Использование банковских карт безопасно, но только при том условии, что пользователь сам принимает ряд мер по защите своих средств, хотя в настоящее время есть несколько мошеннических схем, которые позволяют снимать средства с банковских карточек без согласия и непосредственного участия ее владельца. Но пользователь может защитить свои денежные средства, хранящиеся на карте, для этого нужно лишь знать, какие именно средства используют мошенники. Рассмотрим, как защитить банковскую карту от мошенников.

Скимминг

Данная схема известна уже давно злоумышленникам, сотрудникам правоохранительным органов, владельцам карт. Тем не менее, она работает и по сей день. Схема заключается в том, что мошенники оснащают устройства самообслуживания накладной клавиатурой и считывающим устройством, которое устанавливается в картридере банкомата. Таким образом, при попытке снять средства с карты мошенники получают ПИН-код карты и ее информацию, которая считывается с магнитной полосы пластика. С этими данными можно снять чужие деньги.

Как защитить карту Сбербанка от мошенников в данном случае? Здесь нужно помнить элементарные меры безопасности – снимать деньги только в банкоматах, установленных в отделениях банка или тех местах, которые охраняются либо оснащены системой видеонаблюдения.

Звонки и СМС от работников банка

Это самый примитивный метод мошенничества, который, как ни странно, работает безотказно. В чем суть метода, на номер телефона жертвы приходит СМС о блокировке карты, либо злоумышленник звонит на мобильный телефон и представляется сотрудником банка. Собственно не имеет особого значения, каким способом мошенник связывается с владельцем карты, кстати, в большинстве случаев злоумышленник даже не знает, есть ли у вас карта и какой банк вас обслуживает. Цель злоумышленника – выяснить данные пластиковой карты и снять наличные.

Пример накладной клавиатуры

Например, вы получили СМС от неизвестного номера с текстом о том, что ваша карта заблокирована, или с нее списали средства, и просьба перезвонить на указанный номер. В такой ситуации пользователь начинает паниковать и исполняет все просьбы «банковского сотрудника», а он, в свою очередь, старается выяснить информацию о вашей карте, в том числе ее баланс номер, CVC2 /CVV2 код, и прочую информацию.

Защита средств на банковских картах зависит во многом от того, насколько правильно вы будете хранить все ее данные, в секрете и никому ни при каких обстоятельствах не будете разглашать секретные данные. Кроме того, сотрудники банка информируют своих клиентов о блокировки карты по СМС только с официальных номеров, Сбербанк, в частности рассылает сообщения только с номера 900. То же самое касается звонков.

Обратите внимание, что банковские сотрудники не спрашивают у клиента ПИН-код, и прочие данные они идентифицируют клиента по последним цифрам, номера карты и кодовому слову либо паспортным данным.

Интернет-банкинг

Большинство карточных клиентов банка пользуются дистанционным доступом к счету посредством личного кабинета в интернет-банкинге. Это не только удобный способ отправлять платежи и переводы, а также отслеживать свой баланс и пользоваться иными услугами банка, но и огромный риск.

Как работает мошенническая схема: вы заходите не официальный ресурс, а на сайт копию, созданную мошенниками для получения доступа к личному кабинету владельца банковской карты. Дизайн сайта ловушки мало чем отличается от оригинала, но найти отличия все же можно, хотя не все пользователи настолько внимательны, что могут заподозрить ловушку. Обычно на эти сайты пользователь переходит со сторонних ресурсов по указанным ссылкам. Далее, он пытается войти в личный кабинет, вводит логин и пароль, затем код из СМС-сообщения, таким образом, злоумышленник получает доступ в личный кабинет.

Данный способ мошенничества называется «фишинг», в большинстве случаев мошенники делают рассылку электронных писем потенциальным жертвам от имени банка и просят перейти по ссылке для произведения каких-либо операций.

Как защитить себя в данном случае – заходите в личный кабинет только с официального сайта банка. Затем обратите внимание, на дизайн сайта, обратите внимание на каждую мелочь. Если вы не уверены, что зашли именно на сайт банка, и у вас возникли подозрения, что доступ к вашему счету могут получить третьи лица, наберите номер горячей линии и заблокируйте свою карту, затем смените идентификационные данные для доступа к личному кабинету.

Как крадут деньги через мобильный банк Сбербанка

Еще один способ украсть деньги с карты – это мобильный банк Сбербанка, ей пользуются практически все клиенты банка. На самом деле защита карты Сбербанк от мошенничества имеет довольно высокий уровень, здесь банк позаботился о своих клиентах. Тем не менее, злоумышленники изобретают довольно изощренные методы воровства.

Как воруют деньги с карт с помощью СМС-сообщений. Здесь не так много вариантов, первый из них – это смена номера мобильного телефона. Если вы меняете номер телефона, то вам недостаточно просто привязать услугу к новому номеру, потому что информирование осуществляется на два номера. Операторы мобильной связи продают повторно заблокированные номера новых клиентов. Таким образом, информирование может поступать мошеннику, который с его помощью без труда снимет все деньги с карты, точнее, переводит их на свой счет. Другой способ – кража мобильного телефона, здесь мошенник просто крадет телефон, отправляет запрос баланса на номер 900, затем осуществляет перевод.

Как защитить свои средства. Во-первых, если вы меняете номер телефона, то сразу обратитесь в банк, чтобы не просто привязать новый номер, но и отключить старый. Во-вторых, не оставляйте без присмотра мобильный телефон, если функции аппарата позволяют, установите пароль на блокировку, то есть без введения кода третье лицо не может снять блокировку . И если вы обнаружили, что у вас украли телефон, незамедлительно позвоните оператору и заблокируйте карточку.

