Витік даних картки: як зрозуміти і що міняти

Витік даних картки - це ситуація, коли її реквізити (номер, термін дії, CVV) або коди підтвердження потрапили до сторонніх осіб через зламаний магазин, фішинговий сайт чи шкідливий застосунок. Зрозуміти це можна за непрямими ознаками: дрібні незнайомі списання, push про спроби оплати в інших країнах, листи про "вхід у новий пристрій" або повідомлення сервісу про злам бази даних. Що міняти: насамперед негайно перевипустіть або заблокуйте картку (старий CVV і номер уже скомпрометовані), змініть паролі до інтернет-банкінгу та пошти, відключіть збережені реквізити в магазинах і перегляньте прив'язані підписки. Чим раніше ви це зробите, тим менше шансів у шахраїв провести списання.

Витік - одна з причин, через які ми радимо заздалегідь обирати безпечніший спосіб оплати: у матеріалі накладений платіж чи передоплата ми розбирали, коли передоплата карткою виправдана, а коли менший ризик дає оплата при отриманні. Нижче - як упізнати компрометацію за ознаками і що конкретно змінити, щоб закрити доступ шахраям.

Що таке витік даних картки і чим він небезпечний?

Під витоком розуміють потрапляння реквізитів картки до тих, кому вони не призначені. Небезпека в тому, що для багатьох онлайн-оплат достатньо лише номера, терміну дії та CVV - без фізичної картки і навіть без вашого підтвердження, якщо магазин не вимагає 3-D Secure. Тому скомпрометований набір реквізитів - це готовий інструмент для несанкціонованих списань.

• Зламаний інтернет-магазин: база з даними карток клієнтів потрапляє в руки зловмисників.
• Фішинговий сайт: ви самі ввели реквізити на підробці. Як розпізнати такі ресурси - у розборі ознак фішингового сайту.
• Шкідливий застосунок або розширення браузера, що перехоплює дані під час оплати.
• Скімінг: зчитування даних магнітної смуги на скомпрометованому терміналі чи банкоматі.
• Соціальна інженерія: дзвінок "банку" чи SMS про посилку, де вас просять назвати код - окрема поширена схема, яку ми описували в матеріалі про SMS про посилку від шахраїв.

За даними Національного банку України, значна частина карткових шахрайств відбувається через соціальну інженерію - коли користувач сам передає реквізити чи коди підтвердження. Це означає, що навіть ідеально захищена база магазину не рятує, якщо людину вмовили продиктувати дані телефоном. Тому витік - це не лише про технічні зломи: часто він стається там, де людина добровільно вводить чи диктує реквізити, не усвідомлюючи наслідків.

Окрема небезпека витоку в тому, що між моментом компрометації даних і першим списанням може минути чимало часу. Реквізити часто продають на тіньових майданчиках пакетами, і ваша картка може "спрацювати" в шахраїв через тижні чи місяці після того, як ви розрахувалися на сумнівному сайті. Саме тому будь-яка підозріла оплата на незнайомому ресурсі - привід насторожитися наперед, а не чекати, доки гроші почнуть зникати.

Як зрозуміти, що дані картки витекли?

Прямих "сигналів витоку" зазвичай немає - ви дізнаєтесь про компрометацію за наслідками. Тому головне правило: уважно стежити за рухом коштів і реагувати на будь-яку незрозумілу активність, навіть на копійчані суми.

• Незнайомі дрібні списання (іноді 1-10 грн або кілька центів) - так шахраї перевіряють, чи "жива" картка перед великою операцією.
• Push або SMS про спроби оплати в магазинах і країнах, де ви не платили.
• Відмови в оплаті там, де коштів вистачає - можливо, банк уже бачить підозрілу активність.
• Листи від сервісу чи магазину про витік (data breach) бази даних, де ви залишали картку.
• Повідомлення про вхід у банківський застосунок чи пошту з невідомого пристрою.
• Запити кодів 3-D Secure, які ви не ініціювали, - хтось намагається провести оплату вашою карткою.

Що міняти першочергово після підозри на витік?

Якщо ви помітили хоч одну ознаку, не варто чекати "справжнього" списання. Дешевше перевипустити картку, ніж потім місяцями оскаржувати операції. Ось послідовність дій.

1. Заблокуйте картку в застосунку банку або за гарячою лінією - це миттєво зупиняє нові операції.
2. Замовте перевипуск картки. Саме перевипуск, а не лише блокування: змінюються номер, термін дії і CVV, тож старі реквізити стають марними.
3. Змініть пароль до інтернет-банкінгу і до електронної пошти, прив'язаної до банку та магазинів.
4. Увімкніть двофакторну автентифікацію для банку, пошти і ключових акаунтів, якщо її ще не було.
5. Перегляньте збережені картки в магазинах і браузері та видаліть реквізити старої картки звідусіль.
6. Перевірте підписки, прив'язані до картки: стрімінг, застосунки, хмари - їх доведеться перепідключити до нової картки усвідомлено.
7. Якщо вже були незнайомі списання - подайте письмову заяву в банк, а при шахрайстві ще й у кіберполіцію.

