Как обезопасить деньги на карте?  Публичный пост

Привет клуб!

На этот вопрос меня натолкнули случаи кражи денег с карт о которых читал недавно. Например схема когда крадут телефон и через симку входят в онлайн банки, после чего переводят все деньги с карты/берут кредиты.

Но особенно тригернуло то, что после того как мой паспорт оказался в списке украденных/потерянных паспортов МВД ни одно банковское приложение на телефоне не заблочили переводы (ни сбер, ни тинек, ни мкб, ни псб) Это сделал только открытие брокер.

Начну со своего небольшого списка, предлагаю продолжить:

  • поставить на сим-карту пин-код чтобы при краже или потере не так просто было войти в интренет банки
  • выкрутить на минимум все возможные лимиты по переводам и снятиям налички
  • отказаться от биометрической идентификации
  • хранить деньги в разных банках, на разных картах. По минимуму на картах, лучше на вкладах, которые не так просто закрыть
48 комментариев 👇
Stanislav Shubin, Senior Python Raspizdyay 18 марта в 20:07

Завести отдельный номер для банковских операций и использовать его только на отдельном телефоне-звонилке. Обычно он вообще дома лежит, заряжать только надо раз в неделю.

Отключить отображение на заблокированном экране содержимого смс и пуш уведомлений.

Платить в интернете отдельной виртуальной картой, на которой почти не хранить финансовые средства, а переводить только непосредственно перед операцией.

Использовать Apple/Google pay с надежным пин-кодом на телефон, который не написан на бумажке в чехле

  Развернуть 1 комментарий
Владимир Горбатов, Джавист\Котлинист 19 марта в 10:36

Спасибо за тред, поставил себе PIN на симку.

Миллионами не ворочаю, поэтому пока чек-лист такой:

  • Уведомления на заблокированном экране не отображаются
  • Если карту украдут\заскимят, на карте никогда не держу денег больше, чем одна зарплата. Только счета.
  • Деньги раскиданы по разным банкам.
  • Apple Pay использую только потому что это удобно)

Всё)

  Развернуть 1 комментарий

@Volodya262, на днях обсуждал эту тему с друзьями, надо добавить ещё один важный пункт: потерял телефон - звони в поддержку банка и лочь самые жирные счета.

  Развернуть 1 комментарий
Vlad Serebryakov, Фронт-энд разработчик 19 марта в 09:09

В Украине операторы связи предлагают услугу восстановления сим-карты по паспорту. То есть нельзя просто оставить онлайн заявку на восстановление и перечислить пару последних номеров с которых звонили. Нужно приходить в отделение с паспортом.

Возможно у ваших операторов есть что-то подобное.

  Развернуть 1 комментарий

@vargentum, я всегда думал что пойти в отделение с паспортом это единственная опция 😳

  Развернуть 1 комментарий

@Volodya262, ещё можно восстановить за другое лицо с доверенностью. Как я понимаю так часто угоняют аккаунты.

  Развернуть 1 комментарий

@IgorRR, был случай у пчелайна, сотрудники в сговоре выдавали злоумышленнику

  Развернуть 1 комментарий

@vargentum, а как это можно включить? У того же Киевстара.
Вообще думаю симку к паспорту привязать, но не уверен, что это хорошая идея

  Развернуть 1 комментарий

@Archivarius, у Киев стара, как я понял, немного другой формат этой услуги. Вот нагуглил статейку

https://xn--80aulcp5a5c.dp.ua/poleznoe/1017-kak-zashchitit-sim-kartu-ot-moshennikov/

  Развернуть 1 комментарий

@vargentum, ну это же бессмысленно, как только симку сменил - сразу в банк перепривязывать номер. Получив новую симку у нас ничего не сделаешь ...

  Развернуть 1 комментарий

Я бывший банковский сотрудник и знаю реальные истории как уводили миллионы со счетов за пару секунд.
Смс не успевает дойти, а денег уже нет. Поэтому у меня отключены все смс-оповещения банков, считаю это бесполезная фича.

