Об опасности банковских карт

Я очень часто пользуюсь банковскими картами. Не так давно я выяснил очень неприятную правду о банковских картах. Эта ценная информация обошлась нашей семье в сумму около 10 тысяч рублей. Очень рекомендую вам прочитать её внимательно - или она может обойтись вам ещё дороже.

Надо сказать, инцидент с нами произошёл в 2013 году. А в 2014 году ситуация изменилась к лучшему - были приняты новые правила обслуживания банковских карт, по которым банки вроде бы обязали возвращать деньги клиентам.

Но, во-первых, это действует только в том случае, если клиент заявил в банк о пропаже денег в течение 24 часов. По-другому можно прочитать это - если клиент в течение 24 часов пришёл в офис банка, выпустивший его карту, написал заявление на возврат средств, и зарегистрировал его должным порядком. Иначе деньги банк не вернёт. То есть, если вы находитесь за границей, или по каким-то другим причинам не можете в течение 24 часов придти в тот офис, в котором получали карту, то ваши средства, находящиеся на банковских картах - в опасности.

Во-вторых, срок возврата средств неясен. Сколько банк может тянуть с этим - непонятно. А в интересах банка тянуть как можно дольше.

В-третьих, я лично не проверял, как банки будут возвращать средства по новому закону. А вот как они пишут отписки о том, что клиент виноват сам - это я уже хорошо знаю.

Исходя из всего этого, рекомендую не проверять действие нового закона, а вместо этого обезопасить свои средства другими способами.

Сначала - самое главное. Если у вас есть банковская карта с возможностью оплаты через интернет - все находящиеся на ней деньги в любой момент могут пропасть. Возможно, после этого никто вам их не вернёт, и никто никакой ответственности за это не понесёт. Даже если вы выполняете все рекомендации банка по обеспечению безопасности - на самом деле это никак не может вас защитить. Преступникам вовсе не обязательно выведывать ваши PIN-код, CVC и прочие коды-пароли-логины. Утащить деньги они прекрасно смогут и без этого. А банк в ответ на ваши претензии напишет официальную бумагу, основным смыслом которой будет то, что вы виноваты сами и деньги они вам возвращать не собираются.

Ну а теперь подробно - как я это узнал, почему так и кто в этом виноват. А самое главное - что теперь делать, чтобы этого избежать.

Банковскими картами я пользуюсь очень давно. В том числе картой MasterCard Mass, выпущенной банком ВТБ24. Я строго выполнял все требования банка, касающиеся обеспечения безопасности. И даже более того. Я хранил в тайне не только PIN-код, как того требует банк, но и CVC (назваемый также иногда "код безопасности") - три цифры на обратной стороне карты, которые требуются для платежей через интернет. С моей карты эти цифры были стёрты. Поэтому никто не мог узнать этот код после того, как я получил карту.

В дополнение ко всем другим мерам безопасности, к моей карте была подключена дополнительная система безопасности - MasterCard SecureCode. В случае с банком ВТБ24 это означает, что для оплаты чего-либо через интернет надо ввести ещё один дополнительный пароль - иначе оплата не проходит.

Всё это успокаивало меня. Временами я читал о том, что у кого-то мошенники утащили деньги с карты. Но думал, что этот кто-то сам в чём-то ошибся - позволил кому-то каким-то образом узнать свой PIN или CVC, или ещё что-нибудь в этом духе. Я думал, что со мной такого случиться не может - ведь мой CVC точно никто не узнает, как и PIN-код. И долгое время ничего действительно не происходило.

Однако потом, как многим известно, нашей семье пришлось собирать пожертвования на лечение ребёнка. Один из тех, кто нам помогал, попросил выставить на интернет-сайте номер карты, чтобы люди могли переводить туда деньги. Я это сделал. Открытие номера карты меня не обеспокоило. Я думал - ведь только по номеру нельзя снять деньги с карты. Ведь для платежа требуется ещё куча другой информации - PIN-код, или CVC и SecureCode, а также другие данные с карты. Но я ошибался. Почти сразу после того, как номер моей карты попал в интернет - мошенники утащили с карты деньги. Кроме номера и моего ФИО, им не понадобилось ничего. Все эти CVC, SecureCode и прочее оказались полнейшей ерундой.

Я обратился в банк и в полицию. Банк через какое-то небольшое время прислал ответ. Среди бюрократических расплывчатых формулировок можно было точно понять одно: клиент несёт ответственность за ввод реквизитов карты, включая её номер и другие данные. И если номер карты был указан - значит, операция будет признана банком вполне законной, а основания для отмены транзакции и возврата денег - полностью отсутствующими. Говоря ещё проще - украденные деньги банк в любом случае возвращать не собирается.

