Скимминг, траппинг и ливанские петли…
Как и в любой другой сфере, на рынке платежных карт водятся преступники. Нечистые на руку люди жаждут завладеть деньгами беспечного держателя карточки. Мы уже останавливались на фишинге, который обитает в интернете. А сегодня в рамках проекта «Ставим на карту» Myfin.by и Александр Сотников, директор ЗАО «Платежная система БЕЛКАРТ», расскажут о способах карточного офлайн-мошенничества, скимминге, траппинге и ливанских петлях, а также посоветуют, как избежать неприятностей при использовании платежных карт в банкоматах и предприятиях торговли и сервиса.
Явление есть, проблемы нет
На самом деле, проблема мошенничества по карточкам в Беларуси остро не стоит.
– Во всех международных исследованиях, графиках и табличках, отображающих уровень карточного мошенничества в разных странах, Беларусь находится в самом конце списка, – рассказывает Александр Сотников. – Случаются, конечно, единичные случаи хищений, но остро эта проблема не стоит. Во-первых, у нас очень хорошо работает Управление «К» (Управление по раскрытию преступлений в сфере высоких технологий). Кроме того, в Беларуси доля кредитных карт не очень высока, а кредитные карты более подвержены риску мошенничества в силу того, что там обычно существенные остатки на счетах. Да и в целом уровень заработных плат, а значит, и остатков на картах, у нас небольшой. Для иностранных мошенников это не интересно.
Почему акцент делается именно на иностранных мошенниках? Потому что подавляющее большинство случаев мошенничества происходит именно с их участием. Часто карты белорусов считываются в ходе зарубежных поездок. Но даже если данные карты были скопированы на территории Беларуси, велика вероятность того, что деньги будут сниматься где-нибудь за рубежом.
Несмотря на то, что случаи несанкционированного снятия средств с платежных карт в Беларуси редки, да и в целом тренд смещается от физического мошенничества к виртуальному, в режиме онлайн, узнать о скимминге будет нелишним. Не даром говорят, предупрежден – значит вооружен.
Скиммеры и иже с ними
Скиммер — это накладка, внутри которой находится устройство, считывающее информацию с магнитной полосы платежной карты. В дальнейшем эта информация будет использована для изготовления дубликата карточки. Обычно скиммеры крепятся на банкомат, а чтобы узнать ПИН-код, мошенники используют скрытые видеокамеры и накладные клавиатуры.
Скиммер и накладная клавиатура
– Скажу откровенно – распознать скиммер нелегко, – рассказывает А. Сотников. – Они бывают разные, и качество исполнения хороших дорогих моделей мало чем отличается от оригинала. Даже специалисты не всегда способны выявить накладку, не говоря уж о простых обывателях.
Банки, конечно, пытаются бороться со скиммингом. Разрабатываются разнообразные антискимминговые накладки, которые призваны защитить банкомат от установки каких-либо дополнительных устройств. Но через некоторое время появляются новые виды скиммеров, адаптированные для таких накладок, и все повторяется.
Кроме того, у антискимминговых накладок есть и оборотная сторона.
– На одной из моделей банкоматов были установлены специальные накладки против скиммеров, похожие на дно от стеклянной бутылки, – рассказывает А. Сотников. – Люди, которые более-менее разбираются в этих вопросах, понимают – ага, здесь скиммера точно не будет. Но поставь ты на другой банкомат точно такой же скиммер – и все будут думать, что это антискиммер.
Накладка, призванная защитить банкомат от установки скиммеров
Некоторые банки встраивают в банкоматы специальное программное обеспечение, которое напоминает клиенту, что необходимо изучить клавиатуру и картоприемник, показывает эти устройства на картинках в том виде, как они на самом деле должны выглядеть…
– Это, конечно, попытка решить проблему, но не панацея, – считает А. Сотников. – Когда клиент в 5-й или 10-й раз приходит к одному и тому же банкомату, он просто автоматически нажмет все необходимые кнопки для начала работы, и не станет ничего тщательно рассматривать. Поэтому ценность такой информации быстро девальвируется.
