Платежные карты: Бизнес-энциклопедия - Проект

В декабре 2002 г. была произведена установка скрытых видеокамер на банкомат в г. Москве.

22 апреля 2003 г. московским правоохранительным органам удалось задержать группу мошенников, похитивших с банковских счетов граждан более 700 тыс. долл. через банкоматы. Специальное устройство вставлялось в устройство приема карточки банкомата. В момент, когда держатель снимал деньги, устройство считывало параметры его карты. Кроме того, мошенники изготовили миниатюрную видеокамеру, которая позволяла им увидеть ПИН-код.

Осенью 2004 г. и весной 2005 г. подобные устройства были обнаружены в Волгограде.

В марте и мае 2006 г. были обнаружены скиммеры и минивидеокамеры на банкоматах в Санкт-Петербурге.

В декабре 2006 г. январе 2007 г. на нескольких банкоматах Москвы и Санкт-Петербурга были зафиксированы следы установки накладных клавиатур и скиммеров. Некоторые устройства были изъяты. В мае 2007 г. в Екатеринбурге были задержаны лица, устанавливающие аналогичные устройства на банкоматы города.

Летом 2007 г. подобные устройства были обнаружены в любимых россиянами местах отдыха — в Пхукете и Ялте. В сентябре 2007 г. на банкомате в г. Омске были обнаружены устройства аналогичные изъятым в Ялте, что говорит о международном размахе в деятельности преступных элементов. В ноябре 2007 г. скиминговое устройство и накладную клавиатуру злоумышленники установили на одном из банкоматов на Олимпийском проспекте в г. Москве.

В Интернете на кардерских[205] сайтах можно встретить предложения о продаже скиммеров для банкоматов по цене от четырех до 6 тыс. долл. США. Одно из таких устройств имеет следующие характеристики:

• считывает 1-ю и 2-ю дорожки;

• хранит до 2000 треков;

• содержит перезаряжаемую внутреннюю батарею, работающую от 53 до 54 часов непрерывной работы;

• все считываемые данные имеют метку времени: год, месяц, день, час, минута, секунда;

• двунаправленное считывание дорожки (скиммер считывает данные как при вставке карты в банкомат, так и при ее возврате);

• доступ к считанным данным защищен паролем — это удобно для случаев, когда вы работаете с партнерами, которым не доверяете;

• поставляется с ПО и полной инструкцией;

• задняя часть слота скиммера более широкая, поэтому не возникает проблем с обратным ходом карты;

• внутренность устройства заполнена твердой эпоксидной смолой для предотвращения выхода из строя электронных компонент и размыкания контактов;

• скиммер устойчив к дрожанию карты.

Производители банкоматов, обеспокоенные данным явлением, стали производить дополнительные устройства для защиты банкоматов от данного вида устройств.

Компания Wincor Nixdorf приступила к поставке на рынок специальных антискимминговых модулей, разработанных для защиты банкоматов от мошеннических действий. Модуль безопасности, устанавливаемым на банкомат, оборудован специальными датчиками для контроля области картоприемника, позволяя выявлять несанкционированную установку на банкомат любых посторонних устройств. При подозрении на подобное подключение модуль подает сигнал оповещения в соответствующие службы, ответственные за обеспечение безопасности банкоматов, одновременно останавливая работу подвергнувшегося атаке АТМ.

Компания Diebold разработала систему S. A. F. E. — Secure Anti-Fraud Enhancements (повышенная безопасность против мошенничества). Призвана обеспечить защиту от большинства видов мошенничества. Специальная округленная форма вокруг считывателя карт, затрудняющая монтаж скиммеров. Джиттер[206] обеспечивает неравномерность движения при поступлении карты в считыватель. В наличии имеется датчик против ливанской петли. Осуществляется постоянный контроль считывателя карты, когда он не используется. Зеркала позволяют держателю видеть обстановку за спиной. Углубленное расположение клавиатуры и монитора осложняют действия подглядывающего из-за плеча.

Компания NCR сообщила о разработанном ею новом продукте для противодействия банкоматному мошенничеству. По словам разработчиков Intelligent Fraud Detection (интеллектуальное обнаружение мошенничества) объединяет лучшие решения в данном направлении и предназначен для обнаружения любых посторонних устройств, монтируемых на банкомате (задерживающих в ридере карту, видеокамер, скимминговых считывателей).

