Широкое
распространение банковские карточки – зарплатные, кредитные и т.д. – в Беларуси
получили относительно недавно. По крайней мере, по сравнению с Западной Европой
или США. Казалось бы: лучшая защита от карманников! Даже если вдруг в
общественном транспорте или магазине «щипач» вытянет ее у вас из кармана, то деньги
с вашего счета снять не сумеет: пароля не знает, да и одного звонка в банк
достаточно, чтобы заблокировать карточку.
Однако
вместе с появлением банковских карточек появились и «кардеры» - преступники,
ворующие средства со счета либо рассчитывающиеся в Интернет-магазинах,
используя номер вашей карточки. В чем уязвимы банковские карточки и как
избежать заочного «знакомства» с кардерами? Начнем, пожалуй, с самого начала –
с истории.
Мошенники и технический прогресс
Первые
кредитные карточки появились более пятидесяти лет назад. На нынешние они были
похожи лишь внешне: тот же кусок пластика, на который нанесено изображение и
выдавлены номер карты, имя держателя карты и срок окончания ее действия.
Магнитной ленты, которая сегодня представляют собой самую важную часть
карточки, не было. Как-никак, 50-е годы двадцатого века…
Функционировали кредитки весьма
просто: в каждой торговой точке был так называемый импринтер, а по сути –
ручной пресс. С усилием проводя им по карте, продавец следил, чтобы информация,
выдавленная на карте, отпечаталась на квитанции. После окончания рабочего дня
стопка квитанций относилась в банк и там «обналичивалась». Возможностей для
мошенников такая система оставляла огромное количество!
На краденых
или потерянных карточках (которые клиенты заблокировали) срезались цифры номера
карты и наклеивались другие – в абсолютно произвольном порядке. Проверить,
соответствует ли имя держателя карты ее номеру, как и то, существует ли карта с
таким номером в природе, продавцы не могли – не было у них такой информации.
Мошенник свободно совершал покупку – как правило драгоценности – и уходил,
радуясь наивности и незащищенности международных платежных систем. Подлог
распознавался уже в банке.
Вскоре убытки от подобных
махинаций, которые по силам даже ребенку, достигли таких размеров, что
международные платежные системы ввели суперсовременную и суперзащищенную на то
время технологию – магнитную ленту, на которой дублировались данные,
выдавленные на карточке. А продавцов в магазинах оснастили специальными
электронными терминалами, которые были способны читать эту полосу и передавать
ее в банк для получения информации о том, существует ли такой номер карты и
есть ли на нем деньги.
Это стало настоящим ударом для
кардеров – в то время в свободной продаже не было устройств для чтения
магнитной полосы. Мошенники на время оставили «карточный бизнес». Поскольку
научно-технический прогресс не стоял на месте, вскоре, благодаря возможности
авторизации карточки в режиме реального времени, появились и банкоматы. Эти
металлические коробки, вероятно, здорово раздражали людей, охочих до дармовой
поживы, однако сделать с ними злоумышленники ничего не могли – разве что
украсть и вскрыть где-нибудь в укромном месте (впрочем, такие случаи не
редкость).
Затишье длилось недолго. Вскоре
оборудование для чтения и, главное, нанесения записей на магнитную ленту стало
доступным для всех и владельцы карточек перестали чувствовать себя в
безопасности. Широко известен пример, когда в Великобритании в конце 80-х у
десятков держателей пластиковых карт внезапно стали исчезать со счетов деньги.
Причем карточек клиенты банков не теряли.
Было изучено
множество версий – от того, что самих владельцев карт подозревали в
мошенничестве, до сбоев в программах банкоматов. Однако, в конце-концов банки
признали, что неизвестные злоумышленники каким-то непостижимым образом узнают
номера карточек жертв и их пин-код. Знаменитый Скотленд-Ярд ловил воришек два
года!
Помог
случай: у задержанной за драку девушки нашли в сумке заготовки для пластиковых
карточек. Оказалось, что преступники сняли квартиру напротив одного из
банкоматов на оживленной улице и, вооружившись мощной оптикой, фотографировали
карточки «клиентов» и с помощью бинокля смотрели, какой пин-код набирает
потенциальная жертва. Дальше – все просто: изготавливался точный дубликат
карточки (напомним, на магнитную ленту тогда наносилась такая же информация,
как и на лицевую поверхность карты) и злоумышленники легко снимали деньги со
счетов…
Как работает современная карточка
Сегодня
в Беларуси карточки есть у многих: многие предприятия предпочитают перечислять
зарплату работникам непосредственно на карточки, сведя работу с «наличкой» к
минимуму. Да и держателям карт выгодно – никаких тебе очередей в бухгалтерию,
банкоматов становится все больше, да и в магазине при необходимости легко
рассчитываться с помощью этого кусочка пластика. И не надо с собой большие
суммы денег носить. Но мало кто задумывается о том, как устроена «кормилица» и
метод ее работы. А вот преступники-«кардеры» хорошо изучили этот вопрос. Ведь
от подобных знаний зависит их нажива.
