Андрей Гайко: Если вам звонят из банка и просят подтвердить какие-то данные, это должно вызывать подозрения. Перезвоните в банк сами

Гости
Дмитрий Будаков
житель Московской области
Андрей Гайко
руководитель направления аудита защищенности финансовых организаций компании Digital Security

Юрий Коваленко: В нашей рубрике "Хитро придумано" сегодня поговорим, как действуют мошенники, чтобы перевести деньги с наших банковских счетов. По данным компании "Group-IB", за последние 3 месяца число таких перечислений выросло в 2 раза. Преступники действуют через социальные сети, рекламные объявления в поисковых системах и даже фальшивые мобильные приложения.

Марина Калинина: Так вот вдумайтесь: всего за год россияне лишились почти 4 миллионов долларов таким образом. Плюс к этому в результате таких операций в смартфоны попадает еще и вирус-троян. Так какова схема и что делать, чтобы не попасть на эту удочку? Сейчас будем говорить с нашим гостем – это Андрей Гайко, руководитель направления аудита защищенности финансовых организаций компании "Digital Security". Здравствуйте.

Юрий Коваленко: Добрый вечер.

Андрей Гайко: Добрый вечер.

Марина Калинина: Ну а мы напоминаем, что вы можете звонить нам в эфир, присылать SMS-сообщения, рассказывать – может быть, вы столкнулись с такой историей, как вы из этой ситуации выходили. Ваши звонки и сообщения мы всегда принимаем, и я напомню, что все это совершенно бесплатно.

Так какова вообще схема? Как понять, что тебя начинают дурить? Как это работает?

Андрей Гайко: На самом деле все достаточно просто. Для того чтобы совершать платежи по картам, необходимо знать реквизиты карты и секретные значения. В случае, если мы говорим об использовании карты в Интернете и покупке в Интернете, то злоумышленнику необходимо кроме номера карты знать срок действия карты и три циферки, которые находятся на обратной стороне карты. Это, можно сказать, пароль от вашей карты для совершения платежей в Интернете. В случае, если вы используете карты в магазине при физическом контакте с продавцом, так скажем, или в банкомате, то вы вводите PIN-код. PIN-код тоже является паролем для проведения операций по вашей банковской карте, но уже в реальном мире. Таким образом, все действия злоумышленника и все схемы, которые они разработают, придумывают, направлены на то, чтобы получить ваш код, ваш пароль.

Марина Калинина: А в итоге получить чужие деньги, то есть наши.

Андрей Гайко: Ну и получить ваши деньги, да. Потом их снять.

Юрий Коваленко: Но как же люди добровольно сообщают? Им же в банке сказали, они подписывали бумагу, в которой сказано: "Не сообщать третьим лицам". Люди, получается, верят кому-то? Как это вообще происходит? Как доверие-то?

Андрей Гайко: Все достаточно просто. Допустим, классическая уже схема мошенничества и выманивания карточных данных: когда вы размещаете объявление на каком-нибудь сайте, где говорите, что хотите что-то продать, вам звонит злоумышленник и говорит, что он готов перевести деньги, но вы должны сообщить ему реквизиты своей карты. Человек называет номер карты, злоумышленник говорит: "А давай мне еще, пожалуйста, срок действия карты". Человек, ничего не подозревая, называет срок действия. И в конце злоумышленник говорит: "Давай мне еще 3 циферки, которые на обратной стороне карты находятся".

Юрий Коваленко: Но ведь для получения денег они не требуются никогда.

Андрей Гайко: Вот эти значения требуются для того, чтобы злоумышленник смог перевести. То есть человек с помощью этих данных сможет перевести деньги, но злоумышленники выманивают у граждан, которые не особо осведомлены об этом, эти данные и крадут деньги.

Марина Калинина: Но когда ты что-то продаешь, еще ладно, но как это в соцсетях можно делать, да еще и вирусы запускать?

