VISA: 99% россиян уязвимы для мошенников

Гости
Дмитрий Ибрагимов
эксперт по кибербезопасности Главного управления Банка России по ЦФО

Ксения Сакурова: А мы начинаем наш первый информационный час. Как всегда, он будет очень динамичным, впереди у нас четыре темы, поэтому, если вы хотите что-то нам сказать, прокомментировать, поделиться своим мнением, пожалуйста, не откладывайте, пишите, звоните в прямой эфир, с удовольствием узнаем и ваше мнение тоже.

Виталий Млечин: Абсолютно точно. 8-800-222-00-14 – бесплатный телефон прямого эфира; 5445 – бесплатный короткий номер для ваших SMS-сообщений.

99% россиян не могут противостоять мошенникам – к такому выводу пришли специалисты платежной системы Visa. По их оценке, только 0,2% наших сограждан точно знают, какие данные банковской карты нельзя называть.

Ксения Сакурова: А вот подавляющее большинство, 98,8%, имеют неполные знания по этому вопросу, из-за чего они, увы, уязвимы перед мошенниками, которые используют методы социальной инженерии для кражи денежных средств с карт. Такой вывод делают в компании.

Виталий Млечин: Вот распространенные ошибки, которые совершают очень многие. Около 35% россиян согласны сообщить посторонним срок действия карты, 49% – домашний адрес, 55% – номер телефона, привязанный к карте. Также россияне невнимательно относятся к сайтам, на которых совершают онлайн-покупки, и также невнимательно относятся к SMS, подтверждающим оплату. Хуже того, 7% россиян готовы назвать третьим лицам код доступа в мобильное приложение, 9% могут раскрыть трехзначный код с обратной стороны карты, еще порядка 10% подтверждающий код из SMS.

Ксения Сакурова: Как все-таки не попасться в руки мошенников? И что делаете вы, когда, может быть, вам звонят с каких-то незнакомых номеров?

Виталий Млечин: Да.

Ксения Сакурова: Приходилось ли вам сталкиваться с такими злоумышленниками? Позвоните и расскажите об этом, будем говорить прямо сейчас.

Виталий Млечин: А может быть, вы даже пострадали от злоумышленников? Тогда тем более позвоните и расскажите, как это было.

Ксения Сакурова: Ну а прямо сейчас с нами на связи Дмитрий Ибрагимов, эксперт по кибербезопасности Главного управления Банка России по Центральному федеральному округу. Дмитрий, здравствуйте.

Виталий Млечин: Здравствуйте.

Дмитрий Ибрагимов: Да, добрый день.

Ксения Сакурова: Дмитрий, а вот давайте, может быть, мы сразу обозначим, что нельзя делать, что нельзя говорить, что нельзя сообщать каким-то непонятным людям, которые звонят и представляются сотрудниками банков, сотрудниками Центрального банка, сотрудниками правоохранительных органов и т. д. Какие данные всегда должны быть только при мне?

Виталий Млечин: Никаких не сообщать?

Ксения Сакурова: Ну вот давай узнаваем.

Дмитрий Ибрагимов: Да. В первую очередь из тех данных, которые расположены на самой карте, – это CVV- или CVC-код, который расположен на обороте карты. Плюс к этому те пароли, которые приходят через SMS как второй фактор, подтверждающий операции, которые совершаются. Ну, естественно, логины и пароли в личный кабинет для дистанционного банковского обслуживания. Вот это та информация, которую нельзя сообщать ни в коем случае. Плюс есть кодовое слово, которое вы сообщаете, когда заключаете договор с банком, – эта информация нужна для того, чтобы банк смог удостовериться, что он разговаривает именно с вами, то есть в том случае, если вы звоните в банк. Если банк обращается к вам, то это слово тоже запрашивать они не будут. Это вот самые важные данные.

Ксения Сакурова: Сотрудник банка может спросить номер карты и срок ее действия?

Дмитрий Ибрагимов: Ну, сами по себе данные по номеру карты, с помощью исключительно только номера карты совершить какие-то атакующие действия нельзя. С другой стороны, сотрудник банка, у него уже есть эта информация о карте, поэтому спрашивать ее у вас нет никакой необходимости.

Ксения Сакурова: Но при этом он может спрашивать паспортные данные, да, чтобы удостовериться, что он разговаривает со мной, или нет?

Дмитрий Ибрагимов: Нет, если банк звонит вам, то нужно понимать, по какой причине он вам звонит, что вам предлагается. Если ему нужно удостовериться в том, что он разговаривает именно с вами, в том случае, если вы совершаете звонок, и банк уверен, звоните вы или кто-то от вашего имени.

Виталий Млечин: Ага. А если сам банк звонит, то он исходит из того, что он попал к кому нужно попасть?