Вначале – о внешнем виде, хотя,
в принципе, уже практически все знают, как выглядит банковская карточка. Размер
карточек носит название ID-1 и составляет 85,6х53,98х0,76 мм. На лицевой стороне
карты обычно располагается информация о банке-эмитенте, номер карты и логотип
платежной системы. Также стандартно на ней размещается методом тиснения
персональная информация.
Строка с
идентификационным номером располагается на уровне 20 мм от нижнего края карты и
не может превышать 19 символов. Под ней находится зона для нанесения данных
владельца карточки (кардхолдера) и Expire Date (срока окончания действия
карты). Кроме тиснения, применяется термопечать - печать на карте методом
термодиффузии. Информацию, зафиксированную таким образом, практически
невозможно стереть. На обратной стороне карточки находится магнитная полоса и
полоса для подписи.
Если уж говорить о самых
современных системах защиты, то их немало – ведь в борьбе кардеров и международных
платежных систем постоянно происходит своеобразная «гонка вооружений». Речь, в
первую очередь, идет о магнитной полосе, на которой нанесен набор цифр и знаков
– он то и является идентификатором карточки. В среде кардеров его называют
«дампом».
Как правило, дамп состоит из
двух дорожек (реже – из трех). На первой обычно хранится информация, которая
используется для печати чека, выдаваемого при покупке. На второй дорожке
нанесен номер карты, срок ее действия и служебная информация, в том числе и
«святая святых» - трехзначный код CVV (card verification value) или, у
MasterCard - CVC (card verification code). Этот код получается в результате
сложного шифрования некоторых данных карты и служит для проверки банком
подлинности дампа. Эти коды не имеют ничего общего с кодами CVV2 и CVC2,
напечатанными на полосе подписи карточки.
Во время проведения транзакции
(операции с карточкой) банкомат либо терминал, установленный в магазине,
считывает вторую дорожку дампа, добавляет данные о транзакции, и отправляет ее
в процессинговый центр того банка, который обслуживает этот магазин (банкомат).
Далее информация передается в процессинговый центр соответствующей платежной
системы, откуда информация ретранслируется в процессинговый центр банка, выдавшего
карту.
Здесь запрос
обрабатывается и выдается ответ – можно ли магазину выдать товар (или банкомату
– деньги). Кстати, при покупке в магазине на счету держателя карты блокируется
сумма, на который пришел запрос. Так что простота операций с карточкой – только
мнимая. На самом деле это весьма сложный процесс, который, к счастью, проходит
без участия кардхолдера.
Вещевой OnLine - кардинг
Сплошная электроника и обилие систем защиты, тем не менее, не спасают
владельцев карточек. Причем лазейки, которые находят кардеры, зачастую просты и
незамысловаты и не требуют докторской степени по электронике и кибернетике.
Самым распространенным способом «отъема денег» связанных с кредитными
карточками, является вещевой кардинг – когда преступники, пользуясь данными
вашей карточки, совершают в Интернет-магазинах дорогостоящие покупки.
Расцвет подобного «бизнеса»
пришелся на конец 90-х – дорвавшиеся до Интернета русские, белорусские и
украинские мошенники самозабвенно «бомбили» «буржуйские» Интернет-магазины. В
Беларусь и Украину каждый день прибывали по несколько фур международных служб
доставки, перевозивших в основном компьютерные комплектующие и бытовую технику,
заказанные преступниками в Интернет-магазинах. Дошло до того, что рынок
оказался перегруженным этими товарами, и их цена упала ниже себестоимости…
Как это получалось? Очень
просто. Ведь для того, чтобы совершить покупку в online, достаточно ввести код
карточки! Вначале злоумышленники просто генерировали код карточки, а Интернет-магазин
не мог проверить, существует ли она. Разочарование у владельцев виртуальной
торговой точки наступало тогда, когда в конце месяца они пытались получить
наличность в банке, предьявляя номера несуществующих карт.
В этом
случае прогорали магазины – некоторые из-за постоянных атак постсоветского
пространства и вовсе разорились. Когда же магазины научились определять
подлинность карточек, то кардерами была найдена другая лазейка – к восторгу
злоумышленников оказалось, что Интернет-магазины хрянят реквизиты карточек
клиентов на своем сервере, едва ли не в открытом доступе! Теперь кардеры
покупали уже за счет владельцев карт.
Правда, большинство
кардхолдеров потом в суде доказывали, что пали жертвой злоумышленников и убытки
опять же покрывали online-магазины.
