Пластик без головы
Шпионские SMS-рассылки и накладки на банкоматы, псевдолотереи и фальшивые телефонные операторы. В России растет число самых разных мошенничеств с банковскими картами. Привлекательность российского рынка для кардеров, похоже, будет только расти: тотальный переход ведущих стран на чиповые технологии существенно осложняет жизнь преступникам, вытесняя их в страны с менее развитыми технологиями.
На Международном форуме "Инновации. Дистанционные сервисы, карты и платежи", организованном медиагруппой PLUS-Alliance, вице-президент Ассоциации российских банков - членов MasterCard (АРЧЕ) Евгений Балезин рассказал о ситуации с мошенничеством на рынке пластиковых карт в России и мире. Сейчас одним из наиболее распространенных видов преступлений является скимминг: мошенники устанавливают специальные приборы (скиммеры) на банкоматы, терминалы и другие устройства, считывающие данные с магнитной полосы, и с помощью украденной информации изготавливают поддельные карты. Как правило, человек узнает о том, что данные его карты попали в чужие руки, уже постфактум, когда преступники успели снять деньги со счета.
По словам директора по мониторингу электронного бизнеса Альфа-банка Алексея Голенищева, со случаями скимминга банки сталкиваются постоянно. "Всего пару недель назад службе безопасности Альфа-банка совместно с коллегами из других банков удалось задержать группу мошенников-скиммеров, устанавливавших накладки на банкоматы. Точный ущерб от их деятельности пока неясен, но это явно тысячи долларов", — рассказывает он.
По данным АРЧЕ, за последний год в России было выявлено 397 случаев скимминга, а в первом квартале 2012 года — уже 362. Более половины случаев скимминга приходится на Москву и Московскую область (65%). Как отмечают в АРЧЕ, устройства, используемые мошенниками, с каждым годом становятся все хитроумнее и разнообразнее. "Банк всегда должен использовать совокупность методов борьбы с мошенниками: и антискимминговую защиту, и чиповые карты, и онлайн-мониторинг, — рассуждает Алексей Голенищев. — Плюс многое зависит от самих клиентов. Сколько бы банк ни инвестировал в технологии, если клиенты до сих пор пишут PIN-код на карте, что тут поделаешь?"
Еще несколько лет назад одни мошенники продавали скиммеры, другие их устанавливали и считывали данные по картам, третьи занимались изготовлением белого пластика, четвертые обналичивали средства. "Теперь мы видим, что мошенники организовываются в группы и собственными силами похищают деньги с карт, осуществляя все — от установки скиммера до доступа к счету. В итоге время между компрометацией карты и использованием подделки составляет уже меньше суток", — рассказывает Евгений Балезин.
География использования скомпрометированных данных охватывает почти весь мир: Европа, Латинская и Северная Америка, страны Азии и Ближнего Востока, Южная Африка. "С осени этого года своеобразным хитом сезона стал Таиланд. Поэтому со своей стороны я бы настоятельно рекомендовал туристам использовать банкоматы в этой стране только в случае крайней необходимости", — предупреждает Балезин. К списку неблагонадежных стран банкиры также традиционно относят Украину, Болгарию, Турцию и США. "Мы видим множество случаев компрометации карт на Украине, — рассказывает Алексей Голенищев. — На наш взгляд, там лучше вообще воздержаться от снятия денег в банкоматах. Причем даже в аэропорту в Борисполе были зарегистрированы случаи компрометации банкоматов разных банков".
Не менее опасными видами мошенничества в АРЧЕ считают набирающее популярность SMS-мошенничество и фишинг. Оба сводятся к выяснению у держателя карты всех необходимых данных через специальную SMS- или интернет-рассылку. "В этой схеме всегда есть звонящий или пишущий, а сам клиент по своей доверчивости либо невнимательности передает/переводит в том или ином виде свои деньги либо данные по карте, — рассказывает Евгений Балезин. — В качестве звонящих/пишущих зачастую выступают лица, находящиеся в заключении. Это целая индустрия".
Понять, что вы общаетесь с мошенниками, порой довольно сложно. Так, недавно мужчина разместил на сайте бесплатных объявлений информацию о продаже автомобиля и указал номер своего мобильного телефона. Через несколько дней продавцу позвонили "заинтересованные" граждане, они даже готовы были внести предоплату, но банковский перевод для них дорог и неудобен. В результате они уговорили автовладельца назвать номер своей карты, а также фамилию, имя и отчество. Дальше продавец сидит и ждет SMS о поступлении средств на карту, но никакого оповещения из банка не приходит. В это время деньги с карты мошенники уже списывают. Как выяснилось потом, работники банка не могли связаться с клиентом, потому что мошенники, позвонив в сотовую компанию, от имени хозяина сообщили о краже телефона и заблокировали его сим-карту.
В другом случае клиенты одного из крупных банков получали сообщения о том, что их карты заблокированы. При этом в тексте был указан федеральный номер (8-800-...), на который их просили позвонить. Напуганные клиенты звонили по указанному номеру, где автоответчик представлялся службой поддержки процессингового центра. Клиентов несколько минут заставляли "висеть" на линии в тревожном ожидании, после чего соединяли с "оператором", который просил назвать номер заблокированной карты. Дальше они слышали из телефонной трубки: "Переверните карту и назовите три цифры, напечатанные на полосе для подписи...". Клиенты послушно называли "процессинговому центру" CVC2 — код безопасности, который используется при совершении операций в электронной коммерции. Хотя во всех инструкциях по безопасному использованию карт написано, что CVC2, как и PIN-код, клиент не имеет права никому открывать.
