Как казахстанцам защититься от мошенничества с банковскими картами

Опубликовано
редактор отдела Business News
Как казахстанцам защититься от хищения денег с карт / freepik

Развитие финтех-индустрии в Казахстане не исключает рисков мошенничества и потери сбережений. Агентство по регулированию и развитию финансового рынка активно предупреждает граждан об опасностях, связанных с ненадлежащей защитой персональных данных, однако сообщения о новых случаях хищений и пострадавших продолжают регулярно поступать. Особенно уязвимыми становятся банковские карты, которыми казахстанцы привычно расплачиваются в магазинах и интернете. С проблемой сталкиваются власти разных стран, и все пытаются решить ее по-своему. В соседней России уже несколько лет пытаются возложить обязанность по возмещению ущерба на банки, но пока конкретных очертаний такая инициатива не обрела. «Курсив» разбирался, чего стоит опасаться соотечественникам, как защититься от злоумышленников, есть ли шансы вернуть похищенное и что собираются делать власти.

Обманывают как могут

В начале июня МВД рассказало, что мошенники все чаще прибегают к старым способам обмана казахстанцев, пользуясь их неподготовленностью. Среди таких схем особенно популярны звонки от человека, выдающего себя за родственника и выпрашивающего крупную сумму денег на решение проблем. Ведомство привело пример пенсионерки из Астаны, у которой злоумышленники выманили 16 млн тенге якобы на нужды попавшей в аварию дочери.

Работают и другие механизмы. Звонящий может представляться сотрудником службы безопасности банка или правоохранительных органов, сообщать о подозрительных операциях, попытках взлома аккаунта в банковском приложении или об уже свершившемся хищении. Некоторые предлагают принять участие в маркетинговой акции или дополнительно защититься от угроз на будущее. Все эти действия направлены на то, чтобы выманить у жертвы персональные данные или сведения, указанные на банковской карте. Подавляющее большинство попыток мошенничества в наши дни так или иначе связаны именно с безналичными средствами платежей, доля которых в общем объеме расчетов в начале года превысила 80%.

Еще один способ обмана появился в прошлом году и стал прямым следствием боевых действий в Украине. После ухода из России международных платежных систем Visa и Mastercard жители соседней страны начали активно интересоваться оформлением карт зарубежных банков, позволяющих полноценно платить в интернете и заграничных поездках. Казахстан стал одним из приоритетных вариантов: россияне приезжали в республику лично или пользовались услугами посредников, контакты которых легко найти в интернете.

Такие сервисы предлагают удаленное оформление карты без личного присутствия в банке. Достаточно предоставить паспорт, к которому посредники обещают «привязать» казахстанскую сим-карту и ИИН. Готовую карту обещают доставить почтой или лично привезти в Россию. Уже летом прошлого года стало известно, что как минимум некоторые помощники прибегают к мошенническим схемам. Они пользуются беспрепятственным доступом к данным карт (которые им доверяют забрать вместо себя клиенты), включая CVC-коды на оборотной стороне, и персональной информации об их новых владельцах. Имея эти сведения, злоумышленники могут беспрепятственно проводить операции от имени собственника.

В некоторых случаях из ничего не подозревающих россиян делают дропперов — так называют людей, вольно или невольно содействующих аферистам в качестве подставных лиц при незаконных операциях и обналичивании украденных денег. На их имена открывают новые счета, через которые проводятся незаконные трансакции.

«На днях ко мне обратилась женщина, предпринимательница, продающая свою продукцию через Kaspi-магазин. Новая схема, я с такой раньше не сталкивался. — рассказывает юрист Сергей Уткин. — Ей пишут в WhatsApp, представляются интернет-магазином, говорят, что у них срочно заблокировали что-то в Kaspi, надо срочно продать товары и предлагают воспользоваться ее ИП за вознаграждение в 5%. Через нее за день прогнали около 6 млн тенге. Она получила свои 5%, думает, что все здорово. В итоге выяснилось, что люди продавали айфоны в рассрочку. В действительности покупатели ничего не платили и своих телефонов не получили. А Kaspi Bank, выходит, предоставил кредит, эти деньги получали мошенники, за исключением тех самых 5%. Моя клиентка переводила поступавшие ей деньги на какие-то карты, реквизиты которых ей указывали. Теперь получается, что она как будто бы взяла кредитов на 6 млн. Вернее, их взяли люди, а банк их заплатил ей, и вот она вот так попала».

По словам юриста, покупатели смартфонов, оформляя рассрочку, заключают кредитный договор с банком. Деньги тут же поступают продавцу через интернет-магазин, после чего у покупателя возникают обязательства перед банком.

«И теперь человек должен эти деньги вернуть банку. А предпринимательница говорит, что ее саму обманули и у нее этих денег нет. тут интересный момент заключается в том, кого считать потерпевшим. Предпринимательница не пострадала, ведь ее деньги не присвоили. Потерпевшими оказываются люди, взявшие кредиты. Но, на мой взгляд, настоящий потерпевший — банк, ведь он выдал кредит мошенникам», — говорит Уткин.

