можно ли взломать карту по номеру карты
Можно ли по номеру карты снять деньги и как от этого уберечься?
Закончил в 2001 году СПбГЭУ по направлению «Бухучет и анализ». Работал с 2009 по 2016 год в банке Санкт-Петербург. В данный момент занимается юридической практикой.
Мы рассмотрим, как злоумышленники умудряются снять деньги, зная лишь номер карточки, и расскажем, как противостоять такой мошеннической схеме.
Можно ли снять деньги с карты, зная лишь ее номер?
Чем больше среди населения распространяются банковские карты и счета, тем активнее в этой области развивается всевозможное мошенничество. Что только не придумывают преступники, чтобы украсть денежные средства: они звонят «из банка» и представляются сотрудниками (читайте об этом, например, здесь), чтобы вытащить из человека ценные сведения о карте; проводят фиктивные розыгрыши, в рамках которых получить «выигрыш» можно только после предоставления данных о карте. Продолжать список мошеннических схем можно сколь угодно долго.
Но одно непонятно добропорядочному человеку: почему и зачем мошенникам нужен номер банковской карты? Разве настойчивые попытки выяснить номер не бесполезны, ведь, кажется, по одному лишь номеру нельзя провести успешную кражу денег со счета?
К сожалению, снятие денег по одному лишь номеру возможно. Причиной тому послужило распространение магазинов в сети интернет: преступники в режиме онлайн покупают некий товар или услугу, представляясь владельцем карты. Деньги списываются с карточки жертвы, пока та ни о чем не подозревает.
Да, формально это сложно назвать именно снятием денег, ведь преступники лишь покупают что-то в интернете. Но, фактически, это именно кража, т.к. полученное в результате покупки имущество затем перепродается на черном рынке по низкому ценнику. Так злоумышленник получает «черную наличку», и все это — за счет жертвы.
У некоторых карт предусмотрена система безопасности, благодаря которой подобный сценарий становится невозможным. Например, к числу таких карт относится Maestro и карты Momentum. При всем желании, через них нельзя совершить покупку в интернете, не предоставив полные сведения о карте — а полные данные, благо, преступникам получить гораздо сложнее, чем обычный номер карточки.
Кроме того, интернет-магазины тоже стараются учитывать «мошеннический спрос» на подобное обналичивание денег. В результате система требует несколько раз проверить настоящего в актуальный момент владельца карточки: сначала сам сайт требует ввести CVV-код (что это — читайте здесь) и срок действия пластика, а затем банковская система, обслуживающая карту — например, Сбербанк Онлайн — дополнительно высылает смс на привязанный телефон с просьбой подтвердить транзакцию.
Что еще более важно, так это особенная опасность для клиентов Сбербанка. В отличие от ВТБ, Газпромбанка и любой другой крупной банковской организации в России, Сбербанк дает возможность при совершении перевода узнать имя и первую букву фамилии получателя перевода. Можно сказать, что снятие денег только по номеру карточки — это головная боль клиентов Сбербанка, но в меньшей — клиентов остальных банков.
Как это происходит?
Итак, мы уже разобрались, могут ли снять деньги по номеру карты. Ответ неприятный, но правдивый. Теперь исследуем вопрос, как мошенники снимают деньги с карты, зная только номер карты — так мы поймем, в каких именно ситуациях нужно быть вдвойне внимательным.
Все начинается с, казалось бы, невинного объявления на, например, доске «Авито» или сообщения в социальной сети. Часто человек, становящийся жертвой мошенников, сначала размещает небольшую информацию о себе — например, объявление о продаже машины, бытовой техники, ноутбука и т.п.
Мошенник списывается с продавцом, представляясь самым обычным покупателем. Он всячески имитирует интерес к объекту торговли, выражает свое желание купить его прямо сейчас. Таким образом он выпытывает номер карты продавца, чтобы «поскорее перевести деньги за товар». Дело сделано — продавец, предвкушая получение денег, дает номер карточки.
Далее злоумышленник заходит в Сбербанк Онлайн и вбивает номер для совершения перевода. Достаточно отправить всего лишь 1 рубль или даже не отправлять ничего, если операция производится через мобильное приложение — и преступнику уже станет известно имя и первая буква фамилии получателя.
