Миллионы на защиту

Противостояние брони и снаряда — скиммеров и антискиммеров — выходит на новый виток. Вот только скиммеры все дешевеют, а антискиммеры — наоборот. Эксперт в области антискимминга поделился с порталом Банки.ру своим взглядом на проблему эффективной защиты банкоматов.

Есть куда расти

На портале Банки.ру было немало публикаций на тему скимминга и защиты от него, рассказывали и о новейших технологиях в этой области, продвигаемых крупнейшими поставщиками банкоматов и защитных средств. Я хотел бы изложить альтернативный взгляд на проблему противодействия скиммингу.

Риску скимминговых атак подвержены все без исключения банки, имеющие, пусть даже самую небольшую, сеть устройств самообслуживания (банкоматов или терминалов). Кардерам нужно лишь, чтобы на аппарате был считыватель карт. Дальше — дело техники. Как показывает статистика, охотники до чужих денег работают очень успешно.

За год в США фиксируется порядка 20 тыс. скимминговых атак, не лучше обстоят дела и в Европе. При сравнимом с США количестве атак, потери европейский банков составляют 200—300 млн евро в год.

В России, в связи с относительно молодым рынком финансовых услуг, банкоматным и терминальным сетям есть куда расти. Кардерским организациям пока тоже есть к чему стремиться: так, в Европе на тысячу банкоматов приходится 19 случаев скимминга, в то время как у нас — всего три. Тем не менее на сегодняшний день в стране насчитывается уже более 180 тыс. банкоматов. То есть и в России уже сформировалось достаточно обширное поле для деятельности кардеров.

В последние годы мы наблюдаем стабильный рост числа скимминговых атак в нашей стране. Это обусловлено как удешевлением технологии — скиммеры дешевеют с каждым годом — так и относительной безопасностью этой части кардерского бизнеса. Дело в том, что в УК РФ не предусмотрено никакого наказания за скимминг. Да, за изготовление поддельной карты и получение денег по ней кардера могут арестовать и даже осудить. Но обычно деньги таким путем получают уже совсем другие люди.

Лекарство дороже болезни

Уже сейчас потери российских банков от скимминга исчисляются сотнями миллионов рублей в год. И на противодействие этому виду мошенничества банки тратят сопоставимые суммы. Иначе нельзя — мошенничество такого рода не только наносит прямой ущерб банку и его клиентам, но и негативно отражается на репутации кредитной организации. К примеру, по сообщению некоторых СМИ, сравнительно небольшой Транскредитбанк вкладывал в средства комплексной защиты от 10 млн до 20 млн рублей в год.

Такой уровень затрат связан с высокой стоимостью закупки и установки активных комплексных мер защиты. Эффективность стоит дорого.

Беда в том, что как раз эффективность подобных средств вызывает немало вопросов. Поставщики банкоматов поставляют защитные средства в качестве опции. Банк может заказать «голые» банкоматы, а может оснастить их антискиммерами по прайс-листу поставщика. Естественно, поставщики считают своей задачей убедить банки в эффективности наиболее сложных и дорогих средств. Более того, они утверждают, что только так и можно защититься от рисков.

Себестоимость активных антискимминговых устройств не превышает 200—250 евро. При этом в списке опций при закупке банкомата стоит цена уже от 800 до 2 000 евро, плюс установка и сервисное обслуживание. Очевидно, что прибыльность защитных средств такого рода очень высока как для поставщика банкоматов, так и для производителя самих устройств. А вот для банка все не так радужно.

Преступные гении

На кардерских форумах можно прочитать немало обсуждений разного рода активных антискиммеров. Как ни удивительно, эти изощренные устройства зачастую не доставляют мошенникам особых хлопот. По большей части принцип работы активных антискиммеров состоит в генерировании активных помех в ближней зоне, которые портят запись дампа карты в скиммере. Но кардеры уже научились с этим справляться.

Как сообщает на форуме один из кардеров, «глушить активный антискиммер не нужно — от его шумового поля скиммеру можно избавиться тремя методами — компенсационной катушкой, магнитной экранировкой и компьютерной обработкой записанного аналогового сигнала. Можно и все три метода сразу применить, хотя, чтобы нейтрализовать а-ля TMD6000 (речь идет о популярной модели активного антискиммера производства компании TMD Security. — Прим. ред.), хватит и первого». «Аплодирую маркетерам TMD и аналогичным, которые умудряются втюхивать банкам эти бестолковые изделия за бешеные деньги», — добавляет второй знаток.

Активные антискиммеры также глушат и радиоканал, использующийся скиммерами для передачи дампов злоумышленнику. Тут тоже сложностей не возникает, экранированный скиммер, сохраняющий дампы на флеш-память, в таком канале не нуждается. Кардерская мысль идет еще дальше. Как пишет один из кардеров, «если нужен радиоканал, то, конечно, сложнее, но… можно подумать не о глушении поля антискиммера, а о его модуляции».

