что можно сделать с помощью номера карты
Мошенничество с использованием пластиковых карт
Ещё один сценарий мошенничества с использованием пластиковых банковских карт. Наиболее уязвимы карты Сбербанка, пригодные для платежей в интернете — начиная от Visa Classic и MasterCard Standard. Владельцы «зарплатных» Maestro и прочих Momentum данному приёму не подвержены.
Небольшой ликбез
1. У Сбербанка есть возможность переводить деньги с карты на карту и пополнять чужую карту, зная только её номер (на лицевой стороне). Никакие другие значения для этого не нужны.
2. Есть возможность узнать имя владельца чужой (!) карты по её номеру, выполнив платёж на неё через Сбербанк-Онлайн. Пробуем перекинуть на чужую карту скажем 10 рублей, вводим номер чужой карты и на экране «Проверьте реквизиты» видим сумму нашего платежа, номер чужой карты и… ФИО её владельца.
3. Многие просят о помощи и размещают объявления на благотворительных сайтах. Кроме обычных банковских реквизитов и номеров кошельков WebMoney/Яндекс.Деньги всё чаще стало попадаться «или на карту сбербанка № ХХХХ ХХХХ ХХХХ ХХХХ».
4. Есть такие платёжные шлюзы, которые умеют брать деньги с карты не спрашивая ни CVV (CVC), ни контрольный код MasterCard SecureCode. Amazon.com, к примеру, обслуживается именно таким. Для прохождения оплаты требуется ввести только номер карты, имя владельца и срок действия.
Алгоритм действий мошенника
1. Ищем благотворительные сайты и посты по ЖЖшечкам, типа вот такого:
«можно сделать пожертвование на номер пласиковой карты сбербанка, в любом отделении сбербанка России.Достаточно знать номер карты 676280389109721113 Получатель Боровкова Анастасия. ВСЕМ ОТКЛИКНУВШИМСЯ ОГРОМНОЕ ЧЕЛОВЕЧЕСКОЕ СПАСИБО. »
Прекрасный вариант, даже имя получателя указано. Транслит, ANASTASIYA BOROVKOVA… А может быть ANASTASIA BOROVKOVA. Не так уж много вариантов.
А если не указано?
Скажем, вот такое объявление:
«Счет Сбербанка для перевода пожертвований с карты на карту (без процентов!) — 5469 3800 2643 5684»
Не проблема, сейчас выясним:
а) Открываем Сбербанк-Онлайн, выбираем «Перевод на карту»: 
б) Вводим реквизиты чужой карты и сумму — какую угодно. Мы типа хотим сделать благотворительный перевод.
в) Оппаньки! ФИО владельца карты.
Отказываемся от перевода, всё что нам нужно, мы только что узнали.
Транслит, DANIIL FIRSOV? Наверное.
2. Нагребли базу «номер карты сбербанка — имя владельца?» Отлично. Идём на Amazon.com, добавляем новую карту:
CVV НЕ СПРАШИВАЕТСЯ. Переброски на SecureCode НЕ происходит. Одноразовые пароли Сбербанка НЕ запрашиваются. Одноразовый пароль у карт Авангарда тоже НЕ запрашивается. Hold при этом происходит сразу же.
Что нам нужно угадать? Тип карты и срок действия. Вряд ли это Gold, точно не American Express и уж точно не Diners Club. Ну что — либо MasterCard, либо Visa, либо неинтересные нам Cirrus/Maestro или Visa Electron.
Как же узнать, что перед нами?
Смотрим сюда:
У карточек Visa и MasterCard номера 16ти-значные.
Номера карточки VISA всегда начинаются с цифры «4».
Номера карточек MasterCard всегда начинаются с цифры «5» и состоят из 16 цифр.
Номер карточек Maestro начинается с цифр “3”, “5” “6” и может состоять из 13, 16 или 19 цифр.
Фокусируемся на первых двух типах («нормальные» Visa и MasterCard), Cirrus/Maestro в топку.
Вводим тип карты, её номер, транслитерацию имени владельца. Осталось только угадать срок действия. На сколько лет выдают карты? 3..4 года обычно. Часто карту заводят как только начинают сбор средств. Одно-два возможных значения года и 12 значений месяцев. Не больше 36 вариантов. Задержки, капчи никакой нет. Карта или добавляется, или нет. Не добавилась? Пробуем другие значения.
