3 грудня 2018, 10:45 Читать на русском

Чотири поради від засновників monobank: як не втратити гроші

99,9% випадків ІТ-шахрайства, з якими я стикався за більш ніж 15 років роботи в картковому бізнесі, вдалося б уникнути, якби клієнти керувалися цими простими рекомендаціями, — пише на своїй сторінці в Facebook один з засновників monobank Олег Гороховський.

99,9% случаев ИТ-мошенничества, с которыми я сталкивался за более чем 15 лет работы в карточном бизнесе, удалось бы избежать, если бы клиенты руководствовались этими простыми рекомендациями.1.
Фото: radiosvonoda.org

1. Фішинг — перехід за підробленими посиланнями, що імітують оригінальний клієнт-банк, в якому обслуговується клієнт і будь-які схожі різновиди виманювання даних облікового запису.

Як його уникнути?

Елементарне правило: входити в клієнт-банк можна тільки за прямим посиланням, яке ви зберегли в своєму браузері при першому вході в клієнт-банк. Банки ніколи не відправляють листів з посиланнями на вхід в свій клієнт-банк. Але навіть якщо і відправляють, ігноруйте ці посилання. Зайдіть самі за адресою вашого банку, збережіть в браузер і ніколи не заходьте до клієнт-банку інакше.

2. Соціальна інженерія.

Якщо вам надходить вхідний дзвінок/повідомлення з банку, а не ви самостійно набрали банк або написали банку в звичний месенджер — НІКОЛИ НІЧОГО не повідомляйте, крім нешкідливих відповідей на питання, типу цікавить вас якась послуга чи ні. Ніяких кодів, ПІН-кодів, паролів, надісланих в SMS. НІЧОГО! Навіть якщо той, хто телефонує, говорить вам, що без цього коду вимре вся популяція єнотів на планеті або почнеться ядерна війна.

До речі, нещодавно один клієнт звинуватив нас у тому, що став жертвою шахраїв, нічого їм не повідомивши. Це не правда. Його дружина в дзвінку в підтримку, відразу після пограбування, сказала, що ПІН-код вона не передала, а ось SMS, з кодом, що прийшов, повідомила. Шахраї зайшли в клієнт-банк з нового пристрою, натиснули «забув ПІН», на номер телефону клієнта надійшло повідомлення з одноразовим паролем, жертва передала його зловмисникам, що представилися службою безпеки банку, але і це не все. Ми відправили їй e-mail, в якому повідомили про зміну устрою і запитали чи вона це робить і вона натиснула «Підтвердити новий пристрій».

3. Зараження вірусом комп'ютера, на якому клієнт зберігав всі явки та паролі.

Лікується просто. Не зберігайте на десктопі паролі. Смартфони менш схильні до зломів і вірусів, хоча і це не зовсім безпечно. Краще придумувати паролі за непростим алгоритмом і не записувати їх нікуди. Оберіть банк, у якого хороший мобільний додаток і не користуйтеся десктопним клієнт-банком в принципі. Якщо банк правильний, то коли шахраї спробують увійти в ваш акаунт з десктопа, це буде нетипова активність і повинні спрацювати фрод-правила і багато грошей у вас не вкрадуть. Регулярно перевіряйте комп'ютер на наявність вірусів.

4. Виманювання. Дуже поширений різновид соціальної інженерії для тих, хто схильний реагувати на нігерійські листи. Гідний окремої категорії. 

Добровільний переказ грошей шахраєві з «поважних» причин. Зазвичай просять хабар за звільнення родича з в'язниці, оплатити лотерейний квиток, який вже виграв автомобіль і масу всього проти чого складно встояти. Це дуже схоже на те, як деякі добровільно віддають на вулиці гроші під гіпнозом якимсь ворожкам і магам. Що тут порадити? Просто будьте трохи уважніші і включайте мозок. Рішення про деякі дії приймає частина тіла, на якій краще сидіти, ніж нею думати.

Навіть якщо ви ігноруєте всі вищеперераховані пункти, це зовсім не означає, що ви обов'язково втратите гроші. Ми, наприклад, розробили дуже багато правил і моделей нетипової поведінки клієнтів, які призводять до обмежень і необхідності додаткового підтвердження операцій. Але у всіх цих правил завжди є зворотна сторона — нам треба вибудовувати їх так, щоб вони заважали якомога меншому відсотку хороших операцій і при їх спрацьовуванні відсоток шахрайських операцій в них був набагато вище звичайного. Тобто, щоб це було того варте. Інакше буде все безпечно, тільки користуватися цим ніхто не буде. Так як для кожної операції необхідна буде довідка з поліклініки і флюорографія.

Крім того, ми дуже щільно взаємодіємо з правоохоронними органами по затриманню шахраїв. Не минає тижня, щоб ми не ловили якогось шахрая або групу. Так само всім запитам від кібер-поліції у нас підвищений пріоритет і ми завжди даємо максимально детальну інформацію. Нам дуже важливо допомогти клієнтам повернути їхні гроші.

