Мошенничество с платежными картами достигло угрожающих размеров. До тех пор пока банки не перейдут на чиповые технологии, обнулить чужой пластик с магнитной полосой в состоянии даже студенты

Видео дня

В то время как бан­ки не спешат пе­реходить на пере­довые карточные технологии, мо­шенники идут в ногу с научно-техническим прогрессом. Для обладателя карточки такой расклад означает, что потерять деньги он может в любой момент и вовсе не обязательно отовариваться в сомнительных торго­вых точках или вводить ПИН-код в бан­коматах так, чтобы его видели рядом стоящие подозрительные личности. Рискуют все, кто снимает наличность в банкоматах или расплачивается в тор­говых сетях.

О масштабах мошенничества банки­ры не говорят даже Нацбанку Банки — участники Международных платежных систем клятвенно уверяют, что карточ­ки гораздо надежнее, чем наличность. В свою очередь Нацбанк, заинтересован­ный в продвижении НСМЭП (Нацио­нальной системы массовых электрон­ных платежей), обвиняет банкиров в использовании устаревших технологий (карточки с магнитной полосой) и сокрытии реальной информации о масштабах мошенничества.

Проблема, о которой не говорят

Воры, подделывающие платежные карты, в последнее время — частые ге­рои милицейских сводок. Однако о динамике мошеннических операций можно только догадываться. Исполни­тельный директор НБУ по вопросам платежных систем Виктор Кравец, ссылаясь на переписку НБУ с СБУ и МВД, предполагает, что число данных преступлений растет, но при этом от­мечает, что Нацбанку масштаб пробле­мы неизвестен. «Есть официальные формы отчетности, согласно которым банки должны информировать НБУ о количестве и размерах мошенничеств в любой сфере деятельности. Но бан­ки, отстаивая свое реноме, показыва­ют только то, что не могут скрыть. На­пример, суммы убытков, подтвержден­ные решениями судов. В остальных случаях они просто покрывают убыт­ки от мошенничеств собственными ресурсами», — объясняет Кравец.

Украинская межбанковская ассоци­ация членов платежных систем ЕМА в марте заявила, что в последние два го­да через банкоматы украинских бан­ков было снято более $5 млн с помо­щью поддельных зарубежных карт. Тогда же ЕМА сообщила о том, что в 2004 году произошла утечка данных из банкоматной сети в связи с несо­блюдением отдельными украинскими эквайрами требований по шифрова­нию ПИН-блока. Банкиры не скрыва­ют, что преступники продолжают под­ключаться к банкоматным кабелям, однако умалчивают о размерах ущер­ба. Обычно пострадавшим картодержателям без проволочек возвращают­ся деньги, и информация об атаке на банк остается неизвестной даже пра­воохранительным органам. Как ут­верждает начальник департамента го­сударственной службы борьбы с эко­номической преступностью МВД Украины Леонид Скалозуб, 90% кар­точных преступлений раскрываются не по заявлениям банковских учреж­дений.

О том, что мошенники всерьез доку­чают банкам, свидетельствуют косвенные признаки. «Некоторое вре­мя назад банки закупали самые простые банкоматы, в том чис­ле те, которые были сняты с эксплуатации за рубежом. В по­следний год они почему-то не скупятся и приобретают доро­гие машины, оснащенные каме­рами наблюдения», — говорит Кравец. Примечательно также, что в августе текущего года де­путатом Александром Карпо­вым, возглавляющим ЕМА, был внесен в парламент законопро­ект, повышающий требования безопасности к операциям с платежными картами.

Из дисконтной в платежную

Слабым звеном отечествен­ной карточной индустрии счи­таются магнитные полосы. Международные платежные системы уже давно рекоменду­ют банкам безопасную, но до­рогую чип-технологию. Нацбанк в свою очередь реклами­рует аналог подешевле — технологию НСМЭП.

Магнитная полоса карты со­держит информацию только о персональных данных владель­ца (ФИО) и номере счета в бан­ке. Поэтому, чтобы выдать на­личные, банкомат должен обра­титься к центральному ком­пьютеру за информацией о на­личии на счету необходимой денежной суммы. Данные, кото­рые банкомат, отправляет в банк можно перехватить, подключившись к соответству­ющему кабелю (кстати, подроб­ные инструкции о том, как это сделать, без труда обнаружива­ются в интернете). Судя по всему, так и поступают мошенни­ки, пользующиеся тем, что дале­ко не все украинские банки, вопреки требованиям междуна­родных платежных систем, по­заботились о криптографиче­ской защите трафика.

При наличии ПИН-кода и ин­формации, содержащейся на магнитной полосе, подделка карты — дело нехитрое. Матери­алом для будущего «платежного средства» может послужить дис­контная или клубная карточка, ключ к электронному замку. На­магнитить и эмбоссировать кар­ту (нанести выпуклые элемен­ты), а также забить в магнитную полосу нужную информацию можно с помощью специальных устройств, которые, поговарива­ют, недорого продают на киев­ском радиорынке.

В отличие от магнитной по­лосы чип (маленький микро­процессор, вмонтированный в карту) содержит всю инфор­мацию о банковском счете. По­этому чиповая карточка не нуждается в процедуре иденти­фикации и персонификации, а значит, работает в режиме off­line. Иначе говоря, банкомат не должен посылать запрос в банк, и мошенники, соответ­ственно, не могут скачать ин­формацию.

