Содержание
Чтобы снять деньги с чужой банковской карты, мошенникам нужно знать ее номер, срок действия, CVV/CVC-код (три цифры на обратной стороне) и, в некоторых случаях, код подтверждения из SMS (3D-Secure). Также они могут использовать данные для интернет-магазинов: если для оплаты достаточно только номера карты и срока (а так бывает на устаревших или небезопасных сайтах), то преступникам не нужен даже CVV. Кроме того, злоумышленники применяют методы социальной инженерии, чтобы жертва сама назвала эти данные или установила вредоносное приложение. В этой статье мы подробно разберем, какая информация нужна мошенникам, какие уязвимости они используют и, главное, как защитить свои деньги.
Какие данные карты нужны для кражи
Для успешного списания денег злоумышленникам необходим минимальный набор реквизитов. Чем больше у них информации, тем проще провести транзакцию.
| Реквизит карты | Где расположен | Что даёт мошеннику |
|---|---|---|
| Номер карты (16 цифр) | На лицевой стороне (PAN) | Идентифицирует счёт, обязателен для любого платежа |
| Срок действия (MM/YY) | На лицевой стороне под номером | Подтверждает, что карта не просрочена, часто требуется вместе с номером |
| CVV/CVC-код (3 цифры) | На оборотной стороне (подпись/магнитная полоса) | |
| PIN-код | Знает только владелец (хранится в зашифрованном виде в банке) | Для оплаты в терминалах, снятия наличных в банкоматах, редко — в интернете (только для некоторых операций) |
| Код из SMS (3D-Secure, OTP) | Приходит на телефон владельца | Одноразовый пароль для подтверждения платежа в защищённых интернет-магазинах |
Схемы, которые используют мошенники
Зная полный набор реквизитов, преступники могут списать деньги, но просто "угадать" их невозможно. Поэтому в ход идёт обман.
Фишинговые сайты и поддельные страницы оплаты
Мошенники создают копии сайтов известных компаний (маркетплейсов, банков, авиакомпаний). Жертва переходит по ссылке из письма или SMS, видит знакомый дизайн и вводит данные карты. Эти реквизиты тут же уходят злоумышленникам. При этом настоящий сайт мог быть ни при чём: человек просто перешёл по поддельной ссылке.
Как распознать: всегда проверяйте URL-адрес в браузере. Фишинговый адрес может отличаться на одну букву (например, ozon-account.ru вместо ozon.ru) или использовать другой домен.
Вишинг (голосовой фишинг)
Мошенники звонят и представляются "сотрудниками службы безопасности банка". Сообщают о подозрительной операции или о блокировке карты. Под различными предлогами просят назвать код из SMS, CVV или даже PIN. Легенды могут быть разными: "чтобы отменить несанкционированное списание", "для идентификации", "для перевыпуска карты". На самом деле банк никогда не запрашивает CVV или PIN по телефону.
Кардинг и брутфорс (подбор)
Кардинг — это торговля украденными данными карт в даркнете. Злоумышленники подбирают номера карт с помощью генераторов и перебирают сроки действия/CVV (брутфорс). Платёжные системы имеют защиту от многократных неверных попыток, но иногда преступники используют "магазины с дешёвыми товарами" для проверки работоспособности карты.
Вредоносное ПО (трояны, стилеры)
Жертва скачивает "пиратскую" программу, игру, кряк или переходит по ссылке в мессенджере. На компьютер или телефон устанавливается троян, который перехватывает ввод данных карты с клавиатуры, вытаскивает сохранённые пароли из браузера или делает скриншоты экрана. Особо опасны мобильные трояны, которые перехватывают SMS и могут сами подтверждать платежи 3D-Secure.
Подмена продавца при оплате в интернете
На некоторых небезопасных сайтах при оплате вас перенаправляют на левую платёжную форму. Вы думаете, что платите за товар, а на самом деле вводите данные на сайте мошенника. Далее преступники списывают сумму в несколько раз больше или просто крадут все реквизиты для последующих транзакций.
Как злоумышленники обходят 3D-Secure (подтверждение по SMS)
Самая эффективная защита — технология 3D-Secure (код из SMS или push-уведомления в мобильном банке). Но и её можно обойти.
- Подмена номера телефона. Мошенники убеждают оператора сотовой связи перевыпустить SIM-карту жертвы по поддельной доверенности или с помощью сотрудника-сообщника. Тогда все SMS приходят на телефон преступника.
