3 декабря 2018, 10:45 Читати українською

Четыре совета от основателей monobank: как не потерять деньги

99,9% случаев ИТ-мошенничества, с которыми я сталкивался за более чем 15 лет работы в карточном бизнесе, удалось бы избежать, если бы клиенты руководствовались этими простыми рекомендациями, — пишет на своей странице в Facebook один из основателей monobank Олег Гороховский.

99,9% случаев ИТ-мошенничества, с которыми я сталкивался за более чем 15 лет работы в карточном бизнесе, удалось бы избежать, если бы клиенты руководствовались этими простыми рекомендациями.1.
Фото: radiosvonoda.org

1. Фишинг — переход по поддельным ссылкам, имитирующим оригинальный клиент-банк, в котором обслуживается клиент и любые похожие разновидности выманивания данных учетной записи.

Как его избежать?
Элементарное правило: входить в клиент-банк можно только по прямой ссылке, которую вы сохранили в своем браузере при первом входе в клиент-банк. Банки никогда не отправляют писем со ссылками на вход в свой клиент-банк. Но даже если и отправляют игнорируйте эти ссылки. Зайдите сами по адресу вашего банка, сохраните в браузер и никогда не входите в клиент-банк иначе.

2. Социальная инженерия.

Если вам поступает входящий звонок/сообщение из банка, а не вы самостоятельно набрали банк или написали банку в привычный мессенджер — НИКОГДА НИЧЕГО не сообщайте, кроме безобидных ответов на вопросы, типа интересует вас какая-то услуга или нет. Никаких кодов, ПИН-кодов, паролей, присланных в SMS. НИЧЕГО! Даже если звонящий говорит вам, что без этого кода вымрет вся популяция енотов на планете или начнется ядерная война.

Кстати, недавно один клиент обвинил нас в том, что стал жертвой мошенников, ничего им не сообщив. Это неправда. Его жена в звонке в поддержку, сразу после ограбления, сказала, что ПИН-код она не передала, а вот SMS, с пришедшим кодом, сообщила. Мошенники зашли в клиент-банк с нового устройства, нажали «забыл ПИН», на номер телефона клиента пришло сообщение с одноразовым паролем, жертва передала его злоумышленникам, представившимся службой безопасности банка, но и это не все. Мы отправили ей e-mail, в котором уведомили о смене устройства и спросили она ли это делает и она нажала «Подтвердить новое устройство».

3. Заражение вирусом компьютера, на котором клиент хранил все явки и пароли.

Лечится просто.
Не храните на десктопе пароли. Смартфоны менее подвержены взломам и вирусам, хотя и это не совсем безопасно.
Лучше придумывать пароли по непростому алгоритму и не записывать их никуда.
Выберите банк, у которого хорошее мобильное приложение и не пользуйтесь десктопным клиент-банком в принципе. Если банк правильный, то когда жулики попытаются войти в ваш аккаунт с десктопа, это будет нетипичная активность и должны сработать фрод-правила и много денег у вас не украдут.
Регулярно проверяйте компьютер на наличие вирусов.

4. Выманивание. Очень распространенная разновидность социальной инженерии для тех, кто склонен реагировать на нигерийские письма. Достойна отдельной категории.

Добровольный перевод денег мошеннику по «уважительным» причинам. Обычно просят взятку за освобождение родственника из тюрьмы, оплатить лотерейный билет, который уже выиграл автомобиль и массу всего против чего сложно устоять. Это очень похоже на то, как некоторые добровольно отдают на улице деньги под гипнозом каким-то гадалкам и магам. Что тут посоветовать? Просто будьте чуть более внимательны и включайте мозг. Решение о некоторых действиях принимает часть тела, на которой лучше сидеть, чем ей думать.

Даже если вы игнорируете все вышеперечисленные пункты, это вовсе не значит, что вы обязательно потеряете деньги. Мы, например, разработали очень много правил и моделей нетипичного поведения клиентов, которые приводят к ограничениям и необходимости дополнительного подтверждения операций. Но у всех этих правил всегда есть обратная сторона — нам надо выстраивать их так, чтобы они мешали как можно меньшему проценту хороших операций и при их срабатывании процент жульнических операций в них был намного выше обычного. То есть, чтобы игра стоила свеч. Иначе будет все безопасно, только пользоваться этим никто не будет. Так как для каждой операции необходимо будет справка из поликлиники и флюорография.

Кроме того, мы очень плотно взаимодействуем с правоохранительными органами по поимке мошенников. Не проходит недели, чтобы мы не ловили какого-то жулика или группу. Так же всем запросам от кибер-полиции у нас повышенный приоритет и мы всегда даем максимально подробную информацию. Нам очень важно помочь клиентам вернуть их деньги.

Но еще раз повторю.
Если вы выполняете эти 4 пункта вас не ограбят НИКОГДА.
Я пользуюсь интернет-банками, наверное, 5 или 6 разных банков уже более 10 лет и за все это время не потерял ни копейки денег. И я даже не стучу по дереву, когда это говорю. Потеря денег — это ни везение или невезение — это просто элементарная ИТ-гигиена в XXI веке.

