Безопасность банковских карт и онлайн-банкинга, уровень "паранойя"
В реалиях сегодняшних «1000 и 1 способа стырить деньги у честных граждан» размещаю интересный пост, встреченный мной на просторах
Итак, какие карты нужно иметь каждому человеку, совершающими любые мало-мальские платежи в интернете (и не только):
1. Карта для зарплаты
Эту карту ты хранишь в сейфе и не достаёшь вообще. Все операции с ней сводятся к начислению ЗП работодателем и переводам на другие карты/счета тобой в онлайн-банке.
2. Карманная карта для оффлайн-покупок
Она всегда с тобой для прикладывания/засовывания в устройства.
Хорошо, если карманная карта от другого банка. Например, зарплату начисляют на карту Сбера, а тебе нравится <ИМЯ_БАНКА> из-за кэш-бэка. Также нередко у людей остаются карты с прежнего места работы — надо пользоваться.
На карманную карту можно переводить автоплатежами небольшие суммы на текущие расходы (хорошо дисциплинирует!) и эпизодически на крупные покупки.
К карманной карте должны быть подключены смс-уведомления (в Сбере — «полный» пакет мобильного банка), которые следует контролировать.
На задней стороне карты три цифры (CVV-код для онлайн-покупок) аккуратно заклей кусочком малярного скотча.
Если карманная карта будет потеряна или украдена — без раздумий блокируй и заказывай перевыпуск.
Не полагайся на карту, всегда имей при себе немного наличных. Оценишь эту фишку когда если произойдёт масштабный сбой в процессинге.
3. Отдельная карта для онлайн-покупок
Это может быть электронная карта (без пластика). Она в зоне повышенного риска. На неё переводи нужную сумму, когда покупаешь очередную прикольную фигню на Али. В остальное время на карте не должно быть ощутимых сумм.
(Если карта Сбера, чтобы приходили коды 3-D Secure, должен быть подключен мобильный банк, достаточно экономного пакета.)
4. Про кредитные карты
Минутка финансовой грамотности. Если дебетовая карта — палка, то кредитка — нож. Ты должен хорошо понимать правила кредитной игры и всё время отслеживать её ход. Если есть сомнения — отказывайся от выпуска карты. Работник банка будет приговаривать «это бесплатно, а вдруг пригодится!», но известны случаи, когда девственная кредитка пылилась в дальнем ящике стола, а спустя время держатель знакомился со спецификой работы судебных приставов.
Кредитку в онлайн покупках вообще не светить.
5. Сбережения
Если ты зарабатываешь так много, что ещё и остаётся, тоты счастливый сукин сын не оставляй деньги на зарплатной карте. Открой пополняемый вклад или сберегательный счёт в другом(!) банке без онлайн-доступа. Не держи в одном банке более 1,4 млн. руб.
Дома имей запас наличных, желательно не 5000 купюрами, а помельче.
6. Онлайн-банкинг и смс
Включи смс- и email-уведомления о входе в онлайн-банк. Используй отдельный адрес email для общения с банком.
Не давай телефон в руки посторонним и не оставляй его без присмотра.
Общение с банком не должно проходить целиком через одно устройство — телефон. Если он окажется заражён трояном (а такое случается, трой может оказаться даже в заводской прошивке), то будет показывать тебе всё правильно (оплата коммуналки 2712,65 р.), а отправит в банк совсем другое (на какую-то левую карту 10 000 р.). Поэтому вместо приложений используй сайт онлайн-банка на компе/планшете/телефоне, а на другой телефон получай смс от банка с уведомлениями и кодами подтверждения.
Не сохраняй в браузере пароль от онлайн-банка. Перед входом проверяй SSL-сертификат сайта, кем выдан и кому. При выполнении операций проверяй назначение платежа и сумму в смс, прежде чем вводить код.Наиболее безопасный подход — сделать виртуалку с линуксом, в котором запускать последнюю версию надёжного браузера, который не имеет плагинов и никуда не заходит, кроме твоего онлайн-банка. А в качестве телефона использовать тупую кнопочную звонилку.
Теперь другая сторона вопроса. Телефон, к которому привязан онлайн-банк, нередко является к нему единственным ключом. Не секрет, что в Сбербанк-онлайн достаточно знать номер карты и завладеть телефоном, чтобы сбросить логин-пароль и получить полный доступ. Телефон могут тупо отжать, вместе с самой картой. Также известны случаи, когда мошенники проводили замену сим-карты в салоне связи с помощью поддельной доверенности или дружков-работников салона. Подключи у оператора услугу «Запрет действий по доверенности».
Если есть опасения целенаправленной атаки на тебя через номер телефона, заведи для онлайн-банка отдельную симку у другого оператора связи, номер которой никто не знает. Этот подход теряет смысл, если нужно чтобы незнакомые люди переводили на твою карту — светить номер карты гораздо хуже.