К счастью для отечественных
Интернет-магазинов, работающих с карточками и кардхолдеров, преступники
предпочитают не «гадить» на родине – как из патриотизма (хотя и звучит смешно),
так и для обеспечения максимальной безопасности – дома его могут «накрыть»
значительно быстрее. А с правоохранительными органами рано или поздно
сталкиваются практически все кардеры.
Даже после того, как
большинство западных online-магазинов перестали слать свои товары в Россию,
Украину и Беларусь, кардеры не переориентировались на «местный рынок», к слову,
пока еще очень «тощий». Лишь усложнилась схема. Теперь в ней появился посредник
– «дроп» - гражданин страны, «неопасной» с точки зрения Интернет-магазинов.
Именно на его адрес заказывается доставка товара. Ну а уж настроить свой
компьютер так, чтобы он воспринимался, как находящийся в США или Англии – дело
несложное даже для начинающих программистов.
«Дропы» иногда в курсе, что
являются частью преступной схемы и тогда за свое участие в «обувании» магазинов
получают процент с оборота. В этом случае «дроп» может быть не простым
«пересыльщиком», а, получая товар, тут же перепродавать его, оставляя
определенную сумму себе, а остальное отсылая «хозяину». Однако большинство об
этом и не подозревает: они - как правило, домохозяйки – уверены, что работают в
фирме по пересылке товаров. Дело надомное и нехитрое – получил товар от курьера
и отправил по сообщенному тебе адресу. Позже тебе будут перечислена «зарплата»…
Уже существуют настоящие
«сообщества» кардеров, работающих по данной схеме. Руководят или, как правило
опытнейшие кардеры, под началом которых находится разветвленная сеть «дропов» и
штат «вбивальщиков» (людей, которые непосредственно заказывают товар, «вбивая»
имеющиеся в наличии реквизиты карточек в «бланки заказов» Интернет-магазинов.
Подобный способ работы для кардеров привлекателен прежде всего тем, что ему, с
одной стороны, не нужно создавать точную копию карточки (достаточно знать код),
а с другой – не требуется личного присутствия при покупке, что затрудняет его
поимку.
Реал - кардинг
Он
не получил такого распространения, как «вещевой», однако также довольно
«популярен» среди преступников. Суть его в том, что создается точное подобие
чьей-либо кредитной карточки, с помощью которого можно получить деньги в
банкомате или расплатится в обычном магазине. Создается точный дубликат карты
реального кардхолдера, на магнитную полосу наносятся идентификационные данные
(дамп) – и поддельная банковская карта готова.
После этого преступники
приступают к самому ответственному пункту плана - обналичиванию или шопингу.
Здесь есть свои нюансы. Если известен пин-код, то наиболее удобным способом
является поход к банкомату. Но если преступник не знает пин-кода карты потенциальной
жертвы, то ситуация усложняется. Вариант с получением наличных в банкомате
отпадает сразу, так как там ввод пин-кода является обязательным условием.
Остается шопинг.
Кардер ищет
магазины, в которых установлены POS-терминалы, не требующие пина. Отличить их
можно по отсутствию клавиатуры для набора пин-кода. К счастью, в белорусских
магазинах такие практически не встречаются – это создает дополнительные
сложности для кардера и защищает держателей карты.
Правда, с поддельной карточкой,
на которую «закатаны» ваши данные, злоумышленник может съездить за границу, и
отоварится там. Но для ее реализации кардеру нужны документы, билеты и
отработанные схемы. В целом же покупка в реальном магазине по поддельной
карточке считается у кардеров большим «эсктримом» и происходит это достаточно
редко.
Как «подарить» свой дамп кардеру
Невнимательно
относясь к своей карточке, вы можете стать жертвой кардера и недосчитаться на
своем счету значительной суммы денег. И даже если вам потом удастся доказать,
что деньги у вас со счета сняли преступники и вам возместят расходы, то нервов
и времени будет потрачено немало.
Все, что необходимо кардеру –
это скопировать с магнитной полосы записанный там информации (дамп). Способов
это сделать – масса. Например, вы можете стать жертвой скимминга – стоит просто
отдать карточку в руки, например, официанта в ресторане, продавца в магазине и
отвернуться.
Все, что
нужно мошеннику, чтобы завладеть вашим дампом – провести по магнитной полосе
недорогим считывающим устройством – скиммером. Все, ваши банковские данные
становятся общественным достоянием! И это не преувеличение – существует
интернетовский «черный рынок», на котором торгуют дампами, причем подавляющее
большинство продавцов на нем – россияне, белорусы и украинцы, за несколько лет
вытеснившие оттуда почти всех конкурентов.
Если до
«русской» экспансии в этот бизнес цена дампа в США составляла порядка 200
долларов, то, «благодаря» огромному предложению со стороны «русских» она упала
до 7 долларов!
В Европе дампы стоят 300-500
евро – там этим бизнесом занимаются, как правило, турецкие, сербские и
албанские преступные группировки.