У меня несколько карт, много счетов, на текущих дебетовых счетах лежит необходимый минимум.
На всех интернет-банках при входе пароли, не знала что можно отключить.
При оплате онлайн всегда 2х факторная авторизация, всегда подтверждение смс

Один раз в Швеции в 2011 при покупке на рынке мою карту скомпрометировали. Есть устройства которые делают копию карт когда, типа, проводишь покупку. Благо Ситибанк заметил, написал мне и заблочил карту. Поэтому карт в путешествии должно быть несколько.

Когда расплачиваетесь вы должны видеть терминал, как он выглядит. Не позволяйте уносить вашу карту.

Банально, но пароль от вашего банкинга должен реально быть сложный, минимум 8 символов, и большие, и маленькие буквы, объязательно спецсимволы, ничего такого что можно было бы легко угадать, как дата рождения, например

Идея с вкладом мне непонятна, если у мошенника есть доступ к интернет-банку, то вклад мгновенно закрывается и деньги переводятся. Счет без досрочного снятия не сработает, тк по закону о вкладах вкладчик может закрыть счет в любой момент потеряв проценты и банки для удобства клиентов часто добавляют кнопочку "закрыть вклад" в приложениях

  Развернуть 1 комментарий

@adelinyshka, идея с вкладом позволяет зафиксировать потери при компрометации только карты, если звлоумшленник не получил доступ к личному кабинету, то потеря будет максимум равна балансу карты, поэтому он должен быть минимальным, только перед операцией переводить деньги со вклада, к которому не привязана карта.

  Развернуть 1 комментарий

@adelinyshka, банкинг порой всеми силами пытается усложнить тебе жизнь и упростить тебе пароли. Я N-лет назад восстанавливал угнанную карту с многоденег, так меня для подтверждения личности попросили при банковском служащем с банковского ПК по памяти с сенсорного экрана войти в веб-банкинг никуда не подглядывая. Спасло, что пароль был детский, шаблонный, одним словом. Было бы что-то сложное, записанное на бумажке, что не введёшь не подсматривая - хрен бы так просто вернули - так и сказали.
И не какая-то шарага, один из ТОП5 по стране.

  Развернуть 1 комментарий

@lopar, ужас, неадекватно со стороны банка.
мне очень жаль что вам пришлось столкнуться с таким ужасным обращением и обслуживанием.
По своему опыту рекомендую американские и скандинавские банки, они клиентов обхаживают и им не все равно.

  Развернуть 1 комментарий
maxnaumov, Диджитал директор 18 марта в 19:41

Сейчас в мегафоне при перевыпуске симкарты на новую симкарту не приходят эсэмэски в течение 24 часов. Не знаю чо они об этом не говорят активно в рекламе.

  Развернуть 1 комментарий

@maxnaumov, на йоту тоже не приходят. С одной стороны это как-то может помешать мошенникам. Но с другой очень неудобно быть отрезанным от всех банковских аппов на сутки.

  Развернуть 1 комментарий

@IgorRR, неудобно - не проебывай симку)

  Развернуть 1 комментарий

@IgorRR, от аппов всё-таки не прям отрезает, большинство сейчас предпочитает пуш-уведомления и дешевле и безопаснее, чем смс

  Развернуть 1 комментарий

@Stanislawww, А как пуш придёт если утрачен телефон?

  Развернуть 1 комментарий

@IgorRR, какой коварный вопрос 😅

  Развернуть 1 комментарий
Mironov George, Программист 18 марта в 20:46

Есть брокеры, которые не связаны с банками. Они обычно позволяют выводить деньги только на банковский счёт по имени владельца аккаунта.

Можно держать деньги у такого брокера, причём не в самих деньгах, а в гос облигациях или подобных инструментах - тогда даже при разорении брокера тебе ничего не будет. А небольшую сумму, которую не жалко потерять, хранить в своём банке. Даже если взломают и снимут эти деньги с карточки - не так жалко будет. А злоумышленнику снять деньги не только с банковской карточки, но и с не связанного с ней брокерского аккаунта гораздо сложнее, плюс там обычно не мгновенно это всё происходит - есть время отменить перевод.

