На сегодняшний день самым популярным видом мошенничества в сфере платежных карт является скимминг (перекодирование магнитной полоски на задней части карты).. Сегодня от скимминга практически не существует какой-либо защиты, так как карта изготавливается мошенником с действующей фотографией и подписью, а на самом пластике эмбоссируется номер чужой действующей карты. Поскольку фото на карте и подпись соответствуют паспортным данным предъявившего карту (мошенника), у кассира не возникает никаких сомнений. При этом сумма денежных средств списывается с банковского счета держателя карты, с чьей магнитной полосы скопировали оригинальные данные.
Наиболее эффективными технологиями банковской борьбы со скиммингом являются: физический мониторинг, пассивный анти-скимминг и активный анти-скимминг. Физический мониторинг банкоматов включает в себя периодический осмотр банкомата сотрудниками банка, инкассаторами, либо специалистами сервисной службы на аутсорсинге. Осмотр обычно производится по графику с заполнением специального журнала проверок, чтобы в случае нахождения инородного устройства выявить промежуток времени, в течение которого был риск компрометации карт [1]. Физический мониторинг может казаться самым дешевым, однако в пересчете на потраченное время сотрудников и вероятность мошенничества между проверками, по факту оказывается самым ненадежным и дорогим способом борьбы со скиммингом.
Пассивный анти-скимминг. Банк устанавливает на щель картоприемника специальные анти-скимминговые накладки, препятствующие установке посторонних устройств. Накладка может быть подключена к специальному датчику, который срабатывает в случае попытки мошенника снять анти-скиммер с банкомата. Датчик может состоять из обычных проводов, которые рвутся при снятии анти-скиммера с банкомата, либо пары магнит + геркон (при котором контакты геркона реагируют на удаление анти-скимминговой накладки со встроенным магнитом). При этом, в процессе удаления анти-скиммера, наличие герконовой пары мошенник может не заметить, что повышает шансы его поимки. Недостаток пассивного анти-скимминга в том, что многие держатели карт, начитавшись и насмотревшись страшилок про банкоматное мошенничество, увидев постороннее устройство боятся (и кстати вполне оправданно) пользоваться таким банкоматом.
Частично решить данную проблему удается путем размещения специальной наклейки, где изображен правильный вид картоприемника. Технологии шагнули далеко вперед и изготавливаемые мошенниками скиммеры трудно отличимы от анти-скиммеров даже для сотрудников банка. Пассивный анти-скимминг — это бюджетный, компромиссный, но не лучший вариант борьбы со скиммингом [3].
Активный анти-скимминг. Это самый дорогой, но эффективный способ борьбы со скиммингом. Устройство располагается внутри банкомата и незаметно снаружи. Активный анти-скиммер контролирует пространство перед банкоматом и позволяет моментально выявить несанкционированную установку на него посторонних устройств. Анти-скиммер может также создавать радиопомехи в области щели картоприемника, препятствующие работе посторонних электронных устройств. Датчики анти-скиммера позволяют анализировать электромагнитное поле в зоне размещения картридера, ПИН-клавиатуры и монитора и в случае резкого изменения напряженности поля (включения излучающих устройств при радиопередаче, установка постороннего оборудования), устройство подает команду на управляющий блок банкомата, который выводит банкомат из режима обслуживания клиентов и может выполнять дополнительные действия (отправка команды, SMS, оповещение службы охраны и мониторинга и т. д.) [2].
Фишинг — один из самых популярных и простых видов мошенничества. В этом случае мошенник незаконно завладевает конфиденциальной информацией о реквизитах платежной карты и ее держателя, включая PIN-код. Данная информация добывается с помощью поддельных web-сайтов, а так же автоматически посредством телефона. В этом случае мошенники настраивают телефонный автонабиратель, который круглосуточно набирает номера в определенном регионе. Когда потенциальная жертва снимает трубку, автоответчик предупреждает, что его карта находится в руках мошенников, и просит срочно перезвонить по указанному номеру. Номер, как правило, четырехзначный и очень похож на номера центров экстренной помощи (чтобы исключить возможные сомнения владельца карты). На другом конце провода «компьютерный голос» вежливо просит пройти сверку данных и ввести с клавиатуры телефона секретный код карты. Параллельно выясняются номер счета, полное имя и адрес держателя, срок действия его карты. Успокоенный владелец кладет трубку, а спустя некоторое время обнаруживает, что остаток на его счете, по которому отражаются операции с картами, нулевой (либо исчерпан весь кредитный лимит, если карта кредитная) [5]. Схема мошенничества, использующая фишинг на сайтах очень проста — создается интернет-магазин с демпинговыми ценами, который собирает сведения о картах клиентов (номер карты, срок действия, код CVV2/CVC2, Sequre код). Благодаря активной рекламе и привлекательным ценам, многие клиенты беззаботно оставляют данные о своих картах.. Собрав данные, мошенники опустошают скомпрометированные карты через реальные интернет-магазины и Интернет-ресурсы. Фишинг может быть опасен как интернет-банкам, так и платежным страницам интернет-магазинов, которые не поддерживают работу через процессинговые компании. Фишинговый сайт может представлять собой имитацию «правильной» системы. К примеру, вместо lasos.ru там будет l-a-s-o-s-s.ru или вместо autopay.com там будет указано auto-pay.com. Это самые простые случаи, но мошенники могут использовать и другие спецсимволы, которые имитируют правильный домен платежной системы. Конечно, внутренний аудит помогает выявлять подобные сайты «двойники», но на это уходит несколько дней, за которые мошенники успешно успевают провести свои «беспрецедентные акции» и овладеть сотнями тысяч реальных данных карт. При первичной оплате на незнакомом сайте, клиент даже не догадывается, как на самом деле должна выглядеть подлинная страница оплаты. В результате наибольшее распространение получил вид мошенничества, при котором пользователя пытаются перенаправить для совершения платежа на фишинговую страницу с целью получения доступа к конфиденциальным данным пользователей — логинам и паролям, номерам карт, срокам их действия, CVV/CVC и ПИН-кодам. При этом сайт «двойник» находится под полным контролем мошенников, которые с легкостью тратят деньги с полученных карт в реальных интернет-магазинах. При этом разница между настоящей страницей оплаты и «фейковой» будет заметна далеко не с первого раза.
