Социальные сети давно превратились из площадок для общения в полноценные сервисы для покупок, подписок и донатов. Пользователям предлагают оплачивать рекламу, переводить деньги блогерам или оформлять платные функции — для этого достаточно один раз привязать банковскую карту к аккаунту.

Однако специалисты по кибербезопасности предупреждают: такая функция удобна, но она значительно повышает риск потери денег в случае взлома аккаунта. Эксперты рассказали, почему хранение банковских карт в социальных сетях может быть опасным и какие меры помогут защитить средства.

Как работает привязка карты

При добавлении карты в профиль платформа не хранит её номер в открытом виде. Вместо этого создаётся так называемый платёжный токен — цифровой ключ, который позволяет сервису списывать средства с карты пользователя.

На практике это означает, что после первичного подтверждения операции, например через SMS-код или пуш-уведомление (технология 3D Secure), платформа получает право проводить дальнейшие списания без дополнительного подтверждения.

С одной стороны, это делает оплату удобной — покупки и переводы совершаются буквально в один клик. С другой — именно эта функция превращает взлом аккаунта в потенциальную финансовую проблему.

Почему социальные сети уязвимее банковских приложений

Технические риски привязки карты к социальным сетям ничем не отличаются от привязки карты к другим сервисам, отметил директор по развитию центра мониторинга внешних цифровых угроз Solar AURA Александр Вураско. Крупные соцсети и мессенджеры, например VK и Telegram, используют современные стандарты шифрования данных наравне с банковскими приложениями и маркетплейсами.

По словам эксперта, главный риск заключается в том, что в случае кражи аккаунта злоумышленники могут получить возможность оплачивать что-либо привязанной банковской картой.

Ключевое отличие социальных сетей от банковских приложений — в характере их использования, считает юрист адвокатского бюро «БВМП» Ярослав Земсков.

Банковское приложение воспринимается как финансовый инструмент, поэтому пользователь действует осторожно: проверяет операции, не вводит данные на подозрительных страницах. Социальные сети — это публичное пространство, где человек расслаблен и меньше думает о рисках. Ярослав Земсков адвокат, Адвокатское бюро «БВМП»

Банковское приложение защищено от внешних угроз, таких как фишинг и манипуляции, через личные сообщения, в то время как социальная сеть становится главным источником подобных рисков. И главная опасность не в том, что хакеры вскроют базу данных соцсети и украдут ваш номер карты, а в том, что они получат доступ к аккаунту, подчёркивает финансовый советник Татьяна Рощина.

Если злоумышленник зашёл в ваш профиль через украденный пароль, ему не нужно расшифровывать данные карты — он просто нажимает кнопку «Оплатить» внутри вашего интерфейса. Шифрование защищает данные в пути, но оно бессильно, если вы сами «впустили» вора. Татьяна Рощина экономист, финансовый советник

Насколько защищены данные карт в соцсетях

Социальные сети — это сложная экосистема с большим количеством сторонних сервисов, каждый из которых расширяет зону риска для кибератак, подчеркнул руководитель отдела технического пресейла IT TASK Михаил Тимаев.

Платёжная функциональность для социальных сетей — это скорее дополнительная возможность в рамках мультиплатформенности. Поэтому уровень контроля и глубина финансовых механизмов там заметно ниже. Михаил Тимаев руководитель отдела технического пресейла IT TASK

Пользователи заходят в соцсети десятки раз в день с разных устройств, переходят по ссылкам, открывают рекламные объявления и подключают сторонние сервисы. В такой среде вероятность компрометации пароля значительно выше, предупреждает Земсков.

Пароли к аккаунтам в соцсетях чаще становятся известны злоумышленникам из-за:

фишинговых страниц;

утечек баз данных;

использования одинаковых паролей на разных сайтах;

вредоносных расширений браузера.

Также стоит обратить внимание на подписки на сервисы, оформленные через соцсети. Большинство из них устроены таким образом, что продлеваются автоматически. Даже если вы решили отменить подписку, но не сделали этого вовремя, денежные средства будут продолжать удерживаться.

Однако с 1 марта вступили в силу изменения в закон «О защите прав потребителей», которые запрещают автоматические списания без предварительного уведомления и явного согласия клиента. Кроме того, поправки запрещают списывать деньги за подписки с удалённых карт.

Что могут сделать мошенники

Взлом соцсети с привязанной картой — это комплексная угроза. Преступники получают возможность не только похитить средства владельца, но и его аккаунт.

