можно ли взломать банковскую карту сбербанка
Успешный вход: как воруют деньги через мобильный банк
Хакеры и мошенники осваивают новые способы атаковать пользователей мобильного банкинга. Одни используют уязвимости банковских приложений. Другие — старую добрую социальную инженерию. К звонкам «службы безопасности» и просьбам вернуть переведенные «по ошибке» средства добавляются всё новые способы обмана. Насколько безопасны приложения банков, как защитить свой аккаунт, и можно ли вернуть деньги в случае их кражи, выясняли «Известия».
Слабое шифрование
Хотя на первый взгляд банковские приложения достаточно надежно защищены, багов в них всё равно достаточно. К ним, например, эксперты относят отсутствие проверки на получение прав привилегированного пользователя (root-прав) на самом устройстве, а также слабое шифрование данных при их передаче между сервером и устройством.
Как поясняет Александр Зубриков, руководитель направления информационной безопасности ITGLOBAL.COM, отсюда и популярность MitM-атак (когда злоумышленник тайно ретранслирует и при необходимости изменяет связь между двумя сторонами, которые считают, что непосредственно общаются друг с другом).
Одна из уязвимостей, которую наиболее часто эксплуатируют хакеры, — хранение аутентификационных данных в коде приложения в открытом виде.
— Слабые места банковских приложений связаны с окружением на устройстве и интеграцией с технологией Deep-links. Данная технология позволяет определить, как открывать ссылку: в браузере или приложении. Эксплуатация Deep-links со стороны хакеров позволяет им производить не предусмотренные приложением запросы и проникать в его защищенный контур, — поясняет Тимурбулат Султангалиев, директор практики информационной безопасности компании AT Consulting (входит в Лигу цифровой экономики).
Распространенная уязвимость на стороне банка — отсутствие строгой валидации запросов от мобильного приложения к серверам банка. В итоге злоумышленники могут установить фальшивый сертификат на устройство клиента и подделать в запросе счет получателя перевода, таким образом получая доступ к денежным средствам клиентов.
При этом, если отсутствует строгий запрет на сторонние сертификаты или их валидация, банк сочтет запрос легитимным и отправит деньги клиента мошенникам, поясняет руководитель службы информационной безопасности Servicepipе Никита Прохоренко. По его словам, чаще всего к взломам приводит отсутствие политики полного недоверия, когда устройство должно «доказать», что имеет права на такого рода запросы, и то, что запрос действительно отправлен клиентским приложением.
Аутентификация пользователя
Вопросы у специалистов по-прежнему вызывает и система верификации пользователя при входе в приложения. К основным рискам мобильных банковских приложений они относят незащищенную операционную систему и отсутствие двухфакторной аутентификации (отдельного ПИН-кода для запуска).
Как поясняет Евгений Суханов, директор департамента информационной безопасности компании Oberon, в открытых операционных системах Android есть возможность вносить изменения в мобильное приложение либо перехватить его соединение с банком вредоносным ПО. Оно впоследствии сможет осуществлять платежи через зараженное приложение, включая отправку подтверждающих СМС.
Вообще, верификация платежей и самого пользователя, по мнению многих экспертов, — наиболее уязвимое место банковских приложений, даже при наличии двухфакторной идентификации через СМС. Как отмечает Павел Катков, владелец IT-legal компании «Катков и партнеры», СМС-сообщение, как правило, приходит на тот же телефон, на котором стоит взламываемое банковское приложение.
Более надежной специалисты считают двухфакторную аутентификацию с использованием разных устройств: когда мобильное приложение установлено на одно устройство (телефон, планшет), а подтверждение об операции приходит на другое устройство.
Пароли и сторонние приложения
Впрочем, взлом приложений для обмана клиентов кредитных организаций используется всё же не так часто — на первый план выходит по-прежнему социальная инженерия. Львиная доля мошенничеств реализуется при помощи получения кодов и паролей.
— Большинство взломов происходит, когда мошенники связываются с потенциальной жертвой под видом службы безопасности банка, под видом сотрудников банка и получают СМС-код, номер карты и защитный код, — указывает Роман Хорошев, основатель краудлендинговой платформы «Джетленд».
Нередко злоумышленники (используя, например, всё тот же звонок «из службы безопасности банка»), убеждают жертв установить на устройство специальное ПО, позволяющее «расшарить» происходящее на экране смартфона, например, TeamViewer или AnyDesk.
