"Ъ" опросил крупнейшие банки на предмет самых популярных способов хищения денег с банковских карт. Среди них — скимминг (компрометация карт в банкоматах через накладки на картридер вместе с миниатюрными видеокамерами) и связанное с ним проведение операций по поддельным картам и операций с пин-кодом в банкоматах; фишинг — когда клиент указывает данные своей карты на поддельном сайте; проведение операций по утерянным или украденным картам. Одна из старых схем — лже-лотереи. Например, на телефон держателя карты поступает SMS-сообщение о выигрыше ноутбука, клиента просят обратиться по номеру телефона для получения приза. "Когда держатель карты звонит по номеру, указанному в SMS, ему предлагают перевести стоимость ноутбука на его карту, но для этого требуется номер карты и верификационный код (CVV/CVS). Жертва сообщает эти данные и прощается с деньгами",— поясняют в Росбанке.
Некоторые старые схемы трансформируются и заново обретают популярность. Например, переводы средств клиентами по инструкции мошенников, говорит член правления ВТБ 24 Валерий Чулков. Если раньше мошенники узнавали только данные о карте клиента от него самого, представляясь сотрудниками банка, то теперь в связи с повышением уровня безопасности платежей (через чипы и 3D Secure) вынуждают клиента самостоятельно переводить себе деньги. "Клиент получает SMS-сообщение с информацией о блокировке карты и просьбой перезвонить в банк,— рассказывают в Юникредит-банке.— В ходе телефонного разговора мошенник убалтывает держателя карты, и тот по своей воле идет в банкомат и совершает переводы на чужие телефонные номера или карты, подтверждая каждую трансакцию пин-кодом. К сожалению, в данной ситуации банк бессилен помочь вернуть денежные средства". Другая подобная схема — поддельные интернет-сайты, предлагающие авиабилеты с большими скидками. "Клиент находит сайт с дешевыми билетами, и при покупке сайт перебрасывает его на сервис перевода с карты на карту, где клиент перечисляет средства на карту мошенника (p2p-перевод). Билета, естественно, не получает, а операция чаще всего оспариванию через МПС не подлежит",— рассказывают в "Картстандарте". Если банк не взял расходы на себя, клиенту остается только обращаться в правоохранительные органы.
Возмещению в рамках МПС не подлежат и операции, при которых клиент сам разгласил защитный 3D Secure-код (аналог пин-кода для онлайн-трансакций). Например, через установку вредоносного программного обеспечения. "Клиент получает на электронную почту письмо с вложением, из любопытства открывает файл. В это время его компьютер заражается вирусом, и при ближайшей попытке входа в интернет-банк вирус подставляет клиенту фейковый сайт, похожий на сайт банка,— говорят в Тинькофф-банке.— Клиент вводит свои логин, пароль и номер телефона. В этот момент мошенник заходит в настоящий ИБ под его учетными данными. Клиенту поступает звонок от мошенников--"сотрудников банка", которые говорят о техническом сбое и просят вводить приходящие одноразовые пароли в качестве отмен неких ошибочных операций. Клиент все вводит, не обращая внимания на текст SMS, а денежные средства уходят на счета мошенников".