№ 19 вiд 12-05-2008
|
|
Український дiловий тижневик
"Контракти" / № 19 вiд 12-05-2008 |
Спецпроект
Карткові шахраї крадуть в українців у мережі близько $100 тис. на рік. Щоб скористатися чужими грішми, зловмисникові зовсім не обов’язково
підробляти платіжну картку
ШАХРАЙСТВО ДРУГЕ
ІНТЕРНЕТ-КАРДИНГ
«Блукаючи інтернетом, я якось натрапила на англомовну веб-сторінку, де прочитала спокусливе повідомлення: «Ви стали мільйонним відвідувачем сайту. Зв’яжіться з нами за телефоном, щоб отримати приз». Як приз пропонували $50 тис. Не довго думаючи, схопила слухавку і додзвонилася з першого разу. Мій співрозмовник говорив англійською. Він ще раз оголосив, що я маю отримати винагороду, яку перекажуть на мій рахунок, якщо я продиктую номер кредитної картки. Тоді, п’ять років тому, від шахрая, яким і був мій співрозмовник, мене врятувала лише відсутність кредитки. Платою за довірливість став рахунок за міжнародний дзвінок», — розповідає студентка Київського національного університету імені Тараса Шевченка.
Щоб скористатися чужими грішми, зловмисникові зовсім не обов’язково підробляти платіжну картку. Достатньо роздобути її реквізити в мережі й витягнути з неї гроші, наприклад, зробивши покупку в інтернет-магазині. Власники карток дізнаються про несанкціоновану транзакцію не відразу, а тільки отримавши банківську виписку з незнайомою угодою. За такою простою схемою, приміром, тільки Велика Британія щороку втрачає понад $200 млн.
Дізнавшись номер картки, термін її дії, прізвище та ім’я власника, а також СVV-код (тризначний код на картці для додаткового захисту кредитки), шахрай отримує доступ до чужого рахунка. Для підробки картки й отримання за нею готівки в банкоматах або торговельних точках цієї інформації недостатньо, але цілком достатньо, щоб розплатитися за покупку в мережі.
За словами одного з хакерів, бум карткового шахрайства в інтернеті у США та Західній Європі припав на 2000 рік. Зловмисники почувалися в мережі відносно безпечно. У той час мережевий кардинг за своїми обсягами не поступався операціям з підробленими картками, але останніми роками він дещо поступився позиціями, передусім через ускладнення механізмів переведення грошей у готівку в інтернеті.
В Україні випадки мережевого шахрайства з українськими картками почастішали 1,5-2 роки тому. Здебільшого таким бізнесом промишляють дрібні злочинці, які заробляють в інтернеті свої перші гроші й здобувають досвід. Правоохоронним органам важко відстежити такі злочини, оскільки жертва і зловмисник часто перебувають у різних країнах.
Де взяти
У період розквіту шахрайства з картками в інтернеті ловкачі добували реквізити карток, зламуючи бази даних клієнтів інтернет-магазинів або створюючи підставні віртуальні магазини, казино і порносайти. Так, наприкінці 1999 року відомому хакеру на прізвисько Максус (за даними ФБР, ним виявився Максим Іваньков) вдалося украсти з бази даних покупців великого американського віртуального торговельного центру CD Universe інформацію про номери 300 тис. кредиток. Він попався, після того як вимагав від СD Universe $100 тис. відступних за вкрадену інформацію. Компанія відмовилася співпрацювати з хакером, і дані про номери карток 25 тис. клієнтів з’явилися у вільному доступі в інтернеті.
За останні 5 років одним із найпоширеніших способів отримання реквізитів на Заході став фішинг. Шахраї створюють точні копії веб-сторінок, приміром, банків або платіжних систем, щоб змусити користувача ввести свої особисті, фінансові дані або пароль. «Для збирання інформації вони використовують електронні розсилки: у поштовому листі зловмисники, наприклад, повідомляють власнику картки, що на сервері банку нібито стався збій. Для відновлення бази даних клієнта просять заповнити анкету на сайті, при цьому в листі наводиться посилання не на офіційну сторінку сервісу, а на її точну копію. Так залишена користувачем інформація потрапляє до шахраїв», — розповідає начальник відділу моніторингу клієнтських операцій Укрсоцбанку Оксана Задорожна.