— После установки программы мошенники могут проводить операции от имени клиента, напрямую подключившись к его устройству. Отличить действия мошенника, выдающего себя за реального клиента, становится сложно, но по-прежнему возможно — например, используя поведенческий анализ, — отмечает Дмитрий Стуров, исполнительный директор, начальник управления информационной безопасности банка «Ренессанс Кредит».
Как рассказал Юрий Орлов, директор по информационной безопасности QBF, доля операций, так или иначе связанных с социальной инженерией, в 2020 году составила 64% от общего числа случаев мошенничества. Вырос и средний чек подобных «транзакций» — с 7,6 тыс. до 8,6 тыс. рублей. В большинстве случаев пользователи добровольно предоставляют свои данные третьим лицам.
Что делать
Чтобы минимизировать риск, эксперты советуют следовать базовым правилам, главное из которых — никогда не сообщать персональную и личную информацию звонящим из «колл-центров» и всегда перезванивать в сам банк. Не стоит хранить критичные данные (финансовую информацию, аутентификационные и персональные данные) непосредственно на мобильном устройстве. Не надо использовать слишком простые и повторяющиеся пароли.
Рискованным эксперты считают и повышение уровня привилегий в ОС устройства: установку джейлбрейка в iOS или root-прав для Android. И рекомендуют внимательно следить за тем, какому приложению открывается доступ к данным, и к каким именно.
Стоит помнить и том, что если деньги украдены по вине пользователя или по его оплошности (как и происходит чаще всего), то банк вряд ли вернет средства. Так, по закону банк обязан вернуть деньги, если клиент уведомил о подозрительной операции в течение суток с момента ее совершения. Но при этом он не должен нарушить правила безопасности — в частности, не сообщать никому данные карты и пароли.
— В арсенале банков сегодня большой комплекс средств и механизмов защиты от кибермошенников, но банки не могут отвечать за то, какое ПО загружает на свой телефон или другое устройство клиент, или как-то это контролировать, — указывает директор департамента информационной безопасности МКБ Вячеслав Касимов.
Украсть без пароля. Мошенники научились выводить деньги через «Сбербанк Онлайн» в обход защитного кода
Россияне жалуются на кражи денег с карт Сбербанка через онлайн-сервис. Клиенты не получают push-уведомлений о переводах средств или SMS с кодами для подтверждения оплаты покупок. А просто внезапно узнают, что счет опустошен мошенниками.
Закупиться за чужой счет
Москвичка Марина Зайцева стала жертвой мошенников, о чем рассказала в Facebook. Обнаружив, что злоумышленники взломали ее «Сбербанк Онлайн», женщина позвонила в кол-центр и попросила заблокировать счета. Оператор сказал, что сделал это. Но всего через несколько минут Зайцева получила SMS об оплате ее карточкой покупок на 51 990 рублей на сайте «Беру.ру». Хотя 3dsecure-код для подтверждение оплаты ей не приходил.
Повторный звонок в кол-центр принес неутешительные новости. Карта оказалась не заблокирована, деньги списали. На все претензии сотрудница посоветовала Наталье обратиться в полицию. В партнере Сбербанка маркетплейсе «Беру.ру» тоже не смогли помочь Марине. Сотрудница нашла заказы и начала их было отменять.
«Потом просит вдруг неожиданно меня подождать и через пять минут сообщает, что она ошиблась! И она не видит эти заказы, которые она видела только пять минут назад и, более того, начала их отменять! И она советует мне обратиться в полицию», — добавила Наталья.
Запретить уведомления
У 69-летнего пенсионера, бывшего программиста Сергея Сидорова (фамилия изменена) мошенники украли 30 тысяч с кредитной карты. Злоумышленники вошли в его «Сбербанк Онлайн» с нового номера телефона. На пенсионной карте «Мир» денег почти не было. Поэтому мошенники добавили свой номер в список для отправки уведомлений об операциях по кредитке и отключили сообщения на номер Сергея Викторовича. Это может сделать любой клиент банка или мошенник.
«Как можно оставлять возможность отключать основной телефон? Объяснение от Сбербанка: „А вдруг вы потеряли телефон“? Да если кто-то потерял, пусть побегает кругами, пока все не переоформит! Но разрешать всем такое делать нельзя!» — возмущается Сергей Викторович.
