Как защитить свои деньги от банка? Рассказывает знаменитый «русский хакер», специалист по платежным системам Дмитрий Артимович
Успели позабыть чувство набитого деньгами кармана и платите только картой? Как не стать жертвой кибермошенников, на что смотреть и куда кликать, чтобы не обманули, какую ответственность должен нести банк за наши покупки и как антивирусы становятся маленькими шпионами — ликбез от Дмитрия Артимовича, программиста, эксперта по платежным технологиям, автора учебника «Электронные платежи в интернете». Дмитрий Артимович был неоднократно назван «русским хакером» в публикациях западной прессы (NYTimes, Associated Press).
— Прежде чем говорить о книге, давай определимся с твоей ролью. Тебя считают хакером, который в свое время парализовал целый «Аэрофлот», ты был осужден по этому делу. Получается, человек, который ломал платежные системы, теперь стремится защищать от них людей? Проясни ситуацию.
— Рассказываю как есть: я работал с Павлом Врублевским (владелец Chronopay, одной из компаний-посредников по интернет-платежам. — Прим. авт.). В свое время он задался целью найти иностранных шпионов в ФСБ — и нашел.
А дальше как в классической бондиане: возник источник, угрожающий раскрыть шпионов, его нужно было дискредитировать. Отсюда преследование и все книжки Брайанов Кребсов (журналист-расследователь, IT-специалистов по киберпреступлениям. — Прим. авт.) про нас и все остальное.
Вообще, это политика. Раз суд признал меня виновным — я не могу спорить с их решением.
А так многие доказательства вызывают вопросы. Например, время создания вируса, который якобы блокировал «Аэрофлот» (основное доказательство по делу), совпадает со временем проведения судебной экспертизы. Пусть это будет на их совести.
— Хорошо, ты сам себя позиционируешь как хакера?
— Я эксперт по платежным технологиям. Изначально я программист, разработчик. Вопросы что-то взломать вообще не ко мне. Да и вообще, пресса и Голливуд исказили значение термина «хакер»: изначально — это человек, хорошо разбирающийся в компьютерах.
— Тогда вопрос тебе как к эксперту. Насколько все эти электронные системы уязвимы? И много ли в России хакеров, способных расшатать крупные компании?
— Почему тема хакеров так раскручена? Да потому что это большой бизнес.
Возьмем для примера те же Штаты. Для спецслужб США «российские хакеры» — это хороший предлог, чтобы получать огромное государственное финансирование — миллиарды долларов.
Они придумывают опасность в виде русских хакеров, потому что если хакеры станут американскими (а, например, в Америке мошенничества по тем же картам больше, чем в России), то у американских граждан возникнет резонный вопрос — куда уходят деньги и почему вы не можете справиться с угрозой? А тут вроде бы виновата Россия.
— Перейдем к твоей книге. Ты пишешь, в частности, что хочешь показать слабые места карточных платежных систем в России. Где эти слабые места?
— Я говорил про законодательство. У нас банковские карты появились намного позже, чем в Америке и Европе. А законодательство, да и то в зачаточной форме, — только в 2011 году.
Согласно закону США, у держателя карты есть 60 дней, чтобы оспорить ошибку в платежной выписке. Сами же платежные системы Visa и MasterCard в своих правилах увеличили этот срок до 120, в некоторых случаях — до 360 дней. Другой важный момент в том, что термин «ошибка в платежной выписке», определение которого прописано в американском законе, включает не только мошенничество по карте, но и недоставленный товар, неоказанную услугу, товар ненадлежащего качества и т. д. Перечень из 10 пунктов. И американские банки рассказывают клиентам обо всех этих случаях, когда они могут вернуть свои деньги, потому что банки зарабатывают на безналичных платежах и им выгодно, чтобы люди пользовались карточками, доверяли этой системе. Они на этом зарабатывают.
Наш же отечественный закон о «Национальной платежной системе» защищает в первую очередь интересы банков. Во-первых, у нашего держателя карты есть только один день на обращение в банк, если он заметил мошеннический платеж.
