Мошенничество с банковскими картами — популярный вид бизнеса в даркнете. В нём, как догадываетесь, ровно ноль легального. Увы, это не мешает ему развиваться вовсю.
Рассказываем, как и где в даркнете получают данные банковских карт. И что с ними происходит дальше.
Примечание: вся информация в этой статье даётся в ознакомительных целях. Помните, что любые действия с чужими картами – уголовное преступление.
Главный вопрос. Как всё-таки получают данные чужой карты?
Методов очень много. Многие из них можно распознать с опытом, а некоторые – только вручную, пошарившись руками по банкомату или заметив неладное с ним заранее.
1. Ставят скиммеры на банкоматы
На банковской карте есть магнитная полоса, с которой банкомат, терминал и другие устройства считывают информацию. Это вы точно знаете.
Но если на банкомат установить собственное считывающее устройство, данные до банка не дойдут.
Такие считыватели называются скимерами. Обычно это щель для считывания данных с магнитной полосы и фальшивая клавиатура для кражи пин-кода.
Вместо клавиатуры могут использовать камеру: она обходится недорого и подходит для любого банкомата. А клавиатуру приходится подбирать под конкретную модель банкомата.
Чип на карте не защищает от скиммера. Выше пример, как выглядит скиммер для карт с чипом.
2. Крадут через кассы и терминалы
POS-терминалы – это штуки, к которым вы прикладываете айфон или прокатываете карточку, когда оплачиваете покупку. Если установить на них вредоносное ПО, то данные с банковской карты можно попросту украсть.
Этим способом нередко злоупотребляют в кафе, на заправках, на кассах супермаркетов. А главное, жертва скорее подумает на вирус, заразивший его компьютер при интернет-оплате, чем на поход в магазин.
Недавно троих граждан Украины арестовали за кражу данных 15 млн (МИЛЛИОНОВ!!!) карт. Они заражали компьютеры с кассовыми аппаратами, затем рассылали письма от Комиссии по ценным бумагам и биржам США и от различных отелей.
Самый известный российский кардер Роман Селезнев также крал данные карт пачками в США. Порой их хранили просто в текстовых файлах на кассовых компьютерах.
Селезневу дали 27 лет тюрьмы. Не будьте как Роман.
Вариант со скимером также возможен, но скорее теоретически. Слишком заметен считыватель на небольшом терминале, который всегда на глазах.
Но в США на заправках была целая эпидемия со скиммерами, которые внедряли в терминалы.
3. Запоминают данные карт
В барах, ресторанах и кафе официанты нередко забирают вашу карту с собой и уносят к кассовому аппарату. Несложно запомнить номер, дату окончания срока и CVC/CVV-коды по дороге.
А ещё проще сфотографировать лицевую и оборотную стороны карты, пока клиент не видит.
4. Используют фишинговые приложения и сайты
Сверстать сайт, который выглядел бы точь-в-точь как оригинальный, можно меньше чем за $100. Приложение немного дороже. Отдельную страницу отрисуют за пару часов и тысячу рублей.
Чаще всего копируют сайты и приложения банков, реже популярных интернет-магазинов. Самое дорогое в этой схеме — купить или разработать фишинговое приложение или организовать рассылку по нужной базе данных.
Мошенникам нужно распространить ссылку на фишинговый сайт или приложение, заставить пользователя вбить данные для доступа в фальшивую форму.
Кроме того, фишинговые приложения часто перехватывают SMS для авторизации. Всего этого достаточно, чтобы снять деньги с вашего банковского счета подчистую.
Фишинговых сайтов сотни — только служба безопасности «Сбербанка» выявила и добилась блокировки 600 доменов.
На фишинговые письма ведутся 48% пользователей. Практически каждый второй. Возможно, и вы однажды попались, просто не заметили.
5. Взламывают сайты интернет-магазинов, авиаперевозчиков и др.
Заказывая товары или билеты в интернете, вы можете лишиться денег не только на фейковом, но и на реальном сайте. Такие случаи относительно редки и часто придаются публичной огласке.
К примеру, западные ритейлер Sears и авиакомпания Delta признали, что их подрядчика по чат-поддержке взломали, в результате пострадали клиенты. Утекло около 100 тыс. записей о картах от Sears и сопоставимое количество данных от Delta.