Андрей Гайко: Та же самая схема. То есть в соцсетях под каким-либо предлогом они пытаются выяснить вот эти вот номер карточки, срок действия и три циферки на обратной стороне. Под любым предлогом, там уже разные схемы могут быть: ты выиграл в лотерею (в какой-то группе что-то разыгрывали), назови мне свои реквизиты карты. Потом когда человек приложение устанавливает, ему тоже: "Хочешь купить что-нибудь с большой скидкой? – введи номер карты", человек вводит и все, злоумышленник получает эти реквизиты и дальше может себе уже переводить деньги клиента.

Марина Калинина: А вот этот вирус, который запускается, каким образом туда попадает и как вообще работает? Насколько это ужасно для гаджетов?

Андрей Гайко: Это не то чтобы вирус, можно сказать, это просто зловредное такое приложение. То есть под видом совершенно легального в магазинах приложений существуют разные приложения, и человек по своей, я не знаю, сущности видит в этом какую-то простую выгоду, которую приложение предлагает, и скачивает его себе сам, сам запускает.

Марина Калинина: А как узнать, что это не то приложение, о котором мы думаем?

Андрей Гайко: А вот тут надо быть бдительным. То есть человеку необходимо смотреть…

Марина Калинина: Но если человек не очень грамотен в этом? Он видит приложение и скачивает его. Как понять, что оно нелегальное и что впоследствии будут проблемы для него же самого? Есть какие-то секреты? Вы как специалист расскажите.

Андрей Гайко: Тут нужно иметь какой-то опыт. Как специалист… Во-первых, нужно смотреть, кто разработчик этого приложения. Если разработчик… Обычно в каждом магазине приложений есть подпись, кто разработал это приложение.

Марина Калинина: Так.

Андрей Гайко: Люди могут просто смотреть вот это самое банальное, кто разработчик. Если это фамилия и имя, то есть какой-то человек один, то тут уже возникают вопросы. Если это какая-то компания, у которой есть сайт, то ей можно с большей вероятностью довериться, с большим доверием к ней относиться. Но это зависит все же от каждого человека и от того, насколько он искушен в установлении правды.

Марина Калинина: У нас на связи сейчас человек, который пострадал – это житель Московской области Дмитрий Будаков. Здравствуйте, Дмитрий. Расскажите, пожалуйста, свою историю. Как и где это было?

Дмитрий Будаков: Да, здравствуйте.

Марина Калинина: Говорите, пожалуйста.

Дмитрий Будаков: У меня была ситуация. Я открыл вклад, но спустя какое-то время (месяца 3) меня обязали сделать карточку, потому что она была вместо электронной росписи. Я вставил карточку, набрал PIN-код и тем самым сделал электронную роспись. Это меня обязал "Сбербанк". И спустя 8 месяцев от открытия вклада мне тоже позвонили на телефон, представились сотрудниками "Сбербанка", спросили реквизиты моей карты. Но на карте у меня был нулевой баланс. И тем самым они подключили мобильный банк "Сбербанк Онлайн" к моей карточке, и оказывается, если подключить мобильный банк к карточке, то все мои вклады будут отображаться на телефоне. И они перевели мой вклад на карточку и с карточки перевели сумму денег себе.

Юрий Коваленко: То есть получается, что это были не легальные работники "Сбербанка", а какие-то мошенники, да?

Дмитрий Будаков: Да.

Марина Калинина: А вы проверяли, кто вам звонил действительно?

Дмитрий Будаков: Я, соответственно, написал заявление в полицию, но спустя уже 2 года полиция бездействует, дело приостановлено.

Юрий Коваленко: А о какой сумме идет речь?

Дмитрий Будаков: 456 тысяч рублей 338.

Юрий Коваленко: Чем мотивирует "Сбербанк" отказ в возврате денег? Ведь вы можете подтвердить все это и сообщениями, и биллингом телефона, что вам звонили, и прочим. Какой мотив отказа?