Инструкция по работе с интернет-банкингом на Сбербанк Онлайн

Платежи в интернете

Многие активные пользователи интернета предпочитают совершать покупки в онлайн-магазинах и, соответственно тут же их оплачивать. Произвести платеж можно непосредственно с банковской карты, что удобно и продавцу и покупателю. Для мошенников это очередной повод нажиться за счет невнимательных покупателей.

Мошенническая схема довольно изощренная, они создают копию сайта интернет-магазина и берут полную предоплату за заказ. Отличить такой ресурс довольно сложно, особенно тем, кто ранее услугами его ни разу не пользовался. Тем не менее, стоит обратить в первую очередь на ценовую политику ресурса, если они кажутся вам нереально низкими, то это первый повод задуматься о факте мошенничества. Как правило, ссылки на такие сторонние интернет-магазины вы можете найти на форумах, в социальных сетях и многих других источников.

Защита банковских карт, а, точнее, средств на них зависит только от владельца, ведь в данном случае вернуть средства будет невозможно, по той причине, что ее владелец сам добровольно их перевел злоумышленникам. Поэтому внимательно относитесь к онлайн покупкам, старайтесь пользоваться одними и теми же ресурсами. По возможности не оставляйте 100% предоплату, заказывайте товары наложенным платежом или курьерскую доставку, чтобы была возможность на месте посмотреть товар, оценить его качество, только потом платите за него деньги.

Обратите внимание, для оплаты покупок в интернет-магазине от вас потребуется только номер карты, CVC2/CVV2 код, имя владельца, срок действия, остальные сведения не потребуются.

Защита карт с NFC-чипом

Сегодня банки часто предлагают клиентам карты с технологией бесконтактной оплаты PayWave и PayPass. Данные карточки оснащены NFC-чипом, благодаря которому карта может передать данные POS-терминалам в одно касание. Простыми словами, если ваша карта поддерживает такую технологию мгновенной оплаты, то вы можете оплачивать товары и услуги в одно касания, причем если сумма транзакции не превышает 1000 рублей, то ввод ПИН-код не потребуется.

Сегодня успешно работает новая мошенническая схема и выглядит она следующим образом: злоумышленники в местах общественного скопления, применяя POS-терминал, ищет карты с NFC-чипом. Например, провести такую схему можно в метро, злоумышленнику достаточно взять устройство и внедрится в толпу, устройство ищет карту с NFC-чипом, когда устройство подает характерный сигнал, мошенник вводит сумму до 1000 рублей и набирает кнопку оплаты. Найти злоумышленника будет крайне сложно в толпе.

В данном случае владельцам есть смысл приобрести чехол для банковской карты с защитой. Благодаря RFID технологии чехол полностью блокирует карту, то есть считать с нее информацию становиться невозможным, и даже заплатить картой в магазине вы не сможете до тех пор, пока не извлечете карту с футляра.

Стоимость такого защитного чехла с RFID технологией составляет от 100 рублей.

Общие способы защиты

Действительно, описать все мошеннические практически невозможно, потому что злоумышленники совершенствуют и оттачивают свои навыки. Попасть в сеть злоумышленников довольно просто, и от этого никто из нас не застрахован. Например, мошенник может вывести из строя банкомат, элементарно заклеив скотчем отверстие для выдачи денег, при попытке снять наличные пользователь не получает денежные средства, и уходит от банкомата пытаясь привлечь кого-либо на помощь, а мошенник отклеивает скотч и покидает место преступления. Аналогичных способов завладеть чужими средствами много.

Тем не менее, пользователь должен быть крайне бдительным ведь речь идет о его собственных средствах. Во-первых, пользуйтесь теми банкоматами, которые расположены на охраняемых территориях или непосредственно в банках. Во-вторых, если ваша карта застряла в банкомате, то немедленно ее блокируйте. В-третьих, никогда и никому не сообщайте свой ПИН-код, не записывайте его на бумагу и не храните в кошельке рядом с картами.

Внимательно относитесь к платежам в сети, и не посылайте никому данные о своей карте, ее реквизиты, и секретный код из СМС-сообщений. По возможности заходите в личный кабинет интернет-банкинга только с собственного компьютера, потому что некоторые браузеры сохраняют пароли.

Что делать если у вас пропали с карты средства

Для начала нужно сказать, что не стоит экономить на СМС-сообщениях, обычно СМС-информирование осуществляется на платной основе. Некоторые не считают нужным платить за информирование о каждой транзакции, на самом деле это нужно. Например, если вы получили СМС о списании средств с вашей карты, вы можете их вернуть и вычислить злоумышленника по «горячим следам».

Защитный чехол для карты Сбербанка

Итак, у вас списали деньги, вы получили СМС-уведомление, немедленно заблокируйте карту и обратитесь в банк с отказом от последней транзакции . Затем попросите отчет с указанием номера счета получателя, затем напишите заявление в полицию, сотрудники правоохранительных органов должны возбудить уголовное дело по факту мошенничества.

Кстати, стоит действительно задуматься о том, как защитить кредитную карту, потому что в данном случае вам придется платить кредит банку в полном объеме, потому что договор с ним заключали именно вы. Следствие и суд может затянуться на длительный период, за который вы должны будете платить проценты и основной долг. Только потом вам предстоит взыскать с мошенника всю сумму.
Таким образом, защитить свои деньги вы можете самостоятельно, если будете соблюдать элементарные меры безопасности. При любом подозрении на мошеннические действия блокируйте карту, кстати, если пользуетесь мобильным банком, то сделать это можно за несколько секунд с помощью СМС команды. И никогда не давайте пластик в руки незнакомым вам личностям, а также не сообщайте реквизиты.

Возможно, некоторые советы покажутся вам элементарными, но именно с них начинается безопасность.