Остальное — дело техники: мошенник под разными предлогами старается выяснить, как звучит полностью фамилия получателя. Иной раз он даже не спрашивает саму жертву, а находит информацию самостоятельно через поисковики, социальные сети и т.д. По этой причине никогда нельзя привязывать к объявлению свою страницу «ВКонтакте», т.к. вы фактически сами передадите ценную для преступника информацию.
Имея на руках номер пластика, имя и фамилию, преступник уже может обналичить деньги через интернет-магазин. Для этого ему понадобится такой сайт-магазин, где не требуют ввода CVC-кода для списания денежных средств. Вводится номер пластика и те самые главные паспортные данные. Готово — деньги списаны, товар получен.
Так что могут сделать мошенники, зная номер карты? Они могут купить что-либо в интернете, представляясь вами. Могут снять абсолютно все, что есть на счете. Могут, наконец, даже создать вам крупную задолженность, если злоумышленник получил доступ к кредитной карточке или карте с опцией овердрафта. Поэтому ни в коем случае нельзя доверять ни свою настоящую фамилию, ни тем более номер карточки. Также читайте про другую схему мошенничества здесь.
Что делать, если мошенники узнали номер вашей карты?
Для ответа нужно представлять себе сам процесс воровства денег. Ведь после того, как злоумышленнику становится доступна информация о пластике, ему еще нужно как-то обзавестись вашей полной фамилией.
Ни в коем случае не делитесь с чужими незнакомыми людьми своими паспортными данными! Это касается и фамилии. Если эта информация еще недоступна преступнику, вероятность того, что он сможет наугад определить вашу фамилию, минимальна. А ваша задача заключается только в том, чтобы не проговориться.
Но что делать, если уже и полная фамилия известна преступнику? В таком случае срочно звоните на горячую линию Сбербанка по номеру 8800-555-5550 или +7 (495) 500-55-50. Попросите сотрудника банка заблокировать ваш пластик. И будьте готовы назвать кодовое слово или словосочетание (контрольная информация, как правило, выглядит как ответ на вопрос по типу «девичьей фамилии матери»).
Да, вы потеряете немного времени, совершая звонок и, затем, перевыпуская карточку. Но ведь лучше так в обмен на гарантию полной безопасности, чем пустить все на поток, рискуя в любую минуту оказаться без средств на карте.
Советы по защите денежных средств от мошенников
Краткое резюме статьи
Так устроен мир — где деньги, там и преступники. Даже зная номер карточки, имя и фамилию человека, через Amazon и другие интернет-магазины можно обналичить деньги без особых препятствий. А потому доверять номер карты и паспортные данные нельзя никому — только знакомым и близким людям.
Как защитить реквизиты карты
Какие данные нельзя сообщать и в каких случаях включать параноика
Реквизиты банковской карты — это секретная информация. Если она попадет в руки не тех людей, вы можете потерять деньги.
В России 68% мошеннических операций совершается с помощью реквизитов. Это самый распространенный способ украсть деньги с карты. Мошеннику нужны только цифры, которые написаны прямо на карте, — и он уже сможет вас ограбить.
Что за реквизиты?
Реквизиты — это всё, что написано на карте: номер из 16 цифр (иногда 18), имя и фамилия владельца, срок действия и CVC-код — трехзначный код безопасности на обратной стороне. Для удобства мы отнесем к реквизитам и смс-код, который присылает вам банк, когда вы платите в интернете или переводите деньги.
По правилам платежных систем реквизиты нельзя сообщать посторонним. Если банк узнает, что ваши реквизиты попали в чужие руки, то сразу заблокирует карту. Однако кое-что сообщать все-таки можно. Если кратко, дела обстоят так:
Что можно сделать, зная реквизиты карты?
По реквизитам карты можно заплатить в интернете или оформить перевод с карты на карту. Человек, который знает ваши реквизиты, имеет полный доступ к деньгам.