Взлом без участия клиента практически невозможен

Об опасности связанно с мошенническими схемами предупреждают власти, правоохранительные органы, банки и СМИ. Они же подчеркивают, что злоумышленникам недостаточно знать имя, номер карты, телефона и даже ИИН. Чтобы получить доступ к счету и хранящимся на нем средствам, требуется дополнительная информация: CVC-код, срок действия карты, пин-код, пароль от приложения, коды из смс или пуш-уведомлений от банка. Если не передавать критически важные сведения посторонним и не оставлять их на сомнительных ресурсах, риски минимальны. Однако именно с этим нередко возникают проблемы.

«Mastercard ежегодно проводит исследование. В 99% случаев хищения средств с банковских карт виноваты сами клиенты. Они либо предоставляют мошенникам коды или пароли доступа, либо дают сам телефон с уже залогиненным мобильным приложением. В таких случаях банк думает, что уже провел идентификацию, что это его настоящий клиент, а не мошенник совершает действия. Надо понимать, что это происходит не из-за банковских уязвимостей. Можно сказать, что взлом и совершение действий от имени клиента без его ведома при условии, что сам он никакими данными не делился, практически невозможны», — говорит начальник отдела информационной политики Агентства по регулированию и развитию финансового рынка (АРРФР) Дмитрий Акмаев.

По его словам, внутренние системы защиты банков постоянно совершенствуются. АРРФР разработала и курирует специальную систему Qainar, использование которой с прошлого года обязательно не только для банков, но и для всех участников финансового рынка. Qainar синхронизируется с внутренними системами банков и отслеживает их уязвимости, помогая устранять слабые места и делясь ценными сведениями со всеми игроками. С начала года на финансовые организации Казахстана было совершено 5 млрд кибератак, и все они оказались безуспешными.

Еще раньше, в 2018 году, появилось законодательно оформленное требование об обязательной двухфакторной аутентификации банковских клиентов. В 2021-м правило распространили на микрофинансовые организации.

«Система безопасности банка в любом случае рассчитана на многофакторную идентификацию. Некоторые это делают двумя способами, некоторые — тремя. Первый способ — это когда вы входите в мобильное приложение банка. Там может быть биометрия, может быть код или пароль. А потом по каждому платежу у вас идет дополнительная идентификация через смс. Либо через код, опять же, всплывающий в приложении. Это второй способ. Третий способ — когда вы платите на каком-то незнакомом сайте и заходите не в систему безопасности банка, а платите, допустим, через стороннюю инфраструктуру, стороннюю форму. Эта форма тоже может быть с 3D-Secure. Но банк дополнительно присылает шестизначный уже код и спрашивает, точно ли вы хотите оплатить. Это именно для платежей на незнакомых ресурсах. Для переводов достаточно двухфакторной аутентификации: в мобильном приложении и через код», — объясняет Акмаев.

Многие банки проводят проверку незаметно для клиентов: в автоматическом режиме высылают код и тут же принимают его. При желании порядок ввода можно изменить в настройках приложения. По словам Акмаева, внедрение обязательной двухфакторной привело к существенному снижению числа поступающих в АРРФР жалоб: с прежних 1100 в год до 8 по итогам 2022-го.

Юрист Сергей Уткин советует при оформлении карты внимательно читать договор с банком и по возможности добиваться внесения в него конкретных обязательств со стороны кредитной организации, касающихся сохранности счета и средств на нем. К таким обязательствам могут относиться уведомления от банка об уже исполненных операциях. Впрочем, сетует он, обычному клиенту едва ли удастся изменить типовой договор, утвержденный руководством.

Многие банки не ограничиваются прописанными в законе мерами и разрабатывают для клиентов дополнительные способы защиты. Приложение Freedom Bank позволяет установить географические ограничения на совершение определенных видов операций. Можно сделать недоступными интернет-платежи, переводы, обналичивание через банкоматы, покупки через терминалы в определенной части света. Для особо бдительных есть опция запрета на любые дистанционные действия с картой. В таком случае совершать операции можно будет только при непосредственном использовании пластика.

«Помимо вышеперечисленного, Freedom Bank активно взаимодействует с другими банками. В том числе на площадке Ассоциации финансистов Казахстана, где происходит обмен опытом, вносятся предложения об изменениях в законодательство в части мер по противодействию мошенничества, обсуждаются методы защиты от новых схем мошенничества. Также важно понимать, что немаловажным фактором в противодействии мошенническим действиям и недопущении получения личных данных клиентов посторонними лицами является повышение финансовой грамотности. Регулярно банк публикует информацию о мерах безопасности и правилах совершения финансовых операций на сайте и своих страницах в соцсетях. Также на сайте банка представлена памятка защиты от действий интернет-мошенников», — рассказали «Курсиву» в кредитной организации.

