Не бойся, банк с тобой?

При пользовании банкоматом будьте бдительны: мошенники могли его «апгрейдить»

Пластиковые банковские карточки, с помощью которых мы получаем право оперативно распоряжаться деньгами на наших счетах в банках, прочно вошли в реалии современной жизни. Выбирая магазин для покупки или кафе для ланча, собираясь в туристическую поездку, мы уже почти всегда одним из условий своего выбора делаем именно возможность безналичного, виртуального, дистанционного расчёта. Чего надо бояться при пользовании банковскими картами и как мошенникам удается заполучить персональные данные вашего «пластика»? - в вопросах карточной безопасности разбирался наш корреспондент.

Карточный расклад

По данным официального сайта ЦБ РФ, на 1 июля 2012 года количество банковских карт в России составило 219 737 165. За первое полугодие 2012 года суммарное число эмитированных банковских карт в стране увеличилось на 10%, а за аналогичный период позапрошлого года количество карт выросло на 9%. Объем операций по картам, по данным ЦБ РФ, по итогам 2011 года составлял более 16 трлн. рублей, что на 33% больше показателя за 2010 год. На долю собственно безналичной оплаты товаров и услуг по итогам первого полугодия 2012 года приходилось лишь 15 процентов (1,4 трлн. рублей) от общего объема операций, оставшиеся 85 процентов - снятие наличных средств. Однако и Минфин России, и Банк России в течение прошлого года через своих официальных представителей подтверждали курс на вытеснение из оборота наличных денег.

Напомним начинающим кардхолдерам (так называют держателей банковского «пластика»), что по основным типам карты подразделяются на Electron/Plus и Cirrus/Maestro - это электронные расчетные карты с минимальным набором услуг, возможностей и относительно небольшими расходами на обслуживание. Такие карты, как Classic и Mass, являются классическими и очень распространены во всем мире. Как правило, с их помощью можно расплачиваться и снимать деньги в большем количестве точек. Золотые карты (Gold) - это более высокий уровень обслуживания и престижа. Платиновые карты (Platinum) - карты очень высокого уровня. Тарифы по ним еще выше, как, впрочем, и возможности. Элитные карты (Infinite и World Signia) - экстра-карты, карты высшего уровня. Карты этого типа появились относительно недавно, и их количество чрезвычайно мало. Дело в том, что эти карты банки предлагают только своим избранным клиентам, находящимся на индивидуальном обслуживании. Более того, далеко не каждый банк имеет возможность выпуска карт такого уровня, в России это всего несколько банков. Владельцам этих карт предлагается широчайший спектр услуг, в частности, они имеют возможность без дополнительной платы пользоваться услугами крупнейших агентств консьерж-сервиса, а также за каждым из них закреплен персональный банкир, доступный круглосуточно.

Карты также делятся на расчетные и кредитные. Первые предназначены для использования собственных денежных средств, то есть держатель вносит на расчетную карту свои деньги и пользуется ею как «электронным кошельком». Кредитные карты предназначены для использования средств, предоставляемых ее владельцу банком. Наряду с классическими дебетовыми картами, функции которых сводятся к возможности оплачивать покупки в точках продаж, проводить операции в интернет-банке, совершать платежи в Интернете, пополнять счет через cash-in автоматы, банки предлагают и более продвинутые продукты - например, карты с возможностью получать доход на положительный остаток. Подчас ставки по таким картам сопоставимы с депозитными, но условия более либеральные - некоторые банки не ограничивают клиентов рамками неснижаемого лимита и начисляют проценты на любой остаток.

Однако пользование «пластиком» предполагает защиту ваших банковских данных от несанкционированного доступа к ним. А сделать это не так-то и просто - киберпреступность сегодня научилась похищать и сами данные, и деньги со счетов.

Незванные «читатели»

По данным Управления «К» МВД России, число киберпреступлений за последний год выросло в полтора раза. Ущерб от действий электронных мошенников и карточных воров (кардеров) полицейское ведомство только в первом квартале 2012 года оценивало в 70 млн. руб.

- Цифры, которые дает Управление «К» - это цифры по зарегистрированным преступлениям. А поскольку сложно сказать, какой процент или какая доля процента преступлений вообще доходит до Управления «К», а это, скорее всего, проценты, то общий объем ущерба так же, как динамику роста, сложно оценить, - считает исполнительный директор компании Peak Systems Максим Эмм.

Мошенничество с данными банковских карт лидирует по темпам роста среди киберпреступлений. Тенденция сохраняется уже на протяжении нескольких лет, а с развитием рынка мобильных устройств она получила новый толчок.

