Рано или поздно деньги с вашей банковской карты уйдут не попрощавшись. Даже если вы любите свою карту, не говорит ее номер "сотрудникам безопасности банка", не помогаете "агентам спецслужб" спасти деньги на вашем счете и не забываете кредитку где ни попадя.

Вы не доверчивый пенсионер, а продвинутый пользователь современных гаджетов, или даже IT-шник? Все равно однажды невидимый преступник пробьет финансовую брешь в кусочке вашего любимого пластика.

Используете шифрование диска, менеджер паролей, знакомы с приемами кардеров? Ваш уровень информационной паранойи лишь отсрочит неприятное событие и сократит ущерб. Полностью исключить риск кражи можно только в одном случае – если у вас нет счета в банке. Но в наше время, когда наличные расчеты стремительно уступаю место электронным, без счета не обойтись. Что делать? Читайте историю, которая случилась со мной месяц назад, мотайте на ус и будьте готовы. Кто предупрежден, тот … потеряет половину. 

Денег мало не бывает

Однажды вечером, когда я ковырялся в паутине, лежа на диване, на мобилу упала SMS-ка: с вашей карты списан 1 евро. И тут же вторая – транзакция отменена. Это была карта Кукуруза (с недавних пор - Связной). Карту получил несколько лет назад, последние годы она выполняла роль карты для мелких интернет-расчетов.

Совет: Выделите одну из карты для расчетов в сети Интернет, причем для таких, где вы сомневаетесь относительно сохранности платежных реквизитов. В каких случаях я сомневаюсь в сохранности реквизитов карты? Во всех, когда магазин или сервис запоминает карту для последующих расчетов. Исключение – PayPal и ApplePay/GooglePay – сервисы, созданные как раз для того, чтобы не светить карту при интернет-расчетах.

Если магазин предлагает способ оплаты PayPal, всегда выбираю его. Это не только безопасно, но дает дополнительную защиту в случае нарушений магазином своих обязательств. Так, когда началась пандемия и авиакомпании отменили рейсы, я вернул деньги за билеты еще до того, как перевозчики вышли из ступора и начали рассчитываться с клиентами – достаточно было опротестовать платеж в кабинете PayPal.

К сожалению, некоторые сервисы не только предлагают расчеты исключительно посредством ввода реквизитов карты, но и запоминают ее для последующих расчетов. Иногда дают клиенту выбор, запоминать или нет. В таком случае всегда выбираю "не запоминать". То, что интернет-сервис запоминает карту само по себе нормально, обычно так поступают сервисы, работающие по модели подписки: от музыкальных сервисов и онлайн-кинотеатров до магазинов приложений Apple и Google. Но одно дело привязать карту к крупному, всемирно известному магазину (хотя и их порой взламывают), и совсем другое – к небольшому стартапу, вероятность взлома которого на порядок выше. Именно для таких случаев я и держал Кукурузу.

Например, привязал ее Букингу. В прошлые годы читал дикую историю, когда заселяющийся в отель турист увидел на ресепшене распечатку постояльцев с указанием их кредитных карт – Букинг передавал данные отелям. Не знаю как сейчас, но раньше Букинг действительно мог передавать платежные данные отелю, чтобы тот списал с вашей карты необходимую сумму. Разумеется, доверять такому сервису можно только копеечную карту, с минимальным остатком, каковой и была у меня Кукуруза.  

Сейчас роль такой кредитки успешно берут на себя виртуальные карты. Их легко выпускать прямо в банковском приложении и там же перекидывать деньги под конкретные интернет-расчеты, сохраняя на карте остаток близкий к нулю. Или держать сумму, которую не жалко потерять. Но потерять жалко любую сумму, даже несколько тысяч рублей (за меньшим воры к вам не придут). Денег не бывает мало, также как и не бывает много.

Так вот, списали с моей карты 1 евро и тут же вернули. Из содержания SMS следовало, что проделал это Google в качестве авторизации. Такое происходит, когда вы привязываете карту, но платежей пока не делаете, сервису просто нужно убедиться в ее работоспособности. Ситуация сама по себе не криминальная. Вот только я в данный момент не привязывал карту. Но раньше привязывал. Может быть проверка связана с прошлыми подписками? Да и сумма 1 евро, и на карте денег мало, и диван мягкий – зачем грузить себя после дня трудового?

Моя ошибка: Случайных транзакций не бывает, едва ли нужно доказывать эту аксиому. И денег, как мы решили выше, мало не бывает. На самом деле имело место следующее. Злоумышленник получил реквизиты моей карты. Скорее всего, купил на специализированном форуме, куда данные попали в результате взлома базы данных одного из магазинов, запомнивших карту. Прежде, чем воровать с нее деньги, нужно проверить работоспособность карты, может ее уже заблокировали. Для этого авторизуют карту на одном из "подписочных" сервисов, который проводит пробный микроплатеж. В данном случае это был один из сервисов Google. Если бы я не отмахнулся от этой ситуации, заблокировал карту, дальнейшего бы не произошло. Причем время у меня на это было, около часа.

