ПИН-бол

Наталья ЗАДЕРЕЙ

Мошенничество с платежными картами достигло угрожающих размеров. До тех пор пока банки не перейдут на чиповые технологии, обнулить чужой пластик с магнитной полосой в состоянии даже студенты

Вто время как банки не спешат переходить на передовые карточные технологии, мошенники идут в ногу с научно-техническим прогрессом. Для обладателя карточки такой расклад означает, что потерять деньги он может в любой момент и вовсе не обязательно отовариваться в сомнительных торговых точках или вводить ПИН-код в банкоматах так, чтобы его видели рядом стоящие подозрительные личности. Рискуют все, кто снимает наличность в банкоматах или расплачивается в торговых сетях.

О масштабах мошенничества банкиры не говорят даже Нацбанку. Банки — участники Международных платежных систем клятвенно уверяют, что карточки гораздо надежнее, чем наличность. В свою очередь Нацбанк, заинтересованный в продвижении НСМЭП (Национальной системы массовых электронных платежей), обвиняет банкиров в использовании устаревших технологий (карточки с магнитной полосой) и сокрытии реальной информации о масштабах мошенничества.

Проблема, о которой не говорят

Воры, подделывающие платежные карты, в последнее время — частые герои милицейских сводок. Однако о динамике мошеннических операций можно только догадываться. Исполнительный директор НБУ по вопросам платежных систем Виктор Кравец, ссылаясь на переписку НБУ с СБУ и МВД, предполагает, что число данных преступлений растет, но при этом отмечает, что Нацбанку масштаб проблемы неизвестен.

«Есть официальные формы отчетности, согласно которым банки должны информировать НБУ о количестве и размерах мошенничеств в любой сфере деятельности. Но банки, отстаивая свое реноме, показывают только то, что не могут скрыть. Например, суммы убытков, подтвержденные решениями судов. В остальных случаях они просто покрывают убытки от мошенничеств собственными ресурсами», — объясняет Кравец.

Украинская межбанковская ассоциация членов платежных систем ЕМА в марте заявила, что в последние два года через банкоматы украинских банков было снято более $5 млн с помощью поддельных зарубежных карт. Тогда же ЕМА сообщила о том, что в 2004 году произошла утечка данных из банкоматной сети в связи с несоблюдением отдельными украинскими эквайрами требований по шифрованию ПИН-блока.

Банкиры не скрывают, что преступники продолжают подключаться к банкоматным кабелям, однако умалчивают о размерах ущерба. Обычно пострадавшим картодержателям без проволочек возвращаются деньги, и информация об атаке на банк остается неизвестной даже правоохранительным органам. Как утверждает начальник департамента государственной службы борьбы с экономической преступностью МВД Украины Леонид Скалозуб, 90% карточных преступлений раскрываются не по заявлениям банковских учреждений.

О том, что мошенники всерьез докучают банкам, свидетельствуют косвенные признаки. «Некоторое время назад банки закупали самые простые банкоматы, в том числе те, которые были сняты с эксплуатации за рубежом. В последний год они почему-то не скупятся и приобретают дорогие машины, оснащенные камерами наблюдения», — говорит Кравец. Примечательно также, что в августе текущего года депутатом Александром Карповым, возглавляющим ЕМА, был внесен в парламент законопроект, повышающий требования безопасности к операциям с платежными картами.

Из дисконтной в платежную

Слабым звеном отечественной карточной индустрии считаются магнитные полосы. Международные платежные системы уже давно рекомендуют банкам безопасную, но дорогую чип-технологию. Нацбанк в свою очередь рекламирует аналог подешевле — технологию НСМЭП.

Магнитная полоса карты содержит информацию только о персональных данных владельца (ФИО) и номере счета в банке. Поэтому, чтобы выдать наличные, банкомат должен обратиться к центральному компьютеру за информацией о наличии на счету необходимой денежной суммы.

Данные, которые банкомат отправляет в банк можно перехватить, подключившись к соответствующему кабелю (кстати, подробные инструкции о том, как это сделать, без труда обнаруживаются в интернете). Судя по всему, так и поступают мошенники, пользующиеся тем, что далеко не все украинские банки, вопреки требованиям международных платежных систем, позаботились о криптографической защите трафика.

При наличии ПИН-кода и информации, содержащейся на магнитной полосе, подделка карты — дело нехитрое. Материалом для будущего «платежного средства» может послужить дисконтная или клубная карточка, ключ к электронному замку. Намагнитить и эмбоссировать карту (нанести выпуклые элементы), а также забить в магнитную полосу нужную информацию можно с помощью специальных устройств, которые, поговаривают, недорого продают на киевском радиорынке.

В отличие от магнитной полосы чип (маленький микропроцессор, вмонтированный в карту) содержит всю информацию о банковском счете. Поэтому чиповая карточка не нуждается в процедуре идентификации и персонификации, а значит, работает в режиме off-line. Иначе говоря, банкомат не должен посылать запрос в банк, и мошенники, соответственно, не могут скачать информацию.

В настоящий момент сертификацию на право выпуска чип-карт прошли только несколько банков — ПриватБанк, Укрэксимбанк, Аваль, Укргазбанк, Правэкс-Банк. Переходить на EMV-технологии планируют и другие крупные банки. Дело в том, что международная система Visa International с 1 января 2006 года возложит ответственность за мошенничества на банки-эмитенты, не использующие чип-технологии.

