Кредитный помощник

Проблема безопасности карточных операций

Что такое карточное мошенничество

Под карточным мошенничеством понимаются преднамеренные обманные действия некоторой стороны, основанные на применении технологии пластиковых карт и направленные на несанкционированное овладение финансовыми средствами, размещенными на "карточных" счетах клиентов банков - эмитентов пластиковых карт, или средствами, причитающимися торговому предприятию за операции по картам. Специалисты карточное мошенничество часто называют фродом.

Примечание. От англ. fraud - мошенничество, обман.

Мошенничества условно принято делить на две группы:

мошенничества со стороны эмиссии карт;
мошенничества со стороны обслуживания карт.

К первой группе относятся мошенничества, связанные с несанкционированным использованием карт эмитента (украденная карта, поддельная карта, кража идентификаторов держателя карты и т.п.), ко второй - мошенничества, инициатором которых стало торговое предприятие (поддельные (искаженные) слипы, повторный ввод операций и т.п.).

В качестве показателя уровня мошенничества рассматривается отношение объема понесенных финансовых потерь к общему объему продаж, выполненных по платежным картам (F/S, или Fraud/Sales). Таким образом, уровень мошенничества оценивается только по операциям в торговых предприятиях. Единицей измерения коэффициента F/S принято считать базисный пункт (basis point, или сокращенно bp). Под одним базисным пунктом понимается уровень мошенничества, составляющий 0,01% всего торгового оборота по картам. Другими словами, уровень мошенничеств, равный 1 б. п., соответствует потере 1 цента на каждые 100 долл. торгового оборота по карточкам.

Острота проблемы безопасности операций с использованием платежных карт

В последние десять лет потери банков от операций по пластиковым картам составляют 6 - 11 центов на 100 долл. оборота по картам (6 - 11 bp). Это существенно меньше потерь банков, связанных с клиентским кредитованием, составляющих 3 - 4 долл. на каждые 100 долл. выданных кредитов. Однако банки и платежные системы уделяют проблеме безопасности операций по пластиковым картам повышенное внимание. Это связано с тем, что в рассматриваемых случаях различна природа рисков и, как следствие, результат их проявления. В случае карточного мошенничества страдает клиент. Даже если потери, вызванные мошенничеством, берет на себя эмитент (что случается далеко не всегда), моральный ущерб, связанный с возникающими для держателя карты неудобствами, ощутим. Возможность фрода подрывает доверие банковских клиентов к карточной технологии в целом. И в этом главная проблема!

Для иллюстрации того, насколько карточное мошенничество подрывает доверие к картам как платежному инструменту, выполним простой анализ. Обычный владелец карты на Западе использует свою карту для безналичных расчетов в среднем около 40 раз за год при характерном значении коэффициента использования карты, равном 0,1 в сутки. При сегодняшнем уровне мошенничества, равном примерно 10 bp, вероятность того, что очередная операция по карте выбранного нами господина завершится фродом, равна p = 0,001. В действительности эта вероятность ниже, поскольку по скомпрометированной тем или иным способом карте проводится несколько операций и, кроме того, средний размер мошеннической операции выше, чем обычной. Однако для целей иллюстрации такая оценка вероятности того, что выполненная операция оказывается мошеннической, вполне подходит.

Тогда за десять лет пользования картами держатель карты выполнит N = 400 безналичных покупок, и вероятность того, что этот человек пострадает от карточного мошенничества при нынешнем уровне фрода, равна Pf = 1(1-p)n, близка к 0,33. Другими словами, примерно каждый третий из тех, кто пользуется картами уже десять лет, при нынешнем уровне фрода пострадает от карточного мошенничества.

Выбранный нами для изучения держатель карты живет не в безвоздушном пространстве. Его окружают родные, друзья, коллеги. Если посчитать, что близкое окружение держателя карты состоит из десяти человек, то отсюда последует, что вероятность того, что хотя бы один человек из окружения пострадает, больше 0,98 (N = 4000).

