ПІН-бол

Наталя ЗАДЕРЕЙ

Шахрайство із платіжними картками досягло загрозливих розмірів. Допоки банки не перейдуть на чіпові технології, обнулити чужий пластик із магнітною смужкою зможуть навіть студенти

Утой час як банки не поспішають переходити на передові карткові технології, шахраї крокують у ногу з науково-технічним прогресом. Для власника картки такий розклад означає, що втратити гроші він може в будь-який момент і зовсім не обов’язково отоварюватися в сумнівних торгових точках або вводити ПІН-код у банкоматах так, щоб його бачили підозрілі особи поруч. Ризикують усі, хто знімає готівку в банкоматах або розплачується в торговельних мережах.

Про масштаби шахрайства банкіри не говорять навіть Нацбанку. Банки — учасники Міжнародних платіжних систем запевняють, що картки набагато надійніші, ніж готівка. У свою чергу Нацбанк, зацікавлений у просуванні НСМЕП (Національної системи масових електронних платежів), звинувачує банкірів у використанні застарілих технологій (карток з магнітною смужкою) і приховуванні реальної інформації про розмах шахрайств.

Проблема, про яку не говорять

Злодії, які підробляють платіжні карти, — останнім часом постійні герої міліцейських зведень. Однак про динаміку шахрайських операцій можна тільки здогадуватися. Виконавчий директор НБУ з питань платіжних систем Віктор Кравець, посилаючись на листування НБУ зі СБУ й МВС, припускає, що кількість таких злочинів зростає, але при цьому зазначає, що Нацбанку масштаб проблеми невідомий.

«Є офіційні форми звітності, згідно з якими банки повинні інформувати НБУ про кількість і розміри шахрайств у будь-якій сфері діяльності. Але банки, відстоюючи своє реноме, показують тільки те, що не можуть приховати. Наприклад, суми збитків, підтверджені рішеннями судів. В інших випадках вони просто покривають збитки від цих злочинів власними ресурсами», — пояснює Кравець.

Українська міжбанківська асоціація членів платіжних систем «ЕМА» у березні заявила, що за останні два роки через банкомати українських банків було знято понад $5 млн за допомогою підроблених закордонних карток. Тоді ж ЕМА повідомила про те, що в 2004 році стався витік даних із банкоматної мережі у зв’язку з недотриманням окремими українськими еквайрами вимог щодо шифрування ПІН-блоку.

Банкіри не приховують, що злочинці продовжують підключатися до банкоматних кабелів, однак замовчують розмір збитків. Зазвичай постраждалим власникам карток без зволікань повертаються гроші, і інформація про атаку на банк залишається невідомою навіть правоохоронним органам. Як стверджує начальник Департаменту державної служби боротьби з економічною злочинністю МВС України Леонід Скалозуб, 90% карткових злочинів розкриваються не за заявами банківських установ.

Про те що шахраї всерйоз докучають банкам, свідчать деякі непрямі ознаки. «Певний час тому банки закуповували найпростіші банкомати, у тому числі ті, які були зняті з експлуатації за кордоном. В останній рік вони чомусь не шкодують коштів і купують дорогі машини, оснащені камерами спостереження», — каже Кравець. Цікаво й те, що в серпні поточного року народний депутат Олександр Карпов, який очолює ЕМА, подав до парламенту законопроект, що підвищує вимоги безпеки до операцій з платіжними картками.

З дисконтної в платіжну

Слабкою ланкою вітчизняної карткової індустрії вважаються магнітні смужки. Міжнародні платіжні системи вже давно рекомендують банкам безпечну, хоча й дорогу чіп-технологію. Нацбанк, своєю чергою, рекламує дешевший аналог — технологію НСМЕП.

Магнітна смужка картки містить інформацію тільки про персональні дані власника (ПІБ) і номер рахунку в банку. Тому, щоб видати готівку, банкомат повинен звернутися до центрального комп’ютера за інформацією про наявність на рахунку необхідної суми грошей.

Дані, які банкомат відправляє в банк, можна перехопити, підключившись до відповідного кабелю (до речі, докладні інструкції про те, як це зробити, неважко знайти в інтернеті). Очевидно, так і роблять шахраї, які користуються тим, що далеко не всі українські банки, всупереч вимогам міжнародних платіжних систем, подбали про криптографічний захист трафіку.

За наявності ПІН-коду та інформації, що міститься на магнітній смужці, підробка картки — справа нехитра. Матеріалом для майбутнього «платіжного засобу» може послужити дисконтна або клубна картка, ключ до електронного замка. Намагнітити й ембосувати картку (нанести опуклі елементи), а також забити в магнітну смужку потрібну інформацію можна за допомогою спеціальних пристроїв, які, подейкують, можна недорого придбати на київському радіоринку.

На відміну від магнітної смужки, чіп (маленький мікропроцесор, вмонтований у картку) містить всю інформацію про банківський рахунок. Тому чіпова картка не потребує процедури ідентифікації та персоніфікації, а отже працює в режимі off-line. Інакше кажучи, банкомат не повинен надсилати запит у банк, і шахраї відповідно не можуть скачати інформацію.

Нині сертифікацію на право випуску чіп-карт пройшли лише кілька банків — Приватбанк, Укрексімбанк, Аваль, Укргазбанк, Правекс-банк. Переходити на EMА-технології планують й інші великі банки. Річ у тім, що міжнародна система Visa International з 1 січня 2006 року покладе відповідальність за шахрайства на банки-емітенти, які не використовують чіп-технології.

