Банкови карти под онлайн заплаха

Пазаруваш онлайн. Появява се невероятна оферта за техника с намаление до 70%. Влизаш в сайта, пълниш кошницата и плащаш. По невнимание и без да се замисляш обаче, може би така си асистирал кражба на личните данни.

С нарастване на онлайн търговията се увеличава и незаконното придобиване на данни и пари, наблюдават от банковия сектор. Рисковете са все повече, а често самият потребител неосъзнато предоставя важна информация. Сред традиционните измами по електронен път са например имейлите от непознати лица, които цитират печалба от лотарията (фишинг - от англ. phishing). Растат и случаите на вишинг (voice phishing), обясняват от бранша - получава се обаждане за спечелена зелена карта или дори автомобил, а за да пристигне наградата, трябва да се заплати дадена сума.

Въпреки рисковете от банковия сектор и експерти по киберсигурността са убедени, че онлайн плащанията са сред най-сигурните. Потребителят може сам да намали възможностите за пробив в личната си система, а в случай на кражба съществува процедура за оспорване, от която в повечето случаи клиентът бива обезщетен.

Най-честaтa грешкa - човешка

Експертът по киберсигурност и мениджър управление на риска в "Телелинк" Петър Кирков обяснява, че е трудно личните данни да се откраднат онлайн, но когато това се случи, в повечето случаи е свързано с човешка грешка. "Дадена е картата на друг човек, не се е внимавало какъв сайт се отваря, плаща се в непознат сайт без репутация", казва той. При фишинг и вишинг инцидентите потърпевшият често не се замисля дали познава организацията и дори дали е участвал в подобна томбола или лотария.



Друга честа грешка на потребителя е, ако устройството (компютър, смартфон и т.н.) не се поддържа – антивирусната програма не работи, браузърите не са обновени и се теглят торенти. Много вероятно е в тези случаи потребителят сам да свали вирус или бот на устройството, което постепенно добива пълен контрол до момента, в който вирусът "има повече контрол от потребителя", казва още Кирков.

"Голяма грешка е запазването на личните данни в интернет търсачките, на телефона или компютъра, имейла и, общо взето, на всяко друго място във виртуалното пространство – например облачни структури." Красимир Коев, доктор по киберсигурността към Военна академия

Свилен Захариев, ръководител отдел "Картов център" в ОББ, предупреждава, че дори клиентът да мисли, че пазарува от "изрядни търговци" и "известни, доказани през годините, доверени сайтове", не е гаранция, че данните са защитени, защото вирусът вече действа върху компютъра и копира внасяната информация.

Разчитай знаците

В случаите, в които устройството е заразено или е обект на хакерска атака (men in the middle), потребителят получава няколко знака, че нещо се случва, например: зеленото катинарче в адреса на страницата го няма, съответно връзката не е криптирана, името на сертификата се различава от познатото, появява се съобщение за грешка и т.н. При тези случаи най-вероятно някой друг извършва транзакция, която потребителят не вижда, а за банката това е напълно легитимен процес. "Най-меката мишена от цялата тази верига е компютърът на потребителя", категоричен е Кирков.

Примамливи за потребителите са китайските сайтове, където качествени стоки се предлагат на нереално ниски цени. Това е най-честият канал за крадене на данни онлайн, смятат от банковия сектор. В крайна сметка клиентът не получава закупената стока, но данните на картата са вече източени. Николай Даскалов, ръководител управление на риска в ОББ, добавя, че след подобно източване нарушителят често бърза да похарчи придобитите пари, като закупи "бързооборотни стоки, предплащане на абонаменти и дори закупуване на билети". Похарчените средства варират в размери – от малки суми, които регулярно се изплащат, до голяма покупка до изразходване на цялото салдо.

Докато допреди две-три години най-честите измами бяха т.н. скимер устройства, които се поставят на банкоматите и копират картите, днес измамниците се насочват към онлайн кражбите. "Много по-атрактивно за измамниците е вече търсенето на данни чрез виртуалното пространство", обяснява Свилен Захариев. Спадът в използването на по-традиционните скимер устройства се дължи най-вече на изостреното внимание на потребителите и на завишената защита на картите, но от банковия сектор не наблюдават същата предпазливост и при кражбите по електронен път.