- Защититься от мошенников на данный момент возможно, если иметь параноидальный уровень подозрительности. Платформы: Android, Windows, Mac OS себя в этом плане уже дискредитировали, можно поймать вирус. Когда на вас ведется охота, это не просто программный метод. К вам могут подослать человека, который попытается узнать какие-то логины, пароли. Вы можете сидеть в общественном месте, наслаждаться бесплатным, открытым Wi-Fi, а ваши данные при этом будут перехватываться, - рассказал руководитель направления IT и Telecom журнала «Эксперт» Александр Баулин.

Охота за персональными данными

Конечно, самый простой способ разжиться вашими деньгами - это просто проследить за вашим походом к банкомату, оценить размер снятых с карты денег и изъять их путём разбоя, грабежа или карманной кражи в той или иной аранжировке.

Другой незамысловатый способ рассчитан на тёмное время суток. Мошенники заклеивают скотчем часть банкомата, которая выдает деньги (часть кэш-диспенсера). Снимаете деньги, а деньги не выходят. Нехорошие слова в адрес сломанного банкомата, такие же в адрес банковских работников, с которыми утром вы планируете поругаться. В состоянии чрезвычайной раздраженности забираете карту и уходите искать другой банкомат. Из-за угла выходит мошенник, внимательно наблюдавший за вами, отклеивает скотч и забирает деньги...

К киберпреступности и кардерам это не будет иметь никакого отношения. Однако есть масса других приёмов, чтобы своровать или просто заполучить ваши данные и (или) ваши деньги. Как мошенникам удаётся добыть ключ к вашим деньгам - узнать PIN-код карты?

Перечислим самые распространённые технологии.

Первый способ - воспользоваться записанными вами же сведениями о PIN-коде. Имеется в виду, к примеру, запись кода на карте или каком-либо носителе (лист бумаги, записная книжка, мобильный телефон), хранимом вместе с картой. Соответственно, если карта утеряна или украдена (вместе с сумкой, бумажником), у мошенника оказывается и карта, и персональный код.

Дружественное мошенничество. Использование в своих целях карты с предварительной осведомленностью о PIN-коде членами семьи, близкими друзьями, коллегами по работе. То есть людьми, имеющими доступ к месту хранения карты.

Подглядывание из-за плеча. Мошенник вполне может узнать ПИН-код держателя банковской карты, подглядывая из-за его плеча, пока тот вводит код в банкомате. Затем злоумышленник осуществляет кражу карты и использует ее в своих целях.

«Ливанская петля». Как вариант подглядывания из-за плеча. Для его применения используется небольшой отрезок фотопленки, который складывается пополам, а края загибаются под углом в 90 градусов. Это приспособление вставляется в банкомат. «Изюминкой» является вырезанный на нижней стороне фотопленки на определенном расстоянии от края небольшой лепесток, отогнутый вверх по ходу карты. Пленка располагается в картридере так, чтобы не мешать проведению транзакции. Отогнувшийся лепесток не позволяет банкомату выдать пластиковую карту обратно. То есть, совершив операцию, владелец карты не может получить её обратно из банкомата. В это время подходит «советчик», который рекомендует срочно идти и звонить в сервисную службу, к примеру. Владелец карты уходит, а тем временем «советчик», видевший, как он набирал ПИН-код, вытаскивает карту и снимает деньги.

Фальшивые банкоматы. Мошенники разрабатывают и производят фальшивые банкоматы либо переделывают старые, которые выглядят как настоящие. Размещаются банкоматы в наиболее оживленных местах. После введения карты и PIN-кода обычно на дисплее фальшивого банкомата появляется надпись, что денег в банкомате нет или что банкомат не исправен. К тому времени мошенники уже скопировали с магнитной полосы карты информацию о счете данного лица и его персональный идентификационный номер.

Копирование магнитной полосы (скимминг) предусматривает использование особых видов устройств, считывающих информацию с магнитных полос карт. Обычно это специально изготовленные клавиатуры, которыми накрывают существующие. Законный держатель банковской карты проводит операцию с вводом персонального идентификационного номера (ПИН), в это время, дополнительно установленное устройство считывает и записывает информацию на магнитной полосе. Данные, необходимые для дальнейшего изготовления поддельной карты и ее использования в своих целях, получены. Если позволяет конструкция банкомата, то накладка со скиммером могут являться одним блоком, покрывающим соответствующую часть банкомата.

Замена устройства для ввода ПИН-кода (ПИН-ПАД). Держателю карты может быть предложено ввести ПИН-код не в настоящий ПИН-ПАД, а в его имитацию, которая запомнит введенный код. Такие ложные устройства иногда устанавливают рядом со считывающими датчиками, предназначенными для прохода в помещение с банкоматом с использованием в качестве идентификатора (электронного ключа) банковской карты.