Способы мошенничества с картами

Фантазия преступников безгранична. Буквально каждый год появляются новые, более изощрённые способы. Рассмотрим основные из них.

Мошенничество с банковскими картами называется кардингом.

Начнём с «классики». Вы пришли снять деньги через банкомат. Торопитесь, буквально на бегу вводите PIN-код, при этом болтаете по телефону. Вы даже не посмотрели на неприметного паренька в бейсболке и тёмных очках, заглядывавшего вам через плечо. Зато он наблюдал за вами очень внимательно. Он подсмотрел и запомнил цифры, которые вы вводили. Дальше элементарный гоп-стоп - и прощайте, денежки.

Также в суматохе можно не разглядеть, что перед тобой не настоящий банкомат, а фальшивка. Ведь аппарат точь-в-точь как настоящий. Наклейки, инструкции - всё как надо. Вставляете карту, вводите PIN-код, а на экране высвечивается: «Устройство неисправно», «Произошла системная ошибка», «Недостаточно средств» или что-то в этом роде. Что ж, бывает. Вы отправляетесь искать другой банкомат. Но раньше, чем вы его найдёте, мошенники опустошат ваш счёт. Ведь при помощи банкомата-фантома они уже считали все необходимые данные о вашей карте.

Часто имитируют неисправность банкоматов . Например, поздно вечером вы возвращаетесь домой и решаете по пути обналичить зарплату. Вставили карту, ввели PIN-код, сумму - всё идёт прекрасно. Картоприёмник отдал карту, но лоток, где должны появиться деньги, не открывается. Сломался? Наверное! Вокруг темно, нужно позвонить в банк и разобраться, что случилось. Вы отошли буквально на десять метров, а шустрые воришки уже отклеили скотч и забрали ваши деньги. Да-да, купюры не выпускала простая клейкая лента.

Другой приём называется «ливанская петля» . Это когда в картоприёмник вставляется лассо из фотоплёнки. Если угодить в него, карту уже не вытащить. Как правило, тут же находится «помощник»: «У меня вчера точно так же банкомат съел карточку, я ввёл вот такую комбинацию и PIN-код, и всё заработало». Вы пробуете, терпите фиаско и отправляетесь за помощью в банк. В это время добрый самаритянин забирает карту и идёт опустошать её. PIN-код он знает. Вы сами только что открыто ввели его. Помните?

Впрочем, банкомат может быть настоящим и даже исправным. Это не проблема, если у злоумышленников есть скиммер . Это устройство для считывания информации, закодированной на магнитной полосе карты. Физически скиммер представляет собой накладной блок, прикрепляемый к картоприёмнику, при этом он выглядит как часть конструкции банкомата.

Слева - банкомат без скиммера, справа - со скиммером

При помощи передатчика мошенники получают информацию со скиммера и изготавливают поддельные карты. Они будут пользоваться скиммированной картой, но деньги будут списываться со счёта оригинальной. Отсюда название метода - скимминг, от английского «снимать сливки».

Как они узнают PIN-код? В дополнение к скиммеру у них есть другие девайсы. Например, накладная клавиатура . Она полностью имитирует настоящую, но при этом запоминает набираемые комбинации клавиш.

Накладка на клавиатуру

Как вариант - миниатюрная камера, направленная на клавиатуру и замаскированная под коробку с рекламными буклетами.

Скрытая видеокамера

Разновидность скимминга - шимминг . Вместо громоздких накладок используется тонкая элегантная плата, вставляемая через картоприёмник прямо внутрь банкомата. Дальше схема такая же, как при скимминге. Но степень опасности выше: разглядеть, что в банкомате «жучок», практически невозможно. Утешает, правда, что изготовить шим довольно непросто - его толщина не должна превышать 0,1 мм. Почти нанотехнологии. :)

Фишинг - распространённый способ интернет-мошенничества. Большинству из вас не нужно объяснять, что это такое. Возможно, кто-то даже получал «письмо от банка» с просьбой перейти по ссылке и уточнить реквизиты. Причём фишинговая страница выглядела как настоящая, те же цвета, шрифты, логотипы, за исключением досадной «опечатки» в адресной строке.

В последнее время всё больше распространяется подвид фишинга - вишинг . Проще говоря, развод по телефону . Мошенники моделируют звонок автоинформатора. Пугающий роботизированный голос сообщает вам, что ваша карта заблокирована, или подверглась атаке хакеров, или вам срочно нужно погасить долг по кредиту. За подробностями звоните по такому-то номеру. Вы звоните, и учтивый «оператор» просит вас «сверить» номер карты, срок её действия, верификационный код… Как только вы продиктовали последнюю цифру, можете попрощаться со своими деньгами. Пока вы придёте в себя, их уже потратят в каком-нибудь интернет-магазине.

Кстати, в связи с тем, что для использования карты необязательно её физическое наличие, мошенники всё активнее пользуются методами социальной инженерии . Так меня чуть не обманули.

Я продавала мебель. Разместила объявление с фотографиями на известном сайте. Указала номер, через который у меня не проходит ни одна аутентификация. Вскоре позвонил мужчина. Представился Василием, сотрудником фирмы, сдающей квартиры посуточно. Рассказал, что им понравился мой диван - берут не глядя! Деньги прямо сейчас переведут мне на карту. Нет проблем. Я часто покупаю в интернете, для этих целей у меня есть специальная карта. Списать с неё тогда было нечего, зато пополнить - пожалуйста. Но одного номера звонившему было мало - собеседник просил ещё срок действия и CVV2. Я не назвала, а Василий обиделся. Сказал, кто я и куда мне надо идти, и бросил трубку.