"Бдителността на клиентите трябва да е огромна", казва Николай Даскалов.

Процедурата

Жертвите на картови измами по електронен път могат да оспорват неоторизираните от тях транзакции независимо от вида карта. Процедурата в различните банки е сходна – подава се жалба, ситуацията се анализира и се взима решение. Най-често клиентът получава отговор до месец. Когато се забележи съмнителна транзакция, клиентът веднага трябва да блокира картата, съветват експерти. Тъй като авторизацията на транзакцията се осъществява на няколко етапа, клиентът може да подаде жалба или писмо за оспорване само когато транзакцията е финансово осчетоводена, т.е. парите са напуснали сметката. Периодът, в който могат да се оспорват транзакциите, е конфликтен, обясняват от банковия сектор. Докато законът в България позволява на клиентите да оспорват транзакции до 13 месеца след осъществяването им, картовите оператори ограничават този период до 45 - 120 дни.

"Най-правилният начин, ако данните са откраднати, е компютърът да се преинсталира. Кражбата се третира като зараза, изчистваме всичко и възстановяваме." Петър Кирков, мениджър управление на риска в "Телелинк"

Следващата стъпка след жалбата е анализ на историята на клиента от страна на банката. Проследяват се плащанията и дали потребителят често посещава сайта, в който е направена оспорената транзакция. Търси се точка на компрометиране, обясняват от банковия сектор. Това е възможната ситуация, при която данните от картата може да са източени.

Банковите специалисти обясняват, че такъв анализ на потребителската история е нужен, тъй като в много от случаите всъщност няма никаква измама. Често срещана е т.нар. семейна измама, при която член от домакинството, осъзнато или не, използва акаунта и съответно регистрираната към него карта при онлайн плащания. При много от подадените жалби се оказва също, че клиентът изплаща нарушителни актове от чужбина, за които е забравил, или доплаща скрити условия за сключен договор.

Следват няколко възможни сценария. Ако потребителят е некоректен и неправомерно оспорва транзакция, той ще трябва да изплати таксите по вътрешния анализ. Същото ще се случи и когато се докаже, че потребителят е асистирал в кражбата по небрежност.

В случаите, когато се установи истинска измама обаче, банката разполага с ограничени правомощия. Открадната сума се възстановява на клиента и случаят се смята за приключен. Отговорността за връзка с полицията и жалба до съответните законови органи е на клиента. "Банката има някакъв лимит. Ние не сме полиция или прокуратура, не сме разследващ орган", заявява Свилен Захариев от ОББ.

Как да се предпазим Банките предлагат различни услуги – от статични и динамични 3D пароли до получаване на SMS-и при всяка транзакция. Приложенията за онлайн банкиране предоставят възможността клиентите да следят наличната сума по техните сметки в реално време, което може да ускори процедурата по оспорване, ако транзакцията е забелязана веднага. Красимир Коев подчертава ползата от 2-3-факторна идентификация с "повече символни и цифрови пароли за сигурност и достъп". От друга страна, личните устройства също трябва да са напълно защитени. Сред първите препоръки е да се инвестира в надеждна антивирусна програма, която да защитава компютъра от злонамерени софтуери. Препоръчва се да се пазарува от личния компютър и през защитена мрежа. Хигиената на компютъра е от изключително значение, предупреждават специалисти по киберсигурността: паролите не се записват, приложенията и браузърите се обновяват. Коев добавя, че е много важно профилите в социалните мрежи да са заключени, защото достъпът до лична информация "може да увеличи драстично шансовете им за успех в разбиването на банковите ни сметки". Използването на специализирани продукти като виртуални карти, които се предлагат от някои банки и финтех компании, също са сред съветите на специалисти. Виртуалната карта не е реално съществуваща и в нея се внасят пари при необходимост от онлайн плащане. Има и такива карти, които генерират номера си само за текущата транзакция, което намалява риска от кражби, категоричен е Петър Кирков от "Телелинк".