151 угроза вашему кошельку - Алексей Боярский
Шрифт:
Интервал:
Закладка:
Помимо фишинга существует масса и иных методов выяснения данных, необходимых для увода денег с «пластикового» счёта, кстати, не только для доступа в систему интернет-банкинга, но и для снятия средств в банкомате, расплаты в магазине и т. д. А собственно, какие же данные необходимы преступнику? Критерием для выдачи наличных в банкомате служат введённый пин-код и, конечно, информация, записанная на магнитной полосе пластиковой карточки. Для совершения операции в этой записи должны содержаться номер карты, срок окончания ее действия, то есть данные, выбитые на лицевой стороне «пластика», а также некий трёхзначный код. В системе Visa он называется CVV, у MasterCard – CVC. Не надо путать их с кодами cvv2/cvc2 на полосе подписи карты, которые используются для совершения интернет-транзакций. Коды CVV и CVC хранятся только на магнитной полосе и служат для банка инструментом определения её подлинности, своеобразной «электронной подписью» карты.
Ввели эти коды в конце 80-х годов в связи с массовым мошенническим снятием наличности с карт в банкоматах в Великобритании. При этом обворованные вкладчики своих карт не теряли. Поначалу банки грешили на клиентов: кого-то подозревали в мошенничестве, кому-то советовали присмотреть за детьми, которые могли узнать пин-код и пользоваться картами тайком от родителей. Однако пострадавших становилось всё больше, к делу подключилась пресса, и банки признали, что злоумышленники каким-то образом получают дубликаты карт и узнают пин-коды. Скотленд-Ярду удалось поймать преступников только через два года – помог случай. У девушки, попавшей в полицию после драки в баре, нашли в сумочке кучу «белого пластика» – карточек без опознавательных знаков, но с магнитной полосой. Технология мошенничества оказалась весьма проста. Преступники арендовали квартиры в многолюдных местах – такие, чтобы из окна были видны банкоматы. Вооружившись фотокамерой с длиннофокусным объективом, один злоумышленник фотографировал карты в тот момент, когда их вставляли в банкомат, а второй смотрел в бинокль и засекал набираемый пин-код. Оставалось только с помощью нехитрого прибора нанести всю полученную информацию на магнитную полосу поддельной карточки.
Как ни странно, и сегодня есть банки, которые игнорируют возможность контроля посредством кодов CVC/CVV. Причина такого легкомыслия не совсем понятна, ведь проверка кодов CVC/CVV увеличивает стоимость трансакции для банка на какие-то копейки. Кстати, ни один банковский сотрудник, занимающийся пластиковыми картами, никогда не признается, что контроля CVC/CVV в его заведении нет, – хотя бы из-за того, что платёжные системы тут же наложат на банк крупный штраф. Сегодня, кстати, технологии «подглядывания» шагнули значительно дальше «бинокля и длиннофокусного объектива». Например, в гнездо приёма карточки банкомата мошенники вставляют устройство, считывающее магнитную полосу карт, а в верхней части банкомата устанавливают миниатюрную камеру, снимающую, как законный держатель карты набирает на клавиатуре банкомата пин-код. Появились даже специальные фальшивые клавиатуры, которые накладываются сверху на настоящие и «запоминают» набранный ничего не подозревающей жертвой пин-код.
Следует ожидать скорого появления в России бутафорских банкоматов – вслед за США, где эта афера очень популярна. Такой переносной аппарат не подключён ни к одной из платёжных систем, денег, естественно, не выдаёт, зато исправно собирает данные и пин-коды карт. Вышеназванный прием, когда данные магнитной полосы (в том числе коды CVC/CVV) считываются преступниками или их пособниками непосредственно с самой карты с помощью электронного устройства, называется скиммингом. И если присоединение подобного устройства – скиммера – к банкомату или pos-терминалу в кассе магазина (и такое бывает) всё ещё относительная редкость, то прокатывание карты по считывающему приборчику, например, официантом в кафе или служащим отеля весьма возможно. Карточку куда-то унесли, потом принесли назад с распечатанными чеками. А что с ней ещё проделано – одному богу известно. Одно время панацеей в защите от скимминга считался переход в изготовлении карточек от магнитной ленты к чиповым технологиям. Жизнь показала, что это не так. Во-первых, пока далеко не во всех странах внедряются чиповые технологии для приёма карт, а это значит, что даже если банк выпустил карту с чипом, то она всё равно будет обслуживаться по магнитной полосе, следовательно, остаётся возможность использовать поддельную карту. А во-вторых, мошенники уже научились «работать» и с чипами. Так что «чиповый пиар» банков только снижает бдительность пользователей.
