«Основы кибербезопасности в финансовом секторе»
В марте 2017 года состоялось онлайн-интервью с заведующим сектором технической защиты информации отдела безопасности и защиты информации Отделения-НБ Республика Коми Алексеем Басенко.
В ходе интервью Алексей Олегович ответил на вопросы посетителей сайта.
Список вопросов и ответов:
Александр Вениаминович (г. Сыктывкар): Что вы можете сказать о новом вирусе Хичина, распространяющегося вместе с китайскими смартфонами?
Алексей Олегович: Александр Вениаминович, действительно в последнее время участились случаи, когда при покупке смартфона через интернет клиент получает телефон, уже зараженный вирусом. В связи с этим рекомендуется при получении покупки установить на телефон из официального источника антивирусный сканер одного из известных производителей и провести полное сканирование на вирусы.
Кроме того, часто на телефоны приходят письма или SMS от незнакомых адресатов с вложенным файлом или ссылкой. Открыв это письмо или перейдя по ссылке, пользователь рискует загрузить на свой телефон вирус, который позволит злоумышленникам установить контроль над устройством и получить доступ к мобильному банку. Сделать свой телефон уязвимым можно также, устанавливая сомнительные мобильные приложения, которые по факту могут оказаться носителями вируса.
Сергей (г. Сыктывкар): Безопасно ли использовать для оплаты сервис Apple Pay? Как обезопасить себя при использовании данного сервиса?
Оксана (г. Сыктывкар): Безопасно ли приложение Сбербанк Онлайн? Можно ли быть уверенным в сохранности своих сбережений?
Алексей Олегович: Сергей и Оксана, при использовании любых платежных приложений следует соблюдать общеизвестные правила безопасного использования финансовых сервисов. Это поможет минимизировать риски наступления неблагоприятных последствий.
При использовании сервисов, функционирующих на мобильных устройствах, следует руководствоваться общими рекомендациями памятки Банка России «О мерах безопасного использования банковских карт» (письмо от 02.10.2009 № 120-Т) (www.cbr.ru/other/120-t.pdf), в том числе:
- использовать антивирусное программное обеспечение, регулярного его обновляя,
- не передавать и не оставлять без контроля свое мобильное устройство,
- не сообщать посторонним код его разблокировки и пин-код привязанной карты.
Также необходимо следовать рекомендациям по безопасности, опубликованным на сайтах организацией, предоставляющих данные сервисы.
Мария (с. Усть-Кулом): Как безопасно платить интернет-магазинам? На что обращать внимание при оплате покупок онлайн? Как распознать мошеннические сайты?
Алексей Олегович: Мария, при покупках в Интернет-магазинах можно столкнуться с мошенниками, которые создают фишинговые сайты (сайты-двойники), предлагающие продукты и услуги от лица различных известных организаций, для хищения денег с карт граждан (путем кражи данных карты). Такие сайты часто не просто визуально похожи, а выглядят идентично официальным сайтам организаций, а их наименование в адресной строке браузера отличается от оригинала на один-два символа (символы поменяны местами, буквы заменены на цифры и т.п.). Если ввести на таком сайте свои персональные данные, они станут доступны злоумышленникам.
Чтобы не стать жертвой мошенников, необходимо внимательно изучать название и содержание сайта, на который Вы заходите и где вводите данные своих банковских карт, чтобы убедиться, что это не сайт-двойник.
Также рекомендуется пользоваться Интернет-сайтами только известных и проверенных организаций торговли и услуг, и обязательно использовать антивирусное программное обеспечение, регулярно его обновляя. Хорошей практикой является использование для покупок в интернете отдельной банковской карты с предельным лимитом, на которую можно переводить деньги непосредственно перед самой покупкой.
Константин (г. Ухта): У меня была карточка банка А. Потом оформил карту в банке Б. Теперь постоянно пользуюсь картой банка Б. На карточке банка А осталось 50 рублей. Пользоваться картой банка А пока не планирую. Стоит ли ее закрыть?
