Шахрайство з платіжними картками досягло загрозливих розмірів. До тих пір поки банки не перейдуть на чіпові технології, обнулити чужий пластик із магнітною смужкою зможуть навіть студенти

Відео дня

У той час як банки не поспішають переходити на передові карткові технології, шахраї йдуть в ногу з науково-технічним прогресом. Для власника картки такий розклад означає, що втратити гроші він може в будь-який момент і зовсім не обов'язково отоварюватися в сумнівних торгових точках або вводити ПІН-код в банкоматах так, щоб його бачили підозрілі особи поруч. Ризикують всі, хто знімає готівку в банкоматах або розплачується в торговельних мережах.

Про масштаби шахрайства банкіри не говорять навіть Нацбанку Банки - учасники Міжнародних платіжних систем запевняють, що картки набагато надійніші, ніж готівка. У свою чергу Нацбанк, зацікавлений у просуванні НСМЕП (Національної системи масових електронних платежів), звинувачує банкірів у використанні застарілих технологій (картки з магнітною смугою) і приховуванні реальної інформації про масштаби шахрайства.

Проблема, про яку не говорять

Злодії, які підробляють платіжні карти, останнім часом - постійні герої міліцейських зведень. Однак про динаміку шахрайських операцій можна тільки здогадуватися. Виконавчий директор НБУ з питань платіжних систем Віктор Кравець, посилаючись на листування НБУ з СБУ та МВС, припускає, що кількість таких злочинів зростає, але при цьому зазначає, що Нацбанку масштаб проблеми невідомий. "Є офіційні форми звітності, згідно з якими банки повинні інформувати НБУ про кількість і розміри шахрайств у будь-якій сфері діяльності. Але банки, відстоюючи своє реноме, показують тільки те, що не можуть приховати. Наприклад, суми збитків, підтверджені рішеннями судів. В інших випадках вони просто покривають збитки від злочинів власними ресурсами ", - пояснює Кравець.

Українська міжбанківська асоціація членів платіжних систем ЕМА в березні заявила, що в останні два роки через банкомати українських банків було знято понад $ 5 млн за допомогою підроблених закордонних карток. Тоді ж ЕМА повідомила про те, що в 2004 році стався витік даних з банкоматної мережі у зв'язку з недотриманням окремими українськими еквайрами вимог щодо шифрування ПІН-блоку. Банкіри не приховують, що злочинці продовжують підключатися до банкоматних кабелів, однак замовчують розмір збитку. Зазвичай постраждалим власникам карток без зволікань повертаються гроші, і інформація про атаку на банк залишається невідомою навіть правоохоронним органам. Як стверджує начальник департаменту державної служби боротьби з економічною злочинністю МВС України Леонід Скалозуб, 90% карткових злочинів розкриваються не за заявами банківських установ.

Про те, що шахраї всерйоз докучають банкам, свідчать деякі непрямі ознаки. "Деякий час тому банки закуповували найпростіші банкомати, у тому числі ті, які були зняті з експлуатації за кордоном. В останній рік вони чомусь не шкодують коштів і купують дорогі машини, оснащені камерами спостереження ", - говорить Кравець. Примітно також, що в серпні поточного року депутатом Олександром Карпов, який очолює ЕМА, був внесений до парламенту законопроект, що підвищує вимоги безпеки до операцій з платіжними картами.

З дисконтної в платіжну

Слабкою ланкою вітчизняної карткової індустрії вважаються магнітні смуги. Міжнародні платіжні системи вже давно рекомендують банкам безпечну, але дорогу чіп-технологію. Нацбанк у свою чергу, рекламує дешевший аналог - технологію НСМЕП.

Магнітна смуга картки містить інформацію тільки про персональні дані власника (ПІБ) і номер рахунку в банку. Тому, щоб видати готівку, банкомат повинен звернутися до центрального комп'ютера за інформацією про наявність на рахунку необхідної суми грошей. Дані, які банкомат, відправляє в банк, можна перехопити, підключившись до відповідного кабелю (до речі, докладні інструкції про те, як це зробити, без праці виявляються в інтернеті). Судячи з усього, так і надходять шахраї, які користуються тим, що далеко не всі українські банки, всупереч вимогам міжнародних платіжних систем, подбали про криптографічний захист трафіку.

При наявності ПІН-коду та інформації, що міститься на магнітній смузі, підробка картки - справа нехитра. Матеріалом для майбутнього "платіжного засобу" може послужити дисконтна або клубна картка, ключ до електронного замка. Намагнітити і ембосувати карту (нанести опуклі елементи), а також забити в магнітну смугу потрібну інформацію можна за допомогою спеціальних пристроїв, які, подейкують, недорого придбати на київському радіоринку.

На відміну від магнітної смуги чіп (маленький мікропроцесор, вмонтований у картку) містить всю інформацію про банківський рахунок. Тому чіпова картка не потребує процедури ідентифікації та персоніфікації, а значить, працює в режимі offline. Інакше кажучи, банкомат не повинен надсилати запит у банк, і шахраї, відповідно, не можуть скачати інформацію.

