1. При использовании систмем дистанционного банковского обслуживания (ДБО):
- Используйте защищенные носители ключевой информации для наложения электронной цифровой подписи и методы многофакторной аутентификации.
- С персонального компьютера, на котором осуществляется подготовка и отправка документов в банк, необходимо свести к минимуму использование интернета. НЕ посещайте сайты сомнительного содержания и любые другие интернет-ресурсы непроизводственного характера (социальные сети, конференции и чаты, телефонные сервисы и т.д.). Не читайте почту и не открывайте почтовые вложения электронной почты, которые поступили от неизвестных или подозрительных адресатов. Не следует осуществлять установку и обновление любого программного обеспечения не из официальных сайтов производителей.
- Настраивайте отдельно сетевое оборудование корпоративных и персональных компьютеров. Доступ к сети Интернет ограничивайте «белым списком» сайтов извсех рабочих мест, на которых осуществляется подготовка, подписание и отправка платежных документов. В «белый список» должны включаться только проверенные сайты самой организации, банков, налоговой службы, других государственных органов, доступ к которым НЕОБХОДИМ в производственном процессе, серверы обновлений системного и антивирусного программного обеспечения.
- Минимизируйте количество пользователей компьютеров, на которых осуществляется подготовка и отправка документов в банк. Целесообразно ограничить физический доступ к персональным компьютерам, на которых осуществляется подготовка и отправка документов в банк (предоставлять доступ исключительно ответственным работникам, непосредственно уполномоченным и имеющим право проводить работы с программным обеспечением системы ДБО).
- Используйте современное антивирусное обеспечение, обновляйте и проводите антивирусную проверку на компьютерах. Подчеркиваем, что вредоносное программное обеспечение способно перехватывать любые данные обмена с банком, персональных компьютеров клиентов и/или личных данных держателей электронных платежных средств и хранить/распространять такую информацию для дальнейшего несанкционированного использования посторонними лицами преступным путем.
- Обеспечивайте своевременную установку обновлений безопасности операционной системы, браузеров и программного обеспечения компьютеров. Необходимо установить надежные пароли доступа на вход к персональному компьютеру, обеспечить периодическое изменение этих паролей.
- Не допускайте несанкционированного использования ключей электронной цифровой подписи, храните ключевые носители способом, исключающим несанкционированный доступ к ним. Генерацию секретных ключей следует выполнять только самостоятельно. Никому (в том числе работникам банка) не сообщать и не передавать пароли к личным секретным ключам. Не записывать и не хранить пароли вместе с носителем ключа.
2. При использовании электронных платёжных средств:
- Никогда не сообщайте конфиденциальные данные вашей карты посторонним лицам (ПИН-код, полный номер карты, срок действия и CVV2 / CVC2-код). Помните о том, что сотрудники банка НИКОГДА не спрашивают эту информацию
- Если вам звонят из банка и сообщают о несанкционированном списании со счета - кладите трубку, независимо от того, из какого номера этот звонок поступил. Для проверки информации перезвоните в свой банк САМОСТОЯТЕЛЬНО на номер, который указан на обратной стороне вашей карты.
- Всегда устанавливайте лимит на покупки, как на физической, так и на виртуальной карте.
- Для online-покупок используйте ОТДЕЛЬНУЮ физическую или виртуальную карту, чтобы не «раскрывать» данные основной карты, например зарплатной. Не храните на картах для online-покупок свои средства длительное время, лучше потратить несколько минут для перевода нужной суммы, чтобы не потерять свои деньги.
- Немедленно меняйте ПИН-код к вашей карте, если есть подозрения, что он стал известен другим лицам. Блокируйте карту в случае выявления попыток осуществить несанкционированные платежи.
- Обращайте особое внимание на сайты, где Вы планируете осуществлять оплату товаров/услуг. Поле с названием сайта должно иметь защитный протокол, который в случае наведения в это поле курсора выглядит следующим образом: «https://{название сайта}»
3. Фишинг: что это и как защититься от него
Согласно данным Национального банка Украины, более половины всех безналичных транзакций в Украине сегодня проводится в интернете. И каждый год количество операций и общая сумма безналичных платежей удваиваются. Показательно и количество магазинов электронной торговли (электронной коммерции), которые обслуживают платежные карты. В Украине 1 января 2016 их было 2915. Специалисты убеждены, что в ближайшие годы интернет станет преимущественным способом осуществления безналичных транзакций. Но вместе с развитием онлайн-платежей стремительно увеличивается и количество мошеннических операций, которые проводятся без физического использования платежных карт.