По нашим данным, именно «угон» аккаунтов в мессенджерах и социальных сетях входит в топ-3 наиболее популярных фишинговых схем в 2023 году. Для этого мошенники могут применять самые разные схемы — от сообщений от имени руководства и поддельных чатов с ботами вместо реальных пользователей до фейковых распродаж и акций от имени популярных брендов. Александр Вураско директор по развитию центра мониторинга внешних цифровых угроз Solar AURA, ГК «Солар»

В личных аккаунтах пользователей в соцсетях хранится личная переписка, фотографии, геолокации, контакты и другие сведения, напоминает партнёр адвокатского бюро «Плешаков, Ушкалов и партнёры» Елена Якушева. Привязывая карту к соцсети, вы связываете свои финансовые потоки с максимальным объёмом персональных данных.

В случае утечек, которые случаются в соцсетях регулярно, мошенники получают не просто номер карты, а готовый психологический портрет для максимально эффективной атаки. То есть в магазине украдут данные карты, а в соцсети — вашу личность целиком. Елена Якушева адвокат, партнёр адвокатского бюро «Плешаков, Ушкалов и партнёры»

Злоумышленники используют техники социальной инженерии для получения паролей и кодов доступа к учётным записям. Особенно в этом помогает информация с личной страницы пользователя, отмечает руководитель лаборатории информационной и сетевой безопасности в ИТ-компании «Криптонит» Александр Спиридонов.

Например, двое мужчин в Приморском крае отправляли ссылку на сайт, где для получения приза необходимо ввести учётные данные. После этого они делали покупки техники с привязанных банковских карт. Александр Спиридонов руководитель лаборатории информационной и сетевой безопасности в ИТ-компании «Криптонит»

Можно ли вернуть деньги после списания

В соответствии с правилами национальной платёжной системы операции, проведённые с помощью технологий 3D Secure, признаются совершёнными держателями карт. При вводе кода при привязке карты пользователь даёт согласие на дальнейшие списания с неё конкретным продавцом — будь то в социальных сетях или в онлайн-магазинах. Оспорить такие транзакции крайне сложно, предупреждает Рощина.

Банк видит успешную транзакцию, подтверждённую сохранённым токеном. С точки зрения системы это вы совершили покупку. Чтобы вернуть деньги, вам придётся доказать, что это был несанкционированный доступ, что крайне сложно, если не было нарушения правил безопасности со стороны самого банка. Татьяна Рощина экономист, финансовый советник

Опасность несанкционированного доступа в социальных сетях возрастает из-за фишинга и взломов. Банк возлагает на клиента обязанность обеспечивать сохранность своих учётных данных. Ввод пароля от соцсети на фишинговой странице могут расценить как грубую неосторожность со стороны пользователя. Юридическая ответственность предусмотрена статьями 158 и 159.6 Уголовного кодекса — кража и мошенничество в сфере компьютерной информации, уточняет Якушева. Однако на практике сложность заключается в розыске преступников и доказательстве их вины для судебного преследования.

Банк обязан вернуть деньги, если клиент не нарушал правила безопасности. Но если вы сами ввели данные карты в профиль соцсети, а мошенники взломали этот аккаунт, банк заявит о грубой неосторожности и откажет в компенсации. Елена Якушева адвокат, партнёр адвокатского бюро «Плешаков, Ушкалов и партнёры»

В пользовательском соглашении большинства соцсетей почти всегда указано, что ответственность за сохранность логина и пароля несёт пользователь. И доказывать неправомерность списания придётся ему, а не представителям соцсети, уверена юрист.

Как снизить финансовые риски

Оптимальным решением станет разделение рисков. Эксперты центра мониторинга Solar AURA ГК «Солар» рекомендуют:

пользоваться исключительно официальными ресурсами соцсетей (и проверять их точный адрес через поисковик);

не предоставлять личные данные во время разговоров и переписках с незнакомыми людьми;

использовать антивирусное программное обеспечение для дополнительной защиты от вредоносных программ и фишинговых атак.

Стоит ли привязывать карту к соцсетям

Привязка карты к социальной сети сама по себе не является критической уязвимостью. Однако она объединяет финансовый и публичный цифровой профиль пользователя. Поэтому возникает больше рисков.

Если злоумышленник получает доступ к вашему аккаунту, ему не нужно расшифровывать данные карты — он может сразу совершать покупки, используя привязанную карту через ваш интерфейс.

Взлом аккаунта с привязанной картой даёт преступникам не только доступ к вашим деньгам, но и к личной переписке, контактам и геолокации. Это позволяет им создавать детальный психологический портрет для более эффективных мошеннических атак, включая вымогательство денег у ваших знакомых.

