Comunitatea bancară recomandă clienţilor să manifeste vigilenţă sporită în cazul plăţilor efectuate online întrucât, în situaţia unei fraude, conform normelor europene, băncile nu pot recupera banii pentru clienţi dacă tranzacţiile sunt realizate cu autentificarea strictă a acestora, potrivit unui comunicat al Asociaţiei Române a Băncilor (ARB).
Conform sursei citate, sistemul bancar continuă campania de conştientizare asupra fraudelor din mediul online şi avertizează că tranzacţiile în care sunt completate toate elementele de siguranţă ale cardului şi sunt autorizate de clienţi, prin canalele convenite anterior cu emitentul, nu sunt considerate frauduloase.
Elementele de securitate ale cardului sunt numărul cardului, data de expirare şi CVV2/CVC2, iar aprobarea tranzacţiei se realizează de regulă în aplicaţia de internet banking/aplicaţia de autorizare a semnăturii sau prin validarea unei parole şi trimiterea unui cod unic primit de titularul cardului pentru autorizarea fiecărei plăţi. Astfel, autentificarea strictă a clientului înseamnă folosirea a două elemente din următoarele categorii: ceva ce clientul cunoaşte (codul PIN, parola), ceva ce clientul deţine (telefonul mobil, verificat prin parola transmisă prin SMS) şi ceva ce clientul este (amprenta, recunoaşterea facială).
Pentru tranzacţiile efectuate cu autentificarea strictă a clienţilor, reglementate conform noii Directive Europene privind Serviciile de Plăţi - PSD2, transpusă în legislaţia română în Legea 209/2019, coroborat cu prevederile regăsite în reglementările organizaţiilor de carduri, băncile nu pot iniţia dispute pe motiv de fraudă, iar şansele să recupereze sumele pentru clienţii lor sunt aproape nule.
Potrivit organizaţiei, în contextul pandemiei COVID-19, tentativele de fraudă în mediul online s-au amplificat, iar atacatorii au devenit mai abili în accesarea datelor personale ale utilizatorilor prin website-uri false, e-mail-uri, SMS-uri şi mesaje în social media. În multe cazuri, aceste date sunt furnizate direct de deţinătorii de carduri.
În mod frecvent, modelul de atac vizează contexte reale, ca de exemplu contactarea utilizatorilor care au postat anunţuri pe platforme de vânzare-cumpărare sau care au plasat comenzi pe site-uri din străinătate. Tentativele de fraudă sunt direcţionate atât către cumpărători, cât şi către vânzători.
Astfel, sub pretextul plăţii produsului postat spre vânzare sau a achitării unor eventuale taxe (de transport sau vamale, în cazul comenzilor externe), cumpărătorii primesc un link către o pagină de internet falsă, care imită pagina oficială a comercianţilor sau a companiilor. Pe aceste pagini false, clienţii îşi introduc datele cardului şi/sau credenţialele de autentificare în internet banking sau soldul disponibil existent pe card.
După introducerea datelor bancare, clienţii aprobă tranzacţiile prin autorizarea acestora pe canalele convenite cu banca. În acest mod, atacatorii obţin toate datele cardului şi în cele mai multe cazuri folosesc aplicaţii pentru transferul instant al banilor, iar băncile emitente nu pot stopa astfel de operaţiuni.
Comunitatea bancară are o serie de recomandări pentru securitatea contului.
"Pentru a se proteja împotriva fraudelor, este necesar ca toţi utilizatorii de carduri să fie vigilenţi şi să respecte următoarele recomandări: datele bancare sunt confidenţiale şi nu trebuie furnizate; nu furnizaţi niciodată datele cardului dacă aveţi produse de vânzare postate pe diferite site-uri sau aplicaţii. Nu introduceţi datele cardului pe paginile primite şi nu le oferiţi altor persoane. Cardul bancar are doar rolul de plată, niciodată de încasare. În cazul în care trebuie să primiţi bani, puteţi trimite doar codul IBAN. Un mesaj cu cod de autorizare nu va veni niciodată când trebuie să primiţi bani, iar trimiterea codului primit înseamnă autorizarea unei plăţi. În cazul în care doriţi să achiziţionaţi produse de pe site-urile de vânzare, asiguraţi-vă că site-ul este cel corect. Cel mai sigur este să introduceţi adresa website-ului în bara de navigare şi să nu daţi click pe linkuri necunoscute (primite pe SMS/WhatsApp/e-mail), deşi acestea pot fi similare paginii platformei de vânzare. Aceste recomandări sunt valabile şi în alte cazuri (site-urile companiilor de curierat, a celor care oferă pachete de vacanţă etc.)", se menţionează în comunicat.
În cazul în care a fost achiziţionat un produs de pe un site extern/intern şi ulterior se primesc mesaje în care sunt solicitate datele de card pentru plata unor taxe de vamale sau de curierat trebuie luată legătura cu respectivul comerciant pentru a confirma autenticitatea acestora. În cazul achiziţionării unui produs de pe un site extern, comerciantul menţionează încă de la început valoarea acestuia şi eventuale cheltuieli de livrare. Prin urmare, în majoritatea cazurilor, trebuie să reţinut că astfel de solicitări vin din partea atacatorilor.
"În cazul în care aţi furnizat totuşi datele de card şi primiţi o solicitare pentru autorizarea unei tranzacţii, verificaţi cu atenţie detaliile afişate şi renunţaţi la efectuarea acesteia. Detaliile afişate sunt următoarele: Faptul că se autorizează o plată; Numele comerciantului la care se efectuează plata; Valoarea tranzacţiei; Data tranzacţiei; Terminaţia numărului de card utilizat. Dacă aţi efectuat totuşi o astfel de tranzacţie, blocaţi imediat cardul din aplicaţia de Internet Banking sau sunaţi banca emitentă la numărul de telefon de pe spatele cardului pentru blocarea de urgenţă a cardului. Anunţaţi întotdeauna banca dacă primiţi mesaje suspecte. Păstraţi întreaga corespondenţă purtată cu autorul fraudei şi depuneţi o sesizare la Poliţia Română", se mai spune în comunicat