Лучшая защита – это заранее предпринять ряд действий, которые минимизируют риски в случае атаки мошенников, то есть принять превентивные меры (от англ. to prevent, предотвращать). На страже «утечки денег» с вашего счета также стоит банк и также превентивно блокирует подозрительные операции. Ну и наконец, если эти способы защиты не сработали, то остается уже «реактивный» вариант защиты – в ответ на утечку денег.

Простая аналогия: защитить свою квартиру от воров легче, если с самого начала установить крепкую дверь с надежными замками и сигнализацией; если двери нет или она не закрывается, то высок риск стать жертвой злоумышленников, а ловить с полицией воришек, уже сбежавших с вашим плазменным телевизором, напрасный труд. Помочь может консьерж, который на выходе из дома блокирует человека с вашим телевизором и ждет от вас подтверждения, то ли это воришка, то ли грузчик, нанятый вами. Также поможет сигнализация, которая позволит вам среагировать и заблокировать доступ в квартиру сразу же после первого тревожного сигнала.

Превентивные меры

СПОСОБ №1: Самозащита. От большей части атак мошенников можно защититься, самостоятельно предприняв ряд действий, направленных на безопасность своих денег:

1. Соблюдайте правила безопасности работы с банкоматом

2. Заведите бесконтактную карту – для снижения рисков при расчетах и платежах через терминалы оплаты, которые, возможно, оснащены скиммерами.

3. Подключите услугу смс-оповещений о движении денежных средств по вашему счету – так вы будете знать обо всех списаниях и сможете оперативно отреагировать в случае мошеннической атаки. Стоит эта услуга недорого, а сэкономить может много.

4. Заведите дополнительную карту для платежей в интернете, заводите на нее ровно столько денег, сколько нужно для очередной покупки.

5. Еще безопаснее завести виртуальную карту для оплаты покупок в интернете. Виртуальные карты хороши тем, что их легко и быстро блокировать, перевыпускать, и это можно делать самому в мобильном банкинге.

6. Установите в настройках карты требование запрашивать пин-код при всех покупках – это не так удобно, как без пина, но зато безопаснее. Обычно это возможно сделать в настройках карты в личном кабинете, если вы пользуетесь интернет или мобильным банкингом, или же можно сделать соответствующий запрос в отделении банка, выпустившем карту.

7. Придумайте по-настоящему сложный пароль вроде ApJS4dvMpn4jKf4:7А. Комбинации можно создавать по понятному вам правилу – например, первые буквы слов припева вашей любимой песни (в английской транслитерации) плюс год поступления в институт. Так, пароль будет сложным, а вспомнить и воспроизвести его для вас будет легко.

8. Если пользуетесь интернет-банком, включите в настройках опцию подтверждения входа с помощью кода из смс-подтверждения – так вы будете защищены, даже если кто-то подобрал вашу комбинацию логина и пароля.

9. Внесите номер телефона службы поддержки банка, выпустившего вашу карту, в список контактов на своем мобильном телефоне – в случае мошеннических операций по вашему счету или утраты карты вы сможете оперативно связаться с вашим банком и произвести необходимые действия (заблокировать операцию или карту).

Подробнее о том, как защититься от кибератак, какие конкретно действия предпринять и как, рассказывает Денис Баринов, руководитель управления образовательных программ «Лаборатории Касперского» Каspersky Academy, в своей невероятно познавательной лекции «Киберграмотность не выходя из дома»:

СПОСОБ №2: Защита со стороны банков.

Банки со своей стороны также блюдут интересы своих клиентов: с сентября 2018 года, согласно закону¹, банки обязаны блокировать сомнительные операции по счетам клиентов, после чего они обязаны связаться с клиентом и запросить у него подтверждение на выполнение требуемой операции. Так, если этот перевод был осуществлен с помощью мошеннических схем, клиенту удастся сохранить свои деньги. Банк разблокирует операцию при получении подтверждения от клиента или через 2 рабочих дня после блокировки, если с клиентом не удалось связаться. Такой же механизм распространен и на электронные средства платежа.

До вступления этого закона в силу (то есть до сентября 2018 года) банки тоже несли ответственность за сохранность денег на счете своих клиентов в случае мошеннических операций и хакерских атак: они были обязаны возместить клиенту похищенные средства, если тот не позднее чем на следующий день сообщил об их похищении, а банк не смог доказать, что похищение стало возможным благодаря действиям самого клиента (например, клиент сам сообщил мошенникам реквизиты карты). Однако у банков не было юридически закрепленных прав блокировать даже явно мошеннические переводы.