Фишинг чаще всего используется в виде рассылки через Интернет или мобильных SMS-писем от имени банка или платежной системы с просьбой подтвердить указанную конфиденциальную информацию на сайте организации.

Вишинг - голосовой фишинг, использующий технологию, позволяющую автоматически собирать информацию, такую как номера карт и счетов. Мошенники моделируют звонок автоинформатора: автоответчик предупреждает потребителя, что с его картой производятся мошеннические действия, и дает инструкции - перезвонить по определенному номеру немедленно. Злоумышленник, принимающий звонки по указанному автоответчиком номеру, часто представляется вымышленным именем от лица финансовой организации;
когда по этому номеру перезванивают, на другом конце провода отвечает типично компьютерный голос, сообщающий, что человек должен пройти сверку данных и ввести 16-значный номер карты с клавиатуры телефона; как только номер введен, вишер становится обладателем всей необходимой информации (номер телефона, полное имя, адрес), чтобы, к примеру, обложить карту штрафом; затем, используя этот звонок, можно собрать и дополнительную информацию, такую, как PIN-код, срок действия карты, дата рождения, номер банковского счета и т.п. Таким же образом действуют и SMS-мошенники, рассылающие сообщения о блокировке карты и необходимости перезвонить по указанному номеру.

Неэлектронный фишинг. Связан с осуществлением покупок в торговых организациях посредством обязательного ввода PIN-кода. В схемах неэлектронного фишинга создаются реальные торгово-сервисные предприятия, либо используются уже существующие. Держатели платежных карт совершают покупки товаров, получают услуги либо снимают денежные средства в кассе банка. Операции производятся с использованием банковских микропроцессорных карт и сопровождаются введением клиентом своего PIN-кода. Сотрудники мошеннических предприятий негласно копируют информацию с магнитной полосы карты и производят запись персонального идентификационного номера. После - изготавливают поддельную банковскую карту, и в банкоматах производится снятие денежных средств со счета клиента.

Вирус, поражающий банкоматы. Написать вредоносную программу для банкомата очень сложно - мошенники используют очень специфические операционные системы и связываются с банками по серьезно защищенным сетям.

Шимминг. Для этого в картридер банкомата вставляется шиммер (устройство со светоотражательными частичками), которое считывает данные с карты.

Они уже здесь

Возможно, что многим из тех, у кого в кошельке уже болтаются две-три пластиковых карты, покажется, что все эти беды с пропажей денег со счетов в банке (а именно на это направлены все усилия охотников за данными «кредиток») не имеют никакого отношения к нашей хабаровской действительности и актуальны только для тех, кто бывает за рубежом, отоваривается в интернет-магазинах и ведет бурную жизнь онлайн. Ошибаетесь.

Только за осень прошлого года краевое управление МВД РФ придало публичной огласке три случая мошенничества с использованием банковских данных и даже специального оборудования.

Так в ноябре в Хабаровске при попытке снять денежные средства со своей пластиковой карты через банкомат горожанка обнаружила отсутствие денег на счету. Тогда женщина проверила другой банковский счёт. Он тоже был пусть. При этом карта банка всегда находилась при потерпевшей, и PIN-код знала только она. Вместе с сотрудниками банка женщина проследила все операции по своим счетам и выяснила, что все деньги были сняты в один день с помощью услуги «Банк-Онлайн».
Тогда потерпевшая вспомнила, что при получении карты в офисе банка ей рассказали, как можно оплачивать различные платежи по Интернету с помощью онлайновой услуги, переводя деньги с карты. Для этого подключившему услугу клиенту необходимо распечатать через банкомат квитанцию с паролями, которые понадобятся для интернет-сайта.
Потерпевшая распечатала пароли и положила квитанцию в кошелёк, но услугой так и не воспользовалась. Месяц спустя женщина выбросила квитанцию за ненадобностью возле одного из банкоматов.

Квитанцию подобрал мужчина, который хорошо разбирался в компьютерных технологиях и знал схему хищения денег с помощью паролей. Именно он воспользовался неосторожностью женщины. С домашнего компьютера он ввёл указанный в квитанции пароль, получив, таким образом, доступ к счетам потерпевшей. Он перевёл все деньги женщины на банковскую карту своей знакомой, после чего попросил её солгать полицейским, сообщив, что карта утеряна. Но знакомая отказалась от пособничества в преступлении и сообщила обо всём в органы внутренних дел. Мужчину задержали и доставили в отдел полиции.