Большинство карт сейчас привязано к номеру телефона, чтобы при помощи СМС-сообщений подтверждать операции или, к примеру, вход в интернет-банк. Чего только не делают злоумышленники, чтобы завладеть нужной SIM-картой: похищают телефоны, перехватывают СМС, делают дубликаты симок и так далее.

Правила безопасности при использовании карт

Оформив в банке дебетовую или кредитную карту, мы получаем договор банковского обслуживания и конверт с PIN-кодом. Жаль, что в дополнение к этому набору не прикладывают памятку с элементарными правилами безопасности для держателей карт. В неё следовало бы включить следующие рекомендации.

• По возможности сделайте себе гибридную карту - с чипом и магнитной полосой (к сожалению, карты только с чипом в России почти не используются). Такая карта лучше защищена от взлома и подделки путём скимминга.
• Выучите PIN-код наизусть. Если же на память надежды нет, запишите его на листочек, но храните отдельно от карты.
• Никогда, ни при каких обстоятельствах не сообщайте третьим лицам PIN-код и CVV2-код карты, а также срок её действия и на кого она зарегистрирована. Ни один банк не будет спрашивать у вас эти реквизиты. А для зачисления средств на ваш счёт достаточно лишь 16-значного номера, указанного на лицевой стороне карты.
• Не используйте так называемые зарплатные карты для расчётов в магазинах и оплаты интернет-покупок. Деньги с карточного счёта лучше переводить на лицевой либо устанавливать суточные лимиты на все виды совершаемых операций.
• Выбирайте банкоматы, расположенные внутри офисов банков или в охраняемых точках, оборудованных системами видеонаблюдения.
• Не пользуйтесь подозрительными моделями банкоматов. А прежде чем вставить карту в терминал, внимательно осмотрите его. Нет ли чего-нибудь подозрительного на клавиатуре или в картоприёмнике? Не висит ли поблизости странный лоток с рекламой?
• Не стесняйтесь закрывать клавиатуру рукой и просить отойти в сторону особо любопытных товарищей в очереди. При возникновении проблем не пользуйтесь советами «случайных помощников» - никуда не уходя, сразу звоните в банк и блокируйте карту.
• Если вы потеряли карту, а также если у вас есть основания полагать, что третьи лица узнали её реквизиты, немедленно обратитесь в банк и заблокируйте её.

Проще всего позвонить. Если карта у вас на руках, номер службы поддержки можно увидеть на её оборотной стороне. Как правило, контактные центры работают круглосуточно. Если карта осталась в банкомате и вы не знаете телефон своего банка, позвоните в компанию, осуществляющую техническое обслуживание банкомата. Номер должен быть указан на терминале.

Кроме того, узнайте о возможности и условиях страхования карты в вашем банке. У некоторых кредитных учреждений есть специальные программы защиты клиентов от мошенников и возмещения им ущерба.

Правила безопасности при пользовании банкингом

Не выходя из дома можно воспользоваться большим пакетом услуг. Например, оплатить что-нибудь или перевести деньги на свой либо чужой счёт.

Банкинг - дистанционное банковское обслуживание.

Выделяют интернет- и СМС-банкинг. Первый позволяет осуществлять операции через личный кабинет клиента на сайте банка или через приложение, а второй подразумевает информирование о транзакциях посредством СМС-сообщений.

Чтобы пользоваться банкингом без риска утраты денег, необходимо соблюдать следующие базовые меры предосторожности.

• Не входите в интернет-банк с чужих компьютеров или из публичных незащищённых сетей. Если же это всё-таки случилось, по завершении сессии нажмите «Выход» и очистите кеш.
• На личном компьютере установите антивирус и своевременно его обновляйте. Используйте современные версии браузера и почтовых программ.
• Не скачивайте файлы, полученные из непроверенных источников, не переходите по ненадёжным ссылкам. Не открывайте подозрительные письма и сразу же блокируйте их отправителя.
• Без необходимости не вводите никакие свои персональные данные, помимо логина и пароля.
• Проверяйте адресную строку. Должно использоваться защищённое HTTPS-соединение. А малейшее несовпадение с доменом банка почти наверняка означает, что вы находитесь на фишинговом сайте.
• Придумайте сложный пароль для входа в личный кабинет, а также используйте одноразовые пароли, запрашиваемые банками для подтверждения действий в личном кабинете.

Запомните! Банки не рассылают сообщений о блокировке карт, а в телефонном разговоре не выспрашивают конфиденциальные сведения и коды, связанные с картами клиентов.

Чтобы уберечь симку, к которой привязана карта, оперативно уведомляйте банк при получении подозрительных сообщений и ни в коем случае не звоните по указанным в них номерам. Проинформируйте банк, если сменили номер или потеряли SIM-карту. Установите пароль на телефон и не снимайте блок с экрана, если кто-то посторонний наблюдает за вашими действиями. А если SIM-карта оформлена на вас лично, то запретите её замену по доверенности.

Что делать, если мошенники списали деньги с карты

Споры между клиентами и банками нередки. Первые, узнав о несанкционированном списании средств со своих счетов, просят вернуть свои кровные, а вторые зачастую разводят руками: «Вы сами всё рассказали мошенникам».

В 2011 году вступил в силу Федеральный закон № 161 «О национальной платёжной системе», призванный упорядочить и изменить в лучшую сторону практику оказания платёжных услуг. В частности, он установил правовые основы всей платежной системы в целом и скорректировал правила осуществления безналичных расчётов, а также эмиссии и использования электронных денег.

В 2014 году вступила в силу статья 9 данного закона. Норма защищает пользователей банковских карт от мошенничества. Закон устанавливает презумпцию невиновности клиентов. Банк обязан возместить суммы, перечисленные со счёта клиента в результате не санкционированной им операции, если только не будет доказано, что клиент сам нарушил порядок использования электронного платёжного средства.

