Добавь сайт в закладки нажми CTRL+D
Екатерина не считала себя наивной. Финансовый аналитик, тридцать четыре года, читает деловую прессу, знает, что такое фишинг. Когда в мае прошлого года её лучшая подруга написала в Telegram «скинь фото карты, хочу вернуть тебе за ужин», Екатерина не задумалась ни на секунду. Отправила лицевую сторону, потом обратную — «чтобы было всё сразу».
Через одиннадцать дней с её карты списали 43 800 рублей. Четырьмя транзакциями. Три подписки на зарубежных сервисах и одна покупка в американском интернет-магазине. Подруга была в шоке не меньше Екатерины: её телефон взломали ещё за две недели до той переписки, и всю корреспонденцию вёл кто-то другой.
Деньги удалось вернуть частично. Нервы — нет.
Карта это не просто пластик
На лицевой стороне вашей банковской карты размещено от трёх до четырёх критически важных элементов: шестнадцатизначный номер, срок действия, имя владельца. На обороте — CVV или CVC-код, трёх- или четырёхзначная последовательность, которая существует ровно для одной цели: подтверждать онлайн-платежи там, где физическая карта недоступна.
Человек, получивший качественное фото вашей карты с обеих сторон, технически располагает всем необходимым для покупок в большинстве зарубежных интернет-магазинов, на стриминговых сервисах и платёжных платформах. Не нужна сама карта. Не нужен PIN-код. Только те данные, которые вы только что сфотографировали.
Именно так — полностью, без физического контакта с картой — происходит большинство случаев карточного мошенничества в мире. По данным Банка России, в 2023 году объём несанкционированных операций по картам физических лиц превысил 15,8 миллиарда рублей. Самый распространённый канал получения данных — не скиммеры на банкоматах и не тёмные личности в переулке. Это социальная инженерия: люди сами передают реквизиты, часто совершенно добровольно и совершенно доверенным лицам.
Почему «знакомый» не равно «безопасно»
Здесь кроется самый неочевидный риск, о котором почти не говорят.
Проблема не обязательно в самом человеке. Проблема в цепочке, которая возникает после того, как изображение покидает ваш телефон.
Телефон вашей подруги может быть подключён к автоматической синхронизации с облаком: Google Фото, iCloud, Яндекс Диск. Фото карты аккуратно загрузится туда и будет храниться годами. Достаточно взломать её аккаунт — а это происходит регулярно, особенно если человек использует один пароль для нескольких сервисов, — и ваши данные окажутся у третьих лиц, которых вы никогда не видели.
Мессенджеры тоже хранят медиафайлы. WhatsApp по умолчанию сохраняет все фото в галерею. Telegram сохраняет в кэш. Если смартфон будет утерян или передан другому человеку без полной очистки данных, весь архив переписок, включая фото вашей карты, станет доступен следующему владельцу устройства.
Добавьте к этому привычку многих людей не обновлять операционную систему. Устаревшие версии Android и iOS содержат незакрытые уязвимости, и специализированные программы умеют извлекать данные из мессенджеров незаметно для хозяина телефона.
Отдельный и особенно болезненный сценарий: аккаунт знакомого взламывают и переписку продолжает мошенник. Именно это случилось с Екатериной. Жертва в такой схеме — вы, хотя ваш телефон никто не трогал.
Что делает мошенник, получив данные карты
Схемы давно отработаны и работают почти без участия человека.
Первый сценарий — проверочные микросписания. Данные карты продаются на теневых площадках партиями. Покупатель сначала списывает 1-2 рубля, чтобы убедиться, что карта активна. Владелец нередко не замечает этого. Затем следуют реальные транзакции.
Второй сценарий — подписки и пробные периоды. Во многих сервисах при подключении пробного доступа вводятся данные карты для верификации. Если не отменить подписку вовремя, деньги списываются автоматически. Данные одной карты позволяют зарегистрировать десятки таких подписок за один вечер.