Сьогодні клієнтам відшкодують збитки або емітенти, або еквайри (банки, які здійснюють розрахунки за картками) залежно від виду злочину. Утім, перспектива опинитися крайнім навряд чи змусить емітентів відмовитися від карток із магнітною смужкою, оскільки закупівля нової технології, а також переустаткування банкоматів і платіжних терміналів — справа витратніша й заморочливіша, ніж відшкодування збитків потерпілим.

Інформація під захистом

Для протидії злодійству банкіри вже давно надають таку послугу як SMS-банкинг — надання оперативної інформації з карткових транзакцій на мобільний телефон. Відносно нова антишахрайська послуга банків — зміна ПІН-коду. «Усім рекомендую періодично міняти ПІН-код. Навіть якщо інформація з картки вже десь скачана, зміна ПІН-коду захищає власника картки», — радить директор департаменту роздрібних продуктів банку «Надра» Наталя Степанова.

Загалом більш-менш безпечно можуть почуватися клієнти тих банків, які використовують цілодобовий on-line-моніторинг транзакцій за картками, прогресивну систему шифрування інформації про транзакції, відеоспостереження в банкоматах, а також жорсткі ліміти на зняття готівки.

На думку про те, що не всі банки досягли успіху за всіма пунктами, наводить той факт, що запитання про шахрайство та запобігання йому викликає в банкірів легку істерику. Так, з усіх найбільших гравців ринку платіжних карток на пропозицію розповісти про свої захисні заходи відгукнулися тільки Надра й УкрСиббанк.

«Міжнародні платіжні системи вимагають шифрувати ПІН-блок, ми зашифрували ще й трафік», — розповіла Наталя Степанова. А Олександр Мороз, начальник управління процесингу міжнародних платіжних систем УкрСиббанку повідомив, що в банку за допомогою систем відеоспостереження отримують і колекціонують фотографії «кардерів — ходоків по банкоматах», якими діляться як з іншими банками, так і з правоохоронними органами.

Ловлять кардерів за допомогою існуючої в рамках ЕМА системи обміну інформацією Exchange-Online, що дає змогу відтворити точний маршрут злочинів і зібрати всю інформацію про злодія. А ось для профілактики шахрайства ЕМА лобіює зміни в законодавстві. У законопроекті Карпова серед іншого передбачається зобов’язати торгівців здійснювати операції з карткою тільки в присутності її держателя, а також заборонити еквайрам і торгівцям вимагати від карткодержателя ПІН-код.

Зміни хочуть внести й до Кримінального кодексу. У правоохоронних органах скаржаться на те, що підробляти платіжні картки простіше й прибутковіше, ніж займатися фальшуванням грошей. До того ж до карткових шахраїв застосовують менш жорсткі санкції. Тому згаданим законопроектом пропонується збільшити максимальний строк позбавлення волі для карткових шахраїв з п’яти до десяти років.

Утім, ані прогресивними технологіями, ані посиленням кримінальної відповідальності викорінити шахрайство не вдасться. Можна тільки прогнозувати зниження рівня таких злочинів до західноєвропейського в міру розвитку банківських технологій та накопичення українськими банками досвіду.

---

Як стати кардером

1. Знайти кабель, по якому банкомат обмінюється інформацією з банком
2. Скачати дані про транзакції клієнтів
3. Не потрапити під відеонагляд
4. Купити на радіоринку програматор для магнітних карток
5. Намагнітити й ембосувати дисконтну або клубну картку
6. Зняти гроші

Основні способи отримання конфіденційної інформації шахраями

1. Фішинг. Розсилання електронних листів, що закликають відвідати нібито банківську web-сторінку й обновити інформацію про свій рахунок. Як не дивно, карткодержателі багатьох країн, зокрема США, на це ведуться. Шахраї потім за допомогою цієї інформації обкрадають банки інших країн.

2. Змова з персоналом торгової точки. Певний час в Україні мали місце крадіжки за картками класу Gold, чиї власники засвітили в торгових точках свої ПІН-коди. Ще один трюк, застосовуваний у магазинах, — вставка в POS-термінал спеціального пристрою, що списує інформацію з магнітної смужки.

3. Встановлення спеціальних пристроїв у банкоматах. Насадки на клавіатуру, конверти, що вбудовують в отвір для карток, відеокамери — все це гіпотетично може використовуватися для того, щоб фіксувати й запам’ятовувати необхідну інформацію. В Україні поки що не практикується.

4. Перехоплення трафіку. Є два канали проходження інформації про картку — з торговельного підприємства до банку і з банкомата до банку. В обох випадках інформація може перехоплюватися дорогою.

Банкір, який побажав залишитися неназваним

— Якщо раніше в Україні було поширене шахрайство за участю персоналу торгових точок, то нині основне зло — скачування інформації в банкоматах.

На жаль, не всі українські банки шифрують трафік. Це дає можливість шахраям, підключившись до банкоматного кабеля, зчитувати й розшифровувати ПІН-коди. Для отримання інформації з карток використовують також фішинг і генерацію номерів карток за допомогою спеціальних комп’ютерних програм. Отримані дані переносяться на будь-який пластик з магнітною смужкою за допомогою картрідера.

Банкомат сприймає навіть білий пластик, якщо тільки його магнітна смужка містить справжні дані. Часто шахраї використовують підроблені картки іноземних банків. Наприклад, у практиці нашого банку був випадок затримки біля банкомата двох студентів, у розпорядженні яких була база даних американських банків.

Обговорити на форумi

На початок

Версія для друку		Відправити поштою
Оцiнити статтю		Ваш коментар