Фишинг (от англ. Fishing - «рыбалка») - один из наиболее распространенных видов мошенничества с использованием методов социальной инженерии. Его цель - под разными предлогами выманить у владельцев платежный карт конфиденциальную информацию, в том числе реквизиты платежных карт, что позволяет получить доступ к счету и украсть деньги. Чтобы поймать на крючок доверчивого пользователя, преступники имитируют деятельность имеющихся банков-эмитентов и компаний, активно используя неголосовые средства коммуникации: SMS, e-mail-сообщения, форму оплаты на сайте, который является фишинговым веб-ресурсом.
Фишинговый сайт - это мошеннический веб-ресурс, что совершает кражу реквизитов платежных карт под видом оказания услуг (это может быть, например, пополнение мобильного счета или перевод средств с карты на карту), или клон веб-ресурса организации, которой пользователь доверяет (вроде portmone.com , ukrposhta.com т.д.). По статистике более 90% фишинговых сайтов предоставляют именно мнимые услуги пополнения мобильных счетов и перевода средств с карты на карту. Граждане должны быть особенно внимательными, проводя эти операции в сети Интернет.
Главная рекомендация специалистов по кибербезопасности в платежной сфере - никогда не указывать данные своей платежной карты (номер, срок действия, трехзначный код CVV2 /CVC2 с обратной стороны карты), а также банковский код подтверждения операции с SMS-сообщение на подозрительных и непроверенных сайтах.
Распознать фишинговый вебресурс не проблема
Проверить сайт можно даже просто визуально, не используя никаких дополнительных сервисов.
Если домен страницы начинается с http://, а не с https:// и не имеет стилизованного символа замка, который сообщает об установлении безопасного https-соединение, ресурс, как минимум, опасный, как максимум - может быть фишинговым.
Регистрация сайта, который предоставляет услуги перевода средств с карты на карту, а также пополнение мобильного телефона или онлайн-кредитования не в домене национального уровня .UA может быть признаком фишинга ресурса.
Наличие нулевых комиссий и других «НЕВЕРОЯТНЫХ» предложений должно насторожить.
Тематические недостатки, например различия в названии домена в адресной строке и в тексте или на баннере, тоже могут свидетельствовать о том, что это мошеннический сайт.
Если в адресной строке отражаются одинаковые адреса для всех страниц сайта, пользователь точно зашел на фишинговый ресурс.
Легитимные сайты маскируют введение карточных реквизитов (например, звездочками) или используют виртуальную клавиатуру, фишинговые ресурсы - не маскируют.
Для борьбы с фишингом Украинская межбанковская ассоциация членов платежных систем ЕМА, при поддержке Государственного департамента США реализует в Украине Национальную программу содействия безопасности электронных платежей и карточных расчетов Safe Card, создала и регулярно обновляет список обнаруженных фишинговых сайтов.
Ознакомиться с перечнем сайтов, представляющих опасность, может каждый интернет-пользователь на официальном ресурсе ЕМА в разделе «Черный список сайтов»:
https://www.ema.com.ua/citizens/blacklist/
Перечень проверенных надежных платежных сервисов: https://www.ema.com.ua/citizens/whitelist/
Ссылки на официальные страницы участников Украинской межбанковской ассоциации членов платежных систем ЕМА (банки, платежные системы): https://www.ema.com.ua/about/members/
4. Сообщите в банк
МАКСИМАЛЬНО БЫСТРО обращайтесь в банк в случае обнаружения:
- потери электронного платежного средства;
- несанкционированного доступа или изменения информации клиента в системах дистанционного обслуживания;
- фишинговых веб-сайтов или информации о них.
Круглосуточная клиентская поддержка:
(056) 734-50-05, (050) 734-50-05, (068) 734-50-05
Viber/WhatsApp/Telegram
е-mail:
callcenter@concord.ua