А когда заметил, должен обратиться в банк в той форме, которая прописана в договоре. То есть если у тебя написано, что ты должен лично прийти в офис банка, а ты находишься за рубежом, то извини. Ты попал.
Во-вторых, наш законодатель выкинул всё остальное, хотя такие случаи и прописаны в правилах международных платежных систем — неоказанная услуга, недоставленный товар, — наши держатели карт даже не знают, что могут обратиться в свой банк и сказать, что им не пришел товар. Вот ты знаешь?
— Я бы в магазин стала звонить.
— Вот, а по-хорошему надо идти в свой банк, просить, чтобы они вернули средства на карту. Всё это должно работать. Но у нас если после мошеннических операций деньги более-менее возвращают, то в таких случаях — практически никогда. Наши банки сами, по-моему, плохо это знают. Я, например, пытался со своим предыдущим банком разобраться, что мне не оказана услуга и теперь они должны вернуть мне деньги. Отказали.
— Так наши банки сами устанавливают внутренние правила — возвращать или не возвращать?
— Помимо не слишком лояльного к клиенту российского законодательства у банков есть правила платежных систем, которым они должны следовать. Но если они не будут их выполнять, ты не сможешь никуда пожаловаться, потому что Visa и MasterCard — закрытый клуб, там жалуются друг на друга только сами участники (банки). То есть если ты позвонишь в Visa, максимум, что тебе скажут, — «обратитесь в свой банк». Успела обратиться в свой банк в течение одного дня — в принципе ты защищена по российскому закону. А если не успела — остается только ругаться с банком, делать из этого публичный скандал, надеясь на то, что в итоге банк соизволит соблюсти правила Visa или MasterCard, которые сам же и подписывал.
Поэтому цель моей книги еще и в том, чтобы в принципе начать в публичном поле разговор о том, что если ты клиент российского банка, то, совершая электронные платежи, находишься в очень уязвимой позиции. Твои интересы плохо представлены в морально устаревшем в этой части законодательстве.
У тебя даже толком нет права защитить свои интересы, опираясь на международные договоры. Казалось бы, такое поле для деятельности любого публичного политика — представление интересов простых людей в их конфликтах с банками, законодательная реформа, — но сейчас этим не занимается вообще никто.
Понимаешь, законодатель в Штатах что сделал? Он не на держателей карт стал давить, а на банки: вы эту систему создали, вы на ней зарабатываете, вот вы и думайте, как людей защищать. Это правильный подход. А у нас предпочитают просто подсовывать клиенту страховку банковской карты, то есть еще одну платную услугу. В России какой подход к экономике? У нас есть законы о борьбе с коррупцией, при этом в США, например, абсолютно законным является многое из того, что у нас запрещено: лоббизм, родственные связи. Но при этом их законы защищают не абстрактную «экономику», а экономические права граждан.
Если не стимулировать развитие банковской сферы, сферы электронных платежей, то проблема так и останется. Потому что наши банки-то существующими условиями довольны. Они на операциях с карточками зарабатывают — где-то 1,6 % от покупки. Если товар стоит 10 000 рублей, то банк с этого получит 160 рублей. Эти проценты уже включены в цену товаров. Банки не рискуют этой маржой. Законами интересы банков тоже защищены. Но если наше государство хочет, чтобы у нас было больше безналичных платежей, то систему однозначно нужно совершенствовать в сторону защиты интересов простых людей.
— Если мне не привезли, допустим, мою тайскую секс-куклу, то я прихожу в банк и говорю…
— Твой банк списывает сумму с того банка, через который прошел платеж, а тот, в свою очередь, штрафует торговую точку. Да, у них эти риски давно распределены. Банки всегда ищут возможность переложить на кого-то ответственность. Когда неприятность происходит в собственной сети банкоматов, то риск полностью на них, а если через других, то они сдирают с владельцев этой сети.