Вернуть потерянное будет сложно. В договорах на оказание банковских услуг прописано, что ответственность за сохранность данных карты несет держатель карты. Если он сам добровольно эти реквизиты сообщил посторонним, банк за такие действия ответственности не несет. Придется обращаться в полицию и если она найдет мошенника, с него и взыскивать ущерб.
Какие реквизиты нужны вору, чтобы украсть мои деньги?
Обычно номер карты, срок действия, CVC-код и код из смс. Но есть магазины, которые проводят операции с меньшим числом реквизитов.
Например, чтобы заплатить на «Амазоне», нужен только номер, имя и срок действия. Ни кода безопасности, ни одноразового пароля из смс не нужно:
Виды мошенничества с картами
Фальшивые банкоматы. Не каждый банкомат, который вы видите, обязательно принадлежит банку. Мошенники могут скупать на черном рынке старые банкоматы, перенастраивать их и получать доступ к данным карты. Снять наличные в таком банкомате не получится — он выдаст сообщение, что купюр нет или что он неисправен. Зато такой банкомат передаст мошенникам все реквизиты карты.
Чтобы обезопасить себя, проверьте банкомат на карте с банкоматами в приложении банка.
Скрытые камеры. Мошенники крепят их на банкомат или прячут где-то возле. Миниатюрная камера направлена на клавиатуру банкомата и записывает, как клиенты вводят пин. Еще камера может записать все реквизиты, указанные на карте: имя владельца, срок действия и даже код безопасности.
Скимминг. Скиммер — это считыватель магнитной ленты на карте. Мошенники прикрепляют его к картоприемнику банкомата.
Банки знают об уловках мошенников, и поэтому начали выпускать банкоматы без картоприемников. На современных банкоматах карту достаточно приложить к специальной площадке со значком бесконтактной оплаты. Если есть альтернатива, рекомендую пользоваться именно такими банкоматами.
Траппинг, или «ливанская петля». Мошенник вставляет в картридер кусок фотопленки или пластика, и карта, попадая в прорезь, не возвращается владельцу, а попадает в конверт, который мошенник вытащит и получит возможность пользоваться картой.
По возможности пользуйтесь банкоматами без прорезей. В них карта в принципе не может быть удержана из-за неисправности устройства и к мошенникам в руки не попадет ни при каких обстоятельствах.
Накладная клавиатура. Мошенники устанавливают на банкомат поддельную клавиатуру поверх оригинальной. Поддельная запоминает все, что вы набираете, и передает нажатия на настоящие клавиши.
Фишинг. Это рассылка писем и уведомлений от имени брендов, банков, платежных систем, почтовых сервисов, социальных сетей. В письме содержится ссылка, якобы ведущая на сайт сервиса, но на самом деле она ведет на сайт мошенников, внешне не отличающийся от оригинала.
Как не попасться на удочку хакеров
Пользователя убеждают ввести данные карты якобы для оплаты товаров или услуг, но на самом деле покупки не происходит, а данные попадают в руки мошенников.
Совет здесь только один: не переходить по ссылкам, если не уверены в их надежности. Убедитесь, что отправитель — именно тот, за кого себя выдает.
Смс-мошенничество. Мошенники через смс убеждают держателя карты перевести деньги. Например, предлагают поучаствовать в розыгрыше приза, получить компенсацию или просто позвонить на платный номер.
Вишинг — телефонное мошенничество. Самый распространенный сейчас вид мошенничества.
Мошенники представляются работниками службы безопасности, сотрудниками правоохранительных органов, Центробанка. Бывает, что они представляются покупателями на сайтах объявлений.
Цель у них одна — получить реквизиты карты: ее номер, код безопасности, а если повезет, то и код из смс.
Можно ли сообщать номер банковской карты и имя владельца
Если у кого-то есть номер карты, он не сможет украсть ваши деньги. Но он может использовать это знание для фишинга: прикинуться банком и выудить у вас другую информацию.
А вот если у мошенника есть и номер карты, и ваше имя латиницей, он сможет подобрать срок действия методом перебора и, например, привязать карту к «Амазону».
Номер карты и имя владельца следует беречь точно так же, как вы бережете данные паспорта.
