Привязка банковской карты к аккаунту в социальной сети обычно происходит для оплаты рекламы, перевода средств блогерам или доступа к платным функциям. Процедура выполняется один раз, но она способна повлечь за собой серьезные последствия.
«Работает это примерно так: вы вводите данные карты, подтверждаете операцию через SMS или push-код, и платформа получает право проводить будущие списания. После этого каждая операция больше не требует подтверждения кодом», — подчеркнула экономист.
Во время ввода данных платежная система не сохраняет номер карты в открытом виде, а создает специальный цифровой ключ, или токен, который дает сервису право списывать деньги, добавила она.
Гогаладзе отметила, что при взломе аккаунта, например, из-за простого пароля, перехода по фишинговой ссылке или утечки базы данных, злоумышленник получает доступ к профилю. Даже без знания номера карты он может тратить средства владельца, поскольку карта уже привязана. Злоумышленник приобретает цифровые товары, оформляет платные функции, отправляет донаты или активирует подписки. Многие сервисы настроены на автоматическое продление, поэтому списания способны происходить несколько месяцев подряд, оставаясь незамеченными.
Возврат денег в подобных ситуациях затруднен. При привязке карты владелец однократно подтверждает операцию через 3D-Secure, после чего система расценивает это как разрешение на списание средств, пояснила эксперт. При возникновении транзакции банк видит, что операция проведена через токен, карта привязана владельцем, а аутентификация пройдена. Для финансовой организации это выглядит как действие самого пользователя, поэтому доказать факт мошенничества бывает непросто.
Для снижения рисков она рекомендовала использовать отдельную карту для интернет-платежей без хранения на ней крупных сумм. Двухфакторная аутентификация значительно уменьшает вероятность взлома аккаунта. Важно избегать переходов по подозрительным ссылкам, так как большинство взломов происходит через фишинг. Использование уникальных паролей для разных сервисов предотвращает кражу аккаунтов, а проверка подписок раз в квартал позволяет вовремя обнаружить автоматически продлеваемые сервисы.
«Данная информация носит исключительно информационный (ознакомительный) характер и не является индивидуальной инвестиционной рекомендацией».