Это как в самолете: если кричит ребенок, не надо ссориться с родителями ребенка, просто позови стюардессу. Так же и здесь: не надо звонить условно в главный офис AliExpress. Вот в американских сериалах герои постоянно в банк звонят разбираться. И это нашему зрителю сложно понять.
Но это правильный подход, потому что прописанная в правилах ответственность банка за решение твоих проблем с электронными платежами в итоге сильно ускоряет движение денег. Если будешь судиться с магазином, то ты деньги свои получишь через год и только потом купишь себе что-то новое, а так получишь сегодня и уже на следующий день снова выльешь их на рынок. Есть такое уравнение обмена, все экономисты его знают. Если говорить простым языком, то один из важнейших параметров экономики — скорость обращения денег. Чем она выше, тем лучше. Если мы сейчас перейдем в каменный век и начнем все кешем таскать, представь, как все замедлится.
— Но подожди, если у нас есть закон, в котором не прописаны такие функции, как возврат денег за недоставленный товар, и прочие, то как я могу сейчас что-то от банков требовать? Просто сотрясать кулаками воздух и выкрикивать «а вот в Америке!..»?
— Никак. Это на совести твоего банка: будет ли он выполнять правила Visa и MasterCard или нет. Если им клиент важен, то будет. Нет — меняй банк. Как я и сделал в свое время.
— С возвратом понятно. А вот как банки проверяют, что это именно мошенник списал деньги, а не ты такую схему провернул?
— Чаще банки ориентируются на то, как именно прошло списание средств — по магнитной полосе или чипу. Если некто платит картой с чипом, то банк считает, что это ты оплатил. Иначе у тебя должны были украсть карту вместе с пин-кодом. А вот если транзакция была по полосе, то шансов вернуть деньги у тебя больше. Магнитную полосу подделать очень просто, мошенники просто используют считывающее устройство, которое копирует твою карту при прокатывании или засовывании в банкомат.
— Давай разберем этот момент на конкретном примере. Недавно нашего коллегу журналиста Никиту Аронова ограбили на 350 тысяч рублей. Он беседовал с каким-то человеком, у него незаметно вынули из телефону сим-карту, а из кошелька — банковскую карту. Мошенники вставили симку в свой телефон, через мобильное приложение банка поменяли пин-код, там это было возможно, и сняли деньги. И сейчас Никита судится, а банк говорит «ничего не знаем».
— Секунду. Если у тебя украли телефон вместе с картой, то я, честно говоря, встану на сторону банка. Если у тебя бумажник украдут, кто тебе возмещать будет? Это твоя ответственность. А вот если ты не в тот банкомат карту засунул, и мошенники считали твой пин-код и скопировали магнитную полосу, сделали дубликат и сняли деньги, а банк говорит «ну что вы, вы же ввели пин-код», то это неправильно. Здесь уже банк должен разбираться со своей безопасностью.
Кстати, по поводу чипованных карт. На магнитной полосе есть запись о том, что карта чипованная. То есть если ты пойдешь в нормальный современный банкомат, вставишь дубликат карты, с которой была скопирована магнитная полоса, то транзакция не пройдет. Только у нас очень много старых банкоматов, которые работают по магнитной полосе и не поддерживают чип.
— Возвращаясь к истории с Никитой. Если я попадаю в подобную ситуацию, то мне просто плакать в подушку?
— А тебе и в Штатах не вернут в такой ситуации деньги.
— Может, тогда криптовалютой пользоваться безопаснее?
— Я не считаю, что она когда-то станет полноценной валютой. Если обратиться к нашему уравнению обмена, то общая денежная масса пропорциональна объему производства и коэффициенту цен. Самый простой случай: у нас экономика растет на 2 %, а денежная масса — на 10 %. К чему это приводит? К инфляции. Другая история — когда банки кредитуют бизнес — экономика растет, и это нормальное развитие.
