Banques. Cotisations et dépôts. Transferts d'argent. Prêts et impôts

Comment protéger les services bancaires en ligne contre les escrocs. Les propriétaires d'une banque mobile sur Android pourraient attraper un virus à partir d'une publicité. Comment l'argent est volé via la banque mobile de la Sberbank

Sberbank n'a vraiment pas failli avec le choix des développeurs de son client mobile. Cependant, soit les programmeurs étaient trop emportés, soit les exigences de Sberbank étaient tellement perverties, mais une fois qu'une bonne application a également été victime d'une augmentation sans fin des fonctionnalités. Et cela a conduit au fait que l'application en ligne Sberbank a dû être supprimée de la plupart de mes appareils, et des méthodes spéciales ont été utilisées sur le reste pour minimiser ses effets nocifs sur le système.

Quel est le problème avec l'application en ligne Sberbank?

Premier problème Sberbank mobile est sa taille. Le fichier APK avec l'application ne pèse pas moins de 41 Mo. A titre de comparaison: le jeu Smash Hit avec d'excellents graphismes en trois dimensions pèse 80 Mo, le jeu Geometry Dash avec un tas de niveaux et de morceaux de musique - 48 Mo, et Google Chrome - les mêmes 41 Mo. Notez que dans ce cas nous comparons un logiciel complexe et complexe à une application client dont le seul travail est de recevoir des données du serveur et de les renvoyer en réponse aux actions de l'utilisateur.

$ ls - lh * . apk

OK, je suis d'accord qu'avec la quantité actuelle de mémoire interne et les vitesses Internet, la taille de l'application n'a pas vraiment d'importance, mais son poids affecte également la quantité de RAM consommée par l'application. Sur différents appareils avec différentes quantités de RAM et différents paramètres Low Memory Killer, la taille de l'application en RAM peut varier de 40 à 80 Mo. Encore une fois, à titre de comparaison : l'une des applications Google Chrome les plus gourmandes avec un onglet ouvert consomme ~ 90 Mo. Et le plus triste est que, contrairement à Chrome, qui sera évincé de la mémoire quelque temps après la fermeture, Sberbank y restera suspendu en tant que service pendant toute la durée du smartphone. Si vous le tuez, il redémarrera, si vous redémarrez votre smartphone, il démarrera au démarrage, si vous utilisez un tueur de tâche, vous obtiendrez un ping-pong appelé "Au revoir batterie" : le tueur de tâche tue le service, le système le démarre, et ainsi de suite à l'infini.

En douze heures, Sberbank a réveillé le smartphone 27 fois. Si le mode d'économie d'énergie d'Android 6.0 ne l'avait pas dérangé, il l'aurait fait encore plus souvent.

Eh bien, ça se bloque et se bloque, c'est peut-être une telle optimisation pour l'accélération
lancer ou autre chose, sur les smartphones modernes avec trois Go de mémoire, 80 Mo, c'est un non-sens. Mais non, le service ne se contente pas de rester en mémoire, il réveille régulièrement le smartphone pour mettre à jour les informations de localisation de l'appareil et effectuer d'autres tâches. Encore une fois, l'application que vous utilisez une fois par semaine pour déposer de l'argent sur votre téléphone ou consulter votre solde est constamment en retrait et réveille régulièrement votre smartphone ! Si cela vous semble bizarre, lisez la suite et vous découvrirez ce qu'est vraiment "bizarre".

"LA BANQUE SE SOUCIE DE VOTRE SÉCURITÉ FINANCIÈRE"

C'est exactement la réponse que j'ai reçue de @sberbank sur Twitter lorsque je leur ai montré la capture d'écran ci-dessous. Ce que c'est? Ceci est un message de l'antivirus Kaspersky intégré à Sberbank. Oui, cher lecteur, Sberbank ne se bloque pas seulement en arrière-plan et réveille constamment votre smartphone, il se réveille également chaque fois que vous installez une nouvelle application, et il a également une certaine routine de vérification. Vous êtes assis, en train de lire un livre - et soudain, Sberbank se réveille et commence à scanner le système. Comment cela affecte la batterie, je pense qu'il n'est pas nécessaire d'expliquer.

La caractéristique la plus paradoxale de Sberbank est que, blâmant d'autres applications pour la capacité d'envoyer des SMS (comme dans la capture d'écran ci-dessus), Sberbank elle-même peut non seulement les envoyer, mais aussi les lire et même les modifier. Il peut également lire les contacts, prendre des photos, contrôler Bluetooth, passer des appels, modifier les paramètres du smartphone, les paramètres Wi-Fi, trouver l'emplacement, tuer les processus d'arrière-plan, lire et modifier l'historique du navigateur, modifier les paramètres APN, surveiller les applications en cours d'exécution, suivre l'installation et la suppression. d'applications, lire et écrire des journaux d'appels.

Ce n'est qu'une partie des pouvoirs demandés par l'application en ligne Sberbank.

