По прогнозам Россельхозбанка, доля бесконтактных платежей составит к концу 2021 года более 70% от всех банковских транзакций. При этом по статистике Россельхозбанка, 89% бесконтактных транзакций совершаются с использованием банковских карт, второе место занимают смартфоны (9%) и на третьем – другие платежные гаджеты. Дальнейшему распространению цифровых видов оплаты мешают существующие мифы о недостаточной защищенности таких операций. Россельхозбанк рассказал о самых распространенных из них и объяснил, почему это только мифы.
МИФ №1 Платежи по цифровым картам менее безопасные, чем по пластиковым
Многим людям до сих пор на подсознательном уровне кажется, что владение банковской картой на физическом носителе (возможность ее потрогать, спрятать, убрать поглубже в кошелек) гарантирует им большую безопасность, чем оформление цифровой карты, не имеющей пластикового носителя. Считается, что отсутствие пластикового носителя на интуитивном уровне ассоциируется с ограничениями по функционалу.
Почему это не так:
Цифровая карта – полный аналог пластиковой карты, включающий тот же функционал и те же средства защиты от мошенничества. Цифровая карта защищена от мошеннических операций стандартным набором автоматизированных средств:
- банковские антифрод системы, которые реагируют на подозрительные транзакции и при обнаружении нетипичных действий по счетам клиентов могут приостановить операции в соответствии с Федеральным законом № 167-ФЗ от 27.06.2018;
- подтверждение операций с помощью 3D-паролей;
- подтверждение операций с помощью Push-уведомлений.
«Помимо автоматизированных систем, на постоянной основе банки осуществляют фрод-мониторинг транзакций клиентов с целью подтверждения приостановленных операций и информирования клиентов о подозрительных транзакциях. Кроме того, клиентам приходят SMS-уведомления по операциям и по изменениям их персональных данных. При этом наличие пластиковой карты потенциально создает дополнительный способ компрометации информации – утрата физической карты. Поэтому использование цифрового аналога даже более безопасно, чем использование пластиковой карты», - отметил директор Департамента информационной безопасности Россельхозбанка Андрей Соколов.
МИФ №2 Платежи с использованием NFC подвергают опасности личные данные пользователя
Технология беспроводной передачи данных Near Field Communication (NFC) знакома большинству владельцев смартфонов, но пользуется ей далеко не каждый. Существует миф, что в момент оплаты с применением технологии NFC с устройства могут быть украдены как платежные реквизиты человека, так и его личные данные. Появление таких гаджетов, как платежные часы, брелоки, кольца, только усилило эти опасения.
Почему это не так:
Платежи с использованием NFC передают на терминал только данные о транзакции и реквизитах карты.
«В первую очередь важно отметить, что бесконтактные транзакции защищены криптографией. Трафик, содержащий данные о платежных картах, при передаче по открытым каналам связи шифруется в соответствии с требованиями стандарта PCI DSS с применением стойких алгоритмов шифрования. По запросу терминала NFC-модуль генерирует одноразовый ключ, который подходит только для проводимой в данный момент транзакции. Даже если мошенникам удастся перехватить этот ключ, то использовать его для проведения последующих транзакций невозможно. Кроме того, в соответствии с требованиями стандарта PCI DSS банки ведут учет адресов установки терминалов», - отметил Андрей Соколов.
Безопасность совершения операций с помощью других платежных гаджетов, оборудованных технологией NFC, аналогична безопасности совершения операций с помощью смартфона или же карты.
Всегда важно помнить, что необходимо хранить карты с возможностью бесконтактной оплаты в контролируемой и труднодоступной зоне в сумке, либо в экранированных кошельках, а также своевременно и внимательно читать полученные от Банка SMS-сообщения и Push-уведомления.
МИФ №3 Онлайн-магазин может украсть деньги с карты
Зачастую при онлайн-оплате заказа в интернет-магазине пользовали сталкиваются с тем, что ресурс перенаправляет их на специальную страницу оплат, где требуется ввести номер карты, срок действия и даже CVV-код. Такие действия многим кажутся небезопасными – если мошенники получат эти данные, то смогут совершать покупки без ведома владельца карты.
