На российском рынке пластиковых карт разгорелся громкий скандал. Платежные системы Europay и Visa, расследуя недавние случаи мошенничества с пластиковыми карточками, пришли к выводу: в России действует организованная группа, сделавшая такие махинации своим основным бизнесом. Ее жертвами стали уже не менее 280 человек — в основном иностранцы, которые пользовались московскими банкоматами. А всего под угрозой изъятия денег со счетов оказались 65 тысяч владельцев пластиковых карт, информация о которых прошла через компьютерный модуль, использовавшийся мошенниками. Впрочем, ничего удивительного в этом нет. Во всем мире бизнес на мошенничестве с пластиковыми картами уже давно приносит большие деньги. Россия сильно отставала в этом отношении от наиболее развитых стран. Теперь догоняет. Вот мы и решили разобраться, как устроен этот бизнес и как владельцы карточек могут обезопасить себя от мошенников.
Рано или поздно это должно было случиться и в России. Пластиковые карты прочно вошли в нашу жизнь, и естественным следствием этого стало появление новых способов облегчения нашего кармана. Ведь мошенничество с пластиковыми картами широко распространено во всем мире — в ряде стран потери по этой статье достигают 1% от оборота по "пластику". Способов мошенничества с пластиковыми картами изобретено множество, в России пока прижились не все, но кое-что работает, и неплохо.
Карточные фокусы
Самая простая схема жульничества связана с голосовой авторизацией, применяемой при совершении платежей по кредитным картам. Чтобы воспользоваться этой схемой, мошеннику потребуются сообщники в магазине. При считывании информации с карты снимается слип (физический отпечаток карты). Он содержит данные о номере карты, сроке ее действия, фамилию. Этот слип мошенники и используют для изготовления подделок. А когда подлинность карты подтверждается лишь по телефону, кассир с большой вероятностью может нарваться именно на подделку. Особенно если он в сговоре с мошенником.
С дебетовыми карточками несколько сложнее. Чтобы скопировать информацию с такой карты, программное обеспечение магазина необходимо соответствующим образом настроить. Дело в том, что для дебетовых карт предусмотрена не голосовая, а электронная авторизация. Поэтому мошеннику надо снимать не только слип, но и информацию, содержащуюся на магнитной полосе. Ну а дальше все так же, как и с кредитными картами.
Хуже, если карточку у вас украли. Тогда мошеннику не придется изготавливать фальшивую карточку, он может просто пойти и купить по вашей карте все что заблагорассудится — тем более если на карточке нет вашей фотографии.
Несколько сложнее для мошенников получить по украденной карточке наличные. Однако нередко владельцы карт сами помогают мошенникам, давая им возможность тем или иным способом узнать ПИН-код,— получить эту информацию другим путем довольно тяжело. Хотя возможно. Для считывания такой информации на клавиатуру банкомата накладывается тонкая "маска" с микропроцессором, запоминающим нажимаемые вами цифры. А на устройство, которое считывает информацию с карты, "надевается" другое устройство, дублирующее информацию, которая содержится непосредственно на карте. В конце дня "жучки" снимаются: полученная информация позволяет легко сдублировать карты, проходившие через банкомат.
Но наиболее серьезная проблема (именно с ней, похоже, и столкнулись VISA и Europay в России) возникает тогда, когда мошенники вступают в сговор с сотрудником процессингового центра. Если система безопасности не очень надежна, кто-то из сотрудников может получить доступ к информации о ПИН-кодах. Он-то, как правило, и передает эту информацию мошенникам.
Своя игра
Полностью защититься от мошенников, использующих хитроумную технику для махинаций с пластиковыми картами, практически невозможно — новые способы махинаций появляются слишком часто. Однако соблюдение ряда простейших мер предосторожности поможет значительно уменьшить вероятность того, что вы станете жертвой мошенника. Вот некоторые из них.