Pas mal, n'est-ce pas ? Tous les chevaux de Troie n'ont pas une liste aussi impressionnante de pouvoirs. Et ne dites pas que l'antivirus a besoin de tout cela - il m'est difficile de penser pourquoi il pourrait avoir besoin de pouvoir appeler, supprimer, gérer le Wi-Fi ou lire les journaux d'appels. Je ne bégaie pas sur les listes de contacts, Sberbank utilise leur accès pour faire transferts rapides de l'argent. Cela ne vous dérange pas que votre carnet de contacts soit fusionné avec Sberbank, n'est-ce pas ?

CE QU'IL FAUT FAIRE?

Sberbank n'est pas la seule application victime du désir d'entasser tout ce qui est possible dans l'application. Il en existe un grand nombre sur le marché et les méthodes de «combat» avec eux sont presque toujours les mêmes. La première chose à faire est de révoquer les autorisations de l'application. Si vous avez Android 6.0, vous pouvez le faire en ouvrant les "Paramètres de l'application Sberbank" et en désactivant tout sauf "Mémoire" dans le menu "Autorisations". La prochaine fois que vous lancerez l'application, elle demandera à nouveau l'autorisation et vous devrez la refuser.

S'il n'y a pas d'Android 6.0, mais qu'il y a CyanogenMod, la même chose peut être faite dans le menu "Paramètres - Confidentialité - Mode protégé - Sberbank" (bien que dans ce cas, l'application puisse planter). S'il n'y a ni Android 6.0 ni CyanogenMod, mais il y a Greenify. Nous installons l'application, acceptons de lui donner les droits root, appuyons sur le bouton + dans la barre d'outils et voyons une liste d'applications qui réveillent le smartphone. Sberbank sera sûrement quelque part au début. Appuyez dessus et appuyez sur le bouton rond en bas de l'écran. Désormais, l'application sera gelée immédiatement après l'extinction de l'écran et ne démarrera plus toute seule.

AU LIEU DE CONCLUSIONS

En fait, bien sûr, je comprends d'où vient cette fonctionnalité dans le client Sberbank. Qu'on le veuille ou non, il est plus facile d'intégrer un antivirus dans l'application que de traiter avec des milliers d'utilisateurs qui se sont fait voler leur argent. Oui, et de nombreux utilisateurs adorent les applications hyperfonctionnelles capables de préparer du café. Le même ES File Explorer est très populaire, malgré la congestion tout simplement fantastique avec toutes sortes de fonctions. Mais comme argument dans le débat houleux « apps vs bots », j'entends de plus en plus les mots : « Les bots sont simples, rapides et ne nécessitent pas d'installation, tandis que les applications modernes sont lourdes et vident la batterie. C'est tout, bonne chance.

Avec la popularité croissante des sites en ligne et les services bancaires mobiles avoir et verso. Selon les experts, ces dernières années, l'écrémage est devenu de moins en moins courant - l'installation de lecteurs sur un guichet automatique. D'autre part, les tentatives de piratage des systèmes de contrôle à distance sont devenues beaucoup plus fréquentes. service bancaire, le vol de mots de passe dans les applications bancaires mobiles et divers régimes"tromperie sociale".

Selon les statistiques de la Banque de Russie, le nombre de transactions non autorisées effectuées via des guichets automatiques ou des terminaux de paiement en 2014 a diminué de moitié par rapport à l'année précédente. Les écrémeurs ont attaqué les guichets automatiques dans 21 % des cas, et la proportion opérations illégales sur le Web atteint 65,8 %. Au total, la Banque centrale a enregistré près de 5 000 tentatives de retrait ou de transfert d'argent d'autrui sur Internet au cours de l'année écoulée, et le coût total des opérations s'est élevé à 1,64 milliard de roubles. Dans le même temps, la grande majorité des tentatives des escrocs ont réussi.

"L'augmentation du nombre de délits dans le domaine de la banque en ligne est principalement due au degré de pénétration des systèmes de banque à distance : par exemple, désormais 40 % des clients de notre banque sont des utilisateurs de services bancaires mobiles et Internet, et ce chiffre est en augmentation. tous les mois », explique Pavel Mikhalev, chef du département de développement des services mobiles, MDM Bank.

En outre, l'expert relie la diminution du niveau des attaques d'écrémage à l'introduction récente de la responsabilité pénale pour de tels crimes. "En juin de cette année, des amendements au Code pénal de la Fédération de Russie sont entrés en vigueur, prévoyant une responsabilité pouvant aller jusqu'à 6 ans pour l'écrémage, tandis que les criminels qui volent de l'argent aux clients des banques via le numérique sont souvent condamnés à une peine avec sursis", note Pavel Mikhalev.

Les experts et les responsables de l'application des lois attribuent cela à plusieurs autres facteurs. Premièrement, le niveau de sécurité des cartes bancaires a augmenté : depuis le 1er juillet de cette année, les banques sont tenues de fournir une puce à toutes les cartes émises. Contrairement aux "simples" équipées d'une bande magnétique, les cartes à puce nécessitent la saisie d'un code PIN à chaque opération de paiement. Et cela a rendu la vie difficile aux skimmers, qui, en plus d'intercepter les données des cartes aux guichets automatiques, doivent désormais également obtenir un code PIN.

