Карты, деньги и PIN-код - Разное - Каталог статей - Нижегородский файловый портал

Почти каждый современный человек сталкивался в своей жизни с банковскими картами: кто-то раз в месяц обналичивает зарплату или стипендию и забывает о карте до следующего раза, кто-то держит на ней накопления, кто-то ходит с нею в магазин, а кто-то использует для онлайновых покупок и услуг.

В России, утверждает всезнающая статистика, используется 144 млн карт, обороты по которым за прошлый год превысили 12 трлн руб. В масштабах вселенной количество карт давно перевалило за миллиард, и тенденций к снижению их численности не наблюдается.

К сожалению, с ростом популярности карт растет и количество мошеннических операций. Методы «работы» преступников становятся все изощреннее, используемое оборудование – все совершеннее, а число желающих поживиться чужим капиталом прибывает день ото дня.

В классификации воровских профессий (домушники, карманники, каталы, медвежатники и т.п.) несколько лет назад появилась еще одна категория – кардеры, а их «ремесло», как нетрудно догадаться, называется кардингом. По данным правоохранительных органов, в среднем скомпрометированной оказывается одна карта из тысячи.

Преступный мир в последнее время серьезно продвинулся как в плане технического оснащения, так и в плане организованности. Одни занимаются изготовлением и продажей оборудования, другие осуществляют подбор банкоматов-жертв и установку считывающего оборудования, третьи изготавливают дубликаты карт и заносят на них PIN-коды. Далее дубликаты передаются исполнителям, обналичивающим деньги. Причем ничто не мешает украсть данные вашей карты, например, в Турции, а обналичить средства уже в Румынии.

Официальная статистика

По данным Министерства внутренних дел РФ, в первой половине текущего года зафиксировано 2227 преступлений на рынке пластиковых карт, ущерб от которых оценивается в 1,621 млн руб. Это на 36% больше по сравнению с аналогичным периодом прошлого года, когда было зарегистрировано 1,6 тысячи случаев. Стремительный рост числа преступлений банкиры связывают с увеличением количества банковских карт, коих многие граждане России имеют уже по две и более. Впрочем, несмотря на возросшее число попыток совершения мошеннических операций, ущерб от них остается на прежнем уровне, что связано со своевременным пресечением хакерских атак и постоянным совершенствованием систем безопасности.

Разумеется, официальная статистика не отражает реальную ситуацию, поскольку количество пластиковых карт и оборот по ним гораздо выше указанных цифр, к тому же жертвы кардеров чаще всего предпочитают не обращаться в правоохранительные органы. Теперь давайте посмотрим на банковские карты с позиции мошенника. Для начала составим список основных операций, которые можно осуществлять по картам, и условия, необходимые для их успешного завершения. Очевидно, что для совершения операции по чужой карте нужно либо завладеть ею, либо каким-то образом получить записанные на ней данные и изготовить ее дубликат. А если еще и подсмотреть PIN-код (от англ. Personal Identification Number – персональный идентификационный номер), то можно совершенно спокойно снимать наличные. Таким образом, перед мошенниками стоят две основные задачи: изготовить дубликат карты или заполучить данные вашей карты и по возможности PIN-код.

Изготовление дубликата карты – это просто!

История банковских карт насчитывает больше тридцати лет. Первые платежные карты появились в конце 70-х годов прошлого века. Тогда, разумеется, мало кто понимал, насколько популярным и востребованным окажется это новшество, и технологий защиты, которые обеспечивали бы полную безопасность и одновременно позволяли удержать стоимость производства карты в разумных пределах, на тот момент не было.

Поколение хиппи, воспитанное на магнитофонах, выбрало в 70-х самое простое и очевидное для себя решение – карты с магнитной полосой. В 80-х на смену хиппи пришло поколение диско, а вместе с электронной музыкой появились и первые электронные, так называемые чиповые карты. Важнейшим отличием чиповых карт от магнитных является сложность изготовления их дубликатов. Сделать дубликат чиповой карты в современных условиях практически невозможно, а вот освоить копирование магнитной карты не сумеет только ленивый, благо оборудования для этого предостаточно, и оно доступно в открытой продаже по вполне приемлемым ценам.

