Новости
Ракурс

Кибермошенники «вооружаются», банки не спешат с защитой кредиток (ФОТО)

На прошлой неделе Межбанковская ассоциация «ЕМА» совместно с МВД Украины обнародовали статистику по обнаруженным скиммерам (от англ. skim — снимать сливки) — устройствам по негласному копированию платежных карт. Оговоримся сразу, что статистика отражает лишь часть случаев, преимущественно — зафиксированных правоохранительными органами, но не дает представления о реальной картине происходящего. То есть о настоящем количестве имевших место инцидентов, когда и клиент, и банк решили не поднимать шума. А таких случаев предостаточно.


.

 

скиммер банкомат карта

 

Учитывая, что в условиях замалчивания тяжело бороться с мошенниками, Межбанковская ассоциация «ЕМА» совместно с банками создали свою закрытую неформальную систему обмена информацией по киберпреступности ExchangeOnline. Однако учитывая, что к ней, кроме нескольких десятков банков и процессинговых центров из Украины и соседних стран, подключены МВД и Госфинмониторинга, участники зачастую даже в этом узком кругу предпочитают не сообщать о «несчастных случаях на производстве».

Например, когда несколько лет назад один из крупнейших банков, банкоматная сеть которого пострадала от внедрения вируса, сам заявил о проблеме и нашел вариант ее решения, предложив соратникам по цеху принять меры на упреждение, коллеги скорее порадовались проблемам у конкурента, чем заинтересовались самой проблемой. Тогда безопасность пострадавшего банка совместно с правоохранительными органами вычислила «залетных» молдавских гастролеров, а на программный банкоматный софт была установлена «заплатка». Увы, беда не всегда объединяет банковское сообщество:— когда конкуренту плохо, другие чувствуют себя хорошо. И жаль, когда безопасность клиента в таких ситуациях оказывается не в фокусе приоритетов банков.

Так, в 2011 году их было выявлено 45 единиц, в 2012-м — 80. Для сравнения: в России за 2011 год зафиксировано 397 случаев установки скиммеров, а за 2012-й — уже 2071. В Европе в среднем обнаруживается 1 скимминговое устройство на 500 банкоматов, а в Украине — всего 1,5 на 10 тыс. Наша страна выглядит более благополучной. Тем не менее факты карточного мошенничества есть. «Ракурс» решил разобраться, как именно мы рискуем при проведении операций с платежными картами, и как эти риски минимизировать.

скиммер банкомат

В Украине подавляющее большинство карт — с магнитной полосой. Они дешевле чиповых, но и удобнее для мошенников, так как данные с магнитной полосы так же легко украсть, как переписать на магнитофоне с одной кассеты на другую любимую мелодию. Ведь скиммер по принципу действия — это тот же миниатюрный записывающий плеер или диктофон, в который вместо микрофона подключили магнитную головку. Причем современное развитие электроники таково, что созданные азиатскими производителями серийные образцы таких устройств имеют миниатюрные размеры — меньше спичечного коробка. Да, я не оговорился, назвав их серийными. Кардинг, или мошенничество с платежными картами, — это уже индустрия в мировых масштабах (скимминг является частным случаем кардинга). Точно так же, как существуют фирмы, выпускающие профессиональные отмычки для воров, существуют и технологические компании, изготавливающие скимминговые устройства.

Каким образом мошенникам удается скопировать вашу карту? Самый распространенный способ — установка скиммера в виде насадки на щель банкомата или кабинки самообслуживания банка, дверь которой открывается картой клиента. Насадка камуфлируется под дизайн банкомата и может быть выполнена в виде фальшпанели.

скиммер дверь

Когда жертва вставляет свою карточку в щель, то сначала карта проходит через скиммер, а затем уже попадает в настоящий картоприемник. Во время прохода через щель и происходит копирование данных с магнитной полосы.

В зависимости от модификации такой «адской машинки», дамп карты (считанные данные) либо сохраняются в памяти скиммера (и злоумышленники раз в сутки-двое снимают устройство, чтобы выгрузить информацию), либо в режиме реального времени сразу передаются кардерам при помощи беспроводных технологий.