Конкретные названия приводить не буду, чтоб коммент за рекламу не посчитали :)

  Развернуть 1 комментарий

@Kroid, а можно привести всё-таки, интересно же? Ну и на счёт "подобных инструментов" - что ещё кроме гособлигаций защищено от разорения брокера? Можно хотя бы в виде ссылок алгоритм, что делать на практике, если брокер разорится.

  Развернуть 1 комментарий

@spiiin,

что ещё кроме гособлигаций защищено от разорения брокера? Можно хотя бы в виде ссылок алгоритм, что делать на практике, если брокер разорится.

Защищено всё. Ценные бумаги, которые вы купили, лежат не у брокера, а в депозитарии. Если брокер прекратит своё существование - бумаги останутся вашими.

Алгоритм предоставить не могу, потому что я с разорением брокера на практике не сталкивался. Если вам нужна теория - можно погуглить "перенос позиций к другому брокеру". В целом эта процедура отработана, но морока на месяц обеспечена, из того, что я читал.

Риск только в том случае, если брокер - мошенник, и вместо исполнения вашего приказа на покупку ценных бумаг, он тупо взял ваши деньги себе и "нарисовал" вашу позицию. Всякие кухонные форексы - это оно.

Почему именно гособлигации - у них минимальный шанс дефолта. Так-то разницы нет, можно и акции держать, но есть риск банкротства фирм, чьи акции держишь.

а можно привести всё-таки, интересно же?

Для валютных накоплений, тем, кто живет в России, я бы посоветовал interactivebrokers. Тут еще и защита от гопников из российского правительства - деньги за океаном и просто так конфисковать их сложно, пока они там лежат. Но есть обратные риски - если начнется война или полная остановка торговых отношений между Америкой и Россией - "вероятный противник" ваши деньги может забрать себе.

Для рублевых накоплений, как вариант, есть такой брокер https://iticapital.ru/. Это самостоятельный брокер, а не брокерский отдел банка, так что выглядит более-менее надежным для меня. Но это прям сильная субъективность с моей стороны. Почему? У них крутые аналитики, а за последние лет так 7 большинство инвестиционных идей, которые они рассылают по емайлу подписчикам, оказываются верными. Я на их прогнозах время от времени зарабатываю денег, поэтому мне сложно быть объективным.

Если говорить про объективность - вот тут есть список брокеров, которые имеют доступ к московской бирже: https://place.moex.com/brokers. Среди них уже можно самостоятельно поискать того, кто больше устраивает.

  Развернуть 1 комментарий
Andrey Bondarenko, Senior System Engineer 19 марта в 10:16

Не держать на счете, который привязан к карте, деньги.

  Развернуть 1 комментарий

@AndreyBondarenko, что мешает злоумышленнику перетащить деньги с этого счёта на тот, который привязан к карте. В случае если он получил доступ к Интернет банку (сбербанк, 3 дня назад. регистрация с чужого телефона).
Как вариант конечно создать счет без досрочного снятия... но самому можно попасться.

  Развернуть 1 комментарий

@AlexKor, если кто-то получил доступ к интернет банку, то ему уже вообще ничего не мешает что угодно делать. Совет номер 2: не пользоваться Сбербанком (и вообще российскими банками по возможности :-) но особенно Сбербанком)

  Развернуть 1 комментарий

@AndreyBondarenko, живя в России не пользоваться российскими банками? это как?

  Развернуть 1 комментарий

@AlexKor, к сожалению, никак, приходится не жить в России.

  Развернуть 1 комментарий

@AndreyBondarenko, значит нужны новые идеи как обезопасить живя в России и пользуясь местными банками. Идя о смене страны проживания не приветствуется :)

  Развернуть 1 комментарий

@AndreyBondarenko, какая такая большая проблема в российских банках и Сбербанке особенно? Полученный доступ в личный кабинет не позволит ничего ужасного сделать без второго фактора.