Это покажется странным, но «хиппи»-карты до сих пор сохраняют лидирующие позиции, хотя чиповые являются несравнимо более защищенными. Почему же банки не спешат обеспечивать клиентов чиповыми картами? Тому есть несколько причин, и все они связаны с увеличением банковских затрат. Для обслуживания чиповых карт банкам приходится кардинально обновлять оборудование, покупать дорогостоящие лицензии на специальное программное обеспечение и проходить сертификацию. Выпуск чиповой карты тоже удовольствие не из дешевых. Справедливости ради отметим, что Европа уже практически полностью перешла на чип, тогда как Америка и Россия находятся лишь в самом начале пути.

Таким образом, интересы мошенников направлены преимущественно на магнитные карты, благо их до сих пор ходит очень и очень много, а скопировать эти карты в домашних условиях не так уж трудно.

Получение данных карты и PIN-кода

Теперь рассмотрим вопрос получения данных с чужой карты. Как было сказано выше, для разных типов операций понадобятся разные данные. Начнем со снятия наличности, поскольку доля таких операций среди всех мошеннических самая крупная и, по разным оценкам, составляет от 80 до 90%.

Что представляет собой операция снятия наличных в банкомате при помощи магнитной карты? Вы подходите к банкомату и вставляете карту. Банкомат считывает с магнитной полосы номер карты, ваше имя, срок действия карты и прочую служебную информацию. Перечисленные данные именуются термином «трек». Затем вы вводите PIN-код. Следует подчеркнуть, что банкомат и знать не знает, какой код вы ввели – информация считывается с клавиатуры только в зашифрованном виде. Это исключает возможность подсоединиться к клавиатуре и «подсмотреть» ваш PIN-код.

После ввода снимаемой суммы вся информация собирается в один пакет и отправляется на процессинг – главный компьютер, который находится в банке, выпустившем карту. Там-то и проверяется, правильно ли был введен PIN-код – посылка расшифровывается, затем зашифровывается специальным ключом и сверяется с проверочным значением, которое записано в служебной области трека. Очень важно, что из проверочного значения нельзя получить сам PIN-код. Он хранится только в вашей памяти, а его проверочное значение записано на самой карте. Поэтому никакого другого способа узнать ваш PIN-код, кроме как подсмотреть, в природе не существует.
Отчасти этим и вызвано появление так называемых платежных систем (самые известные – Visa и MasterCard). Поскольку проверить PIN-код или остаток на вашем счете может только банк, выдавший карту, схемы работы при пользовании различными банкоматами несколько отличаются. Давайте сравним.

Вот так упрощенно выглядит взаимодействие банкомата и банка, если банкомат принадлежит тому банку, который выдал карту:

А вот так процедура выглядит, если карта – одного банка, а банкомат – другого:

В данном случае платежная система является тем необходимым звеном, которое обеспечивает прием карт одного банка в банкоматах другого. За проведение таких операций, кстати, банки платят деньги, поэтому, когда вы идете со своей картой в банкомат другого банка, с вашего счета снимаются комиссионные. Причем списывает комиссию именно ваш банк, чужому банку это запрещает делать платежная система.

Перейдем от теории к практике. Мы выяснили, что от чужой карты нам нужен трек и персональный идентификационный номер. Как же их прочитать? Сам банкомат считывает данные с магнитной полосы, как с магнитофонной ленты (вспоминаем хиппи) – карта движется, и данные считываются. Фактически ничто не мешает нам установить свой считыватель перед банкоматным и считывать треки. Просто, не правда ли? Именно этим и пользуются мошенники. Количество моделей таких считывателей весьма велико, а качество растет с каждым днем. У них даже есть специальное название – скиммеры, а воровство треков, соответственно, называется скиммингом. Что касается PIN-кода, то его можно подсмотреть с помощью миниатюрной камеры, которая либо приклеивается к банкомату, либо спрятана в стоящей поблизости мебели. Есть еще один вариант – использование специальных незаметных накладок на клавиатуру, через которые приходится набирать PIN, вследствие чего все набранные цифры запоминаются в этой накладке.