Там же можно найти свидетельства того, что антискимминговое оборудование может доставить банкомату даже больше проблем, чем скиммеру: «У меня активный антискимминг чуть не пришиб ридер. Поставил, вроде все нормально. Через 40 минут и антискимминг умер, и ридер чуть не сдох, карточка не пихается, банкомат периодически выдает на экран «Ваша карта не читается». По всей видимости, причина в неправильной установке либо в неисправном антискиммере».

Возможны варианты

Выше я показал, что дорогие и неэффективные средства защиты крайне выгодны всем (даже кардерам). И этот банкет идет за счет банков. То есть, в конечном итоге, за счет нас, клиентов. К счастью, монополии на этом рынке нет, и можно уже найти решения, способные успешно противодействовать скиммингу при многократно меньших затратах.

Сторонний производитель в большинстве случаев сам не в состоянии продвигать свою разработку — не хватает ресурсов, да и рынок относительно узок. Поэтому при наличии интересной разработки разработчик просто несет ее производителю банкоматов или крупной сервисной компании, и там она может «зависнуть» на долгие годы. Именно потому, что дешевое решение выгодно только банкам, которые, увы, в этой ситуации находятся по другую сторону баррикад.

Мы разработали и самостоятельно продвигаем один из самых простых и, по нашему мнению, эффективных способов противодействия скиммингу — особую антискиммерную накладку iRMEX. В последние годы антискиммерные накладки стали практически обязательны для банкоматов, особенно в «горячих точках» — Москве и Петербурге. Но обычная накладка давно уже не спасает от скимминга — кардеры освоили производство скиммеров, устанавливающихся прямо на них. Такой скиммер, внешне практически неотличимый от антискиммерной накладки, содержит внутри всю необходимую электронику.

Наше «ноу-хау» состоит в особой форме накладки, сильно отличающейся от штатной, поставляемой производителем банкомата. Теоретически и для нее можно изготовить скиммер (хотя с размещением электроники у разработчика будут серьезные проблемы), но зацепить пальцами и извлечь свою карту из такого скиммера держатель уже не сможет. Банкомат через какое-то время проглотит карту, пользователь обратится в службу поддержки, и, таким образом, скиммер будет удален сразу после установки, на первой же карте. Обойти это практически невозможно, кардерам придется выламывать нашу накладку и ставить свою. Сделать это легко, быстро и тихо не получится — она крепится изнутри банкомата и изготовлена из того же пластика, который используется при изготовлении бронированных стекол.

Помимо этого, накладка прозрачная, за счет чего пользователи банкомата и сотрудники банка всегда могут удостовериться в отсутствии в ней скимминговой электроники.

Денежный баланс

Одним из первых наших партнеров стал банк ВТБ 24, специалисты которого скрупулезно подошли к вопросу защиты своих банкоматов. Совместно с сотрудниками банка мы провели ряд экспериментов и разработали уникальную геометрию накладки, препятствующую установке скиммера. При конечной стоимости накладки iRMEX менее 1,5 тыс. рублей и полном отсутствии каких-либо эксплуатационных расходов, ВТБ 24 свел к нулю риск скимминга для своих клиентов. Более чем за год не было ни одного случая скимминга на банкоматах, оборудованных накладками iRMEX.

Прикинем порядок расходов на примере нашего проекта с Транскредитбанком. Оснащение 1 200 банкоматов «недорогими» активными антискиммерами обошлось бы банку почти в 30 млн рублей (или даже дороже). Стоимость наших накладок составила 1,8 млн рублей — колоссальная экономия налицо.

Эффективность столь простых, не сказать примитивных, средств, можно попытаться оспорить. Действительно, решительный кардер может ночью выломать нашу накладку и установить на ее место похожий, но непрозрачный скиммер — все равно держатели карт в большинстве своем не знают, как должна выглядеть настоящая накладка. В качестве иллюстрации можно привести случай из практики одного крупного банка. Один из клиентов, попытавшись воспользоваться банкоматом, на котором был установлен скиммер, случайно задел вредоносное устройство так, что оно попросту отвалилось. Посчитав, что он поломал банкомат, клиент старательно прикрепил скиммер на место и, удовлетворенный результатом, сунул в него свою карту.

Тем не менее с результатами первых внедрений не поспоришь — после внедрения накладок iRMEX в банкоматной сети Транскредитбанка не было зафиксировано ни одного случая скимминга.

Разумеется, кардеры не лыком шиты и при необходимости придумают средство и против этой накладки. Но, судя по нашей статистике, у кардеров просто нет в этом необходимости. Мошенники просто работают с теми банкоматами, где им проще, без особых проблем справляясь с активным антискиммингом и обходя стороной аппараты с накладкой iRMEX. Это, на мой взгляд, дает банкам серьезный повод задуматься об эффективности своих трат на защиту банкоматной сети.

Дмитрий САЛИВОН, генеральный директор компании «Ирмекс», для Banki.ru