На вашем счете 0 рублей. Как онлайн-покупки нас разоряют и что с этим делать
Одна девочка расплатилась кредиткой в Алжире, а потом у нее увели с карты всю зарплату, и ей не на что было купить сувениры. А другая девочка оставила сумку в кафе, чтобы подойти к стойке, вернулась, а кредитку украли, а потом тоже списали с нее все деньги. А один мальчик купил в онлайн-магазине спортивные часы, а потом его картой расплатились на сумму больше пяти тысяч долларов. Страшно? Нам тоже.
Поэтому мы решили разобраться, чем опасны онлайн-покупки и безналичный расчет как таковой, а заодно — как не стать той девочкой или тем мальчиком, которые заходят на сайт купить кеды, а покупают еще полный готический прикид и 10 футболок со Stranger Things, и потом им не на что обедать всю неделю.
Незапланированные покупки в интернете — верный способ опустошить кредитку, хотя вроде бы никто, кроме самого покупателя, тут ответственности не несет.
«На сайте или в приложении я почти всегда трачу больше, чем при офлайн-шопинге — особенно если это проверенные магазины, где я уже знаю, насколько мне подходит размерный ряд, — рассказывает москвичка Лариса. — Если я иду в магазин ногами, меня обычно в какой-то момент останавливает количество и вес пакетов с товарами, которые уже куплены. С онлайн-шопингом сложнее. Еще одна дурацкая слабость — зависаю на сервисах, где люди продают свои вещи, выискиваю всякие странности. Это не всегда затратно, но чувствую, что хлама дома уже многовато». Если в этой истории вам слышится что-то родное, имеет смысл зафиксировать для себя основные побуждающие к тратам уловки интернет-магазинов. Вот информация из первых рук.
Как рассказывает руководитель интернет-магазина vezuvdom.ru Дмитрий Будневский, обычно покупки совершают лишь от 1 % до 5 % посетителей сайта онлайн-магазина, который, конечно, стремится конверсию увеличить. Помимо онлайн-чатов, кнопок с запросом на обратный звонок (инструменты, выводящие на прямое общение с продажниками) посетителю могут показывать информацию о том, что товара, который он смотрит, осталось мало. Типичная уловка интернет-магазинов из того же ряда — показать, что распродажа заканчивается, акция по бесплатной доставке действует последний день и т. п.
Любого рода обратные отсчеты — это обычные инструменты вовлечения в покупки, довольно часто магазины не меняют их месяцами, так каждый день распродажа и «заканчивается».
«Сейчас почти на всех сайтах работает схема по возвращению клиента, не совершившего покупку. Когда клиент заходит на сайт, смотрит определенные товары или даже кладет их в корзину, но не покупает — сайт уже знает его электронную почту. И через некоторое время после того, как клиент закрыл сайт, ему придет предложение купить выбранные товары со скидкой», — продолжает Дмитрий Будневский. Вроде все просто — но работает.
Еще одна проблема интернет-покупок — это торговля подделками.
«Интернет привлекателен для продавцов контрафакта: обмануть покупателя легче, чем с глазу на глаз в обычном магазине, а анонимность в Сети позволяет скрыться от ответственности. С помощью хорошо сверстанного сайта, известного логотипа и изображений оригинальной продукции сбить покупателей с толку не составляет особого труда. Зачастую интернет-магазины мошенников выглядят не менее представительно, чем официальные», — комментирует Юрий Вопилов, генеральный директор Brand Monitor (компания специализируется на пресечении незаконного использования торговых знаков).
Основные моменты, по которым можно выявить сайт с подделками, говорит эксперт, — это наличие огромных скидок (на сайтах официальных магазинов вне «черных» пятниц, понедельников и прочих скидки редко превышают 20–30 %), отсутствие эквайринга и наличие множества некликабельных позитивных отзывов якобы из соцсетей.