Что делать?

Теперь, уже хорошо представляя, каким образом у нас могут фактически украсть карту вместе с PIN-кодом, перейдем к самому главному – как следует пользоваться банкоматом, дабы максимально обезопасить свой кошелек?

Пользуйтесь банкоматами с защитой от скимминга

Производители банкоматов предлагают свой вариант защиты от перехвата информации с магнитной полосы карты. Наверняка многие замечали, что в некоторых банкоматах карта захватывается и выбрасывается плавно и быстро, а в некоторых – довольно медленно, да еще и заметно дрожит при этом, действуя клиенту на нервы. Так вот, дрожание карты говорит о том, что в банкомате включен специальный режим защиты – джиттер (от англ. jitter – дрожание). В этом случае карта движется вперед-назад по случайной траектории, которая, разумеется, известна банкомату, но не известна скиммеру. Банкомат прекрасно знает, в какой момент следует читать данные с магнитной полосы, а в какой – ничего не делать. Скиммер же уверен, что все идет нормально, но считывает полнейший мусор. На сегодня это самый эффективный способ борьбы со скиммингом.

К сожалению, не все банки включают эту функцию в своих банкоматах. Одни просто-напросто не знают, что такое возможно, другие специально ее не активируют, ведь это раздражает клиентов, а у третьих установлено старое оборудование, не поддерживающее джиттер. Но в целом тенденция радует – все больше банкоматов оснащаются этой полезной функцией. На практике воспользоваться ею можно следующим образом: перед операцией по действующей карте вставьте любую недействующую (например, просроченную) и посмотрите, как она входит в банкомат и выходит из него. Если вы не успели даже понять, как карта влетела внутрь, а после нажатия «отмены» не заметили, как вылетела, – перед вами банкомат, пользоваться которым потенциально небезопасно. Если же вы видите, что карта движется медленно, дрожит, и испытываете желание потянуть ее рукой, пока она еще не до конца выползла, – перед вами хороший, безопасный банкомат.

Внимательно изучайте банкомат на предмет нестандартных элементов

Внимательно оглядите банкомат – не имеются ли на нем посторонние предметы, особенно рядом с приемным лотком. Универсальных рекомендаций здесь нет, но эта часть устройства должна выглядеть органично, не содержать никаких подозрительных навесок и нестандартных элементов конструкции, особенно отличающихся по цвету от корпуса банкомата. Исключения составляют штатные накладки круглой формы, изготовленные из прозрачного зеленого пластика, с нарисованным внутри замком и мигающими зелеными светодиодами.

Клавиатура банкомата должна быть заподлицо с корпусом или чуть-чуть утоплена. Если же она заметно выступает – на ней установлена накладка. Таким банкоматом пользоваться нельзя. Часто бывает, что никаких накладок нет, и PIN-код фиксируется мини-камерой. В этом случае во время ввода PIN-кода нужно чем-нибудь прикрыть область клавиатуры сверху, а еще лучше – с обоих боков.

Подключайте услугу SMS-информирования об операциях

Многие банки предлагают получать SMS о снятии наличных или совершении покупки по карте. Вы всегда будете в курсе всех операций и легко сможете обнаружить транзакцию, проведенную без вашего ведома. Очень важно знать, как быстро заблокировать карту. Некоторые банки, помимо звонка в телефонный центр обслуживания, оказывают услугу по блокированию карт с помощью все тех же SMS. Иногда предлагают заблокировать карту в интернет-отделении банка. Выясните в вашем банке и запомните самый простой способ блокировки карты, особенно из-за границы.

