По данным EMA, с 1 августа по 26 сентября 2017 года количество мошеннических операций с картами достигло 1 928. Сумма, которую злоумышленникам удалось увести со счетов менее чем за два месяца, оценивается в более чем 238 млн грн. И это при том, что за весь 2016 год преступники украли с карт украинцев 340 млн грн.
Схемы, которые используют «киберворы», в основном не новы: львиная доля приходится на вишинг (телефонные аферы) и фишинг (кражу данных платежных карт на разных сайтах — «клонах» официальных сервисов).
Но в октябре появились новые схемы. Так, сразу несколько читателей «Минфина» сообщили о мошенничестве с их платежными картами. Жалобы связывали общие детали: все пострадавшие были клиентами ПриватБанка, они недавно получили новую карту, в каждом из случаев фигурировала платежная система Interkassa, несанкционированное списание денег с карты проходило в период с 8 по 9 ноября.
Что случилось
Первым о краже денег в отзывах на «Минфине» заявил пользователь boobelik 9 ноября. По его словам, с личной карты ПриватБанка класса Gold (была получена месяц назад) злоумышленники списали деньги через платежную систему Interkassa. Банк не верифицировал данную транзакцию, а служба поддержки заявила, что клиент сам виноват в произошедшем.
«Никаких уведомлений по СМС или сообщений со стороны банка о верификации данной транзакции я не получал. Обратившись в службу поддержки, получил ответ: «А что вы хотели, у вас открыт доступ на оплату в интернете. Если необходимо осуществлять оплату в интернете, пользуйтесь виртуальной картой»», — рассказал boobelik.
Вскоре на «Минфине» появился другой похожий отзыв. Его оставил еще один «счастливый» обладатель «золотой» карты ПриватБанка — пользователь под никнеймом Vvv VVV. Попытка несанкционированного списания с его счета также проходила через систему Interkassa. Но в этот раз мошенникам не повезло — сумма, которую пытались списать, превысила установленный лимит по интернет-оплатам. Одноразовый пароль, подтверждающий транзакцию, банк не отправлял.
В ночь на 10 ноября свой отзыв добавил пользователь под никнеймом privatuser. По его словам, 8 ноября мошенники украли деньги с его новой приватовской «золотой» карты. Как и в остальных случаях, платеж прошел через Interkassa.
Сначала преступники хотели увести деньги с гривневой карты, но попытка потерпела фиаско из-за превышения интернет-лимита. Затем они добрались до валютной карты, на которой за несколько дней до этого пользователь повысил лимит. Пострадавший пытался заблокировать карту, но не успел — деньги попали в руки мошенников.
Удивило то, что со старой карты ПриватБанка, на которой также была «немаленькая сумма», жулики даже не пытались списать деньги. Как и остальные, privatuser утверждает, что данные платежных карт нигде не «светил» и расплачивался ими только за границей.
О четвертом случае «Минфину» стало известно еще через день. У пользователя sumar ночью 9 ноября 4 раза списали по 1000 грн через Interkassa. Как и другие, он не получал сообщений с верификацией транзакции. ПриватБанк выдал ему платежную карту в конце сентября.
Реакция сторон
Сам вид мошенничества далеко не новый. Злоумышленники тем или иным способом завладевают данными карты. Затем, в силу несовершенства систем безопасности банков и платежных систем, уводят с нее деньги. Но в этот раз оказалось слишком много совпадений. Потому «Минфин» попросил ПриватБанк и Interkassa объяснить, что произошло на самом деле.
В ПриватБанке заявили, что утечек данных о клиентах не было. И нынешняя волна мошенничества связана не только с Приватом. Мол, страдают и клиенты других банков, а сам Приват еще с 8 ноября 2017 года прекратил принимать платежи от Interkassa по требованию финмониторинга.
«Поскольку ПриватБанк прекратил сотрудничество с данным мерчантом, Interkassa сменила канал проведения платежей через другой банк (ТАС), на стороне которого не был включен 3D Secure», — объясняет пресс-секретарь ПриватБанка Олег Серга.
При этом довольно немного клиентов обратилось в банк за возмещением украденных денег. Но сумма — внушительная.
«На данный момент нескольким десяткам клиентов, которые заявили о списании средств, со стороны Interkassa возмещено порядка 300 000 грн. При поступлении дополнительных обращений клиентов — Interkassa произведет обязательный возврат, учитывая отключение 3D Secure на стороне эквайера», — утверждает Серга.
Interkassa не отрицает проблему, которая обнаружилась совсем недавно.
«Обращения клиентов начали поступать 8 ноября 2017 года. Запросы были от клиентов разных украинских банков, не только от ПриватБанка. Все денежные средства, о несанкционированном списании которых клиенты сообщили в систему Interkassa, были возвращены», — утверждает пресс-служба Interkassa.