Нині сертифікацію на право випуску чіп-карт пройшли тільки кілька банків - Приватбанк, Укрексімбанк, Аваль, Укргаз-банк, Правекс-Банк. Переходити на EMV-технології планують й інші великі банки. Справа в тому, що міжнародна система Visa International з 1 січня 2006 покладе відповідальність за шахрайства на банки-емітенти, які не використовують чип-технології. Сьогодні клієнтам відшкодують збитки або емітенти, або еквайри (банки, здійснюють розрахунки за картками) - залежно від виду злочину. Втім, перспектива опинитися крайнім навряд чи змусить емітентів відмовитися від карток із магнітною смугою. Оскільки закупівля нової технології, а також переобладнання банкоматів і платіжних терміналів - справа витратна і марудна, ніж відшкодування збитків потерпілим.

Інформація під захистом

Для протидії розкраданню банкіри вже давно надають таку послугу, як SMS-банкінг - надання оперативної інформації з карткових транзакцій на мобільний телефон. Відносно нова антишахрайська послуга банків - зміна ПІН-коду. "Всім рекомендую періодично міняти ПІН-код. Навіть якщо інформація по картці вже десь завантажена, зміна ПІН-коду захищає картодержателя ", - говорить директор департаменту роздрібних продуктів банку" Надра "Наталія Степанова.

В цілому, більш-менш безпечно можуть почуватися клієнти банків, які використовують цілодобовий online моніторинг транзакцій за картками, прогресивну систему шифрування інформації про транзакції, відеоспостереження в банкоматах, а також жорсткі ліміти на зняття готівки. На думку про те, що не всі банки досягли успіху за всіма пунктами, наводить той факт, що питання про шахрайство та запобігання, викликає у банкірів легку істерику. Так, з усіх найбільших гравців ринку платіжних карт на пропозицію розповісти про свої захисні заходи відгукнулися тільки "Надра" і "УкрСиббанк". "Міжнародні платіжні системи вимагають шифрувати ПІН-блок, ми зашифрували ще й трафік", - розповіла Наталія Степанова. А Олександр Мороз, начальник управління процесингу міжнародних платіжних систем УкрСиббанку повідомив, що в банку за допомогою систем відеоспостереження отримують і колекціонують фотографії "кардерів-ходоків по банкоматах", якими діляться як з іншими банками, так і з правоохоронними органами.

Ловлять кардерів за допомогою існуючої в рамках ЕМА системи обміну інформацією Exchange-Online, що дає змогу відтворити точний маршрут злочинів і зібрати всю інформацію про злодія. А от для профілактики шахрайства ЕМА лобіює зміни до законодавства. У законопроекті Карпова серед іншого передбачається зобов'язати торговців здійснювати операції з карткою тільки в присутності її держателя, а також заборонити еквайрам і торговцям вимагати від картодержателя ПІН-код.

Зміни хочуть внести і до Кримінального кодексу. У правоохоронних органах нарікають на те, що підробляти платіжні картки простіше й прибутковіше, ніж займатися фальшуванням. До того ж, до карткових шахраїв застосовують менш жорсткі санкції. Тому згаданим законопроектом пропонується збільшити максимальний термін позбавлення волі для карткових шахраїв з п'яти до десяти років.

Втім, ні прогресивними технологіями, ні посиленням кримінальної відповідальності викорінити шахрайство не вдасться. Можна тільки прогнозувати, зниження рівня злочинів до західноєвропейського в міру розвитку банківських технологій та накопичення досвіду в українських банків.

Основні способи отримання конфіденційної інформації шахраями

1. Фішинг. Розсилка електронних листів, що закликають відвідати нібито банківську web-сторінку і оновити інформацію про свій рахунок. Як не дивно, карткоутримувачі багатьох країн, зокрема США, на це ведуться. Шахраї потім за допомогою цієї інформації обкрадають банки інших країн.

2. Змова з персоналом торгової точки. Один час в Україні мали місце крадіжки за картками класу Gold, чиї власники засвітили в торгових точках свої ПІН-коди. Ще один трюк, застосовуваний у магазинах, - вставка в POS-термінал спеціального пристрою, що списує інформацію з магнітної смуги.

3. Установка спеціальних пристроїв у банкоматах. Насадки на клавіатуру, конверти, що вбудовуються в отвір для карток, відеокамери - все це гіпотетично може використовуватися для того, щоб фіксувати і запам'ятовувати необхідну інформацію. В Україні поки не практикується.

4. Перехоплення трафіку. Є два канали проходження інформації про картку - з торговельного підприємства до банку і з банкомата в банк. В обох випадках інформація може перехоплюватися дорогою.

Як стати кардером:

1. Знайти кабель, по якому банкомат обмінюється інформацією з банком

2. Завантажити дані про транзакції клієнтів

3. Не потрапити під відеоспостереження

4. Купити на радіоринку програматор для магнітних карт

5. Намагнітити і ембосувати дисконтну або клубну картку

6. Зняти гроші

Наталія ЗАДЕРЕЙ, "Контракти"

www.kontrakty.com.ua