В настоящий момент серти­фикацию на право выпуска чип-карт прошли только не­сколько банков — ПриватБанк, Укрэксимбанк, Аваль, Укргаз-банк, Правэкс-Банк. Перехо­дить на EMV-технологии пла­нируют и другие крупные бан­ки. Дело в том, что междуна­родная система Visa International с 1 января 2006 года возложит ответствен­ность за мошенничества на банки-эмитенты, не использу­ющие чип-технологии. Сего­дня клиентам возмещают убытки либо эмитенты, либо эквайры (банки, осуществля­ющие расчеты по карточкам) — в зависимости от вида пре­ступления. Впрочем, перспек­тива оказаться крайним вряд ли заставит эмитентов отка­заться от карт с магнитной по­лосой. Поскольку закупка но­вой технологии, а также пере­оборудование банкоматов и платежных терминалов — дело более затратное и хлопотное, чем возмещение убытков пострадавшим.

Информация под защитой

Для противодействия воров­ству банкиры уже давно оказы­вают такую услугу, как SMS-банкинг — предоставление опера­тивной информации по кар­точным транзакциям на мо­бильный телефон. Относи­тельно новая антимошенниче­ская услуга банков — смена ПИН-кода. «Всем рекомендую периодически менять ПИН-код. Даже если информация по карточке уже где-то скачана, смена ПИН-кода защищает картодержателя», — говорит директор департамента роз­ничных продуктов банка «Надра» Наталья Степанова.

В целом, более-менее без­опасно могут чувствовать себя клиенты банков, которые ис­пользуют круглосуточный on­line мониторинг транзакций по карточкам, прогрессивную систему шифрования инфор­мации о транзакциях, видеона­блюдение в банкоматах, а так­же жесткие лимиты на снятие наличных. На мысль о том, что не все банки преуспели по всем пунктам, наводит тот факт, что вопрос о мошенни­честве и его предотвращении, вызывает у банкиров легкую истерику. Так, из всех крупней­ших игроков рынка платеж­ных карт на предложение рас­сказать о своих защитных ме­рах откликнулись только "Надра" и "УкрСиббанк". «Междуна­родные платежные системы требуют шифровать ПИН-блок, мы зашифровали еще и трафик», — рассказала Наталья Степанова. А Александр Мороз, начальник управления процессинга международных платеж­ных систем УкрСиббанка сообщил, что в банке с помощью систем видеонаблюдения по­лучают и коллекционируют фотографии «кардеров-ходоков по банкоматам», которыми делятся как с другими банками, так и с правоохранительными органами.

Отлавливают кардеров с по­мощью существующей в рамках ЕМА системы обмена информа­цией Exchange-Online, позволя­ющей воссоздать точный маршрут преступлений и со­брать всю информацию о воре. А вот для профилактики мо­шенничества ЕМА лоббирует изменения в законодательство. В законопроекте Карпова сре­ди прочего предполагается обязать торговцев осуще­ствлять операции с карточкой только в присутствии ее держа­теля, а также запретить эквайрам и торговцам требовать от картодержателя ПИН-код.

Изменения хотят внести и в Уголовный кодекс. В правоох­ранительных органах сетуют на то, что подделывать платеж­ные карты проще и прибыль­нее, чем заниматься фальшиво­монетничеством. К тому же, к карточным мошенникам при­меняются менее жесткие санк­ции. Поэтому упомянутым за­конопроектом предлагается увеличить максимальный срок лишения свободы для карточ­ных мошенников с пяти до де­сяти лет.

Впрочем, ни прогрессивны­ми технологиями, ни усилени­ем криминальной ответствен­ности искоренить мошенниче­ство не удастся. Можно только прогнозировать, снижение уровня мошенничеств до запад­ноевропейского по мере разви­тия банковских технологий и накопления опыта у украин­ских банков.

Основные способы получения конфиденциальной информации мошенниками

1. Фишинг. Рассылка электронных писем, призы­вающих посетить якобы банковскую web-страни­цу и обновить информацию о своем счете. Как ни странно, картодержатели многих стран, в частно­сти США, на эту удочку ведутся. Мошенники затем с помощью этой информации обворовывают банки других стран.

2. Сговор с персоналом торговой точки. Одно время в Украине имели место хищения по картам класса Gold, чьи владельцы засветили в торговых точках свои ПИН-коды. Еще один трюк, применя­емый в торговых точках — вставка в POS-терминал специального устройства, списывающего ин­формацию с магнитной полосы.

3.Установка специальных устройств в бан­коматах. Насадки на клавиатуру, конверты, встраиваемые в отверстие для карточек, видео­камеры — все это гипотетически может исполь­зоваться для того, чтобы фиксировать и запоми­нать требуемую информацию. В Украине пока не практикуется.

4. Перехват трафика. Есть два канала следования информации о карточке — из торгового пред­приятия в банк и из банкомата в банк. В обоих случаях информация может перехватываться по пути.

Как стать кардером:

1. Найти кабель, по которому банкомат обменивается информацией с банком

2. Скачать данные о транзакциях клиентов

3. Не попасть под видеонаблюдение

4. Купить на радиорынке программатор для магнитных карт

5. Намагнитить и эмбоссировать дисконтную или клубную карту

6. Снять деньги

Наталья ЗАДЕРЕЙ, «Контракты»

www.kontrakty.com.ua