В даркнете свободно продаются номера карт. А подобрать срок действия и CVV-код для современных хакеров не представляет труда. Собеседник «360» не называл никому свои банковские данные, а карточкой пользовался только для оплаты парковки. Поэтому полагает, что именно через номер карты злоумышленники попали в его «Сбербанк Онлайн».
После этого мошенники похитили 30 тысяч рублей с карты. Затем попробовали вывести еще 58 тысяч, но помешал ежедневный лимит. Попытки продолжались несколько дней. К сожалению, как и многие его ровесники, Сергей Викторович редко читает SMS. И заметил неладное, когда деньги были украдены. Сейчас пенсионер написал заявление в службу безопасности банка и собирается обратиться в полицию.
«Перевод был из Сбербанка на счет в Сбербанке. И мне служба поддержки сказала, что они не могут отменить этот платеж. Сейчас счета заблокированы, я ничего не могу сделать. А там же большие проценты капают за пользование кредитными деньгами. А проценты, как я понимаю, они сейчас с удовольствием в свой карман считают», — заключил Сергей Викторович.
Обновление от 28 июля 2020 года: по словам сотрудника пресс-службы Сбербанка Анастасии Гулы, они не фиксируют массовых жалоб на кражи денег через приложение. Помимо фрод-мониторинга, для повышения безопасности организация использует одноразовые пароли для подтверждения рисковых операций. Например, при онлайн-покупках по банковским картам подтверждение с помощью пароля требуется при каждой операции.
«К сожалению, клиенты нередко пренебрегают требованиями кибербезопасности и разглашают мошенникам реквизиты карт и пароли. Это дает возможность злоумышленникам не только совершать операции от имени клиентов, но и подключать новые услуги, активировать бесконтактные платежи и регистрироваться в мобильном приложении „Сбербанк Онлайн“», — добавила Гула.
Возможность для мошенников
Если банк дает возможность перевести отправку уведомлений и 3dsecure-кодов на другие номера, то мошенники вполне могут этим пользоваться, согласился руководитель Агентства кибербезопасности, член экспертного совета комитета Госдумы по информационной политике Евгений Лившиц.
«Что касается подбора срока действия и покупки номеров карт в даркнете, то там продаются данные карт уже со сроком действия. Никаких проблем с этим нет. К сожалению, этих утечек много. Зачастую они связаны с сотрудниками банков. Они принимают в этом непосредственное участие», — утверждает эксперт.
В ситуации с Мариной Зайцевой Лившиц предположил, что хищение произошло из-за нерасторопности сотрудницы Сбербанка. Если клиент обратился с просьбой заблокировать карту из-за угрозы кражи средств, это нужно делать молниеносно. Хотя многие кредитные организации самостоятельно блокируют счета при попытках подозрительных транзакций.
«Такие случаи происходят ежедневно. Объективной статистики нет, а та, что есть, точно кратно хуже. Сами банки эту информацию не сообщают, для них это большие репутационные потери, для стоимости акций тоже. В правоохранительные органы обращается маленький процент людей, потому что понимают, что вероятность успеха близка к нулю», — заключил собеседник.
Как защитить реквизиты карты
Какие данные нельзя сообщать и в каких случаях включать параноика
Реквизиты банковской карты — это секретная информация. Если она попадет в руки не тех людей, вы можете потерять деньги.
В России 68% мошеннических операций совершается с помощью реквизитов. Это самый распространенный способ украсть деньги с карты. Мошеннику нужны только цифры, которые написаны прямо на карте, — и он уже сможет вас ограбить.
Что за реквизиты?
Реквизиты — это всё, что написано на карте: номер из 16 цифр (иногда 18), имя и фамилия владельца, срок действия и CVC-код — трехзначный код безопасности на обратной стороне. Для удобства мы отнесем к реквизитам и смс-код, который присылает вам банк, когда вы платите в интернете или переводите деньги.
По правилам платежных систем реквизиты нельзя сообщать посторонним. Если банк узнает, что ваши реквизиты попали в чужие руки, то сразу заблокирует карту. Однако кое-что сообщать все-таки можно. Если кратко, дела обстоят так:
Что можно сделать, зная реквизиты карты?
По реквизитам карты можно заплатить в интернете или оформить перевод с карты на карту. Человек, который знает ваши реквизиты, имеет полный доступ к деньгам.
