Стоит ли привязывать банковские карты к соцсетям: риски и методы защиты
18 просмотров
Социальные сети уже давно превратились из площадок для общения в полноценные сервисы для покупок, подписок и пожертвований. Пользователям предлагают оплатить рекламу, перевести деньги блогерам или подписаться на платные функции — достаточно один раз привязать банковскую карту к своему аккаунту.
Как происходит привязка карты?
При добавлении карты в профиль платформа не сохраняет ее номер в открытом виде. Вместо этого создается так называемый платежный токен — цифровой ключ, позволяющий сервису списывать средства с карты пользователя.
На практике это означает, что после первоначального подтверждения транзакции, например, с помощью СМС-кода или push-уведомления (технология 3D Secure) платформа получает право осуществлять дальнейшее списание средств без дополнительного подтверждения.
С одной стороны, это делает оплату удобной – покупки и переводы осуществляются буквально в один клик. С другой стороны, именно эта функция превращает взлом аккаунта в потенциальную финансовую проблему.
Почему соцсети более уязвимы, чем банковские приложения
Технические риски привязки карты к соцсетям ничем не отличаются от привязки карты к другим сервисам, отметил Александр Вураско, директор по развитию центра внешнего мониторинга цифровых угроз Solar AURA. Крупные социальные сети и мессенджеры, такие как ВК и Telegram, наряду с банковскими приложениями и торговыми площадками используют современные стандарты шифрования данных.
По мнению эксперта, основной риск заключается в том, что в случае кражи вашего аккаунта злоумышленники могут оплатить что-либо привязанной банковской картой.
Ключевое отличие социальных сетей от банковских приложений заключается в характере их использования, - говорит юрист адвокатского бюро БВМП Ярослав Земсков.
Банковское приложение воспринимается как финансовый инструмент, поэтому пользователь действует осторожно: проверяет транзакции и не вводит данные на подозрительных страницах. Социальные сети — это публичное пространство, где человек расслаблен и меньше думает о рисках.
Ярослав Земскоадвокат, Юридическая фирма «БВМП»
Банковское приложение защищено от внешних угроз, таких как фишинг и манипуляции через личные сообщения, а основным источником таких рисков становится социальная сеть. И главная опасность не в том, что хакеры откроют базу данных соцсети и украдут номер вашей карты, а в том, что они получат доступ к вашему аккаунту, подчеркивает финансовый консультант Татьяна Рощина.
Если злоумышленник заходит в ваш профиль с помощью украденного пароля, ему не нужно расшифровывать данные карты — он просто нажимает кнопку «Оплатить» внутри вашего интерфейса. Шифрование защищает данные при передаче, но оно бессильно, если вы сами впустите вора.
Татьяна Рощинаэкономист, финансовый консультант
Насколько защищены карточные данные в социальных сетях?
Социальные сети — это сложная экосистема с большим количеством сторонних сервисов, каждый из которых расширяет зону риска кибератак, подчеркнул Михаил Тимаев, руководитель отдела технической предпродажной подготовки компании «ИТ-ТАСК».
Платежный функционал для социальных сетей — это скорее дополнительная функция в рамках мультиплатформенности. Поэтому уровень контроля и глубина финансовых механизмов там заметно ниже.
Михаил ТимаевРуководитель отдела технической предпродажной подготовки IT TASK
Пользователи десятки раз в день заходят в социальные сети с разных устройств, переходят по ссылкам, открывают рекламу и подключают сторонние сервисы. В такой среде вероятность компрометации пароля намного выше, предупреждает Земсков.
Пароли к аккаунтам в социальных сетях часто становятся известны злоумышленникам из-за:
фишинговые страницы;
утечки базы данных;
использование одних и тех же паролей на разных сайтах;
вредоносные расширения браузера.
Также стоит обратить внимание на подписки на услуги, оформленные через социальные сети. Большинство из них спроектированы таким образом, что обновляются автоматически. Даже если вы решите отменить подписку, но не сделаете это вовремя, ваши средства будут по-прежнему удержаны.
Однако с 1 марта вступили в силу изменения в закон «О защите прав потребителей», которые запрещают автоматическое списание без предварительного уведомления и явного согласия клиента. Кроме того, поправки запрещают списывать деньги за подписки с удаленных карт.
С 1 марта онлайн-сервисы не смогут взимать деньги за подписку без согласия клиента
Что могут сделать мошенники?
Взлом социальной сети с помощью привязанной карты — сложная угроза. Преступники получают возможность не только похитить средства владельца, но и его аккаунт.
По нашим данным, «взлом» аккаунтов в мессенджерах и социальных сетях входит в топ-3 самых популярных фишинговых схем в 2023 году. Для этого мошенники могут использовать самые разные схемы – от сообщений от имени руководства и фейковых чатов с ботами вместо реальных пользователей до фейковых распродаж и акций от имени популярных брендов.