Но самое неприятное, что может случиться при онлайн-покупках и оплате картой вообще, — это кража личных данных и в конечном счете денег покупателя. «Я вообще не задумывалась о том, что „светить“ номер карты в интернете может быть опасно, — говорит Светлана из Новосибирска. — Пока не столкнулась с тем, что никак не могла уговорить подругу, у которой одолжила денег, сказать, куда перевести ей долг. Она предлагала встречу или переводила разговор, а я настаивала раз за разом: встречаться было неудобно, а деньги „жгли руки“. В итоге я ее достала, и она прямым текстом сказала наконец, что никому не говорит и не пересылает свой номер карты. Только тогда я задумалась». Оправдана ли такая позиция?
Любопытно вспомнить, что на заре безналичных расчетов (первый «пластик» появился в США в конце 50-х) в этой сфере царила полная анархия.
Действующие кредитки рассылались по почте, люди не очень понимали, что с ними делать, — хотя мошенники, конечно, сообразили быстро: достаточно пошарить по почтовым ящикам и набрать активных карточек, за траты по которым платить будешь не ты.
Понятно, что вместо доверия к новому платежному инструменту люди были в шоке от того, что они внезапно должны банку.
«В итоге под давлением законодателей две платежные системы приняли решение руководствоваться принципом „клиент всегда прав“: в любой спорной или неоднозначной ситуации держатель карты мог вернуть свои деньги, — рассказывает Марк Хатин, руководитель департамента рисков ChronoPay. — Это не очень нравилось продавцам и банкам, на которых легла основная тяжесть убытков от мошенничества, но в итоге выиграли все: потребители получили удобный платежный инструмент, магазины — рост продаж, банки — комиссии за обслуживание и проценты по карточным кредитам, а две дальновидные платежные системы захватили международный рынок и стали всем известными Visa и Mastercard».
В дальнейшем обе системы, прямо заинтересованные в том, чтобы поменьше проигрывать обокраденным клиентам в судах, начали работать над стандартами безопасности и ввели средства идентификации при помощи EMV-чипа и 3D-secure. Как говорит Марк Хатин, это привело к снижению мошенничества до единичных случаев: «Например, через платежный шлюз ChronoPay ежемесячно проходят десятки миллионов транзакций, за тот же период по ним поступает меньше пяти обращений от правоохранительных органов с подозрением на хищение денежных средств. Конечно, это слабое утешение, если не повезло именно вам».
Случаи, увы, продолжают происходить.
«У меня в поездке украли сумку с картой, паспортом и билетом на поезд, — рассказывает Елена. — Каким-то образом сняли все средства порциями по 500 рублей. Билет я с горем пополам смогла восстановить через дорожную полицию, но самое забавное, что с украденным билетом на посадку пришла и еще одна женщина, которая уверяла, что она — это я».
«У нас была смешная история: в компании, где делали персональные сервисы (завязанные на твое имя и фамилию) кто-то купил продукт ворованной кредиткой. Понятно, что всю его информацию тут же по запросу сдали и банку, и полиции», — делится Юлия.
В приведенных случаях мошенники не знали пина. Получается, номера карты и правда достаточно, чтобы увести деньги?
Да. Во-первых, есть сайты (некоторые сервисы покупки билетов, например), на которых для подтверждения покупки не требуется вводить контрольный код, достаточно номера карты, Ф.И.О., срока действия и CVV, и то не всегда. «У мужа один раз с карты купили несколько авиабилетов по 1500 долларов каждый, — говорит Юлия (Калифорния). — Потом банк все вернул».
Во-вторых, выяснить Ф.И.О. хозяина карты только по номеру в некоторых банках тоже не проблема: для карт некоторых банков достаточно перевести тому, чья карта, через онлайн-банк небольшую сумму. В России, например, такой схемой мошенники активно пользуются на сервисах – досках объявлений от частных лиц.