За даними дослідної компанії Cloudmark, щодня зловмисники роблять 250 тис. спроб роздобути інформацію за допомогою фішингу. У Великій Британії лише за один місяць онлайн-злодії атакують поштові скриньки британців трьома тисячами електронних листів. Але найбільше від фішингу потерпають у США, де за підсумками минулого року було зареєстровано майже 60% сайтів-клонів, створених зловмисниками для одержання інформації. У 2007-му, за даними дослідження компанії Gartner, США втратили від фішингу близько $2 млрд. У середньому фінансові збитки жертви фішингу становили $890.
«Цей спосіб винайшли близько 5 років тому американські банкіри, що мали доступ до дампів карток, які вони постачали кардерам. Оскільки дані без ПІН-коду коштували на ринку майже вдесятеро дешевше, вони вигадали спосіб, як виманювати у клієнтів їхні коди: розсилали власникам карток персональні листи від імені банку, вказуючи в них реальні ім’я і прізвище клієнта. Американці, не сумніваючись в автентичності послань, заповнювали всі необхідні форми», — розповідає кардер. — Потім цю ідею перейняли інтернет-шахраї».
Проте замість індивідуального листування вони почали здійснювати масові розсилки на тисячі електронних адрес, внаслідок чого щодня з’являється більш ніж тисяча унікальних фішингових повідомлень. Утім, останнім часом, щоб отримати інформацію хоча б про два номери картки, потрібно розіслати близько 1 млн листів. Ефективність збирання інформації через фальшиві веб-сайти знижується завдяки роз’яснювальній роботі банків. Тому зловмисники переключилися на поширення за допомогою листів вірусу «троян», який проникає в комп’ютер і передає секретні дані, щойно клієнт зв’язується зі своїм банківським рахунком.
Похід по магазинах
Кардери вигадали десятки схем використання даних карток в інтернеті. Зазвичай мережеві шахраї обнуляють рахунки, роблячи покупки в інтернет-магазинах. Цей спосіб був дуже популярний серед перших українських і російських кардерів, які купували ноутбуки, телефони і коштовності на західних віртуальних майданчиках. Торговельні платформи тоді лише експериментували з прийомом платіжних карток, і системи їх захисту були дуже слабкими. Зловмисники без особливих зусиль замовляли товар, зателефонувавши і продиктувавши номер картки, згенерований спеціальною програмою, а через кілька тижнів отримували продукцію поштою. Таким простим способом кардери заробляли сотні тисяч доларів на місяць.
У середині 90-х про нове явище написали кілька російських видань — магазини
пережили справжню атаку шахраїв з Росії та України. З 1996 року багато хто був
змушений припинити поставки товарів у Росію, а з 2000-го — в Україну. Крім
того, при покупці на суму більш ніж $20 менеджери магазинів почали ретельно
перевіряти клієнтів. У деяких магазинах перед відправкою товару покупця просили
надіслати відскановане зображення картки, паспорта та інших документів,
підробка яких потребує великих часових і фінансових витрат.
Нововведення ускладнили життя інтернет-шахраям, яким довелося винаходити нові способи крадіжок із чужих рахунків. Приміром, кілька років тому кардери створювали платні порносайти, реєстрували на них власників платіжних карток і списували з останніх абонплату. «Але цей вид шахрайства став менш популярним після впровадження послуги sms-банкінгу, що дозволяє клієнтові відстежувати стан рахунка», — розповідає кардер. Натомість процвітають інші, наприклад, можна отримати чужі гроші, програвши всі доступні на картці кошти в інтернет-казино або купивши у підставного продавця товар на віртуальному аукціоні. Для цього зловмисник реєструється на сайті інтернет-аукціону як продавець і виставляє на продаж товар, потім реєструється як покупець, використовуючи реквізити власника кредитної картки. Далі йому залишається лише виграти аукціон, запропонувавши за товар найвищу ціну. Покупку оплачують кредиткою, а товар нікуди не відправляють.
Дрібний злодій
Украдені дані карток продають на спеціальних сайтах, де їх і купують українські шахраї. Реквізити однієї картки без ПІН-коду коштують на ринку $1,5-2. Досвідчені інтернет-кардери, яких в Україні залишилося не так багато — близько тисячі, воліють працювати з американськими кредитками. На місяць вони заробляють до $5 тис.
Більшість карткових шахраїв у мережі — це дрібні злодії, як правило, хлопці 20 років. Начитавшись статей про кардинг, вони вирішили, що в інтернеті можна легко заробити. «Але вкрасти в іноземців юним злодіям зазвичай не вдається, оскільки схеми, описані в інтернеті, вже десять років як застаріли», — розповідає екс-хакер.