С 26 сентября 2018 года банки по закону смогут блокировать карты клиентов при подозрении, что деньги с них переводят мошенники. После блокировки банк должен сообщить об этом владельцу счёта, а тому придётся или подтвердить операцию, или сообщить о попытке хищения.

Иными словами, закон разграничивает ответственность банка и клиента.

1. Банк сообщил клиенту о несанкционированной операции? Если нет, ответственность полностью лежит на банке. Если сообщил, переходим к пункту № 2.
2. Клиент проинформировал банк не позднее следующего рабочего дня после уведомления от банка, что данная операция совершена без его (клиента) согласия? Если нет, ответственность лежит на клиенте. Если проинформировал, переходим к пункту № 3.
3. Банк смог доказать, что клиент нарушил порядок использования электронных денежных средств? Если да, ответственность лежит на клиенте. Если нет, ответственность полностью лежит на банке и он обязан возместить клиенту всю сумму оспоренной операции.

Обязательным условием возмещения несанкционированно списанных средств является уведомление банка об использовании карты без согласия её держателя.

Сообщить банку, что карта используется кем-то другим, нужно не позднее одного дня , следующего за днём, когда клиент обнаружил мошенничество.

Соблюдение этого дедлайна очень важно. Просрочили - на возврат денег можно не рассчитывать.

Кроме того, у клиента на руках должно остаться доказательство уведомления. Речь идёт о втором экземпляре обращения в банк с отметкой о приёме, сделанной уполномоченным сотрудником, или письменном уведомлении об отправке по адресу банка ценного заказного письма с описью вложений.

Обращение в банк не отменяет и не заменяет обращение в правоохранительные органы.

Выводы

Итак, краткий алгоритм действий при незаконном списании средств с банковской карты таков:

1. Не паникуем, звоним в банк и блокируем карту. Плюс просим оператора назвать остаток на счету и последние совершённые транзакции.
2. В течение суток бежим в банк и пишем заявление. Обязательно визируем у уполномоченного сотрудника банка свой экземпляр заявления.
3. Если сотрудники кредитного учреждения каким-либо образом препятствуют этому и отказываются принять заявление (закончились бланки, технический перерыв и так далее), обращаемся в прокуратуру.
4. Пишем заявление в полицию. Особенно если вы столкнулись с грабежом или разбоем.
5. Ждём возврата денег.

Если банк отказывается возмещать средства, списанные с карты, ссылаясь, например, на нарушение порядка использования электронных денежных средств, вы можете отстаивать свои права в суде.

Сбербанк действительно не прогадал с выбором разработчиков своего мобильного клиента. Однако то ли программисты слишком увлеклись, то ли требования Сбербанка были настолько извращенными, но хорошее когда-то приложение однажды тоже стало жертвой бесконечного наращивания функциональности. И это привело к тому, что с большинства моих устройств приложение Сбербанк онлайн пришлось удалить, а на оставшихся использовать специальные методики, чтобы свести его вредное воздействие на систему к минимуму.

В чем проблема приложения Сбербанк онлайн?

Первая проблема мобильного Сбербанка - это его размер. APK-файл с приложением весит ни много ни мало 41 Мбайт. Для сравнения: игра Smash Hit с отличной трехмерной графикой весит 80 Мбайт, игра Geometry Dash с кучей уровней и музыкальных треков - 48 Мбайт, а Google Chrome - те же 41 Мбайт. Заметь, что в данном случае мы сравниваем сложный комплексный софт с кли- ентским приложением, единственная задача которого - получать данные с сервера и отправлять их обратно в ответ на действия пользователя.

$ ls - lh * . apk

ОK, я согласен, что при текущих объемах встроенной памяти и скоростях интернета размер приложения не имеет особого значения, однако его вес также влияет и на количество оперативной памяти, потребляемой приложением. На разных устройствах с разным объемом RAM и разными настройками Low Memory Killer размер приложения в оперативке может варьироваться от 40 до 80 Мбайт. Опять же для сравнения: одно из самых прожорливых на оперативку приложений Google Chrome с одной открытой вкладкой потребляет ~90 Мбайт. А самое печальное, что в отличие от того же Chrome, который будет вытеснен из памяти через некоторое время после закрытия, Сбербанк останется в ней висеть в виде сервиса на все время работы смартфона. Если ты его убьешь - он перезапустится, если перезагрузишь смартфон - он запустится при загрузке, применишь таск-киллер - получишь пинг-понг под названием «Прощай, батарея»: таск-киллер убивает сервис, система его запускает, и так продолжается бесконечно.

За двенадцать часов Сбербанк разбудил смартфон 27 раз. Не мешай ему режим энергосбережения в Android 6.0, он делал бы это еще чаще

Ну ладно, висит и висит, может быть это такая оптимизация для ускорения
запуска или еще что, на современных смартфонах с тремя гигами памяти 80 Мбайт - это ерунда. Но нет же, сервис не просто висит в памяти, он регулярно будит смартфон, чтобы обновить информацию о местоположении устройства и выполнить какие-то другие свои дела. Еще раз: приложение, которым ты пользуешься раз в неделю, чтобы положить деньги на телефон или проверить баланс, постоянно висит в фоне и регулярно будит смартфон! Если тебе кажется это странным, тогда читай дальше, и ты узнаешь, что такое действительно «странно».

«БАНК ЗАБОТИТСЯ О ВАШЕЙ ФИНАНСОВОЙ БЕЗОПАСНОСТИ»

Именно такой ответ я получил от @ sberbank в твиттере, когда показал им приведенный ниже скриншот. Что это такое? Это сообщение встроенного в Сбербанк антивируса Касперского. Да, дорогой читатель, Сбербанк не только висит в фоне и постоянно будит смартфон, он еще и просыпается каждый раз, когда ты устанавливаешь новое приложение, а еще у него есть определенный распорядок проверки. Ты сидишь, читаешь книжку - и вдруг просыпается Сбербанк и начинает сканировать систему. Как это влияет на батарейку, я думаю, пояснять не надо.