P.S. Карточная гигиена здесь не описана. Если нужны базовые правила пользования картами из XX века пишите в комменты, будет вдохновение опишу и их.

Комментарии - 30

+
+22
Андрей Кул
Андрей Кул
3 декабря 2018, 11:27
#
К сожалению данную статью прочитают только читатели Минфина, а таковыми являются и так финансово грамотные граждане. Нужны другие методы донесения финансовой грамотности населению и я предлагаю это делать именно банкам. Втирать каждому при каждом обращении клиента, вот тогда что то да и получится.
+
+47
l2x8
l2x8
3 декабря 2018, 11:35
#
Оригинал статьи в Фейсбуке. У Гороховского 32 601 человек подписчиков. Есть надежда, что прочитают и «финансово безграмотные».
+
+59
drmx
drmx
3 декабря 2018, 13:41
#
И еще включите авторизацию оплат через смс или почту. Я где-то засветил свою карту. Уже заблокировал ее, но раза 2 неделю приходят смс о попытках снять бабло…
+
+56
mary27
mary27
3 декабря 2018, 20:22
#
Главный совет — вспомнить про события в «Привате»...)
+
+26
18152229
18152229
3 декабря 2018, 21:12
#
З мого опита по карткам, в мене іще ніколи небуло попиткі щоб хтось зняв з картки без мене і я згоден з тими пунктами які предоставлені више даже в любих магазинах коли тармінал банка запитуе пінкод завжди прикриваю рукою, золоте правило. Колись продавець говорить навіщо ви прикриваете пінкод рукою коли вносите я його небачу ну я відповів може ви небачити а камери які стоять в магазині все бачать — прислівя береженого бог береже.
+
+15
Сергей Жмайло
Сергей Жмайло
4 декабря 2018, 9:02
#
Ваш пин-код без карты никому не нужен, а если карта с чипом, то и подавно. А вот CVV-код это уже совсем другое, поэтому лучше его заклеит наклейкой от Монобанка — он доступен в приложении по необходимости.
+
0
Rabotyahoff
Rabotyahoff
4 декабря 2018, 10:14
#
> лучше его заклеит наклейкой от Монобанка — он доступен в приложении по необходимости
Што?
+
0
Сергей Жмайло
Сергей Жмайло
4 декабря 2018, 10:29
#
Нажмите на карту в приложении и она перевернется — там будет указан ваш CVV-код.
В Альфа-Банке и Приватбанке так же доступна такая функция в приложении, но реализована по другому
+
0
Юрий Новокрещенов
Юрий Новокрещенов
4 декабря 2018, 11:46
#
А если учесть, что Вы почти на 99% в одних и тех же местах бываете и карточку могут украсть?
Как-то я раньше не задумывался прятать момент ввода ПИНа.
+
0
Сергей Жмайло
Сергей Жмайло
4 декабря 2018, 14:29
#
Звоните в банк и блокируете карту, если её украли — это стандартная процедура в таких случаях.
Если карту украли, то не нужен ваш пин-код — можно при помощи CVV-кода на обратной стороне вывести все средства.
Не занимайтесь фигней — прятать и скрывать, это панацея.
+
0
Юрий Новокрещенов
Юрий Новокрещенов
6 декабря 2018, 10:15
#
Логично. Спасибо.
1. Если карта у тебя, то знание твоего ПИНа не поможет, т.к. нужен CVV.
2. Если карту у тебя украли, то по фигу твой ПИН — снимут т.к. будут знать CVV.
+
0
Сергей Жмайло
Сергей Жмайло
6 декабря 2018, 11:15
#
Уточнение — все выше сказанное не относится к картам Приватбанка. Там все плохо из-за их технологичности, но там есть привязка к номеру телефона.
+
0
Qwerty1999
Qwerty1999
6 декабря 2018, 12:19
#
Всё плохо у тех кто ничего толком не знает и не желает знать…

У Привата с картами всё нормально, основные проблемы с держателями этих карт.
А так как их более двадцати миллионов, то всегда найдутся клиенты, халатно относящиеся к сохранению информации не предназначенной для передачи посторонним лицам.

Владельцам карт лень устанавливать лимиты на различные виды операций, не интересно активировать двухфакторную авторизацию а уж поговорить по телефону со «службой безопасности» банка — так это завсегда и помногу.

Всё это неоднократно обсуждалось — а воз и ныне там…

Социальная инженерия обходит все преграды и защиты…
+
0
Сергей Жмайло
Сергей Жмайло
6 декабря 2018, 12:28
#
Да в этом есть проблема — большая клиентская база.
+
0
Qwerty1999
Qwerty1999
6 декабря 2018, 12:39
#
Проблема не в большой клиентской базе, а в низком уровне финансового образования части клиентов.