За словами президента міжбанківської системи електронної доставки й оплати рахунків Portmone.com Ігоря Горіна, дрібні шахраї дедалі частіше стали знімати гроші з рахунків співвітчизників. Спочатку вони переводили кошти в готівку через західні інтернет-магазини, а тепер користуються послугами українських віртуальних торговельних майданчиків, які з кінця 2007 року почали приймати до оплати пластикові картки. Банкіри без ентузіазму сприйняли цю новину. Вони дуже насторожено ставляться до розрахунків в інтернеті й радять своїм клієнтам спеціально для роботи в мережі зробити окрему картку з невеликою сумою доступних на ній грошей.
Попри зростання кількості злочинів, такі шахраї завдають порівняно
невеликих збитків, позаяк рідко роблять 
покупки на суми більш ніж $100-200.
Загалом оцінити обсяги шахрайства з українськими картками в інтернеті досить
складно. У нашій країні не зафіксовано жодного випадку затримання
інтернет-кардера. На думку екс-хакера Nerona, на українцях карткові шахраї
заробляють небагато — обороти їхнього бізнесу не перевищують $100 тис. на рік.
Ситуація може змінитися з розвитком інтернет-банкінгу — послуги, що дозволяє клієнтові керувати рахунком через мережу (блокувати його, купувати або продавати валюту, здійснювати розрахунки за товари і послуги). На Заході користувачі послуги найчастіше стають мішенню мережевих зловмисників. Атакам уже піддавалися клієнти російських банків. Приміром, торік користувачі «Альфа-клієнт On-line» російського Альфа-Банку двічі отримували листи нібито від імені банку з проханням підтвердити логін і пароль в онлайн-системі. Банкіри впевнені, що з поширенням послуги спроби роздобути конфіденційні дані частішатимуть.
Для України інтернет-банкінг — відносно нове явище. Зараз ним користуються щонайбільше 2% клієнтів фінустанов. «Розвиток інтернет-банкінгу не досяг у нашій країні таких масштабів, як в Америці чи навіть Росії, й українські фінустанови не фіксували випадків шахрайства у цьому сегменті», — стверджує начальник управління карткового бізнесу VAB Банку Олена Соболєва-Терещенко.
Утім, Україна, де кількість клієнтів інтернет-банкінгу щороку зростає на 20-30%, має високі шанси зіткнутися з такою проблемою, оскільки поки що не всі банки можуть гарантувати достатню безпеку послуги. Доступ до рахунка клієнта зараз захищають тільки логін і пароль, хоча у світі вже давно впроваджують флеш- або сеансові ключі (міні-програми, які ідентифікують електронний підпис клієнта).
Обізнана людина
Не спійманий — не злодій
Чому карткові шахраї у більшості випадків уникають покарання
Сергій ЛЕБІДЬ,
заступник начальника департаменту з боротьби з економічними злочинами МВС України
— У 2007 році правоохоронні органи виявили 205 злочинів у сфері електронних
платежів, 99 із них пов’язані з використанням підроблених карток. За
переведення в готівку грошей у банкоматах за фальшивими картками торік засудили
лише чотирьох осіб, двоє з них потрапили до в’язниці, ще двоє отримали строк
умовно.
Банки неохоче діляться з правоохоронними органами інформацією про зловживання. Факти шахрайства підривають їхній авторитет, тому його керівництво звертається до нас по допомогу в крайніх випадках, наприклад, у разі масового зняття грошей з рахунків групою шахраїв.
Зазвичай ми спочатку затримуємо людей, що знімали гроші в банкоматі або купували товари за фальшивими картками, і поетапно виходимо на виробників карток. Останніх виявити і покарати найскладніше. Сьогодні, згідно з чинним законодавством, притягнути людину до кримінальної відповідальності можна, лише зафіксувавши матеріальну шкоду, завдану потерпілому. А довести, що викрадення інформації про картку та її виготовлення призвело до втрат, вдається не завжди.
Ще складніше викрити шахрая, що використовував картку для розрахунку в мережі. Сліди таких злочинів важко фіксувати, оскільки потерпілий і зловмисник зазвичай є громадянами різних країн. Це ускладнює документування злочину і знижує шанси притягнення шахрая до відповідальності.
Зловмисників, що працюють через інтернет, за останні роки не арештовували жодного разу. По-перше, до нас із цього приводу практично не звертаються. По-друге, суми, які шахраї знімають із карток через інтернет, невеликі. Порушити кримінальну справу за відповідною статтею можна, якщо збиток становить щонайменше 1 тис. грн.
|