В первой части этого материала мы рассмотрели новые технологии и устройства, которые берут на вооружение кардеры — «ловцы» банковских карт. Теперь же поговорим о самых опасных для данной категории преступников манипуляциях, а в конце обязательно дадим советы, как снизить риск оказаться жертвой этих нехороших людей.
Большая часть работы кардера не требует высокой квалификации. При этом некоторые операции, например установка оборудования, несут в себе значительный риск. Поэтому нередко эти функции отдаются на аутсорсинг соответствующим специалистам.
Опытный человек тратит на установку в банкомат криминальной аппаратуры около 30 секунд. Разумеется, это делается только после тщательной разведки, анализа расположения камер безопасности, выбора оптимального «тихого часа» и с помощью ассистента, контролирующего подступы к объекту.
Грамотного «установщика» не так-то просто поймать за руку. Спокойный, респектабельно одетый господин будет утверждать, что всего лишь заметил на банкомате некую странную штуку и хотел проверить свои подозрения, перед тем как позвонить в полицию. Поди докажи обратное, особенно если тюбик с клеем и прочий специальный инструментарий уже сброшены. В частности, по этой причине все банковские инструкции предписывают действительно добропорядочным гражданам ничего подозрительного не трогать, а сразу бить тревогу.
Помимо банкоматов заслуженным вниманием кардеров пользуются и другие терминалы, принимающие банковские карты. Это автоматы на бензозаправках, киоски для продажи билетов на транспорт, вендинговые машины и так далее. За подобными устройствами, как правило, присматривают меньше, чем за банкоматами. Да и обычные люди от них подвоха не ждут — отсутствие манипуляций с наличными действует расслабляюще.
После установки аппаратуры для преступников наступает горячая пора «жатвы». Им необходимо успеть клонировать как можно больше карт, пока закладка не обнаружена, — после обнаружения возрастает риск блокировки банком уже «пойманных» карточек. Чтобы оперативно отслеживать ситуацию, невдалеке от банкомата — в машине или в кафе напротив — нередко размещают наблюдателя.
Если никто не обратил внимание на «усовершенствованный» банкомат и не сработала банковская служба безопасности, то криминальная система работает до истощения заряда аккумуляторных батарей — а это до тысячи украденных карт.
Самые жадные кардеры после этого снимают оборудование для перезарядки, а самые умные просто бросают — меньше риска. Стоимость аппаратуры все равно многократно оправдывается уловом, который может достигать многих десятков тысяч долларов.
Получение денег по клонированным картам — это отдельный высокорисковый бизнес, и его часто также отдают на аутсорсинг. Как правило, в процессе участвуют несколько человек — на криминальном жаргоне их называют «мулами».
Иногда мулы работают непосредственно на кардера, сдавая ему выручку и получая свой процент. Иногда они просто покупают через Интернет пакет украденных магнитных дорожек и действуют полностью автономно, часто уже совсем в другой стране.
Легкость умыкания денег с банковских карт во многом связана с примитивностью технологии защиты. Первые платежные карты с магнитной полосой появились совсем в другую эпоху — почти полвека назад, когда о доступности устройств для считывания и клонирования карт не могло быть и речи.
Легкость умыкания денег с банковских карт во многом связана с примитивностью технологии защиты
Записанная на магнитной дорожке информация, по сути, ничем не защищена, а главным секретом, удостоверяющим законность транзакции, является достаточно уязвимый, очень короткий PIN-код. Существует несколько более поздних усовершенствований технологии защиты, но они до сих пор остаются опциональными.
Разумеется, платежные системы и банки задумались об этой проблеме не сегодня. Куда более защищенные карты стандарта EMV, которые помимо магнитной полосы включают также специализированный чип, в Европе получили распространение уже больше 20 лет назад.
Отличие здесь в том, что чип нельзя просто скопировать, как магнитную полосу. По запросу терминала микросхема каждый раз создает уникальный одноразовый ключ. Этот ключ можно перехватить, но он уже не будет действителен для следующей транзакции.
Исследователи безопасности обнаружили ряд уязвимостей EMV-карт, но использовать их на практике весьма непросто. Так что сидеть бы специализирующимся на скиммерах преступникам без дела, если бы не одно «но». Переход на карты с чипом — это очень долгий, сложный и дорогой процесс, который включает множество различных сторон.
