"Страна" разбиралась в ситуации с новой схемой, и выяснила, как украинцы могут защитить свои деньги.
Новая схема — 3D Secure
В "Приватбанке" признают участившиеся конфликты с клиентами.
"Действительно стало больше жалоб на платежи, которые проходят автоматически. Обычно речь идет о разных сервисах в интернете. От IP-телевидения до компьютерных игр. Это оплаты, которые обычно проводятся с кодом 3D Secure", — сказал "Стране" пресс-секретарь "Приватбанка" Олег Серга.
3D Secure — код, который используют многие интернет-магазины и онлайн-сервисы. Это 6 цифр, которые приходят человеку во время оплаты, они нужны для подтверждения платежа. Пользователь вбивает их на сайте после ввода номера своей карточки и срока ее действия, из дополнительной смс-ки. Магазину код нужен, чтобы удостовериться, что карта не украдена, и находится в руках владельца, к номеру телефона которого привязан счет. Как только пользователь вбивает 6 цифр из сообщения, платеж считается официально подтвержденным.
Не все знают, но когда человек соглашается на автоматическую подписку на разные сервисы, скажем, Apple TV, MEGOGO, Steam и пр., то ему не приходится при каждой оплате вводить пресловутый код 3D Secure. Он используется один раз. Когда пользователь вводит этот код впервые происходит токенизация карты — ее привязка к платежам на конкретном сайте. Чтобы там не оплачивал после этого пользователь, платежи будут уходить автоматически, без дополнительного запроса со стороны банка.
Ведь банк считает, что человек доверяет тому сайту, на котором платит картой. А сайт уверен, что карточка не краденная, поскольку пользователь подтвердил платеж и дальнейшую привязку (токенизацию) кодом 3D Secure, который поступил на телефон владельца счета. Считается, что 3D Secure подделать невозможно, и проблем быть не должно.
Однако после жалоб клиентов "Приватбанка" стало понятно, что проблемы есть, и их нужно решать. Иначе люди будут терять деньги.
По словам финансистов, на 3D Secure сейчас строят два вида схем:
- Преступная, то есть мошенническая — приводит к откровенному воровству денег жуликами.
- Уловки интернет-продавцов — разнообразные ухищрения и "мелкий шрифт" в условиях договоров с клиентами, из-за которого людей незаметно подсаживают на регулярные платежи, чтобы "доить" их счета.
Как воруют мошенники
Выяснилось, что 3D Secure не защищает людей полностью, и что мошенники могут воровать даже, когда этот код используется. Обычно это происходит после кражи карточных данных.
Номера карт могут похищать по-разному:
- Во время использования: карту могут сфотографировать в магазине или ресторане, когда человек расплачивается.
- Массовые взломы/хищения баз данных: либо это делают преступники (хакеры), либо сливают сами работники банков.
После того, как мошенники получают номера карт, они выясняют номера телефонов, к которым привязаны счета. После начинают за ними следить и выуживать остальные данные.
"Мошенники могут получать частичный доступ к карте, а затем добиться от владельца недостающей информации по телефону. К примеру, если привязка проходила с использованием механизма 3D Secure, мошенник мог получить код подтверждения, позвонив владельцу. Это довольно распространенная схема мошенничества", — рассказал "Стране" советник председателя правления Кредитвест банка Василий Невмержицкий.
Чтобы узнать 6 цифр кода 3D Secure преступники придумывают разные обманные уловки. Звонят людям под видом службы безопасности банка, а иногда прикидываются работниками Нацбанка. Выдумывают любую версию, чтобы человек выдам им цифры кода: например, говорят, что его деньги на счете нужно спасти от преступников, потому нужен этот код. Чаще всего на такой обман ведутся люди пожилого возраста, не искушенные в технологиях. Такие методы называют "социальной инженерией", они замыкаются на психологию человека.
Но это не единственный способ. Схемы с использованием 3D Secure начали использовать хакеры, чтобы технически получить доступ к счету.
"Людям рассылают электронные письма с акционными предложениями от имени компании. Нажимая кнопку "купить", человек попадает на сайт мошенников, который практически невозможно было отличить от подлинника. Идеально сделан и сайт, и страницы ввода карточных данных. Самое интересное в этой истории, что на шаге подтверждения платежа пользователю открывали поддельную страницу 3D Secure. Когда человек вводил полученный на свой финансовый номер код, мошенники могут видеть его и использовать для списания средств по совершенно другой операции, которую они инициировали параллельно", — описал "Стране" схему начальник службы безопасности одного из банков.
Как продавцы подлавливают
Еще чаще схему с 3D Secure используют легальные продавцы услуг в интернете. В "Приватбанке" уверяют, что их клиенты чаще всего попадаются именно на эти уловки.