Jusan Bank утверждает, что настроил «специализированные контроли, позволяющие предотвращать мошенничество по целому ряду признаков». Каждый успешный для аферистов случай тщательно анализируется. В результате в первом квартале кредитной организации удалось в 1,5 раза сократить общую сумму ущерба клиентов — по сравнению с январем-мартом 2022-го.

Что делать

Специалисты и сами банки регулярно напоминают, что соблюдать базовые меры предосторожности достаточно легко. К стандартным рекомендациям тщательно следить за оставляемыми в интернете данными и не переходить по подозрительным ссылкам они добавляют ценные советы. Дмитрий Акмаев из АРРФР призывает не откликаться на сообщения и звонки от кредитных организаций:

«Первое, что стоит понимать, — вы всегда должны инициировать любое общение с банком, инициировать вход в любую операцию. Если вам звонит сотрудник банка, приходит сторонняя ссылка, ничего делать нельзя. Если у вас действительно есть сомнительные операции, на которые любят ссылаться мошенники, банк самостоятельно блокирует ваши счет и карту. И после этого вы сами инициируете общение с банком, находясь в периметре безопасности».

Юрист Сергей Уткин делится собственным методом — по умолчанию отключать возможность оплаты через карту в интернете. Так можно избежать неавторизованных покупок и списаний даже, если персональные данные все же «утекли». Это особенно важно, если злоумышленники находятся за границей, — шанс найти их и добиться возмещения в таком случае крайне мал.

«И только если мне нужно сделать конкретный платеж, я включаю ее ровно на это непродолжительное время. Лет 7-10 назад у меня из Казкоммерцбанка действительно утекали деньги. И у них тогда не было даже опции отключить интернет-платежи, они добавили ее только потом. Тогда у меня ушли $50. Но это не то, что кто-то у меня украл, а я сам где-то совершал покупку, а потом продавец решил повторно с меня списать сумму покупки. Видимо, я не глядя согласился с условиями какой-то регулярной оплаты. Попытался вернуть, но ничего не получилось, поскольку там было иностранное юрлицо, я даже не помню, из какой страны. С тех пор я стал пользоваться этим способом», — говорит Уткин.

Freedom Bank предостерегает от переводов на незнакомые счета и настоятельно рекомендует не принимать ошибочные входящие переводы. Если средства от незнакомца поступили, нужно сразу обратиться в колл-центр банка. Также не стоит оформлять счета и карты по просьбе посторонних — так можно оказаться вовлеченным в преступную схему. Кроме того, можно использовать сложные пароли, в том числе в банковском приложении, и завести отдельную карту для онлайн-покупок.

Jusan Bank дополнительно не рекомендует клиентам устанавливать приложения по запросу неизвестных (особенно это касается приложений удаленного доступа к смартфону или компьютеру) и не сообщать никому коды из смс или уведомлений в приложении.

«Если неприятности уже случились, первым делом надо обратиться в правоохранительные органы, — говорит Дмитрий Акмаев из АРРФР. — Чем больше у них будет информации, тем им будет проще. Затем надо обратиться в свою финансовую организацию — банк или МФО, как минимум чтобы сообщить об инциденте. И третье, можно обратиться к нам как к регулятору, но мы в таком случае проверим только действия банка или МФО. Если они соблюли все параметры безопасности и процедуры, к ним претензий не может быть никаких. В судебном порядке шанс добиться справедливости есть. Сейчас на самом деле МВД очень хорошо работает. Если раньше раскрывалось одно из двадцати преступлений, связанных с финансами или электронными деньгами, то сейчас раскрытие уже около 30% или даже больше. Они научились очень хорошо все отслеживать, все маршруты, по которым уходят деньги, в том числе с участием сторонних платежных систем».

Юрист Сергей Уткин не верит в благополучный исход разбирательства — даже если про мошенников достоверно известно, что они зарегистрированы или находятся в Казахстане. Судебный процесс он также считает бесперспективным.

Как у других

Проблемой мошенничества с получением доступа к банковским счетам и картам озабочены и в других странах. В США закон предусматривает полное возмещение похищенной суммы при условии, что злоумышленники еще не успели ее потратить. В противном случае все зависит от скорости обращения в банк. Если связаться с кредитной организацией в течение двух рабочих дней, клиент потеряет не больше $50 и получит полное возмещение сверх этой суммы. При обращении в течение 60 дней максимальные потери составят $500. По истечении двух месяцев банк не несет ответственности перед клиентом и не обязан возмещать ему ущерб.

В России подобные нормы только разрабатываются. В 2021 году Центробанк предложил ввести минимальную сумму возмещения банками в упрошенном порядке. Для этого нужно обратиться в кредитную организацию не позднее следующего рабочего дня после получения уведомления о проведенной операции. В январе нынешнего года президент Владимир Путин поручил правительству продумать аналогичную схему. Юридических последствий ни одна из инициатив пока не имела, но банки активно выступают против и грозятся повысить тарифы за обслуживание.

Читайте также