Другими словами, большинство из нас знают о карточном мошенничестве не из книг и журналов, а из личного опыта. Конечно, такое близкое знакомство с карточным мошенничеством не станет поощрять нас к более интенсивному использованию своей пластиковой карты. Как следует из проведенных в США опросов, 41% американских держателей карт покупают меньше или вовсе избегают покупок через Интернет с помощью пластиковой карты! И это связано с боязнью держателя карты стать жертвой карточного мошенничества, поэтому безопасность операций по пластиковым картам является краеугольным камнем развития карточной индустрии, и этой проблеме уделяется значительное внимание со стороны платежных систем и банков.

Абсолютный размер карточного мошенничества очень грубо можно оценить следующим образом. По данным Nilson Report, в 2011 г. оборот по картам составлял примерно 15 трлн долл. С учетом среднего уровня мошенничества (6 - 8 bp) легко получить, что абсолютный размер карточного фрода в 2011 г. составил примерно 9 - 12 млрд долл.

Однако это только видимая часть мошенничества. Как показывает опыт, значительная доля мошенничеств не попадает в отчеты платежных систем, поскольку банки, пытаясь защитить свою репутацию, часто не заявляют о случившемся фроде в платежные системы.

Помимо прямых финансовых потерь банки несут косвенные потери (уход клиентов, уменьшение оборотов, сокращение привлеченных средств из-за удара по репутации банка - теряется доверие к финансовым продуктам банка). В мире карты эмитируют более 20 тыс. банков. В каждом из них имеется отдел, занимающийся карточной безопасностью. Даже если средний бюджет одного такого отдела составляет 60 тыс. долл. в год, банки ежегодно тратят только на содержание таких отделов более миллиарда долларов.

Мы уж не говорим о затратах банков на покупку специального программного обеспечения, криптографических модулей, затратах на коммуникации (в случае отсутствия фрода все транзакции можно было бы выполнять в офлайновом режиме) и т.п.

В результате общие годовые потери от последствий карточного мошенничества и затраты на уменьшение этих потерь для банков оказываются значительно выше полученной выше оценки.

Особенности современного карточного мошенничества

К характерным особенностям карточного мошенничества следует отнести:

в последние несколько лет средний уровень карточного мошенничества в мире колеблется в диапазоне 6 - 8 б. п. (это ниже уровня мошенничества, считавшегося ранее "стандартным", - 7 - 12 б. п.). При этом уровень мошенничества может значительно меняться от страны к стране. Это касается даже таких уже устоявшихся рынков, как Европа. Например, во Франции уровень мошенничества на протяжении последних 15 лет не превышал планки в 5 б. п., а в Великобритании даже после завершения миграции на чип он находится около отметки в 13 б. п. Достаточно стабильно ведет себя уровень мошенничества в США, где он на протяжении более пяти лет близок к значению 11 б. п.;
начиная с 2008 г. наблюдается устойчивая тенденция к уменьшению объема карточного мошенничества. Например, по данным одной из ведущих платежных систем, размер фрода в этой системе в 2010 г. уменьшился в абсолютном выражении на 14% по сравнению с 2008 г. Такое уменьшение размера фрода, безусловно, связано с миграцией банков на технологию микропроцессорных карт;
миграция мошенничества в сторону CNP-фрода: по данным MasterCard, на II квартал 2012 г. в Европе на этот вид мошенничества приходилось 58% всего карточного фрода. Отмечается также рост объема CNP-фрода (около 20% в год);
концентрация мошенничества на трех основных видах: CNP-фрод, поддельные карты, украденные (потерянные) карты. На остальные виды карточного мошенничества приходится не более 5 - 6% всех потерь;
использование мошенниками самых современных аппаратных и программных средств благодаря их доступности и закономерному падению стоимости этих средств. В соответствии с законом Мура удваивание производительности вычислительной техники, объема памяти, пропускной способности каналов связи происходит через каждые соответственно 18, 12 и 9 месяцев;

Примечание. Недавно сообщалось о поправке к закону Мура в части оценки скорости роста производительности компьютеров: удвоение производительности происходит теперь за 24 месяца.