Дмитрий Ибрагимов: Ну да. Тут нужно понимать, по какой причине осуществлен звонок. То есть если вам предлагают какие-то дополнительные услуги или хотят предупредить о том, что заканчивается вклад и т. д., проинформировать, проводить какую-то сложную идентификацию вас, наверное, не имеет смысла.

Ксения Сакурова: А вообще...

Дмитрий Ибрагимов: В любом случае, если вы видите, что происходит что-то не то, что запрашивают те данные, которые не хотелось бы раскрывать, и те данные, которые конфиденциальные, то лучше прервать разговор, сказать, что я подойду в отделение, либо самому позвонить в банк и сказать, что вот была такая ситуация.

Ксения Сакурова: Дмитрий, а вообще насколько часто действительно банки звонят по поводу каких-то подозрительных операций? Или это вообще выдумка мошенников, так только они делают?

Дмитрий Ибрагимов: Нет-нет, у банков существуют механизмы, которые называются антифрод, то есть специальные механизмы по борьбе с мошенничеством, которые на основе определенных алгоритмов, нетипичности поведения или когда, допустим, счет получателя платежа был задействован в каких-то уже схемах, банк имеет право приостановить платеж, но только определенный платеж, то есть не заблокировать счет, а приостановить платеж, и связаться с клиентом, для того чтобы подтвердить или опровергнуть информацию о том, совершался этот платеж или нет.

И у банка по закону есть на это двое суток, то есть торопить вас при этом никто не будет. Никто не требует сиюминутного решения, то есть вы можете сказать, что давайте я разберусь с этой информацией, например, через отделение банка. То есть банк, да, может позвонить и сказать, что была такая-то операция, но при этом требовать какие-то дополнительные действия и тем более торопить никто вас не будет.

Ксения Сакурова: Так а что? Вот он скажет, что вот была совершена подозрительная операция, а дальше он о чем, реальный настоящий банк, он о чем будет спрашивать клиента? «Это правда вы?», или «Подтвердите», или что? Вот какие вопросы настоящий банк в этой ситуации задает?

Дмитрий Ибрагимов: Нет, все зависит, конечно, от работы каждого конкретного банка. Мы не можем говорить, что все будут задавать одинаковые вопросы. Но предупредить о том, что была операция и она приостановлена, это банк, конечно, сделает. О дальнейших действиях уже нужно в каждой конкретной ситуации решать, то есть, может быть, договориться, что подойдете в отделение или самостоятельно перезвоните. Или, если вы действительно не совершали операцию, «да, не совершал, оставляйте ее заблокированной».

Ксения Сакурова: Но банк может попросить какое-то подтверждение удаленно вот вообще каким-то образом? – «Мы сейчас вам пришлем какую-то ссылку, вы должны по ней перейти (условно говоря) и подтвердить, что это были вы». Это возможно?

Дмитрий Ибрагимов: Ну, я не исключаю такой возможности. Но при этом, если вам кажется подозрительным, то лучше отказаться. Не надо стесняться того, что вот банк подумает, что с каким-то параноиком разговаривает, – нет, лучше отказаться, сказать: «Нет, меня это не устраивает, давайте придумаем какой-то другой способ подтвердить или отказаться от операции».

Виталий Млечин: Послушаем нашу зрительницу, Татьяна из Ивановской области звонит нам. Татьяна, здравствуйте, вы в эфире.

Зритель: Здравствуйте, добрый день.

Мне звонили мошенники очень много раз. И в последнее время я стала сбрасывать звонки. А в начале, когда вот только начиналась волна вот этих звонков, я отвечала два раза мошенникам. В первый раз женский голос был, как мне показалось, с украинским акцентом, а второй раз мужской голос. А номера были вот московские, 495, 499.

Виталий Млечин: Ага.

Зритель: Но я знала, что ничего нельзя им называть, и у них, как правило, схема была, ну это достаточно давно было... Хотя вот последнее летом было, в июле, в течение дня четыре звонка, и все звонки с SIM-карты, только последние цифры различаются, вот начальные цифры номера все одинаковые, а две последние разные. Видимо, из одной упаковки эти SIM-карты были. Но я знала, что нельзя ничего называть. Но у них схема простая, что с вашей карты сняты деньги.

Виталий Млечин: Ага.

Зритель: Когда я сказала, что у меня на карте нет денег, а у меня было 30 рублей всего на карте, они ответили, что в минус у меня сняли, сумма там где-то 9 тысяч. Назвали фамилию, имя, отчество мои, все, я даже удивилась. В общем, теперь я даже не отвечаю, я сразу сбрасываю звонки.

Виталий Млечин: А представлялись кем, сотрудниками банка?

Зритель: Да, служба безопасности банка, как обычно.

Виталий Млечин: Понятно. Спасибо большое, что позвонили! И вы, конечно, молодец, что вы правильно отреагировали и не попались на их удочку.