Самая же парадоксальная черта Сбербанка в том, что, обвиняя другие приложения в возможности отправки СМС (как на приведенном скриншоте), сам Сбербанк может не только их отправлять, но и читать и даже изменять. Также он умеет читать контакты, делать снимки, управлять Bluetooth, звонить, изменять настройки смартфона, настройки Wi-Fi, узнавать местоположение, убивать фоновые процессы, читать и изменять историю браузера, изменять настройки APN, следить за запущенными приложениями, отслеживать установку и удаление приложений, читать и писать логи звонков.

Это только часть полномочий, которые запрашивает приложение сбербанк онлайн

Недурно, не правда ли? Не каждый троян обладает таким внушительным списком полномочий. И не надо говорить, что все это нужно антивирусу, - мне трудно придумать, зачем ему может понадобиться возможность звонить, снимать, управлять Wi-Fi или читать логи звонков. О списках контактов я не заикаюсь, Сбербанк использует доступ к ним, чтобы совершать быстрые переводы денег. Ты же не против, чтобы твоя книга контактов сливалась в Сбербанк, не так ли?

ЧТО ДЕЛАТЬ?

Сбербанк не единственное приложение, ставшее жертвой стремления запихать в приложение все, что только можно. В маркете таких огромное количество, и методики «борьбы» с ними почти всегда одинаковы. Первое, что необходимо сделать, - это отозвать у приложения полномочия. Если у тебя стоит Android 6.0, то сделать это можно, открыв «Настройки Приложения Сбербанк» и отключив в меню «Разрешения» все, кроме «Память». При следующем запуске приложение вновь запросит разрешения, и их надо отклонить.

Если нет Android 6.0, но есть CyanogenMod, то же самое можно сделать в меню «Настройки — Конфиденциальность — Защищенный режим — Сбербанк» (правда, в этом случае приложение может падать). Если нет ни Android 6.0, ни CyanogenMod, но есть Greenify . Устанавливаем приложение, соглашаемся предоставить ему права root, нажимаем кнопку + в тулбаре и видим список будящих смартфон приложений. Наверняка Сбербанк окажется где-то в начале. Тапаем по нему и нажимаем круглую кнопку внизу экрана. Теперь приложение будет заморожено сразу после выключения экрана и уже не запустится самостоятельно.

ВМЕСТО ВЫВОДОВ

На самом деле я, конечно же, понимаю, откуда в клиенте Сбербанка взялась подобная функциональность. Как ни крути, а проще встроить в приложение антивирус, чем разбираться с тысячами пользователей, у которых увели деньги. Да и многие юзеры любят гиперфункциональные приложения, которые умеют варить кофе. Тот же ES File Explorer очень популярен, несмотря на просто фантастическую перегруженность всевозможными функциями. Вот только в качестве аргумента в разгоревшемся споре «приложения vs боты» я все чаще слышу слова: «Боты простые, быстрые и не требуют установки, а современные приложения громоздкие и садят батарейку». На этом все, удачи.

У стремительно растущей популярности онлайн– и мобильного банкинга есть и обратная сторона. Как отмечают эксперты, в последнее время все реже приходится сталкиваться со скиммингом – установкой на банкомат считывающих устройств. Зато значительно участились попытки взлома систем дистанционного банковского обслуживания, кражи паролей в мобильных банковских приложениях и различные схемы «социального обмана».

По статистике Банка России, количество несанкционированных операций, проведенных через банкоматы или платежные терминалы в 2014 году, снизилось в два раза по сравнению с предыдущим. Скиммеры атаковали банкоматы в 21% случаев, а доля незаконных операций в Сети достигла 65,8%. Всего в ЦБ за прошлый год зафиксировали почти 5 тыс. попыток снять либо перевести чужие деньги через Интернет, а общая стоимость операций равнялась 1,64 млрд рублей. При этом подавляющее большинство попыток мошенников были успешными.

«Рост числа преступлений в сфере онлайн-банкинга в первую очередь связан со степенью проникновения систем ДБО: так, сейчас 40% клиентов нашего банка являются пользователями мобильного и интернет-банкинга, и эта цифра растет с каждым месяцем», – говорит начальник управления развития мобильных сервисов «МДМ Банка» Павел Михалёв .

Кроме того, эксперт связывает снижение уровня скимминговых атак с недавним введением уголовной ответственности за такие преступления. «В июне этого года вступили в силу поправки в Уголовный кодекс РФ, предусматривающие ответственность до 6 лет за скимминг, тогда как преступники, ворующие деньги у клиентов банка через digital, зачастую получают условный срок», – отмечает Павел Михалёв.

Эксперты и представители правоохранительных органов связывают это еще с несколькими факторами. Во-первых, повысился уровень защищенности банковских карт: с 1 июля этого года банки обязаны снабжать все выпускаемые карты чипом. В отличие от «простых», оснащенных магнитной лентой, карты с чипами требуют ввода PIN-кода при каждой платежной операции. А это усложнило жизнь скиммерам, которым, помимо перехвата данных о карте в банкоматах, теперь нужно добывать и PIN-код.

Вычисляя слабые места современных банковских технологий, мошенники изобретают всё новые способы обмана.