Але ще раз повторю.                                                                                                                      Якщо ви виконуєте ці 4 пункти вас не пограбують НІКОЛИ. Я користуюся інтернет-банками, напевно, 5 або 6 різних банків вже більше 10 років і за весь цей час не втратив ні копійки грошей. І я навіть не стукаю по дереву, коли це говорю. Втрата грошей — це ні везіння або невезіння — це просто елементарна ІТ-гігієна в XXI столітті.

P.S. Карткова гігієна тут не описана. Якщо потрібні базові правила користування картами з XX століття пишіть в коменти, буде натхнення опишу і їх.

Коментарі - 31

+
+22
Андрей Кул
Андрей Кул
3 грудня 2018, 11:27
#
К сожалению данную статью прочитают только читатели Минфина, а таковыми являются и так финансово грамотные граждане. Нужны другие методы донесения финансовой грамотности населению и я предлагаю это делать именно банкам. Втирать каждому при каждом обращении клиента, вот тогда что то да и получится.
+
+47
l2x8
l2x8
3 грудня 2018, 11:35
#
Оригинал статьи в Фейсбуке. У Гороховского 32 601 человек подписчиков. Есть надежда, что прочитают и «финансово безграмотные».
+
0
Андрей Кул
Андрей Кул
11 грудня 2018, 17:01
#
У него в подписках те, кто в теме
+
+71
drmx
drmx
3 грудня 2018, 13:41
#
И еще включите авторизацию оплат через смс или почту. Я где-то засветил свою карту. Уже заблокировал ее, но раза 2 неделю приходят смс о попытках снять бабло…
+
+56
mary27
mary27
3 грудня 2018, 20:22
#
Главный совет — вспомнить про события в «Привате»...)
+
+26
18152229
18152229
3 грудня 2018, 21:12
#
З мого опита по карткам, в мене іще ніколи небуло попиткі щоб хтось зняв з картки без мене і я згоден з тими пунктами які предоставлені више даже в любих магазинах коли тармінал банка запитуе пінкод завжди прикриваю рукою, золоте правило. Колись продавець говорить навіщо ви прикриваете пінкод рукою коли вносите я його небачу ну я відповів може ви небачити а камери які стоять в магазині все бачать — прислівя береженого бог береже.
+
+15
Zhmunya
Zhmunya
4 грудня 2018, 9:02
#
Ваш пин-код без карты никому не нужен, а если карта с чипом, то и подавно. А вот CVV-код это уже совсем другое, поэтому лучше его заклеит наклейкой от Монобанка — он доступен в приложении по необходимости.
+
0
Rabotyahoff
Rabotyahoff
4 грудня 2018, 10:14
#
> лучше его заклеит наклейкой от Монобанка — он доступен в приложении по необходимости
Што?
+
0
Zhmunya
Zhmunya
4 грудня 2018, 10:29
#
Нажмите на карту в приложении и она перевернется — там будет указан ваш CVV-код.
В Альфа-Банке и Приватбанке так же доступна такая функция в приложении, но реализована по другому
+
0
Юрий Новокрещенов
Юрий Новокрещенов
4 грудня 2018, 11:46
#
А если учесть, что Вы почти на 99% в одних и тех же местах бываете и карточку могут украсть?
Как-то я раньше не задумывался прятать момент ввода ПИНа.
+
0
Zhmunya
Zhmunya
4 грудня 2018, 14:29
#
Звоните в банк и блокируете карту, если её украли — это стандартная процедура в таких случаях.
Если карту украли, то не нужен ваш пин-код — можно при помощи CVV-кода на обратной стороне вывести все средства.
Не занимайтесь фигней — прятать и скрывать, это панацея.
+
0
Юрий Новокрещенов
Юрий Новокрещенов
6 грудня 2018, 10:15
#
Логично. Спасибо.
1. Если карта у тебя, то знание твоего ПИНа не поможет, т.к. нужен CVV.
2. Если карту у тебя украли, то по фигу твой ПИН — снимут т.к. будут знать CVV.
+
0
Zhmunya
Zhmunya
6 грудня 2018, 11:15
#
Уточнение — все выше сказанное не относится к картам Приватбанка. Там все плохо из-за их технологичности, но там есть привязка к номеру телефона.
+
0
Qwerty1999
Qwerty1999
6 грудня 2018, 12:19
#
Всё плохо у тех кто ничего толком не знает и не желает знать…

У Привата с картами всё нормально, основные проблемы с держателями этих карт.
А так как их более двадцати миллионов, то всегда найдутся клиенты, халатно относящиеся к сохранению информации не предназначенной для передачи посторонним лицам.

Владельцам карт лень устанавливать лимиты на различные виды операций, не интересно активировать двухфакторную авторизацию а уж поговорить по телефону со «службой безопасности» банка — так это завсегда и помногу.

Всё это неоднократно обсуждалось — а воз и ныне там…

Социальная инженерия обходит все преграды и защиты…
+
0
Zhmunya
Zhmunya
6 грудня 2018, 12:28
#
Да в этом есть проблема — большая клиентская база.
+
0
Qwerty1999
Qwerty1999
6 грудня 2018, 12:39
#
Проблема не в большой клиентской базе, а в низком уровне финансового образования части клиентов.

