Карта есть, а денег нет

​

Активизация защитных мер против скимминга на Западе способствует тому, что злоумышленники ищут новые рынки и приходят в том числе и в Россию. Как работают скимминговые устройства, выяснял портал Банки.ру.

Банкиры многое делают для того, чтобы злоумышленникам становилось с каждым годом все сложнее воровать деньги с пластиковых карт. Но это вовсе не значит, что преступники бросили это дело. Им пришлось лишь освоить новые методы работы и смириться с меньшей нормой прибыли этого своего бизнеса. Одним из самых изощренных способов мошенничества с пластиковой картой является скимминг — копирование данных, записанных на магнитную полосу карты.

Менеджер по продвижению программных решений компании Wincor Nixdorf Russia Игорь Королев считает тему скимминга в России сейчас актуальной. «Год-два назад к нам обращались крупнейшие и крупные банки, сейчас стали обращаться даже сравнительно небольшие (по размеру банкоматной сети). Основная причина очевидна: после применения активных мер по защите от скимминга на Западе злоумышленники ищут новые рынки и приходят в том числе и в Россию».

Скимминговое устройство представляет собой накладку на картоприемник банкомата и содержит электронику, предназначенную для считывания данных магнитной полосы и хранения или передачи этих данных по радиоканалу. Выглядеть скиммер может как угодно, и держатель карты крайне редко может его распознать, тем более что обычно скиммер маскируется под штатную накладку на картоприемник конкретной модели банкомата. Практически всегда скимминговое устройство комплектуется накладкой на клавиатуру или миниатюрной беспроводной камерой. Это необходимо злоумышленникам для того, чтобы узнать ПИН-код карты.

Защита банкомата

Устройства, применяемые банками для защиты своих АТМ, бывают трех типов: пассивные, активные и проактивные.

Пассивные средства защиты обходятся банкам относительно недорого и представляют собой пластиковые накладки на картоприемник. Такие накладки имеют особую форму, исключающую установку чего-либо поверх них. Большинство существующих банкоматов оснащаются такими накладками.

Олег Куришев, начальник департамента платежного бизнеса банка «Открытие», рассказал, как его кредитная организация защищает свои АТМ: «В банкоматах «Открытия» используются пассивные антискимминговые устройства, то есть накладки с измененным профилем. На данный момент рассматривается предложение по использованию активных средств антискимминга».

Увы, этим банк может лишь слегка усложнить жизнь кардеров, но не защититься от них. Мало того что массово выпускаются скиммеры, отлично встающие поверх антискимминговых накладок (и имитирующие их внешний вид), так еще нередки случаи встраивания скимминговой электроники непосредственно в такую накладку.

В накладку из прозрачного пластика ничего не спрячешь — если вы видите ее на банкомате, можно быть уверенным, что ваши деньги в безопасности. Но кардеру и такая накладка не помеха, при желании он просто оторвет ее с помощью отвертки или фомки и установит свой скиммер, имитирующий обычную непрозрачную накладку.

«Я снимал такой антискиммер, держится он очень крепко, каждый раз по-разному, первый раз отдирал, ножом залез в щель и отрезал, там стойкий клей какой-то был. В другой раз так же все сделал, но там уже четыре болта были, и антискиммер пополам разлетелся, когда начал его выдергивать», — пишет кардер на одном из тематических форумов об устройстве на банкомате украинского ПриватБанка.

«Сейчас (держатели карт) настолько привыкли, что АТМ выглядят абсолютно по-разному и что их постоянно модифицируют, что налепи туда что угодно — будет работать», — добавляет другой кардер.

Активные средства защиты стоят значительно дороже пассивных, но и эффективность их выше. По сути, это небольшие генераторы электромагнитных помех, устанавливаемые внутрь банкомата вблизи от картоприемника. Их излучение мешает работе скиммеров и препятствует передаче данных карты кардеру. В случае обнаружения в защиты такого рода кардер может отказаться от задуманной аферы либо применить специальный скиммер, с экранированной электроникой, сохраняющий данные на флеш-память.