«Мошенники используют различные технические уловки, при этом большинство из них сводится к выманиванию у пользователя личной информации, необходимой для проведения операций с его счетами, – говорит начальник управления дистанционного банковского обслуживания ВТБ24 Елена Дегтева . – Расчет делается на невнимательность и доверчивость – в частности, это фишинг (ссылка на поддельную страницу банка, на которой запрашивается логин и пароль для входа в интернет-банк, одноразовые коды, реквизиты банковской карты и т.п.) или троянская программа, подкладывающая фальшивую интернет-страницу и направляющая введённые клиентом данные злоумышленникам».

Аналитическое агентство Markswebb Rank & Report провело исследование безопасности интернет– и мобильных банков. В исследовании изучалась надежность защиты систем ДБО 20 банков с наибольшим количеством пользователей онлайн-версии банка. Во всех банках сотрудники агентства сначала действовали как клиенты, а потом – как мошенники. То есть сперва заводили дебетовые карты, регистрировались в соответствующих интернет-банках и пытались совершить покупки. А затем пробовали подобрать пароль, перевыпускали сим-карту, привязанную к счету, и так далее.

Как показало исследование, в целом у российских банков не очень жесткие требования к безопасности. К примеру, пять банков вообще не используют одноразовые пароли для аутентификации (входа в интернет-банк) пользователя, в двух банках SMS-пароль от одной операции можно использовать для подтверждения другой, а подтвердить номер телефона после перевыпуска сим-карты требуют только четыре банка, остальные продолжают присылать пароли на новый номер, рассказывает гендиректор Markswebb Rank & Report Алексей Скобелев.

Наибольшее количество баллов получили «Ситибанк», «Альфа-Банк», «Тинькофф Банк», ВТБ24 и «Русский Стандарт». Последние строчки в рейтинге достались Райффайзенбанку, «МТС Банку» и «Бинбанку».

Между тем, как рассказал начальник отдела развития интернет-банка физических лиц «Бинбанка» Евгений Локтев , система защиты онлайн-банка «Бинбанка» продумана до мелочей. «Для входа в систему используется имя пользователя и пароль, для быстрого входа (когда приложение уже установлено и первый вход осуществлен) используется код или отпечаток пальца (для некоторых моделей телефонов, поддерживающих данную функцию), при входе в систему клиент получает сообщение о входе на зарегистрированный клиентом номер мобильного телефона, при совершении критических финансовых операций используются одноразовые пароли, которые также высылаются на зарегистрированный клиентом номер мобильного телефона», – перечислил он.

Эксперты сходятся во мнении: самой уязвимой частью мобильного банка является сам пользователь. «Злоумышленник просто может подсмотреть логин и пароль для входа в мобильный банк – например, в кафе или транспорте, – говорит Павел Михалёв. – Нередко пользователи также подвергаются атакам через так называемую социальную инженерию, когда злоумышленники обманным путем под видом знакомых или родственников выманивают у доверчивых людей персональные данные».

«Мошенники потрясающе изобретательны и великолепно умеют втираться в доверие, – согласенЕвгений Локтев, а потому рекомендует никому ни при каких обстоятельствах не давать информацию о себе, которая может быть использована для входа в интернет– или мобильный банк. – И это не всегда именно напрямую имя пользователя и пароль, но и персональные данные, знание которых может быть использовано мошенниками для изменения пароля через колл-центр банка».

А чтобы максимально усложнить задачу по взлому мобильного банка в случае утери или кражи смартфона или планшета, эксперты по банковской безопасности рекомендуют хорошо продумать пароль. «Если говорить о технических методах проникновения в систему, то основным из них является «брутфорс» – простой перебор сочетаний логинов-паролей. Мы используем специальный метод для защиты от подобных атак, – рассказывает Павел Михалев. – Даже имея логин и пароль к мобильному банку «жертвы», злоумышленник не сможет провести неавторизованные операции, потому что операции подтверждаются одноразовыми СМС-паролями».

Очевидное правило: пароль должен состоять из разных символов – прописных и строчных букв, цифр, значков (например, % или $). Стоит избегать очевидных цифровых (12345) и буквенных (qwerty, «пароль») комбинаций. Пароли, которые легко ассоциируются с вами: фамилия, дата рождения или город – также небезопасны. Павел Михалев также рекомендует использовать биометрическую аутентификацию в мобильном банке с помощью технологии Touch ID на iPhone и графического ключа на смартфонах на базе Android.

А тем, кто проводит в интернет– и мобильном банке операции на крупные суммы, а также хочет обеспечить максимальную безопасность платежам, Елена Дегтева рекомендует пользоваться генератором паролей. «Его можно использовать в течение нескольких лет, что позволит реже обращаться в офис банка», – напоминает она.

«Мошенники могут звонить или отправлять SMS-рассылки от имени банка для получения конфиденциальных данных: логина, пароля, одноразового кода подтверждения платежа, данных кредитной карты», – предупреждает начальник управления экономической безопасности АО «Райффайзенбанк» Вадим Будаев .

Как правило, на мобильный телефон клиента банка приходит SMS о том, что его банковская карта якобы заблокирована либо по ней осуществляются подозрительные трансакции. В сообщении настоятельно рекомендуется связаться со «службой безопасности банка» или «отделом безопасности Visa». Здесь же указан и номер телефона для связи – как правило, мобильного, но с городским кодом. При звонке на такой номер афера развивается по нескольким сценариям: чаще всего мошенник, выдающий себя за «работника службы безопасности банка», вынуждает доверчивого клиента сообщить свои паспортные данные и реквизиты банковской карты, после чего снимает деньги с его счета. Иногда картой напрямую оплачивается счет мобильного телефона, после чего деньги обналичиваются через компанию – оператора связи. В другом случае, выполняя инструкции «сотрудника банка», клиент привязывает к мобильному телефону мошенника свой онлайн-банк, и тот опустошает его счет. Еще один вариант: потерпевший по указанию мошенника вставляет свою карту в банкомат и вводит ряд команд «для разблокирования карты». На самом же деле эти команды обеспечивают перевод денег со счета потерпевшего на счет мошенника. Иногда, но гораздо реже, отмечает Вадим Будаев, злоумышленники используют менее «технологичный» метод мошенничества, суть которого в получении по поддельной доверенности SIM-карты, привязанной к мобильному номеру телефона жертвы.