Сегодня клиентам возмещают убытки либо эмитенты, либо эквайры (банки, осуществляющие расчеты по карточкам) — в зависимости от вида преступления. Впрочем, перспектива оказаться крайним вряд ли заставит эмитентов отказаться от карт с магнитной полосой. Поскольку закупка новой технологии, а также переоборудование банкоматов и платежных терминалов — дело более затратное и хлопотное, чем возмещение убытков пострадавшим.

Информация под защитой

Для противодействия воровству банкиры уже давно оказывают такую услугу, как SMS-банкинг — предоставление оперативной информации по карточным транзакциям на мобильный телефон. Относительно новая антимошенническая услуга банков — смена ПИН-кода. «Всем рекомендую периодически менять ПИН-код. Даже если информация по карточке уже где-то скачана, смена ПИН-кода защищает картодержателя», — говорит директор департамента розничных продуктов банка «Надра» Наталья Степанова.

В целом, более-менее безопасно могут чувствовать себя клиенты банков, которые используют круглосуточный on-line мониторинг транзакций по карточкам, прогрессивную систему шифрования информации о транзакциях, видеонаблюдение в банкоматах, а также жесткие лимиты на снятие наличных.

На мысль о том, что не все банки преуспели по всем пунктам, наводит тот факт, что вопрос о мошенничестве и его предотвращении, вызывает у банкиров легкую истерику. Так, из всех крупнейших игроков рынка платежных карт на предложение рассказать о своих защитных мерах откликнулись только Надра и УкрСиббанк.

«Международные платежные системы требуют шифровать ПИН-блок, мы зашифровали еще и трафик», — рассказала Наталья Степанова. А Александр Мороз, начальник управления процессинга международных платежных систем УкрСиббанка сообщил, что в банке с помощью систем видеонаблюдения получают и коллекционируют фотографии «кардеров-ходоков по банкоматам», которыми делятся как с другими банками, так и с правоохранительными органами.

Отлавливают кардеров с помощью существующей в рамках ЕМА системы обмена информацией Exchange-Online, позволяющей воссоздать точный маршрут преступлений и собрать всю информацию о воре. А вот для профилактики мошенничества ЕМА лоббирует изменения в законодательство. В законопроекте Карпова среди прочего предполагается обязать торговцев осуществлять операции с карточкой только в присутствии ее держателя, а также запретить эквайрам и торговцам требовать от картодержателя ПИН-код.

Изменения хотят внести и в Уголовный кодекс. В правоохранительных органах сетуют на то, что подделывать платежные карты проще и прибыльнее, чем заниматься фальшивомонетничеством. К тому же, к карточным мошенникам применяются менее жесткие санкции. Поэтому упомянутым законопроектом предлагается увеличить максимальный срок лишения свободы для карточных мошенников с пяти до десяти лет.

Впрочем, ни прогрессивными технологиями, ни усилением криминальной ответственности искоренить мошенничество не удастся. Можно только прогнозировать, снижение уровня мошенничеств до западноевропейского по мере развития банковских технологий и накопления опыта у украинских банков.

---

Как стать кардером

1. Найти кабель, по которому банкомат обменивается информацией с банком
2. Скачать данные о транзакциях клиентов
3. Не попасть под видеонаблюдение
4. Купить на радиорынке программатор для магнитных карт
5. Намагнитить и эмбоссировать дисконтную или клубную карту
6. Снять деньги

Основные способы получения конфиденциальной информации мошенниками

1. Фишинг. Рассылка электронных писем, призывающих посетить якобы банковскую web-страницу и обновить информацию о своем счете. Как ни странно, картодержатели многих стран, в частности США, на эту удочку ведутся. Мошенники затем с помощью этой информации обворовывают банки других стран.

2. Сговор с персоналом торговой точки. Одно время в Украине имели место хищения по картам класса Gold, чьи владельцы засветили в торговых точках свои ПИН-коды. Еще один трюк, применяемый в торговых точках — вставка в POS-терминал специального устройства, списывающего информацию с магнитной полосы.

3. Установка специальных устройств в банкоматах. Насадки на клавиатуру, конверты, встраиваемые в отверстие для карточек, видеокамеры — все это гипотетически может использоваться для того, чтобы фиксировать и запоминать требуемую информацию. В Украине пока не практикуется.

4. Перехват трафика. Есть два канала следования информации о карточке — из торгового предприятия в банк и из банкомата в банк. В обоих случаях информация может перехватываться по пути.

Банкир, пожелавший остаться неназванным

— Если раньше в Украине было распространено мошенничество с участием персонала торговых точек, то сейчас основной бич — скачивание информации в банкоматах. К сожалению, не все украинские банки шифруют трафик. Это дает возможность мошенникам, подключившись к банкоматному кабелю, считывать и расшифровывать ПИН-коды.

Для получения информации по карточкам используется также фишинг и генерация номеров карт с помощью специальных компьютерных программ. Полученные данные переносятся на любой пластик с магнитной полосой с помощью картридера. Банкомат воспринимает даже белый пластик, если только его магнитная полоса содержит подлинные данные. Часто мошенники используют поддельные карты иностранных банков. Например, в практике нашего банка был случай задержания возле банкомата двух студентов, в чьем распоряжении была база данных американских банков.

Обсудить на форуме

Вверх

Версия для печати		Отправить почтой
Оценить статью		Ваш комментарий