Речь о покупках разных услуг по подписке. Это могут быть компьютерные игры, доступ к IP-телевидению или что-то другое.
"Они привлекают людей почти бесплатным пробным периодом, а затем списывают плату на регулярной основе. Нормальные компании не злоупотребляют такой возможностью и оставляют за покупателем право отказаться от подписки в любое время. Но бывают и другие случаи. Их, к сожалению, становится все больше. Чаще всего они происходят с заграничными платформами", — рассказал "Стране" советник генерального директора ВПС City24 по стратегическому развитию Дмитрий Гриша.
Когда люди сейчас подписываются, например, на телевизионные сервисы, им часто вначале дают бесплатный период. Один или даже три месяца бесплатного просмотра. Но оформляя бесплатную подписку, все равно просят ввести номер банковской карты.
Как только бесплатный период заканчивается, начинаются автоматические списания абонентской платы. Из-за того, что на первоначальном этапе 3D Secure один раз уже вводился и карта была привязана (произошла токенизация), у человека больше не запрашивают никаких подтверждения — деньги начинают просто уходить со счета по тарифам компании.
"В пользовательском соглашении, который автоматически "подписывает" каждый покупатель, нажимая кнопку "оплатить", могут содержаться штрафные санкции за досрочный отказ от сервиса, ограничения на доступ к функции "отписаться". Таких историй очень много. Скажем, пользователю дается всего месяц, чтобы отказаться от подписки. Если он этого не сделал в указанный период – включается годовая подписка с автоматической ежемесячной абонентской платой, отказать от которой, по условиям соглашения, нельзя. Другой вариант: человеку начислялся штраф в размере 6 месячных абонплат за расторжение подписки до завершения годового периода. При этом возможность отписаться без потерь была сужена рамками 1-го месяца в конце года. Если покупатель не успел, включался новый годовой период подписки с теми же штрафными санкциями", — привел примеры Гриша.
Проблема находится уже на стороне конкретного продавца услуг, но люди, оказавшись в ловушке, все равно продолжают скандалить с банком.
"С юридической точки зрения это вовсе не мошенничество и даже не нарушение. Поскольку условия изложены на сайте и доступны для ознакомления до совершения оплаты. Но с этической стороны, все выглядит иначе", — говорит Дмитрий Гриша.
Как спасти деньги от уловок
Главная проблема в случае с подписками — это то, что человек чаще всего не может "отвязать" свою банковскую карту от сервиса. Она привязана, например, к IP-телевидению, и если компания отказывается расторгнуть договор, то со счета автоматически каждый месяц списывается регулярный платеж. Хотя, человек, протестует и очень недоволен.
Некоторые, чтобы избавиться от такого "рабства", даже шли на перевыпуск карты: заявляли в банк об утере пластика и просили новый. Однако это не всегда помогает.
"Современные условия позволяют сохранять автоматические платежи даже после перевыпуска карты. Банк-эмитент в ответ на запрос может сообщать новые данные торговцам, которые ранее получили от плательщика распоряжение на автоматическое регулярное списание средств (рекурентные платежи). Такая технология существует, хотя пока не используется повсеместно", — объяснил Дмитрий Гриша.
То есть банк может сообщить торговцу ваши новые реквизиты карты, и все возобновится по-новому.
Правда, некоторые банки стали вводить новые услуги, которые позволяют людям "отвязать" свои карточки от уже ненужных регулярных платежей.
"Мы ввели в Приват24 функцию управления подписками. То есть каждый пользователь может в любой момент просмотреть свои подписки на разные виды оплат, и отказаться от них, когда это ему потребуется", — сообщил "Стране" Олег Серга из "Приватбанка".
Но это не позволит вернуть все то, что было уплачено до этого. Человек только сможет "слезть с крючка", и не делать ненужных ему платежей в будущем.
Как вернуть украденное
С остальными случаями сложнее. У банков действует железное правило: если проплата подписана кодом 3D Secure — ее нельзя оспорить и вернуть деньги. Даже если мошенники обманом выудили у человека 6 цифр кода. Считается, что после ввода цифр ответственность уже находится на стороне пользователя. Потому банк ничего не компенсирует.
Вернуть утраченные деньги можно лишь в случаях, когда при оплате код 3D Secure не использовался. Таких случаев немного, но они все еще встречаются. Если человек ни разу не вводил никаких 6 цифр и ничего не знает о платеже, то он должен действовать по простой схеме:
- обращается в банк и заявляет, что платеж не совершал;
- составляет устное (через контракт-центр) или письменное заявление (с визитом в отделение с паспортом) о краже денег со счета;
- ждет 3 месяца, на протяжении которых банк проводит проверку транзакции и расследование инцидента;
- после истечения 3 месяцев должен получить возмещение утраченной суммы от банка на счет.