Вернуть потерянное будет сложно. В договорах на оказание банковских услуг прописано, что ответственность за сохранность данных карты несет держатель карты. Если он сам добровольно эти реквизиты сообщил посторонним, банк за такие действия ответственности не несет. Придется обращаться в полицию и если она найдет мошенника, с него и взыскивать ущерб.
Какие реквизиты нужны вору, чтобы украсть мои деньги?
Обычно номер карты, срок действия, CVC-код и код из смс. Но есть магазины, которые проводят операции с меньшим числом реквизитов.
Например, чтобы заплатить на «Амазоне», нужен только номер, имя и срок действия. Ни кода безопасности, ни одноразового пароля из смс не нужно:
Виды мошенничества с картами
Фальшивые банкоматы. Не каждый банкомат, который вы видите, обязательно принадлежит банку. Мошенники могут скупать на черном рынке старые банкоматы, перенастраивать их и получать доступ к данным карты. Снять наличные в таком банкомате не получится — он выдаст сообщение, что купюр нет или что он неисправен. Зато такой банкомат передаст мошенникам все реквизиты карты.
Чтобы обезопасить себя, проверьте банкомат на карте с банкоматами в приложении банка.
Скрытые камеры. Мошенники крепят их на банкомат или прячут где-то возле. Миниатюрная камера направлена на клавиатуру банкомата и записывает, как клиенты вводят пин. Еще камера может записать все реквизиты, указанные на карте: имя владельца, срок действия и даже код безопасности.
Скимминг. Скиммер — это считыватель магнитной ленты на карте. Мошенники прикрепляют его к картоприемнику банкомата.
Банки знают об уловках мошенников, и поэтому начали выпускать банкоматы без картоприемников. На современных банкоматах карту достаточно приложить к специальной площадке со значком бесконтактной оплаты. Если есть альтернатива, рекомендую пользоваться именно такими банкоматами.
Траппинг, или «ливанская петля». Мошенник вставляет в картридер кусок фотопленки или пластика, и карта, попадая в прорезь, не возвращается владельцу, а попадает в конверт, который мошенник вытащит и получит возможность пользоваться картой.
По возможности пользуйтесь банкоматами без прорезей. В них карта в принципе не может быть удержана из-за неисправности устройства и к мошенникам в руки не попадет ни при каких обстоятельствах.
Накладная клавиатура. Мошенники устанавливают на банкомат поддельную клавиатуру поверх оригинальной. Поддельная запоминает все, что вы набираете, и передает нажатия на настоящие клавиши.
Фишинг. Это рассылка писем и уведомлений от имени брендов, банков, платежных систем, почтовых сервисов, социальных сетей. В письме содержится ссылка, якобы ведущая на сайт сервиса, но на самом деле она ведет на сайт мошенников, внешне не отличающийся от оригинала.
Как не попасться на удочку хакеров
Пользователя убеждают ввести данные карты якобы для оплаты товаров или услуг, но на самом деле покупки не происходит, а данные попадают в руки мошенников.
Совет здесь только один: не переходить по ссылкам, если не уверены в их надежности. Убедитесь, что отправитель — именно тот, за кого себя выдает.
Смс-мошенничество. Мошенники через смс убеждают держателя карты перевести деньги. Например, предлагают поучаствовать в розыгрыше приза, получить компенсацию или просто позвонить на платный номер.
Вишинг — телефонное мошенничество. Самый распространенный сейчас вид мошенничества.
Мошенники представляются работниками службы безопасности, сотрудниками правоохранительных органов, Центробанка. Бывает, что они представляются покупателями на сайтах объявлений.
Цель у них одна — получить реквизиты карты: ее номер, код безопасности, а если повезет, то и код из смс.
Можно ли сообщать номер банковской карты и имя владельца
Если у кого-то есть номер карты, он не сможет украсть ваши деньги. Но он может использовать это знание для фишинга: прикинуться банком и выудить у вас другую информацию.
А вот если у мошенника есть и номер карты, и ваше имя латиницей, он сможет подобрать срок действия методом перебора и, например, привязать карту к «Амазону».
Номер карты и имя владельца следует беречь точно так же, как вы бережете данные паспорта.
Мошеннику нужен только номер карты, срок действия и ваше имя, чтобы украсть деньги.