Добавилась? Пробуем что-нибудь купить… Можно даже нарваться и на кредитную карту.
Защита от подобного мошенничества
НЕ публиковать номер своей карты где попало. Часто думают, что без CVV и даже без имени владельца от номера карты нет никакого проку. Этот способ показывает, что это — распространённое заблуждение.
Во всяком случае, даже если баг не сработает, то у мошенников остаются богатые возможности для социальной инженерии применительно к опубликовавшему данные.
Кроме того, для сбора средств можно использовать бесплатно выдаваемые в Сбербанке карты Cirrus/Maestro Momentum, которые непригодны для платежей в интернете. От публикации их номера мошенник вряд ли что-то получит, даже зная имя и срок действия.
Можно ли давать номер карты
Реквизиты банковской карты условно делятся на две категории: не подлежащие разглашению ни при каких обстоятельствах и те, которые не считаются конфиденциальными. Можно ли давать третьим лицам номер карты, будет разъяснено далее.
Подробно о номере банковской карты
В зависимости от вида пластика номер на его лицевой стороне может быть напечатан или эмбоссирован (выдавлен). Сервис Brobank.ru напоминает, что номер карты — это не случайная числовая комбинация, а код, в котором шифруется важная информация. В англоязычных документах он указывается в виде PAN (Primary Account Number).
В соответствии с действующим в настоящее время международным стандартом, номер банковской карты имеет следующую структуру: BBBBBBNNNNNNNNNNNNL, расшифровка которой выглядит следующим образом:
Первая цифра номера всегда определяет платежную систему: Mastercard — 5, VISA — 4, МИР — 2. В идентификационном номере банковской карты зашифрована следующая информация: тип (дебетовая или кредитная), год выпуска и даже регион. Помимо этого, числовая комбинация может содержать дополнительную информацию, используемую при авторизации при совершении операций.
Можно ли говорить номер карты третьим лицам
Номер карты не является конфиденциальной информацией, при необходимости его можно и нужно передавать третьим лицам. Для совершения мошеннических действий с банковской картой одного номера будет недостаточно. Интернет-магазины требуют у покупателей дополнительные данные, а банковские сервисы используют несколько вариантов аутентификации потенциального клиента.
При этом номер банковской карты можно сообщать в случае необходимости: в частности, для получения переводов от третьих лиц. Неизбирательное разглашение информации о банковской карте часто приводит к негативным последствиям.
Как мошенники могут воспользоваться номером банковской карты
В контексте информационной безопасности используется термин «социальная инженерия». Под этим понятием подразумевается психологическое манипулирование человеком с целью получения с его стороны конфиденциальной информации. Суть мошеннической схемы заключается в том, что владельцу карты поступает звонок, в процессе которого третьи лица представляются сотрудниками службы поддержки банка.
Держателя карты просят совершить определенные действия или предоставить информацию под предлогом соблюдения правил безопасности. В некоторых случаях подобная схема дает результат: ничего не подозревающий владелец карты самостоятельно дает мошенникам все данные, необходимые для списания денежных средств с баланса карты.
После этого обращаться за помощью в банк — нет смысла, так как клиент нарушил основные правила безопасного использования карты, поэтому кредитная организация освобождается от всякой ответственности.
Подобная схема имеет несколько вариаций, каждая из которых базируется на невнимательности или излишней доверчивости держателя банковской карты, номер которой стал известен третьим лицам.
Какие данные карты нельзя передавать третьим лицам
При оформлении любой банковской карты будущий клиент банка подписывает пользовательское соглашение. В этом документе кредитная организация описывает общие правила пользования картой, а также нормы безопасности, которых пользователь обязан придерживаться.
Передача номера карты не несет для ее обладателя никакого риска, если третьи лица не получают доступ к остальным данным. Никогда и ни при каких обстоятельствах не следует разглашать следующую информацию по банковской карте:
Имея данные о держателе и номере карты, злоумышленники не получают доступ к денежным средствам. Но в связке с любым из вышеуказанных элементов номер становится достаточным средством для совершения определенной операции.
Сотрудники банков не имеют права запрашивать конфиденциальные данные по банковским картам. Если в процессе телефонного разговора собеседник просит указать, к примеру, CVV2 код, то он является мошенником.