Calcul des faiblesses de la modernité technologie bancaire, les escrocs inventent de nouvelles façons de tromper.

"Les escrocs utilisent une variété d'astuces techniques, dont la plupart se résument à escroquer l'utilisateur des informations personnelles nécessaires pour effectuer des transactions avec ses comptes", explique Responsable du Département Banque à Distance chez VTB24 Elena Degteva. – Le calcul est fait sur l'inattention et la crédulité – en particulier, il s'agit de phishing (un lien vers une fausse page bancaire qui demande un identifiant et un mot de passe pour entrer dans la banque Internet, des codes à usage unique, des détails carte bancaire etc.) ou un programme cheval de Troie qui met une fausse page Web et envoie les données saisies par le client aux intrus.

L'agence d'analyse Markswebb Rank & Report a mené une étude sur la sécurité des services bancaires sur Internet et mobiles. L'étude a examiné la fiabilité de la protection des systèmes bancaires à distance de 20 banques avec le plus grand nombre d'utilisateurs de la version en ligne de la banque. Dans toutes les banques, les employés des agences ont d'abord agi en tant que clients, puis en tant que fraudeurs. C'est-à-dire qu'ils ont d'abord commencé cartes de débit, enregistré dans les banques Internet concernées et essayé de faire des achats. Et puis ils ont essayé de deviner le mot de passe, réédité la carte SIM liée au compte, etc.

Comme l'a montré l'étude, en général, les banques russes n'ont pas d'exigences de sécurité très strictes. Par exemple, cinq banques n'utilisent pas mots de passe à usage unique pour l'authentification (connexion à la banque Internet) de l'utilisateur, dans deux banques, le mot de passe SMS d'une opération peut être utilisé pour confirmer l'autre, et seules quatre banques exigent la confirmation du numéro de téléphone après la réémission de la carte SIM, les autres continuent à envoyer des mots de passe à nouveau numéro, déclare Alexey Skobelev, PDG de Markswebb Rank & Report.

Citibank, Alfa-Bank, Banque Tinkoff”, VTB24 et norme russe. Les dernières lignes de la notation sont allées à Raiffeisenbank, MTS Bank et Binbank.

Pendant ce temps, comme dit Responsable du Département Développement de l'Internet Banking personnes Binbank Evgueni Loktev, le système de sécurité de la banque en ligne Binbank est pensé dans les moindres détails. "Un nom d'utilisateur et un mot de passe sont utilisés pour se connecter, pour une connexion rapide (lorsque l'application est déjà installée et la première connexion est effectuée) un code ou une empreinte digitale est utilisé (pour certains modèles de téléphones prenant en charge cette fonctionnalité), lors de la connexion , le client reçoit un message de connexion sur le numéro de téléphone mobile enregistré par le client, lors de transactions financières critiques, des mots de passe à usage unique sont utilisés, qui sont également envoyés au numéro de téléphone mobile enregistré par le client », a-t-il indiqué.

Les experts sont d'accord : la partie la plus vulnérable banque mobile est l'utilisateur lui-même. "Un attaquant peut simplement espionner le nom d'utilisateur et le mot de passe pour entrer dans le banque mobile- par exemple, dans un café ou dans les transports, - dit Pavel Mikhalev. "Souvent, les utilisateurs sont également attaqués par le biais de la soi-disant ingénierie sociale, lorsque des attaquants frauduleusement, sous le couvert de connaissances ou de proches, extorquent des données personnelles à des personnes crédules."

"Les escrocs sont incroyablement inventifs et parfaitement capables de se faire plaisir", convient Yevgeny Loktev, et recommande donc qu'en aucun cas quiconque ne fournisse des informations sur lui-même pouvant être utilisées pour entrer dans une banque Internet ou mobile. "Et ce n'est pas toujours directement le nom d'utilisateur et le mot de passe, mais aussi des données personnelles, dont la connaissance peut être utilisée par des fraudeurs pour changer le mot de passe via le centre d'appels de la banque."

Et afin de rendre la tâche de piratage d'une banque mobile aussi difficile que possible en cas de perte ou de vol d'un smartphone ou d'une tablette, les experts en sécurité bancaire vous recommandent de bien réfléchir au mot de passe. "Si nous parlons de méthodes techniques de pénétration du système, la principale est la" force brute "- une simple énumération de combinaisons de logins et de mots de passe. Nous utilisons une méthode spéciale pour nous protéger contre de telles attaques », explique Pavel Mikhalev. "Même avec un nom d'utilisateur et un mot de passe pour la banque mobile de la "victime", un attaquant ne pourra pas effectuer de transactions non autorisées, car les transactions sont confirmées par des mots de passe SMS à usage unique."

La règle évidente est que le mot de passe doit être composé de différents caractères - lettres majuscules et minuscules, chiffres, icônes (par exemple, % ou $). Les combinaisons évidentes de chiffres (12345) et alphabétiques (qwerty, « mot de passe ») doivent être évitées. Les mots de passe qui vous sont facilement associés, tels que votre nom de famille, votre date de naissance ou votre ville, ne sont pas non plus sûrs. Pavel Mikhalev recommande également d'utiliser l'authentification biométrique dans les services bancaires mobiles en utilisant la technologie Touch ID sur iPhone et un modèle sur les smartphones Android.

