение (адрес сайта в адресной сроке начинается с https://) и сертификат шифрования сайта действителен;
- после оплаты в интернете заблокируйте карту для онлайн-платежей или установите нулевой лимит на такие операции;
- подключите услугу СМС-уведомления о проведенных транзакциях;
- если вы подозреваете, что данные карты попали к мошенникам, или обнаружили неизвестные списания средств с вашей карты, немедленно обратитесь в банк для блокирования карты и дальнейшего ее перевыпуска.
Мнение
Олеся Гутник, начальник отдела мониторинга операций и контроля рисков Банка «Финансы и Кредит »
В большинстве случаев для проведения трансакции в среде Интернет необходимо ввести номер платежной карты, срок ее действия, фамилию/имя держателя карты и код CVV2/CVC2. Зная эти реквизиты, можно успешно провести платеж. Реквизиты платежной карты попадают к мошенникам разными способами, начиная от самых простых –по невнимательности самого держателя или из-за нарушения им правил использования платежной карты, до технологически сложных, например, взлома базы данных процессоров, обрабатывающих карточные трансакции.
Чтобы максимально обезопасить интернет-платежи банки-эмитенты используют механизм Verified by Visa и MasterCard SecureCode, при котором платеж завершается успешно только при условии правильного введения проверочного кода держателем карты, который может быть статическим (постоянным) или динамическим (генерируется каждый раз для проведения новой трансакции). При варианте использования динамического пароля риск проведения несакционированных трансакций в среде Интернет – минимален.
Василий Стефанишин, директор департамента банковской безопасности Надра Банка
Основные виды мошенничества:
- фишинг – вид интернет-мошенничества, цель которого — получить идентификационные данные пользователей. Сюда относятся кражи паролей, номеров и данных кредитных карт, банковских счетов и другой конфиденциальной информации.
- вишинг – принципиальной разницы между вишингом и фишингом нет. Основное отличие вишинга в том, что, так или иначе, задействуется телефон. В случае вишинга в поддельном сообщении содержится просьба позвонить на определённый номер. При этом зачитывается сообщение, в котором клиента просят сообщить свои конфиденциальные данные. Например, ввести номер карты, пароли, PIN — коды, коды доступа или другую личную информацию в тоновом наборе.
- кража данных с серверов интернет-магазинов — интернет-магазины не имеют права сохранять у себя реквизиты карт, однако они часто этим грешат, давая тем самым мошенникам возможность за один раз получить секретные данные большого количества карт.
- «дружественное мошенничество» – когда коллега по работе, близкий друг или член семьи, имея доступ к месту хранения пластиковой карты, использует её в своих целях без ведома владельца.
Александр Мороз, начальник процессингового центра УкрСиббанка BNP Paribas Group
Следует исходить, прежде всего, из того, что платежная карта – это инструмент для расчетов, а не накопительный счет в банке. Если вы предполагаете использовать платежную карту в сети интернет – лучше для этих целей выпустить отдельную карту. Остаток средств на этой карте должен быть соизмерим с текущими расчетами в сети интернет. Также имеет смысл установить лимит на проведение операций в интернете, соизмеримый с потребностями. Очень удобным инструментом оперативного контроля является смс-уведомление об операциях с платежными картами.
Существуют списки сайтов, вероятность компрометации карты на которых достаточно высока. Как правило, платежные системы отслеживают статистику мошенничества в разрезе точек обслуживания и отзывают лицензии на право осуществлять операции тех из них, где такой уровень превысил допустимое пороговое значение.
Андрей Белоус, начальник отдела платежных систем банка «Глобус»
Для проведения операции в сети интернет достаточно номера карты и CVV/CVC кода, который нанесен на обратной стороне карты справа от магнитной полосы. Время от времени в средствах массовой информации проходят сообщения о краже злоумышленниками баз данных платежных карт. После похищения реквизитов карты мошенники могут попытаться либо оплатить покупку в сети Интернет, либо перевести деньги куда-либо, откуда их можно будет потом забрать. Также реквизиты платежных карт могут похищаться с помощью создания сайтов-клонов, а также вредоносного программного обеспечения.
