Когда ваша карта – не только ваша

Поделиться

Случай из жизни. Возвращаюсь в благодушном настроении домой – спокойно, никакого подвоха не ожидая. Время почти 10 вечера, телефон на беззвучный режим полчаса как перевёл – а тут достаю его из кармашка посмотреть время и вижу sms-ку. От честно и, не побоюсь этого пафоса, заслуженно любимого и глубоко уважаемого мной, а также абсолютно всем в России известного банка, клиентом которого я лет 15 как являюсь.

 

 **4733; Pokupka; Uspeshno; Summa: 766,14 USD Ostatok: 373864,17 RUR;

US/BENTONVILLE/WALMART.COM; 06.08.2018 21:48:02

Wal-Mart – крупнейшая в мире империя оптовой и розничной торговли, это я был в курсе. А в Бентонвилле, штат Арканзас – как по ходу выяснилось, находится их штаб-квартира. Посмотрел потом по карте ради интереса, позже – городок, совершенно затерянный где-то на Южном Западе США. 750 км до побережья Мексиканского залива, больше 1000 км до канадской границы и 255 км до местного капитолия в Литтл-Рок, столице штата, откуда с должности губернатора попал когда-то в Белый дом Билл Клинтон. Там даже аэропорт до сих пор носит официально имена четы Клинтонов. Но в остальном Арканзас типичная американская глубинка. А уж Бентонвилл с численностью населения 35 тыс 301 человек по данным переписи 2010 года (сведения из Википедии) – и подавно.

 

Кто там, думаю, мои и банка деньги с карты нашей кредитной тырит? Не иначе, какой-нибудь «вождь краснокожих». Я знал, конечно, что магазины WalMart на свете существуют и очень популярны, но сам там никаких покупок никогда не делал, и вообще на их сайт не заходил до того дня ни разу в жизни. Вопросов нет, что с помощью какой-то мошеннической схемы кто-то другой сделал это умело за меня. Конечно, я надеялся, и даже не сомневался фактически, что так же точно рассудит и служба безопасности банка. Ну а какие варианты? Sms про «успешную операцию» я по счастливой случайности заметил уже через минуту после того, как платёж прошёл – фактически сразу! На звонок в банк, чтобы заблокировать карту и сделать заявление, что операция мошенническая – ушла ещё минута максимум. Какой смысл человеку что-то в интернете покупать и уже через 2 минуты названивать и требовать операцию отменить, а деньги вернуть? Я в этот день в Москве был – мало того, в офис банка даже на минутку заходил, пару вопросов технических решить: что я в России нахожусь, и доказывать, выходит, ни к чему – всё очевидно. Если я в Москве и в Штаты не лечу, то для чего мне вообще покупка понадобилась с доставкой по Америке? Может, думаю, и хорошо, что сайт американским оказался, а не русским: доказывать пришлось бы дольше, пожалуй, что это точно не сам я деньги такие с карты на какую-нибудь ерунду решил потратить, а потом резко передумал.

 

Плюс – у меня, естественно, подключена автоматически по всем картам услуга: при любой покупке в интернете, на телефон должны бы сначала приходить sms-ка с цифровым кодом подтверждения операции. Код – для каждого нового платежа свой, новый. Пока его не введёшь в окошке на сайте, вообще никакая операция и проходить не должна. Но… есть, оказывается, сайты, и сайтов таких довольно много, где надлежащие меры безопасности не приняты. В них просто не задействован так называемый 3d Secure сервис, который и создан, чтобы любой платёж покупатель предварительно подтверждал – и для этого надо иметь в руках привязанный к карте телефон. Банк этот сервис поддерживает, пожалуйста, но многие сайты, увы, нет. На европейских сайтах 3d Secure почти повсеместно, а вот в Америке – оказывается, ничего подобного: рассказывают, что 50 на 50 примерно, где-то есть, где-то нет. Вот вам и благодатная почва для мошенничества, и что делать?