Ливанская петля так же является достаточно распространенным видом мошенничества. В картоприемник банкомата вставляется специальный блокиратор, который, как правило, изготавливается из обычной фотопленки. Блокиратор (ливанская петля) препятствует возврату карты из банкомата. Клиент вводит карту в щель банкомата, карта застревает в блокираторе и клиент не может ее получить обратно. Обычно в подобных случаях клиент думает, что в банкомате произошел сбой и находится в смятении, не зная, что делать. Рядом «случайно» оказывается дружелюбный «помощник», который может быть похож на сотрудника банка, либо просто «опытного» прохожего, который начинает активно помогать клиенту в проблеме. Доброжелатель начинает изображать бурную деятельность по спасению карты, жмет на различные кнопки и в один из моментов предлагает ввести ПИН-код. Как вариант мошенник может предложить ввести ПИН-год одновременно с нажатием одной из клавиш (к примеру «Ввод», или «Отмена»). Если клиент поддается на аферу и вводит ПИН-код, «доброжелатель» запоминает его и некоторое время якобы продолжает «спасать карту». Получить карту обратно, обычно, так и не удается и «доброжелатель» говорит, что сделал все, что мог и рекомендует обратиться в банк с заявлением на возврат карты. Клиент уходит, а мошенник вынимает из банкомата ливанскую петлю вместе с картой и используя запомненный ПИН-код за несколько минут опустошает карту, используя тот же банкомат [4]. Если узнать PIN-код и снять деньги так и не удалось, мошенник опустошает карту в ближайшем магазине. Модифицированные приемники призваны бороться с данным видом мошенничества, фиксируя карту в картоприемнике до приезда инкассации или представителей банка. Вынуть карту из картоприемника в таком случае просто невозможно, тем самым банкомат блокируется. Так как подобного рода устройства дороже обычных, не все банки их используют и держателям карт необходимо самостоятельно проявлять бдительность при пользовании банкоматами. Если банкомат захватил вашу карту, осмотрите щель картоприемника и если увидите посторонние предметы, торчащие из щели (концы пленки, проволоки, лески и т. п.), попробуйте их вынуть, возможно, вам удастся вернуть карту самостоятельно. Если к вам подошел «доброжелатель», желающий помочь в освобождении карты, ни при каких обстоятельствах не называйте ему и не вводите ПИН-код в его присутствии. Прежде чем покинуть банкомат, заглотивший вашу карту, заблокируйте ее по телефону вашего банка (для этого желательно иметь его в памяти мобильного телефона) и не покидайте банкомат, пока сотрудник банка не подтвердит, что карта заблокирована. После получения карты, ее можно будет разблокировать, либо перевыпустить [1].
Литература:
- Богданова С. Ю. «Борьба с мошенничеством в сфере платежных карт» // Банковское дело. 2008. № 10. С. 71–73.
- Басов И. А. «О мошенничестве в сфере платежных карт» Экономика и управление в XXI веке: тенденции развития. 2015. № 23. С. 99–103.
- Павленко Д. С., Красноперов Е. В. «Особенности мошенничества в сфере платежных карт» Электронный научный журнал. 2016. № 3 (6). С. 348–351.
- Ливанская петля. Что это такое? В чем опасность? Электронный ресурс: http://www.ami-tass.ru/vopros/livanskaya-petlya-chto-eto-takoe-v-chem-opasnost
- Фишинг. Электронный ресурс: http://security-zone.ru/tag