Естественно, банки следят за своими банкоматами и регулярно проверяют их на наличие скиммеров. Но даже если банк осматривает банкомат каждый день, это еще не гарантия того, что в нем вы точно не столкнетесь со скиммером.
– Современные скиммеры могут быть оснащены GSM-модулем, – поясняет А. Сотников. – Данные, скопированные с карточек, могут передаваться мошеннику, который находится поблизости, буквально в режиме реального времени. Точно так же в режиме онлайн данные могут передаваться так называемым «заливщикам», которые записывают украденную информацию на «болванки» платежных карт, и «обнальщикам», которые занимаются непосредственно снятием денег с карты. Был случай, когда в Беларуси деньги были обналичены уже через два часа после того, как карта была скопирована. Поэтому даже ежедневная проверка банкомата не является залогом успеха. Иногда мошеннику достаточно буквально на пару часов установить скиммер в людном месте – и он, возможно, даже не станет за ним возвращаться.
Иногда скиммер легко можно опознать. Одним из основных признаков скиммера является его плохое крепление.
– Скиммеры могут двигаться, если их потрогать, могут немножко не подходить по размерам. Самый простой способ определения скиммера – подергать его, он может шататься или даже отвалиться, – советует А. Сотников. – Но последние случаи показывают, скиммеры иногда приклеивают очень прочно. То же самое касается и накладной клавиатуры.
В последнее время наряду со скиммерами стали появляться шиммеры – очень компактные электронные устройства, которые устанавливаются вглубь картоприемника. Толщина шиммера составляет порядка 0,1-0,2 мм, и определить его наличие по каким-то внешним признакам крайне затруднительно. Правда, такая техника очень дорогая, поэтому шиммеры не получили широкого распространения среди кардеров.
– Мне кажется, что пока мировое сообщество не нашло каких-то серьезных решений в части борьбы со скиммингом, – считает А. Сотников. – Но доводить ситуацию до абсурда и буквально обнюхивать каждый банкомат тоже не стоит. Тем более, повторюсь, скимминг в Беларуси не получил широкого распространения.
Примитивные ловушки
Наряду со скиммерами существует еще немало способов украсть деньги с карточки в режиме офлайн. Весьма распространенное явление – так называемые ливанские петли.
Ливанская петля
Ливанская петля – своеобразный блокиратор, который вводится в картоприемник и препятствует возврату карты из банкомата. Часто он изготавливается из обычной фотопленки. Схема элементарная. Вы вставляете карточку в банкомат, а обратно получить уже не можете – ее удерживает эта самая петля. Вы начинаете волноваться, и тут к банкомату подходит «добрый человек». Он сообщает, что вчера-позавчера-неделю назад попал в такую же ситуацию, набрал ПИН-код, и банкомат тут же выплюнул карту. Или, к примеру, делится с вами «секретным кодом» звездочка-ПИН-код-решетка, после ввода которого банкомат непременно вернет карту.
Вы следуете советам «помощника», набираете ПИН-код (мошенник в это время тщательно его запоминает), но ничего не происходит. «Помощник» разводит руками – мол, не знаю, лично мне это помогло. Вы направляетесь ругаться в банк, а мошенник извлекает вашу карту из картоприемника и снимает деньги. «Развод» – до безобразия простой и действенный.
– Оптимальное решение проблемы – банкомат карту изъял, и вы ее тут же заблокировали. Это должно стать нормой поведения, – рекомендует А. Сотников.
Специальные ловушки существуют не только для картоприемника, но и для шаттера — отверстия, через которые выдаются деньги. Такая ловушка называется «траппер». Механика схожа с ливанской петлей, только шаттер не выпускает из банкомата не карточку, а деньги. Вы, опять же, отправляетесь разбираться в банк, а мошенник в это время забирает деньги.
– Это, на мой взгляд, самая неприятная ситуация, – считает А. Сотников. – Для банка она легальна. Вы вставили карту, ввели ПИН-код, банкомат выдал деньги. И идентифицировать такую операцию как мошенническую очень сложно. Камеры здесь тоже не всегда помогут – во-первых, далеко не всегда они пишут в режиме 24/7, чаще запись ведется только тогда, когда осуществляется операция. Во-вторых, качество записей часто оставляет желать лучшего. В третьих – если кардер профессионал, он никогда не «засветится» даже на самой лучшей камере.