Эксперты предупреждают: ни один российский банк, а тем более платежные системы Visa и Master Card никогда не производят рассылки SMS о блокировке карты и тем более о «подозрительных трансакциях». Поэтому при получении подозрительного сообщения владелец банковской карты ни в коем случае не должен звонить по указанному номеру телефона, а немедленно обратиться в банк по телефону, который имеется на самой банковской карте.

Вернуть украденные мошенниками деньги крайне сложно. Прежде всего потерпевшему придется доказать, что он сам не «помог» аферистам получить доступ к своему счету. «К сожалению, российское законодательство в данной области несовершенно, но по каждому факту мошенничества проводится расследование, – рассказывает Павел Михалёв. – В тех случаях, когда клиент не нарушал условий банковского договора, мы всегда идем навстречу».

Так что сколь бы ни были совершенны применяемые банком технологии безопасности, они не имеют смысла, если пренебрегать элементарными правилами безопасности в Интернете.

Как защитить онлайн-банк:
– никогда не скачивайте мобильное приложение банка на неофициальных ресурсах или со сторонних сайтов, так как они могут быть заражены вирусами, устанавливайте программы только через официальные магазины: Google Play, Apple Store, Windows Store;
– владельцам мобильных устройств на базе Android рекомендуем в разделе «Настройки»-«Безопасность» убрать галочку с графы «Неизвестные источники», это позволит защитить гаджет от установки приложений со сторонних сайтов;
– установите антивирус и регулярно осуществляйте сканирование гаджета, в настройках антивируса активируйте проверку приложений при установке;
– не прибегайте к взлому системы защиты устройства: Root (на платформе Android) и Jailbreak (на платформе iOS), это значительно повышает уязвимость смартфона для вредоносных программ;
– включите на устройстве функцию автоблокировки и защитите его паролем;
– не храните на устройстве логины и пароли, номера карт, паспортные данные и прочую конфиденциальную информацию, чтобы она не стала достоянием посторонних в случае утери гаджета.
– не открывайте подозрительных ссылок в Интернете, полученных по почте, в сообщении или из социальных сетей.
– будьте внимательны, и в случае нестандартного поведения устройства при использовании мобильного банка, появления запроса на предоставление дополнительной информации о платежных картах или отказа от регистрации устройства в сети оператора (SIM-карта недействительна) обращайтесь в банк для блокировки системы.

Представьте ситуацию: оставили вы на 5 минут без присмотра телефон (например, на зарядке). Возвращаетесь и видите SMSку о переводе крупной суммы денег 3-ему лицу. Представили? А это ведь легко может быть реальностью… В статье пойдёт речь о не очень безопасной системе входа в мобильное приложение Сбербанка, дабы предупредить пользователей о возможности финансовых потерь.

После того, как у меня затупил телефон, мне пришлось сбросить его к заводским настройкам. Установив из Play-маркета приложение «Сбербанк Онлайн», и прождав значительное время, пока приложение сканирует телефон на наличие вирусов, создаётся полное ощущение, что тут всё хорошо с безопасностью. Но каково же было моё удивление, когда после ввода логина и готовности ввести пароль, вместо него меня просят ввести SMS-код, который тут же пришёл на этот же телефон!

Сначала я подумал, что возможно где-то на карте памяти сохранился какой-нибудь идентификатор сессии, из-за которого не надо проходить процедуру ввода пароля, а достаточно пройти упрощённую процедуру подтверждения по SMS. Но это было не так.

Тогда мы с коллегой решили проверить на его телефоне, смогу ли я войти в его приложение. Мы берём его телефон, открываем приложение, выбираем «Сменить пользователя» в меню, вводим логин (который секретным не является и используется им на разных сервисах). И, бинго, опять вводим SMS-код и оказываюсь внутри приложения с полным доступом ко всем финансам! Всё дело заняло пару минут времени.

А как же блокировка телефона по паролю/секретному ключу/отпечатку пальца, спросите вы? Ну во-первых, дело тут не в устройстве а SIM-карте. И полный возврат к заводским настройкам также может свести на нет всю защиту, просто это будет немного дольше.

Кроме того, в ОС куча приложений, которые просят разрешений на чтение SMS. Не удивлюсь, если появится вирус, способный сымитировать вход в приложение с чтением и последующим входом кода из SMS.

А что Сбербанк?

Через обратную связь я писал дважды об этой проблеме сбербанку и оставил отзыв на banki.ru. Но сбербанк судя по всему не считает это проблемой. Кроме того, в условиях использования был найден следующий пункт:

Не совмещайте устройства доступа к системе «Сбербанк Онлайн» и устройства получения SMS-сообщений с подтверждающим одноразовым паролем (например, мобильный телефон, смартфон или планшет). Для мобильных устройств созданы специализированные версии системы.
При утрате мобильного телефона, на который Вы получаете сообщения с SMS-паролем, сразу же обратитесь к оператору сотовой связи и заблокируйте SIM-карту.

То есть фактически приложение нельзя ставить на тот же телефон, на который приходят SMS-ки.

Выводы

Выводы можно сделать только такие - держите телефон всегда при себе, даже когда решили выйти на 5 минут в туалет. Не устанавливайте приложений с доступом к SMS. А ещё лучше - получайте SMS с кодами на кнопочный телефон без приложений.