Наиболее слабым звеном с точки зрения безопасности карт с магнитной полосой является собственно сама магнитная полоса. Её легко скопировать, легко изготовить подделку (т. е. записать информацию на другую карту или заготовку), наибольшие потери для банков приносит скимминг. Переход на МПК влечет за собой неоспоримое преимущество: труднее изготовить поддельный микропроцессор. Тем самым обеспечивается высокий уровень безопасности финансовых операций и сокращение потерь от мошенничества. Однако, это касается «чистых» МПК без магнитной полосы.

EMV миграция предполагает постепенный переход от карт с магнитной полосой к картам с микропроцессором. Для обеспечения совместимости двух технологий на время переходного периода появляются комбинированные карты и с магнитной полосой и с микропроцессором.

В настоящий момент можно найти описание различных атак на МПК, но, несмотря на имеющиеся уязвимости МПК и реальность осуществления их взлома, представляется, что в настоящий момент усилия мошенников будут направлены не на взлом «чистых» МПК, а на использование уязвимости комбинированных карт (магнитная полоса + микропроцессор).

Как это не парадоксально звучит, но на время переходного периода использование комбинированных карт с магнитной полосой и с микропроцессором увеличивает уязвимость технологии платежных карт.

Чтобы доказать данное утверждение, рассмотрим опыт Великобритании. Такой выбор обусловлен тем, что в данной стране, во-первых, 97 % карт эмитировано с МПК, 98 % терминалов поддерживают чип, и вероятность обслуживания карты по чипу составляет более 95 %, а, во-вторых, APACS в открытом доступе регулярно публикует многочисленные статистические материалы, которые позволяют рассмотреть процессы в их историческом развитии (рис. 1–3).

Почему же на общем фоне снижения уровня потерь из-за мошенничества банкоматное мошенничество наоборот не только не останавливается, но имеет явно выраженную тенденцию к росту? Дело в том, что с появлением МПК и развитием технологии платежных карт появляются новые источники компрометации ПИН. А именно, появилась программа «ЧИП и ПИН» — проведение операций в торгово-сервисных предприятиях по чипу с использованием ПИН. На картах только с магнитной полосой ПИН (кроме карт Maestro) использовался только в банкоматах, поэтому его компрометация могла произойти в ограниченных точках: при совершении операций в банкоматах; посредством фишинга; с использованием «человеческого фактора».

Человеческий фактор (несоблюдение мер безопасности) весьма сложно поддается влиянию со стороны банков, требует усилий по обучению держателей и достаточно большого временного интервала, чтобы результаты обучения, сказались на практике.

Одной из эффективных мер противодействия фишингу со стороны эмитентов является запись на магнитную полосу карты для проверки ПИН-код значения PVV (четыре цифры — 10 000 значений) и CVV/CVC (три цифры — 1000 значений). Держатель не знает эти данные и не может их сообщить в результате фишинговой атаки. Чтобы изготовить карту и получить по ней деньги в банкомате (зная её номер и срок действия, считаем, что сервис код также известен мошеннику), необходимо получить комбинацию из семи десятичных цифр (10 000 000 вариантов). Следствием применения такой технологии будет соответствие стандарту безопасности PCI DSS (PVV не хранится у эмитента) и отсутствие у держателей возможности менять ПИН-код (что делает его случайным и более безопасным, чем, если бы ПИН-код они выбирали бы самостоятельно).

Если рассмотреть динамику мошеннических операций по видам, то представится следующая картина (рис. 4).

Программа «ЧИП и ПИН», которая предполагает введение ПИН-кода при операциях в торговых предприятиях по микропроцессорным картам, призвана привести к снижению мошенничества в двух наиболее весомых сегментах:

1) по поддельным картам уровень мошенничества с 2001 г. (160,4 млн ф. ст.) к 2006 году (99,6 млн ф. ст.) снизился в 1,61 раза;

2) по утраченным картам уровень мошенничества с 2001 г. (114 млн ф. ст.) к 2006 году (68,4 млн ф. ст.) снизился в 1,67 раз.

Если бы использовались карты только с микропроцессором (без магнитной полосы), то данная программа себя оправдывала бы. В реальности получается, что от программы «ЧИП и ПИН» стратегические потери гораздо больше тактических кратковременных выгод. Дело в том, что мошенники, используя данную программу, копируют в торгово-сервисных предприятиях ПИН-код держателя и магнитную полосу карты, а не микропроцессор (подделывать микропроцессор экономически не целесообразно). В результате изготавливается поддельная карта, с помощью которой снимаются денежные средства в банкоматах, не умеющих работать с микропроцессорными картами. Таких банкоматов на сегодняшний день большое количество — это рынок США, который еще даже не собирается переходить на микропроцессорные карты. Последствия такой атаки гораздо болезненней, чем выгода от программы «ЧИП и ПИН».