99,9% случаев ИТ-мошенничества, с которыми я сталкивался за более чем 15 лет работы в карточном бизнесе, удалось бы избежать, если бы клиенты руководствовались этими простыми рекомендациями, — пишет на своей странице в Facebook один из основателей monobank Олег Гороховский.
3 декабря 2018, 10:45
Читати українською
Четыре совета от основателей monobank: как не потерять деньги
1. Фишинг — переход по поддельным ссылкам, имитирующим оригинальный клиент-банк, в котором обслуживается клиент и любые похожие разновидности выманивания данных учетной записи.
Как его избежать?
Элементарное правило: входить в клиент-банк можно только по прямой ссылке, которую вы сохранили в своем браузере при первом входе в клиент-банк. Банки никогда не отправляют писем со ссылками на вход в свой клиент-банк. Но даже если и отправляют игнорируйте эти ссылки. Зайдите сами по адресу вашего банка, сохраните в браузер и никогда не входите в клиент-банк иначе.
2. Социальная инженерия.
Если вам поступает входящий звонок/сообщение из банка, а не вы самостоятельно набрали банк или написали банку в привычный мессенджер — НИКОГДА НИЧЕГО не сообщайте, кроме безобидных ответов на вопросы, типа интересует вас какая-то услуга или нет. Никаких кодов, ПИН-кодов, паролей, присланных в SMS. НИЧЕГО! Даже если звонящий говорит вам, что без этого кода вымрет вся популяция енотов на планете или начнется ядерная война.
Кстати, недавно один клиент обвинил нас в том, что стал жертвой мошенников, ничего им не сообщив. Это неправда. Его жена в звонке в поддержку, сразу после ограбления, сказала, что ПИН-код она не передала, а вот SMS, с пришедшим кодом, сообщила. Мошенники зашли в клиент-банк с нового устройства, нажали «забыл ПИН», на номер телефона клиента пришло сообщение с одноразовым паролем, жертва передала его злоумышленникам, представившимся службой безопасности банка, но и это не все. Мы отправили ей e-mail, в котором уведомили о смене устройства и спросили она ли это делает и она нажала «Подтвердить новое устройство».
3. Заражение вирусом компьютера, на котором клиент хранил все явки и пароли.
Лечится просто.
Не храните на десктопе пароли. Смартфоны менее подвержены взломам и вирусам, хотя и это не совсем безопасно.
Лучше придумывать пароли по непростому алгоритму и не записывать их никуда.
Выберите банк, у которого хорошее мобильное приложение и не пользуйтесь десктопным клиент-банком в принципе. Если банк правильный, то когда жулики попытаются войти в ваш аккаунт с десктопа, это будет нетипичная активность и должны сработать фрод-правила и много денег у вас не украдут.
Регулярно проверяйте компьютер на наличие вирусов.
4. Выманивание. Очень распространенная разновидность социальной инженерии для тех, кто склонен реагировать на нигерийские письма. Достойна отдельной категории.
Добровольный перевод денег мошеннику по «уважительным» причинам. Обычно просят взятку за освобождение родственника из тюрьмы, оплатить лотерейный билет, который уже выиграл автомобиль и массу всего против чего сложно устоять. Это очень похоже на то, как некоторые добровольно отдают на улице деньги под гипнозом каким-то гадалкам и магам. Что тут посоветовать? Просто будьте чуть более внимательны и включайте мозг. Решение о некоторых действиях принимает часть тела, на которой лучше сидеть, чем ей думать.
Даже если вы игнорируете все вышеперечисленные пункты, это вовсе не значит, что вы обязательно потеряете деньги. Мы, например, разработали очень много правил и моделей нетипичного поведения клиентов, которые приводят к ограничениям и необходимости дополнительного подтверждения операций. Но у всех этих правил всегда есть обратная сторона — нам надо выстраивать их так, чтобы они мешали как можно меньшему проценту хороших операций и при их срабатывании процент жульнических операций в них был намного выше обычного. То есть, чтобы игра стоила свеч. Иначе будет все безопасно, только пользоваться этим никто не будет. Так как для каждой операции необходимо будет справка из поликлиники и флюорография.