 

В России тоже такие «дыры» на некоторых «пофигистских» сайтах, как выяснилось, имеются – например, подобные покупки от чужого имени могут совершаться через некоторые соцсети, но там суммы покупок чаще всего небольшие. Если только 5-6 раз по тысячи рублей снять успеют, прежде чем ты карту заблокируешь. А тут 50 с лишним тысяч рублей по курсу, нормальненько так. Раз 3d Secure технологию включить сайт не озаботился, то покупай, на здоровье, по чужой карте… Покупателя в процессе не переадресовывают на дополнительную страничку, где положено вводить цифровой код из sms, а сразу проводят покупку – да и дело с концом. Достаточно указать номер карты, сроки её действия и трёхзначный CVC-код на обороте карты – и всё, платёж прошёл. Если эти сведения о карте каким-то образом удалось похитить во время предыдущей покупки, когда карта засветилась где-нибудь совсем в другом месте на просторах интернета, то всё – считай, что карта уже не только твоя и не только банка, а так сказать, находится с тех пор «в общем доступе».

                       

Конкретно с WallMart чудная немного схема воровства, конечно: приобретённый через сайт по чужой карте на халяву товар ещё ведь мошенникам и продавать, наверное, пришлось бы, чтобы выгоду в деньгах получить, а не в виде физически доставленной им по адресу покупки. Ну да ладно – может у них свои там методы, может они давно себе плазму новую хотели, или ещё какую бытовую технику в дом. Моё дело – быстро в банк звонить, что я и сделал буквально в течение одной минуты. И это сразу главный совет в таких случаях – хотя, надеюсь очень, что он вам не пригодится. Первым делом карту заблокировать – это обязательно, и чем быстрей, тем лучше! Пока ещё на несколько сот долларов чего-нибудь грабители в сети не накупили.

 

Ну и дальше уже в банке выяснять – что, как – и составлять официально претензию: чтобы операцию отменили или признали недействительной, а на карту мне вернули деньги. Ещё в теории могут быть начислены и проценты, кстати, на списанную мошенниками сумму, пока происходит разбирательство: карта ведь кредитная, с лимитом в 500 тысяч рублей.

 

Отвлекусь на самое важное и сразу удовлетворю ваше любопытство: можно ли как-то себя обезопасить на будущее, чтобы на сайтах без «волшебного» 3d Secure платежи вообще никогда не проходили? Забегая вперёд, скажу, что оказалось – можно. Не факт, что можно в каждом банке. И даже в описываемом большом и знаменитом банке, далеко не в каждом отделении об этом знают. Во всяком случае, в одном конкретном отделении приветливые сотрудники и у начальника спросили, и позвонили куда-то – а всё равно в итоге сообщили мне, что услуга фильтра с sms-информированием при каждой покупке, как только заводится клиенту интернет-банк —  подключается автоматом, и у меня она подключена. Как бы не так, сказал я, сами видите же – не сработало – и мне посоветовали выяснить подробности в телефонном центре. Туда я позвонил, и знаете — сотрудница-оператор дозналась до истины достаточно скоро. Пара минут ожидания – и как раз именно она мне всё про 3d Secure рассказала: в том числе, именно от неё я и узнал вообще, как именно это называется. Ещё 2 минуты разговора по телефону – и ура! Теперь по всем картам у меня подключён технический запрет на любые платежи через сайты, где 3d Secure технологии нет – и откуда при покупке не придёт, значит, в sms никакого цифрового кода. Так вот, теперь покупки на таких сайтах по моим картам станут невозможны – во всяком случае я на это надеюсь, поскольку мне от банка прямым текстом на телефон пришли уведомления: «Пётр Николаевич, мы приняли Ваш запрос. По карте (номер такой-то) все операции через интернет будут происходить только при вводе пароля из sms от банка».