По мере внедрения платежными системами и банками новых технологий, призванных повысить надежность и безопасность расчетов, появляются и более изощренные методы, создаваемые мошенниками для похищения средств со счетов клиентов. Поэтому говорить о 100%-й гарантии безопасности расчетов не стоит. Но использование Verified by Visa и MasterCard SecureCode существенно повышает уровень безопасности при проведении операции в сети интернет.
Евгений Жуков, начальник отдела карточных продуктов Банка Кипра
Для интернет-мошенников интересны не платежи, совершаемые пользователями платежных карт, а сами карты, позволяющие совершать эти платежи. Для воровства этих данных мошенники используют специальные вирусные программы-шпионы, отслеживающие введение реквизитов карты, поддельные страницы сайтов, на которых совершаются платежи, или даже полностью поддельные сайты. Также популярны способы получения реквизитов карт путем обмана/введения владельца карты в заблуждение (фишинг) – мошенники представляются сотрудниками банка/представителями правоохранительных органов и т.п. и требуют сообщить данные карты либо вообще прислать её сканкопию.
Юлия Морозова, директор Департамента развития карточного бизнеса VAB Банка
Платеж, проводимый с помощью специальных карт в Интернете, не отличается от платежа, проводимого по обычной карте. Специальные карты для расчета в Интернете отличаются только тем, что по ним невозможно провести расчеты в POS-терминалах и снять наличные в АТМ, что минимизирует вероятность компрометации данных такой карты.
Держателю выдается специальный бумажный бланк с реквизитами платежной карты, где указаны: номер карты, срок действия карты и специальный CVV-код для дополнительной защиты при проведении операций в сети Интернет. Основной особенностью такой карты является ее повышенная безопасность. Карта защищает держателя от большинства видов мошенничества, которые совершаются копированием физических реквизитов карты.
Андрей Орешников, заместитель начальника управления организации клиентской поддержки банка “Хрещатик ”
Картами, предназначенными исключительно для операций в Интернете, воспользоваться в банкоматах или торговых терминалах невозможно. То есть в случае компрометации карты снять деньги в банкомате или осуществить покупку товара в терминале будет невозможно.
Клиент может пополнить (перевести на карту средства в банкомате или через терминал) данную карту на сумму операции, которую нужно осуществить, что уменьшит риск возможных финансовых потерь.
При подозрении, что данные карты попали к мошенникам, нужно срочно заблокировать свою карту в отделе клиентской поддержки банка по телефону, который указан на обратной стороне карты. В качестве временной меры можно установить ограничения на осуществление операций исключительно в сети банка, обратиться в банк и перевыпустить карту с новым номером.
Александр Горинов, исполнительный директор по вопросам безопасности Банка Форум
Действительно, внедрение протокола 3-D Secure (Verified by Visa и MasterCard SecureCode) с динамической аутентификацией (генерация одноразового пароля) совместно с использованием проверки CVV2/CVC2 (код проверки аутентичности карты) и срока окончания действия карты на данный момент обеспечивает безопасность онлайн-платежей. Можно совершенно спокойно вводить данные платежной карты на сайте, на котором сообщается об использовании этих систем, при условии, что этот сайт является оригинальным (не фальшивым) и карта также поддерживает протокол 3-D Secure.
Сергей Надичев, начальник департамента карточных продуктов Всеукраинского Банка Развития
Существуют сервисы платежных систем Visa «Verified by Visa» и MasterCard «MasterCard SecureCode», позволяющие обезопасить платежи в сети интернет. Эти системы безопасных электронных платежей реализованы на самом современном стандарте безопасности — 3D Secure, который обеспечит максимальную безопасность ваших платежей в Интернет.
При регистрации в данных сервисах вам присваивается персональный пароль, который вы будете использовать при совершении каждой покупки в сети интернет.
Валентин Дмитриев, заместитель начальника отдела экономической безопасности Укринбанка
Новый и он же старый механизм безопасности – качественное информирование клиентов о работе в Интернет, рекомендации о лимитировании операций, обслуживание через Интернет-банкинг, создание банками собственных Интернет ресурсов.
В целях безопасности отдельные банки выпускают дополнительные карты с установленным лимитами, которые при необходимости корректируются. Может и не эмитироваться пластик, в этом случае клиенту предоставят набор необходимых цифр на специальном бланке.
Автор: Евгения Резниченко, Prostobank.ua
Tweet
