04 декабря 2019

Как безопасно платить в интернете

10503

Райффайзенбанк

Каждый год люди все больше тратят онлайн: в прошлом году россияне потратили 1,66 трлн ₽. За год эта цифра выросла почти на 60%. В интернете покупают гаджеты, технику, одежду, продукты, заказывают еду, бронируют жилье и оплачивают стриминги. Но расплачиваясь онлайн, можно столкнуться с интернет-мошенниками. Разбираемся, как их распознать.

Виды мошенничества и как их избежать

Фишинг

Это рассылка мошенниками электронных писем и смс, имитирующих сообщения от интернет-магазина, банка или платежного сервиса. При переходе по ссылкам из фишинговых сообщений вы попадаете на фишинговые сайты, созданные мошенниками, полностью копирующие известные интернет-сервисы. Они могут незначительно отличаться оформлением, ошибками в тексте или адресе сайта. Фишинг позволяет выудить у пользователя персональные данные, номера карт, пароли и коды подтверждения операций.

Пример.

Вам пришло письмо от «платежной системы» с фейкового адреса. В письме вас могут попросить предоставить пароль от кошелька, электронной почты или данные карты, чтобы обновить информацию в системе, иначе заблокируют счет. Если мошенники получат эти данные, то у них будет доступ к вашему счету или онлайн-банкингу, они сменят пароли, чтобы вы не могли заметить и запретить операции, и выведут деньги.

Пример письма мошенников с адреса, не принадлежащего сервису PayPal. Если перейти по ссылке и ввести пароль от своего кошелька, то данные окажутся у злоумышленников

Название домена может даже совпадать с настоящим: есть сервисы, которые позволяют изменить адрес отправителя.

Название домена в адресе верное, но письмо содержит ссылку на сайт мошенников. Если пройти по ней и ввести логин и пароль кошелька — данные окажутся у мошенников. Источник: ru.godaddy

Как защититься. Всегда обращайте внимание на доменное имя адреса, с которого отправлено письмо. Проверьте, писал ли сервис с этого адреса раньше, и указан ли адрес на сайте компании. Обратите также внимание на то, куда на самом деле ведут ссылки, указанные в письме (адрес можно увидеть внизу браузера, если навести курсор на ссылку). Никогда не сообщайте пароли и данные карты в смс и электронных письмах — банки не запрашивают эту информацию у пользователей.

Вредоносные программы

Вирусы могут заразить компьютер или смартфон, если на нем не установлено защитное ПО. Они попадают в гаджеты через зараженные сайты, приложения, при скачивании файлов. Некоторые вирусы делают скрытую переадресацию на сайт, который имитирует интернет-магазин, в котором вы планировали сделать покупки: вы выбираете покупки, вводите данные карты — и они попадают к злоумышленникам. Другие — умеют считывать данные с клавиатуры при вводе данных карт во время онлайн-шопинга.

Пример 1.

Друг из социальной сети предлагает посмотреть картинку или ссылку, в которой скрыт вирус. Сам друг не знает, что от его имени рассылается вирус — это происходит, потому что его компьютер заражен. Если перейти по такой ссылке, вирус загрузится на телефон или компьютер и может украсть данные о ваших паролях.

В ссылке сообщения о новой фиче Whatsapp спрятан вирус — его прислала не мама, а вредоносная программа. Если перейти по ссылке — вирус загрузится на телефон. Источник: TDayly

Пример 2. Вирус приходит в виде вложения к важному письму якобы от банка или службы приставов.

Пример фейкового письма из Сбербанка. Если скачать файл с «судебным иском», то на компьютер установится программа-вирус. Источник: Habr

Как защититься. Установите антивирус на компьютер и смартфон, регулярно обновляйте вирусные базы и программное обеспечение после выпуска обновлений, не открывайте неизвестные файлы.

Для iOS это тоже актуально. Есть устойчивый стереотип, что техника Apple неуязвима. Но фишинговые письма и сообщения от спамеров из соцсетей приходят пользователям независимо от типа операционной системы.

Какие вирусы угрожают
пользователям Apple

Социальная инженерия

Способ мошенничества с целью получить данные или деньги, обычно через сервисы объявлений или соцсети.

Пример 1.

На Авито продавец выкладывает предложение по выгодной цене. Вы интересуетесь, продавец говорит, что спрашивают многие и просит предоплату, чтобы зафиксировать договоренность. Вы переводите деньги, и продавец пропадает.

Пример переписки, где мошенники обосновали предоплату

Пример 2.

Покупатель хочет перевести деньги на карту, а потом просит сообщить ее данные и cvv-код карты, рассказывая убедительную историю о технических сложностях с банком.

Пример переписки, где мошенник просит продавца прислать фото карты и cvv-код. Запомните, что **CVV и одноразовые пароли не требуются для перевода вам на карту**

Пример 3. Клиенту звонят с номера банка и сообщают, что с его счета кто-то выводит деньги. Клиента держат в напряжении, не дают перезвонить в банк самостоятельно, параллельно на его номер приходят поддельные смс о попытках снятия денег. Мошенники предлагают перевести деньги на другой «безопасный» счет — такую операцию невозможно оспорить, если человек делает перевод сам.