В полиции завели дело, потом переслали его из моего города в Москву (с формулировкой "по месту совершения преступления", хотя непонятно, почему они посчитали, что преступление совершено именно в Москве), из Москвы переслали его обратно, и на этом расследование затормозилось. Деньги так и остались у неизвестного вора.

В результате этого я узнал, что все системы безопасности, применяемые банками при работе с картами, по которым можно платить через интернет - совершенно неработоспособны. Кроме неудобств для клиентов, они не приносят ничего. Воры их прекрасно обходят. Более того, эти средства вредны - они создают у клиентов чувство ложной защищённости, хотя на самом деле все деньги в любой момент могут быть украдены.

Конечно, кто-то может подумать, что я ошибаюсь, и преступники как-то узнали не только номер карты. Может быть, я как-то потерял бумажку, на которой был записан код CVC? Или у меня украли телефон с записанным в нём PIN-кодом? Или на мой компьютер проник вирус? Но ничего из этого не работает. Я не записывал никаких данных на бумажках, и поэтому не мог их потерять. Телефон у меня также никто не крал, а если бы и украл - никаких данных карты в нём не было. На компьютере я работаю в основном с операционной системой Ubuntu, на которой вирусы не встречаются почти никогда. И все мои данные хранятся в системе с так называемым "сильным шифрованием" (strong encryption), для доступа к которой используется двухфакторная авторизация с аппаратным ключом. Поэтому, если вирус всё-таки даже пролез бы как-то на мой компьютер - утащить что-то для него было бы почти невозможно.

И даже если допустить, что всё-таки каким-то образом преступники ухитрились пробиться через всю эту защиту и узнать мою секретную информацию - почему это произошло тогда, именно тогда, когда номер карты был опубликован в интернете, а не раньше или позже?

Поскольку преступники не были пойманы, а банк не раскрыл информацию, какие данные были введены при совершении платежа - точно узнать это всё же нельзя. Но все достоверно известные факты свидетельствуют о том, что, кроме номера карты и ФИО, мошенникам ничего больше не понадобилось.

И моя уверенность подтверждается ответом банка. В котором прямо сказано - клиент несёт ответственность за транзакции, совершенные с вводом номера карты.

Опять же, вы можете подумать: раз выставил в интернет свой номер карты, значит, сам и виноват. Но ведь номер карты не является секретной информацией, которую банк обязывает вас хранить в тайне!

Номер вашей карты становится известен любому человеку, который хотя бы раз посмотрел на неё, а уж тем более взял её в руки. Прежде всего - это те, кто участвует в оплате. Продавцы, кассиры, официанты, бармены и так далее. У любого из них есть возможность узнать и сохранить ваши данные. Для этого даже не нужно внимательно всматриваться в карту и запоминать данные. Любой, у кого есть злой умысел, может без особого труда купить или даже самостоятельно сделать считыватель карт - а потом за секунду считать и сохранить в памяти все открытые данные вашей карты. Одно движение - и у преступника в руках и номер вашей карты, и срок действия, и ваше ФИО латинскими буквами.

Но продавцами и официантами дело не ограничивается. Ваша карта попадает в руки посторонних людей ещё до того, как она попадёт к вам. Сначала с ней имеют дело сотрудники предприятия, которое изготовляет карты (карты делают вовсе не банки). Затем - сотрудники банка. Если карту посылали вам по почте, или пересылали из головного офиса банка в филиал - её данные могли узнать сотрудники почты или курьерской службы. Поэтому, даже если вы сразу после получения заперли карту в сейф и ни разу оттуда не доставали - это вовсе не означает, что преступники никак не смогли узнать её данные.

Поэтому повторю ещё раз - все широко рекламируемые банками способы защиты ничего не стоят. На самом деле они ни от чего не защищают. Преступники смогут украсть деньги, даже не зная вашего CVC или PIN.

Почему же так происходит? Почему банки позволяют преступникам снимать деньги с карт, а потом ничего не возвращают клиентам?