Дмитрий Будаков: Он мотивирует, что это все сделал я сам. От него приходил ответ, что звонок был сделан из волгоградского отделения "Сбербанка", с другого номера, который не принадлежит мне, и что я подтвердил свои паспортные данные и дал согласие на перевод этой суммы.

Юрий Коваленко: То есть все-таки звонили из отделения "Сбербанка" волгоградского?

Дмитрий Будаков: Нет, этот человек позвонил в "Сбербанк", чтобы подтвердить, чтобы такую сумму перевести. Там карточка, моментом с нее можно снимать, кажется, около 30 тысяч максимум, и он подтвердил как-то, не знаю. Злоумышленник совершал звонок в "Сбербанк", чтобы подтвердить, что он переводит эту сумму, якобы это я.

Марина Калинина: А звонок по телефону отследить никак нельзя? Что в полиции сказали по этому поводу?

Дмитрий Будаков: Что был совершен звонок, мне предоставил "Сбербанк". Я потом отнес это заявление в полицию, но полиция до сих пор говорит, что ничего не нашли, дело приостановлено…

Марина Калинина: Но они вам какие-то советы дают, что делать еще можно, или это безвыходная ситуация и все, вы деньги потеряли безвозвратно?

Дмитрий Будаков: Для меня это уже безвыходная ситуация, я 2 года с этим борюсь. Дело уходило в прокуратуру, они тоже говорили, что будут смотреть биллинг номеров, где был совершен звонок, но ничего. Они говорят, что даже не знают имя получателя этих денег. Но я вот в данный момент подключил себе такую функцию в "Сбербанк Онлайн", и я вижу, куда переведены деньги, но от фамилии там только первая буква, а имя и отчество я знаю. Я думаю, для полиции не составило бы труда вычислить этого человека.

Юрий Коваленко: Я думаю, и для "Сбербанка", если вы клиент "Сбербанка", тоже не составляет труда вычислить все-таки.

Дмитрий Будаков: Эту информацию мне "Сбербанк" не может предоставить – он говорит только сотрудникам полиции.

Марина Калинина: А почему они как-то между собой не могут взаимодействовать, сотрудники полиции и "Сбербанка"? Что они говорят? То есть вы как связующее звено, которое получает везде отказы, а если бы они как-то соединились, вместе, может быть, это было бы более результативно?

Дмитрий Будаков: Я думаю, да. Я даже вот эти заявления, чтобы долго процесс не проходил, ходил в "Сбербанке" брал, относил в полицию, но полиция приостановила дело.

Марина Калинина: Понятно. Но вы дальше как-то будете действовать? Может быть, юриста вам какого-то взять, чтобы он вам посоветовал, как эту ситуацию разрешить?

Дмитрий Будаков: Вот я и обратился к вам, потому что я не знаю, что дальше делать в этой ситуации.

Марина Калинина: Понятно. Вот такая вот грустная история. Спасибо вам большое, Дмитрий. Что вообще можно посоветовать человеку в такой ситуации? – мобильный банк, телефон позвонил один, потом подтвердил, что он звонил с телефона Дмитрия, и как-то ничего сделать нельзя? То есть концов не найти вообще, что ли, получается?

Андрей Гайко: При большом желании концы можно найти. Тут вопрос в другом интересный: откуда у злоумышленников реквизиты потерпевшего, для того чтобы совершить этот платеж? Когда вы какую-то операцию в банке делаете, у вас всегда просят подтвердить, что это действительно вы, то есть кодовое слово, если ты не знаешь кодового слова, то какие-то дополнительные параметры спрашивают. У злоумышленников эти данные на него были – значит, вопрос, откуда они их узнали.

Марина Калинина: Вопрос. Как вы думаете, откуда?

Андрей Гайко: Ну откуда? Мог кто-то из банка эти данные продать на сторону. То есть он может быть не один, может быть еще множество людей, и вот конкретно в том филиале, где он обслуживался. Кто же знает.