Если вы расплачиваетесь пластиковой картой в ресторане или магазине, не позволяйте официанту или продавцу унести вашу карточку, чтобы снять слип. В такого рода организациях, принимающих пластиковые карты, должны быть специальные переносные машинки для их "прокатки". Потребуйте, чтобы процедура оплаты была проведена в вашем присутствии, а если это невозможно, сами подойдите к кассе. Кроме того, если продавец решит прокатать вашу карточку дважды (мол, первый слип плохо пропечатался), немедленно потребуйте бракованный экземпляр квитанции. А если продавец успел его порвать — то обрывки: подделать вашу подпись гораздо легче, чем сам слип.
Еще один полезный совет. Никогда не носите (и не храните) пластиковую карточку вместе с бумажкой, на которой записан ПИН-код. Если у вас украдут только карту, вы просто заявите в банк о пропаже и заблокируете деньги на счете. Если же у похитителя окажутся и карточка, и ПИН-код, блокировать будет уже нечего. Помните: тайна ПИН-кода — ваша главная гарантия от неприятностей. Поэтому не стесняйтесь закрывать от посторонних взглядов клавиатуру банкомата, а особо любопытных "зрителей" попросите отойти подальше.
Ни при каких обстоятельствах не давайте карту друзьям и родственникам, как бы вы им ни доверяли. Особенно тем, кто выезжает за границу. Хотя бы потому, что, если банкомат "зажует" эту карту, ее будут извлекать сотрудники банка. И вашему другу или даже родственнику ее уже не отдадут.
Но главное: если у вас есть возможность выбирать, приобретайте карту с максимальной степенью защиты. По мнению экспертов, наиболее надежны чиповые карты (smart-card). Международные платежные системы VISA и Europay недавно объявили о намерении к 2004 году поставить микрочипы на все свои карты. По данным Ъ, первые "умные" карты системы Europay должны появиться в России уже к концу этого года.
Плохой расклад
Впрочем, как уже было сказано, никакие меры предосторожности не могут дать стопроцентной гарантии. Что делать, если вы уже стали жертвой карточного мошенничества?
Если вы заметили, что с вашего счета таинственным образом исчезают деньги, вам надо как можно быстрее сообщить об этом в банк. Тогда вы будете иметь больше шансов доказать, что покупки, сделанные без вашего ведома, совершены не вами. Главное, что нужно сделать,— срочно заблокировать карту. Если карта международная, на ее блокировку по всему миру может уйти до двух недель, так что делать это надо не откладывая. Блокировка обойдется в $50-100, но потенциальные потери из-за промедления могут оказаться куда большими.
Ваши шансы на возврат своих денег весьма высоки, если мошенники воспользовались данными с вашей карты при оплате покупок в магазинах или счетов в ресторанах и гостиницах. Так, если при совершении операции использовалась голосовая или электронная авторизация и вы сумели доказать, что в этот момент не могли находиться в магазине, где была совершена покупка, банк--эмитент карты обязан вернуть вам деньги.
Гораздо хуже, если ваши деньги сняли через банкомат. Дело в том, что для совершения этой операции необходимо знать ПИН-код. А по условиям стандартного договора, который банк-эмитент заключает с владельцем карточки, ответственность за сохранение ПИН-кода в тайне несет владелец карты. Если мошенники узнали его и украли у вас деньги, доказать, что вы никому не сообщали ПИН-код, будет очень трудно.
Лучшим средством борьбы со всеми этими неприятностями является... соблюдение режима. Если в течение длительного времени вы совершали однотипные операции со своей картой и вдруг система нарушилась, для банка это будет сигналом о том, что операции нуждаются в дополнительной проверке. Кстати, платежные системы и банки стали составлять статистику трафика по карточкам — именно на случай несанкционированного их использования.
