Мошенники стали чаще красть деньги с чипированных карт. Как стало известно «Коммерсантъ FM», у клиентки Райффайзенбанка, которая находилась в Москве, списали средства в одном из магазинов Раменского района. При этом карту девушка не теряла, и на момент сомнительной транзакции она была при ней. Какую позицию занимают банки в подобных ситуациях? И как обезопасить себя от действий злоумышленников? Разбиралась Аэлита Курмукова.
Фото: Олег Харсеев, Коммерсантъ
Мошенники украли с карты Ольги Солодовниковой незначительную сумму — около 3,5 тыс. руб. На это можно было бы и не обратить внимание. Именно на невнимательность владельцев кредиток, кстати, и рассчитывают «карточные» злоумышленники, которые списывают деньги понемногу и частями.
В этот раз средства украли с чипированной карты Райффайзенбанка, при этом клиентка была в Москве, а транзакция прошла в одном из магазинов поселка Быково.
«Я находилась на улице Покровка, когда мне пришло SMS о снятии денег в совершенно другом месте. Дальше в ходе разбирательств была получена такая информация: "Операция на сумму 3417 руб. была совершена в торговой точке с фактическим наименованием ООО "Малыш" — магазине офисных, школьных принадлежностей и детских игрушек. Указанная операция была проведена с прикладыванием карты к считывающей поверхности терминала и введением корректного PIN-кода с первого раза», — рассказала Ольга Солодовникова.
По результатам расследования, которое длилось два месяца, Райффайзенбанк не только не признал ту транзакцию сомнительной, но и в официальном ответе, который есть в распоряжении «Коммерсантъ FM», отметил: «Обращаем внимание, что ваша карта имеет чип, защищенный носитель информации о данных карты и клиента, который невозможно подделать или скомпрометировать».
При этом эксперты по кибербезопасности открыто говорят, что хакеры научились списывать деньги с чипированных карт еще в 2011 году, а мошенники — на пару лет позже. Банки же по-прежнему об этом предпочитают умалчивать, подчеркивает руководитель отдела безопасности банковских систем Positive Technologies Тимур Юнусов.
«Такие операции можно провести без знания PIN-кода, и это факт. Есть атаки, которые называются "аномалия авторизации". Они позволяют провести операцию с помощью чипа. Можно склонировать саму карту и проводить ею операции несколько раз, а можно сканировать только несколько транзакций.
В подобных случаях можно и нужно от банка затребовать дополнительную информацию по платежу.
Это позволит вам понять, была ли операция проведена с помощью, например, только подписи, или действительно карту приложили к считывающему устройству, или это было что-то еще», — подчеркнул эксперт.
Банки неохотно возвращает деньги клиентам по сомнительным транзакциям, несмотря на то, что уже четыре года закон «О национальной платежной системе» обязывает кредитные организации компенсировать похищенные с карты средства. На это обращал внимание и финансовый омбудсмен Павел Медведев. Но для этого нужны особые условия. Чаще всего банки ссылаются на несвоевременное уведомление о несанкционированном использовании карты. Но в случае с Ольгой Солодовниковой она позвонила в Райффайзенбанк сразу, однако деньги ей так и не вернули.
На запрос «Коммерсантъ FM», почему было принято такое решение, в пресс-службе Райффайзенбанка пояснили: «Полагаем, клиента ввело в заблуждение название торговой точки в выписке. Оно содержит указание на место проведение операции — поселок Быково, однако ряд признаков говорит о том, что торговая точка находится в пределах Москвы. В банк-эквайер магазина направлен запрос на уточнение адреса терминала, но в настоящее время ответ на запрос не получен».
По словам Ольги, банк извинился и предложил оформить страховой полис на карту. Такую услугу предлагают многие кредитные организации, но в случае сомнительной операции клиенту снова придется доказывать, что деньги снял не он сам, говорит ведущий эксперт по банковским картам портала Banki.ru Екатерина Марцукова.
«Как банки могут убедиться, что сомнительную операцию совершил не владелец карты? Это можно сделать только в том случае, если приблизительно в это же время он проводил какие-то транзакции, оплачивал покупки, а лучше снимал наличные через банкомат в том городе, где находится. Если по стечению обстоятельств в этот день человек не совершал операций в определенном месте, то, скорее всего, доказать, что сомнительная транзакция проведена не им и он не передавал карту третьим лицам, будет очень сложно. В таком случае решаются такие вопросы только через суд», — пояснила эксперт.
Однако в суд мало кто пойдет, чтобы вернуть 3-4 тыс. руб. Поэтому когда речь идет о незначительной сумме, банки чаще всего отвечают отказом о возмещении. А если подсчитать цифры по всем сомнительным операциям, то получится внушительная сумма. Так, в прошлом году мошенники украли почти 1 млрд руб. с пластиковых карт россиян. Сколько из них кредитные организации компенсировали, неизвестно. Однако уже с 1 июля банки будут отчитываться перед ЦБ об ущербе от кибератак. И в своей отчетности они обязаны указывать информацию не только о требованиях клиента компенсировать украденное, но и том, были ли они удовлетворены.