Et pour ceux qui effectuent des transactions pour de gros montants sur Internet et les services bancaires mobiles, et qui souhaitent également assurer une sécurité maximale pour les paiements, Elena Degteva recommande d'utiliser un générateur de mot de passe. « Il pourra être utilisé pendant plusieurs années, ce qui permettra de se rendre moins souvent à l'agence bancaire », rappelle-t-elle.

"Les escrocs peuvent appeler ou envoyer des mailings SMS au nom de la banque pour obtenir des données confidentielles : identifiant, mot de passe, code de confirmation de paiement unique, détails de la carte de crédit", prévient Chef de département sécurité Economique JSC Raiffeisenbank Vadim Budaev.

En règle générale, un SMS est envoyé sur le téléphone portable d'un client de la banque indiquant que sa carte bancaire est prétendument bloquée ou que des transactions suspectes y sont effectuées. Le message vous invite à contacter "Bank Security" ou "Visa Security". Le numéro de téléphone pour la communication est également indiqué ici - en règle générale, un téléphone portable, mais avec un indicatif régional. En appelant un tel numéro, l'arnaque se développe selon plusieurs scénarios : le plus souvent, un escroc se faisant passer pour un « agent de sécurité bancaire » oblige un client crédule à fournir ses données de passeport et de carte bancaire, après quoi il retire de l'argent de son compte. Parfois, la carte paie directement la facture de téléphonie mobile, après quoi l'argent est encaissé par l'intermédiaire de l'entreprise - l'opérateur de télécommunications. Dans un autre cas, suivant les instructions de "l'employé de banque", le client s'engage à téléphone mobile fraude sa banque en ligne, et il dévaste son compte. Autre option : la victime, sous la direction du fraudeur, insère sa carte dans un guichet automatique et entre une série de commandes « pour déverrouiller la carte ». En effet, ces commandes assurent le transfert d'argent du compte de la victime vers le compte du fraudeur. Parfois, mais beaucoup moins souvent, note Vadim Budaev, les attaquants utilisent une méthode de fraude moins "technologique", dont l'essence est d'obtenir une carte SIM liée au numéro de téléphone portable de la victime à l'aide d'une fausse procuration.

Les experts avertissent : aucun banque russe, et plus encore le paiement Systèmes de visas et Master Card n'envoie jamais de SMS concernant le blocage de la carte, et encore plus concernant les "transactions suspectes". Par conséquent, à la réception d'un message suspect, le titulaire de la carte bancaire ne doit en aucun cas appeler le numéro de téléphone spécifié, mais contacter immédiatement la banque en utilisant le numéro de téléphone qui figure sur la carte bancaire elle-même.

Il est extrêmement difficile de restituer l'argent volé par les fraudeurs. Dans un premier temps, la victime devra prouver qu'elle n'a pas elle-même « aidé » les escrocs à accéder à son compte. "Malheureusement, Législation russe dans ce domaine est imparfait, mais chaque cas de fraude fait l'objet d'une enquête, - dit Pavel Mikhalev. – Dans les cas où le client n'a pas violé les termes accord bancaire, nous avançons toujours.

Aussi parfaites soient-elles, les technologies de sécurité utilisées par la banque n'ont donc aucun sens si les règles élémentaires de sécurité sur Internet sont négligées.

Comment sécuriser les services bancaires en ligne :
- ne jamais télécharger application mobile misez sur des ressources non officielles ou sur des sites tiers, car ils peuvent être infectés par des virus, installez des programmes uniquement via des magasins officiels : jeu de Google, Apple Store, Windows Store ;
- Nous recommandons aux propriétaires d'appareils mobiles Android dans la section "Paramètres" - "Sécurité" de décocher la colonne "Sources inconnues", cela protégera le gadget de l'installation d'applications à partir de sites tiers ;
- installez un antivirus et analysez régulièrement votre gadget, dans les paramètres de l'antivirus, activez l'analyse des applications lors de l'installation ;
– ne pas recourir au piratage du système de protection de l'appareil : Root (sur la plateforme Android) et Jailbreak (sur la plateforme iOS), cela augmente considérablement la vulnérabilité du smartphone aux malwares ;
– activez la fonction de verrouillage automatique sur l'appareil et protégez-le avec un mot de passe ;
- ne stockez pas les identifiants et mots de passe, numéros de carte, données de passeport et autres informations confidentielles sur l'appareil afin qu'il ne devienne pas la propriété d'étrangers en cas de perte du gadget.
– ne pas ouvrir de liens suspects sur Internet reçus par mail, dans un message ou de réseaux sociaux.
– attention, et en cas de comportement non standard de l'appareil lors de l'utilisation de la banque mobile, une demande à fournir Informations Complémentaires concernant les cartes de paiement ou le refus d'enregistrer l'appareil dans le réseau de l'opérateur (la carte SIM est invalide), contactez la banque pour bloquer le système.


Les escrocs sur Internet sont très friands des propriétaires de smartphones Android. Surtout s'ils ont installé une banque mobile. Banki.ru écrit aujourd'hui sur une autre attaque de cybercriminels.

