Erol Ikinci El Esya Guide.

Искусство покупать вещи с рук безопасно

Безопасность персональных данных при покупке с рук: что скрывать от продавцов

Три цифры CVV/CVC на обороте карты — это не «деталь для перевода», а один из ключей к списанию денег.

Безопасность персональных данных при покупке с рук: что скрывать от продавцов

Добавьте к ним номер карты, срок действия и код из СМС — и покупка б/у микроволновки превращается в передачу платёжных реквизитов неизвестному человеку.

Безопасность персональных данных при покупке с рук строится не на интуиции. У нормальной сделки есть короткий технический контур: переписка внутри площадки, встроенная оплата, проверка вещи при встрече или получении. Всё, что выносит сделку за этот контур, увеличивает число точек атаки: фишинговая страница, угнанный аккаунт, поддельная доставка, звонок «из службы безопасности».

Продавцу для продажи дивана, ноутбука или стиральной машины не нужны ваш паспорт, почта, код из СМС и фотография карты. В большинстве случаев не нужен даже номер телефона.

Чат внутри площадки: не удобство, а фильтр фишинга

Классифайд — это не только витрина объявлений. Его чат, система жалоб и встроенная доставка работают как минимальная защитная оболочка. Площадка может обнаруживать подозрительные ссылки, блокировать аккаунты, фиксировать историю договорённостей. Внешний мессенджер этого не даёт.

Схема обычно начинается без грубого давления. Продавец пишет: «Тут неудобно», «скину видео в Telegram», «курьер оформляется только по ссылке», «дайте WhatsApp, так быстрее». После перехода приходит ссылка на оплату, возврат денег или подтверждение доставки. Внешне она может повторять дизайн известного сервиса. Но адрес страницы отличается одним символом, лишним дефисом или непривычной доменной зоной.

На такой странице покупателя просят ввести данные карты. Иногда — ещё и код подтверждения. После этого деньги уходят не в безопасную сделку, а напрямую злоумышленнику.

Не каждый продавец, предлагающий Telegram или WhatsApp, обязательно мошенник. Но для покупателя это не имеет значения. Переход лишает его встроенных механизмов защиты и делает проверку ссылки его личной задачей. При покупке с рук это неоправданный риск.

Чат площадки нужен не для вежливой переписки. Он нужен, чтобы не открывать незнакомцу доступ к вашим деньгам и аккаунтам.

Для реальной покупки техника проста. Уточните модель, комплектность, дефекты, условия самовывоза или доставки. Зафиксируйте это в чате сервиса. Если нужен видеозвонок или дополнительные фотографии, не передавайте контакты автоматически: сначала используйте доступные функции площадки. Если продавец отказывается продолжать разговор внутри сервиса — прекращайте сделку.

Особенно жёстко реагируйте на четыре формулировки:

  • «Сейчас пришлю ссылку, там подтвердите получение». Получение подтверждает покупатель после осмотра товара, а не до него.
  • «Для перевода нужен код из СМС». Для обычного перевода получателю код не нужен никогда.
  • «Доставка уже оплачена, введите карту для возврата». Возврат через неизвестную форму — типовой вход в фишинг.
  • «Площадка заблокировала объявление, пишите напрямую». Возможно. Но это не причина передавать платёжные данные или уходить на сторонний сайт.

Если объявление выглядит убедительно, это ничего не меняет. Качественные фото, старая дата регистрации, спокойная манера переписки не заменяют безопасный канал оплаты.

Карта, коды и «подтверждение перевода»: где проходит граница

Покупатель часто путает данные, по которым можно получить перевод, и данные, с которыми можно попытаться списать деньги. Это разные наборы.

Для прямого перевода по номеру карты отправителю достаточно номера из 16 или 18 цифр. Но и этот способ хуже встроенной оплаты: у вас нет механизма удержания денег до осмотра, а ошибка в реквизитах или спор по состоянию товара становятся вашей проблемой.

Срок действия карты, имя владельца и CVV/CVC передавать продавцу нельзя. CVV/CVC — три цифры на обратной стороне карты. Вместе с номером и сроком действия они используются для оплаты в интернете. Код из банковского СМС или push-уведомления — следующий уровень подтверждения. Он подтверждает действие в банке: платёж, привязку карты, смену настроек, иногда вход в сервис. Такой код не предназначен ни продавцу, ни курьеру, ни «оператору доставки».