 

Есть ли вариант, что и sms-пароль уворуют, как-то проникнув в твой смартфон? В сети пишут, что теоретически возможно всё, и это тоже – были какие-то случае, что смартфон через интернет заражали вирусами-троянами, и похищали со сматрфона личные данные. Но, во-первых, чтобы таким вирусом заразиться, ты должен зайти по сомнительной ссылке на какой-нибудь сомнительный сайт: и то вряд ли что-то смогут похитить с айфона, допустим. Во-вторых, чтобы похитить одноразовый код, тебе должен банк сначала по твоему (по идее) запросу этот код выслать – но ок, можно наверное, и с помощью вируса устроить переадресацию рассылки кода и на номер мошенников. А в-третьих, всё-таки если банк использует максимально продвинутые технологии защиты уже своей по сути информации, а коды подтверждения из sms это информация самого банка – то провести не санкционированную реальным владельцем карты покупку будет всё-таки в разы сложнее. Для этого надо много постараться – и, наверное, мошенникам будет проще воспользоваться картой другого человека и другого банка, где подобные меры не приняты. Во всяком случае, тщу себя на будущее надеждой, что так и обстоят дела.

 

Есть банки, где набор одноразовых кодов выдают тебе в большом количестве заранее физически, на «картонке» в запечатанном конвертике – но опять же, ведь в электронной системе банка где-то же они хранятся, а значит – в теории тоже есть что взламывать и при таком порядке вещей. Одноразовый код можно и похитить только раз, а вот похитить сразу кучу твоих кодов – мало не покажется. В любом случае – в приоритете крутизна технологий защиты конкретного банка, как мне кажется. И методы его работы в случае, если всё-таки мошенническая операция проскочила. Пока же – помимо обязательности 3d Secure при покупках через интернет – подскажу ещё «драконовский» вариант контрмер. В интернет-банке, по крайней мере в моём точно – есть возможность автоматически ставить лимиты на расходы по конкретной карте: и на день, и в одной отдельно взятой операции. Ставишь 10 тыс рублей лимита, условно, за один платёж и 25 тыс рублей лимита на день – и больше через интернет потратить будет по этой карте нельзя. Другое дело, что как только тебе самому реально понадобилось купить что-то в интернете дороже, то с ходу это сделать при таких лимитах не получится – и, значит, придётся лезть сначала в интернет-банк, разово лимиты эти снимать или увеличивать – и только тогда делать покупку, а после покупки возвращать прежние лимиты на место. Муторно, но тоже путь. Я решил, что позанудствую и поэкспериментирую, пожалуй, с этим тоже. Тем более что на платежи по карте физически в магазине через терминал – ограничения распространяться не будут, если только я их не поставлю лично сам и на такие платежи, но это уж зачем?..

 

Можно ещё и указать прямо в интернет-банке страну, в которой ты находишься в конкретные даты, и чтобы операции по конкретной карте проходили только в этой стране – хотя тут, думаю, сложнее, ведь многие сайты даже в российском сегменте интернета работают совсем в других юрисдикциях… А вот при поездках за границу я такое регулярно практикую – и это помогает в другом плане: если ты потом снимаешь именно в указанной тобой стране в банкомате деньги или что-то оплачиваешь в той стране в магазине, то банк не пытается блокировать твою карту и, как правило, не перезванивает напрасно с вопросами, а ты ли это. Когда-то этой функции указания страны не было, и я дважды сталкивался в прошлом с историями: менял за границей сим-карту на местную, банк мне не дозванивался на российскую, или я не успевал ответить – опа, карта заблокирована банком для твоей же безопасности, а разблокировать её обратно, находясь за границей не всегда так просто… В общем, лайфхак с лимитами по суммам и с указанием страны пребывания – проблему эту полностью решает, рекомендую!