Pour attirer les internautes crédules dans leurs réseaux, les escrocs ont utilisé ce stratagème. Grâce au célèbre système de publicité contextuelle Yandex.Direct, ils ont annoncé leur site avec des applications mobiles de différentes banques. Étant donné que de nombreux sites russes participent au réseau publicitaire Yandex, ces publicités ont même été diffusées sur les principaux sites d'information. L'annonce des escrocs ressemblait à ceci (selon Banki.ru, elle a été diffusée le 23 août pendant environ une journée):

Une personne clique sur cette annonce et accède à un site Web conçu à l'aide des symboles de Sberanka. Le site rapporte que depuis le 20 mai 2015, le service client a été transféré sur l'application mobile Sberbank Online pour Android, et propose immédiatement de l'installer :

Cliquer sur le gros bouton orange "Installer l'application" ouvre le fichier APK (application Android). Ce fichier a été remis à Banki.ru pour analyse par des experts bien connus dans le domaine de la sécurité informatique - la société Group-IB.

Les experts ont expliqué que le fichier contient du code malveillant et est essentiellement un cheval de Troie bancaire. Une fois installée sur le smartphone de la victime, l'application va intercepter des informations importantes : informations de carte bancaire, SMS de la banque avec codes de confirmation, etc.

Cela signifie que les attaquants pourront déduire de l'argent de votre carte et accéder à d'autres comptes via les services bancaires en ligne.

De plus, le cheval de Troie pourra utiliser votre liste de contacts et envoyer un lien vers une application malveillante à vos amis. De plus, les escrocs pourront lire vos correspondances SMS et trouver des messages, par exemple, avec des mots de passe de vos autres banques Internet. Le pire, c'est que tout cela se passe en temps réel. Autrement dit, vous ne soupçonnez peut-être même pas que vos messages ont été interceptés.

Un cheval de Troie bancaire peut être détecté sur des bannières publicitaires suspectes (généralement, elles clignotent vivement, proposent des régimes, de la pornographie, des rencontres, etc. et ouvrent de nouvelles fenêtres dans votre navigateur), ainsi que lorsque vous cliquez sur un lien dans le spam. Ce lien peut vous être envoyé par SMS ou par e-mail. Par conséquent, soyez prudent et ne suivez pas les liens de destinataires inconnus.

Il n'y a pas lieu d'avoir peur de la publicité dans Yandex.Direct ou Google : ces systèmes publicitaires vérifient soigneusement toutes les publicités. La probabilité qu'une annonce frauduleuse soit publiée est extrêmement faible. Cependant, de son côté, chaque utilisateur ne doit pas oublier les règles élémentaires de sécurité. En particulier, vous devez toujours avoir un antivirus sous licence installé et constamment mis à jour. Il existe également un antivirus intégré dans l'application mobile de Sberbank. Ainsi, lorsque vous tenterez d'installer une fausse application, la vraie vous enverra un signal :

Comment se protéger des applications malveillantes si vous utilisez le mobile banking sur votre smartphone :

  • assurez-vous d'installer un programme antivirus sous licence et de le mettre à jour régulièrement ;
  • utilisez uniquement l'application bancaire en ligne officielle publiée sur le site Web de votre banque ;
  • obtenez une carte SIM séparée pour recevoir des mots de passe bancaires à usage unique. Ne l'insérez pas dans le smartphone sur lequel l'application mobile de banque en ligne est installée ;
  • utiliser une vérification supplémentaire des transactions via la banque Internet - jetons, cartes avec mots de passe à usage unique, etc.;
  • accéder à la banque Internet uniquement depuis le site officiel de votre banque. Vous devez fournir un lien vers la banque en ligne de votre banque lors de la connexion du système de service à distance ;
  • en entrant sur le site Internet banking, n'oubliez pas de vérifier la présence d'un cadenas vert et de lettres https au début de la barre d'adresse. Cela signifie que la connexion est sécurisée et authentique. Cela ressemble à ceci :

Certains conseils peuvent vous sembler élémentaires, mais c'est là que commence la sécurité.

Méthodes de fraude à la carte

L'imagination des criminels est sans limite. Chaque année, de nouvelles méthodes plus sophistiquées apparaissent littéralement. Considérons les principaux.

La fraude aux cartes bancaires s'appelle le carding.

Commençons par les "classiques". Vous êtes venu retirer de l'argent à un guichet automatique. Dépêchez-vous, littéralement en fuite, entrez le code PIN tout en discutant au téléphone. Vous n'avez même pas regardé l'enfant discret avec une casquette de baseball et des lunettes noires regardant par-dessus votre épaule. Mais il t'a observé très attentivement. Il a espionné et s'est souvenu des chiffres que vous avez entrés. Plus élémentaire Arrêt du GOP- et adieu, l'argent.

