інформаційно-аналітичний портал Українського агентства фінансового розвитку
на головну
Інтернет-шахрайство з платіжними картками та методи захисту від нього

К.Абрамов

Згідно даних Американської асоціації банкірів (American Bankers Association), у світі здійснюється більш ніж $2,5 трлн. операцій по кредитних картках у рік. Картки приймаються більш ніж у 24 млн. точок у близько 200 країнах. Щосекунди здійснюється приблизно 10 тис. операцій за допомогою банківських карток. Саме тому у багатьох країнах світу шахрайство з картками є страхом номер один.
Занепокоєння з приводу того, що з картки можуть вкрасти гроші є сильнішим за тероризм, комп’ютерний вірус і навіть здоров'я та особисту безпеку. Втрати від карткового шахрайства у США оцінюються у $8,6 млрд. щороку, стверджується у доповіді, опублікованій у 2009 р. компанією Aite Group. Хоча ця цифра є незначною у порівнянні із загальним обсягом платежів за картками, який складає $2,1 трлн. карткове шахрайство продовжує непокоїти як користувачів, так і банки та компанії, що забезпечують платежі в Інтернеті.
Платежі банківськими картками у нас поки що не користуються популярністю та нерозповсюджені, відповідно, дослідження щодо переважаючих страхів також відсутні. Але, судячи з усього, ми будемо сплачувати картками все більше і більше, а тому захист від карткового шахрайства – питання серйозне і важливе для всіх зацікавлених сторін.
Які види шахрайства з банківськими картками існують в Інтернеті?

Фішинг, вішинг, картинг, фармінг
Найбільш популярний та найвідоміший спосіб – це фішинг (від англійського fіsh –вудити рибу). Концепція фішинга полягає у тому, що шахрай будь-якими можливими способами намагається витягнути з власника картки інформацію. Це може бути підроблений лист, наприклад, від банку або платіжної системи, клієнтом якої є власник, із проханням так чи інакше повідомити інформацію, за допомогою якої шахрай може одержати доступ до коштів – запит PIN-коду, логіна, пароля тощо. Найпростіший спосіб фішинга – підробка листа. Користувач одержує листа з пропозицією перейти за посиланням, адреса якого схожа на адресу відомої користувачу компанії. Якщо користувач перейде за посиланням та вкаже дані доступу, які звичайно використовує для доступу до Інтернет-банкінгу або особистого кабінету, його персональні дані стануть доступними шахраям.
Крім того, фішери активно використовують бот-мережі, щоб витягнути особисті дані користувачів. Бот-мережа є комп'ютерною мережею, що складається з деякої кількості хостів, із запущеними ботами (автономним програмним забезпеченням). Така схема дозволяє з кожного наступного зараженого комп'ютера отримати список адрес електронної пошти й використовувати його для розширення бот-мережі з отримання конфіденційної інформації.
Історія фішингу почалася у 1995 році, коли у мережі Америка Онлайн (AOL) шахраї почали активно використовувати непоінформованість користувачів для одержання конфіденційних відомостей. Пізніше здивованим співробітникам AOL довелося писати клієнтам листа про те, що AOL ніколи не запитує у своїх клієнтів конфіденційної інформації з пошти. До речі, не запитують аналогічну інформацію також і співробітники банків та платіжних систем.
Кожному користувачеві можна порадити: ніколи не квапитися ділитися конфіденційною інформацією, зверніться до банку і впевніться у тому, що інформація запитується дійсно представником банку та в обґрунтованих цілях.
Вішинг – це слово, що виникло з двох англійських слів voіce (голос) + fіshіng (вудити рибу). Для даного типу шахрайства використовується технологія передачі мовного сигналу через мережі Інтернет Voіp (Voіce over ІP). Скажімо, на ваш телефон надходить дзвінок від представника банку або автоматичного інформатора про те, що ваш рахунок був заблокований, і вам необхідно перевести телефон у тоновий набір і ввести PIN-код доступу до картки. У такому випадку потрібно не реагувати на перший же дзвінок (тобто діяти за запропонованим алгоритмом), а терміново зв'язатися з банком і впевнитися, що проблема дійсно існує. Знову ж – у кожному разі не повідомляйте по телефону свої конфіденційні дані.
Як правило, вішери здійснюють не один дзвінок, а декілька. У першій розмові вони витягають конфіденційну інформацію, потім відволікають, заспокоюють пильність користувача повторним дзвінком, повідомляючи, що проблема розв'язалася, тим самим виграючи час, щоб потерпілий не зателефонував у банк і не заблокував картку. Цей вид шахрайства більше націлений на Європу та Сполучені штати, де телефон широко використовується для рекламних повідомлень, дзвінків співробітників банків та інших компаній.
Наступний вид шахрайства – фармінг, який є більш складною модифікацією фішингу. Концепція фармінгу полягає у тому, що на локальному комп'ютері користувача підмінюються файли та властивості файлів, що обумовлюють поведінку локального комп'ютера при доступі до адреси у мережі Інтернет (файл HOSTS і настроювання Dns- Серверів). В остаточному підсумку всі маніпуляції шахраїв ведуть до того, що локальний комп'ютер виявляється «обдуреним». Людина набирає у браузері перевірену адресу сайту, якою користується щодня, наприклад відомий розвідувач, але у результаті маніпуляцій комп'ютер переадресовує його на іншу адресу, зазначену шахраєм.
Найбільш популярний на сьогоднішній день у країнах СНД вид шахрайства, вочевидь, кардінг. Він містить у собі операції з використанням банківської картки або її реквізитів, не ініційовані або не підтверджені її власником. Реквізити платіжних карток, як правило, викрадають зі зламаних серверів Інтернет-магазинів, платіжних і розрахункових систем, а також з персональних комп'ютерів (або безпосередньо, або через шкідливе програмне забезпечення).
Перший, і, безумовно, головний спосіб боротьби з фактом шахрайства, що відбулося, – опротестування платежу. Ви завжди зможете прийти до свого банку та подати заяву про опротестування операції. Крім того, варто звертати увагу на електронну адресу сторінки. Якщо інтернет-сервіс використовує шифроване з’єднання, яке забезпечує захист від шахраїв, адреса сторінки завжди буде починатися HTTPS.
Звичайно, заходи щодо боротьби із шахраями здійснюють не тільки користувачі, але й платіжні системи, банки та процесингові компанії. Платіжними системами Vіsa і Mastercard був розроблений міжнародний протокол, який називається 3-d Secure, (під торговельними марками Verіfіed-By-Vіsa – для Vіsa і Mastercard Securecode – для Mastercard). Суть його полягає в одержанні додаткового пароля для здійснення інтернет-операцій. Коли ви здійснюєте операцію по списанню коштів з вашої картки у мережі Інтернет, вам пропонується перейти на сайт банку, який випустив вашу картку та ввести спеціальний пароль.
Велику роль у протидії шахрайству відіграють і процесингові компанії, завдяки спеціальним системам фільтрації всіх операцій, що обслуговуються, на предмет можливого шахрайства. Технології, що постійно удосконалюються, дозволяють процесинговим компаніям зводити розміри шахрайства до мінімуму й оперативно знаходити шахраїв, передаючи інформацію про це в правоохоронні органи.