По-прежнему работающей мошеннической схемой в России является обещание неожиданного выигрыша в лотерее. За бесплатный пылесос или ноутбук доверчивые граждане готовы назвать номер своей карты кому угодно. При этом клиенты не ленятся сами идти к банкомату или терминалу оплаты, чтобы перевести мошенникам денег. Вот с таким заявлением один из клиентов обратился в крупный банк: "Я получил SMS с текстом, что выиграл автомобиль, и перезвонил по указанному номеру. Ответивший представился менеджером радио "Максимум" Романом. Выигрыш можно забрать деньгами, что я и выбрал. Для этого я должен отправить через терминал 1% от суммы (12 500 руб.) на любой мой счет, чтобы показать спонсору лотереи, что я пользуюсь его терминалами. Я выбрал свою кредитную карту. Так как я был на работе, то попросил сделать это мою жену. Необходимым его условием было в момент отправки денег находиться с ним на связи. Таким же образом была переведена вторая сумма — 21 500 руб. После чего мы поняли, что нас обманули. Жена по моей просьбе обратилась в полицию. Таким образом, я потерял 34 000 руб. Прошу оказать содействие в возврате денег, так как в виртуальном кошельке операция не завершена и деньги, скорее всего, где-то повисли. Прилагаю заявление в полицию от моей жены".
Другой клиентке банка пришла SMS о том, что она выиграла ноутбук. Она позвонила по указанному номеру за инструкциями по получению денежного эквивалента. Инструкция нехитрая: обратиться в банкомат, запросить баланс. Далее предоставить этот баланс им (мошенникам). Затем перейти в раздел "Сотовые операторы". После чего женщина получила "код" 7241, который тут же и ввела. На чеке, который она получила, значилось, что сумма перевода на мобильный телефон составила 7 241 руб. Требуя впоследствии от банка вернуть украденное, клиентка доказывала, что не знала о том, что все эти операции были не чем иным, как пополнением счета мобильного телефона.
Как правило, когда клиент сам сообщил мошенникам данные своей карты, банк его потери не компенсирует. "К сожалению, жертвами такого мошенничества очень часто становятся пенсионеры, которым в последнее время активно раздаются карты. Пользоваться ими они не умеют и отличаются особой доверчивостью", — констатирует Евгений Балезин.
Поэтому Сбербанк в качестве жеста доброй воли решил даже восстановить средства на счетах клиентов, пострадавших от фишинговых атак за последние полтора года. Об этом недавно заявил заместитель председателя правления Сбербанка Станислав Кузнецов в интервью RBK Daily. Среди жертв мошенников оказалось много пенсионеров. Банк вернет в общей сложности 52 млн руб. почти 600 клиентам. Но при этом Сбербанк предупредил, что акция была разовая и впредь клиентам надо быть внимательнее.
Не брезгуют мошенники даже деньгами, идущими на благотворительные цели. Так, клиентка одного из крупных банков разместила объявления в соцсетях, где просила помочь собрать деньги на операцию ребенку. На указанный в объявлении номер позвонил некто Сергей, готовый в самое ближайшее время перевести 100 тыс. руб., для чего нужны только реквизиты карты. В итоге деньги, собранные на операцию общими усилиями, оказались безвозвратно переведены в виртуальный кошелек Сергея.
По словам Евгения Балезина, увеличение количества различных услуг, доступных в банкоматах, появление новых продуктов и технологических сервисов без достаточной проработки защитных механизмов приводит к росту мошенничества. В частности, доступная теперь в каждом банке услуга перевода средств с карты на карту зачастую сопровождается недостаточной идентификацией клиента. По приблизительным оценкам одного из членов экспертной АТМ-группы АРЧЕ, банкоматные потери в России выросли в 2011 году в 2,5 раза по отношению к предыдущему году: с 558 млн до 1 378 млн руб. Что составило 57% от всех потерь по картам.
С точки зрения международных систем в России по сравнению с развитыми рынками уровень мошенничества крайне низкий. Однако не исключено, что при существующей динамике развития мошенничества в ближайшие несколько лет это положение будет исправлено. "Европа заканчивает переход на чиповые карты, и все эти преступники начинают мигрировать в Россию, поэтому динамика мошенничества может вырасти скачкообразно. И если сейчас у банков потери по картам — это незначимые цифры, то завтра все может поменяться кардинально. Поэтому российские банки должны активнее переходить на чиповые карты, тогда проблема скимминга будет решена", — призывает коллег заместитель председателя правления банка "Возрождение" Марк Нахманович. А директор департамента платежных карт Промсвязьбанка Валентина Кузьмина предостерегает, что "квалификация мошенников растет вместе с противомошенническими достижениями и преступники будут постоянно искать новые способы доступа к счетам клиентов". Поэтому банки должны более плотно взаимодействовать друг с другом в борьбе с этой угрозой, заключает она.