De plus, dans la confusion, vous ne pouvez pas voir que devant vous n'est pas un vrai guichet automatique, mais un faux. Après tout, l'appareil est exactement comme un vrai. Autocollants, instructions - tout est comme il se doit. Vous insérez la carte, entrez le code PIN et l'écran affiche : « L'appareil est défectueux », « Une erreur système s'est produite », « Fonds insuffisants » ou quelque chose comme ça. Eh bien, ça arrive. Vous partez à la recherche d'un autre guichet automatique. Mais avant que vous ne le trouviez, les escrocs videront votre compte. Après tout, avec l'aide guichet automatique fantôme ils ont déjà lu toutes les données nécessaires sur votre carte.

Imiter souvent Dysfonctionnement du guichet automatique. Par exemple, tard dans la soirée, vous rentrez chez vous et décidez d'encaisser votre salaire en chemin. Nous avons inséré la carte, entré le code PIN, le montant - tout va bien. Le lecteur de capture de carte a donné la carte, mais le plateau où l'argent devrait apparaître ne s'ouvre pas. Cassé? Peut-être! Il fait noir, tu dois appeler la banque et savoir ce qui s'est passé. Vous avez marché littéralement à dix mètres et des voleurs intelligents avaient déjà décollé le ruban adhésif et pris votre argent. Oui, oui, de simples rubans adhésifs n'émettaient pas de factures.

Une autre approche est appelée "boucle libanaise". C'est à ce moment qu'un lasso de film photographique est inséré dans le lecteur de carte. Si vous le frappez, la carte ne peut plus être retirée. En règle générale, il y a un "assistant" juste là : "Hier, le guichet automatique a mangé ma carte exactement de la même manière, j'ai entré cette combinaison et ce code PIN, et tout a fonctionné." Vous essayez, échouez et allez à la banque pour obtenir de l'aide. A ce moment, le Bon Samaritain prend la carte et va la vider. Il connaît le NIP. Vous-même venez d'y entrer ouvertement. Rappelles toi?

Cependant, un guichet automatique peut être réel et même utilisable. Ce n'est pas un problème si les attaquants ont écumoire. Il s'agit d'un dispositif de lecture des informations encodées sur la piste magnétique de la carte. Physiquement, le skimmer est un bloc aérien attaché au lecteur de carte, alors qu'il ressemble à une partie de la structure du guichet automatique.

A gauche - un guichet automatique sans skimmer, à droite - avec un skimmer

A l'aide d'un émetteur, les fraudeurs reçoivent des informations du skimmer et fabriquent de fausses cartes. Ils utiliseront la carte écrémée, mais l'argent sera débité du compte d'origine. D'où le nom de la méthode - écrémage, de l'anglais "skim cream".

Comment connaissent-ils le code PIN ? En plus de l'écumoire, ils ont d'autres appareils. Par exemple, clavier superposé. Il imite complètement le vrai, mais en même temps se souvient des combinaisons de touches que vous tapez.


Superposition de clavier

En option - une caméra miniature dirigée vers le clavier et déguisée en boîte avec des livrets publicitaires.


Caméra cachée

Type d'écrémage calage. Au lieu de superpositions encombrantes, une carte mince et élégante est utilisée, qui est insérée à travers le lecteur de carte directement dans le guichet automatique. De plus, le schéma est le même que pour l'écrémage. Mais le degré de danger est plus élevé: il est presque impossible de voir qu'il y a un «bug» dans le guichet automatique. Il est cependant consolant qu'il soit assez difficile de fabriquer une cale - son épaisseur ne doit pas dépasser 0,1 mm. Presque la nanotechnologie. :)

Hameçonnage- une méthode courante de fraude sur Internet. La plupart d'entre vous n'ont pas besoin d'expliquer ce que c'est. Peut-être que quelqu'un a même reçu une "lettre de la banque" avec une demande de suivre le lien et de clarifier les détails. De plus, la page de phishing ressemblait à une vraie, les mêmes couleurs, polices, logos, à l'exception d'une "faute de frappe" gênante dans la barre d'adresse.

Récemment, une sous-espèce de phishing s'est propagée de plus en plus - vishing. Tout simplement, divorcer par telephone. Les fraudeurs simulent un appel d'auto-informateur. Une voix robotique effrayante vous informe que votre carte a été bloquée ou piratée, ou que vous devez rembourser votre prêt de toute urgence. Appelez ce numéro pour plus de détails. Vous appelez, et "l'opérateur" poli vous demande de "vérifier" le numéro de carte, la date d'expiration, le code de vérification ... Dès que vous avez dicté dernier chiffre vous pouvez dire adieu à votre argent. Au moment où vous reprenez vos esprits, ils seront déjà dépensés dans une boutique en ligne.

D'ailleurs, du fait qu'il n'est pas nécessaire d'avoir une carte physique pour l'utiliser, les fraudeurs utilisent de plus en plus des méthodes ingénierie sociale. Du coup j'ai failli me faire arnaquer.

