Данный факт подтверждается и статистикой - объем мошенничеств через банкоматы на несколько порядков ниже аналогичного показателя для торговли. И все-таки последние сообщения платежных систем, основанных на использовании пластиковых карт, говорят о том, что мошенники постепенно подбираются и к банкоматам, пишет корпоративный Бюллетень СТБ КАРД.

До недавнего времени было несколько типичных способов использования банкомата с целью совершения мошенничества. Кратко опишем эти способы.

1. К сожалению, не смотря на многочисленные разъяснения, многие владельцы карт все еще записывают значения своего ПИН-кода на карточке. Тогда очевидно, что в случае кражи/потери карты (наиболее массовый вид карточного мошенничества, составляющий около 35% всего объема мошенничеств) у вора оказывается и карта, и ПИН-код.

2. Другой способ банкоматного мошенничества – так называемое дружественное мошенничество. Суть его состоит в том, что когда-то карта вместе с ПИН-кодом давалась члену семьи или другу для выполнения операции через банкомат. Потом карта использовалась в банкомате уже без санкции ее владельца.

3. «Взгляд через плечо». Стоящий позади владельца карты человек может подсмотреть введенное значение ПИН-кода.

4. «Ливанская петля». Почти цирковой способ мошенничества, при котором ничего не подозревающий владелец карты вставлял ее в заранее «обработанный» мошенником банкомат. «Обработка» состояла в том, что в прорезь картридера банкомата засовывался кусок фотопленки, концы которого укреплялись на внешней стороне банкомата. Фотопленка после совершения операции не давала возможность карте выйти из картридера.

Мошенник оказывался неподалеку и предлагал владельцу карты свою помощь. Он рекомендовал владельцу карты вновь ввести свой ПИН-код, а когда из этого ничего не получалось, вводил его сам, говоря, что уже видел такие случаи раньше и при повторном введении ПИН-кода карта должна выйти из банкомата.

Карта, конечно, не возвращалась, а мошенник искренне говорил ее владельцу придти на следующий день в банк (махинация проводилась в часы, когда отделение банка уже не работало), и карта ему будет возвращена. Затем мошенник извлекал пленку вместе с картой из банкомата и опустошал счет владельца карты.

5. Поддельные банкоматы. Мошенники использовали специально изготовленные устройства, эмулирующие банкоматы и предназначенные для считывания информации о магнитной полосе карты и ПИН-коде. Следует отметить, что с более активным применением по некоторым картам ПИН-кодов в POS-терминалах (в том числе имеются в виду микропроцессорные карты со статической аутентификацией) задача получения необходимой для мошенничества информации существенно упрощается.

6. Утечка информации о ПИН-кодах из процессинговых центров.

Большой резонанс вызвала, появившаяся недавно в прессе информация о новом хитроумном устройстве, используемом российскими «потрошителями банкоматов». Ноу-хау мошенников - комбинация из накладного картридера и микрокамеры или накладной клавиатуры.

Накладной картридер – устройство, прикрепляемое к картридеру банкомата и использующееся для считывания информации с магнитной полосы карты. Он незаметен для неискушенного в банкоматном вопросе владельца карты и способен записывать данные с магнитной полосы от нескольких десятков до полутора сотен карт.

Микрокамера - это оптическая камера, устанавливаемая в верхнем углу банкомата или в ином месте и направленная на клавиатуру банкомата с целью записи последовательности вводимых клиентом цифр при наборе ПИН-кода. Альтернативой микрокамере является клавиатура, накладываемая поверх обычной клавиатуры банкомата и запоминающая значения вводимых ПИН-кодов.

Что сегодня может предложить отрасль пластиковых карт для борьбы с последним из описанных видов мошенничеств? В первую очередь, конечно, активное применение организационно-технических мер - камеры наружного наблюдения за банкоматом и регулярные осмотры (обычно банкомат «обрабатывается» мошенниками на период нескольких часов, потом накладные устройства с банкомата снимаются) банкомата затруднят мошенникам жизнь.

В то же время, очевидно, организационно-технические мероприятия не решат проблемы в целом. Решением проблемы явятся микропроцессорные карты. Известно, что при использовании микропроцессорных карт операции в банкоматах, по-прежнему, будут осуществляться в режиме реального времени.

При этом, помимо ПИН-кода будет использоваться взаимная аутентификация карты и банка-эмитента, обеспечивающая подтверждение подлинности карты на уровне криптостойкости алгоритма Triple DES (длина ключа 112 бит, что существенно превышает сегодняшний порог «вскрытия» симметричных алгоритмов шифрования - примерно 80 бит - и будет оставаться достаточным в течение следующих примерно 30 лет).

Таким образом, при использовании микропроцессорных карт помимо информации с магнитной полосы и ПИН-кода требуется знание еще некоторых ключей для взаимной аутентификации карты и эмитента (в действительности, требуется знание большего числа ключей, в частности, если карта поддерживает динамическую аутентификацию, то требуется знание асимметричного ключа карты).

Микропроцессорные карты не позволят решить только проблемы 1, 2 и 4 из приведенного выше списка банкоматных мошенничеств.

В то же время необходимо сделать следующее важное замечание. Долгое время микропроцессорные карты будут гибридными, то есть наряду с микропроцессором будет использоваться и магнитная полоса. Магнитную полосу предполагается использовать в случаях, когда по каким-то причинам операция по микропроцессору невозможна.

Тогда у мошенника появляется возможность использовать гибридную карту с испорченным чипом и подделанной магнитной полосой. В этом случае требуются правильные настройки системы эмитента. В частности, когда для гибридной карты транзакция прошла по магнитной полосе, а устройство, в котором сгенерировалась транзакция, поддерживает микропроцессор, банку рекомендуется такую транзакцию отвергать.