Безопасность банковских карт и онлайн-банкинга, уровень "паранойя"⁠⁠

Привет, пикабушник.

Если ты хронически испытываешь некоторую тревогу за свои банковские карты и счета, то этот пост для тебя. Вкратце о себе: ИТ-инженер, работаю в банке, могу в кибербезопасность, хотя основное направление работы сейчас - мирное программирование.

1. Карта для зарплаты

Эту карту ты хранишь в сейфе и не достаёшь вообще. Все операции с ней сводятся к начислению ЗП работодателем и переводам на другие карты/счета тобой в онлайн-банке.

2. Карманная карта для оффлайн-покупок

Она всегда с тобой для прикладывания/засовывания в устройства.

Хорошо, если карманная карта от другого банка. Например, зарплату начисляют на карту Сбера, а тебе нравится <ИМЯ_БАНКА> из-за кэш-бэка. Также нередко у людей остаются карты с прежнего места работы - надо пользоваться.

На карманную карту можно переводить автоплатежами небольшие суммы на текущие расходы (хорошо дисциплинирует!) и эпизодически на крупные покупки.

К карманной карте должны быть подключены смс-уведомления (в Сбере - "полный" пакет мобильного банка), которые следует контролировать.

На задней стороне карты три цифры (CVV-код для онлайн-покупок) аккуратно заклей кусочком малярного скотча.

Если карманная карта будет потеряна или украдена - без раздумий блокируй и заказывай перевыпуск.

Не полагайся на карту, всегда имей при себе немного наличных. Оценишь эту фишку когда если произойдёт масштабный сбой в процессинге.

3. Отдельная карта для онлайн-покупок

Это может быть электронная карта (без пластика). Она в зоне повышенного риска. На неё переводи нужную сумму, когда покупаешь очередную прикольную фигню на Али. В остальное время на карте не должно быть ощутимых сумм.

Если карта Сбера, чтобы приходили коды 3-D Secure, должен быть подключен мобильный банк, достаточно экономного пакета.

4. Про кредитные карты

Минутка финансовой грамотности. Если дебетовая карта - палка, то кредитка - нож. Ты должен хорошо понимать правила кредитной игры и всё время отслеживать её ход. Если есть сомнения - отказывайся от выпуска карты. Работник банка будет приговаривать "это бесплатно, а вдруг пригодится!", но известны случаи, когда девственная кредитка пылилась в дальнем ящике стола, а спустя время держатель знакомился со спецификой работы судебных приставов. От так.


5. Сбережения

Если ты зарабатываешь так много, что ещё и остаётся, то ты счастливый сукин сын не оставляй деньги на зарплатной карте. Открой пополняемый вклад или сберегательный счёт в другом(!) банке без онлайн-доступа. Не держи в одном банке более 1,4 млн. руб.
Дома имей запас наличных, желательно не 5000 купюрами, а помельче. Привет полковнику Захарченко.


6. Онлайн-банкинг и смс
Включи смс- и email-уведомления о входе в онлайн-банк. Используй отдельный адрес email для общения с банком.
Не давай телефон в руки посторонним и не оставляй его без присмотра.
Общение с банком не должно проходить целиком через одно устройство - телефон. Если он окажется заражён трояном (а такое случается, трой может оказаться даже в заводской прошивке), то будет показывать тебе всё правильно (оплата коммуналки 2712,65 р.), а отправит в банк совсем другое (на какую-то левую карту 10 000 р.).  Поэтому вместо приложений используй сайт онлайн-банка на компе/планшете/телефоне, а на другой телефон получай смс от банка с уведомлениями и кодами подтверждения.
Не сохраняй в браузере пароль от онлайн-банка. Перед входом проверяй SSL-сертификат сайта, кем выдан и кому. При выполнении операций проверяй назначение платежа и сумму в смс, прежде чем вводить код.Наиболее безопасный подход - сделать виртуалку с линуксом, в котором запускать последнюю версию надёжного браузера, который не имеет плагинов и никуда не заходит, кроме твоего онлайн-банка. А в качестве телефона использовать тупую кнопочную звонилку.

Теперь другая сторона вопроса. Телефон, к которому привязан онлайн-банк, нередко является к нему единственным ключом. Не секрет, что в Сбербанк-онлайн достаточно знать номер карты и завладеть телефоном, чтобы сбросить логин-пароль и получить полный доступ. Телефон могут тупо отжать, вместе с самой картой. Также известны случаи, когда мошенники проводили замену сим-карты в салоне связи с помощью поддельной доверенности или дружков-работников салона. Подключи у оператора услугу "Запрет действий по доверенности".

Если есть опасения целенаправленной атаки на тебя через номер телефона, заведи для онлайн-банка отдельную симку у другого оператора связи, номер которой никто не знает. Этот подход теряет смысл, если нужно чтобы незнакомые люди переводили на твою карту - светить номер карты гораздо хуже.

Возможна альтернатива смс-каналу, и некоторые банки за отдельную плату предоставляют компактное устройство, генератор одноразовых паролей, называют его "кардридер". Мне не доводилось применять.


P.S. В этом посте изложены немедикаментозные способы снижения тревожности пациента, которые не вредны для общества и таки снижают вероятность финансовых потерь. Прошу не топить в говне.
Всем добра.