Осенью прошлого года полицейские края также задержали изготовителя скиммингового оборудования. Житель Приморского края был задержан в поселке Хор района имени Лазо. Молодой человек изготовил оборудование для считывания информации с банковских карт граждан и установил его на единственном в поселке банкомате. Всё оборудование для скимминга он изготовил сам из подручных материалов. О высоком качестве оборудования говорит то, что на банкомате оно было практически незаметным. 20-летний приморчанин надеялся, что хорцы не обратят внимание на «апгрейд» банкомата. Однако просчитался и по поступившему от бдительных граждан сигналу был пойман в момент снятия оборудования с банкомата. По замыслу скиммера, деньги со счетов граждан, номера и PIN-коды которых зафиксировало скимминговое оборудование, должны были быть сняты в другом регионе Российской Федерации.

В ходе расследования третьего уголовного дела было установлено, что потерпевший оформил в одном из финансовых учреждений края банковскую карту и подключил услугу «Мобильный банк» на сим-карту, зарегистрированную на его имя. Спустя какое-то время гражданин обратился в банк с заявлением о подключении услуги «Мобильный банк» на новую сим-карту. При этом он почему-то решил, что банк автоматически аннулирует заявление на сим-карту с предыдущим абонентским номером. Банк же о том, что услуга «Мобильный банк» останется на прежней сим-карте, мужчине не сообщил.

Позже эту сим-карту зарегистрировала на свое имя жительница краевого центра и передала в пользование своему сыну. В мае 2012 года молодой человек получил сообщение на свой новый абонентский номер о возможности перевода денежных средств со счета предыдущего владельца сим-карты. После этого в течение недели хабаровчанин пользовался услугой «Мобильный банк» и похитил путем перевода со счета потерпевшего около 12 тысяч рублей.

По мнению следствия, одной из причин совершения хищения стала простота использования услуги «Мобильный банк». Клиент, подавая письменное заявление в банк с просьбой подключить данную услугу, дает свое согласие о получении информации обо всех операциях по карте, а также о возможности совершать платежи, переводы и другие операции в любое время и в любом месте. Однако в дальнейшем собственник счета может потерять свой телефон, переоформить сим-карту или просто не иметь возможности своевременно отключить указанную услугу. Таким образом, денежные средства, находящиеся на его счете, недостаточно защищены.

В мире же число жертв киберпреступлений в прошлом году превысило 430 млн. человек. Фактически пострадал почти каждый 16-й житель планеты.

Вместе с банком


По мнению экспертов, от мошенников не спасают даже банковские системы защиты, однако, заботясь о собственном имидже, кредиторы чаще всего возвращают украденные деньги, если операция по счёту была произведена без разглашения Пин-кода.

- Банки практически всегда идут навстречу клиентам. Если происходит какая-то подозрительная или мошенническая операция по карте клиента, первое, что нужно сделать, это обратиться в банк, который эмитировал данную карту, чтобы сначала ее заблокировать, а потом заявить о том, что данную операцию человек не совершал. И с очень большой вероятностью данная транзакция будет возмещена клиенту, - считает управляющий директор «QIWI Кошелька» Максим Попов.

В нынешнем году вступает в действие ещё и так называемая «девятая статья» федерального закона о национальной платёжной системе, согласно которой банк будет нести все риски, связанные с «обнулением» счетов клиента. В теории законодательство находится на стороне держателей карт. Согласно закону о защите прав потребителей, банк отвечает за безопасность услуг, которые он оказывает. Согласно Гражданскому кодексу, сохранность денег является основной обязанностью банка, и убытки, причиненные клиенту, он обязан компенсировать, если у него нет доказательств того, что ущерб возник по вине клиента. На практике банковские юристы строят свою аргументацию на том, что у них нет оснований верить клиенту: может, он сам себя обокрал или, например, сообщил пин-код постороннему лицу.

- Ситуация не изменится, пока в полном объеме не заработает закон о национальной платежной системе, когда вступит в силу та его часть, которая посвящена электронным средствам платежа,- считает вице-президент Ассоциации региональных банков «Россия» Олег Иванов. - В новом законе говорится, что именно банк должен доказывать, что в мошеннической трансакции виноват клиент.

Это не единственная законодательная инициатива в данной сфере. Глава ассоциации «Россия» Анатолий Аксаков второй год призывает ужесточить ответственность за изготовление, сбыт и использование поддельных банковских карт. Ассоциация российских банков Гарегина Тосуняна хочет ограничить ответственность банков: выплачивать компенсации лишь тем, кто установит для своих карт или максимальную сумму остатка по счету (не более 300 тыс. руб.), или максимальную сумму операции (не более 100 тыс.). Первый заместитель председателя комитета ГД по финансовому рынку Владислав Резник также предлагал заставить банки уведомлять держателя о каждой операции с платежной картой и, если от клиента не поступит подтверждения, такую транзакцию блокировать.

Сергей Мингазов.