миграция банков на микропроцессорную технологию: по данным EMVCo, на начало 2012 г. в мире было эмитировано более 1,549 млрд EMV-карт (44,1% всех карт). Кроме того, 21,6 млн POS-терминалов (72% всех терминалов) и 726 тыс. банкоматов (34%) поддерживали прием EMV-карт;
высокий профессиональный уровень криминальных структур (в них нередко рекрутируются бывшие сотрудники банков и процессинговых центров). Пример зафиксированной в начале 2009 г. установки на банкоматах вредоносного программного обеспечения, предназначенного для кражи данных магнитной полосы и PIN-кода, - отличное подтверждение настоящего тезиса;
интернациональный характер и хорошая организация криминальных банд в области карточного мошенничества - жесткая иерархия, четкое распределение функций, контроль за работой отдельных звеньев, оплата по результату;
постоянный поиск новых возможностей по реализации мошенничеств, в том числе постоянное "тестирование" на прочность процессинговых систем банков. Такое тестирование включает проверку наличия в банке системы мониторинга транзакций, анализ алгоритма проверки отдельных реквизитов карты, оценку надежности защиты базы данных реквизитов карт и т.п.;
высокая гибкость и оперативность криминальных структур: с момента обнаружения слабости в защите банка до момента реализации массированной атаки проходит всего несколько дней;
рост межканального мошенничества Cross Channel Fraud, когда утечка данных из одного канала доставки клиентских услуг используется для выполнения мошенничества с использованием другого канала;
рост объема мошенничества и скимминга через банкоматы (ложные банкоматы, накладная клавиатура (микрокамера), диспенсеры, вредоносное программное обеспечение, "ливанская петля", использование технических проблем на стороне обслуживающего банка (банкомата), утечка информации из ПЦ, подглядывание из-за плеча и т.п.);
более 80% всех карточных мошенничеств приходится на онлайновые транзакции. Это объясняется желанием мошенников скорее опустошить счет держателя карты (для этого используются операции на большие суммы, выполняемые в режиме реального времени) и означает, что онлайновый характер обработки транзакции сам по себе не является эффективным средством борьбы с фродом при использовании технологии карт с магнитной полосой;
кредитные карты (точнее, карты типа Pay Later) - главная цель мошенников. Особое внимание уделяется "золотым", "платиновым" и другим привилегированным картам;
платежные системы разбивают область своего присутствия на географические регионы, рынки которых имеют общие черты хотя бы в силу своей географической близости. Оказывается, что внутристрановой (domestic) уровень мошенничества самый низкий, а межрегиональный - самый высокий. Приведенные ниже данные международных платежных систем иллюстрируют сказанное.

Распределение объемов продаж по видам трафика
Внутристрановые операции (domestic)	Внутрирегиональные операции (intra-regional)	Межрегиональные операции (inter-regional)
96%	3%	1%

Распределение объемов мошенничеств по видам трафика
Внутристрановые операции	Внутрирегиональные операции	Межрегиональные операции
70%	21%	9%

Распределение F/S по видам трафика при среднем уровне мошенничества 7 - 10 bp
Внутристрановые операции	Внутрирегиональные операции	Межрегиональные операции
5 - 7 bp	50 - 70 bp	60 - 90 bp

Основные виды мошенничества

Как отмечалось выше, мошенничества принято делить на две группы: мошенничества со стороны эмиссии карт и мошенничества со стороны обслуживания карт.