О телефонном мошенничестве

Пример фейковой смс из банка с оплатой покупки — на самом деле, никакой покупки не было и деньги со счета не списывались. Источник: IPhones.ru

Пример 4.

Продавец с Авито или другого сервиса объявлений получает фейковую смс из банка о переводе денег. — сумма больше, чем нужно. Покупатель-мошенник говорит, что случайно ошибся суммой при переводе и просит вернуть разницу, хотя на самом деле ничего не платил.

Как защититься: Перезванивать самому в банк по телефону, указанному на банковской карте. Совершать покупки у продавцов с подтвержденным аккаунтом и отзывами. Не сообщать никому данных карты и кодов из смс, а также не верить предложениям со сказочно низкой ценой.

Каким интернет-магазинам можно доверять

Надежные онлайн-магазины следят за безопасностью транзакций на своих сайтах и используют следующие виды защиты:

Код шифрования HTTPS. В отличие от стандартного HTTP, в нем используется асимметричная система шифрования — она защищает доступ к вашим данным. Это значит, что если вы введете логин-пароль, подключившись к общественному wi-fi, и злоумышленники их перехватят, данные будут в зашифрованном виде — они не смогут ими воспользоваться.

Для работы протокола HTTPS и защищенной передачи данных нужен SSL-сертификат. Он обеспечивает шифрованное соединение между пользователем и сайтом. С помощью него можно проверить, какой компании на самом деле принадлежит сайт. Для этого нужно кликнуть на значок замочка в адресной строке браузера.

Код шифрования HTTPS отражен в адресной строке браузера

SSL-сертификат отражен в адресной строке как значок замочка

Защита платежных систем. Для дополнительной защиты платежные системы используют двухфакторную аутентификацию. Принцип ее работы такой: покупатель вводит данные карты на сайте, который поддерживает эту технологию, его перенаправляют на страницу банка-эмитента карты. Там нужно ввести одноразовый код из смс, после чего платеж выполнен. Двухфакторная аутентификация есть у Visa — Verified by Visa (3D-Secure), у Mastercard — Mastercard SecureCode, у Paypal, Яндекс. Денег и других популярных платежных систем. Интернет-магазины, которые работают с этими сервисами, размещают их логотип на сайте.

Страница банка-эмитента карты Райффайзенбанка — она загружается при оплате на сайте, который работает с 3D-Secure

Что делать, если вы столкнулись с мошенничеством

Если вы увидели подозрительную транзакцию по карте, сразу позвоните в банк, заблокируйте карту и проверьте другие операции. После этого нужно заявить о несогласии с операцией по карте — о том, как это сделать, вам расскажут в кол-центре. К заявлению нужно приложить всю относящуюся к транзакции информацию. Дополнительную информацию по транзакции можно запросить в службе поддержки платежной системы.

Банк рассматривает заявление до 30 дней, а если транзакция была совершена за границей — до 60 дней. В разбирательство будут вовлечены банк-эмитент, платежная система, банк-получатель. В некоторых случаях банк рекомендует написать заявление в полицию.

Правила безопасных онлайн-покупок

Заведите отдельную карту для онлайн-шопинга и не храните на ней больших сумм. Кредитку для онлайн-оплат лучше не использовать. Кредитный лимит может составлять, например, 600 000 ₽, и если мошенники украдут эти деньги, вы останетесь должны их банку. Карту можно застраховать или установить максимальный уровень трат, чтобы избежать больших потерь.
Используйте для покупок сервисы электронных платежей: например, ApplePay, AndroidPay или PayPal — они обеспечивают транзакции дополнительной защитой.
Внимательно изучите интернет-магазин, где вы собираетесь делать покупки. Иногда мошенники создают сайты-клоны, которые крадут данные пользователей.
Не используйте общественную сеть Wi-Fi для онлайн-транзакций и покупок в интернете. Если другого выхода нет, используйте сервисы VPN для дополнительной защиты соединения. Например, для Chrome можно установить расширение Touch VPN, для смартфона — скачать Thunder VPN для Android и HotspotShield для iOS.
Заведите отдельный почтовый ящик для регистрации в интернет-магазинах. В случае утечки данных ваш основной e-mail не пострадает.
Не вводите пароль от почты или соцсетей для авторизации на сайте интернет-магазина, безопаснее завести отдельный аккаунт на этой площадке.
Используйте разные пароли на разных сайтах и храните их в защищенном месте, например, в менеджере паролей 1Password или LastPass.
Не переходите по ссылкам из сомнительных писем и сообщений, по возможности набирайте адрес интернет-магазина вручную.
Пользуйтесь двухфакторной аутентификацией в почте и соцсетях и время от времени меняйте в них пароли.
Установите пароль на свой смартфон, можете использовать отпечаток пальца или распознавание по лицу — так злоумышленники не получат доступ к вашей информации в случае потери гаджета.
Установите ПИН на сим-карту.