Алексей Олегович: Константин, следует помнить, что даже если Вы не используете карту банка А, согласно условиям заключенного Вами с банком А договора за ее обслуживание и дополнительные услуги (мобильный банк и т.п.) может взиматься плата. Решение об оставлении либо о закрытии карты необходимо принимать, исходя из индивидуальных условий обслуживания карты и Ваших целей.
Игорь (г. Емва): Если мошенники уже сняли деньги с карты - куда обращаться? И есть ли смысл? В каких случаях можно рассчитывать, что банк компенсирует украденное?
Алексей Олегович: Игорь, в случае если с банковской карты без согласия ее держателя списаны деньги, следует:
1) незамедлительно позвонить в банк, выпустивший карту, сообщить о мошеннической операции и заблокировать карту (номер телефона указан на обороте карты, на официальном сайте банка и в договоре о выпуске и обслуживании карты).
2) не позднее дня, следующего за днем получения от банка уведомления о совершении операции, обратиться в отделение банка, запросить выписку по счету и написать заявление о несогласии с операцией, экземпляр заявления с отметкой банка о приеме оставить у себя.
3) обратиться в правоохранительные органы с заявлением о хищении.
В соответствии с Законом, заявление рассматривается банком не более 30 дней со дня его получения, при осуществлении международных операций – не более 60 дней. Банк информирует держателя карты о результатах рассмотрения заявления способом, определенным договором о выпуске и обслуживании карты. По требованию держателя карты банк обязан предоставить письменный ответ.
После получения заявления клиента банк проводит служебное расследование, по результатам которого принимает решение о возмещении ущерба.
На возмещение можно рассчитывать, если держатель карты не нарушал условия ее использования, в том числе соблюдал меры по безопасности, и обратился в банк не позднее дня, следующего за днем получения от банка уведомления о совершении операции. Важно помнить, что если кража денег с карты стала следствием собственной неосмотрительности потерпевшего (например, если он сам сообщил преступникам свои персональные данные), банк может не возвращать деньги.
Ирина Александровна (г. Сыктывкар): Иногда я размещаю объявления о продаже вещей на сайтах типа Avito, и случается, что в ответ звонят люди, якобы готовые эту вещь приобрести, и просят номер моей карты, чтобы перевести деньги. Опасно ли это? Как может мошенник использовать эту информацию?
Алексей Олегович: Ирина Александровна, мошенники могут выступать в роли покупателей на сайтах бесплатных объявлений (таких как Avito) или в соцсетях. Они могут звонить и убеждать в своем намерении приобрести товар, заявляя о готовности перевести аванс на Вашу карту, чтобы товар не купил кто-то другой. Для этого «покупатель» просит сообщить ему данные карты: номер карты, код CVV, срок действия, ваши ФИО. В некоторых случаях злоумышленник пытается узнать код из СМС для подтверждения транзакции. Получив такие данные, преступники могут без труда похитить деньги с банковской карты, выполнив с их помощью перевод на свои карты или счета.
Чтобы избежать обмана, не сообщайте незнакомым людям комплекс данных о своей карте ни под каким предлогом. Чаще всего, для того, чтобы Вам перевели деньги, достаточно сообщить покупателю только номер телефона, к которому привязана карта.
Людмила (г. Сыктывкар): В соответствии со статьей 9 закона «О национальной платежной системе» у держателя карты теперь есть новое право: если держатель карты обратился с банк в течение суток с заявлением о том, что деньги с карты украли, то банк ОБЯЗАН сначала вернуть все украденные средства на карту, а потом уже разбираться, кто их украл или украл ли вообще. Теперь бремя доказательства кражи лежит на банке, а не на держателе. Банк обязан информировать клиента обо всех операциях с картой, иначе все транзакции, выполненные без оповещения, считаются недействительными, и банк должен вернуть средства. На практике же эту статью закона банк (не буду называть какой) игнорирует. Что Вы, как представитель надзорного органа думаете об этом? Есть ли смысл писать жалобу в ЦБ?
07.12.2007 года ЦБ РФ издал письмо о том, что банки должны предупреждать всех клиентов о несовершенстве системы защиты пластиковых карт, но один из ведущих банков России об этом не предупреждает. Эта информация есть у него на сайте, Вы, как представитель ЦБ, считаете, что этого достаточно для предупреждения?