Почему это не так:
В настоящее время злоумышленниками очень часто используются так называемые «фишинговые» сайты, представляющие из себя копии сайтов для оплаты или копии сайтов банков. Они создаются и используются злоумышленникам для получения персональных данных клиентов, включая реквизиты платежных карт. Такие сайты могут отличаться от оригинала только электронным адресом URL, поэтому всегда важно проверять ссылку перед переходом на нее.
Официальные сайты используют SSL-сертификат безопасности: название сайта начинается с «https://» (также у таких сайтов есть значок закрытого замка). Если сайт начинается с «http://», то это повод усомниться в оригинальности страницы и не рекомендуется вводить там персональные данные, а также реквизиты платежных карт. Кроме того, следует проверять сертификат безопасности сайта (в интернете сейчас существуют множество сервисов по проверке сайтов, которые позволяют узнать подробную информацию о их происхождении) и не игнорировать предупреждения браузеров о небезопасности сайта. Также поможет обезопасить операции подключенная двухфакторная аутентификация и использование 3D-паролей для совершения операций.
«Практика показывает, что чаще всего кража денег со счетов клиентов банков происходит не с помощью высокотехнологичных разработок, а в следствии банальной невнимательности клиента, несоблюдения правил кибергигиены и воздействия на человека методами социальной инженерии. Владельцы карт вводят свои данные в подозрительные окна браузера, диктуют конфиденциальную информацию мошенникам по телефону, переходят по небезопасным ссылкам. Поэтому, для совершения операций в интернете мы всегда рекомендуем выпустить отдельный счёт и привязать к нему карту, на которой хранить ограниченное количество денежных средств необходимых для совершения покупки. Даже если Вы попадётесь на уловки мошенников, то использование отдельной карты позволит свести к минимуму возможные потери. Для повышения безопасности стоит также задуматься над использованием приложения мобильного банка на телефонном устройстве, отличном от устройства, на которое приходят SMS-уведомления от Банка», - добавил директор Департамента информационной безопасности Россельхозбанка Андрей Соколов.
Общие правила цифровой безопасности Россельхозбанка:
- Нельзя озвучивать никому, никогда и ни при каких обстоятельствах данные на лицевой стороне пластиковой карты: срок действия, имя и фамилия, а также данные на обратной стороне карты, даже системам распознавания голоса. Реальные работники банков никогда не спросят у Вас данные по карте или коды из SMS. Чтобы перевести Вам денежные средства – отправителю не надо знать срок действия карты и цифры на ее обратной стороне;
- Не существует безопасных виртуальных счетов или виртуальных ячеек – только мошенники могут просить Вас перевести денежные средства на такой счет. Если в действительности по Вашему счету проходят мошеннические действия – настоящие работники безопасности заблокируют Ваши карты или мобильный/интернет банк в соответствии с Федеральным законом № 167-ФЗ от 27.06.2018;
- Не существует единой службы безопасности всех банков. Перевести звонок из одного банка в другой невозможно (даже в банк-партнер). Реальные сотрудники безопасности банков так не работают;
- Не рекомендуем переводить свои сбережения на бонусные счета по просьбе третьих лиц, не заключив договор с компанией. Если Вам звонят и предлагают перевести денежные средства на бонусный счет – это мошенники, следует завершить вызов;
- Не переходите по ссылкам из подозрительных писем и сообщений, а также не скачивайте вложения из таких писем. Проверяйте сайты, на которых Вы вводите свои персональные данные, либо реквизиты платежных карт;
- Сверяйте при проведении операций реквизиты перевода с информацией из полученного SMS-сообщения/Push-уведомления, в котором содержится одноразовый пароль для подтверждения операций;
- Не используйте публичный Wi-Fi при использовании систем дистанционного банковского обслуживания.