Несмотря на то что банки и операторы сотовой связи регулярно призывают своих клиентов ни в коем случае никому не сообщать реквизиты пластиковых карт, финансовая безграмотность граждан продолжает кормить жуликов. Однако иногда небрежность как раз сотовых операторов образует "дырки", через которые мошенники получают доступ к деньгам пользователей.
Недавно некоторые абоненты "Билайна" столкнулись с тем, что с их банковских карточек исчезают деньги. На форумах и в блогах пользователи, разобравшись в ситуации, стали выкладывать гневные реплики, что схема привязки счета пластиковой карты к телефону от "Билайна" уязвима для мошенников.
Так, чтобы оплатить счет за телефонную связь с помощью банковской карты, абоненту "Билайна" необходимо знать лишь ее номер и дату окончания ее срока действия. Между тем похожие сервисы у остальных операторов "большой тройки" требуют указания большего числа реквизитов.
Злоумышленникам по большому счету достаточно выяснить лишь номер карты, чтобы зарегистрировать ее в сервисе и получить доступ к счету. Мошенники хорошо знают, что, как правило, карты выпускают сроком на один-два года, максимальный срок действия -- три года; устанавливать более длительные сроки нецелесообразно -- пластик изнашивается. Таким образом, необходимо перебрать 36 комбинаций года и месяца максимум.
Понятно, что номер и срок действия карты должен знать только владелец. О том, что нельзя "светить" реквизиты, клиентов постоянно предупреждают те же банки, выдавая пластиковую карту. Однако очень часто эти рекомендации остаются без должного внимания. "К примеру, официанты в кафе или ресторане забирают карту на оплату счета. Теоретически у них есть возможность подсмотреть ее номер и срок действия,-- говорит аналитик Mobile Research Group Сергей Потресов.-- Кто из нас следит, а не переписывает ли продавец в точке продаж эти данные?"
Или, допустим, оплачиваете вы покупку через некий интернет-магазин, продолжает директор по маркетингу компании Adscore.ru Сергей Шивалин, много лет изучающий рынок киберкриминала. Если там окажется кто-то нечистый на руку, ему будет технически не очень сложно получить номер и срок действия карты",-- говорит он. Кроме того, отмечает Шивалин, большинство сайтов делается бездумно, у доброй половины из них есть минимальные уязвимости: через эти "дырки" на сайтах можно загрузить некое вредоносное ПО, которое позволит злоумышленникам добыть данные о пластиковых картах.
Как утверждает Сергей Потресов, в схеме регистрации в билайновском сервисе "Мобильный платеж" отсутствует очень важный защитный барьер, это, по словам эксперта, общепринятая мера безопасности у операторов при дистанционной регистрации банковской карты через интернет. "Когда вы регистрируете карту, должна проводиться тестовая трансакция на произвольную сумму, которую должны знать только сервер и банк, "холдирующий" ее на вашей карте,-- рассказывает Потресов.-- Вы как владелец карты выясняете в банке или получаете SMS-оповещение о временном блокировании этой суммы. Дальше вы эту цифру должны ввести на сервере и тем самым подтвердить, что именно вы являетесь владельцем этой карты и именно вы эту карту пытаетесь привязать к мобильному телефону".
"Вымпелком" признает существование лазейки для мошенников, но утверждает, что украсть за день больше 1 тыс. руб. у них не получится -- таков лимит на списание средств при регистрации карты через сайт или IVR (Interactive Voice Response, система предварительно записанных голосовых сообщений).
В настоящее время механизм регистрации карты и ее привязки к телефону осуществляется путем списания тестовой суммы в 2 руб. По мнению Сергея Потресова, так оператор проверяет, действующая карта или нет. Если мошенник каким-то образом узнал данные карты и пытается подобрать срок ее действия, держателю карты приходит SMS-уведомление от банка об отказе в платеже, уверяют в "Вымпелкоме".
Подбор срока действия карты предполагает несколько попыток, и абонент получает подряд несколько SMS-уведомлений, свидетельствующих о том, что карта скомпрометирована и нужно срочно обратиться в банк для ее блокировки. Но как быть, если SMS-оповещение о трансакциях по карте у абонента не подключено (услуга-то платная, и многие считают, что могут обойтись и без нее), в компании умалчивают. К тому же при подключенном SMS-оповещении возврат средств осуществляется только по первым двум несанкционированным трансакциям. Если вы не успели заблокировать карту, суммы последующих трансакций банк не возместит, отмечают в компании Chronopay (занимается обработкой платежей в интернете).
Изначально подключение услуги "Мобильный платеж" производилось в офисах "Билайна" и банкоматах банков-партнеров. Но чтобы выйти на широкого потребителя, потребовались массовые каналы регистрации карт, которые позволили бы удаленным способом подключать услугу, рассказывает пресс-секретарь "Вымпелкома" Анна Айбашева. По ее словам, в конце 2008 года такими каналами подключения стали интернет и IVR, и подключение услуги через них запускалось с применением механизма списания случайной суммы.
"Но, как показала практика, двухэтапный механизм регистрации является барьером для пользователей. Чтобы изменить ситуацию, было принято решение с конца декабря 2009 года отменить списание случайной суммы и усилить антимошеннические меры по web- и IVR-регистрации,-- говорит Айбашева.-- Этими мерами стали ограничения по суммам (1 тыс. руб.) и количеству платежей в день (пять), невозможность использования услуги, если паспортных данных абонента нет у нас в базе и его стаж в "Билайне" не превышает трех месяцев. Кроме того, одна карта может быть привязана только к одному номеру телефона".
По словам представителей "Вымпелкома", если абонент обратится в банк с жалобой на неавторизованное действие с картой, после проверки оператор обязательно возвратит деньги на абонентский счет пострадавшего, независимо от того, находятся ли они в данный момент на счету другого абонента или уже переведены злоумышленниками на другую банковскую карту.
Предложенную абонентам "Билайна" схему критикуют и представители банковского сообщества. "При желании номер пластиковой карты и срок ее действия достаточно просто получить,-- согласна с упреками в адрес "Вымпелкома" директор департамента платежных карт Промсвязьбанка Елена Дворовых.-- Этих данных совершено недостаточно для того, чтобы эти операции были хотя бы чуть-чуть безопаснее".
Кстати, многие крупные банки активно предлагают своим клиентам страхование рисков мошенничества по пластиковым картам. В ВТБ 24 услуги страхования стоят от 60 руб. в месяц (страховая сумма от 20 тыс. руб.), Райффайзенбанк в рамках программы "Карта без риска" предлагает страхование классических карт за 70 руб. в месяц (покрытие до 75 тыс. руб.) и золотых -- за 140 руб. в месяц (покрытие до 150 тыс. руб.). Аналогичные продукты есть, к примеру, у Росбанка, Альфа-банка, Газпромбанка.
По словам Сергея Шивалина, серьезные спецы, работающие на ниве мобильного мошенничества, пользоваться сервисом от "Билайна" для вывода денежных средств не будут: нажива невелика, а им это неинтересно -- у них другие масштабы и сложнее схемы: "В основном такими вещами занимаются начинающие хакеры подросткового возраста".
Как бы то ни было, в связи с участившимися случаями мобильного мошенничества "Вымпелком" решил вернуть прежнюю схему регистрации с "холдированием" случайной суммы -- она будет введена "в самое ближайшее время".
Стоит добавить, что в России мошенники всегда были хитры на выдумку. Каждый год жулики придумывают что-то новое. РОМАН РОЖКОВ
SIA.RU: Главное