Что у вас запрашиваютДля чего это якобы нужноЧто это означает на практикеДействие
Номер карты«Верну переплату» или «переведу сдачу»Возможен прямой перевод, но безопасная сделка не требует обмена реквизитамиИспользуйте оплату внутри платформы
Срок действия карты«Для оформления доставки»Элемент карточных реквизитовНе сообщайте
Имя владельца карты«Для проверки платежа»Может использоваться вместе с другими данными картыНе сообщайте
CVV/CVC«Нужен для возврата»Код для интернет-платежейНемедленно прекратите диалог
Код из СМС или push«Подтвердите получение денег»Подтверждение банковской операции или доступаНе вводите и не диктуйте
Код выдачи посылки«Курьеру надо забрать товар»Код фактического получения отправленияНе передавайте до осмотра и выдачи

Код получения заказа заслуживает отдельного внимания. Это не номер накладной и не справочная информация. Если отдать его до проверки, можно подтвердить выдачу посылки, которую вы не получили или не осмотрели. Для техники это критично: вместо заявленного смартфона в коробке может лежать старый аксессуар, а статус заказа уже закрыт.

Не фотографируйте карту «для гарантии». Не отправляйте скриншот банковского приложения. Даже частично закрытая карта на фотографии часто содержит больше данных, чем кажется: имя владельца, последние цифры, банк, баланс, уведомления, номер телефона. Злоумышленнику не всегда нужен полный комплект реквизитов в одном сообщении. Он собирает фрагменты и затем строит убедительный сценарий для звонка или фишингового письма.

Что делать, если данные уже отправлены

Порядок зависит от того, что именно ушло в переписку.

1. Передали только номер телефона или email. Не паникуйте. Сам по себе номер не даёт доступа к карте. Но ожидайте фишинговые сообщения и звонки. Не переходите по ссылкам из СМС, включите двухфакторную защиту в почте и на площадке, смените пароль, если он повторяется на разных сервисах.

2. Передали номер карты, срок действия и CVV/CVC. Заблокируйте или перевыпустите карту через банковское приложение либо обратитесь в банк. Не ждите, пока придёт подозрительное списание.

3. Назвали код из СМС или подтвердили операцию в приложении. Сразу звоните в банк по номеру с официального сайта или с оборота карты. Не перезванивайте на номер из входящего звонка. Зафиксируйте время, сумму и содержание операции.

4. Отдали код выдачи заказа. Откройте поддержку платформы внутри приложения, укажите номер заказа и сообщите, что код передан до получения. Чем раньше это сделано, тем выше шанс остановить спорную выдачу.

Паспортные данные: продавец не проводит вам идентификацию

Фотография паспорта — один из худших файлов, которые можно отправить в чат объявления. В ней есть ФИО, дата и место рождения, серия и номер документа, адрес регистрации. В связке с номером телефона и почтой это уже не просто личные сведения, а набор для оформления сомнительных заявок, социальной инженерии и подбора ответов на контрольные вопросы.

Частный продавец, который продаёт б/у кресло, телевизор или набор инструментов, не имеет бытовой причины требовать паспорт покупателя. Ему не нужны:

  • фото разворота паспорта;
  • селфи с документом;
  • ИНН, СНИЛС, водительское удостоверение;
  • адрес регистрации;
  • скан доверенности;
  • фото банковской карты рядом с паспортом.

Иногда продавец объясняет запрос «отчётностью», «требованиями доставки» или «защитой от мошенников». Проверяйте логику операции. Служба доставки обычно получает данные получателя через форму самой платформы. Частный отправитель не должен вручную собирать паспортные сканы в мессенджере.

Закон действительно предусматривает отдельные ситуации, где идентификация обязательна. Например, при покупке ювелирных изделий в магазине на сумму от 40 000 рублей действуют требования законодательства о противодействии легализации доходов. Но это не относится к типовой сделке между двумя пользователями на доске объявлений. Продажа подержанного ноутбука за наличные или через безопасную оплату не превращает частного продавца в оператора проверки документов.

С 1 сентября 2022 года статья 16 Закона «О защите прав потребителей» прямо ограничивает практику навязывания персональных данных, которые не нужны для исполнения договора. Для официального продавца отказ покупателя сообщать избыточные данные не должен быть основанием для отказа в сделке. Если организация всё же отказывает, она обязана письменно объяснить причину в течение семи дней после запроса покупателя.

Но на вторичном рынке полезнее не спорить о правовых конструкциях в чате. Если продавец требует паспорт для простой покупки — закройте объявление. Товаров много. Паспорт один.

Документ передают там, где закон и процедура это требуют. Не там, где собеседник написал слово «доставка».

Номер телефона и email: не отдавайте каналы для следующей атаки

Вопрос «как мошенники используют номер телефона с Авито» часто понимают неправильно. Один только номер не позволяет списать деньги с карты. Но он позволяет сделать атаку точнее.

Зная номер, злоумышленник может:

  • отправить СМС с фальшивой ссылкой на оплату, доставку или «возврат средств»;
  • позвонить от имени площадки, банка, курьерской службы;
  • найти номер в утёкших базах и связать его с другими сведениями;
  • использовать его при попытках восстановить доступ к аккаунтам;
  • добавить в сценарий имя из мессенджера, аватар и детали объявления, чтобы разговор выглядел правдоподобно.