Что с биткоином? Его придумали и в него заложили конечность эмиссии: чем больше биткоинов, тем сложнее их добывать. Это сделали не для того, чтобы они стали деньгами, а для того, чтобы тот, кто его создал, намайнил первые биткоины, хайпанул и хорошо заработал: чем меньше предложение, тем выше цена.
— Обычная пирамида?
— Я бы сказал, что это некий финансовый инструмент. Но если акции обычных компаний подкреплены производством, то биткоин — чисто продукт хайпа. То есть если завтра, например, какой-нибудь влиятельный председатель ФРС запретит биткоин, то его цена моментально рухнет.
— Тогда зайдем с другой стороны. Если закон написан под банки, криптовалюты могут в любой момент схлопнуться, то давай составим базовый чек-лист для гуманитариев. Вот мы зашли на сайт, хотим что-то купить — на что смотреть, чтобы нас не облапошили?
— Смотреть на того, через кого идет платеж. Обычно ты делаешь заказ, нажимаешь «оплатить», переходишь на страничку платежки — это нормальная история. А если тебе прямо на сайте предлагают ввести номер карты, то это должно насторожить. Но на крупных сайтах, того же «Аэрофлота», можно вводить без перехода и не бояться.
Потом. Все сайты, где ты вводишь платежные данные, должны быть защищенными: в адресной строке браузера их адрес будет начинаться префиксом https, где s означает security.
Если нет буковки s, вообще не вводи ничего. Там должен быть значок замка, на который можно нажать и увидеть сертификат безопасности. Если сертификат левый, то он будет гореть красным. Естественно, он должен быть выдан именно той компании, где ты покупаешь что-то. Как-то писали в новостях, что некоторые компании (Lenovo, Apple) ставят предустановленные сертификаты и могут, по идее, даже защищенный трафик перехватывать. Есть такая проблема. Это не моя область, но проблема есть.
Число интернет-краж с пластиковых карт выросло до 300 тыс., при этом размер суммарного ущерба от действий мошенников сократился до 1,05 млрд рублей с 1,08 млрд рублей, следует из данных компании «Информзащита» по итогам 2017 года.
Вот пример: твои данные могут перехватывать не какие-то мошенники, а твой антивирус. Антивирус по умолчанию ставит свой сертификат и все защищенные сайты пропускает через себя. Я эту функцию в любом антивирусе отключаю. Если сайт защищенный, не надо, чтобы какой-то антивирус смотрел, что я там делаю. Просто нажми на замочек (Дима нажимает на замочек. — Прим. авт.), вот здесь видно, что сертификат выдан Google — все нормально. Если же здесь будет написано название твоего антивируса, иди меняй настройки. По сути, антивирусы могут шпионить. Но это другая тема.
— Это очень важная тема. Мы сейчас живем в мире, где кажется, что за нами следят везде: в телеграме, вотсапе, со всех камер… Кстати, почему у тебя не заклеена камера на ноутбуке?
— А когда она работает, она огоньком светится. Остальное в 99 % случаев — паранойя. Операционные системы у нас все американские, а за слежку руководство компании, согласно законодательству США, может надолго сесть. Заклеивать камеры — это больше игра блогеров.
— Продолжим чек-лист. Банковские приложения и оплата по телефону — зло?
— Технология бесконтактной оплаты называется NFC (Near Field Communication) вполне хорошо защищена. Чтобы снять деньги, нужно украсть телефон вместе — в моем случае — с моим глазом, потому что у меня разблокировка по радужке. Единственное, у меня Samsung, а они в целях маркетинга еще и магнитную полосу воспроизводят. Просто решили выпендриться: ведь не во всех терминалах есть поддержка этой NFC-шки, давайте магнитную полосу воспроизводить! Так ее тоже скопировать можно.
Кстати, месяца три назад читал в новостях, как эксперты Сбербанка утверждали, что держатели карт должны сами следить за своими картами, чтобы у них не скопировали полосу. Не заметил — сам виноват. Поэтому я стараюсь карту прикладывать, это безопаснее.