Какая разница, клиентов Привата или клиентов Альфа-банка разведут на деньги — только и того, что пока в Привате клиентов в десятки раз больше, поэтому и жалоб по Привату больше.
Хотя уже и по Альфе и по Авалю попадаются отзывы клиентов, которых развели на деньги с того же ОЛХ.

Повторюсь, проблема не в банке — проблема у клиентов.
+
0
Qwerty1999
Qwerty1999
4 декабря 2018, 11:37
#
Я бы поспорил с автором по третьему пункту.
Пугать вирусами — дело десятое, но ведь ТС должен помнить ещё свою работу в Приватбанке и в интернет-банкинге Приват24 было и есть интересное ограничение — доступ к интернет-банкингу только с определённых IP-адресов.
Не знаю как другим, а мне этот функционал сильно облегчает жизнь и спокойный ночной сон.
Ведь для обхода привязки к ip-адресам нужно приложить титанические усилия и не факт, что всё сложиться у мошенников.
Конечно в Монобанке нет и не планируется веб-версии интернет-банкинга, может и поэтому автор внёс третий пункт в качестве проблемного.
+
0
Сергей Жмайло
Сергей Жмайло
6 декабря 2018, 12:37
#
Статический IP для большинства операторов интернет — это роскошь, которую надо дополнительно оплачивать.
+
0
Qwerty1999
Qwerty1999
6 декабря 2018, 12:47
#
Все клиенты интернет-провайдеров рано или поздно выходят в интернет из под «белого» ip-адреса.

У меня дома роутер стоит на ИБП, поэтому «белый» адрес не меняется годами.
Всего один раз было изменение адреса при замене сгоревшего домового коммутатора.

Ну так сделайте список из нескольких адресов — домашний, рабочий, адрес друга (подруги) или родителей (детей).
И если у вас одномоментно измениться и домашний и рабочий «белый» ip-адрес, то может хоть один из дополнительных останеться и тогда можно будет зайти в Приват24 и актуализировать список адресов.

Всё не так сложно как кажется.
Конечно если вы используете мобильное приложение, там ip-адрес меняется даже при передвижении по городу.
Ну так удобства и безопасность всегда были на противоположных чашах весов.
+
+7
Юрий Новокрещенов
Юрий Новокрещенов
4 декабря 2018, 11:43
#
Спасибо за статью. Полезно в любом случае, даже если это для кого-то очевидные вещи.
И спасибо за юмор. Улыбнуло.
+
+60
SergS7
SergS7
4 декабря 2018, 11:43
#
Перший заступник голови правління Приватбанка Гороховський чомусь не роздавав порад у той час, як з банка виводилось 180 000 000 000 грн.
+
0
Qwerty1999
Qwerty1999
4 декабря 2018, 12:28
#
Он не отвечал за вывод средств — вот и не давал советов.
+
0
SergS7
SergS7
5 декабря 2018, 14:40
#
Та знаємо ми класиків. Ці очі нічого не бачили, ці руки нічого не крали
+
+15
Qwerty1999
Qwerty1999
5 декабря 2018, 22:19
#
Если есть компромат- настучите в прокуратуру.
Если есть только предположения — нет смысла ими делиться на каждом углу.
+
0
mary27
mary27
4 декабря 2018, 16:11
#
Вот и я о том же.
+
0
Юрий Новокрещенов
Юрий Новокрещенов
4 декабря 2018, 11:49
#
А вот по поводу паролей и как их хранить — для меня целая дилемма.
И «пароли по непростому алгоритму» — как по мне не очень вариант.
+
0
Сергей Жмайло
Сергей Жмайло
4 декабря 2018, 14:30
#
Английскими буквами в русской раскладке или наоборот + цифры и спецсимволы — мне помогает.
+
0
Юрий Новокрещенов
Юрий Новокрещенов
6 декабря 2018, 10:20
#
В любом случае все вместе заставило пересмотреть текущее отношение к карточкам и безопасности.
Был уверен, что у меня все под контролем, но в итоге нашел пару брешей.
Спасибо всем.
Вам Сергей — отдельное!
+
0
Tisha ™
Tisha ™
4 декабря 2018, 14:38
#
Енотиков жалко… :(
+
0
Валентин Ковальчук
Валентин Ковальчук
5 декабря 2018, 14:17
#
Поради корисні, підтримую. Завжди заморочка із паролями — з часом їх стає в житті все більше і простий алгоритм веде до плутанини. Крім того, існкує потреба постійно змінювати в період 90 днів. А на все (телефони, планшети, стаціонарний комп, робочий, мобільні додатки, реєстрація на сайтах) одного пароля не поставиш.Ось би якись алгоритм по кругооббігу паролей у памяті?
+
+15
dmitriyz
dmitriyz
7 декабря 2018, 13:23
#
KeePass и ему подобные приложения не пробовали?
Чтобы оставить комментарий, нужно войти или зарегистрироваться