На это есть простая и вполне конкретная причина. Она называется "платёжная система". Дело в том, что, в основном, обработкой платежей по картам, по которым можно платить через интернет, занимаются не банки, а международные платёжные системы - VISA и MasterCard. Они принимают от мошенников данные карты, а банку указывают, куда надо перевести деньги. Платёжные системы не хотят терять клиентов и свой процент с платежей, и поэтому работают с любыми магазинами и сайтами. В том числе и теми, которые не поддерживают усиленных средств безопасности вроде SecureCode. Вы думаете, что SecureCode защищает вас? Ничего подобного. Преступнику всего лишь надо найти сайт, который не поддерживает эту технологию. И, поверьте, ему не придётся искать долго. Есть даже сайты, на которых не нужно вводить CVC. Поскольку деньги, украденные с моей карты, были переведены на телефон "Билайн" - я думаю, что один из таких сайтов принадлежит оператору "Билайн".

Потом, когда клиент обратится в банк с претензией, банк обратится к платёжной системе. Но платёжным системам совершенно неинтересно искать и ловить преступников. Значительно проще и выгодней деньги просто не возвращать. Особенно это хорошо проходит в случае с российскими банками. У нас, фактически, другие системы, кроме VISA и MasterCard, не получили сколько-нибудь заметного распространения. VISA и MasterCard находятся в положении монополистов. И обе системы - вовсе не российские. Никаких рычагов влияния на них у российских банков нет, и ссориться с ними банкам очень невыгодно.

Поэтому банку остаётся только два варианта - или вернуть деньги клиенту из своего кармана, или не вернуть вообще. Догадайтесь с одного раза, что выберет банк?

Возможно, кто-то предположит, что банк ВТБ24 - это плохой банк, а у других банков всё обстоит значительно лучше. Я соглашусь с тем, что ВТБ24 - далеко не самый лучший банк. Но не думаю, что другие банки в подобном случае проявят себя лучше. Поскольку все банки работают с одними и теми же платёжными системами (VISA и MasterCard), то им приходится подчиняться одним и тем же правилам. И в похожих случаях они будут поступать одинаковым образом - отписываться тем, что "клиент несёт ответственность" и отказывать в возврате украденных денег. Я слышал и читал о таких случаях с клиентами других банков. Например, Сбербанка. Конечно, я не могу быть уверен на 100%. Может быть, где-то существует банк, возвращающий своим клиентам утащенные мошенниками деньги. Но мне о таких банках ничего не известно. И я очень не рекомендую рассчитывать на то, что именно ваш банк окажется таким прекрасным и справедливым. Лучше надеяться на себя.

Что же теперь делать? Надеяться на новый закон вступивший в силу в 2014 году и вроде как обязавший банки возвращать деньги, и стараться успеть заявить о пропаже в 24 часа? Я бы не стал. Вы можете даже не успеть узнать о пропаже. А тем более заявить о ней. Поэтому надёжней самому защитить свои средства.

На мой взгляд, самое лучшее решение - это использование нескольких карт, одна из которых защищена от мошенничества. Например, вы заводите две карты. Одна карта - такой категории, по которой нельзя проводить платежи через интернет. Например, Maestro, Visa electron, УЭК, Сберкард. Обслуживание этих карт стоит очень дешево. Есть даже карты с бесплатным обслуживанием (например, УЭК). У любого банка есть какая-нибудь из них. Ими можно платить в магазинах. Однако, ими нельзя платить через интернет. Также их нельзя использовать за границей. Для любого платежа по такой карте требуется ввод PIN-кода. Соответственно, если мошенники не знают ваш PIN - деньги с карты они украсть не смогут. А если вы не будете нигде разглашать свой PIN - тогда они его не узнают. PIN-код не знают даже сотрудники банка. Он генерируется автоматически, автоматически же запечатывается в конверт, который так и отдаётся клиенту в запечатанном виде. PIN также не хранится нигде в информационных системах банка. Банк хранит только так называемый "хэш-код" - данные, по которым можно проверить PIN, но сам PIN не хранит. Поэтому, даже если кто-то узнает номер вашей карты, или украдёт саму карту - деньги оттуда украсть он всё равно не сможет. Благодаря такой защищённости на карте можно хранить основную сумму денег.

А для оплаты товаров через интернет и оплаты товаров за границей (если вам нужно что-то из этого) - в дополнение к этой карте заводим другую, более высокой категории. Такой, которая даёт возможность платить через интернет и которая действует за границей. Например, MasterCard Mass, MasterCard Gold, MasterCard Platinum, Visa Standard, Visa Gold, Visa Platinum, Visa Infinite. Какие-нибудь из этих кард выпускает практически любой банк. MasterCard Mass и Visa Standard стоят относительно недорого - 650-750 рублей в год. Можно найти и дешевле. Например, "Почтовая карта", выпускаемая банком "Русский Стандарт" и распространяемая через отделения Почты России, с бесплатным обслуживанием.