— Карточкой какого банка ты пользуешься и как себя защищаешь от мошенничества?
— Не хотел бы рекламировать, но раз ты спрашиваешь, я пользуюсь «Альфа-банком», они мне нравятся. Но оспаривать платежи я там пока не пробовал.
— А как ты определяешь, что банк хороший?
— Банк ко мне относится либо хорошо, либо плохо. Если плохо, то я его меняю. Так однажды ушел из «Райффайзен», там две ситуации было: первая, когда я попробовал через них вернуть деньги за неоказанную услугу. Сумма копеечная, я был золотым клиентом, но мне отказали. И я не понимаю, зачем отказывать человеку, который 10 лет вашим банком пользуется, из-за какой-то тысячи рублей. Второй момент: я вроде как хотел к ним вернуться, пришел, начал задавать вопросы, а на меня так смотрят и говорят: «Да вы что такое несете? Вы сами законов не знаете». Я ухожу из этого банка, мне звонят по телефону и говорят: «Дмитрий, знаете, я сейчас спросила у коллег, вы были правы, я ошиблась». Ну… что уж.
И еще я выбираю банк по количеству активов, потому что в России очень часто отзывают лицензии. У нас можно быть либо в самом крупном коммерческом банке, либо в государственном, иначе стремно.
— Мы обсудили Visa и MasterCard, а в чем может быть проблема с картой «Мир»?
— Да не то что у нее какие-то особенные проблемы. Это просто копия. Нет инноваций. «Мир» принадлежит ЦБ. Они рассуждают так: мы сверху сказали — вы пользуетесь. И бюджетники обязаны ею пользоваться. А как ее развивать? Зачем мне карта «Мир»? Там такая же магнитная полоса, которую можно скопировать, там такой же чип, за границей она не работает. У нас карты продвигают обычно через скидки. Но это смешно: я, например, живу на одном конце Москвы, скидка в ресторане — на другом. Я час буду ехать, чтобы пообедать подешевле?
Если бы у нас поменялось законодательство, если бы у нас возвращали деньги за недоставленный товар и всё то, о чем я говорил, если бы нам бы не впаривали страховки, заменили банкоматы на новые и убрали магнитную ленту с карт, многие стали бы пользоваться «Миром», по крайне мере в России.
Да от этого бы и экономика выиграла — развитие, новые продукты.
Но проблема в том, что у нас очень много старого оборудования. Все наши карты имеют магнитную полосу, менять это дорого. Хотя надо делать не только это, надо еще убирать номера карт.. Украсть номер карты достаточно просто, а многие магазины позволяют оплачивать товар, не вводя код с подтверждением оплаты, который приходит в смс от банка.
Первые оплаты по карте совершались через импринтер — простейший механизм для снятия оттиска с банковской карты. Карту вставляют в специальную рамку-слип, сверху прикладывается бланк, а подвижный элемент проводит по нему с определенным усилием. Если все сделано правильно, на слипе отображаются реквизиты карточки банка (те, что имеют выпуклую структуру) и нанесены на передней части.
После выполнения этой операции кассир ставит сумму платежа, а владелец «пластика» — подпись. Сейчас импринтеры применяются для подстраховки, когда основное устройство для считывания карт вышло из строя, а безналичный платеж должен быть проведен.
— А когда подтверждение оплаты идет через смс, то это ок, защита ++?
— Наверное, ты читала буклеты банков, которые рассказывают, что смска, которая тебе приходит подтвердить платеж, это твоя защита.
— Мне прямо в смске это пишут.
— Система сделана, чтобы защитить банки. Потому что ты оспорить такой платеж не сможешь. Если платеж подтвержден смской — всё, ты его подписал. Была такая тема как friendly fraud — «дружеское мошенничество». Держатели карт покупали что-то в интернете, им приходил товар, они шли в свой банк и говорили «у нас деньги украли, делайте возврат». После этого и появилась система смсок.