Ведь перейти должны все: платежные системы, банки, бизнесы, принимающие карты, производители платежных терминалов, банкоматы и так далее. Поэтому во многих странах мира, даже вполне развитых, до сих пор используется множество карт и терминалов без поддержки EMV.
А стало быть, даже если ваша карта оснащена чипом, это совсем не значит, что с нее нельзя украсть деньги. Чтобы обеспечить совместимость со старыми терминалами (а также повысить отказоустойчивость), транзакция с EMV-картой может быть проведена без использования чипа, по данным магнитной полосы.
Именно поэтому США, где система EMV масштабно внедряется только сейчас, уже многие годы лидируют в мире по числу случаев скимминга, отмечает European ATM Security Team. В числе других рисковых стран — Индонезия и Таиланд, а в Европе плохой репутацией пользуются Болгария и Румыния.
Украденные деньги банк может и возместить клиенту, особенно если по правилам ответственность за мошенническую операцию можно переложить на кого-то еще — платежную систему, владельца банкомата или страховую компанию. А может получиться совсем по-другому, и ответственность будет переложена на пользователя, таких историй масса. Поэтому спасение утопающих, как обычно, прежде всего в руках самих утопающих.
Стопроцентной гарантии от хищения денег с карты, к сожалению, не существует, но соблюдение нескольких простых правил может существенно снизить риск.
- Если карта не оснащена EMV-чипом, то от нее лучше отказаться. Скорее всего, банк заменит ее на чиповую по вашему требованию. Чип не гарантирует полную защиту, но немного снижает риск.
- Подпишитесь на SMS-уведомления об операциях по карте. Чем раньше вы обнаружите пропажу денег, тем выше вероятность, что их удастся вернуть.
- Если вы не заядлый путешественник, выясните в банке, есть ли возможность ограничить географию совершения транзакций (на время отпуска можно просто «включить» нужную страну). Это очень эффективная мера, уже доказавшая свою состоятельность в ряде европейских стран.
- Не стоит везде использовать карту, на которой у вас много денег. Чем меньше по ней будет платежей, особенно в новых незнакомых местах (например, зарубежных поездках), тем лучше. Для высокорисковых операций можно завести отдельную карту с небольшой суммой.
- Выбирайте банкоматы в людных, хорошо освещенных и охраняемых местах — например, в помещении банка. И, наоборот, избегайте отдельно стоящих уличных терминалов и банкоматов в закоулках торговых центров.
- Когда набираете PIN-код, встаньте ближе к банкомату и прикрывайте клавиши рукой. Накладки на клавиатуру пока еще встречаются относительно редко, куда выше риск, что вас снимут на камеру или PIN подсмотрит наблюдатель за вашей спиной. Не забывайте периодически менять PIN-код (в офисе банка или в надежном банкомате), особенно после рискованных операций.
- Обращайте внимание на всякого рода странности в устройстве банкомата и окружающей его обстановке. Не все кардеры профессиональны, и не все пользуются безупречным оборудованием. И уж, безусловно, не стоит прокатывать вашу карту через размещенный рядом с банкоматом «аппарат для чистки магнитной полосы» — как ни странно, на эту простую уловку ведется очень много людей.
- Пересчитывайте выданные банкоматом деньги. Существуют специальные ловушки, которые помещаются в лоток для купюр и способны цеплять отдельные банкноты. Если банкомат отказывается вернуть карту, это также может быть признаком мошенничества — звоните в банк сразу, не отходя от терминала. Подобные криминальные схемы получили широкое распространение в Европе после внедрения EMV-защиты.
- Не выпускайте карту из вида при платежах в ресторанах и магазинах — существует множество компактных ручных сканеров, а ввод PIN-кода в таких местах несложно подсмотреть.
- Не демонстрируйте карту незнакомым людям и не выкладывайте ее фотографии, даже с одной стороны. Уйма интернет-сайтов позволяет провести платеж без кода CVV2 (он напечатан на обратной стороне карты), не говоря уже об отсутствии поддержки двухфакторной аутентификации (одноразовые SMS-пароли).
Будьте осмотрительны. Банковская карта — очень удобный инструмент, но бывают ситуации, когда легкость его использования оборачивается против нас. И помните: иногда лучше показаться смешным, чем потом сожалеть о собственном разгильдяйстве.
Источник blog.kaspersky.ru