Мошенничества со стороны эмиссии

Основные виды мошенничества со стороны эмиссии:

украденные (потерянные) карты (Lost/Stolen Cards или L/S);
неполученные карты (Not Received Items, NRI);
поддельные карты (Counterfeit);
Card Not Present-фрод (CNP-фрод);
карты, полученные мошенниками по украденным документам (персональным данным) (ID Theft).

Украденные (потерянные) карты. Самый старый и естественный вид мошенничества - люди теряли, теряют и будут терять карты. Иногда карты крадут. В России, по данным НАФИ, около 19,8% держателей карты когда-нибудь ее теряли. До момента обнаружения пропажи и блокировки карты в системе проходит время, которым пользуются мошенники, в руках которых оказалась карта.

До момента информирования банка о пропаже карты, в результате которого эмитент блокирует карту, ответственность за этот вид мошенничества обычно несет держатель карты.

Долгое время этот вид мошенничества являлся одним из самых популярных: в середине 1990-х гг. на него приходилось около 50% фрода, а в самом начале этого века - 25 - 30% всего фрода. В последние годы в Европе, по данным ведущих платежных систем, на потерянные (украденные) карты приходилось 14 - 16% всего объема карточного мошенничества.

Неполученные карты. Карты, украденные во время их пересылки из банка клиенту. Вся ответственность за мошенничество в этом случае лежит на эмитенте. По данным ведущих платежных систем, на этот вид мошенничества приходится 1 - 3% всего объема фрода.

Поддельные карты. Мошенники изготавливают поддельную карту, персонализированную на основе предварительно украденных реквизитов реальной карты (обычно крадется содержимое магнитной полосы карты), и совершают с поддельной картой операции, выдавая ее за реальную карту.

Подделка карт начиналась с технологии срезанных цифр карты и перестановки их местами на панели карты. Потом стало практиковаться переэмбоссирование номера карты. С появлением и распространением электронных терминалов основным способом подделки карт стал скимминг (skimming) - копирование данных магнитной полосы реальной карты. Скопированные данные позже переносятся на другую карту, которую мошенники изготавливают на заготовках карт, приобретенных разными способами (используются бонусные карты различных торговых сетей, реальные банковские карты с перекодированной магнитной полосой, белый пластик, раскрашенный на принтере, заготовки, украденные на фабриках и в банках).

Данные реальной карты мошенники получают с помощью:

недобросовестного персонала магазина, который незаметно для держателя карты копирует содержимое магнитной дорожки карты с использованием специального устройства (скиммера), имеющего считыватель магнитной полосы и способного хранить информацию о нескольких десятках карт;
банкоматного скимминга (используются накладной ридер и накладная клавиатура (миниатюрные видеокамеры) либо установленная в программном обеспечении банкомата вредоносная программа, сохраняющая данные магнитной полосы и значения PIN-кода);
скимминга в POS-терминалах;
кражи данных из базы данных процессинговых центров и торговых предприятий;
перехвата данных при их передаче по каналам связи;
вирусных атак с целью кражи персональных данных (spyware, троянцы, черви);
фишинга и вишинга, используемых мошенниками для выуживания у клиентов банков их персональной информации.

Еще недавно, в 2004 г., поддельные карты являлись самым распространенным видом мошенничества. В Европе на них приходилось 35 - 37% всего объема фрода. В связи с миграцией на микропроцессорные карты уровень этого фрода упал, и он уступил лидерство фроду вида Card Not Present. По данным MasterCard, за II квартал 2012 г. на поддельные карты в Европе приходилось около 20% всего карточного мошенничества.

В связи с миграцией на чип отмечается рост применения поддельных карт (особенно европейских карт) в банкоматах. С учетом того что многие страны выполняют миграцию по программе Chip & PIN, стало проще копировать данные магнитной полосы и PIN-кода с последующим использованием этих данных для выпуска карт на "белом пластике".