Email ценен по той же причине. На него приходят письма, похожие на уведомления от сервиса объявлений: «покупатель оплатил», «подтвердите отправку», «аккаунт будет ограничен». Задача письма — привести вас на поддельную страницу авторизации или оплаты.

Безопасность личных данных на сайтах объявлений начинается с минимизации цифрового следа. Не публикуйте в открытом тексте объявления телефон, почту, адрес дома, расписание отсутствия, номер подъезда или геометку квартиры. Даже если вы покупатель, не отправляйте эти сведения продавцу раньше времени.

Адрес нужен только тогда, когда согласованы товар, цена и способ передачи. Для самовывоза разумнее сначала назвать район, станцию метро, торговый центр или другую нейтральную точку. Точный адрес сообщайте непосредственно перед встречей. Для крупной мебели и техники, когда доставка неизбежна, передайте адрес через штатный механизм заказа или после того, как проверите профиль, условия перевозки и расчёт.

Отдельная ошибка — использовать один пароль для площадки, почты и мессенджера. Фишинг часто нацелен не только на деньги текущей сделки. Доступ к аккаунту классифайда позволяет мошеннику переписываться от вашего имени, размещать объявления и собирать данные уже у других пользователей. Пароль должен быть уникальным. Двухфакторная аутентификация — включённой.

Как отказать на запрос лишних данных и не втянуться в спор

Правила безопасности при сделках в интернете работают лучше, когда ответ короткий. Не объясняйте, где у вас карта, почему вы не любите мессенджеры и что читали о мошенниках. Каждая дополнительная деталь — материал для давления.

Используйте нейтральные формулировки:

  • «Оплачу через сервис площадки. Реквизиты и коды в чат не отправляю».
  • «Переписку веду здесь. Если товар доступен, согласуем проверку и получение».
  • «Паспортные данные для этой покупки не предоставляю».
  • «Код выдачи сообщу только при фактическом получении заказа».
  • «По внешним ссылкам не перехожу. Пришлите условия в чат площадки».

Дальше оцените реакцию. Нормальный продавец либо продолжит сделку в понятном формате, либо откажется без давления. Манипуляции выглядят иначе: срочность, угрозы отменой, рассказы о «единственном способе», просьбы «довериться», попытки перевести разговор на личность покупателя.

Не доказывайте, что перед вами мошенник. Это бесполезно. Зафиксируйте переписку скриншотами, пожалуйтесь через интерфейс сервиса, заблокируйте контакт. Если вы уже открыли ссылку, но ничего не вводили, закройте страницу. Если вводили логин и пароль от площадки — смените пароль через официальный сайт или приложение, а не по ссылке из сообщения.

Минимальный контур безопасной сделки

Перед оплатой любой б/у вещи пройдите пять пунктов:

1. Сверьте канал. Чат, карточка заказа и оплата должны оставаться внутри официального приложения или сайта.

2. Сверьте объект. Попросите фото шильдика, серийного номера, дефекта крупным планом, комплекта. Для электроники — включение, зарядку, экран, порты, звук, сеть.

3. Сверьте условия. Кто и когда передаёт товар, есть ли проверка до подтверждения получения, что входит в цену.

4. Отделите данные от логистики. Адрес для доставки допустим на финальном этапе. CVV, банковские коды, паспорт и код выдачи — нет.

5. Остановитесь при смене сценария. Если после согласования продавец внезапно требует мессенджер, предоплату на карту или «подтверждение» по ссылке, начинайте поиск заново.

Это занимает несколько минут. Возврат денег после фишингового списания или спор по выданной посылке занимает существенно больше.

Вердикт: скрывайте всё, без чего сделка технически состоится

При покупке с рук продавцу достаточно знать, какой товар вы берёте и как он будет передан. В отдельных случаях — имя получателя и адрес доставки через интерфейс сервиса. На этом перечень заканчивается.

Не передавайте номер телефона и email без необходимости. Не отправляйте паспортные данные. Не показывайте карту. Не называйте срок её действия, CVV/CVC и коды из СМС. Код выдачи держите до момента, когда товар перед вами и его состояние проверено.

Брать вещь можно, если продавец согласен на прозрачную схему: переписка на площадке, осмотр, встроенная оплата или расчёт при передаче. Не брать — если цена товара зависит от того, сколько личных данных вы готовы отдать.

Частые вопросы

Чат внутри площадки: не удобство, а фильтр фишинга?
Его чат, система жалоб и встроенная доставка работают как минимальная защитная оболочка.
Карта, коды и «подтверждение перевода»: где проходит граница?
Покупатель часто путает данные, по которым можно получить перевод, и данные, с которыми можно попытаться списать деньги.