J'ai vendu des meubles. Placer une annonce avec des photos sur un site bien connu. J'ai spécifié un numéro par lequel aucune authentification ne passe pour moi. Bientôt, un homme a appelé. Il s'est présenté comme Vasily, un employé d'une entreprise qui loue des appartements à louer. Il a dit qu'ils aimaient mon canapé - ils le prennent sans regarder ! L'argent sera transféré sur ma carte immédiatement. Pas de problème. J'achète souvent sur Internet, à cet effet j'ai une carte spéciale. Il n'y avait alors rien à radier d'elle, mais reconstituez - s'il vous plaît. Mais un numéro ne suffisait pas à l'appelant - l'interlocuteur a demandé une autre date d'expiration et un CVV2. Je n'ai pas nommé, mais Vasily a été offensé. Il m'a dit qui j'étais et où je devais aller, puis il a raccroché.

La plupart des cartes sont désormais liées à un numéro de téléphone afin de confirmer les transactions par SMS ou, par exemple, de se connecter à la banque Internet. Ce que les attaquants ne font pas pour mettre la main sur la bonne carte SIM : ils volent des téléphones, interceptent des SMS, fabriquent des cartes SIM en double, etc.

Règles de sécurité lors de l'utilisation des cartes

Après avoir émis un débit ou carte de crédit, nous recevons un accord de service bancaire et une enveloppe avec un code PIN. Il est dommage qu'en plus de cet ensemble, ils ne comportent pas de mémo avec les règles de sécurité élémentaires pour les porteurs de carte. Il devrait inclure les recommandations suivantes.

  • Si possible, fabriquez-vous une carte hybride - avec une puce et une bande magnétique (malheureusement, les cartes à puce uniquement ne sont presque jamais utilisées en Russie). Une telle carte est mieux protégée contre le piratage et la falsification par écrémage.
  • Apprenez le code PIN par cœur. S'il n'y a aucun espoir de mémoire, écrivez-le sur un morceau de papier, mais conservez-le séparément de la carte.
  • Ne jamais, en aucun cas, divulguer à des tiers le code PIN et le code CVV2 de la carte, ainsi que sa durée de validité et à qui elle est enregistrée. Aucune banque ne vous demandera ces informations. Et pour créditer des fonds sur votre compte, seul le numéro à 16 chiffres indiqué au recto de la carte suffit.
  • N'utilisez pas le soi-disant cartes de salaire pour les règlements en magasin et le paiement des achats en ligne. Il est préférable de transférer de l'argent d'un compte de carte vers un compte personnel ou de fixer des limites quotidiennes pour tous les types de transactions effectuées.
  • Choisissez des guichets automatiques situés à l'intérieur des bureaux de la banque ou dans des points sécurisés équipés de systèmes de vidéosurveillance.
  • N'utilisez pas de modèles de guichets automatiques suspects. Et avant d'insérer la carte dans le terminal, inspectez-la soigneusement. Y a-t-il quelque chose de suspect sur le clavier ou dans le lecteur de carte ? Y a-t-il un étrange plateau publicitaire accroché à proximité ?
  • N'hésitez pas à couvrir le clavier avec votre main et à demander aux camarades particulièrement curieux de s'écarter. En cas de problème, n'utilisez pas les conseils d '"assistants aléatoires" - sans partir nulle part, appelez immédiatement la banque et bloquez la carte.
  • Si vous avez perdu votre carte, et aussi si vous avez des raisons de croire que des tiers ont pris connaissance de ses coordonnées, contactez immédiatement la banque et bloquez-la.

C'est plus simple d'appeler. Si vous avez la carte entre les mains, vous pouvez voir le numéro d'assistance au dos de la carte. En règle générale, les centres de contact fonctionnent 24 heures sur 24. Si la carte est laissée dans le guichet automatique et que vous ne connaissez pas le numéro de téléphone de votre banque, appelez la société de maintenance du guichet automatique. Le numéro doit être indiqué sur le terminal.

Renseignez-vous également sur les possibilités et les conditions de l'assurance carte auprès de votre banque. Certains établissements de crédit ont programmes spéciaux protéger les clients contre les fraudeurs et les indemniser pour les dommages.

Règles de sécurité bancaire

Vous pouvez profiter d'un large éventail de services sans quitter votre domicile. Par exemple, payer quelque chose ou transférer de l'argent sur votre propre compte ou celui de quelqu'un d'autre.

Banque - service bancaire à distance.

Attribuez des services bancaires par Internet et par SMS. Le premier vous permet d'effectuer des opérations via Espace personnel client sur le site de la banque ou via l'application, et le second consiste à informer des transactions par SMS.

Afin d'utiliser les services bancaires sans risquer de perdre de l'argent, les précautions de base suivantes doivent être respectées.

  • Ne vous connectez pas à Internet Bank depuis les ordinateurs d'autres personnes ou depuis des réseaux publics non sécurisés. Si cela se produisait encore, à la fin de la session, cliquez sur "Quitter" et videz le cache.
  • Installez un antivirus sur votre ordinateur personnel et mettez-le à jour en temps opportun. Utilisez des versions modernes de votre navigateur et de vos programmes de messagerie.
  • Ne téléchargez pas de fichiers reçus de sources non vérifiées, ne suivez pas de liens non fiables. N'ouvrez pas les e-mails suspects et bloquez immédiatement l'expéditeur.
  • Sauf nécessité, ne saisissez aucune de vos données personnelles, en plus de votre identifiant et de votre mot de passe.
  • Vérifiez votre barre d'adresse. Une connexion HTTPS sécurisée doit être utilisée. Et la moindre incompatibilité avec le domaine de la banque signifie presque certainement que vous êtes sur un site de phishing.
  • Trouvez un mot de passe complexe pour accéder à votre compte personnel et utilisez également des mots de passe à usage unique demandés par les banques pour confirmer les actions dans votre compte personnel.