Мошеннику нужен только номер карты, срок действия и ваше имя, чтобы украсть деньги.
Какие данные карты можно сообщать для перевода денег, а какие нельзя
| Можно сообщать | Нельзя сообщать |
|---|---|
| Номер из 16 цифр | Имя и фамилия |
| Cрок действия | |
| Код безопасности на обратной стороне | |
| Код из смс |
Вопросы о безопасности банковских карт из жизни
Я забыл карту в кафе, вернулся за ней через 15 минут. Надо перевыпускать? Лучше перевыпустить. Если вам не повезет, официант перепишет реквизиты в блокнот или просто сфотографирует карту. Он не будет тратить все деньги, а просто через месяц-другой по-тихому купит что-нибудь в интернете.
Если у вас не подключен смс-банк, вы можете даже не заметить пропажи денег с карты. А если клиент не забил тревогу, то и банк ничего не заметит. Вы никогда не узнаете, что деньги украли.
Официант унес карту, чтобы провести оплату на кассе. Это плохо? Да. Целую минуту он может делать с вашей картой что угодно. Если вам совсем не повезет, официант окажется еще и скиммером: проведет карту через специальный считыватель, потом продаст данные в Таиланд через анонимный форум. Там ребята обналичивают сразу и много.
Чтобы такого не случилось, попросите официанта принести терминал. Сейчас во всех приличных заведениях терминал приносят к столу. Но если такой возможности нет, сходите на кассу вместе с официантом.
Успешный вход: как воруют деньги через мобильный банк
Хакеры и мошенники осваивают новые способы атаковать пользователей мобильного банкинга. Одни используют уязвимости банковских приложений. Другие — старую добрую социальную инженерию. К звонкам «службы безопасности» и просьбам вернуть переведенные «по ошибке» средства добавляются всё новые способы обмана. Насколько безопасны приложения банков, как защитить свой аккаунт, и можно ли вернуть деньги в случае их кражи, выясняли «Известия».
Слабое шифрование
Хотя на первый взгляд банковские приложения достаточно надежно защищены, багов в них всё равно достаточно. К ним, например, эксперты относят отсутствие проверки на получение прав привилегированного пользователя (root-прав) на самом устройстве, а также слабое шифрование данных при их передаче между сервером и устройством.
Как поясняет Александр Зубриков, руководитель направления информационной безопасности ITGLOBAL.COM, отсюда и популярность MitM-атак (когда злоумышленник тайно ретранслирует и при необходимости изменяет связь между двумя сторонами, которые считают, что непосредственно общаются друг с другом).
Одна из уязвимостей, которую наиболее часто эксплуатируют хакеры, — хранение аутентификационных данных в коде приложения в открытом виде.
— Слабые места банковских приложений связаны с окружением на устройстве и интеграцией с технологией Deep-links. Данная технология позволяет определить, как открывать ссылку: в браузере или приложении. Эксплуатация Deep-links со стороны хакеров позволяет им производить не предусмотренные приложением запросы и проникать в его защищенный контур, — поясняет Тимурбулат Султангалиев, директор практики информационной безопасности компании AT Consulting (входит в Лигу цифровой экономики).
Распространенная уязвимость на стороне банка — отсутствие строгой валидации запросов от мобильного приложения к серверам банка. В итоге злоумышленники могут установить фальшивый сертификат на устройство клиента и подделать в запросе счет получателя перевода, таким образом получая доступ к денежным средствам клиентов.
При этом, если отсутствует строгий запрет на сторонние сертификаты или их валидация, банк сочтет запрос легитимным и отправит деньги клиента мошенникам, поясняет руководитель службы информационной безопасности Servicepipе Никита Прохоренко. По его словам, чаще всего к взломам приводит отсутствие политики полного недоверия, когда устройство должно «доказать», что имеет права на такого рода запросы, и то, что запрос действительно отправлен клиентским приложением.
Аутентификация пользователя
Вопросы у специалистов по-прежнему вызывает и система верификации пользователя при входе в приложения. К основным рискам мобильных банковских приложений они относят незащищенную операционную систему и отсутствие двухфакторной аутентификации (отдельного ПИН-кода для запуска).