На этой, второй, карте нужно держать только небольшую сумму денег. В идеале - не держать вообще ничего, и переводить деньги на карту только тогда, когда нужно что-то оплатить. В этом случае преступник не сможет ничего украсть с карты, потому что на ней ничего нет.

Переводить деньги с одной карты на другую удобнее всего через интернет. У большинства банков есть интернет-банки - на специальном сайте можно ввести логин и пароль, а потом оплачивать что-нибудь или переводить деньги с одного своего счёта на другой. Можно также основную сумму держать не на защищённой карте низкой категории, а на депозите с возможностью пополнения и снятия - тогда на них будет начисляться процент. Например, такая возможность есть у Сбербанка.

Если же вы не хотите пользоваться интернет-банком - можно перекладывать деньги с карты на карту вручную, используя специальные терминалы или банкоматы с возможностью приёма наличных. Но в этом случае возникает проблема с поездками за границу. В другой стране вы не сможете получить деньги, находящиеся на защищённой карте. Поэтому на карту более высокой категории придётся перекладывать их перед поездкой, что даёт возможность мошенникам их оттуда украсть. А поскольку, находясь за границей, вы не сможете в течение 24 часов написать заявление на возврат средств - банк их вам не вернёт. Поэтому, на мой взгляд, при поездках за границу интернет-банк остаётся единственным выбором.

Впрочем, даже если вы не ездите за границу, подключить интернет-банк будет удобнее. Не нужно будет выходить из дома и искать банкомат и терминал с функцией приёма наличных каждый раз, когда надо переместить деньги с карты на карту. К тому же, у интернет-банка много других полезных функций.

Кроме разделения финансов по картам, также необходимо учитывать ещё один важный момент. Если у вас смартфон, особенно работающий на операционной системе Андроид (устройства от Apple более защищены по техническим причинам) - на него может попасть вирус, перехватывающий СМС от банка с оповещениями о банковских операциях, а также отправляющий банку команды на перевод средств. Чтобы такого не произошло, лучше вообще использовать для банковских оповещений не смартфоны, а обычные телефоны. Если же всё-таки у вас смартфон - постарайтесь ставить на него как можно меньше программ, и только из AppStore (если у вас iPhone) или Google Play (если у вас смартфон на Андроиде). Любая программа, скачанная с какого-нибудь сайта, может содержать вирус. Вирус может быть там даже в том случае, если программа нормально работает. Это обычная практика вирусописателей - берётся какая-нибудь программа (например, Skype), к ней добавляется вирус, и полученный "продукт" выкладывается на какой-нибудь сайт с рекламой "Супер-скайп! Самая последняя версия! Получи новые возможности!!!" и т.п. Пользователь, для примера, приехавший в Китай и обнаруживший, что там скайп поставить из Google Play не получается, скачивает его с такого сайта и "в нагрузку" получает вирус, незаметно (ведь банковские СМС им перехватываются и владелец телефона их не видит) ворующий его деньги.

Также очень опасны "связки" из двух вирусов. Сначала на персональный компьютер пользователя банка каким-то образом (открыли ссылку, пришедшую по е-мэйлу от друга, установили взломанную программу и т.п.) попадает обычный компьютерный вирус. Этот вирус сидит тихо и ничем себя не проявляет до тех пор, пока человек не заходит на сайт интернет-банка. Тогда появляется окно с предложением скачать и поставить на свой мобильный телефон программу под предлогом, например, "дополнительной проверки безопасности" или чего-нибудь ещё. Программа представляет собой мобильный вирус, который после установки опять же перехватывает СМС с банковскими оповещениями и ворует деньги, подключаясь к интернет-банку или отправляя банку СМС с командами. Поэтому не ставьте никаких банковских программ даже с сайтов банков. Если вам нужно поставить на свой смартфон или планшетный компьютер программу для быстрого доступа к своему интернет-банку - найдите её сами в AppStore или Google Play. А ещё лучше - сходите в офис банка и попросите сотрудников банка помочь вам установить эту программу.

Лично я для получения банковских оповещений использую обычный недорогой телефон без возможности установки программ, но зато с долгоживущей батареей. А для быстрого доступа к интернет-банку и прочих операций, для которых обычно используются смартфоны - планшетный компьютер, на котором вообще нет сим-карты.

И последний совет по безопасности - конечно же, ни в коем случае никому не сообщайте и тем более не публикуйте ни на каких сайтах данные своей карты, если по ней есть возможность оплачивать товары через интернет.