Какие данные карты можно сообщать для перевода денег, а какие нельзя
| Можно сообщать | Нельзя сообщать |
|---|---|
| Номер из 16 цифр | Имя и фамилия |
| Cрок действия | |
| Код безопасности на обратной стороне | |
| Код из смс |
Вопросы о безопасности банковских карт из жизни
Я забыл карту в кафе, вернулся за ней через 15 минут. Надо перевыпускать? Лучше перевыпустить. Если вам не повезет, официант перепишет реквизиты в блокнот или просто сфотографирует карту. Он не будет тратить все деньги, а просто через месяц-другой по-тихому купит что-нибудь в интернете.
Если у вас не подключен смс-банк, вы можете даже не заметить пропажи денег с карты. А если клиент не забил тревогу, то и банк ничего не заметит. Вы никогда не узнаете, что деньги украли.
Официант унес карту, чтобы провести оплату на кассе. Это плохо? Да. Целую минуту он может делать с вашей картой что угодно. Если вам совсем не повезет, официант окажется еще и скиммером: проведет карту через специальный считыватель, потом продаст данные в Таиланд через анонимный форум. Там ребята обналичивают сразу и много.
Чтобы такого не случилось, попросите официанта принести терминал. Сейчас во всех приличных заведениях терминал приносят к столу. Но если такой возможности нет, сходите на кассу вместе с официантом.
Как можно украсть данные вашей банковской карты
Мошенничество с банковскими картами — популярный вид бизнеса в даркнете. В нём, как догадываетесь, ровно ноль легального. Увы, это не мешает ему развиваться вовсю.
Рассказываем, как и где в даркнете получают данные банковских карт. И что с ними происходит дальше.
Примечание: вся информация в этой статье даётся в ознакомительных целях. Помните, что любые действия с чужими картами – уголовное преступление.
Главный вопрос. Как всё-таки получают данные чужой карты?
Методов очень много. Многие из них можно распознать с опытом, а некоторые – только вручную, пошарившись руками по банкомату или заметив неладное с ним заранее.
1. Ставят скиммеры на банкоматы
На банковской карте есть магнитная полоса, с которой банкомат, терминал и другие устройства считывают информацию. Это вы точно знаете.
Но если на банкомат установить собственное считывающее устройство, данные до банка не дойдут.
Такие считыватели называются скимерами. Обычно это щель для считывания данных с магнитной полосы и фальшивая клавиатура для кражи пин-кода.
Вместо клавиатуры могут использовать камеру: она обходится недорого и подходит для любого банкомата. А клавиатуру приходится подбирать под конкретную модель банкомата.
Чип на карте не защищает от скиммера. Выше пример, как выглядит скиммер для карт с чипом.
2. Крадут через кассы и терминалы
POS-терминалы – это штуки, к которым вы прикладываете айфон или прокатываете карточку, когда оплачиваете покупку. Если установить на них вредоносное ПО, то данные с банковской карты можно попросту украсть.
Этим способом нередко злоупотребляют в кафе, на заправках, на кассах супермаркетов. А главное, жертва скорее подумает на вирус, заразивший его компьютер при интернет-оплате, чем на поход в магазин.
Недавно троих граждан Украины арестовали за кражу данных 15 млн (МИЛЛИОНОВ. ) карт. Они заражали компьютеры с кассовыми аппаратами, затем рассылали письма от Комиссии по ценным бумагам и биржам США и от различных отелей.
Самый известный российский кардер Роман Селезнев также крал данные карт пачками в США. Порой их хранили просто в текстовых файлах на кассовых компьютерах.
Селезневу дали 27 лет тюрьмы. Не будьте как Роман.
Вариант со скимером также возможен, но скорее теоретически. Слишком заметен считыватель на небольшом терминале, который всегда на глазах.
Но в США на заправках была целая эпидемия со скиммерами, которые внедряли в терминалы.
3. Запоминают данные карт
В барах, ресторанах и кафе официанты нередко забирают вашу карту с собой и уносят к кассовому аппарату. Несложно запомнить номер, дату окончания срока и CVC/CVV-коды по дороге.
А ещё проще сфотографировать лицевую и оборотную стороны карты, пока клиент не видит.
4. Используют фишинговые приложения и сайты
Чаще всего копируют сайты и приложения банков, реже популярных интернет-магазинов. Самое дорогое в этой схеме — купить или разработать фишинговое приложение или организовать рассылку по нужной базе данных.