Какая разница, клиентов Привата или клиентов Альфа-банка разведут на деньги — только и того, что пока в Привате клиентов в десятки раз больше, поэтому и жалоб по Привату больше.
Хотя уже и по Альфе и по Авалю попадаются отзывы клиентов, которых развели на деньги с того же ОЛХ.

Повторюсь, проблема не в банке — проблема у клиентов.
+
0
Qwerty1999
Qwerty1999
4 грудня 2018, 11:37
#
Я бы поспорил с автором по третьему пункту.
Пугать вирусами — дело десятое, но ведь ТС должен помнить ещё свою работу в Приватбанке и в интернет-банкинге Приват24 было и есть интересное ограничение — доступ к интернет-банкингу только с определённых IP-адресов.
Не знаю как другим, а мне этот функционал сильно облегчает жизнь и спокойный ночной сон.
Ведь для обхода привязки к ip-адресам нужно приложить титанические усилия и не факт, что всё сложиться у мошенников.
Конечно в Монобанке нет и не планируется веб-версии интернет-банкинга, может и поэтому автор внёс третий пункт в качестве проблемного.
+
0
Zhmunya
Zhmunya
6 грудня 2018, 12:37
#
Статический IP для большинства операторов интернет — это роскошь, которую надо дополнительно оплачивать.
+
0
Qwerty1999
Qwerty1999
6 грудня 2018, 12:47
#
Все клиенты интернет-провайдеров рано или поздно выходят в интернет из под «белого» ip-адреса.

У меня дома роутер стоит на ИБП, поэтому «белый» адрес не меняется годами.
Всего один раз было изменение адреса при замене сгоревшего домового коммутатора.

Ну так сделайте список из нескольких адресов — домашний, рабочий, адрес друга (подруги) или родителей (детей).
И если у вас одномоментно измениться и домашний и рабочий «белый» ip-адрес, то может хоть один из дополнительных останеться и тогда можно будет зайти в Приват24 и актуализировать список адресов.

Всё не так сложно как кажется.
Конечно если вы используете мобильное приложение, там ip-адрес меняется даже при передвижении по городу.
Ну так удобства и безопасность всегда были на противоположных чашах весов.
+
+7
Юрий Новокрещенов
Юрий Новокрещенов
4 грудня 2018, 11:43
#
Спасибо за статью. Полезно в любом случае, даже если это для кого-то очевидные вещи.
И спасибо за юмор. Улыбнуло.
+
+60
SergS7
SergS7
4 грудня 2018, 11:43
#
Перший заступник голови правління Приватбанка Гороховський чомусь не роздавав порад у той час, як з банка виводилось 180 000 000 000 грн.
+
0
Qwerty1999
Qwerty1999
4 грудня 2018, 12:28
#
Он не отвечал за вывод средств — вот и не давал советов.
+
0
SergS7
SergS7
5 грудня 2018, 14:40
#
Та знаємо ми класиків. Ці очі нічого не бачили, ці руки нічого не крали
+
+15
Qwerty1999
Qwerty1999
5 грудня 2018, 22:19
#
Если есть компромат- настучите в прокуратуру.
Если есть только предположения — нет смысла ими делиться на каждом углу.
+
0
mary27
mary27
4 грудня 2018, 16:11
#
Вот и я о том же.
+
0
Юрий Новокрещенов
Юрий Новокрещенов
4 грудня 2018, 11:49
#
А вот по поводу паролей и как их хранить — для меня целая дилемма.
И «пароли по непростому алгоритму» — как по мне не очень вариант.
+
0
Zhmunya
Zhmunya
4 грудня 2018, 14:30
#
Английскими буквами в русской раскладке или наоборот + цифры и спецсимволы — мне помогает.
+
0
Юрий Новокрещенов
Юрий Новокрещенов
6 грудня 2018, 10:20
#
В любом случае все вместе заставило пересмотреть текущее отношение к карточкам и безопасности.
Был уверен, что у меня все под контролем, но в итоге нашел пару брешей.
Спасибо всем.
Вам Сергей — отдельное!
+
0
Tisha ™
Tisha ™
4 грудня 2018, 14:38
#
Енотиков жалко… :(
+
0
Валентин Ковальчук
Валентин Ковальчук
5 грудня 2018, 14:17
#
Поради корисні, підтримую. Завжди заморочка із паролями — з часом їх стає в житті все більше і простий алгоритм веде до плутанини. Крім того, існкує потреба постійно змінювати в період 90 днів. А на все (телефони, планшети, стаціонарний комп, робочий, мобільні додатки, реєстрація на сайтах) одного пароля не поставиш.Ось би якись алгоритм по кругооббігу паролей у памяті?
+
+15
dmitriyz
dmitriyz
7 грудня 2018, 13:23
#
KeePass и ему подобные приложения не пробовали?
Щоб залишити коментар, потрібно увійти або зареєструватися
 
Реклама