Юрий Коваленко: Мне показалось, что выглядело это все так. Человеку звонит некий, предположим, сотрудник и говорит: "Нам необходимо внутри нашего банка перевести ваш счет на карточный счет. У нас все данные есть, нам необходимо только ваши (как он сказал) паспортные данные для подтверждения того, что вы это вы, и номер карты и последние три цифры". Вот и все. То есть в принципе кодовое слово никакое не требуется. То есть если кодовое слово требуется, то это явно работник настоящего банка?

Андрей Гайко: Ну вот по той схеме, что нам сообщил гражданин, все же несколько иначе устроено. То есть когда вы делаете перевод между счетами, то здесь нужны не только данные на карточке, но и какие-то кодовые слова или паспортные данные, еще что-то. Возможно, когда-то ему еще звонили злоумышленники под предлогом, что это сотрудники банка, и какие-то данные у него спрашивали. Таким образом они набрали необходимый пул данных, с помощью которых они уже могли выдать себя за этого человека, потом уже позвонили в банк и провернули всю эту операцию. То есть тут нужно тонко анализировать, когда, кто ему звонил, какую информацию он ему говорил, и после этого уже можно составить цепь событий. То есть вот так быстро сказать, что это вина того-то, нельзя.

Марина Калинина: Ну то есть, грубо говоря, когда вам звонит некто и говорит: "Здравствуйте, я из "Сбербанка", мне нужны какие-то ваши данные", то лучше сказать: "Подождите минуточку, я перезвоню в "Сбербанк" (или в любой другой банк, я сейчас не буду акцентировать)"?

Андрей Гайко: Да, это самое простое. То есть когда вам звонит кто-то из банка и просит вас что-то подтвердить, это уже должно вызывать подозрения. В этом случае лучше сказать: "Нет, давайте я сам вам перезвоню", позвонить на горячую линию банка и выяснить, что это было, либо же дойти до отделения и выяснить, разрешить все свои вопросы на месте – тогда уже гарантированно вы будете знать, что это не злоумышленник действует, а сотрудники банка.

Марина Калинина: У нас есть звонок из Омска – Тамара нам дозвонилась. Здравствуйте, Тамара, вы в эфире. Расскажите свою историю.

Зритель: Здравствуйте. Вот я хочу такую историю рассказать. Я работающий пенсионер, руководитель. У меня есть карточка бесконтактная зарплатная, я в курсе, когда ее получала, объясняла, что она не всегда удобная, эта карточка, но я знаю, как ей пользоваться аккуратно, никаких проблем нет. Потом у меня пенсионная карточка. Пенсионная карточка была, закончился срок действия. Мне позвонили и сказали: "Ваша карточка закончилась, вам через какой-то период новую выдадут". Получаю новую карточку "Мир" – никто не говорит, что эта карточка бесконтактная, выдают эту карточку. Я случайно в магазине узнаю, что эта карточка (я даже не посмотрела на нее), что там округление идет, что она тоже бесконтактная.

Вы объясните, почему государство развивает такую систему для воров-мошенников? А если это пожилой человек, бабушка где-то оставила на почте эту карточку или где-то случайно забыла – это возраст, я понимаю, потому что я сама уже не юная – и этой карточкой любой прохиндей воспользуется и будет снимать! Ведь оповещения не у каждого стоит на SMS в телефоне. Мне один знакомый даже рассказывал, что забыл карточку на заправке, а утром проснулся – 26 SMS-сообщений на телефон, а там сняли всю зарплату. Так зачем пожилым людям вводить такие бесконтактные карточки? Они действительно беззащитны для воров, а еще больше делают. Вот ответьте мне на этот вопрос, я в шоке…

Марина Калинина: Спасибо большое, Тамара, за ваш звонок. Я не знаю, Андрей, есть вам что сказать по этому поводу, в этой области?