Rappelles toi! Les banques n'envoient pas de messages sur le blocage des cartes et, lors d'une conversation téléphonique, elles ne demandent pas d'informations confidentielles et de codes associés aux cartes des clients.

Pour protéger la carte SIM à laquelle la carte est liée, informez rapidement la banque lorsque vous recevez des messages suspects et n'appelez en aucun cas les numéros qui y sont indiqués. Informez la banque si vous avez changé de numéro ou perdu votre carte SIM. Définissez un mot de passe sur votre téléphone et ne supprimez pas le bloc de l'écran si quelqu'un d'autre regarde vos actions. Et si la carte SIM vous est délivrée personnellement, interdisez son remplacement par procuration.

Que faire si les escrocs ont déduit de l'argent de la carte

Les litiges entre clients et banques ne sont pas rares. Les premiers, ayant appris le débit non autorisé de fonds sur leurs comptes, demandent à leur rendre leur argent durement gagné, et les seconds haussent souvent les épaules : « Vous avez tout dit vous-même aux escrocs.

Entrée en vigueur en 2011 la loi fédérale N° 161 «Sur le système national de paiement», conçu pour rationaliser et changer pour le mieux la pratique de fournir services de paiement. Il a notamment établi les bases juridiques de toutes Système de paiement en général et adapté les règles de mise en œuvre paiements sans numéraire, ainsi que l'émission et l'utilisation de la monnaie électronique.

En 2014, l'article 9 de cette loi est entré en vigueur. La norme protège les utilisateurs de cartes bancaires contre la fraude. La loi établit la présomption d'innocence des clients. La Banque est tenue de rembourser les sommes virées du compte du client à la suite d'une opération non autorisée par lui, sauf s'il est prouvé que le client lui-même a enfreint la procédure d'utilisation d'un instrument de paiement électronique.

À partir du 26 septembre 2018, les banques pourront légalement bloquer les cartes des clients si elles soupçonnent que des fraudeurs en transfèrent de l'argent. Après le blocage, la banque doit en informer le titulaire du compte, qui devra soit confirmer l'opération, soit signaler une tentative de vol.

Autrement dit, la loi délimite la responsabilité de la banque et du client.

  1. La banque a-t-elle informé le client de la transaction non autorisée ? Sinon, la responsabilité incombe entièrement à la banque. Si informé, passez au point numéro 2.
  2. Le client a-t-il informé la banque au plus tard le jour ouvrable suivant la notification de la banque que cette opération a été effectuée sans son consentement (du client) ? Dans le cas contraire, la responsabilité incombe au client. Si informé, passez au point numéro 3.
  3. La banque a pu prouver que le client avait enfreint la procédure d'utilisation électronique De l'argent? Si tel est le cas, la responsabilité incombe au client. Dans le cas contraire, la banque est pleinement responsable et est tenue de rembourser au client l'intégralité du montant de l'opération contestée.

Une condition préalable au remboursement des fonds débités non autorisés est d'informer la banque de l'utilisation de la carte sans le consentement de son titulaire.

Dites à la banque que la carte est utilisée par quelqu'un d'autre au plus tard un jour suivant le jour où le client a découvert la fraude.

Le respect de ce délai est très important. En retard - vous ne pouvez pas compter sur un remboursement.

De plus, le client doit avoir en main la preuve de la notification. Nous parlons de la deuxième copie de l'appel à la banque avec une note d'acceptation faite par un employé autorisé, ou une notification écrite d'envoi d'une lettre recommandée de valeur avec une liste de pièces jointes à l'adresse de la banque.

Contacter la banque n'annule ni ne remplace l'appel aux forces de l'ordre.

conclusions

Alors, bref algorithme actions en cas de prélèvement illégal de fonds sur une carte bancaire est la suivante :

  1. Pas de panique, appelez la banque et bloquez la carte. De plus, nous demandons à l'opérateur de nommer le solde du compte et les dernières transactions effectuées.
  2. Pendant la journée, nous courons à la banque et écrivons une déclaration. Assurez-vous d'endosser notre copie de la demande auprès d'un employé autorisé de la banque.
  3. Si les employés établissement de crédit empêcher cela de quelque manière que ce soit et refuser d'accepter la demande (les formulaires sont épuisés, la rupture technique, etc.), nous nous tournons vers le bureau du procureur.
  4. Nous écrivons une déclaration à la police. Surtout si vous êtes confronté à un vol ou à un vol qualifié.
  5. Nous attendons un remboursement.

Si la banque refuse de rembourser les fonds débités de la carte, invoquant par exemple une violation de la procédure d'utilisation de la monnaie électronique, vous pouvez défendre vos droits devant les tribunaux.

Partager avec des amis:
Messages similaires