Почему это важно
Реквизиты, введённые в поддельной форме, уходят мошенникам мгновенно — и тут же используются для списаний. Бот или сайт без шифрования (HTTP) — это прямой канал утечки карты: данные летят открытым текстом. Полный номер + срок + CVV достаточно для оплаты на многих площадках.
Живой сценарий. Ссылка «оплати доставку 1 ₽» ведёт на сайт, визуально как у службы доставки, но домен чуть отличается и форма не банковская. Жертва вводит номer карты, срок, CVV и приходящий SMS-код «для подтверждения» — фактически подтверждая мошеннику списание. Деньги уходят, карту приходится перевыпускать.
Что делать (по шагам)
- Вводи карту только в проверенных сервисах и официальных платёжных формах (банк/эквайер), не на самодельных страницах.
- Проверяй HTTPS и домен перед вводом: замок в адресной строке, имя домена символ в символ, без подмены букв.
- Заведи отдельную карту/виртуалку с лимитом для онлайна — основной счёт не светится:
Виртуальная карта в приложении банка → лимит на сумму покупки →
оплатил → лимит обнулил/карту удалил. Утечка такой карты почти ничего не стоит.
- Включи 3-D Secure и push-уведомления о списаниях — увидишь любую операцию сразу.
- Сверяй получателя и сумму перед подтверждением перевода; при QR/ссылке проверяй, кому именно платишь.
- Включи лимиты на операции/интернет-платежи в банковском приложении.
Чего НЕ делать
- Не вводи карту в непроверенных ботах/формах и по HTTP.
- Не диктуй и не вводи CVV и коды из SMS никому и нигде, кроме официальной оплаты.
- Не плати по ссылкам из неожиданных сообщений (доставка/штраф/«возврат»/«перевод по ошибке»).
- Не сохраняй карту на сомнительных сайтах «чтобы не вводить снова».
- Не подтверждай 3-D Secure код, если ты не инициировал эту оплату прямо сейчас.
Как проверить себя
- Плачу только на HTTPS и на домене, который проверил посимвольно.
- Для онлайна использую виртуалку/отдельную карту с лимитом.
- 3-D Secure и уведомления о списаниях включены.
- Никому не диктую CVV и SMS-коды; ввожу их только в официальной оплате.
- Не перехожу к оплате по ссылкам из неожиданных сообщений.
Инструменты
- Виртуальные карты с лимитом: функция в приложении твоего банка (одноразовые/лимитированные карты).
- Проверка сайта/ссылки: VirusTotal (URL), Google Safe Browsing, замок HTTPS в браузере.
- Контроль: push-уведомления и лимиты на интернет-операции в банковском приложении; 3-D Secure.
- Реакция на инцидент: горячая линия банка (блокировка/перевыпуск), смена паролей, заявление при списании.