На магнитной полосе в открытом виде хранятся номер карты, окончание срока ее действия, фамилия и имя владельца, данные банка-эмитента. PIN-кода на карте нет. Чтобы перехватить PIN-код, еще несколько лет назад поверх стандартной клавиатуры банкомата устанавливали фальшивую, которая записывала нажатия клавиш. Встречались и другие хитроумные конструкции. Но в последнее время чаще всего прибегают к помощи миниатюрной видеокамеры, скрытно прикрепленной где-то рядом, чтобы обязательно в поле обзора попадала клавиатура. Видеосигнал либо записывается на устройство памяти, либо по радиоканалу передается злоумышленникам, сидящим, например, в кафе напротив и отслеживающим процесс работы своей техники.

Теперь, когда данные карты и PIN-код попали в руки мошенников, они изготавливают копии платежных карт. Если карту не планируют прокатывать в магазинах, то внешне ее не оформляют. Просто кусок пластика с точной копией магнитной полосы жертвы вставляется в любой банкомат, вводится PIN-код, и денег на счету больше нет.

Если жуликам не удалось перехватить PIN-код, тогда им придется повозиться с изготовлением карты, похожей на настоящую. Такая операция более дорогостоящая и более рискованная. Одно дело — снимать деньги в банкомате и бояться только камеры видеонаблюдения, которую можно залепить жвачкой. Другое — «тусить» в магазине, где тебя может запомнить кассир, охрана, а от видеокамер увернуться сложнее. В общем, карта без PIN-кода — это как бы неудачная охота для банкоматных кардеров.

Но есть другой класс жуликов, попроще. Для них такая добыча — самое то. На языке экспертов по безопасности это называется «компрометация карты в торгово-сервисной сети». Наверняка вы не раз наблюдали картину, когда официант, взяв у клиента карту для оплаты, уходит с ней куда-то в сторону кассы и спустя некоторое время возвращает вместе с чеком. Увы, если вы потеряли карту из виду, то нет никакой гарантии, что ее не скопировали в это время. Причем не обязательно скиммером. Вполне достаточно сфотографировать ее с обеих сторон мобильным телефоном, чтобы потом использовать не саму карту, а только ее реквизиты для покупок через интернет. Ведь на карте отпечатаны фамилия, имя владельца, срок действия, номер и код CVV/CVC (трехзначное число на обратной стороне карты, обычно на полосе с подписью).

Как обезопасить себя от воровства с карточки?

На самом деле банк должен внедрять системы безопасности, оборудовать камерами видеонаблюдения места установки банкоматов, устанавливать антискиммерные устройства. Должен, но не обязан. Когда возникает вопрос о покупке комплекса защиты стоимостью от 1000 евро на один банкомат, то банкиры, умножив цену комплекта на количество своих банкоматов, воздерживаются от лишних расходов. Статистика киберворовства для них еще не настолько убедительна, чтобы заставить раскошелиться. Поэтому клиентам приходится быть внимательней.

Скажем честно: вряд ли неспециалист сможет отличить банкомат со скиммер-накладкой от обычного нормального аппарата. Поэтому банковские рекомендации из разряда «внимательно осмотрите» не помогут. Это поняли даже банкиры. Поэтому они пошли другим путем: на экране банкомата стали демонстрировать картинку внешнего вида щели и просить пользователей, прежде чем вставлять карту, сравнить картинку на экране с тем, что они видят фактически. Если изображения не совпадают, банкоматом пользоваться не стоит. Для осторожных клиентов — это хороший вариант безопасности. Те же, кто привык, никуда не глядя жать Enter, быстро пролистывать занудные призывы банка, имеют все шансы потом пожалеть.

В торговых точках не следует упускать из виду свою карту. Ни в коем случае не разрешайте уносить ее в соседний зал под предлогом того, что на данной кассе терминал не работает. Пройдите сами вместе с картой в другой зал.

В ресторане официант должен принести вам переносной POS-терминал прямо к столику, где и произвести расчет. Если такого типа терминала у них нет, лучше пройдите для расчета на кассу самостоятельно.

Хороший вариант защиты — пользование банковской услугой SMS-информирования об операциях с картой. Если получили сообщение о непонятной трансакции, срочно звоните в круглосуточную службу поддержки клиентов и блокируйте карту. Способ не супернадежный, сообщения иногда не приходят или задерживаются, но это лучше, чем ничего.

Установите себе суточные лимиты суммы по операциям с картой. Особенно если храните на карточном счете немалые деньги. Даже если данные были похищены, жулики не смогут украсть сверх установленного суточного лимита, а владелец, получив уведомление по SMS, сможет заблокировать карту.


Заметили ошибку?
Выделите и нажмите Ctrl / Cmd + Enter