Мошенникам нужно распространить ссылку на фишинговый сайт или приложение, заставить пользователя вбить данные для доступа в фальшивую форму.
Кроме того, фишинговые приложения часто перехватывают SMS для авторизации. Всего этого достаточно, чтобы снять деньги с вашего банковского счета подчистую.
Фишинговых сайтов сотни — только служба безопасности «Сбербанка» выявила и добилась блокировки 600 доменов.
На фишинговые письма ведутся 48% пользователей. Практически каждый второй. Возможно, и вы однажды попались, просто не заметили.
5. Взламывают сайты интернет-магазинов, авиаперевозчиков и др.
Заказывая товары или билеты в интернете, вы можете лишиться денег не только на фейковом, но и на реальном сайте. Такие случаи относительно редки и часто придаются публичной огласке.
К примеру, западные ритейлер Sears и авиакомпания Delta признали, что их подрядчика по чат-поддержке взломали, в результате пострадали клиенты. Утекло около 100 тыс. записей о картах от Sears и сопоставимое количество данных от Delta.
Ещё один пример — премиальные американские ритейлеры Saks Fifth Avenue и Lord&Taylor. Хакеры взломали их платежную систему и собрали данные о 5 млн банковских карт. 125 тыс. записей о картах выставили на продажу.
6. Перехватывают данные в открытых Wi-Fi-сетях
Халявный Wi-Fi небезопасен, iPhones.ru уже писал об этом. Да и домашние роутеры нередко взламывают люди «с улицы».
Инструментов для этого хватает, даже в даркнет лезть не нужно. В итоге уведут не только аккаунт в Facebook, но и деньги с банковского счета.
6. Вам звонят и представляются сотрудником банка
Номер вашей банковской карты находят на сайте объявлений, посте для сбора пожертвований, да даже в чате WhatsApp, где все скидываются на цветы к 1 сентября.
Затем вам внезапно звонят якобы представители банка и под предлогом повышения безопасности / разблокировки карты / подтверждения платежа заставляют выдать всю информацию о карте или аккаунте онлайн-банкинга.
Самый главный момент: мошенники под видом сотрудника банка просят сообщить код подтверждения операции, который придёт в SMS.
На вас это, может, и не подействует. Но менее опытных юзеров вроде вашей бабушки обычно облапошивают именно так.
Отменить операцию и доказать, что владелец аккаунта не виноват, в таких случаях крайне сложно. Ведь получается, вы номинально подтвердили операцию кодом, ничего несанкционированного не случилось.
7. Сотрудник банка хочет помочь в личке соцсети
Жертв находят в пабликах банков ВКонтакте и на форумах.
Якобы представитель финучреждения связывается с пользователем, который задал вопрос в официальной группе или на странице банка. Обещает решение проблемы. Или золотые горы, кредит по гуманным 5% в год и тому подобное.
Для продолжения просит данные карты, счета, аккаунта онлайн-банкинга, контрольные вопросы или что-нибудь ещё, что позволит «подтвердить личность». Спорим, знаете, что будет дальше?
8. Собирают инфу через безобидные приложения
И такое бывает. Недавний скандал вокруг Burger King тому подтверждение.
Итак, данные банковской карты украли. Что происходит дальше?
Чаще всего ими пользуются кардеры. Они напрямую сливают деньги с вашего счета на свой (другую ворованную карту, карту случайного дропа и т. п.).
Либо, чтобы не попасться, заказывают с вашей карты товары или подарочные сертификаты в интернет-магазинах. Пока жертва оклемается, успевают обнулить карту и залезть в максимальный овердрафт.
Окей, допустим, у меня украли данные. Что делать?
При первом подозрении НЕМЕДЛЕННО блокируйте карту или вообще весь счёт. Бросайте всё, срочно.
Почти все онлайн-банки и приложения российских банков позволяют сделать это мгновенно без лишних подтверждений. Объяснять ситуацию будете позже. Оставлю несколько примеров для пары крупных банков РФ.
Сбербанк, «Сбербанк Онлайн»:
1. На главной странице в списке карт или на странице с информацией о карте нажмите «Операции» напротив нужной карты.
2. Выберите «Заблокировать».
3. Заполните форму создания заявки и нажмите «Заблокировать».