К слову, до Беларуси траппинг пока не докатился – он менее выгодный, чем скимминг.
За рубежом иногда встречаются фантомные банкоматы, которые обычно устанавливаются в местах, где нет других, реальных банкоматов, и где территория не контролируется какой-либо службой охраны. На экране фантома высвечивается обычное меню. Человек вставляет карту и в ответ получает сообщение об ошибке. Ничего не подозревая, он уходит. А тем временем все данные с карты уже скопированы.
Также нужно отметить, что ваша карта может быть скопирована не только в банкомате со скиммером, но и в магазине, ресторане, салоне красоты и любом другом предприятии торговли и сервиса. В Беларуси такие случаи единичны, но, тем не менее, нужно быть бдительным и не терять свою карточку из вида.
– Например, вы отдали свою карту официанту в ресторане, а он пошел и «прокатал» ее, – поясняет А. Сотников. – Но в таком случае должен иметь место сговор между кардерами и работниками заведения, в то время как с банкоматом договариваться не нужно. А два человека «в деле» – это уже более высокие риски.
Теоретически обслуживающий персонал может банально запомнить все реквизиты вашей карты и использовать их, например, для расчетов в интернете. Поэтому за рубежом во многих станах мира карта не передается кассирам даже в магазинах – клиент осуществляет все необходимые манипуляции самостоятельно. К слову, в Беларуси тоже начали появляться такие магазины.
Три шага на пути к безопасности
Для держателей банковских платежных карт разработано огромное количество разнообразных инструкций и правил безопасности. Мы не будем их повторять, а выделим три важнейших инструмента, которые могут надежно защитить вас от происков кардеров.
– Самое главное – это подключить услугу СМС-оповещения, – считает А. Сотников. – По крайней мере, для зарубежных транзакций. Часто у нас как делают – подключают оповещение только на время поездки и, вернувшись, отключают услугу. Это неправильно, поскольку операция по скопированной карте может быть проведена гораздо позже. СМС-оповещение реально работает. Довольно часто мошенники сначала проводят пробную транзакцию, или смотрят баланс. Вообще СМС о просмотре баланса приходить не должно, но большинство банков взимают комиссии при просмотре баланса в чужих банкоматах или за границей, и может прийти оповещение о списании этой комиссии. В моей практике был такой случай. Люди получили такую СМСку, быстро сориентировались и заблокировали карту. И все обошлось.
Естественно, карту при попытке несанкционированного доступа нужно блокировать как можно быстрее. Хорошо, если банк позволяет это сделать самостоятельно посредством СМС-сообщения или через интернет-банкинг. Но такая возможность существует не всегда.
– Второй важный инструмент – управление лимитами, – считает А. Сотников. – Если вы сейчас в Беларуси и точно знаете, что сегодня за границу не поедете, ограничьте международные транзакции. Можно устанавливать ограничения по типам операций. Лично у меня по всем моим карточкам всегда закрыты операции в интернете. Когда у меня появляется необходимость оплатить что-то онлайн – я снимаю ограничение, а потом снова его устанавливаю.
Для этого, опять же, необходима возможность управления лимитами через интернет-банкинг. Такую услугу предлагают не все банки, поэтому нужно тщательно выбирать эмитента и карточный продукт.
– Если вы управляете лимитами и имеете СМС-оповещение – вас будет очень сложно застать врасплох, – считает А. Сотников.
Третья ступень защиты – это карта с чипом. Во-первых, такую карту сложнее подделать, во-вторых, существует такое понятие как соглашение о переносе ответственности. Суть его заключается в том, что если вы проводите операцию по чипованной карте в банкомате, который не обслуживает чипованные карты, вся ответственность в случае чего ложится на банк, который установил этот банкомат.
Ну и конечно не теряет актуальности диверсификация рисков путем формирования оптимального карточного портфеля. На этой теме мы уже останавливались подробно.
Источник: www.myfin.by