Никогда и никому не давайте свою карту

Поразительно, но по статистике 13% случаев мошенничества происходят после того, как карта побывала в руках знакомых или родственников. Ненадолго покинем банкоматы и заглянем в Интернет. Так вот, для оплаты покупки или услуги в Интернете ни вам, ни мошеннику не нужна ни сама карта, ни ее PIN-код. Для проведения такой операции достаточно ввести номер карты, срок ее действия, имя владельца и CVV2 – контрольное число из трех цифр, находящееся на тыльной стороне карты. Следовательно, достаточно переписать все данные, указанные на карте, и уже можно оплачивать покупки в Интернете. Кстати, доказать потом, что покупка совершена не вами, не так-то просто. На этом же принципе основано еще одно ремесло – фишинг, – когда данные вашей карты пытаются стащить с помощью вредоносных программ или сайтов. От первых поможет защититься свежий антивирус. А вот фокус с сайтами обычно выглядит так: вам приходит письмо якобы от банка со ссылкой на некий ресурс, где вас просят ввести данные банковской карты. Разнообразие предлогов, на которые горазды злоумышленники, поражает воображение, но, несмотря на всю абсурдность ситуации, люди то и дело ловятся на крючок, идут по ссылке и сами отдают данные своей карты. Запомните: в Интернете карточные данные надо вводить только при оплате покупки! Ни один банк в мире не просит клиента сообщить эти сведения, тем более в электронном письме.

Держите яйца в разных корзинах

Не храните все деньги на одной карте. Распределите их по нескольким картам. Другой хороший способ – иметь в банке и текущий, и сберегательный счета. Вряд ли вам постоянно нужны под рукой все накопления, поэтому на текущем счете можно держать минимальную сумму, а на сберегательном – все остальные деньги. Переводить суммы с одного счета на другой удобно через интернет-банк.

В последнее время все больше мошеннических операций совершается по премиальным картам (золотые, платиновые и т.д.) и все меньше – по классическим. Отличить статус карты очень легко по ее номеру. Можно даже узнать, какой банк выпустил карту. Именно этим и пользуются мошенники: зачастую полученный список треков анализируется, и из него выбираются только золотые или платиновые карты.

Можно выпустить через интернет-отделение виртуальную карту, срок действия и лимит которой задаете вы сами. Это очень удобно, если товар надо приобрести в интернет-магазине «Рога и Копыта», а искомая вещь больше нигде не продается. Выпустил карту с нужным лимитом, оплатил покупку, и можно вывешивать данные карты хоть в твиттере – все равно толку от нее уже никакого.

Хозяйке на заметку: виды банковских карт

Чиповая карта

Самый безопасный на сегодняшний день тип карт – из-за практически непреодолимой сложности изготовления дубликата. На лицевой стороне карты имеются золотые контакты, магнитная полоса на обратной стороне отсутствует. К сожалению, устройств, принимающих к обслуживанию эти карты, в России и Америке очень мало. Но для тех, кто часто путешествует по Европе, это идеальный вариант.

Магнитная карта

У этих карт с тыльной стороны имеется магнитная полоса, но они не снабжены чипом, поэтому контактов на лицевой стороне у них нет. Этот тип карт до сих пор сохраняет лидирующие позиции в России, и если у вас есть карта, то она скорее всего магнитная. Такие карты хуже всего защищены от использования в мошеннических целях.

Комбинированная карта

Эти карты оборудованы и золотыми контактами чипа с лицевой стороны, и магнитной полосой с тыльной. В устройствах, поддерживающих чип, они будут обрабатываться как чиповые, а в остальных – как магнитные. Даже если изготовить дубликат комбинированной карты, то снять наличные с нее будет труднее – в магнитной полосе зашифрована информация о том, что в карте есть чип, и многие банкоматы будут пытаться работать именно с чипом, который на дубликате отсутствует. Конечно, это не гарантирует полную защиту, но вероятность мошенничества снижается.