Card Not Present-фрод. Существует три основных вида CNP-транзакций: Mail Order/Telephone Order (MO/TO) - транзакции, транзакции электронной коммерции (ЭК) и рекуррентные платежи (держатель карты заключает с торговой точкой договор на регулярное периодическое безакцептное списание средств с его счета за получаемые от торговой точки услуги с использованием пластиковой карты).

На операции ЭК приходится примерно 60% всего CNP-фрода, на MO/TO-транзакции - 30%, на рекуррентные платежи - оставшиеся 10%.

Возможность совершить покупку заочно (при отсутствии покупателя в точке продажи) всегда являлась привлекательной как для покупателя, так и для продавца. Для покупателя - из-за удобства способа покупки (не выходя из дома, в любое время суток, в спокойном режиме, без очереди и т.п.), для продавца - главным образом благодаря возможности снижения накладных расходов на организацию торговли и возможности круглосуточно рекламировать свой товар широкой аудитории потенциальных покупателей.

На первом этапе развития "заочной" торговли наиболее распространенным способом заказа товара во время проведения покупки были почта, телеграф и телефон, поэтому подобные транзакции получили название MO/TO (Mail Order/Telephone Order) - транзакций. Единственная проблема в то время состояла в организации расчетов за такие покупки. Продавцу хотелось заранее идентифицировать покупателя и убедиться в его кредитоспособности. С распространением пластиковых карт эта проблема в определенной степени решилась - у торговых предприятий появилась возможность получить относительно надежные гарантии кредитоспособности покупателя.

Относительность гарантии заключалась в том, что при заочных покупках вероятность мошенничества по кредитным картам становится недопустимо высокой. В связи с повышенным риском мошенничества по CNP-транзакциям, с одной стороны, и привлекательностью подобных операций с точки зрения торговых предприятий и, следовательно, обслуживающих их банков - с другой, платежные системы разрешают подобные операции, меняя при этом распределение ответственности за финансовый результат операции в случае возникновения мошенничества. Это изменение формулируется следующим образом: если транзакция электронной коммерции выполнена без использования надежной технологии, ответственность за мошенничество по таким операциям лежит на обслуживающем банке.

Сегодня под надежной технологией в международных платежных системах понимается обязательная онлайновая авторизация с использованием алгоритма 3D-secure. При поддержке этой технологии торговым предприятием распределение ответственности по операции становится классическим - в случае корректного представления данных обслуживающим банком ответственность за результат операции несет эмитент. В последние годы уровень мошенничества по CNP-операциям, выполненным с аутентификацией держателя карты в соответствии с 3D-secure, составляет примерно 16 б. п. Добиться снижения уровня фрода при применении протокола 3D-secure можно только с внедрением методов динамической аутентификации держателя карты (сегодня в основном используются статические пароли).

Уровень мошенничеств по CNP-транзакциям в мире составляет примерно 40 б. п. (в Европе - около 25 б. п.), т.е. на порядок выше, чем в среднем по карточному бизнесу. По признанию международных платежных систем, 80% всех отказов от платежей (chargeback) в карточной индустрии приходятся на операции электронной коммерции.

Для совершения мошенничества в случае CNP-транзакции, для обработки которой не используется протокол 3D-secure, достаточно знать самые простые реквизиты карты - ее номер, срок действия и, возможно, значение CVC2/CVV2. И поэтому для повышения безопасности по правилам платежных систем все CNP-транзакции должны выполняться только в режиме реального времени.

В ЭК отмечается высокий уровень латентности: по данным Мирового банка, до 80% всех случившихся мошенничеств банками не объявляется. Даже если учитывать только объявленный фрод, то, по данным крупнейших платежных систем, в настоящее время в Европе на ЭК приходится около 58% всего карточного фрода.

В связи с миграцией банковской эмиссии на микропроцессорные карты CNP-фрод становится объектом повышенного интереса со стороны криминальных структур. Как и прогнозировали эксперты, в странах, мигрировавших на чип, отмечается резкий рост мошенничества по транзакциям ЭК.