Якщо гроші вже зникли з рахунку, окремий покроковий алгоритм оскарження ми зібрали в матеріалі що робити, якщо списали гроші з картки - там і про строки, і про процедуру чарджбеку. Головне на цьому етапі - не зволікати: документи, подані того ж дня, банк сприймає переконливіше, ніж заяву через тиждень, коли частина строків уже спливла.

Заблокувати чи перевипустити: що обрати?

Блокування і перевипуск вирішують різні завдання. Блокування зупиняє операції тут і зараз, але реквізити залишаються тими самими - після розблокування скомпрометований номер знову вразливий. Перевипуск дає нову картку з іншими номером і CVV, тож старий витік стає безпечним. Якщо є реальна підозра на компрометацію реквізитів, обирайте перевипуск.

Строки і вартість перевипуску залежать від банку і типу картки - десь безкоштовно, десь із невеликою комісією. Точні умови дивіться в тарифах свого банку на офіційному сайті, а не з чужих слів: тарифи періодично змінюються.

Що робити з підписками і збереженими картками?

Після перевипуску старі реквізити перестають працювати, тому всі легальні підписки і прив'язки доведеться оновити - і це добра нагода зробити ревізію. Часто на картці "висять" сервіси, якими ви давно не користуєтесь, і саме вони - джерело несподіваних списань.

• Випишіть усі сервіси, що регулярно списують гроші: стрімінг, застосунки, хмари, антивіруси.
• Непотрібні підписки скасуйте ще до прив'язки нової картки - інакше списання просто продовжаться.
• У магазинах, де ви часто купуєте, замініть збережену картку усвідомлено, а в разових - не зберігайте реквізити взагалі.
• Для оплати підписок заведіть окрему картку чи віртуальну з невеликим балансом - так у разі нового витоку ризик мінімальний. Як її створити - в гайді про віртуальну картку.

Як запобігти витоку даних картки надалі?

Повністю виключити витоки неможливо - частина з них стається на боці магазинів, на які ви не впливаєте. Але можна різко зменшити і ймовірність компрометації, і її наслідки кількома звичками.

• Платіть онлайн лише на сайтах з HTTPS і перевіреною репутацією; перед оплатою на новому ресурсі гляньте вік домену й відгуки.
• Увімкніть 3-D Secure і підтвердження кожної онлайн-операції: що це таке - у поясненні про 3-D Secure.
• Використовуйте Apple Pay чи Google Pay, де реальний номер картки не передається магазину: деталі - в розборі безпеки Apple Pay і Google Pay.
• Не зберігайте дані картки в браузерах на чужих пристроях і не вводьте їх у відкритих публічних мережах Wi-Fi.
• Налаштуйте SMS чи push про кожну операцію - швидке виявлення часто рятує гроші.
• Ніколи не диктуйте CVV, ПІН і коди з SMS нікому - ні "банку", ні "службі безпеки", ні покупцям ваших оголошень.

Окремий шар захисту - персональні дані загалом. Чим менше ваших даних у відкритому доступі, тим складніше шахраям зібрати переконливий привід для дзвінка чи фішингу: базові принципи ми зібрали в матеріалі про захист персональних даних.

Корисна звичка - раз на місяць переглядати виписку за карткою повністю, а не лише найбільші суми. Саме в дрібних регулярних списаннях часто ховаються забуті підписки і перші тестові транзакції шахраїв. Якщо банк дозволяє, увімкніть окремі ліміти на інтернет-операції та на оплату за кордоном: для більшості користувачів закордонні онлайн-платежі - рідкість, і їх безпечніше тримати вимкненими, вмикаючи лише під конкретну покупку. Такі прості налаштування не вимагають зусиль, але різко звужують вікно можливостей для тих, хто отримав ваші реквізити.

Які помилки роблять після підозри на витік?

Навіть зрозумівши, що дані могли витекти, люди часто діють так, що тільки погіршують ситуацію. Ось чого варто уникати.

• Обмежуються блокуванням без перевипуску - старі реквізити залишаються робочими.
• Ігнорують копійчані списання як "дрібницю", хоча це тест перед крадіжкою.
• Передзвонюють за номером із підозрілого SMS і самі диктують код - так готується справжнє списання.
• Не змінюють пароль до пошти, хоча саме через неї шахраї відновлюють доступ до акаунтів і банкінгу.
• Залишають реквізити старої картки збереженими в десятках магазинів і забувають про них.

У редакційній перевірці ми звертали увагу: банки значно охочіше повертають кошти, коли клієнт не розголошував секретних даних і діяв швидко - заблокував картку, зафіксував операції письмово і подав заяву того ж дня. Тож при найменшій підозрі на витік краще перестрахуватися перевипуском, ніж потім доводити банку свою непричетність до списань.

Часті запитання

Джерела

1. Національний банк України - платіжна безпека та шахрайство
2. Кіберполіція України - як подати звернення
3. Visa - безпека карткових платежів
4. Mastercard - захист від шахрайства