Кроме того, мы очень плотно взаимодействуем с правоохранительными органами по поимке мошенников. Не проходит недели, чтобы мы не ловили какого-то жулика или группу. Так же всем запросам от кибер-полиции у нас повышенный приоритет и мы всегда даем максимально подробную информацию. Нам очень важно помочь клиентам вернуть их деньги.
Но еще раз повторю.
Если вы выполняете эти 4 пункта вас не ограбят НИКОГДА.
Я пользуюсь интернет-банками, наверное, 5 или 6 разных банков уже более 10 лет и за все это время не потерял ни копейки денег. И я даже не стучу по дереву, когда это говорю. Потеря денег — это ни везение или невезение — это просто элементарная ИТ-гигиена в XXI веке.
P.S. Карточная гигиена здесь не описана. Если нужны базовые правила пользования картами из XX века пишите в комменты, будет вдохновение опишу и их.
Источник:
Минфин
Комментарии - 31
Што?
В Альфа-Банке и Приватбанке так же доступна такая функция в приложении, но реализована по другому
Как-то я раньше не задумывался прятать момент ввода ПИНа.
Если карту украли, то не нужен ваш пин-код — можно при помощи CVV-кода на обратной стороне вывести все средства.
Не занимайтесь фигней — прятать и скрывать, это панацея.
1. Если карта у тебя, то знание твоего ПИНа не поможет, т.к. нужен CVV.
2. Если карту у тебя украли, то по фигу твой ПИН — снимут т.к. будут знать CVV.
У Привата с картами всё нормально, основные проблемы с держателями этих карт.
А так как их более двадцати миллионов, то всегда найдутся клиенты, халатно относящиеся к сохранению информации не предназначенной для передачи посторонним лицам.
Владельцам карт лень устанавливать лимиты на различные виды операций, не интересно активировать двухфакторную авторизацию а уж поговорить по телефону со «службой безопасности» банка — так это завсегда и помногу.
Всё это неоднократно обсуждалось — а воз и ныне там…
Социальная инженерия обходит все преграды и защиты…
Какая разница, клиентов Привата или клиентов Альфа-банка разведут на деньги — только и того, что пока в Привате клиентов в десятки раз больше, поэтому и жалоб по Привату больше.
Хотя уже и по Альфе и по Авалю попадаются отзывы клиентов, которых развели на деньги с того же ОЛХ.
Повторюсь, проблема не в банке — проблема у клиентов.
Пугать вирусами — дело десятое, но ведь ТС должен помнить ещё свою работу в Приватбанке и в интернет-банкинге Приват24 было и есть интересное ограничение — доступ к интернет-банкингу только с определённых IP-адресов.
Не знаю как другим, а мне этот функционал сильно облегчает жизнь и спокойный ночной сон.
Ведь для обхода привязки к ip-адресам нужно приложить титанические усилия и не факт, что всё сложиться у мошенников.
Конечно в Монобанке нет и не планируется веб-версии интернет-банкинга, может и поэтому автор внёс третий пункт в качестве проблемного.
У меня дома роутер стоит на ИБП, поэтому «белый» адрес не меняется годами.
Всего один раз было изменение адреса при замене сгоревшего домового коммутатора.
Ну так сделайте список из нескольких адресов — домашний, рабочий, адрес друга (подруги) или родителей (детей).
И если у вас одномоментно измениться и домашний и рабочий «белый» ip-адрес, то может хоть один из дополнительных останеться и тогда можно будет зайти в Приват24 и актуализировать список адресов.
Всё не так сложно как кажется.
Конечно если вы используете мобильное приложение, там ip-адрес меняется даже при передвижении по городу.
Ну так удобства и безопасность всегда были на противоположных чашах весов.
И спасибо за юмор. Улыбнуло.
Если есть только предположения — нет смысла ими делиться на каждом углу.
И «пароли по непростому алгоритму» — как по мне не очень вариант.
Был уверен, что у меня все под контролем, но в итоге нашел пару брешей.
Спасибо всем.
Вам Сергей — отдельное!