Давайте трохи пофантазуємо. Припустимо, шахрай дізнався тільки номер вашої банківської карти. Що він може зробити? Зрозуміло, що для того, щоб списати ваші гроші йому потрібно знати ще й термін дії карти і код на зворотному боці пластика. А що по номеру?
1. Помилковий перевід грошей.
Знаючи крім карти ще й ваші контактні дані шахраї можуть зробити вам справжній перевід, потім зателефонувати і попросити вас повернути частину грошей. Типу, ось ми помилково перевели вам 5 000 гривень, поверніть нам 4 500, а 500 залиште собі за турботу. А якщо немає телефону, то вони можуть направити вам платіж на 1 гривню з проханням терміново передзвонити. Чесна людина передзвонить, якщо побачить примітку.
Приваблива пропозиція? Дуже. Однак, таким способом шахраї відмивають гроші і якщо вам дійсно прийшли чужі гроші на карту, а потім запит на повернення частини, то йдіть в банк і пишіть заяву про те, що не знаєте походження даного перекладу. Або ж шахраї можуть вас втягнути в ланцюжок протиправних дій. Звичайно, вас не покарають, але нерви помотають.
2. Підстава за номером картки.
У нашого приятеля було так. Його номер карти використовували у вірусі здирників.
Йому стали приходити перекази, за нібито розблокування комп’ютера. Потім його поліція допитувала досить довго і насилу йому вдалося довести, що він не причетний до даного заходу, а його просто підставили. До слова, він розумів хто його “замовив” і видав його. А так би нічого не довів і присів би вимагання.
3. Підбір терміну дії та CVV коду.
Звичайно, є захист від невірного введення. Але все залежить від банку. В мережі натрапили на пост-експеримент, в якому користувач 30 разів вводив неправильний CVV. При цьому з його картою нічого не відбувалося, її не заблокували. Виникає питання – невже банк не блокує карти при брутфорсі CVV? Для чого тоді PSI DSS забороняє його зберігати, якщо його так просто зламати?
Так, до речі в минулому році я був у від’їзді, а карту залишив удома. Начебто пам’ятав CVV, але не спрацьовувало. Раз 50 вводив неправильний і мою карту не заблокували.
Імовірність того, що шахрай підбере термін дії та CVV вкрай низька, але вона має місце бути. Багато хто скаже – так SMS код ж прийде. Ні, буквально сьогодні оплачував VPN на китайському сайті і SMS підтвердження не було. Після введення даних карти списання відбулося автоматично.
Також за номером картки через SMS банк можна дізнатися ім’я та по батькові власника (якщо перевід здійснюється в рамках одного банку).
4. Вашу карту можна буде заблокувати по дзвінку в банк.
Так, по ідеї для цього потрібно знати кодове слово і ім’я власника. Однак, у мене був випадок, коли я був з поганим зв’язком (в поїзді) і зрозумів, що з моєї банківської картки почалися списання. Я відправив смс товаришу, який знав моє ім’я (користувача), він подзвонив в банк і карту заблокували. До речі, тимчасово. Але все ж, це може заподіяти дискомфорт і тимчасові труднощі.
Був ще один випадок: зловмисники заблокували карту товариша, попередньо надіславши на неї купу дрібних переводів (буквально по 1 гривні). Потім подзвонили в банк і сказали, що карта використовується шахраями. Ну і банк її заблокував.
Ще одна ситуація: шахрай обманює Васю, який готовий зробити йому оплату за що-небудь. Тут же шахрай обробляє Петю, у якого хоче щось купити. Шахрай бере номер карти Петі і дає його Васі, Вася оплачує на карту Петі, а шахрай забирає товар у Петі. Потім прийдуть куди? До Петра! А він то ні до чого! Він чесно купив товар.
Який висновок?
1. Для платежів в інтернеті використовуйте віртуальну банківську карту (її можна отримати в своєму банку або в інтернет-гаманцях). Випустити таку карту можна за 1 хвилину і закрити також за 1 хвилину.
2. Якщо ви щось купуєте у когось (наприклад на сайті оголошень), то краще оплачувати через цей сайт (як посередник). Так буде набагато надійніше.