На некоторых интернет-площадках достаточно ввести номер карты, данные держателя и срок действия. Этой информации хватит, чтобы совершить покупку: без ввода кода безопасности и без смс-подтверждения платежа.
Общие правила безопасного использования карт
Подавляющее большинство мошеннических схем реализуется благодаря действиям самих же владельцев карт. Из-за их невнимательности злоумышленники получают доступ к деньгам. Несколько рекомендаций помогут гражданам снизить вероятность хищения их средств с баланса банковской карты:
Также необходимо следить за телефонами, с которых поступают звонки. Специалисты кредитных организаций звонят с номеров, о которых есть информация на официальных сайтах. Если звонок поступает с подозрительного номера, рекомендуется самостоятельно перезвонить в банк по основному номеру для получения необходимых разъяснений.
Можно ли списать деньги с карты зная только номер карты и срок действия
Сегодня сложно найти человека, который не пользуется банковской картой. Удобные, функциональные и достаточно безопасные, они упрощают наши повседневные платежи, делая их быстрыми и комфортными. При этом количество жертв кибермошенников постоянно растёт, а способы отъёма денег становятся всё более изобретательными. Важным условием кражи является наличие у мошенника информации о реквизитах банковской карты его жертвы. В связи с этим у многих держателей карт возникает вопрос, возможно ли снять деньги с банковской карты используя лишь номер карты и срок её действия? Расскажем об этом в нашем материале.
Реквизиты банковской карты для снятия операций
Как известно, на банковской карте с лицевой и обратной стороны находятся данные карты, которые предназначены для индивидуального использования её владельца. Такие реквизиты включают фамилию и имя владельца карты, номер карты, термин завершения действия карты, а также CVV(CVC) код, использующийся для проверки подлинности карты.
В большинстве случаев для выполнения платежей в сети необходимы номер карты, фамилия и имя владельца карты, CVV(CVC) код. Последние годы также активно используется одноразовый OTP-пароль в виде нескольких цифр, исполняющих функцию контрольного подтверждения платежа.
Номер карты и срок действия – можно ли списать по ним деньги с карты
Некоторые пользователи в сети, общаясь с продавцами или покупателями в сети, сталкиваются с просьбами сообщить номер карты и термин завершения её действия. Обычно это поясняется необходимостью выполнения требуемого платежа, для чего требуются указанные реквизиты.
Опасаясь мошеннического списания средств, многих интересует, могут ли по номеру карты и дате её завершения снять деньги с карты? Отвечаем – да, могут.
Большинство уважающих себя интернет-площадок кроме данных карты используют подтверждение платежа в форме CVV/CVC и OTP кода, делая мошеннический обман невозможным. Тем не менее, еще находятся отдельные интернет-магазины, отели и другие контрагенты, способные списывать деньги лишь по номеру карты и сроку её действия без подтверждения оплаты (в частности, в этом была замечена американская площадка «Amazon»). Обычно в таких случаях речь идёт о небольших деньгах в пару сот рублей. Тем не менее, такие случаи списаний не единожды фиксировались.
Поэтому если вы опасаетесь, что продиктовав кому-либо номер своей карты и срок её действия вы ставите свою карту под угрозу, то, в целом, вашем опасения не лишены оснований. Избегайте публиковать и делиться с неизвестными людьми реквизитами вашей карты. Это может повлечь непредвиденную потери имеющихся на ней средств.
Могут ли снять деньги лишь по номеру карты
После прочтения данной информации может возникнуть резонный вопрос о том, безопасно ли делиться номером карты с другими людьми (например, при совершении покупок в сети). Отвечаем – да, в целом этого безопасно. Если вы не делитесь с другими людьми другими реквизитами вашей карты, а лишь сообщаете кому-либо её номер, то такую информацию будет сложно использовать вам во вред.
Обычно для совершения платежа необходим срок действия карты и её CVV (CVC) код, а часто и OTP код. Если таких данных у злоумышленника нет, тогда ваша карта останется для него недоступной.
При этом особо смышлённые злоумышленники, получив данную информацию, могут использовать её для дальнейшего обмана клиента. Например, позвонив от имени банковского специалиста, назвав номер и ФИО владельца карты, и попросив под благовидным предлогом сказать срок действия и CVV (CVC) код карты.