МАКСИМ БУЙЛОВ, ПЕТР РУШАЙЛО
------------------------------------------------------
ПОЛНОСТЬЮ ЗАЩИТИТЬСЯ ОТ МОШЕННИКОВ, ИСПОЛЬЗУЮЩИХ ХИТРОУМНУЮ ТЕХНИКУ ДЛЯ МАХИНАЦИЙ С ПЛАСТИКОВЫМИ КАРТАМИ, ПРАКТИЧЕСКИ НЕВОЗМОЖНО — СЛИШКОМ УЖ ЧАСТО ПРИДУМЫВАЮТ НОВЫЕ СПОСОБЫ МОШЕННИЧЕСТВА
------------------------------------------------------
С ТОЧКИ ЗРЕНИЯ ПОЛЬЗОВАТЕЛЯ
"Никакого централизованного мошенничества не было"
Так отреагировал на заявления платежных систем VISA и Europay заместитель генерального директора процессинговой компании "Юнион-кард" Андрей Жабинский. Как заявил он корреспонденту "Денег" Павлу Преженцеву, никаких замечаний представители компании Europay после проверки "Юнион-кард" не высказали. А сам скандал с российскими банкоматами является лишь логическим продолжением "дела Bank of New York".
— Как вы отнеслись к заявлениям VISA и Europay о мошенничестве с пластиковыми картами в России? Они заявили, что информация о картах воровалась централизованно...
— Мое мнение: никакого централизованного мошенничества не было. Были отдельные, разовые операции. Например, клиент-иностранец был здесь, в России, в ресторане, потерял карту, потом ею воспользовались, подделали магнитную полосу... Это возможно. Однако все эти проблемы не связаны с процессинговыми центрами. Процессинговые центры во всем мире одинаковы, и то, что "западники" говорят, что, мол, в России плохой процессинговый центр (неважно, наш или другой),— это все ерунда. Europay одинаково сертифицирует как американский процессинговый центр где-нибудь в Оклахоме, так и российский. Требования для всех едины. А мошенничество с карточками происходит постоянно, есть определенный процент незаконных сделок. Почему VISA и Europay с 2004 года собираются перейти на микропроцессорные карты? Только потому, что у них большой процент мошенничества. По нашей информации, сейчас всплеск мошенничества по всем международным платежным системам. При этом в России случаи мошенничества единичные. И выискивать у нас какие-то 200 скомпрометированных карт, когда в некоторых странах счет идет на десятки тысяч,— это смешно. Понятно, что наши конкуренты стали говорить: вот прошли транзакции по 60 тыс. карточек, значит, все они могут быть взломаны. Разумный человек поймет, что все это абсурд. Наш процессинговый центр ничем не хуже любого другого в мире.
— И все-таки кто виноват в тех случаях мошенничества, о которых упоминают VISA и Europay? В системе множество участников: банки, процессинговые центры, каналы связи, изготовители "пластика". И вообще, насколько надежно защищены карты?
— Я не технолог, поэтому не буду подробно рассказывать о том, как технологически защищается карточка во время изготовления. Но я знаю, что это довольно сложная система защиты. Добавлю, что если один человек что-то придумал, найдется другой, который сможет это вскрыть. Об этом не следует забывать. Россия по уровню мошенничества с карточками всегда занимала одно из последних мест в мире. И этот скандал, как нам кажется, возник не в России. Это продолжение скандала вокруг Bank of New York, связанное с нагнетанием антироссийских настроений на Западе. Вы представляете, сколько иностранцев приезжают в Россию? И у всех карточки западные. И ни VISA, ни Europay даже в принципе доказать не могут, что воровство произошло именно в России. Да, эти карточки побывали в России, и что? Может, до России владелец карточки был, предположим, в ЮАР, и там карточку у него украли. Кроме того, когда в Россию приезжали представители Europay, они были в банках, были у нас, смотрели все. Какие-то вопросы возникали, но решались в рабочем порядке. Официально Europay не высказал нам никаких серьезных замечаний. Другой вопрос, под каким соусом это подать. Вольно или невольно получилось так, что СМИ подняли шум: приехал, мол, Europay с проверкой и нашел кучу нарушений.
— Тем не менее скандал налицо. Что же теперь будет делать Europay? Возможны ли какие-то санкции в отношении российских банков?