- SIM-свопинг. Злоумышленники звонят жертве от имени "сотрудника банка" и уговаривают назвать код из SMS (например, якобы для подтверждения операции). Этот код используется для привязки карты к другому устройству или для перевода денег через мобильное приложение.
- Трояны на телефоне. Вредоносное ПО перехватывает SMS с кодом подтверждения, а жертва даже не замечает уведомления. Троян может автоматически ввести код на сайте мошенника.
- Оплата на сайтах без 3D-Secure. Многие магазины (особенно небольшие или зарубежные) не поддерживают 3D-Secure. Для них достаточно номера карты, срока и CVV. Мошенники находят такие магазины и используют украденные реквизиты там.
Почему мошенникам не нужен PIN-код
Для интернет-платежей PIN-код не требуется. Это грубая ошибка думать, что "без PIN-кода ничего не снимут". CVV и SMS-код играют роль подтверждения. PIN нужен только для операций в офлайне: оплата картой в кафе, снятие наличных в банкомате. Поэтому главное, что нужно беречь — это CVV и коды из SMS.
Как узнать, что мошенники уже получили данные карты
Не все кражи заканчиваются мгновенным списанием. Часто данные продаются в даркнете, и деньги могут пропасть через недели или месяцы. Сигналы тревоги:
- Списание небольших сумм (1-10 BYN) неизвестным получателем — мошенники проверяют, активна ли карта.
- Приходит SMS-код подтверждения, хотя вы ничего не оплачиваете.
- Банк блокирует карту "по подозрению в компрометации" и просит перевыпустить.
- Вы видите в мобильном банке операции, которых не совершали.
Если заметили что-то из этого — немедленно звоните в банк по номеру на обратной стороне карты, блокируйте карту и пишите заявление об оспаривании операций (чарджбэк).
Как защитить карту от мошенников
Безопасность базируется на нескольких простых, но критически важных привычках.
- Никогда и никому не называйте CVV и коды из SMS. Банк, сотрудник "безопасной службы", полицейский — неважно. Настоящий банк никогда не запрашивает эти данные.
- Используйте отдельную виртуальную карту для интернет-платежей. Многие банки позволяют выпустить цифровую карту с лимитом. Положили 100 BYN — больше не спишут. Для постоянных подписок оставляйте минимум.
- Включите 3D-Secure везде, где можно. В настройках онлайн-банка обычно есть опция "Подтверждать все операции в интернете". Это может быть неудобно, но безопасно.
- Проверяйте сайты перед оплатой. В адресной строке должен быть HTTPS и зелёный замок. Домен должен точно принадлежать магазину. Избегайте оплаты на подозрительных сайтах с сомнительным дизайном.
- Не храните данные карты на сайтах, которым не доверяете на 100%. Функция "запомнить карту" удобна, но если сайт взломают, данные украдут.
- Установите антивирус на телефон и компьютер. Он может обнаружить трояна или фишинговый сайт.
- Используйте двухфакторную аутентификацию в банковском приложении. Вход по паролю + Face ID или отпечатку пальца.
Что делать, если деньги уже списали
Не паникуйте, но действуйте быстро.
- Заблокируйте карту через мобильный банк или звонком в банк (номер на обратной стороне).
- Напишите заявление об оспаривании транзакции (чарджбэк). Банк обязан разобраться в течение 30 дней, если вы заявили вовремя.
- Смените пароли от онлайн-банка, почты, аккаунтов, где использовалась та же связка логин-пароль.
- Проверьте телефон на вирусы (если был SIM-свопинг или троян).
- Подайте заявление в полицию (киберпреступления). Шанс найти мошенников невелик, но без заявления его точно нет.
Итог: Мошенникам для снятия денег с карты нужно знать номер, срок, CVV и иногда код из SMS. PIN-код для интернет-краж не нужен. Главные методы добычи этих данных — фишинг, вишинг, вирусы и подмена сайтов. Защита строится на трёх китах: никогда никому не называть CVV и SMS-коды, использовать отдельную виртуальную карту для онлайн-покупок и включать 3D-Secure для всех операций. Ни один "сотрудник банка" не попросит вас продиктовать CVV или код подтверждения — это 100% мошенники. Храните карту в безопасности, и она останется вашей.