  Развернуть 1 комментарий

@Stanislawww, так пишу же сделали... второй фактор телефон .. зашли в личный и денюжки поплыли на неизвестный номер телефона через пополнение

  Развернуть 1 комментарий

@AlexKor, ну если все вообще украли, то, конечно, деньги утекут

  Развернуть 1 комментарий
  1. двойная авторизация
  2. не использовать дебетовые карты
  3. не использовать кредитку того банка, где есть счета
  Развернуть 1 комментарий

@slonoed, а почему дебет не использовать? Тут наоборот пытаешься на дебете сидеть, чтобы никакой хитрожопый банк тебя в кредит не загнал...

  Развернуть 1 комментарий

У меня была ситуация, когда с моей карты украли около ~70$ через сервис доставки еды в США.
Без никаких SMS, никакого 3d-secure.
Поэтому иногда и ваша сим-карта не нужна. Видимо где-то хватило даже CVC2.

В итоге смог вернуть деньги через поддержку.
Мои дальнейшие действия:

  1. Для покупок в Интернете стараюсь использовать виртуальную карту.
  2. На основную и виртуальную карту держу маленький лимит на интернет-покупки, и лимит на снятие денег.
  3. Использую Google Pay.
  4. Пересел на monobank (актуально для Украины), и поставил там динамический CVC2 и пару других настроек на секьюрности.

Я про это целую статью на Medium, правда на украинском, думаю можно прогнать через переводчик, если интересно:
https://medium.com/@roman.sytnyk/%D1%8F%D0%BA-%D0%B2-%D0%BC%D0%B5%D0%BD%D0%B5-%D0%B2%D0%BA%D1%80%D0%B0%D0%BB%D0%B8-%D0%BA%D0%BE%D1%88%D1%82%D0%B8-%D0%B7-%D0%BF%D1%80%D0%B8%D0%B2%D0%B0%D1%82%D0%B1%D0%B0%D0%BD%D0%BA%D1%83-%D1%82%D0%B0-%D1%8F%D0%BA-%D1%8F-%D1%97%D1%85-%D0%BF%D0%BE%D0%B2%D0%B5%D1%80%D0%BD%D1%83%D0%B2-37cebd26318c

Если есть свои мысли про этот кейс, буду рад услышать

  Развернуть 1 комментарий

@Archivarius, насчёт кражи через сервис еды - многие мерчанты не запрашивают код карты и позволяют снимать деньги прямо по номеру.
Например так можно пополнить вастрик клуб с просмотренного номера карты.

  Развернуть 1 комментарий
Max Mezinov, Нну-ка, покажите мне содержимое вашего ssl-пакета 21 марта в 13:17

про вклад очень здравая идея, если доступ у злоумышленников только к данным карты. Если получили доступ к личному кабинету банка - имхо, ничего не спасет. Единственно, могу посоветовать, если храните деньги долгосрочно, переведите в евро/доллары, валютный перевод банк может тормознуть и попросить подтвердить по телефону

  Развернуть 1 комментарий

@mmezinov, Про валюту кстати прикольная идея - ее реально тяжелее вывести

  Развернуть 1 комментарий

@mmezinov, при действительно долгострочном хранении (несколько лет без снятий) имеет смысл перевести в золото. Всегда выгодно, всегда удобно, низкий шанс обвала курса. Единственный способ потерять - физический угон.

  Развернуть 1 комментарий
Petr Ermakov, Senior Data Scientist 22 марта в 13:47

Не знаю на сколько правда, но от сотрудника банка получил такой совет (цитирую близко к тексту, но не дословно):

Сейчас можно перевыпустить esim через приложение/без демонстрации паспорта.
Позвоние своему оператору и попросите не выпускать esim без демонстрации паспорта, это работает в большинстве операторов.