— Этот скандал — в первую очередь удар по самой платежной системе. Поэтому они должны показать, что борются с недостатками. Но думаю, что отключать они никого не будут. Они могут ужесточить требования к банкам, увеличить размер средств, хранящихся в залоге на Западе. Но это не страшно: там банки под "пластиковые" проекты размещают до полумиллиона долларов.
— Однако вопросы безопасности расчетов по картам это не решает. Как вы сами определяете критерии безопасности?
— В целях безопасности операций по международным платежным картам мы соблюдаем все те требования, которые предъявляет Europay, иначе мы бы не были сертифицированы. В рамках нашей собственной системы "Юнион" у нас свой подход, который, впрочем, во многом схож с подходом международных системах. Если же ФАПСИ накладывает какие-то дополнительные требования, мы, безусловно, следуем и им. Мы, например, имеем все лицензии ФАПСИ на разработку криптографических систем.
— Если в результате проводимого расследования все же выяснится, что информации о карточках утекала именно через процессинговый центр, какие санкции могут применить банки?
— С каждым процессинговым центром банк имеет договор, в котором все подробно расписано. Если этот договор нарушается, банк может предъявить претензии, если нет — нет.
-------------------------------------------------------
ИСТОРИЯ ВОПРОСА
Пластиковая бомба
Еще в феврале--марте VISA и Europay пришли к выводу, что случаи мошенничества с картами этих платежных систем являются звеньями одной цепи. Проведенное в сентябре совместное расследование показало, что следы ведут в Москву. Уже в начале октября информация об этом просочилась в прессу. Пошли слухи, что главный канал утечки информации о картах — процессинговый центр "Юнион-кард". Обе платежные системы прислали в Москву своих представителей и начали проверку.
В середине октября, еще до завершения расследования, представители Europay признали, что 280 карт этой платежной системы были скомпрометированы. Также было установлено, что все они прошли через один из восьми EM-модулей (устройств для связи с Europay), находящихся именно в Москве. Всего через этот модуль прошло 65 тыс. карт, и все банки-эмитенты, выпустившие карты, были своевременно поставлены об этом в известность. Многие российские банки срочно сменили карточки, которые могли быть скомпрометированы. Как бы то ни было, случаев мошенничества с их карточками замечено не было.
Первыми об окончании расследования заявили представители VISA. В конце октября они выпустили официальный пресс-релиз, в котором утверждалось, что в основном мошенники "атаковали" карты платежной системы Europay. А в начале ноября компания официально сообщила, что процессинговый центр "Юнион-кард" не был сертифицирован VISA, так что ни один банк не был уполномочен проводить через него операции с этими картами.
Компания Europay на момент подписания этого номера "Денег" в печать об окончании расследования не объявила.
--------------------------------------------------------
С ТОЧКИ ЗРЕНИЯ ПРОГРАММИСТА
"Люди — самое слабое место в любой защите"
О том, как и где мошенники могут получить информацию о вашей пластиковой карте, корреспонденту "Денег" Петру Рушайло рассказал разработчик программного обеспечения для банкоматов, сотрудник компании "Ланит" Алексей Каритич.
— В принципе информацию о пластиковой карте можно получить на самых разных этапах обработки данных банкоматом. Можно, например, поставить "жучок" непосредственно на кабель, выходящий из банкомата. Но это технически довольно сложно. Для этого кабель нужно выкопать, разрезать, "вживить" устройство, да еще и проделать все это так, чтобы никто не заметил. Поэтому обычно мошенники устанавливают "жучок" не на сам кабель, а на так называемый концентратор HUB (на профессиональном сленге — "хаб"). Это устройство концентрирует информацию с банкомата, идентифицирует ее и, если она соответствует неким нормам (условно говоря, если в банкомат вставили именно ту карту, которую нужно), направляет далее по сети. Так вот, у этой "хабы" несколько портов, часть из которых не задействована. "Жучок" можно подключить к свободному порту и "видеть" всю информацию, идущую с банкомата.
