99,9% випадків ІТ-шахрайства, з якими я стикався за більш ніж 15 років роботи в картковому бізнесі, вдалося б уникнути, якби клієнти керувалися цими простими рекомендаціями, — пише на своїй сторінці в Facebook один з засновників monobank Олег Гороховський.
Чотири поради від засновників monobank: як не втратити гроші
1. Фішинг — перехід за підробленими посиланнями, що імітують оригінальний клієнт-банк, в якому обслуговується клієнт і будь-які схожі різновиди виманювання даних облікового запису.
Як його уникнути?
Елементарне правило: входити в клієнт-банк можна тільки за прямим посиланням, яке ви зберегли в своєму браузері при першому вході в клієнт-банк. Банки ніколи не відправляють листів з посиланнями на вхід в свій клієнт-банк. Але навіть якщо і відправляють, ігноруйте ці посилання. Зайдіть самі за адресою вашого банку, збережіть в браузер і ніколи не заходьте до клієнт-банку інакше.
2. Соціальна інженерія.
Якщо вам надходить вхідний дзвінок/повідомлення з банку, а не ви самостійно набрали банк або написали банку в звичний месенджер — НІКОЛИ НІЧОГО не повідомляйте, крім нешкідливих відповідей на питання, типу цікавить вас якась послуга чи ні. Ніяких кодів, ПІН-кодів, паролів, надісланих в SMS. НІЧОГО! Навіть якщо той, хто телефонує, говорить вам, що без цього коду вимре вся популяція єнотів на планеті або почнеться ядерна війна.
До речі, нещодавно один клієнт звинуватив нас у тому, що став жертвою шахраїв, нічого їм не повідомивши. Це не правда. Його дружина в дзвінку в підтримку, відразу після пограбування, сказала, що ПІН-код вона не передала, а ось SMS, з кодом, що прийшов, повідомила. Шахраї зайшли в клієнт-банк з нового пристрою, натиснули «забув ПІН», на номер телефону клієнта надійшло повідомлення з одноразовим паролем, жертва передала його зловмисникам, що представилися службою безпеки банку, але і це не все. Ми відправили їй e-mail, в якому повідомили про зміну устрою і запитали чи вона це робить і вона натиснула «Підтвердити новий пристрій».
3. Зараження вірусом комп'ютера, на якому клієнт зберігав всі явки та паролі.
Лікується просто. Не зберігайте на десктопі паролі. Смартфони менш схильні до зломів і вірусів, хоча і це не зовсім безпечно. Краще придумувати паролі за непростим алгоритмом і не записувати їх нікуди. Оберіть банк, у якого хороший мобільний додаток і не користуйтеся десктопним клієнт-банком в принципі. Якщо банк правильний, то коли шахраї спробують увійти в ваш акаунт з десктопа, це буде нетипова активність і повинні спрацювати фрод-правила і багато грошей у вас не вкрадуть. Регулярно перевіряйте комп'ютер на наявність вірусів.
4. Виманювання. Дуже поширений різновид соціальної інженерії для тих, хто схильний реагувати на нігерійські листи. Гідний окремої категорії.
Добровільний переказ грошей шахраєві з «поважних» причин. Зазвичай просять хабар за звільнення родича з в'язниці, оплатити лотерейний квиток, який вже виграв автомобіль і масу всього проти чого складно встояти. Це дуже схоже на те, як деякі добровільно віддають на вулиці гроші під гіпнозом якимсь ворожкам і магам. Що тут порадити? Просто будьте трохи уважніші і включайте мозок. Рішення про деякі дії приймає частина тіла, на якій краще сидіти, ніж нею думати.
Навіть якщо ви ігноруєте всі вищеперераховані пункти, це зовсім не означає, що ви обов'язково втратите гроші. Ми, наприклад, розробили дуже багато правил і моделей нетипової поведінки клієнтів, які призводять до обмежень і необхідності додаткового підтвердження операцій. Але у всіх цих правил завжди є зворотна сторона — нам треба вибудовувати їх так, щоб вони заважали якомога меншому відсотку хороших операцій і при їх спрацьовуванні відсоток шахрайських операцій в них був набагато вище звичайного. Тобто, щоб це було того варте. Інакше буде все безпечно, тільки користуватися цим ніхто не буде. Так як для кожної операції необхідна буде довідка з поліклініки і флюорографія.
