1. Фішинг — перехід за підробленими посиланнями, що імітують оригінальний клієнт-банк, в якому обслуговується клієнт і будь-які схожі різновиди виманювання даних облікового запису.
Як його уникнути?
Елементарне правило: входити в клієнт-банк можна тільки за прямим посиланням, яке ви зберегли в своєму браузері при першому вході в клієнт-банк. Банки ніколи не відправляють листів з посиланнями на вхід в свій клієнт-банк. Але навіть якщо і відправляють, ігноруйте ці посилання. Зайдіть самі за адресою вашого банку, збережіть в браузер і ніколи не заходьте до клієнт-банку інакше.
2. Соціальна інженерія.
Якщо вам надходить вхідний дзвінок/повідомлення з банку, а не ви самостійно набрали банк або написали банку в звичний месенджер — НІКОЛИ НІЧОГО не повідомляйте, крім нешкідливих відповідей на питання, типу цікавить вас якась послуга чи ні. Ніяких кодів, ПІН-кодів, паролів, надісланих в SMS. НІЧОГО! Навіть якщо той, хто телефонує, говорить вам, що без цього коду вимре вся популяція єнотів на планеті або почнеться ядерна війна.
До речі, нещодавно один клієнт звинуватив нас у тому, що став жертвою шахраїв, нічого їм не повідомивши. Це не правда. Його дружина в дзвінку в підтримку, відразу після пограбування, сказала, що ПІН-код вона не передала, а ось SMS, з кодом, що прийшов, повідомила. Шахраї зайшли в клієнт-банк з нового пристрою, натиснули «забув ПІН», на номер телефону клієнта надійшло повідомлення з одноразовим паролем, жертва передала його зловмисникам, що представилися службою безпеки банку, але і це не все. Ми відправили їй e-mail, в якому повідомили про зміну устрою і запитали чи вона це робить і вона натиснула «Підтвердити новий пристрій».
3. Зараження вірусом комп'ютера, на якому клієнт зберігав всі явки та паролі.
Лікується просто. Не зберігайте на десктопі паролі. Смартфони менш схильні до зломів і вірусів, хоча і це не зовсім безпечно. Краще придумувати паролі за непростим алгоритмом і не записувати їх нікуди. Оберіть банк, у якого хороший мобільний додаток і не користуйтеся десктопним клієнт-банком в принципі. Якщо банк правильний, то коли шахраї спробують увійти в ваш акаунт з десктопа, це буде нетипова активність і повинні спрацювати фрод-правила і багато грошей у вас не вкрадуть. Регулярно перевіряйте комп'ютер на наявність вірусів.
4. Виманювання. Дуже поширений різновид соціальної інженерії для тих, хто схильний реагувати на нігерійські листи. Гідний окремої категорії.
Добровільний переказ грошей шахраєві з «поважних» причин. Зазвичай просять хабар за звільнення родича з в'язниці, оплатити лотерейний квиток, який вже виграв автомобіль і масу всього проти чого складно встояти. Це дуже схоже на те, як деякі добровільно віддають на вулиці гроші під гіпнозом якимсь ворожкам і магам. Що тут порадити? Просто будьте трохи уважніші і включайте мозок. Рішення про деякі дії приймає частина тіла, на якій краще сидіти, ніж нею думати.
Навіть якщо ви ігноруєте всі вищеперераховані пункти, це зовсім не означає, що ви обов'язково втратите гроші. Ми, наприклад, розробили дуже багато правил і моделей нетипової поведінки клієнтів, які призводять до обмежень і необхідності додаткового підтвердження операцій. Але у всіх цих правил завжди є зворотна сторона — нам треба вибудовувати їх так, щоб вони заважали якомога меншому відсотку хороших операцій і при їх спрацьовуванні відсоток шахрайських операцій в них був набагато вище звичайного. Тобто, щоб це було того варте. Інакше буде все безпечно, тільки користуватися цим ніхто не буде. Так як для кожної операції необхідна буде довідка з поліклініки і флюорографія.
Крім того, ми дуже щільно взаємодіємо з правоохоронними органами по затриманню шахраїв. Не минає тижня, щоб ми не ловили якогось шахрая або групу. Так само всім запитам від кібер-поліції у нас підвищений пріоритет і ми завжди даємо максимально детальну інформацію. Нам дуже важливо допомогти клієнтам повернути їхні гроші.
Але ще раз повторю. Якщо ви виконуєте ці 4 пункти вас не пограбують НІКОЛИ. Я користуюся інтернет-банками, напевно, 5 або 6 різних банків вже більше 10 років і за весь цей час не втратив ні копійки грошей. І я навіть не стукаю по дереву, коли це говорю. Втрата грошей — це ні везіння або невезіння — це просто елементарна ІТ-гігієна в XXI столітті.
P.S. Карткова гігієна тут не описана. Якщо потрібні базові правила користування картами з XX століття пишіть в коменти, буде натхнення опишу і їх.