Ещё один пример — премиальные американские ритейлеры Saks Fifth Avenue и Lord&Taylor. Хакеры взломали их платежную систему и собрали данные о 5 млн банковских карт. 125 тыс. записей о картах выставили на продажу.
Одеваются в магазинах люди небедные. Так что даже если 125 тыс. записей умножить на $10 тыс. в среднем на счету, можно больше не работать. Никогда.
6. Перехватывают данные в открытых Wi-Fi-сетях
Халявный Wi-Fi небезопасен, iPhones.ru уже писал об этом. Да и домашние роутеры нередко взламывают люди «с улицы».
Инструментов для этого хватает, даже в даркнет лезть не нужно. В итоге уведут не только аккаунт в Facebook, но и деньги с банковского счета.
6. Вам звонят и представляются сотрудником банка
Номер вашей банковской карты находят на сайте объявлений, посте для сбора пожертвований, да даже в чате WhatsApp, где все скидываются на цветы к 1 сентября.
Затем вам внезапно звонят якобы представители банка и под предлогом повышения безопасности / разблокировки карты / подтверждения платежа заставляют выдать всю информацию о карте или аккаунте онлайн-банкинга.
Самый главный момент: мошенники под видом сотрудника банка просят сообщить код подтверждения операции, который придёт в SMS.
На вас это, может, и не подействует. Но менее опытных юзеров вроде вашей бабушки обычно облапошивают именно так.
Отменить операцию и доказать, что владелец аккаунта не виноват, в таких случаях крайне сложно. Ведь получается, вы номинально подтвердили операцию кодом, ничего несанкционированного не случилось.
7. Сотрудник банка хочет помочь в личке соцсети
Жертв находят в пабликах банков ВКонтакте и на форумах.
Якобы представитель финучреждения связывается с пользователем, который задал вопрос в официальной группе или на странице банка. Обещает решение проблемы. Или золотые горы, кредит по гуманным 5% в год и тому подобное.
Для продолжения просит данные карты, счета, аккаунта онлайн-банкинга, контрольные вопросы или что-нибудь ещё, что позволит «подтвердить личность». Спорим, знаете, что будет дальше?
8. Собирают инфу через безобидные приложения
И такое бывает. Недавний скандал вокруг Burger King тому подтверждение.
Разработчики, конечно, списали всё на улучшайзинг и «всё делаем для пользователя, мамой клянус», но факт остаётся фактом. Какие ещё приложения крадут банковские данные, расскажем скоро в отдельном материале.
Итак, данные банковской карты украли. Что происходит дальше?
Чаще всего ими пользуются кардеры. Они напрямую сливают деньги с вашего счета на свой (другую ворованную карту, карту случайного дропа и т. п.).
Либо, чтобы не попасться, заказывают с вашей карты товары или подарочные сертификаты в интернет-магазинах. Пока жертва оклемается, успевают обнулить карту и залезть в максимальный овердрафт.
Окей, допустим, у меня украли данные. Что делать?
При первом подозрении НЕМЕДЛЕННО блокируйте карту или вообще весь счёт. Бросайте всё, срочно.
Почти все онлайн-банки и приложения российских банков позволяют сделать это мгновенно без лишних подтверждений. Объяснять ситуацию будете позже. Оставлю несколько примеров для пары крупных банков РФ.
Сбербанк, «Сбербанк Онлайн»:
1. На главной странице в списке карт или на странице с информацией о карте нажмите «Операции» напротив нужной карты.
2. Выберите «Заблокировать».
3. Заполните форму создания заявки и нажмите «Заблокировать».
4. Нажмите «Подтвердить по SMS», введите одноразовый пароль, который вам отправит банк.
Если нет возможности зайти в приложение или сайт Сбербанка:
- Звонок на номер службы поддержки: 900 с любого мобильного, 7 495 500 5550 по Москве, 8 800 555 55 50 из любого другого города РФ. Работает круглосуточно.
- Отправка SMS на номер 900. Формат: БЛОКИРОВКА****Х», где **** – последние цифры номера банковской карты, а Х – причина блокировки. 0 обозначает, что карта утеряна; 1 – подозрение в краже; 2 – карту не вернул банкомат; 3 – другие причины. Дождитесь SMS с кодом подтверждения. У вас будет 5 минут, чтобы отправить его обратно, иначе карту не заблокируют.