Третий сценарий — прямые покупки в магазинах без строгой 3D Secure авторизации. Таких площадок меньше, чем раньше, но они существуют, особенно среди зарубежных ритейлеров. Оспорить такую транзакцию через банк можно, но это занимает время, нервы и не всегда заканчивается успехом.
Четвёртый сценарий, самый изощрённый, — продажа данных с отложенным использованием. Ваши реквизиты могут купить и не трогать несколько месяцев, дожидаясь момента, когда вы снизите бдительность, смените привычки или просто забудете, кому и когда отправляли фото.
Почему мы всё равно отправляем
Это вопрос психологии, и он важнее технических объяснений.
Нам сложно воспринимать цифровой объект как реальную ценность. Физический кошелёк вы не дадите незнакомцу. Но фотография карты кажется чем-то менее материальным, менее «настоящим». Мозг не считает её опасной, потому что вы ничего не «отдаёте» физически.
Работает и эффект доверия к контексту. Если человек, просящий данные, находится в вашем списке контактов, мозг автоматически снижает уровень тревоги. Мы ассоциируем угрозу с незнакомцами, а не с теми, кому годами пишем поздравления с днём рождения.
Наконец, нам неловко отказывать. Объяснять, почему вы не хотите присылать фото карты человеку, которому доверяете, кажется параноидальным и обидным. Именно эта социальная уязвимость эксплуатируется в схемах, где злоумышленник пишет вам с взломанного аккаунта близкого человека. Ваше доверие к конкретному имени в списке контактов становится точкой входа.
Что делать, если фото уже отправлено
Если вы уже отправили фото карты в мессенджере, удалить его полностью невозможно. Вы можете попросить получателя удалить сообщение, но в большинстве мессенджеров удаление медиафайла из чата не означает его исчезновения из облачного хранилища или с устройства получателя.
Разумный минимум: включите уведомления о каждой транзакции, если они ещё не включены. Это не устраняет риск, но позволяет среагировать быстро. Проверьте, не привязана ли карта к подпискам, о которых вы забыли, — чтобы в случае подозрительной активности сразу понять природу списания.
Если карта скомпрометирована и вы подозреваете, что данные попали не туда, единственное надёжное решение — перевыпуск. Это занимает несколько дней, зато полностью закрывает уязвимость. Старый номер карты становится недействительным, и любые попытки использовать сфотографированные реквизиты ни к чему не приведут.
Как переводить деньги без риска
Передать реквизиты для перевода можно значительно безопаснее, чем отправив фото.
Для перевода через Систему быстрых платежей (СБП) достаточно знать только номер телефона и банк получателя. Никаких карточных данных вообще.
Если нужен номер карты — продиктуйте его голосом по телефону или назовите только первые и последние четыре цифры для идентификации. Никогда не фотографируйте обе стороны карты одновременно.
Ещё надёжнее: в приложении большинства банков есть функция создания виртуальной карты или одноразовых реквизитов. Такая карта привязана к основному счёту, но имеет собственный номер и CVV. Если эти данные утекут, вы перевыпустите только виртуальную карту, не затрагивая основную. Это занимает буквально минуту и стоит того.
Правило, которое работает без исключений
Цифровая гигиена работает только тогда, когда она безусловна. Одно «безвредное» исключение для проверенного человека — и весь защитный контур теряет смысл.
Фото банковской карты не отправляется никому. Не потому что вы не доверяете конкретному человеку. А потому что вы не контролируете, что произойдёт с этим изображением дальше. Телефоны теряют, аккаунты взламывают, облака утекают, люди меняются. Карточные данные — это не личная информация о вас. Это ключ от вашего счёта. И этот ключ не копируют даже для самых близких.
Екатерина теперь объясняет это всем, кто просит её «просто скинуть карточку». Иногда на неё обижаются. Она не расстраивается.
Поделись видео:
