Новости
Ракурс

Комбинированные банковские карты и мировая киберпреступность

18 мар 2013, 09:20

Европа планово переходит со старой технологии карт с магнитной полосой на смарт-карты, содержащие чипы — специальную защищенную микросхему. Первой это сделала Великобритания, которая после 2007 года сразу продемонстрировала позитивную статистику снижения потерь от карточного мошенничества в несколько раз. Затем ее примеру последовали и другие страны Западной Европы. Так, в Германии наличные в банкомате можно получить только по смарт-карте. В Латвии на некоторых бензоколонках самообслуживания можно увидеть заклеенные скотчем щели картоприемников, через которые прокатывалась магнитная полоса. Таких примеров ограничений уже много.


.

Стимулом к их введению стали правила переноса ответственности, введенные международными платежными системами. Их суть сводится к следующему: если комбинированную карту, на которой есть чип и, одновременно, магнитная полоса, авторизовали не через чип, а допустили операцию по магнитной полосе, то за любые возникшие проблемы будет отвечать торговец. Если у торговца установлен старый терминал, который не может авторизовать чипы, то тогда отвечает обслуживающий его банк-эквайер. Таким образом, выставлен некий принудительный приоритет при равных возможностях торговых сетей принимать карту прежде всего в чиповом режиме, а магнитный использовать лишь как резервный.

Тут следует пояснить одну важную деталь: в мире пока редко выпускают исключительно чиповые карты. Обычно для удобства клиента их изготавливают комбинированными — чип и магнитная полоса одновременно. Но попытка голландца рассчитаться в родной стране по магнитной полосе ни к чему не приведет, терминалы вернут карту с кодом отказа — вставляйте чипом, а уж тогда платите. Если же клиент-голландец выедет за пределы своей страны, то может использовать магнитный функционал.

Промежуточное комбинированное решение оказалось уязвимым для атак мошенников. Например, в Великобритании констатировали значительный рост краж с карточных счетов. Но деньги со счетов британцев снимали за рубежом. Мошенники работали по уже описанной в предыдущих статьях схеме: скиммером заполучали данные магнитной полосы, перехватывали накладками на клавиатуру или скрытой видеокамерой комбинацию ПИН-кода, изготавливали фальшивую карту-дубликат, но использовали ее не внутри страны, а за границей. Причем в ряде случаев при изготовлении дубликата вносилась правка в цифровой сервисный код, который хранится на магнитной полосе в открытом виде. Он разрешает или запрещает проводить по карте определенные виды авторизаций. Менялось одно значение, например, с нуля на единицу, и можно было пробовать использовать такую карту и внутри страны.

Для защиты банки стали внедрять сложные программные антифродовые системы мониторинга. Полностью проблему кражи денег такой подход не решил, ведь основная причина уязвимости — магнитная полоса — так и осталась на карточке.

Учитывая, что переход от магнитной полосы к чипу занимает в одной стране несколько лет, растягивается по всему миру на десятки лет и сопровождается одновременным хождением разных типов карт, то решительным образом проблема скимминга за такой переходный период не решается.

Залатали брешь безопасности в одном месте, проблема проявляется в другом. Например в США. Почему именно там? Исторически так сложилось, что в Соединенных Штатах была создана своя финансовая система со многими особенностями или даже странностями: деньги печатают частные банки, входящие в систему ФРС, банковские гарантии практически запрещены, вместо них используются резервные аккредитивы. Одной из многих национальных странностей является нежелание переходить на действующий во всем остальном мире чиповый стандарт EMV (сокращенно от Europay, Mastercard, Visa) и признавать правило переноса ответственности. Поэтому краденная или клонированная в Европе чиповая карточка преспокойно может быть прокатана в США по магнитной полосе, магазину это безразлично. Продавец даже не подумает о том, что есть правило использовать в первую очередь чип, он его просто не знает. Потому что США не признают эти правила. Американцы, кстати, охотно осваивают бесконтактные платежи, а вот старому магнитному пластику в пользу чипа изменять не хотят. У них есть местные смарт-карты других стандартов, но широкого распространения они не получили.

В Украине ситуация иная. Правила переноса ответственности работают, а вот внедрять чипы никто не спешит. По состоянию на начало 2013 года доля карт с магнитной полосой в нашей стране составляла 94,36 %, доля комбинированных, содержащих чип и магнитную полосу, — 3,06 % и только чиповых — 2,24 %. Что касается последних, это в основном локальные карты Национальной системы массовых электронных платежей, не совместимые с международными стандартами. Технология EMV более затратная, поэтому банкиры не стремятся ее внедрять. Для сравнения: при объеме в несколько десятков тысяч карточных заготовок магнитная пластиковая болванка будет стоить пару десятков центов, а чиповая дотянет до доллара.

Мир демонстрирует пестрый подход к карточным технологиям, что дает дополнительные шансы кардерам, деятельность которых давно носит международный характер. Данные со скиммера в Лондоне через несколько минут могут быть переданы в США, где по ним изготовят карту, и через несколько часов кто-то отужинает по ней в шикарном ресторане.

Почему в Украине и России часто ловят иностранных кардеров, своих что ли мало? Потому что карточные расчеты на Западе распространены давно, а последовательные шаги в Европе по внедрению EMV-карт сужают там поле деятельности мошенников. В результате наблюдаем естественную миграцию карточной преступности из старушки Европы к нам, где чиповые технологии еще не распространены.

Правда, теперь на Западе появляется новая мода на взлом EMV-технологий. Иногда такие попытки даже заканчиваются успехом. Но об этом в следующих публикациях.


Заметили ошибку?
Выделите и нажмите Ctrl / Cmd + Enter