- Визит в отделение банка. При себе нужно иметь паспорт или другой документ с фото.
- Введение неправильного пин-кода. Трижды.
Альфа-Банк
В онлайн-банке «Альфа Клик» заблокировать карту можно со страницы «Карты».
1. Авторизуйтесь в сервисе, наведите курсор на поле с активной картой.
2. Нажмите «Заблокировать», подтвердите.
Либо выберите в главном меню «Мои карты» —> «Блокировать карту». Аналогично это работает в мобильном приложении.
Если приложения или браузера под рукой нет, можно отправить SMS-сообщение «block» на номер 2265. В ответ вам придет список карт с обозначением последних четырех цифр каждой из них.
Отправьте второе сообщение: «block *xxxx», где хххх – четыре последние цифры номера блокируемой карты.
Ещё помогает звонок по телефону на номер 0 800 50-20-50. Наконец, карты блокируют в офисах «Альфа-банка». Равно как и любого другого банка, который выпустил вашу карту.
Помните: счет идет на секунды! Чем быстрее вы заблокируете карту, тем меньше шансов у злоумышленников. Любую скомпрометированную карту стоит перевыпустить.
Не забудьте также поменять все логины и пароли, которые могли попасть в руки мошенников.
Полезные советы. Как не дать украсть данные своей карты?
Будьте внимательны, когда переходите по ссылкам. Проверяйте адрес в адресной строке и подлинность формы в приложении.
По статистике Google, 12,4 млн пользователей в 2017 году стали жертвами фишинга.
Да, 78% пользователей знают, что опасно переходить по подозрительным ссылкам. Но 56% всё равно переходят по ссылкам из e-mail, 40% – по ссылкам в Facebook. Угроза ближе, чем вам кажется.
Не сообщайте никому больше, чем номер карты. Для перевода денег этого достаточно.
Осматривайте банкомат перед тем, как вставить в него карту. Если одни детали выглядят новее других или не подходят по цвету, не снимайте в нем деньги.
Меньше шансов нарваться на скиммер в банкомате в отделении банка, в холле приличной гостиницы или другом зале с надёжной охраной.
Не верьте в распродажи авиабилетов за копейки, скидки 80% на фейковых сайтах, кредиты под 1% в месяц от микрофинансовых организаций. Вроде очевидно, но сколько обманутых!
Не пытайтесь снять блокировку карты по ссылке из e-mail или сообщения в мессенджере. Если возникла проблема, звоните в банк по номеру, который указан на вашей карте.
Используйте двухфакторную авторизацию везде, где это возможно.
Не записывайте PIN-коды банковских карт на бумаге. И тем более на самой карте или в кошельке. Да, такое сплошь и рядом.
Сама так сделала: сотрите или закрасьте CVV2-код на обороте карты. Только запомните его перед этим. Если забудете, можно будет восстановить в банке или сделать запрос в некоторых банковских приложениях.
Заведите отдельную карту для интернет-платежей и мелких трат. Переводите на неё деньги непосредственно на расходы.
Не давайте никому карту в руки. А лучше перейдите на карту с чипом для бесконтактной оплаты или Apple Pay, Android Pay, Samsung Pay.
Не пользуйтесь интернет-банкингом через открытый Wi-Fi. Да и вообще через Wi-Fi. Наконец, если вам звонят из банка, выслушайте, запишите разговор и перезвоните на официальный номер банка, который указан у вас на карте.
Что ещё можно сделать, чтобы защитить себя
Пожалуйтесь на фишинговый сайт в Яндекс».
Посмотрите на 2IP.ru whois домена, свяжитесь с хостером, сообщите о фишинге.
И ещё один важный пример напоследок
В январе 2018 года взломали сайт производителя смартфонов OnePlus и несколько месяцев воровали данные банковских карт покупателей.
Производитель официально признал, что «часть пользователей пострадала».
А в бете прошивки OxygenOS Open Beta 2 нашли интересную функцию приложения буфера обмена: в файле badword.txt оказалось много ключевых слов вроде address, email, home, birthday.
Другие файлы позволили установить, что OnePlus отправляет IMEI и другую информацию на сервера teddymobile — компанию, которая идентифицирует пользователей по SMS-сообщениям.