Единственное, что я сделал в этой ситуации – перелег на другой диван. А дальше прилетело еще две SMS-ки, которые не оставляли сомнений в том, что произошло с моей картой. Это были две оплаты покупок в интернет-магазине Адидас – на 6 т.р. и далее сразу на 10 т.р. На часах было ок. 11 ночи.

Для справки: Киберворы как правило действуют ночью: владелец карты спит, служба поддержки банка спит.... Как-то раз мой коллега обнаружил по утру, что не просыпаясь сумел отовариться на Алиэкспрессе на 60 тыс. руб. В мое случае начали с 6 т.р., повышая "ставки". Обычно так и бывает, ведь преступник не знает, сколько денег на карте. Была и третья покупка, но аппетиты воров превысили остаток на карте (20 т.р.), и транзакция не прошла.

Сразу после второго списания раздался звонок службы безопасности банка. Настоящей службы безопасности. Там поинтересовались, совершал ли я сейчас данные платежи. Сказал, что нет, это мошенники, после чего карту заблокировали. На мою просьбу отменить транзакции, ведь прошло не более 5 минут, ответили: обращайтесь утром в банк. Невелика помощь, учитывая, что я успел заблокировать карту через приложения еще до звонка. По поводу срочной отмены транзакций ожиданий не было – если деньги ушли с карты, вернуть их по-быстрому не получится. Позвонил, конечно, в банк, но там все спали, решать вопрос нужно утром.

Совершить данные платежи мошенникам удалось по той причине, что интернет-магазин Адидас не требует SMS-подтверждения. Т.е. не важно, что банк подключил к вашей карте 3-D Secure/SecureCode, SMS-код вам не придет. Не знаю, услугами какого платежного агрегатора или банка пользуется Адидас, но подобное недопустимо. О чем им и было сказано утром.

Утром позвонил в магазин, попросил отменить эти два заказа. Поскольку отгрузка еще не произошла, служба поддержки магазина обещала заказы отменить, за что им спасибо.

Поскольку деньги пока не вернулись на карту и гарантии, отменит ли заказы магазин не было, совершил официальный акт – отправил в банк протест на списания с карты (форма выложена на сайте и в приложении банка). Если бы не отмена заказов магазином, единственный способ вернуть деньги – именно такой, официальное заявление банку и последующее его рассмотрение платежной системой. Занять это может несколько месяцев! Решение платежной системы не предсказуемо. Однако, учитывая, что транзакция была без SMS-подтверждения предположу, что транзакции все равно бы отменили и заплатил за это магазин. Но не факт. Да и ждать пришлось бы долго.

К счастью, заказы магазин успешно отменил и через пару дней деньги вернулись на карту. Процесс отмены транзакций через банк не понадобился. Кстати, вернулись деньги уже на другую, перевыпущенную карту. Блокировка карты, с которой вы платили, тому не помеха, т.к. главное – счет, к которому карта привязана, он при перевыпуске не меняется.

Тяжелый случай

Иметь виртуальную карту или чахлую карту для интернет-расчетов – хороший совет. Но есть ситуации, когда выполнить его сложно. Например, вы берете машину на прокат. Зарубежные конторы обычно требует не просто банковскую карточку, а кредитную, чтобы в случае порчи автомобиля покрыть за ваш счет ущерб. При этом на карте еще и блокируется немалая гарантийная сумма, часто 100-200 тыс. руб. (операция выглядит как списание с возвратом после возврата автомобиля).

Здесь имеем две проблемы: а) светите карту прокатной конторе; б) на карте должна быть приличная сумма. Какой выход?

Опытные люди делают так. Получают кредитную карту. Подают заявление в банк, чтобы кредитный лимит установили 0 руб. Закидывают деньги на карту только по необходимости, непосредственно перед арендой авто, и сразу после возврата гарантийной суммы убирают деньги с карты.

То же самое можно проделать проще, если приложение вашего банка позволяет устанавливать лимиты на различные операции. Наиболее продвинутые дистанционные банки дают возможность выставить лимит отдельно на снятие в банкомате, отдельно на онлайн-платежи и т.д., вплоть до временного отключения всех операций (по сути, как блокировка карты, но не банком, а временная пользователем). К сожалению, многие крупнейшие банки до сих пор подобного удобства управления картой не предоставляют.

И еще. Не забывайте просвещать в этих вопросах своих родителей – порой самому не просто сражаться с мошенниками, что уж говорить о людях в возрасте, которые еще помнят карточки не пластиковые, а продуктовые.