Дмитрий Андреевич, вот много нас спрашивают и, действительно, хотелось бы всем знать, откуда у них персональные данные, у мошенников. Ведь они же знают и телефон, получается, и фамилию, имя, отчество человека...

Ксения Сакурова: ...и то, в каком банке у него есть счет.

Виталий Млечин: Да. Возможно, даже еще что-то знают, чего сразу не раскрывают. Откуда это?

Дмитрий Ибрагимов: Ну, на самом деле мы оставляем о себе данных довольно много неограниченному кругу лиц. Регистрируемся в дисконтных программах, регистрируемся на сайтах, регистрируемся в магазинах со скидочными картами и далее, далее, далее. Все эти данные попадают в какие-то определенные базы данных. Да, эти базы данных могут, по закону тот, кто собирает эти данные, обязан защищать, но действительно попадаются отдельные конкретные сотрудники, и эти базы данных утекают.

Виталий Млечин: Но мы же, когда регистрируемся где-то, мы же не указываем, что меня зовут Виталий, мой номер телефона такой-то, у меня есть карта в Сбербанке номер такой, ну и т. д. То есть обычно же это просто имя, фамилия, номер телефона и адрес электронной почты, а данные все-таки карт, даже если мы где-то платим через интернет, – это же как-то отдельно все-таки должно храниться и защищаться.

Дмитрий Ибрагимов: Конечно. Но, допустим... То, что есть у вас карта в каком-то определенном банке, они могут говорить наобум, считая просто статистически, что карт определенных банков у людей гораздо больше, чем других. Плюс можно сказать, что если взять карту, пластиковую карту, то на самом деле первые шесть цифр на карте технически демонстрируют только платежную систему, к которой подключена эта карта, и сам эмитент, банк, который выпустил карту. То есть если вам позвонили и называют первые четыре цифры вашей карты и они совпадают, ну это техническая информация, которая будет у всех практически одинаковая.

Поэтому надо понимать, что мошенники очень используют психологические приемы, то есть им нужно втереться в доверие, нужно доказать, что они именно те, кем представляются. И дальше человек, уже не ведая, что делает, сам будет дополнять их информацию, для того чтобы они ее подтверждали.

Виталий Млечин: То есть они такие психологи хорошие.

Есть ли какие-то действия, слова, какие-то вот стоп-слова, по которым сразу можно понять, что ты разговариваешь с мошенником? Вот что-то тебе сказали и ты сразу понял, что нет, я дальше разговор не продолжаю?

Дмитрий Ибрагимов: В любом случае, если вас стараются запугать, если вас стараются торопить, если вы чувствуете психологический дискомфорт от разговора, неважно, от того, как он ведется, значит, скорее всего, это мошенники. Если разговор ведется при этом о деньгах, это тоже очень важный звонок, очень важный звоночек того, что этим людям, которые вам позвонили, им что-то от вас нужно. То есть, если вам позвонили, этому человеку, который позвонил, что-то да нужно, какая-то либо конфиденциальная информация, либо чтобы вы совершили какие-то действия. И вот этот важный аспект нужно понимать, что, если вас побуждают что-то сделать или что-то сказать, тем более торопят, тем более угрожают или сулят баснословную прибыль (в зависимости от того, на каких чувствах играют), это все триггеры, которые должны свидетельствовать о том, что вы разговариваете с потенциальным мошенником.

Виталий Млечин: Спасибо, спасибо большое. Прежде чем что-то сделать, надо обязательно подумать, так ли нужно это делать именно мне. Дмитрий Ибрагимов, эксперт по кибербезопасности Главного управления Банка России по Центральному федеральному округу, был с нами на прямой связи.

Ксения Сакурова: Несколько историй от наших зрителей. Москва, Московская область: «Меня обманули мошенники. Завели уголовное дело, ищут с апреля. Обманули на 300 тысяч, теперь плачу, а в Сбербанке сказали, что виновата сама». И еще одна история тоже из Московской области: «Покупала билет на самолет, три раза списали деньги, оказался сайт мошенников. Я не увидела отличие в одну букву», – так, кстати, тоже бывает, не только по телефону.

Виталий Млечин: Да, к сожалению да.

Ксения Сакурова: Ну и масса советов от наших зрителей, как не попасться на уловки. Ленинградская область: «Не нужно разговаривать с посторонними по телефону, кем бы они ни представлялись». Москва: «Все просто – любые вопросы, связанные с финансами, кладу трубку и все».

Виталий Млечин: Да-да, очень много таких сообщений, что люди просто не берут трубку или сразу прекращают разговор. А вот тоже из Москвы: «Телефон кнопочный, интернет не интересует, я ретроград. 1990-е гг. научили не верить никому и никогда». Ну и Ярославская область: «Я с банками никогда не связывался, проще и дешевле перезанять у соседей. А наличные надежнее придуманного пластика».

Как обезопасить средства на банковских картах