Как избежать обмана со стороны мошенников
Как известно, довольно многие финансовые преступления совершаются из-за непродуманных действий многих владельцев карт, беспечно относящихся к имеющихся у них деньгам.
Во избежание неблагоприятных казусов рекомендуем придерживаться следующих советов:
Нет времени объяснять, блокируй карту! Четыре способа снять ваши деньги без подтверждения по СМС
Треть россиян в возрасте до 25 лет постоянно пользуются бесконтактными платежами, а 2% граждан страны вообще отказались от наличных, свидетельствуют данные «Левада-центра». Картой удобно расплачиваться в продуктовых и в транспорте, ее можно привязать к медиасервисам и такси, запланировать платежи по коммуналке. Но есть и оборотная сторона медали. О ней 66.RU рассказал Артем Трофимов, специалист по безопасности карт в банке для предпринимателей «Точка».
Как могут украсть деньги?
В банковской сфере есть понятие «скомпрометированная карта». Это карта, полный номер которой, код CVV2 или CVC2 и другие данные стали общедоступны или попали в руки мошенников. Этих данных может быть достаточно, чтобы банк предоставил доступ к вашим деньгам. Узнать о том, что карта скомпрометирована, практически невозможно, пока ею не воспользовались без вашего ведома.
Как это может произойти? Если мошенник знает номер карты и CVV2 или CVC2, он способен совершать операции в интернет-сервисах, которые не поддерживают или намеренно не используют технологию 3D-Secure. Проще говоря, не отправляют вам одноразовый пароль, чтобы подтвердить, что покупку оплачивает именно владелец карты, а не кто-то другой.
Проверять ли личность покупателя с помощью 3D-Secure или нет, решает онлайн-продавец, а не банк, выпустивший карту. Некоторые компании осознанно проводят часть операций без этой технологии, чтобы упростить покупки для клиентов.
Интернет-магазин AliExpress сознательно отказался от 3D-Secure. Первые несколько операций там будут подтверждаться одноразовым кодом. Когда в магазине убедятся, что учетная запись не мошенническая, вам позволят совершать сделки без 3D-Secure, чтобы покупатель не делал лишних движений и не передумал после того, как ему придет СМС с паролем для подтверждения операции. Таким образом, в AliExpress самостоятельно решают, когда использовать 3D-Secure, а когда нет.
AliExpress — лишь пример того, как можно оплачивать покупки без 3D-Secure, а не место, где реально воруют. Через него практически не крадут деньги.
Агрегаторы Uber и «Яндекс.Такси» тоже не используют 3D-Secure. Мы в «Точке» не видим всплеска мошенничества в Uber, по-моему, это разовые случаи в других банках. Схема, с помощью которой мошенники выводят деньги через сервис, может быть такой. Воры привязывают украденные реквизиты — номер карты и код к ней — к профилю пассажира. Затем создают виртуальный профиль таксиста и «оплачивают» его услуги украденной картой, то есть имитируют поездки, а потом получают возмещение реальными деньгами.
Мошенники крадут деньги у клиентов банков через Uber. Под угрозой счета даже тех, кто не пользуется такси
Примеры с «Хабр»:
Мошенники хотят получить деньги с карты, а не расплачиваться за услуги с помощью украденных данных. Тем более, Booking.com и Airbnb потребуют для такой оплаты документ, удостоверяющий личность. Поэтому найти того, кто жил за чужой счет, не составит труда.
Как защитить данные?
Бережно относиться к реквизитам карт и стараться не компрометировать их. Во-первых, пользуйтесь бесконтактной оплатой через Apple Pay, Google Pay, Samsung Pay и другие сервисы. Они меняют реквизиты пластиковой карты на виртуальные — токен. Токены помогают уберечь реквизиты от третьих лиц. Даже если информацию токена узнают, она будет бесполезна, потому что в каждой транзакции используются зашифрованные динамические данные. Не за горами использование таких же токенов и при оплатах в интернете по технологии EMV® Secure Remote Commerce.
Если вы подозреваете, что карта скомпрометирована, сразу блокируйте ее с помощью звонка или письма в банк. После этого никто не сможет потратить деньги со счета, даже зная пин-код, CVV2 и другие данные.
Что делать, если деньги украли?
Срочно сообщите об этом банку. Тогда вы с большой вероятностью сможете опротестовать мошеннические операции, особенно когда 3D-Secure не использовался. Это плюс карт по сравнению с наличными, которые воры вам вряд ли вернут.