Правда, платежная система оценивает уровень ущерба намного скромнее, чем ПриватБанк. «Обращения не носили массовый характер. На данные момент мы получили 24 обращения, на общую сумму до 14 000 грн», — говорят в Interkassa.
Оплаты проводились на одном из сайтов, который облюбовали мошенники. Сейчас Interkassa и банки-партнеры совместными усилиями проводят расследование. При необходимости они могут «задействовать спецслужбы».
Как утверждает платежная система, на их сервисе используется верификация платежей 3D Secure.
«Interkassa использует протокол обработки интернет-транзакций 3-D Secure от международных платежных систем Visa и MasterCard. Система приема платежей прошла аудит безопасности и комплексно защищает данные своих пользователей от мошенников. Это подтверждено соответствующим сертификатом PCI DSS. Также надежность и защищенность нашего ресурса подтверждена SSL-сертификатом от GeoTrust, что позволяет шифровать всю информацию, передаваемую между нами, пользователем сайта, торговцем и банками», — заверили «Минфин» в пресс-службе.
Как же тогда получилось, что мошенники нашли в системе безопасности бреши? По версии Interkassa, причин несколько.
Во-первых, это переключение части трафика с одного из банков-партнеров на другой. Во-вторых, эксперимент с отключением 3-D Secure авторизации на одном из доверенных мерчантов для повышения конверсии. В-третьих, глобальные неполадки на OVH (хостинг, который обслуживает Microsoft, Google и нас, в том числе). В-четвертых, нарушение бизнес-логики на стороне торговца. «Проблемы купированы. Последствия этих нарушений мы сейчас устраняем», — говорят в пресс-службе.
Но платежная система не снимает с себя ответственности и обещает возместить деньги всем пострадавшим.
«Мы на связи почти со всеми банками-эмитентами, и в оперативном порядке возмещаем средства пользователям в случае подтвержденного мошенничества. Interkassa всегда действует в интересах своих клиентов и моментально реагирует на обращения пользователей», — объясняют в Interkassa.
Клиентам, которые пострадали от мошенников и еще не обратились в платежную систему, Interkassa рекомендует писать на почтовый ящик техподдержки (support@interkassa.com). Они также могут обратиться в банк, где им возместят украденные средства.
Меры безопасности
Для клиентов Привата, один из самых верных способов обезопасить деньги на карте — установить нулевой лимит на интернет-оплаты. Благо, в ПриватБанке сделать это просто, и не нужно идти в отделение.
В мобильном приложении достаточно зайти в список сервисов, найти меню карт и открыть «лимиты на оплату онлайн».
Дальше выбираем необходимую карту, устанавливаем лимит на день или месяц, и вводим пароль.
Сам лимит устанавливается в течение минуты. Поэтому если нужно срочно что-то оплатить через интернет, его можно быстро изменить.
Другой вариант — оформить виртуальную карту для интернет-платежей. Неудобство тут есть, ведь каждый раз, прежде чем совершить платеж, на нее придется переводить деньги. Радует то, что Приват не взимает комиссии при переводах с карт «Универсальная» и «Для выплат».
«Минфин» также приводит несколько рекомендаций по безопасности от Interkassa:
- Никогда не предоставляйте информацию о своих картах третьим лицам, даже если они обращаются к вам от имени банка
- Храните ПИН-код, логин и пароль от клиент-банка в недоступном для других месте и никому их не называйте
- Будьте бдительны, если вам приходят SMS неизвестного авторства с просьбой отправить полученный код или странный набор команд на другой номер
- При оплате покупок в Интернете необходимо указывать только номер карты, срок действия и CVV2-код. В целях безопасности никогда не передавайте код CVV2 вашей карты посторонним!
- Если вы часто совершаете покупки в сети Интернет, откройте специальную Интернет-карту. Так вы максимально защищаете свою основную карту, ведь ее номер и прочие реквизиты нигде не указываются
- Если вам звонят с незнакомого номера, а когда вы отвечаете на звонок, спрашивают: «Вы меня слышите?» – нужно положить трубку без ответа. Мошенники могут записать ваш ответ «Да», чтобы использовать в телефонном мошенничестве
- Будьте внимательны при работе с электронной почтой. Мошенники могут отправлять письма от имени банка с неправдивой информацией: у вас огромный просроченный долг, приостановлено оказание услуг и т. д.
Алексей Рябуха
«Минфин» благодарит своих читателей, которые проявили активную позицию и рассказали о проблеме. Редакция работает для вас и ради вас, и постоянно следит за комментариями, блогами, а также отзывами о банках.