Так что иногда достаточно просто купить не тот смартфон, чтобы слить данные собственной банковской карты.
P.S. Каждый раз, когда вы расшариваете эту статью, у фишеров становится на десяток жертв меньше. Берегите себя и своих близких.
14 комментариев
Форум →img/Риз Симпсон.png тебе не придется иметь деньги если доллар завтра будет по 70 а потом по 120
@Apple Watch, тебе не придется думать о сохранности денег на счету, если у тебя нету денег на счету ?♂️
У меня денег нет , так что плевать. И я думаю таких я будет все больше и больше ))
Самый правильный совет не написали — установить лимит на траты не больше чем ты в день тратишь.. и временно увеличивать при крупных покупках, у нормальных банков это одной кнопкой в приложении делается
И все. Помогает от всего перечисленного, просто придет смс о попытке списать сверх лимита .
ну, все же еще надо “умудриться” средства “держать” на карточном счете…
https://www.youtube.com/watch?v=_iSdyKwPrC4&t
CVV2-код можно заклеить кусочком непрозрачного скотча.
Сделал это после того, как в Европе у официанта вылетел отказ по карте, и он ее начал «крутить в руках», осматривая со всех сторон. Напрягло. Чисто принципиально.
Хотя такие случаи редки.
В 30% случаев требую дать мне аппарат и провожу вручную.
Остальные 70% – пользуюсь эпплпей с часов или телефона и карту вообще не достаю :)
6 лет назад скопировали карту в кафе в Риме. Сам виноват: отдал, официант унес и долго не приносил. Через месяц после поездки сняли 2000 евро через немецкий банк. Живу в Европе, поэтому все деньги банк вернул после заявления в местное отделение полиции. В полиции сказали, что не миллион же украли, поэтому в Интерпол заявлять не будем.
С тех пор карту в руки не отдаю, приезжая из поездки за границу сразу блокирую на пользование только в стране, где живу. 90% пользуюсь Apple Pay.
Так и запишем: “Пока жертва оклимается”. Оклимается, Карл!
@dress code, да ладно, девочка молодец, не нужно занудствовать.
Дополнил бы – желательно использовать не бесконтактную карту, а Apple Pay, Android Pay, Samsung Pay (если, конечно, есть возможность). В этих сервисах всегда необходима авторизация для любой транзакции, а с картами бывают косяки из серии “до 1000 рублей код вводить не нужно” и прочее, что позволяет списывать мошенникам мелкие суммы, вообще не получая доступа к карте.
В плане удобства это тоже очень круто. Проблем с покрытием того же Apple Pay в местностях, где пребываю, не встречал уже давно, думаю проблема будет только где то в глубинке. Бывают редкие неполадки – но тогда можно и карту достать. А для ещё пущей верности я заказал к основной карте счета 3 карты дополнительных – по одной для каждой платежной системы и беру по ситуации допы, основная карта надежно укрыта от чужих глаз (я сам её только один раз видел, когда расписывался в получении) :)
@HellReid, согласен, специально не беру бесконтактную а использую Apple Pay.
Если сумма большая то можно держать не на карте а открыть обычный вклад который и так умолчанию уже открыт -и на нем держать сумму.
При необходимости пополнять на карту со вклада.
Ксения, Вы просто супер! Читаю Ваши статьи с интересом, но не могу понять, как с такими знаниями у Вас еще есть необходимость писать статьи?))))))
Отличная статья! Оплачиваю смартчасами,что удобно,но так же и безопасно!
Очередная графоманская статейка с гайдами для недоразвитых, девушке лучше перестать заниматься этой недожурналистикой и пойти нормальную работу поискать, столько чуши это надо еще найти, а самый полезный совет для людей подобного сорта – не пользоваться банковскими картами и использовать наличку
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.Почему в меню AirDrop дублируются устройства
Куда уходит трафик на iPhone?
Как сделать флешку для macOS и Windows одновременно
Как подключить mini displayport к MacBook Pro 2016/2017
Как отключить автоматический запуск музыкального плеера на Apple Watch
Как перенести контакты со старого iPhone на новый?
С какой частотой кадров iPhone снимает Time Lapse
Как исправить «Ошибку аутентификации PDP» на iPhone (iPad)?