Наконец, самые эффективные, но дорогие средства антискимминга — это разнообразные системы проактивной защиты. Они рассчитаны не на усложнение работы кардера, а на обнаружение каких-либо несанкционированных действий с банкоматом. Вибрационные датчики позволяют определить сам процесс установки скиммера, а электромагнитные выявляют размещение электронных устройств в зоне картоприемника. Если система получает подозрительные показания датчиков, работа банкомата блокируется, и отправляется сигнал в службу безопасности банка.

По данным, полученным от пресс-службы ПриватБанка, вся их российская сеть (1 910 банкоматов) оснащена активными средствами защиты: «ПриватБанк и его российский дочерний Москомприватбанк активно применяют средства защиты банкоматной сети. Сегодня у нас работают две системы антискимминга: активная, анализирующая магнитное поле в районе кардридера, и пассивная, в виде защиты в цепи электропитания питания кардридера. Также устанавливается антискимминговая накладка, несанкционированное удаление которой повлечет за собой блокировку работы банкомата».

Как сообщил ПриватБанк, эта схема защиты доказала свою эффективность: «Такими системами оснащены все наши АТМ в России. Как результат, за последние полгода не было зафиксировано ни одной попытки скимминга на банкоматах ПриватБанка. Была одна попытка снять нашу защиту, в результате которой банкомат автоматически был заблокирован».

Кардерская мафия

«Фактически мы имеем дело с налаженной индустрией и очень хорошо организованной преступностью. Гораздо более организованной, нежели большинство коммерческих организаций. Если десятилетия назад этим занимались гики-одиночки, то сейчас это нормальный структурированный процесс, четко определяющий роли, ответственности и размеры вознаграждений», — говорит Игорь Королев.

Процесс скимминга начинается с производства оборудования — собственно скиммеров и энкодеров (устройств для записи данных карты на магнитную дорожку). Задача поставщика заключается в анализе геометрии популярных моделей банкоматов и антискиммерных насадок. Кроме того, те же люди изготавливают поддельные POS-терминалы, служащие не для выполнения трансакций, а для считывания данных на магнитной ленте карты и записи ПИН-кода. Оборудование реализуется через Интернет. Заметим, что разработчики, производители и продавцы таких устройств практически ничем не рискуют. Формально их деятельность по закону не преследуется.

Приобретают эту электронику представители второй касты кардеров — «поставщики». Называются они так потому, что поставляют данные, считанные с магнитной ленты карт («дамп»), и ПИН-коды дальше по цепочке. Именно они занимаются планированием установки и снятия скиммеров, они дежурят рядом с установленным скиммером и загружают с него дампы в процессе работы или после снятия. Заметим, что они также стремятся избежать риска и лично скиммеры не устанавливают и не снимают — этим занимается низшая кардерская каста (дропы — на кардерском жаргоне).

Наибольшей популярностью среди поставщиков дампов пользуются банкоматы, расположенные в проходных местах, обычно в торговых центрах и на центральных улицах городов. Чем больший поток прохожих идет мимо банкомата, тем больше прибыль и проще незаметно установить и снять скиммер.

Полученная информация, включающая дамп и ПИН, передается так называемым заливщикам — людям, записывающим полученную информацию на белый пластик. Также они занимаются проверкой работоспособности полученных карт-клонов и определением баланса на счете держателя карты. Это достаточно рискованная операция, так как требует личного визита к банкомату и выполнения операции. После проверки карты передаются дропам, на этот раз тем, кто непосредственно их обналичивает. Именно дропы забирают деньги из банкоматов и рискуют своей свободой.

Тут есть нюанс — заливщики и дропы практически никогда не работают в той стране, где расположен банк-эмитент карты. Причина проста: отечественные правоохранительные органы не слишком трепетно относятся к финансовым потерям Bank of America. Обратное тоже верно — иностранная полиция не склонна перенапрягаться из-за фрода по картам отечественных банков.