4. Нажмите «Подтвердить по SMS», введите одноразовый пароль, который вам отправит банк.
Если нет возможности зайти в приложение или сайт Сбербанка:
Альфа-Банк
В онлайн-банке «Альфа Клик» заблокировать карту можно со страницы «Карты».
1. Авторизуйтесь в сервисе, наведите курсор на поле с активной картой.
2. Нажмите «Заблокировать», подтвердите.
Либо выберите в главном меню «Мои карты» —> «Блокировать карту». Аналогично это работает в мобильном приложении.
Если приложения или браузера под рукой нет, можно отправить SMS-сообщение «block» на номер 2265. В ответ вам придет список карт с обозначением последних четырех цифр каждой из них.
Отправьте второе сообщение: «block *xxxx», где хххх – четыре последние цифры номера блокируемой карты.
Ещё помогает звонок по телефону на номер 0 800 50-20-50. Наконец, карты блокируют в офисах «Альфа-банка». Равно как и любого другого банка, который выпустил вашу карту.
Помните: счет идет на секунды! Чем быстрее вы заблокируете карту, тем меньше шансов у злоумышленников. Любую скомпрометированную карту стоит перевыпустить.
Не забудьте также поменять все логины и пароли, которые могли попасть в руки мошенников.
Полезные советы. Как не дать украсть данные своей карты?
Будьте внимательны, когда переходите по ссылкам. Проверяйте адрес в адресной строке и подлинность формы в приложении.
По статистике Google, 12,4 млн пользователей в 2017 году стали жертвами фишинга.
Да, 78% пользователей знают, что опасно переходить по подозрительным ссылкам. Но 56% всё равно переходят по ссылкам из e-mail, 40% – по ссылкам в Facebook. Угроза ближе, чем вам кажется.
Не сообщайте никому больше, чем номер карты. Для перевода денег этого достаточно.
Осматривайте банкомат перед тем, как вставить в него карту. Если одни детали выглядят новее других или не подходят по цвету, не снимайте в нем деньги.
Меньше шансов нарваться на скиммер в банкомате в отделении банка, в холле приличной гостиницы или другом зале с надёжной охраной.
Не верьте в распродажи авиабилетов за копейки, скидки 80% на фейковых сайтах, кредиты под 1% в месяц от микрофинансовых организаций. Вроде очевидно, но сколько обманутых!
Не пытайтесь снять блокировку карты по ссылке из e-mail или сообщения в мессенджере. Если возникла проблема, звоните в банк по номеру, который указан на вашей карте.
Используйте двухфакторную авторизацию везде, где это возможно.
Не записывайте PIN-коды банковских карт на бумаге. И тем более на самой карте или в кошельке. Да, такое сплошь и рядом.
Сама так сделала: сотрите или закрасьте CVV2-код на обороте карты. Только запомните его перед этим. Если забудете, можно будет восстановить в банке или сделать запрос в некоторых банковских приложениях.
Заведите отдельную карту для интернет-платежей и мелких трат. Переводите на неё деньги непосредственно на расходы.
Не давайте никому карту в руки. А лучше перейдите на карту с чипом для бесконтактной оплаты или Apple Pay, Android Pay, Samsung Pay.
Не пользуйтесь интернет-банкингом через открытый Wi-Fi. Да и вообще через Wi-Fi. Наконец, если вам звонят из банка, выслушайте, запишите разговор и перезвоните на официальный номер банка, который указан у вас на карте.
Что ещё можно сделать, чтобы защитить себя
Пожалуйтесь на фишинговый сайт в Яндекс».
Посмотрите на 2IP.ru whois домена, свяжитесь с хостером, сообщите о фишинге.
И ещё один важный пример напоследок
В январе 2018 года взломали сайт производителя смартфонов OnePlus и несколько месяцев воровали данные банковских карт покупателей.
Производитель официально признал, что «часть пользователей пострадала».
А в бете прошивки OxygenOS Open Beta 2 нашли интересную функцию приложения буфера обмена: в файле badword.txt оказалось много ключевых слов вроде address, email, home, birthday.
Другие файлы позволили установить, что OnePlus отправляет IMEI и другую информацию на сервера teddymobile — компанию, которая идентифицирует пользователей по SMS-сообщениям.
Так что иногда достаточно просто купить не тот смартфон, чтобы слить данные собственной банковской карты.