Что такое мошеннические переводы и сомнительные операции? Как банки выделяют из всего потока операций по счетам клиентов потенциально совершенные без согласия клиента, то есть мошенниками? Общие признаки несанкционированных транзакций (то есть переводов, совершаемых без согласия клиентов) устанавливает Банк России², а банки могут дополнять их собственными признаками, исходя из своего опыта, особенностей своей клиентской базы, возможностей аналитической системы.

Так, одним из признаков является несоответствие характера, объема, а также параметров совершаемых транзакций операциям, которые обычно проводит клиент. То есть, банки могут посчитать операцию несанкционированной клиентом (то есть мошеннической), если операция не является типичной для этого клиента (на основании истории его операций по счету) по следующим параметрам:

• время суток (например, перевод осуществляется ночью, а до этого ночной активности по счету клиента замечено не было),
• день,
• место (например, перевод осуществляется из другого города или другой страны, или из отдаленных друг от друга мест через короткий промежуток времени),
• устройство (например, с другого компьютера, или с мобильного телефона, при том что до этого клиент осуществлял всегда переводы через платежные терминалы),
• сумма (например, клиент никогда не осуществлял такие крупные переводы),
• периодичность (в частности, осуществление множества одновременных крупных переводов, в том числе на счета физлиц в разных регионах без адекватного обоснования),
• получатель (например, гражданин России переводит деньги жителю Бангладеша или Венесуэлы).

Тем не менее, закон не избавляет клиентов от всех рисков и неудобств:

• Во-первых, способы связи в законе не прописаны, они остаются на усмотрение банка, это значит, что если клиент находился, например, за границей без телефонной связи, а банк связывался с ним по телефону, то формально банк выполнил требование закона, а по факту – у клиента не было шанса сохранить свои деньги. Будем надеяться, что банки в таких случаях будут связываться с клиентами по всем возможным каналам – телефону, смс, электронной почте.

• Во-вторых, если операция оказалась санкционированной, то банк обязан разблокировать ее, причем «незамедлительно», но более четких указаний на время возобновления операции закон не содержит. Очевидно, это может занять достаточно много времени, поэтому чтобы не остаться на это время без денежных средств и удобных средств платежа, имеет смысл завести себе несколько банковских карт. Это в том числе позволит вам воспользоваться разными преимуществами, например, платежных систем.

• Кроме того, побочным эффектом этих мер, направленных на благо клиента, является возможное блокирование банком легитимных платежей, сознательно совершаемых клиентом. Эксперты советуют обращаться в колл-центр банка (телефоны – на официальном сайте банка в интернете или на вашей карте) и подтверждать платежи, которые могут выглядеть сомнительным, или выполнять такие платежи при личном визите отделения банка. Так, в случае поездок за границу и перед крупной покупкой стоит предупредить банк, чтобы избежать нежелательной блокировки платежа.

• Также отмечены случаи злоупотребления со стороны банков при подтверждении переводов между гражданами на небольшие суммы. Банки блокируют операцию или карту и запрашивают документы, подтверждающие «экономический смысл операции», в число которых входят: письменное обоснование экономического смысла перевода средств, документы, подтверждающие происхождение денежных средств (расширенная выписка со вклада), письменное пояснение целей расходования денежных средств с карты³. Банк России обращает внимание, что такая практика незаконна, она нарушает установленные законодательные нормы. Максимум, что может потребовать банк от клиента, — это устное подтверждение по звонку, что трансакцию совершал действительно он. В случае подобных нарушений клиенты могут обращаться с жалобами не только в Банк России, но и в суд.

Подведем итоги – какие превентивные действия могут защитить нас от мошеннических атак:

Реактивные меры

Что делать, если вы понимаете, что есть угроза мошеннических действий по вашему счету, а именно:

• у вас украли, вы потеряли или не можете найти карту,
• вам пришло смс-оповещение о списании денежных средств с карты, при этом вы не совершали покупок и переводов,
• вы стали жертвой техник социальной инженерии и мошенник выведал у вас данные вашей банковской карты (то есть реквизиты карты – номер, CVV-код, пароль и т.д. – скомпрометированы, или известны третьему лицу),
• вы стали жертвой фишинга и ввели данные своей карты на подозрительном сайте (то есть реквизиты карты, возможно, скомпрометированы),
• у вас есть подозрения, что на банкомате, где вы снимали деньги с карты, были установлены скимминговые устройства (то есть реквизиты карты, возможно, скомпрометированы),

немедленно свяжитесь со своим банком (телефон службы поддержки указывается на веб-сайте банка и часто на банковских картах), объясните ситуацию и произведите соответствующую операцию – заблокируйте операцию (в случае перевода денег злоумышленниками) или заблокируйте карту (в случае ее утраты). В случае критических ситуаций (например, в заграничной поездке у вас украли все, включая телефон и вы можете связаться только с друзьями или родными по интернету – социальным сетям), банк может принять заявку на блокирование карты в том числе от ваших родных.