Мой оператор пока не умеет превратить физическую симку в esim, но задумаюсь об этом сразу после того как он "осилит" такой функционал. Пока pin-код one-love

  Развернуть 1 комментарий
Ivan Bakhmat, Product Owner / Manager 22 марта в 14:58

Как человек работающий в банке могу посоветовать 2 вещи которых приедрживаюсь сам:

  1. Не хранить деньги на карте, хранить на счете рядом, надо деньги, переведите их на карту
  2. Страхование карты от воздействия 3х лиц (воровство)
  Развернуть 1 комментарий

@ivanbakhmat, Сбер? асв не катит на карты?

  Развернуть 1 комментарий

Достаточно очевидные вещи:

  • не используйте sms в качестве второго фактора для входа в онлайн банк. Или отдельное приложение генератор, желательно привязанное именно к этому телефону, или просто выключите онлайн-банкинг совсем (варианты с аппаратным генератором кодов тоже пойдут, но они менее удобные)
  • не пользуйтесь картой, привязанной к вашему зарплатному счету. Лучше всего завести текущий счет в другом банке и перечислять на него деньги с зарплатного; в принципе можно хранить деньги в том же банке/акаунте на накопительном счету, а для карты/оперативных расходов сделать отдельный счет, если вы доверяете своему банку (в плане если кто-то получит доступ к вашей карте и привязанному к ней счету, то он не сможет перечислить на нее деньги с остальных счетов в том же банке)
  • установите лимиты на снятие денег/оплате по карте, которые соотвествуют x2 - x3 ежедневным тратам, а не максимальным тратам при дорогих покупках. Если вы не покупаете новые телефоны каждый день - лучше пойти и лишний раз поднять/опустить лимит.
  • лучше всего не носить карты с магнитной полосой, а лучше всего не носить карты вообще, пользоваться apple pay и аналогами. При этом устройство оплаты (телефон или часы) не должен быть залочен только на биометрию, как минимум в дополнение должен быть pin-код.
  • для оплаты в онлайн отдельный счет и/или отдельная виртуальная карта, а еще лучше что-нибудь вроде Apple pay или paypal. Операции с переводом денег в онлайн должны подтверждаться 3DSecure. Хотя доверять им полностью не стоит, также как и тому, что ваш продавец обращается с CVV2 кодом по-правилам, поэтому как раз отдельный счет, куда перечисляются деньги на конкретные онлайн покупки. + желательно отдельный счет/карточка для подписок, если их нельзя оплачивать через paypal.
  Развернуть 1 комментарий

@hintbits, с генератором ключей крутая тема. А в РФ есть банки которые такое поддерживают?

  Развернуть 1 комментарий

@IgorRR, не знаю, никогда не пользовался банками в РФ. Часто приводят Тинькофф как образец передового банкинга, может у них есть?
В ЕС смс как второй фактор у банков, да и не только, запрещена с прошлого года.

  Развернуть 1 комментарий

Не помню как называется форма, но у любого оператора можно написать заявление что-бы симку нельзя было перевыпустить по доверенности.
Очень важная штука и не только в смысле защиты финансов.

  Развернуть 1 комментарий
Maxim Shipachev, программист 26 марта в 09:46

Не все знают, но в Сбербанке, который любим подавляющим большинством мошенников, можно завести отдельный счёт и скрыть его отображение везде, кроме компьютера операционистки в отделении банка.

Плюсы: даже получив доступ в приложение или интернет-банк мошенники не увидят деньги и не смогут их украсть.

Минусы: для операций со счётом придётся топать в отделение и брать талончик.

Для молодых и занятых способ может и не самый лучший, но для пожилых родственников — именно то, что нужно.

  Развернуть 1 комментарий

@MaximShipachev, кстати крутой способ!

  Развернуть 1 комментарий

😎

Автор поста открыл его для большого интернета, но комментирование и движухи доступны только участникам Клуба

Что вообще здесь происходит?


Войти  или  Вступить в Клуб