Помимо налаженной цепочки кражи денег с дампов, сопровождаемых ПИН-кодами, существует и рынок дампов без ПИН-кода. Чаще всего это брак работы скиммеров, получающийся в результате неудачной установки камеры или в случае, если держатель карты предусмотрительно прикрыл клавиатуру рукой при наборе ПИН-кода. Получить с голого дампа деньги значительно сложнее, но и это возможно, обычно с помощью покупок в небольших магазинах. Не в каждом магазине позволят оплатить покупку без ввода ПИН-кода, но в целом никакого риска для кардера в этом нет. Правда, ему придется раскошелиться на изготовление достоверно выглядящей карты.

Карты бывают разные

Далеко не со всеми картами будет работать кардер. Достаточно широко известен факт, что карты, оснащенные EMV-чипом, фактически неуязвимы для скимминга. На самом деле это не совсем так, хотя и близко к истине.

Пока что не существует карт, на которых нет магнитной полосы, она присутствует даже на картах с EMV-чипом. Причиной этого является то, что во многих странах до сих пор существует немало банкоматов и платежных терминалов, не умеющих работать с EMV-чипами. Особенно это касается стран, где пластиковые карты давно вошли в обиход и получили очень широкое распространение, например США.

По правилам платежных систем Visa и MasterCard, если эквайрер совершил операцию с карты с EMV-чипом, используя лишь магнитную ленту, ответственность по фроду ложится на него. Потому большинство банков программируют свои старые банкоматы и терминалы так, чтобы они отказывались от приема карт с чипами, и это существенно затрудняет работу кардеров, но не делает ее невозможной. Впрочем, работа с такими картами оказывается для кардеров попросту невыгодной, поскольку до сих пор многие банки выпускают карты без EMV-чипов.

По данным «Обзора о состоянии и перспективах внедрения платежных карт с микропроцессором стандарта EMV», выпущенного Банком России в 2013 году, отечественный рынок лишь начинает переходить на эмиссию EMV-карт. 49,5% эмитентов вовсе не выпускают карт с EMV-чипом, а 31,3% выпускают карты как с чипом, так и без них.

На данный момент в этом направлении есть определенные сдвиги. Как сообщила пресс-служба Visa, по данным компании, «за период с мая по июнь 2013 года больше половины трансакций по картам Visa в нашей стране было осуществлено с использованием карт, оснащенных чипом, и доля таких трансакций продолжает стремительно расти».

Как защитить свои деньги

В целом распознавание скиммера задачей держателя карты не является. Именно банк должен обеспечить безопасность своих карт. На практике, даже если держатель в конце концов вернет свои деньги, на это может потребоваться немало времени.

«В Европе, например, согласно требованиям PSD (Payment Services Directive, документ Еврокомиссии, регулирующий работу платежных систем), счет клиента должен быть «возвращен в исходное состояние» немедленно после заявления о мошенничестве. То есть с обязательным аннулированием всех штрафов и комиссий, если таковые были начислены в результате операции. Посмотрим, как подобные нормы будут выполняться в России с начала следующего года», — говорит Игорь Королев.

Так или иначе, а кое-какие правила соблюдать держателю карты будет нелишне.

Перед тем как воспользоваться банкоматом, проверьте клавиатуру и накладку на картоприемник. Кардеры крепят свою аппаратуру не «насмерть» (им же ее через несколько часов снимать), а на двусторонний скотч или некрепкий клей. Главное — не перестараться при этом и не вызвать срабатывание датчиков вибрации, иначе придется пообщаться со службой безопасности банка.

Не стоит выпускать карту из рук при оплате счета в ресторане. Если вы отдали карту официанту, а он принес ее обратно вместе с мобильным терминалом — вполне вероятно, что он уже провел оплату с помощью POS-терминала ресторана, а вам принес поддельный терминал, который и дамп считает, и введенный вами ПИН запомнит.

Контролируйте состояние своего счета и не пренебрегайте услугой СМС-информирования. Большинство банков устанавливают достаточно ограниченные лимиты для операций в других странах, а значит, после получения уведомления об операции, которую вы не совершали, или уведомления об отказе в операции из-за превышения лимита вы сможете успеть заблокировать карту и сохранить остаток денег на счете.

Главное же — не стоит использовать пластиковую карту для накопления. Это платежное средство, и правильнее всего держать на ней лишь ту сумму, которая необходима вам на текущие расходы.

Михаил ДЬЯКОВ, Banki.ru