— Для этого необходимо "подобраться" непосредственно к банкомату. А нельзя ли все это сделать на расстоянии?
— Теоретически можно. Как правило, связь с банкоматом осуществляется через жестко выделенные линии, которые где-то проложены. Если узнать, что это за линии, подключиться есть шанс. Кроме того, многие банки концентрируют информацию о транзакциях в Интернете. В принципе, если добраться до соответствующего узла в сети (хоста), можно получать информацию о работе всех банкоматов данного банка. Однако место нахождения такого хоста засекречено. Можно, конечно, наткнуться на него случайно, но вероятность этого крайне мала. Кроме того, интернетовские пути, по которым информация с банкоматов идет на данный хост, также постоянно меняются, причем практически ежесекундно. Единственный реальный шанс поймать узел, где собирается информация по транзакциям,— поставить пару "жучков" на банкоматы и попробовать отследить, куда идут данные. Если точно знать путь, по которому следует информация, подключиться к его отрезку технически несложно.
— А проникнуть в саму банковскую систему?
— Этот вопрос уже не относится собственно к карточным мошенничествам. Это вопрос защиты компьютерных сетей вообще. Можно просто взломать сеть банка или процессинговой компании и списать деньги со счета какого-либо клиента на свой.
— Допустим, мошенникам удалось подключиться к банкомату. Какую информацию они получат и как смогут ее использовать?
— Они могут считать информацию с так называемого второго трека магнитной ленты пластиковой карты. Именно там зафиксированы данные для проверки подлинности карты. Другое дело, как эту информацию использовать. Теоретически не очень сложно изготовить копию магнитной полосы. Но вот дальше начинаются трудности. Ведь карта — это не только магнитная лента. На ней выдавлены фамилия и номер карты, причем поверх голограммы. Имеются и другие степени защиты. И любой опытный банковский работник и квалифицированный продавец сразу отличат подделку.
— А если наклеить поддельную полосу на правильную карту?
— На банковском терминале сразу же будет видно, что лицевая сторона карты и предъявленное вами удостоверение личности не соответствуют содержанию магнитной полосы.
— Ну хорошо, а если просто вставить такую карту в банкомат — он же не смотрит на фотографию?
— Чтобы получить деньги через банкомат, необходимо знать ПИН-код. А его-то как раз вам получить и не удастся, даже если вы умудритесь залезть на хост банка в Интернете.
— Но вы же сказали, что туда попадает вся информация по транзакциям. Если при этом не проходит ПИН-код, как вообще система понимает, что картой пользуется законный владелец?
— Информация о ПИН-коде, конечно, проходит. Однако она уходит из банкомата уже в зашифрованном виде, причем шифруется с помощью довольно сложного ключа. Таким образом, ПИН-код в зашифрованном виде вы получить можете. Но какие именно цифры следует нажимать на клавиатуре банкомата, знать не будете.
— А взломать ключ шифра нельзя?
— Очень трудно. Если оценивать степень защищенности современных платежных систем, на взламывание кода придется потратить весьма значительные деньги — миллионы долларов.
— Ну а если подкупить сотрудника банка, чтобы он сообщил ключ?
— Как правило, таких сотрудников нет. Ключ состоит из нескольких частей, и все эти части сразу не знает ни один сотрудник банка. Это обычное требование безопасности.
— Остается еще один вариант — просто подсмотреть, что владелец карты набирает на клавиатуре банкомата?
— Во-первых, подсмотреть не так просто. А во-вторых, тогда можно и "жучки" не ставить, а просто выкрасть бумажник.
— По вашим словам выходит, что подделать карточку, а потом эффективно использовать ее практически невозможно. Откуда же тогда такой объем мошенничеств с карточками?
— Если речь идет о банкоматах, поддельная карта бесполезна: получить деньги с нее не удастся никак. Но если у устройства есть оператор, то операцию можно провести в сговоре с ним с помощью карточки без необходимых защитных элементов. Человек — самое слабое место в любой защите.