«Я недавно зарегистрировалась на „Авито“, чтобы продать два детских комбинезона. Через 15 минут после того, как я вывесила объявления, мне позвонил какой-то мужик и выразил готовность купить оба. Немедленно. С самого начала очень жал, чтобы сразу перевести мне деньги, и просил номер карты, — рассказывает Марина. — Было почти 12 ночи, я удивилась: комбезы были на разный возраст, хорошие, конечно, но чтобы так… В общем, когда он в третий раз завел пластинку про карту, я насторожилась и сказала, что только утром. Повесила трубку. Утром прочла на том же „Авито“ статью, что „никогда не давайте номер карты незнакомцам“. Конечно же, никто не перезвонил».
Для кражи личных данных существует множество способов — от перехвата сведений по Wi-Fi до методов социальной инженерии. По Wi-Fi данные крадут, например, по схеме «атака посредника», когда мошенники создают Wi-Fi-точку с открытым доступом, куда человек подключается, пользуется интернетом, возможно, вводит логины и пароли, говорит Марк Хатин. «Еще один способ — фишинг. Злоумышленники создают точную копию популярного интернет-магазина, который внешне отличается от оригинала, допустим, только одной буквой в адресной строке.
Обманувшиеся покупатели вводят реквизиты своих карт и передают их прямо в руки мошенникам, но те не пытаются сразу же снять деньги, а передают их настоящей компании, сайт которой они подделали, — будто ничего не произошло. В результате покупатель получает свой товар и даже не подозревает, что его персональные данные уже похищены.
Пока не деньги, а номер карты, ее срок действия, имя держателя, и код CVV».
Хотя бывает, что вместе с личными данными крадут и деньги. Как рассказала москвичка Анна, с ней такой случай произошел при общении через сервис знакомств. Девушка познакомилась с симпатичным молодым человеком, русским врачом, живущим в Германии. «Много общались, содержательно, интересно. Потом парень попросил совета: что купить жене состоятельного друга. Через некоторое время написал, что решил подарить AppleWatch, благо деньги есть — да к тому же по акции смог взять 2 по цене 1. Теперь он хочет отправить собеседнице в Россию второй экземпляр — и даже уже отправил, осталось курьеру сообщить адрес доставки и телефон. «Меня такой поворот, конечно, напряг. Пишу, спасибо, не надо мне дорогих подарков, адрес не дала, а вот телефон да. Тут же — его письмо: адрес не обязателен, по номеру телефона меня уже нашла фирма — и действительно, на почту и телефон приходит информация о присланной посылке.
Он пишет, что курьер мне позвонит и привезет домой, но есть одна проблема: за получение надо заплатить какой-то взнос. Пусть я не волнуюсь, он в посылку деньги уже положил. Просто надо сначала перевести эти деньги с карточки, а то посылку не привезут.
А сам он уезжает в командировку и несколько дней будет не на связи».
У Анны уже был случай, когда за доставку надо было платить — только в тот раз незначительные сувениры подруге за границу отправляла она сама, и в какой-то момент подруга отправила подарок обратно, поскольку очень выросли тарифы за получение. Поэтому девушка ничего не заподозрила. «На скорую руку проверила, что есть такая курьерская служба, действительно популярная. Перевожу деньги — около 2000 рублей. При проведении платежа мелькнула странная надпись: вместо „оплачено“ или „платеж совершен“ — „платеж зачислен на вашу карту в Тинькофф банке“ (у меня нет счета в этом банке). А в форме получения посылки статус „неоплачено“ так и не меняется». Только через несколько дней Анна села детально разбираться в ситуации — и заметила, что сайт, на который прислал ссылку ее знакомец, немного отличается от сайта курьерской компании.
«К вам может прийти спам, предлагающий бесплатные продукты, призы или товары по значительно сниженной стоимости. Чтобы „получать“ эти товары, придется зарегистрироваться на сайте, то есть оставить свои данные, вас могут попросить купить другие товары, прежде чем вы получите „бесплатный подарок“ или скидку»,
— приводит другие примеры фишинга Денис Путиков, специалист аналитического центра Falcongaze (занимается разработкой программного обеспечения в сфере информационной безопасности). Еще для кражи данных активно используются троянские программы, которые записывают, анализируют и передают мошенникам все нажатия клавиш (в этот момент хочется перестать писать статью дальше — Прим. авт.), которые могут содержать номера карт, пароли и логины, продолжает эксперт.