Возможна альтернатива смс-каналу, и некоторые банки за отдельную плату предоставляют компактное устройство, генератор одноразовых паролей, называют его «кардридер». Мне не доводилось применять.
Кроме того, не пользуйтесь общественным вайфай для передачи по незашифрованному трафику своих платежных данных, то бишь, не логиньтесь в банковские приложение, не шопьтесь где попало и т.д.
Кратко, для тех, кому лень читать:
1. Для онлайн-покупок иметь отдельную карту, желательно — отдельного банка.
2. Для покупок в магазине иметь отдельную карту, можно виртуальную, желательно использование GooglePay/ApplePay
Важно!!! Карта не должна иметь возможность бесконтактной оплаты
3. Не хранить суммы более 1.4 кк в одном банке.
4. При поездках в другие страны — иметь отдельную картку без привязки к телефону и иным счетам, лучше — стороннего банка.
5. Не использовать подозрительные банкоматы.
6. Заклеить все CVV-код (три цифры с обратной стороны).
7. Не давать никому в руки вашу карту, ваш телефон и ваш компьютер. Иметь нормальные пароли на домашнем вайфай, не раздавать для других ваш вайфай как домашнего инета, так и с телефона.
8. Помнить, что мошенник не дремлет, и лучше сейчас принять минимальные меры безопасности, чем завтра пострадать от преступных действий.
Итак, какие карты нужно иметь каждому человеку, совершающими любые мало-мальские платежи в интернете (и не только):
1. Карта для зарплаты
Эту карту ты хранишь в сейфе и не достаёшь вообще. Все операции с ней сводятся к начислению ЗП работодателем и переводам на другие карты/счета тобой в онлайн-банке.
2. Карманная карта для оффлайн-покупок
Она всегда с тобой для прикладывания/засовывания в устройства.
Хорошо, если карманная карта от другого банка. Например, зарплату начисляют на карту Сбера, а тебе нравится <ИМЯ_БАНКА> из-за кэш-бэка. Также нередко у людей остаются карты с прежнего места работы — надо пользоваться.
На карманную карту можно переводить автоплатежами небольшие суммы на текущие расходы (хорошо дисциплинирует!) и эпизодически на крупные покупки.
К карманной карте должны быть подключены смс-уведомления (в Сбере — «полный» пакет мобильного банка), которые следует контролировать.
На задней стороне карты три цифры (CVV-код для онлайн-покупок) аккуратно заклей кусочком малярного скотча.
Если карманная карта будет потеряна или украдена — без раздумий блокируй и заказывай перевыпуск.
Не полагайся на карту, всегда имей при себе немного наличных. Оценишь эту фишку когда если произойдёт масштабный сбой в процессинге.
3. Отдельная карта для онлайн-покупок
Это может быть электронная карта (без пластика). Она в зоне повышенного риска. На неё переводи нужную сумму, когда покупаешь очередную прикольную фигню на Али. В остальное время на карте не должно быть ощутимых сумм.
(Если карта Сбера, чтобы приходили коды 3-D Secure, должен быть подключен мобильный банк, достаточно экономного пакета.)
4. Про кредитные карты
Минутка финансовой грамотности. Если дебетовая карта — палка, то кредитка — нож. Ты должен хорошо понимать правила кредитной игры и всё время отслеживать её ход. Если есть сомнения — отказывайся от выпуска карты. Работник банка будет приговаривать «это бесплатно, а вдруг пригодится!», но известны случаи, когда девственная кредитка пылилась в дальнем ящике стола, а спустя время держатель знакомился со спецификой работы судебных приставов.
Кредитку в онлайн покупках вообще не светить.
5. Сбережения
Если ты зарабатываешь так много, что ещё и остаётся, то
Дома имей запас наличных, желательно не 5000 купюрами, а помельче.
6. Онлайн-банкинг и смс
Включи смс- и email-уведомления о входе в онлайн-банк. Используй отдельный адрес email для общения с банком.
Не давай телефон в руки посторонним и не оставляй его без присмотра.
Общение с банком не должно проходить целиком через одно устройство — телефон. Если он окажется заражён трояном (а такое случается, трой может оказаться даже в заводской прошивке), то будет показывать тебе всё правильно (оплата коммуналки 2712,65 р.), а отправит в банк совсем другое (на какую-то левую карту 10 000 р.). Поэтому вместо приложений используй сайт онлайн-банка на компе/планшете/телефоне, а на другой телефон получай смс от банка с уведомлениями и кодами подтверждения.