Крім того, ми дуже щільно взаємодіємо з правоохоронними органами по затриманню шахраїв. Не минає тижня, щоб ми не ловили якогось шахрая або групу. Так само всім запитам від кібер-поліції у нас підвищений пріоритет і ми завжди даємо максимально детальну інформацію. Нам дуже важливо допомогти клієнтам повернути їхні гроші.
Але ще раз повторю. Якщо ви виконуєте ці 4 пункти вас не пограбують НІКОЛИ. Я користуюся інтернет-банками, напевно, 5 або 6 різних банків вже більше 10 років і за весь цей час не втратив ні копійки грошей. І я навіть не стукаю по дереву, коли це говорю. Втрата грошей — це ні везіння або невезіння — це просто елементарна ІТ-гігієна в XXI столітті.
P.S. Карткова гігієна тут не описана. Якщо потрібні базові правила користування картами з XX століття пишіть в коменти, буде натхнення опишу і їх.
Коментарі - 31
Што?
В Альфа-Банке и Приватбанке так же доступна такая функция в приложении, но реализована по другому
Как-то я раньше не задумывался прятать момент ввода ПИНа.
Если карту украли, то не нужен ваш пин-код — можно при помощи CVV-кода на обратной стороне вывести все средства.
Не занимайтесь фигней — прятать и скрывать, это панацея.
1. Если карта у тебя, то знание твоего ПИНа не поможет, т.к. нужен CVV.
2. Если карту у тебя украли, то по фигу твой ПИН — снимут т.к. будут знать CVV.
У Привата с картами всё нормально, основные проблемы с держателями этих карт.
А так как их более двадцати миллионов, то всегда найдутся клиенты, халатно относящиеся к сохранению информации не предназначенной для передачи посторонним лицам.
Владельцам карт лень устанавливать лимиты на различные виды операций, не интересно активировать двухфакторную авторизацию а уж поговорить по телефону со «службой безопасности» банка — так это завсегда и помногу.
Всё это неоднократно обсуждалось — а воз и ныне там…
Социальная инженерия обходит все преграды и защиты…
Какая разница, клиентов Привата или клиентов Альфа-банка разведут на деньги — только и того, что пока в Привате клиентов в десятки раз больше, поэтому и жалоб по Привату больше.
Хотя уже и по Альфе и по Авалю попадаются отзывы клиентов, которых развели на деньги с того же ОЛХ.
Повторюсь, проблема не в банке — проблема у клиентов.
Пугать вирусами — дело десятое, но ведь ТС должен помнить ещё свою работу в Приватбанке и в интернет-банкинге Приват24 было и есть интересное ограничение — доступ к интернет-банкингу только с определённых IP-адресов.
Не знаю как другим, а мне этот функционал сильно облегчает жизнь и спокойный ночной сон.
Ведь для обхода привязки к ip-адресам нужно приложить титанические усилия и не факт, что всё сложиться у мошенников.
Конечно в Монобанке нет и не планируется веб-версии интернет-банкинга, может и поэтому автор внёс третий пункт в качестве проблемного.
У меня дома роутер стоит на ИБП, поэтому «белый» адрес не меняется годами.
Всего один раз было изменение адреса при замене сгоревшего домового коммутатора.
Ну так сделайте список из нескольких адресов — домашний, рабочий, адрес друга (подруги) или родителей (детей).
И если у вас одномоментно измениться и домашний и рабочий «белый» ip-адрес, то может хоть один из дополнительных останеться и тогда можно будет зайти в Приват24 и актуализировать список адресов.
Всё не так сложно как кажется.
Конечно если вы используете мобильное приложение, там ip-адрес меняется даже при передвижении по городу.
Ну так удобства и безопасность всегда были на противоположных чашах весов.
И спасибо за юмор. Улыбнуло.
Если есть только предположения — нет смысла ими делиться на каждом углу.
И «пароли по непростому алгоритму» — как по мне не очень вариант.
Был уверен, что у меня все под контролем, но в итоге нашел пару брешей.
Спасибо всем.
Вам Сергей — отдельное!