— А если я что-то покупаю, даже с смс, через общественный вайфай, то опасно?
— А что такого? Надо, как я уже сказал, смотреть, чтобы сайт был защищен, чтобы был нормальный сертификат. Желательно покупать через компанию, которую ты знаешь. А если сайт незнакомый, да еще и иностранный, то можно просто погуглить — «сайт не левый?».
— У тебя в книге еще есть про онлайн-казино. Как оно работает и есть хотя бы минимальный шанс выиграть?
— Казино и лотереи — это еще ладно, там математически заложен процент выигрыша, и ты за это платишь. Другое дело букмекеры. Тут надо немного углубиться в детали. Если банк подключает платежи в какой-то стране, он может подключать их только компаниям этой страны (если нет специальной международной лицензии, а в России ее нет ни у одного из банков). В правилах Visa/MasterCard это давно, лет так 20. Почему это было сделано? Это стимулирует экономику. Иначе ты деньги выгоняешь за рубеж.
Что происходит у нас и при чем тут эти букмекеры? Есть у нас такая «Лига ставок», ее владелец хотел затащить под себя всех игроков и не смог. Тогда он решил пролоббировать законодательство. Появился ЦУПИС — центр учета переводов интерактивных ставок.
И теперь по законодательству все ставки должны проходить через этот орган и отдавать ему, кажется, 8 % за проведение платежа. Теперь сама ответь на вопрос: если с тебя берут только 8 % за прием платежа, еще примерно 2 % за выплату на карту при заявленной маржинальности таких контор в 4–6 %, то как ты можешь честно работать вообще? Ставочники кидают всех. Там стандартные схемы. Например, ты выиграла, а тебе говорят: хочешь вывести деньги на счет, пришли скан карты, потом давай собеседование по скайпу, чтобы твой паспорт и карточка у лица обязательно. Они морозят людей, чтобы не платить. Изживают тех, кто выигрывает и оставляют себе пул игроков, которые проигрывают.
При этом букмекеры очень не хотят платить 8 %. И они просто переводят оборот денег за рубеж, то есть создают там компании и подключают их к европейскому банку. Некоторые, особенно умные, которые не хотят терять на конвертации валюты, подключаются через наши фирмы, что открыто нарушает как правила платежных систем, так и наше законодательство.
— Не поднять нам бабла.
— Мне до сих пор не понятно, почему Visa и MasterCard это допускают. На каждой конференции они говорят, что о проблеме с НКО-шками знают уже лет шесть и собираются принимать меры. Может, они в доле? В общем, такие схемы разрушают экономику и рынок: налоги здесь не платятся, рабочие места не создаются, кто-то становится более равным, то есть разрушается честная конкуренция.
Кстати, этим промышляют не только игорные компании. Возьми AliExpress. Каждый месяц на сингапурский офшор улетает 4–5 млрд рублей. Уходят деньги из страны. AliExpress — это и удобно, и дешево.
Если бы они взяли сингапурский банк для приема платежей, то Visa и MasterCard за каждую такую оплату брали бы дополнительно небольшой процент, плюс конвертация валюты. Но уже года 2–3 Visa борется с такой офшоризацией, и сейчас недостаточно просто создать компанию-пустышку для приема платежей: нужно, чтобы компания вела реальную деятельность, то есть по-хорошему AliExpress должен создать в России полноценный офис и платить налоги.
— И ты с помощью своей книги хочешь все эти ситуации изменить?
— По поводу проблем я считаю, что о них в первую очередь нужно говорить, иначе ничего не изменится. А так у нас есть дальнейшие планы раскидать эту книгу по всем университетам, и мы уже договорились, что все московские публичные библиотеки возьмут себе пару экземпляров. Нам важно привлечь внимание к тому, что касается каждого из нас, у кого есть банковская карта. В конечном итоге — это вопрос стабильности экономики страны, когда между клиентами и банками есть доверие, когда защищены права обеих сторон. Я хочу, чтобы в России появилось это доверие.