 

Так чем же кончилась конкретная история с неопознанным «вождём краснокожих» и покупкой неизвестно чего на 50 с лишним тысяч рублей? Знаете, я конечно тоже повёл себя по-умному, но прежде всего, банк сработал оперативнейшим образом, честь ему и хвала. ‘Let my people go’ или ещё какую-нибудь музыкальную композицию слушать долго не пришлось: первый же звонок перевели на оператора в течение секунд примерно тридцати – карту заблокировали в течение ещё примерно десяти секунд, и только уже потом расспросили меня про ситуацию в деталях. Пометили сразу с моих слов, что покупку на 50 с лишним тысяч рублей я не признаю, ничего через сайт не покупал и вообще туда не заходил даже – единственно, прислали форму претензии, чтобы я на следующий день или в ближайшие часы эту форму распечатал, заполнил там несколько строчек, рукой подписал, сфотографировал – и скан на почту им отправил. Но это формальная необходимость, а по ситуации работать стали сразу же: два раза перезванивали мне и задавали вопросы – несмотря на поздний вечер. Операция стояла «на холде», то есть была банком окончательно не подтверждена – в он-лайн кабинете банка в строке операции было указано «бытовая техника». Но и эта строка с пометкой HOLD провисела в интернет-банке меньше недели — после чего потенциальное списание 50 тыс рублей отменили. Уже насовсем. И дали рекомендации, как поступать в дальнейшем, чтобы по возможности такого больше с моими картами в их банке не случалось. Этим знанием я и готов ниже с вами поделиться.

 

И расскажу ещё одну деталь – не знаю, повлияло это на скорость рассмотрения вопроса или нет, но думаю, что повлияло. Деньги на карту, я уверен, банк вернул бы в любом случае: и банк порядочный, разбираться по существу они умеют. Но и сам я действовал чётко, не тормозя – и для подстраховки, чтоб уж всё наверняка, связался дополнительно по чату с персоналом сайта Walmart.com. Раз уж в sms-ке чётко было указано, где совершена покупка, то почему бы не попытаться отменить её параллельно прямо там же – рассудил я? И действительно, служба поддержки Walmart оказалась со мной мила и предупредительна, очень участливо отнеслись и быстро задали мне правильные вопросы. Что именно я покупал – естественно, ответить я не смог, потому что не покупал я ничего – как не смог назвать им и номер заказа. Но вот номер своей банковской карты я им написал – благо она уже была заблокирована и заказана к перевыпуску в банке с новым номером, поэтому риска никакого. Как сообщил и сумму, и точное время заказа – объяснил, что покупку по моей карте совершили мошенники, и настоятельно попросил никаких товаров никому по этому платежу не доставлять, саму операцию отменить и сделать обратно на карту возврат. Они в ответ написали, что заказ этот нашли – то есть сайт был всё-таки их, а не двойник какой-нибудь. Что заказ был сделан неустановленным лицом – подробностей, что именно с моей карты заказывали, мне не рассказали – зато сообщили, что они примут меры, доставку заказа отменят, после чего постараются также вернуть на карту и деньги.

 

Экранные скрины своей переписки с поддержкой американского сайта я переслал в банк вместе с заявлением – что, надеюсь, как минимум ускорило рассмотрение вопроса. Даже уверен, что ускорило. Потому что по действующим в России банковским правилам, заявления о мошеннических операциях, вообще-то, могут рассматривать в срок до двух месяцев. Одной знакомой похожую сумму, снятую через банкомат по поддельной копии её карты где-то в другой стране – деньги тот же самый банк вернул тоже. Но ждать ей реально пришлось месяца полтора. Потом, конечно, радости не было границ, но ситуация всё это время её слегка напрягала. По моей же карте эти 50 тыс рублей вернули на баланс уже утром 13 августа: проблему удалось локализовать и полностью решить меньше чем за неделю.

 

Подводя итог, хотел бы сказать: принципиально пугаться после подобных историй и отказываться от использования банковских карт, от разных современных цифровых технологий – всё же не стоит. Мошенники есть и в сети, и в реале – но если принимать необходимые меры, продумывать настройки защиты, не покупать в интернете что попало и где попало, то и профилактика от несанкционированных проникновений возможна. Да и постфактум, если что-то неприятное уже произошло – в целом, вопрос это вполне решаемый. Важно выбирать хороший продвинутый банк, где служба поддержки «прокачанная», и самому, конечно, голову не терять в странных ситуациях: чего ведь только не бывает в нашей жизни.

 

Пётр Пушкарёв, шеф-аналитик ГК TeleTrade

для Business FM Самара