Можно «подарить» данные о своей
кредитке и по-другому. Например, один из излюбленных способов кардеров «собирания
информации» - создание платного сайта, чаще всего порнографического характера.
«Заплатите всего 1,99 доллара за месяц, и вы увидите то, чего никогда не
видели! Введите номер кредитной карты здесь!» - гласит надпись. Плата за
«клубничку» в результате может быть очень большой…
Огромное количество дампов
скопились у хакеров, ломающих сайты, на которых хранится подобная информация.
Поговаривают, что дампоторговцы готовы даже «слить» их международным платежным
системам по «бросовой» цене в 1-1,5 доллара за штуку.
Наиболее оригинальный и
трудоемкий способ добычи данных о карточках – установка поддельных банкоматов.
Денег они, конечно, не выдают, но информацию считывают исправно. Через пару
дней такие банкоматы исчезают с улиц без следа, а все накопленные данные
перекочевывают на компьютеры кардеров. Игра для последних стоит свеч – кроме
дампов они получают и пин-коды, что позволяет ему впоследствии снять «живые»
деньги с вашего счета в настоящем банкомате. Правда, о появлении «ложных» банкоматов
в Беларуси не разу не сообщалось.
В последнее время широкое
распространение получил новый способ мошенничества с карточками - фишинг
(phishing, от англ. fishing – рыбная ловля и phone – телефон). В США убытки
исчисляются миллиардами!
Кардеры
организуют спамерские атаки, рассылая многие тысячи электронных писем
держателям банковских карточек от имени банков с просьбой выслать персональные
данные (номер карты, PIN-код, пароль доступа для управления личным счетом). В
письма вставляется гиперссылка на сайт, являющийся точной копией сайта банка
(разве что в названии один символ заменен, но кто будет присматриваться!) На
этом сайте и надо оставить информацию о себе. Помните: банки никогда не
рассылают подобных писем!
Естественно, все слышали о
веб-камерах, установленных злоумышленниками в банкоматах – правда, кардеры
считают подобные ухищрения «прошлым веком». Однако иногда такое все-таки
происходит. А вот воровство банковской карточки, по мнению преступников, себя
не оправдывает – обычно владелец сразу же блокирует свою карту.
Как себя обезопасить?
На
сто процентов это сделать невозможно – все-таки вы то и дело используете свою
банковскую карточку, вводите ее данные при покупках в Интернете – сведения о
совершенных вами операциях и данные карточки после этого хранятся в тех же
Интернет-магазинах и, потенциально, могут достаться злоумышленникам. Кроме того, хакеры могут взломать
банковский сервер, что, правда, маловероятно – все-таки системы безопасности у
большинства финансовых учреждений весьма серьезные. Наконец, вы можете
«подцепить» на свой компьютерный вирус, который отошлет все ваши
конфеденциальные данные, хранящиеся на компьютере преступнику. Однако, вы
можете минимизировать риск и, если все-таки неприятность с карточкой
произойдет, последствия взлома вашего счета. Например, чтобы не подозревать,
скажем, официанта в ресторане в потенциальном мошенничестве, не отдавайте ему
карту в руки. Потребуйте, чтобы считывающее устройство принесли на ваш столик,
и чтобы снятие денег с вашего счета происходило при вас. То же самое относится
и к магазинам. Ну, и, конечно, не помешает прикрыть заветные цифры, накрыв
клавиатурный ряд рукой.
Если вы все-таки хотите
пользоваться кредиткой в Интернете, то:
Открывайте карточку в крупном
банке, имеющем свой процессинговый центр, и позволяющем оперативно
контролировать остаток на счете.
Не храните все ваши деньги на
этой кредитке - вы рискуете потерять все, что имеете.
Если вы чувствуете, что с вашей
картой происходит что-то неладное, сразу же возьмите банковскую выписку - где
должны быть указаны реквизиты торговых точек, где проводились операции с
карточкой. Если вы не можете опознать
транзакции, то, в первую очередь, потребуйте заблокировать вашу карточку и
попросите ваш банк оспорить эти транзакции. Правда, перед этим надо хорошенько
вспомнить – может, все-таки бриллиантовое колье во французском
Интернет-магазине вы заказывали?
Избегайте сомнительных сайтов.
Часто сайт - это ловушка для номеров карточек.
При утере карточки или ее
краже, сразу же сообщайте об этом в банк и блокируйте карту, а уже потом
звоните в милицию – в таком случае остается больше шансов, что преступники не
успеют воспользоваться вашими средствами.
Если же вы не успели, и все
ваши деньги «испарились», то вы можете потребовать у банка – ваше заявление
будет рассмотрено. Шансы на компенсацию украденного повышаются, если деньги
были сняты в банкомате другой страны, а вы при этом никуда не уезжали.
|