Не сохраняй в браузере пароль от онлайн-банка. Перед входом проверяй SSL-сертификат сайта, кем выдан и кому. При выполнении операций проверяй назначение платежа и сумму в смс, прежде чем вводить код.Наиболее безопасный подход — сделать виртуалку с линуксом, в котором запускать последнюю версию надёжного браузера, который не имеет плагинов и никуда не заходит, кроме твоего онлайн-банка. А в качестве телефона использовать тупую кнопочную звонилку.
Теперь другая сторона вопроса. Телефон, к которому привязан онлайн-банк, нередко является к нему единственным ключом. Не секрет, что в Сбербанк-онлайн достаточно знать номер карты и завладеть телефоном, чтобы сбросить логин-пароль и получить полный доступ. Телефон могут тупо отжать, вместе с самой картой. Также известны случаи, когда мошенники проводили замену сим-карты в салоне связи с помощью поддельной доверенности или дружков-работников салона. Подключи у оператора услугу «Запрет действий по доверенности».
Если есть опасения целенаправленной атаки на тебя через номер телефона, заведи для онлайн-банка отдельную симку у другого оператора связи, номер которой никто не знает. Этот подход теряет смысл, если нужно чтобы незнакомые люди переводили на твою карту — светить номер карты гораздо хуже.
Возможна альтернатива смс-каналу, и некоторые банки за отдельную плату предоставляют компактное устройство, генератор одноразовых паролей, называют его «кардридер». Мне не доводилось применять.
Кроме того, не пользуйтесь общественным вайфай для передачи по незашифрованному трафику своих платежных данных, то бишь, не логиньтесь в банковские приложение, не шопьтесь где попало и т.д.
Кратко, для тех, кому лень читать:
1. Для онлайн-покупок иметь отдельную карту, желательно — отдельного банка.
2. Для покупок в магазине иметь отдельную карту, можно виртуальную, желательно использование GooglePay/ApplePay
Важно!!! Карта не должна иметь возможность бесконтактной оплаты
3. Не хранить суммы более 1.4 кк в одном банке.
4. При поездках в другие страны — иметь отдельную картку без привязки к телефону и иным счетам, лучше — стороннего банка.
5. Не использовать подозрительные банкоматы.
6. Заклеить все CVV-код (три цифры с обратной стороны).
7. Не давать никому в руки вашу карту, ваш телефон и ваш компьютер. Иметь нормальные пароли на домашнем вайфай, не раздавать для других ваш вайфай как домашнего инета, так и с телефона.
8. Помнить, что мошенник не дремлет, и лучше сейчас принять минимальные меры безопасности, чем завтра пострадать от преступных действий.
Я ездила работать в дальний филиал, там для заключения отдельного договора (я так и не выяснила, был ли отдельный, потому что не подписывала ничего) сначала попросили выслать весь пакет документов (дипломы, инн и прочее), а на месте секретарь сделала ксерокопию всех страниц паспорта и зарплатной карты с обеих сторон. Мы тогда были непуганные, «карточной» преступности еще как таковой не было. И карточка эта была моя первая зарплатная, все мы привыкли к кешу и в интернет-магазинах поCVV-коду еще ничего не покупали.
Когда я ехала обратно, мне пришло странное смс — о какой-то фигне, типа уведомления или рекламы с просьбой то ли что-то подтвердить, то ли по ссылке к ним перейти, я даже не помню… но что-то там меня насторожило.
Вечером я позвонила в банк и рассказала об этой фигне, там был какой-то некомпетентный сотрудник, который или не знал, что ответить и мое беспокойство не удовлетворил. Вообщем, решили на время его запроса в службу собственной безопасности карточку заблокировать… и как-то это все было нелепо и глупо. Еще глупее это выглядило на следующий день, когда из этого филиала позвонили с проблемой — перевести мне мой гонорар они не смогли.
Но дело было сделано, и нужно было ждать перевыпуска карты — ее фото (с одной стороны) я им выслала.
Через пару дней мне перезвонили из службы безопасности банка и сказали что то тревожное смс угрозы для меня не представляло.
У меня своровали кошелек с картами. Стали снимать деньги с кредиток. сразу позвонила в полицию, затем заблокировала. Все деньги банк списал как мошенничество. Я ничего не потеряла за исключением суеты и нервотрепки, которую сама себе же и устроила. Кстати, мне очень рекомендовали отключить на всех дебитовых картах функцию «tap» Это когда ты карту не вставляешь в терминал оплаты, а просто подносишь и дотрагиваешься до терминала. Что, собственно, я и сделала.
Ну а не хранить всей яйца в одной корзине — древний как мир принцип, применяется и сюда — иметь несколько карт для разных нужд и не хранить на них все.
Только я знаю, зачем таскаю с собой: потому, что любая из них может мне понадобится, и если я не возьму с собой какую-то, то именно она мне вдруг понадобится или в нужный момент я забуду положит эту карту, поэтому, все свое ношу с собой!