Мошенники создали суперспособ кражи денег с карт
Мошенники изобрели новый способ кражи данных и денег с банковских карт.
В отличие от «традиционных» методов, новое устройство, которое тоньше человеческого волоса, клиент не видит, что и делает его практически беспомощным перед преступниками.
Мошенники, специализирующиеся на кредитных картах, разработали новую технологию — «шимминг», позволяющую похитить номер банковской карты, ее PIN-код и другие данные через банкомат.
Об этом сообщил специалист Cisco Systems Джейми Хири в блоге Cisco Security Expert со ссылкой на компанию-производителя бакноматов Diebold.
По оценкам последней, из-за шимминга финансовые организации и частные лица теряют миллиарды долларов в год.
Устройства для кражи данных прошлого поколения, получившие название «скиммеры», представляли собой накладки на банкоматы.
Шиммеры, в отличие от них, незаметны: тонкая гибкая плата вставляется через щель картридера (устройство для приема карт) и считывает данные введенных карт.
«Такой тип мошенничества нетривиален с технической точки зрения, — чуть ли не восхищается ловкостью злоумышленников эксперт из Cisco Systems.
— Прокладка должна быть очень гибкой и тонкой.
Фактически, она должна быть тоньше 0,1 мм в большинстве случаев, чтобы уместиться в картридере и не мешать введению кредитных карт».
Чтобы более зримо представить, какое мастерство нужно для изготовления мошеннического устройства, эксперт приводит сравнения: толщина кредитки — примерно 0,76 мм, крупицы соли — 0,5 мм.
Толщина человеческого волоса — около 0,18 мм. То есть плата для шимминга должна быть почти в два раза тоньше волоса.
По данным эксперта, такие устройства недавно начали массово выпускаться и уже «широко используется в некоторых частях Европы».
В компании Diebold заявили, что знают о существовании этой разновидности мошенничества.
«Однако о случаях ее применения в России нам пока ничего не известно, — сказал системный инженер компании Diebold в России и СНГ Иван Стригин.
— Для борьбы со всеми известными способами скимминговых атак на банкоматы (и в том числе с шиммингом) у нас уже есть портфель антискимминговых решений и сервис удаленного мониторинга Diebold ATM Security Protection Suite.
В портфель входит специальное устройство, создающее электромагнитное поле вокруг банкомата и мешающее скиммеру или шиммеру считывать информацию с магнитной полосы банковской карты в картридерах, так что данные владельца карты оказываются надежно защищены».
Российские банки пока не сталкивались с шиммингом.
«Классикой» российских карточных мошенников остается скимминг, то есть получение доступа к данным карты путем установки устройств на картридер в банкомате с последующей подделкой карты.
«Злоумышленники любят использовать и механические устройства.
Например, преступники устанавливают в картридер крючки и щупы, карточки застревают в банкомате, и становится возможной их кража.
Этот вид мошенничества называется фишингом», — говорит представитель Diebold.
Для кражи PIN-кодов и персональной информации клиентов преступники подсматривают, как люди пользуются банкоматом, для чего рядом с банкоматом устанавливают миниатюрные видеокамеры.
«Кроме того, преступники могут перехватывать PIN-коды, когда они пересылаются с клавиатуры во внутренний компьютер.
Для этих целей используются проводные отводы в банкоматах или осуществляется удаленная запись электромагнитного излучения электропроводки банкомата, — говорит Иван Стригин.
— Распространены и различные способы захвата и извлечения банкнот из презентера банкомата».
Еще более изощренным способом мошенничества являются манипуляции с операционной системой банкоматов: преступники вторгаются в компьютерную сеть банкоматов для кражи денег и получения информации о счетах.
«Кроме того, хакеры создают небольшие программы, называемые вирусами и червями, которые самостоятельно распространяются через Интернет и могут нанести серьезный ущерб компьютеру внутри банкомата», — перечисляет эксперт.
Несмотря на такое разнообразие схем, адекватной статистики по мошенническим атакам на банкоматы в России до сих пор не ведется, говорят российские банкиры.
«По данным некоторых экспертов, за 2009 год было совершено порядка 200 атак на банкоматы, что составляет примерно 0,24% от общего числа банкоматов в России», — заявили в банке «Ренессанс Кредит».
В России фактов «карточного» мошенничества не очень много по сравнению с их общей численностью в мире, говорит начальник управления администрирования и поддержки карточной системы департамента карточных программ «Москоммерцбанка» Алексей Друкер.
«Большая часть мошеннических операций по картам, выпущенным в России, проходит за рубежом, — говорит эксперт.
— Другими словами, кража информации большей частью тоже происходит именно за рубежом.
Например, когда человек в отпуске расплатился в кафе или гостинице, и информацию украли».
«У меня есть большие сомнения, что эта технология получит массовое распространение в нашей стране, — говорит директор Департамента карточного бизнеса и дистанционного обслуживания банка Unicredit Александр Вишняков.
— Судя по описанию, это технически довольно сложно осуществимо, и, соответственно, довольно дорого.
Для мошенников гораздо проще делать скимминговые устройства более незаметными».
Рекомендации экспертов по тому, как обезопасить себя и свои банковские карты от скимминга, традиционны: не сообщать никому PIN-код, подключить SMS-оповещение о состоянии счета, использовать банкомат, находящийся под видеонаблюдением и в людном месте, и обращать внимание на его внешний вид.
«Кроме того, может быть полезно просто прикрыть ладонью клавиатуру во время ввода PIN-кода и обратить внимание на людей позади.
Не стоит оставлять квитанцию в банкомате», — напоминает Иван Стригин из Diebold.
Однако против такого способа мошенничества как шимминг клиенты ничего сделать не смогут, вынуждены констатировать эксперты.
«В случае шимминга никаких внешних устройств увидеть не удастся», — говорит Алексей Друкер из Москоммерцбанка.
«Главная рекомендация — обзаводиться чиповыми картами, которые защищены от такого типа мошенничества.
Это в данном случае самый надежный способ, и не случайно наш банк в этом году переходит на чиповые карты», — заявил Александр Вишняков из Unicredit.
«Это, конечно, не сможет предотвратить считывание магнитной полосы карты и последующее ее копирование, но поможет клиенту впоследствии вернуть свои деньги, — добавляет эксперт Москоммерцбанка.
— Дело в том, что скопировать информацию с чипа невозможно, по крайней мере, на данный момент таких фактов зафиксировано не было.
При использовании такой карты клиент банкомат обязан производить авторизацию по данным чипа, а не магнитной полосы, а в случае невозможности авторизации по чипу создавать транзакцию типа Fallback».
Тогда практически в 100% случаев мошеннических транзакций ответственность ляжет на банк-эквайер, которому принадлежит банкомат.
Поэтому если кто-то скопирует данные магнитной полосы такой карты, сделает ее дубликат и попытается снять деньги, у клиента будет намного больше шансов опротестовать подобную операцию, говорит Друкер.
Впрочем, как правило, мошенники предпочитают не связываться с подделкой таких карт, так как это слишком сложно и дорого, отмечает вице-президент банка «Интеркоммерц» Денис Хренов.
«Честно говоря, несмотря на стремление максимально защитить клиента, его карту и внедрение новых технологических решений, уровень мошенничества не снижается, — заключает вице-президент Первого республиканского банка Дмитрий Орлов.
— В качестве основной рекомендации, наверное, стоит посоветовать клиентам чаще использовать карту как платежный инструмент, а не как средство для получения наличных».
Источник: www.bfm.ru