Как поясняет Евгений Суханов, директор департамента информационной безопасности компании Oberon, в открытых операционных системах Android есть возможность вносить изменения в мобильное приложение либо перехватить его соединение с банком вредоносным ПО. Оно впоследствии сможет осуществлять платежи через зараженное приложение, включая отправку подтверждающих СМС.
Вообще, верификация платежей и самого пользователя, по мнению многих экспертов, — наиболее уязвимое место банковских приложений, даже при наличии двухфакторной идентификации через СМС. Как отмечает Павел Катков, владелец IT-legal компании «Катков и партнеры», СМС-сообщение, как правило, приходит на тот же телефон, на котором стоит взламываемое банковское приложение.
Более надежной специалисты считают двухфакторную аутентификацию с использованием разных устройств: когда мобильное приложение установлено на одно устройство (телефон, планшет), а подтверждение об операции приходит на другое устройство.
Пароли и сторонние приложения
Впрочем, взлом приложений для обмана клиентов кредитных организаций используется всё же не так часто — на первый план выходит по-прежнему социальная инженерия. Львиная доля мошенничеств реализуется при помощи получения кодов и паролей.
— Большинство взломов происходит, когда мошенники связываются с потенциальной жертвой под видом службы безопасности банка, под видом сотрудников банка и получают СМС-код, номер карты и защитный код, — указывает Роман Хорошев, основатель краудлендинговой платформы «Джетленд».
Нередко злоумышленники (используя, например, всё тот же звонок «из службы безопасности банка»), убеждают жертв установить на устройство специальное ПО, позволяющее «расшарить» происходящее на экране смартфона, например, TeamViewer или AnyDesk.
— После установки программы мошенники могут проводить операции от имени клиента, напрямую подключившись к его устройству. Отличить действия мошенника, выдающего себя за реального клиента, становится сложно, но по-прежнему возможно — например, используя поведенческий анализ, — отмечает Дмитрий Стуров, исполнительный директор, начальник управления информационной безопасности банка «Ренессанс Кредит».
Как рассказал Юрий Орлов, директор по информационной безопасности QBF, доля операций, так или иначе связанных с социальной инженерией, в 2020 году составила 64% от общего числа случаев мошенничества. Вырос и средний чек подобных «транзакций» — с 7,6 тыс. до 8,6 тыс. рублей. В большинстве случаев пользователи добровольно предоставляют свои данные третьим лицам.
Что делать
Чтобы минимизировать риск, эксперты советуют следовать базовым правилам, главное из которых — никогда не сообщать персональную и личную информацию звонящим из «колл-центров» и всегда перезванивать в сам банк. Не стоит хранить критичные данные (финансовую информацию, аутентификационные и персональные данные) непосредственно на мобильном устройстве. Не надо использовать слишком простые и повторяющиеся пароли.
Рискованным эксперты считают и повышение уровня привилегий в ОС устройства: установку джейлбрейка в iOS или root-прав для Android. И рекомендуют внимательно следить за тем, какому приложению открывается доступ к данным, и к каким именно.
Стоит помнить и том, что если деньги украдены по вине пользователя или по его оплошности (как и происходит чаще всего), то банк вряд ли вернет средства. Так, по закону банк обязан вернуть деньги, если клиент уведомил о подозрительной операции в течение суток с момента ее совершения. Но при этом он не должен нарушить правила безопасности — в частности, не сообщать никому данные карты и пароли.
— В арсенале банков сегодня большой комплекс средств и механизмов защиты от кибермошенников, но банки не могут отвечать за то, какое ПО загружает на свой телефон или другое устройство клиент, или как-то это контролировать, — указывает директор департамента информационной безопасности МКБ Вячеслав Касимов.
Могут ли мошенники снять деньги по номеру карты
Считается, что карта – это самый безопасный вариант хранения денежных средств. Но на практике так бывает не всегда. С развитием банковских технологий развиваются и мошеннические схемы.
Кроме того, часто люди самостоятельно, не желая того, передают в руки третьих лиц важные реквизиты. Кто-то указывает их для осуществления перевода и получения денег, кто-то через сторонние сайты пополняют мобильный телефон. Вариантов множество. Вопрос один: могут ли мошенники снять деньги по номеру карты и что им для этого нужно. И далее об этом.