Андрей Гайко: В этой области да, можно сказать кое-что. Допустим, платежи по бесконтактным картам без ввода PIN-кода всегда ограничены у банка, который вам карту выдал. То есть вы можете совершить в определенных магазинах…

Марина Калинина: Там, по-моему, до 1 тысячи рублей.

Андрей Гайко: Да-да, небольшие, это первое. То есть злоумышленнику очень долго нужно прикладывать.

Марина Калинина: Но вот 26 сообщений пришло человеку.

Андрей Гайко: Ну кто-то был очень…

Юрий Коваленко: Но это он деньги снять не сможет, он что-то купить сможет на тысячу рублей.

Андрей Гайко: Да-да, только купить. Ну и что еще можно сказать – носите карточку ближе к сердцу, не следует их терять, как и деньги, впрочем.

Юрий Коваленко: А отказаться от бесконтактной карты можно? – заменить на обычную, стандартную с PIN-кодом?

Андрей Гайко: У вас бесконтактная карта тоже с PIN. Но вы можете прийти в банк и сказать, что вам не нужна такая карта, чтобы вам выдали простую, или сказать, чтобы вам установили лимит по платежам бесконтактным без ввода PIN ноль, чтобы каждый раз вы вводили PIN-код, банк это все может сделать.

Юрий Коваленко: У нас есть несколько SMS от телезрителей. Вот, допустим: "Добрый вечер. У меня через соцсети по компьютеру с помощью банковской карты мошенники украли 4.5 тысячи рублей. "Сбербанк" отказал в возврате, в полиции не нашли следов. Что делать?" Вот фактически пропажа денег с карты – это ведь кража, да? То есть состав преступления есть, осталось только доказать, что это была именно кража, а не транзакция по желанию клиента?

Андрей Гайко: Да.

Юрий Коваленко: Каким образом можно доказать, что человек не совершал эту операцию? Или здесь темный лес?

Андрей Гайко: Тут очень сложно, потому что у всех банков, которые выдают карты, в таком случае наступают диспуты, то есть разбирательства с держателем карты, действительно это был он или нет. То есть когда вы совершаете платеж, то вы вводите, как я уже говорил, эти три цифры (если про Интернет-платежи говорить). То есть эти три цифры, подразумевается, знаете вы, то есть чтобы их ввести, необходимо иметь карту. И банки на этом, собственно, и выигрывают – они говорят: "Ну ты же ввел", а у некоторых еще SMS приходит – "Ну ты же SMS ввел", то есть человек полностью подтвердил, что этот платеж совершал именно ты, почему банк должен ему возвращать? Может быть, человек обманывает банк, а не человека кто-то. То есть тут каждый хочет застраховаться.

Марина Калинина: Еще один звонок из Амурской области – Альбина, здравствуйте, вы в эфире.

Зритель: Здравствуйте.

Марина Калинина: Да, слушаем вас.

Зритель: У нас вот такая была ситуация. Значит, у сына исчезли деньги с карты (43 тысячи). Когда он обратился в "Сбербанк", там так объяснили: приходили SMS-сообщения в счет оплаты от оператора "МТС", деньги списывались на счет его телефона, а потом куда-то обналичивались и переводились. Когда узнали, в тот же день подали заявление в полицию, в полиции сказали, что таких заявлений уже много, мол, вы нас не беспокойте, потому что это длительное дело, короче, вообще не надоедайте. Через год, даже меньше подали в суд. 5 судов ходили (сын вахтой работает, у него нет возможности, он постоянно то дома, то нет), дело закрыли, суды прекратились, так деньги мы и не вернули. И "Сбербанк" точно так же отказывается вернуть деньги, потому что SMS-сообщения приходили из "МТС" и на основании этих SMS переходили на "МТС", вот так у нас пропали деньги. И тоже не знаю, как вернуть их, потому что у сына двое детей, ипотека, денег не хватает, а тут еще вот такие ситуации.