Виртуальная карта

Виртуальные карты выпускаются либо на физическом носителе (пластике), либо вообще без такового. Во втором случае банк сообщает платежные реквизиты, а где их записывать и хранить – решает клиент. Виртуальная карта работает во всех интернет-магазинах, но ею нельзя воспользоваться для снятия денег (самая популярная операция у мошенников): ни чипа, ни магнитной полосы на ней нет, а иногда нет даже самой карты.

Мнение

Максим Рожков, начальник службы разработки ПО ГК «ДОРС»

Переход на чиповые карты идет значительно более интенсивно, чем может показаться на первый взгляд. И ведущую роль в этом играют регламентирующие органы – платежные системы, такие как MasterCard и VISA. Если платежная операция была совершена на устройстве, оснащенном модулем обслуживания чиповых карт, ответственность по оспариваемым платежным операциям (диспут) несет банк, выпустивший (эмитировавший) карту с магнитной полосой. Другими словами, если в подобной ситуации держатель чиповой банковской карты напишет заявление о мошеннической операции, деньги на карточный счет будут возвращены автоматически, а потери понесет обслуживающий торговую точку банк. Фактически, банки мотивированы выпускать чиповые карты, т.к. в противном случае, именно они будут оплачивать мошеннические операции, а затем искать «счастья» в судах.

Схожие правила введены и для банков, обслуживающих интернет-сайты, принимающие оплату кредитными картами. В случае если обслуживающий торговую точку банк не применяет технологию подтверждения платежа по альтернативным каналам (Verified by Visa, или MasterCard SecureCode), а банк-эмитент поддерживает, ответственность за мошеннические операции несет обслуживающий банк. То есть банки мотивированы использовать более безопасные технологические подходы.

К рекомендациям хотел бы добавить следующее:

Многие банки позволяют разрешать/запрещать операции по банковской карте отправкой соответствующим SMS в центр обслуживания держателей карт. Разрешайте операции только тогда, когда используете свою карту.
Если Вы используете дебетовую карту, храните на карточном счете небольшую сумму, которую вы обычно расходуете в течение 1-2 дней, а основные средства храните на другом счете, доступ к которому возможен в офисе обслуживания и в системе интернет-банкинга. Переводите крупные суммы на карточный счет только тогда, когда планируете крупные покупки.

Александр Вишняков, директор департамента карточного бизнеса и дистанционного обслуживания ЗАО «ЮниКредит Банк»

В настоящее время банки (помимо упомянутых в статье) принимают следующие меры по предотвращению незаконного использования средств со счетов держателей карт:

круглосуточный мониторинг подозрительных операций, осуществляемый в режиме реального времени;
участие в программах повышенной безопасности, разрабатываемых международными платежными системами для некоторых типов операций (например, система безопасности 3D Secure для транзакций, совершаемых в Интернете);
постоянное взаимодействие с международными платежными системами с целью незамедлительного получения информации о возможных точках компрометации данных держателей карт и своевременной превентивной блокировки потенциально «опасных» карт;
обновление используемого программного обеспечения с целью его соответствия актуальным требованиям антивирусной защиты;
предоставление услуги SMS-информирования держателям карт о совершенных транзакциях и др.

Современным банкам доступны такие рычаги компенсации сумм транзакций, не санкционированных держателем карты, как возможность их опротестования, предоставляемая и регламентируемая международными платежными системами, а также страхование подобных рисков.

По моему мнению, идея компенсации убытков, несомненно, актуальна, однако не следует занимать позицию, при которой клиент всегда прав и невиновен, а банк – обманщик. К сожалению, наш опыт работы с подобными претензиями говорит о том, что существует доля клиентов, которые либо не совсем чистоплотны в своих отношениях с банком, либо по собственной халатности нарушают правила безопасного использования карт. Поэтому каждый подобный случай требует тщательного расследования и изучения всех деталей и обстоятельств, что предполагает регулирование данного вопроса на договорном уровне между банком и клиентом.

Источник: журнал "ComputerBild №17/2011"