Получается, что если владелец карты не даёт её в руки посторонним лицам, нигде и никогда ей не расплачивается и снимает деньги только в проверенных банкоматах, то он застрахован от кражи? Теоретически да. Однако, если он хоть раз снимал наличные в банкомате, сведения об этом, а также все данные карты, включая код CVC/CVV, поступили в так называемый процессинговый центр. Найдя брешь в его защите, мошенники получают доступ к данным миллионов карт. Правда, без пин-кода. И что делать с такой картой? Наличные в банкомате ведь не снимешь. Возможностей здесь масса, в частности покупки в интернет-магазинах или проигрыш денег самому себе в интернет-казино (а можно просто играть на чужие средства: выиграл – хорошо, проиграл – не жалко). Но если попадается карточка с серьезной суммой на счёте, то одним из самых эффективных способов её использования будет разовая оплата крупной покупки – автомобиля, норкового манто, бриллиантового колье… Однако в таком случае к карте обязательно потребуют документ: в Штатах – водительские права, в России – паспорт. И не просто потребуют, а на зуб попробуют и на свет посмотрят: не переклеена ли фотография? Возможно, в случае с «родными» пластиковыми картами, подсунутыми кассиру начинающим жуликом вместе с липовым студенческим билетом, подобная проверка будет действенной. Но если за дело берутся профессионалы…
Прежде всего, предъявленный покупателем паспорт может быть настоящим, принадлежащим его подателю. Допустим, какому-нибудь бомжу, приведенному по такому случаю в респектабельный вид. Кассир сканирует карту, отрывает чек, на котором значится то же имя, что и на лицевой стороне карты, и в предъявленном паспорте. Карту преступники печатали сами, соответственно, выбили на ней имя будущего покупателя и даже записали его на магнитной полосе взамен настоящего. Но вроде бы получается неувязочка: почему банк после сканирования в POS-терминале подтверждает карту, на магнитной полосе которой указано неизвестное имя? Оказывается, имя владельца банк при идентификации не использует! Оно нужно лишь для печати на чеке, чтобы кассир мог сравнить имя, записанное на магнитной полосе карты, с именем, выбитым на карте. Заметим, что в европейских магазинах мошенники используют не только искусно изготовленные дубликаты, но и настоящие карты. Действует, как правило, группа. Один, карманник, вытаскивает карту у ротозея, второй, специалист по документам, быстро, буквально за 10 минут, делает пластиковое удостоверение личности на имя владельца карты, третий, спец по подделке подписей, срочно отправляется с нею и удостоверением по магазинам. А четвёртый идёт за человеком, у которого карту украли. Его цель – ни на секунду не упускать клиента из виду, чтобы зафиксировать момент, когда тот обнаружит пропажу. В этом случае идёт звонок тому, кто ходит по магазинам, и карта «скидывается». В день удаётся таким образом «освоить» шесть-семь карт, а ежедневный доход составляет около $10–15 тыс. В России подобные случаи пока не зафиксированы, но дело идёт к тому, что скоро они будут и здесь. Хотя бы потому, что все задержанные в Европе практикующие вышеописанный метод группы мошенников – русскоязычные. Заметим, что эти мошенники никогда не используют карты, на которых есть фотография владельца, – лишний риск им ни к чему. Такую карту они просто выкидывают. Эту информацию полезно учитывать при выборе банка.
По российскому законодательству списание средств со счёта клиента возможно только по документу, подписанному собственноручно клиентом, либо при наличии аналога такой подписи – ЭЦП (электронно-цифровой подписи). Никакие логины с паролями, пин-коды к картам и тому подобные идентификаторы ЭЦП не являются. Поэтому, что бы ни говорили банки об ответственности клиентов, что бы ни писали в своих договорах – по российским законам ответственность за несанкционированное снятие денег со счетов и карт несёт сам банк. Суды, как правило, в таких спорах встают на сторону граждан. Кроме того, практически любой банк стремится не доводить дело до суда и решить конфликтную ситуацию с клиентом (не важно, VIP он или нет) в досудебном порядке. Репутация дороже. Но, так или иначе, меры предосторожности соблюдать всё-таки необходимо. Хотя бы для того, чтобы в случае эксцессов не тратить время и нервы на тяжбы с банками.