Александр ВураскоДиректор по развитию Центра мониторинга внешних цифровых угроз Solar AURA, Группа компаний Solar
Каждый сотый взрослый россиянин попадается на уловки кибермошенников
Личные аккаунты пользователей в социальных сетях хранят личную переписку, фотографии, геолокации, контакты и другую информацию, напоминает Елена Якушева, партнер адвокатского бюро «Плешаков, Ушкалов и партнеры». Привязывая карту к социальной сети, вы связываете своифинансовые потоки с максимальным количеством персональных данных.
В случае утечек, которые происходят регулярно в социальных сетях, мошенники получают не просто номер карты, а готовый психологический портрет для максимально эффективной атаки. То есть в магазине украдут данные вашей карты, а в социальной сети украдут всю вашу личность.
Елена Якушева, юрист, партнер юридической фирмы «Плешаков, Ушкалов и партнеры»
Злоумышленники используют методы социальной инженерии для получения паролей и кодов доступа к учетным записям. Особенно в этом помогает информация с личной страницы пользователя, отмечает Александр Спиридонов, руководитель лаборатории информационной и сетевой безопасности ИТ-компании «Криптонит».
Например, двое мужчин в Приморском крае прислали ссылку на сайт, где для получения приза необходимо ввести свои учетные данные. После этого они совершали покупки техники с помощью привязанных банковских карт.
Александр Спиридонов, руководитель лаборатории информационной и сетевой безопасности ИТ-компании Криптонит
Можно ли вернуть деньги после списания?
В соответствии с правилами национальной платежной системы транзакции, осуществленные с использованием технологий 3D Secure, признаются держателями карт совершенными. Вводя код при привязке карты, пользователь дает согласие на дальнейшее списание с нее конкретного продавца – будь то в социальных сетях или в интернет-магазинах. Оспорить такие сделки крайне сложно, предупреждает Рощина.
Банк видит успешную транзакцию, подтвержденную сохраненным токеном. С точки зрения системы вы совершили покупку. Чтобы вернуть деньги, вам придется доказывать, что это был несанкционированный доступ, что крайне сложно, если только не было нарушения правил безопасности со стороны самого банка.
Татьяна Рощинаэкономист, финансовый консультант
Опасность несанкционированного доступа в социальных сетях возрастает из-за фишинга и взлома. Банк возлагает на клиента обязанность обеспечить сохранность данных его счета. Ввод пароля социальной сети на фишинговой странице может быть расценен как грубая неосторожность со стороны пользователя. Юридическая ответственность предусмотрена статьями 158 и 159.6 УК - хищение и мошенничество в сфере компьютерной информации, уточняет Якушева. Однако на практике сложность заключается в поиске преступников и доказывании их вины для привлечения к ответственности.
Банк обязан вернуть деньги, если клиент не нарушил правила безопасности. А вот если вы сами ввели данные карты в свой профиль в социальной сети, а мошенники взломали этот аккаунт, банк заявит о грубой халатности и откажет в компенсации.
Елена Якушева, юрист, партнер юридической фирмы «Плешаков, Ушкалов и партнеры»
В пользовательском соглашении большинства социальных сетей практически всегда указано, что ответственность за сохранность своего логина и пароля несет пользователь. И доказывать незаконность списания придется ему, а не представителям соцсети, уверен юрист.
Как снизить финансовые риски
Оптимальным решением было бы разделение рисков. Эксперты центра мониторинга Solar AURA группы компаний Solar рекомендуют:
пользоваться исключительно официальными ресурсами социальных сетей (и проверять их точный адрес через поисковик);
не сообщать личную информацию во время разговоров и переписки с незнакомыми людьми;
Используйте антивирусное программное обеспечение для дополнительной защиты от вредоносных программ и фишинговых атак.
Стоит ли привязывать карту к соцсетям?
Привязка карты к социальной сети сама по себе не является критической уязвимостью. Однако он объединяет финансовый и общедоступный цифровой профиль пользователя. Поэтому рисков больше.
Если злоумышленник получит доступ к вашей учетной записи, ему не потребуется расшифровывать данные карты – он сможет сразу совершать покупки по привязанной карте через ваш интерфейс.
Взлом аккаунта с привязанной картой дает преступникам не только доступ к вашим деньгам, но и к личной переписке, контактам и геолокации. Это позволяет им создать подробный психологический профиль для более эффективных мошеннических атак, в том числе вымогательства денег у знакомых.
Еще больше полезных материалов — в мессенджере Макс.
Россиянам рассказали, как не потерять деньги по неосторожности