Но даже если увели только карту, ее нужно тут же блокировать и перевыпускать. В идеале — сразу, как только вы это заметили. «Часто кражу карты / личных данных и собственно кражу денег с карты проводят преступные группы, — рассказывает Марк Хатин. —
Тогда в период продажи базы украденных карт может проходить проверка — выборочно с некоторых карт мошенники пытаются перевести небольшую сумму. Делается это для проверки актуальности базы».
Адресат должен выглядеть невинно — довольно часто, говорит эксперт, переводы делаются на благотворительные организации. «Мы в Андорре покупали по карте аккумулятор для фотоаппарата в маленькой лавке — через несколько дней пошли попытки списания на 1 доллар в iTunes. Мы карту заблокировали и перевыпустили, ничего не списалось, — рассказывает Евгений. — В Мадриде на рынке у Мигеля как-то вытащили карту, мы сразу же перекинули все деньги на накопительный счет, все цело».
Торговля через мобильные приложения тоже активно интересует киберпреступников — но тут, как говорит Денис Путиков, плюс для пользователя (потенциальной жертвы) в том, что безопасность приложений обеспечивают Google Play или Apple App Store — если вы их скачали там, разумеется. «Хотя сейчас Google и Apple находят в магазинах приложений сотни вредоносных программ, и некоторые зараженные программы все равно проходят через процесс проверки и попадают на мобильных устройства, этот способ онлайн-покупок все равно является более безопасным, чем пользование интернет-магазинами», — говорит эксперт.
Каким бы образом мошенники не заполучили личные данные жертвы, увести средства с карты, по идее, должна помешать система фрод-мониторинга — банк или процессинговый центр отслеживают операции клиента, и при подозрениях блокирует карту и извещает клиента.
Типичные причины для подозрений: нетипичное место операции, короткий интервал между транзакциями, сумма покупки, сильно превышающая средний чек в этом магазине, многократно повторяющиеся списания на маленькую сумму.
Тут тоже, конечно, могут случиться накладки — кому приятно оказаться с заблокированной картой и без наличных где-нибудь в Албании только из-за того, что решил развлечь себя покупками. «Если же банк ничего не заподозрил, а вам пришло уведомление об операции, которую вы не совершали, в т.ч. на незначительную сумму, — надо срочно звонить в банк и отменять операцию, блокировать карту, — говорит Марк Хатин. — Если мошенники смогли обойти все защитные механизмы и увести ваши деньги, то остается только обращаться в банк с заявлением о возмещении денежных средств по процедуре chargeback — банк должен вернуть вам деньги на основании правил международных платежных систем и пункта 15 статьи 9 Федерального закона № 161 „О национальной платежной системе“, если не будет доказано, что кража произошла исключительно по вашей вине — что в российской практике случается довольно часто». Но не всегда. «У меня год назад увели с карты 2000 долларов маленькими порциями, — рассказывает Мария. — Банк все вернул, но я замучилась заполнять заявления на каждые украденные 20 баксов».
Вернуть средства можно, но это может быть долго и непросто. Вот, как говорит Денис Путиков, необходимый минимум гигиены при онлайн-покупках, который позволит свести риски к минимуму: «Устанавливайте приложения только от Adobe, Microsoft, Apple и т.д. Создавайте сложные пароли. Убедитесь, что ваше интернет-соединение безопасное.
Вручную вводите адрес сайта интернет-магазина. Никогда при покупках не пользуйтесь компьютером в общем доступе.
Не спешите передавать личную информацию другим, если у вас нет оснований им доверять. Тщательно и регулярно отслеживайте ваши банковские и финансовые счета».