Алексей Олегович: Людмила, в соответствии «Ответами на вопросы, связанными с применением отдельных норм Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе"», порядок (включая информирование об операциях, совершенных с использованием дополнительно эмитированных платежных карт) и способы доведения до сведения клиента указанной информации (например, посредством телефонной связи, СМС-сообщений, электронной почты), а также получения от клиента необходимых для выполнения требований Закона N 161-ФЗ сведений устанавливаются оператором по переводу денежных средств (в Вашем случае банком) в договоре, заключаемом с клиентом.
Частью 15 статьи 9 Закона N 161-ФЗ установлено, что если оператор по переводу денежных средств исполняет обязанность по уведомлению клиента о совершенной операции в соответствии с частью 4 указанной статьи и клиент направил оператору по переводу денежных средств уведомление в соответствии с частью 11 данной статьи, то он должен возместить клиенту сумму указанной операции, совершенной без согласия клиента. При этом в указанном случае оператор по переводу денежных средств обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования электронного средства платежа, что повлекло совершение операции без согласия клиента – физического лица.
Если Вы считаете, что банком были нарушены требования законодательства при рассмотрении Вашего заявления о несогласии с операцией/действиями банка, Вы вправе обратиться в Банк России, например, с помощью сервиса «Интернет-приемная» (www.cbr.ru/Reception) или по телефону контактного центра Банка России 8 800 250-40-72 (бесплатный звонок из регионов России).
Сергей (г. Сыктывкар): Безопасны ли облачные хранилища (яндекс диск, гугл драйв и т.д.) Несут ли облачные хранилища ответственность за потерю данных?
Алексей Олегович: Сергей, как и в случае с приведенными выше вопросами по безопасности финансовых сервисов, для облачных хранилищ можно также сказать, что абсолютно надежных и безопасных систем не бывает. Ответственность организаций, предоставляющих облачные сервисы, обычно отражена в Лицензионных соглашениях, которые Вы принимаете при использовании таких сервисов.
Юрий (г. Сосногорск): Как обезопасить бесконтактные карты? Есть ли у них преимущества в плане безопасности перед обычными картами?
Алексей Олегович: Юрий, карты с системой бесконтактной оплаты позволяют совершать платежи до определенного лимита без ввода ПИН-кода – Вы просто касаетесь ими платежного терминала, что экономит Ваше время при совершении покупок.
Но есть вероятность того, что в местах большого скопления людей злоумышленник может похитить деньги с такой карты, прислонив считыватель или POS-терминал к карманам одежды или сумке. Мошенники также могут записывать полученную информацию на карты-клоны для дальнейшего хищения средств с настоящих банковских карт. Этот способ мошенничества распространен на Западе и пока не является массовым в России, поэтому вероятность столкнуться с ним достаточно низка.
Чтобы не стать жертвой такого вида мошенничества, храните карты с технологией бесконтактной оплаты в экранированных фольгой отсеках кошелька или сумки, также можно воспользоваться специализированным экранированным чехлом для карты.
Полина (г. Сыктывкар): В одном из ресторанов города официант постоянно забирает банковские карты посетителей, чтобы провести в терминале оплату. Не опасно ли это?
Алексей Олегович: Полина, ни при каких обстоятельствах не следует упускать свою банковскую карту из виду. Если в ресторане нет переносного терминала – пройдите с официантом к имеющемуся терминалу. Вводите ПИН-код так, чтобы он не был виден никому. Представители сферы торговли и услуг тоже могут оказаться мошенниками. Принимая для расчета банковскую карту от клиента, они могут незаметно сфотографировать, переписать или запомнить ее данные, чтобы потом рассчитаться картой в Интернете.
По возможности не записывайте ПИН-код нигде и ни в коем случае не храните его в кошельке или вместе с картой. Обращайте внимание на подозрительное поведение тех, кому Вы передаете карту для расчета.