Даже если оспорить покупку или перевод не выйдет, есть возможность заморозить ваши деньги на счетах мошенников, чтобы впоследствии вернуть их по требованию правоохранителей.
Редакция 66.RU благодарит банк для предпринимателей «Точка» за помощь в подготовке материала.
Какими способами мошенники похищают деньги с карт. Как не стать жертвой
За первое полугодие 2020 года мошенники украли у банковских клиентов с их карт и счетов 4 млрд руб., совершив более 360 тыс. несанкционированных операций. Из этой суммы банки смогли вернуть пострадавшим только 12,1% (около 485 млн руб.), а общий объем похищенных средств больше показателей аналогичного периода прошлого года на 39%.
Какие схемы мошенничества получили наиболее широкое распространение и как не стать их жертвой — в обзоре РБК.
Способы хищения денег с банковских карт
Самым распространенным способом мошенничества является социальная инженерия — методы обмана и введения клиентов в заблуждение с целью кражи денежных средств. По данным ЦБ, в первом полугодии 2020 года на нее пришлось 83,8% случаев от общего числа атак. Традиционно мошенники звонят банковским клиентам под видом «службы безопасности банка» или «службы финансового мониторинга» и сообщают о том, что по карте якобы совершена подозрительная операция. Под предлогом спасения денежных средств они заставляют клиента совершить ряд действий, чтобы украсть деньги с его счета. Контактную и персональную информацию о клиентах злоумышленники получают, покупая «слитые» базы в даркнете (теневой сегмент интернета. — РБК) либо находя их там же в свободном доступе. Также для убедительности они могут звонить с подменных номеров банков и других структур. Далее схема мошенничества развивается по нескольким сценариям.
В последнее время стали появляться более сложные схемы: к звонкам от «банковских работников» добавились звонки от «правоохранительных органов», которые «подтверждают», что кто-то пытается украсть деньги клиента, поэтому их надо спасти путем перевода на «безопасный» счет. Также злоумышленники начали звонить от имени бюро кредитных историй и сообщать, что обнаружили попытки оформления кредитов с использованием паспорта жертвы.
Во время пандемии и перехода многих процессов в онлайн-формат киберпреступники также активизировались в интернете, предупреждал ЦБ. По данным регулятора, за первое полугодие 2020 года мошенникам удалось украсть в интернете свыше 2 млрд руб., то есть более 50% из общего объема похищенных за этот период средств.
По данным «Лаборатории Касперского», в 2020 году активно росли объемы телефонного мошенничества и скама. С января по ноябрь компания обнаружила почти 86 тыс. скам-ресурсов, из них 62,5 тыс. были заблокированы во втором полугодии. Особенно распространено такое явление в русскоязычном сегменте интернета. По подсчетам компании, потенциальный ущерб от мошенничества мог бы превысить 13 млрд руб., если бы каждая заблокированная попытка перехода пользователя на подобный ресурс повлекла за собой обман хотя бы одного человека.
В России в этом году среди всех входящих звонков с неизвестных номеров доля спама составила 63%, а доля звонков с подозрением на мошенничество — 5,9%. При этом злоумышленники активно пользовались технологией подмены номера. Чаще всего они указывали телефоны финансовых организаций, государственных учреждений или юридических лиц. «Люди проводят все больше времени с телефоном под рукой и чаще берут трубку. Но при этом возможность принять взвешенное решение в разговоре у них есть не всегда. Часто злоумышленники использовали актуальную новостную повестку, чтобы вызвать доверие у жертвы», — объясняет Голованов.
Как не стать жертвой мошенников
Однако вернуть деньги, которые были украдены с помощью социальной инженерии, сложно, так как потерпевший добровольно подтверждал операции по своему счету и у банка есть основания отказать в возврате средств, предупреждает юрист. Клиент может обратиться в банк с требованием заблокировать мошенническую операцию, но, как показывает практика, в подавляющем большинстве случаев в отсутствие документов, подтверждающих факт совершения мошеннических действий, банк, скорее всего, ответит отказом. «Этот отказ можно оспорить в суде, но опять же, как показывает практика, если вы подтвердили операцию списания сами в порядке, установленном банком, шансы минимальны», — добавляет Иккерт.