Марина Калинина: Понятно. Таких историй очень много. Вот нам пишут: "У меня такая же карта. Когда ее получала, работница "Сбербанка" потребовала PIN и кодовое слово написать на бумажке, которую она выбросила в мусор. Мне пришлось потребовать вернуть ее из мусора", – это человек проявил смекалку. Калининград: "Звонили по объявлению на "Avito", просили код, чтобы перечислить мне деньги за резину", – это то, о чем вы говорили. "В банке "ВТБ-24" при получении карты не предупредили, что нельзя говорить код сзади. Деньги украли", – это из Калининградской области такое сообщение. Спрашивают: "Вы говорите, что нельзя сообщать при покупке другие данные карты, кроме самого номера карты, а как же при покупке авиабилета, когда сразу спрашивают код на обратной стороне?"

Андрей Гайко: Нет, тут надо отличать перевод на карту и списание с карты. Для того чтобы вы, допустим, мне перевели на карту деньги, достаточно вам знать только мой номер карты и все. Но для того чтобы выполнить покупку, необходимо ввести номер карты, срок действия и три циферка. То есть эта операция относится к покупке.

Марина Калинина: Тут уже надо проверять сайт, я так понимаю?

Андрей Гайко: Да, то есть куда вы вбиваете эти реквизиты, это тоже один из…

Марина Калинина: Чего еще нужно опасаться при входе в Интернет с целью куда-нибудь чего-нибудь перевести?

Андрей Гайко: Вообще хорошей бы практикой было, если бы вы выделили отделенную карточку для Интернет-покупок и держали бы баланс постоянно в нуле и только при совершении каких-то операций вы бы туда переводили необходимую сумму. То есть, допустим, можно держать пластиковую карту либо виртуальную, тогда ваши риски, что у вас украдут деньги с этой карты, будут минимальными, и вы ничего не потеряете.

Марина Калинина: Еще на что нужно обращать внимание? Ну хорошо, у человека нет какой-то дополнительной карточки, куда он перечисляет какую-то небольшую сумму. Вот прямо по пунктам (у нас просто не так много времени осталось) – зашел в Интернет, открыл какой-то сайт или в соцсетях с кем-то переписываешься, говоришь, что тебе что-то нужно. Как общаться с этими лжепредставителями банка и как понять, что они все-таки нечисты на руку и хотят вас обмануть?

Андрей Гайко: Ну, во-первых, когда вы что-то хотите купить в Интернете и, допустим, там просто вы видите максимальную скидку в 90% и вас просят ввести реквизиты карты и купить, то не следует этого делать, потому что сыр бесплатный только в мышеловке, и это золотое правило как раз работает для такого рода…

Марина Калинина: У меня такое впечатление, что, знаете, как в анекдоте: "Мыши плакали, кололись, но продолжали жевать кактус". То есть каждый раз мы об этом говорим, а люди все равно попадаются.

Андрей Гайко: Да, человеческий фактор, все просто. Потом золотое правило – не сообщать никакие кодовые слова, если вы не уверены в людях, которые представляются сотрудниками банка; никому не говорите реквизиты карточки на обратной стороне; никому не называйте свой PIN-код от банковской карты. Ну и вот, как я сказал, держать карту с нулевым балансом для покупок в Интернете. Это основные моменты. Выполняя вот эти вот установки, уже можно себя обезопасить в достаточной степени.

Марина Калинина: И все-таки не покупаться на скидки в 90%.

Андрей Гайко: Естественно, не верить людям, которые предлагают вам почти даром что-то купить.

Марина Калинина: Понятно. Ну что же, спасибо. О мошенничестве с банковскими картами, с переводом денег со счета совсем не на тот счет, на который хотели бы вы, мы говорили сегодня с Андреем Гайко, руководителем направления аудита защищенности финансовых организаций компании "Digital Security". Спасибо.

Юрий Коваленко: Спасибо.

Андрей Гайко: Спасибо.