Упіймалися в мережі
Наступний пункт – шахрайство у соціальних мережах. Соціальні мережі – це дуже привабливе поле для звичайного користувача, у подібних мережах відбувається постійний обмін інформацією. Але воно також є привабливим і для шахраїв. Напевно, кожен користувач пережив спам-розсилання зі свого аккаунта з пропозиціями простежити за власником мобільного телефону, прочитати чужі СМС-повідомлення тощо. У таких випадках необхідно повідомляти адміністрацію сервісу, що шахраї намагаються активно впливати на користувача.
Іноді соціальні мережі пропонують сервіси, які, на наш погляд, є просто знахідкою для шахраїв. Наприклад, недавно створена у США мережа за назвою Blіppy планує запропонувати своїм користувачам послугу, за допомогою якої вони зможуть повідомляти дані про свої онлайн-покупки і дивитися дані про такі ж покупки в інших користувачів, порівнюючи ціни, умови тощо. Ця послуга у даний момент у стадії розробки, однак, представники компанії Symantec, яка спеціалізується на IT-безпеці, недобре відгукуються про такий сервіс. Менеджери інженерних систем сінгапурського офісу компанії говорять, що ризики, пов'язані з наданням інформації з кредитних карток, значно перевищують переваги такої послуги. Symantec попередив, що сайти соціальних мереж є більш привабливою мішенню для кіберзлочинців щодо збору конфіденційної інформації.
Соціальні мережі об'єднали два фактори, які роблять їх ідеальною мішенню для онлайн-злочинної діяльності: величезна кількість користувачів, а також високий рівень довіри серед тих користувачів.
Варто відзначити, що раніше Facebook запропонував послугу аналогічну Blіppy. Але вона була ліквідована у вересні 2009 року після колективного позову користувачів про порушення недоторканності приватного життя.

Запобіжні заходи
Що ж можна порекомендувати користувачам платіжних карток?
Перше, що стосується захисту даних своїх банківських карток.
- Не залишайте платіжні картки без догляду й не передавайте третім особам.
- Нікому не повідомляйте ваш пароль від сервісу, який дозволяє розпоряджатися коштами, наприклад, від Інтернет-банку або електронного гаманця.
- Не слід зберігати PIN-код вашої картки разом із самою карткою.
- Ніколи не повідомляйте CVV/CVС-код нікому, за винятком процесу оплати в Інтернет-магазині, тому що це необхідно для завершення угоди.
- У жодному разі не надавайте особисту інформацію у відповідь електронною поштою. Жоден банк і жоден сервіс ніколи не попросять вас надати пароль доступу.
- Регулярно перевіряйте стан свого рахунку як у платіжній системі, так і на картці. Якщо у вашому банку є послуга СМС-повідомлення – обов'язково підключіть її, тому що це найшвидший спосіб одержати інформацію про те, що з вашим рахунком щось відбувається.
- У жодному разі не зберігайте всі ваші гроші на банківській картці.
- Заведіть спеціальну картку саме для Інтернет-розрахунків.
- Акуратніше використовуйте та говоріть про інформацію, яка використовується вами для відповіді на друге секретне запитання при відновленні пароля.
- Ніколи не здійснюйте операцій по картках за допомогою електронних платіжних систем у магазинах, яким не довіряєте або які бачите вперше. Особливо, якщо на них немає логотипів платіжних систем, та інших організацій, які борються із шахраями.
Якщо вас попросили надіслати пароль або інші дані картки, не відсилайте, а телефонуйте до Call-центру банку та упевніться у відсутності спроби шахрайства.
© 2003-2009  Українське агентство фінансового розвитку Дизайн та розробка порталу
студія web-дизайну "Золота рибка"