Виктор Витальевич (г. Сыктывкар): Перед праздниками при попытке оплатить картой покупку в магазине что-то пошло не так, и кассир, сообщив, что оплата не прошла, попросил повторно ввести ПИН-код. В итоге я дважды заплатил за один товар. Деньги мне потом вернули, но осадок остался.
Алексей Олегович: Виктор Витальевич, в данном случае речь идет о двойной транзакции, которая может быть как следствием сбоя в работе терминала, так и мошенничеством. Чтобы избежать возможного обмана, удобнее иметь функцию СМС-информирования о совершении платежа. Даже если СМС-сообщение о платеже не пришло сразу, оно придет через 1–2 минуты.
Чтобы убедиться в том, что произошла ошибка, попросите у сотрудника распечатанное на POS-терминале уведомление о сбое. В том случае, если платеж прошел успешно, POS-терминал также печатает соответствующее уведомление, которое продавец должен Вам дать.
Вероника (г. Сыктывкар): Что такое скимминг, и чем он опасен?
Алексей Олегович: Верноника, скимминг – это вид мошенничества, при котором хищение денежных средств осуществляется с помощью специального оборудования, которое преступники устанавливают на банкоматы для копирования информации с карт. На щель приема карты банкомата устанавливают скиммер, который при прохождении карты считывает данные с магнитной ленты. После этого мошенники легко изготавливают копию банковской карты. Но для того чтобы воспользоваться такой картой-копией, преступники должны знать ПИН-код. Считывают этот код обычно при помощи видеокамеры, установленной неподалеку, или при помощи тонкой накладной клавиатуры, устанавливаемой на клавиатуру банкомата.
Сейчас в России используются карты, оснащенные чипами, поэтому актуальность скимминг-атак существенно снизилась. При этом Банк России предупреждает, что злоумышленники изучают и разрабатывают варианты скиммингового оборудования, которое считывает информацию с чипов. Поэтому вполне вероятно, что в скором времени этот вид мошенничества вновь наберет обороты.
Чтобы не стать жертвой мошенничества, старайтесь снимать деньги в проверенных банкоматах, стоящих на охраняемой территории без доступа посторонних лиц. Внимательно следите, чтобы на банкоматах не было установлено никаких подозрительных устройств. Если вы до сих пор пользуетесь картой с магнитной полосой, замените ее на карту с чипом. Это можно сделать бесплатно в отделении вашего банка.
Инна (г. Сыктывкар): Пару недель назад получила смс с текстом: «Ваша банковская карта заблокирована. Информация по телефону: 891286ххххх. ЦБ РФ» с номера 9оо. Удалила смс сразу. Нужно ли предпринимать еще какие-то меры безопасности?
Алексей Олегович: Инна, мошенничество с использованием СМС-сообщений – одна из наиболее распространенных схем. Гражданин получает СМС-сообщение с текстом похожего содержания. В качестве отправителя может быть указан и короткий номер 900 или 9000, а также номера с кодом 8800. Вместо «ЦБ РФ» может быть указано «Служба безопасности ЦБ», или «Centrobank», или «Сбербанк».
Гражданин, позвонивший по указанному в сообщении номеру, попадает в фальшивую службу безопасности якобы Банка России или Сбербанка, где его убеждают в том, что в системе произошел сбой и предлагают:
- подойти к ближайшему банкомату и провести операции, которые ему укажут;
- сообщить данные своей карты для того, чтобы ее можно было разблокировать (возможны и другие варианты).
Если человек выполнит указания мошенников, с его карты будут списаны деньги.
Чтобы не стать жертвой обмана, ни в коем случае не реагируйте на сообщения от «государственных структур», если вас просят совершить какие-либо платежи.
Центральный банк Российской Федерации (Банк России) не работает с гражданами: не принимает вклады и не дает кредиты, не открывает и не закрывает банковские счета, не блокирует карты, не выплачивает никакие компенсации, выигрыши. Кроме того, Банк России не рассылает SMS-сообщения. Поэтому, если Вы получили сообщение якобы от имени Банка России, – просто проигнорируйте его и ни в коем случае не перезванивайте по указанному в нем телефонному номеру.
наверх