Какие данные нужны для платежей и операций
Когда возникает вопрос о том, что можно сделать, зная номер банковской карты, люди часто преувеличивают масштабы катастрофы. Не все понимают, что номер – это лишь часть обязательных реквизитов, необходимых для любой операции. Поэтому при наличии только номера невозможно снять деньги. Это обман и фикция.
Какие данные потребуются для любой операции:
Для идентификации пользователя нужно операцию подтвердить и по номеру телефона, введя код безопасности. Без пароля большинство банков не проводят операции.
Поэтому провести платеж, зная только один реквизит, невозможно. Это однозначный ответ.
Мошенники знают и номер, и другие параметры
Другой вопрос возникает тогда, когда мошенники получили доступ к другим параметрам. Например, банковская карта была украдена с кошелька или утеряна. Тогда вопрос о том, можно ли по номеру карты снять деньги, становится еще актуальней. Но и здесь не все критично.
Здесь уже могут быть варианты:
Слухи «говорят» обратное
Несмотря на реальные факты, слухов о том, что только по номеру сняли все деньги множество. Особенно это касается карты Сбербанка. Люди часто пишут и задают вопрос о том, что можно сделать, зная номер карты Сбербанка.
Правда или ложь? Ложь, люди часто не осознают или не договаривают правду. Практика показывает, что держатели карт самостоятельно помогают мошенникам. Они не только указывают им номер карты, но и дополнительно диктуют код, который приходит на телефон. Ведь они считают, что они не оглашают никакой конфиденциальной информации. Просто говорят смс-пароль (частые ситуации при продаже товаров на специальных сайтах).
Ответ на вопрос в самой истории. Невозможно украсть деньги, зная номер. Это можно сделать при наличии номера и мобильного телефона. Часто звонят пожилым людям или малообеспеченным, сообщая о социальной поддержке граждан. Просят сказать реквизиты карты для зачисления средств. После нужно просто подтвердить перевод.
Телефон и безопасность
Другой вопрос: могут ли мошенники снять деньги с карты по номеру телефона? Конечно, одного номера недостаточно. Нужна целая комбинация.
Иная ситуация, если телефон украден. Большинство пользователей не чистят кэш. Многие сохраняют пароль от банкинга и мобильных приложений. В таком случае даже номер не нужен, достаточно доступа к профилю от сайта любого банка. Пользователи быстро переведут деньги на иные счета.
Поэтому при краже телефона нужно моментально блокировать все счета.
Как безопасно использовать карту
Рекомендации по безопасному использованию:
Вывод
Таким образом, мошенники не могут при наличии у них одного номера карты снять деньги или осуществить операцию. Иная ситуация, когда, зная номер, владелец счета самостоятельно сообщает мошенникам код подтверждения. В таком случае платеж осуществить можно.
Для того, чтобы максимально защитить свои средства на счете, нужно следовать простым правилам: не передавать никаких данных о счете третьим лицам, не сообщать никакие пароли и коды подтверждения, не проводить операции через сомнительные интернет ресурсы.
Компрометация карты. Что это такое?
Это ситуации, когда держатель самостоятельно передал данные карты через сомнительные интернет ресурсы, платежные системы, телефонные звонки. Если по карте пытались проводить сомнительные операции, то ее нужно сразу блокировать.
Что делать если мошенники узнали PIN?
Если у мошенников есть и карта, и пин-код, то ее нужно сразу заблокировать. Можно пойти иным способом – и просто изменить пин через банкомат, но только при наличии карты. Но лучше не рисковать, а сразу заблокировать и перевыпустить карту.
Как обезопасить операции в интернете?
Платежи нужно проводить только через известные официальные сайты. Обязательно подключить к карте систему безопасности. Желательно ограничить лимит на интернет операции, тогда можно минимизировать финансовые потери.
Можно ли по номеру телефона снять деньги с карты?
Нет, номер телефона не дает возможности снять деньги. Нужно обладать и иной информацией.