Карты, полученные по украденным документам или персональным данным (ID Theft). Для реализации этого вида фрода в основном используются две схемы мошенничества: мошеннические аппликации и перехват счета.

Мошеннические аппликации (Fraudulent Applications): мошенник использует чужое удостоверение личности (найденное, украденное, подделанное) для подачи заявления на получение кредитной банковской карты с указанием адреса, по которому карта может быть легко и безопасно получена.

Перехват счета (Account takeover): мошенник получает данные о реквизитах карты (счета), например из оказавшихся в его распоряжении банковских выписок со счета (стейтментов) держателя карты. Далее он звонит в банк и сообщает об изменении своего адреса, а чуть позже запрашивает новую карту с доставкой ее по "новому" адресу.

Сегодня на этот вид мошенничества приходится 2 - 2,5% всего объема фрода.

Мошенничества со стороны обслуживания карт

Приведем основные виды мошенничества второй группы (со стороны обслуживания карт):

повторный ввод операции (Multiple Imprints, Electronic Data Capture Fraud, включая PAN Key Entry-транзакции);
изменение содержимого слипов (Altered Sales Drafts);
перехват счета магазина (Account Takeover);
использование отчетности легально существующего торгового предприятия (Laundering);
мошенничество в банкоматах.

Повторение слипов и (или) изменение содержимого слипов. Недобросовестные сотрудники торгового предприятия делают на импринтере более одного отпечатка карты (multiple imprints), используя их в дальнейшем для генерации новых платежных документов, или изменяют значения размера транзакции уже после того, как клиент подписал слип (altered sales drafts).

Electronic Data Capture Fraud. Электронная версия мошенничества Multiple imprints, когда вместо отпечатков карты используется электронная копия выполненной операции, полученная с использованием POS-терминала. Особенно распространен способ PAN Key Entry, при котором в авторизационном запросе к эмитенту информация магнитной дорожки карты не представляется (представлены только номер карты, срок ее действия и, возможно, значение CVV2/CVC2).

Перехват счета. "Перехват" счета магазина (Merchant Account Takeover). Мошенники имеют все необходимые данные магазина (название, имена руководства, идентификатор торгового предприятия и т.п.) и, возможно, торговые слипы. Далее следует письмо (звонок) в банк, извещающее об изменении расчетного счета магазина. В результате возмещения по операциям, выполненным в реальном торговом предприятии, попадают на счета мошенников.

Использование отчетности легально существующего торгового предприятия (Laundering). В этом случае магазин A некоторой платежной системы предоставляет возможность магазину B, не имеющему договора с каким-либо банком на прием карт этой платежной системы, обычно за определенную комиссию, принимать карты данной платежной системы. При этом если B - мошенник, то A по прошествии некоторого времени остается один на один с отказами от платежей, пришедшими по операциям, якобы совершенным магазином B.

Мошенничества в банкоматах. Операции через банкоматы традиционно характеризовались повышенной безопасностью, поскольку их авторизация осуществляется эмитентом в онлайновом режиме с обязательной проверкой персонального идентификатора (PIN-кода) держателя карты. Факт повышенной безопасности операций через банкоматы подтверждался и статистикой - объем мошенничеств через банкоматы был на порядки меньше аналогичного показателя для торговли.

Однако с начала нового тысячелетия мошенничество с использованием банкоматов начало быстро расти. Банкоматное мошенничество не является самостоятельным видом мошенничества и рассматривается здесь отдельно в силу специфики его реализации. Рассмотренные ниже случаи банкоматного мошенничества обычно относятся к одному из двух видов - поддельные карты или украденные карты.

Большая часть банкоматного мошенничества относится к виду "поддельные карты". В связи с миграцией на чип отмечается явный рост использования поддельных карт в банкоматах вместо POS-терминалов. Эта тенденция (миграция мошенничества "поддельные карты" из POS-терминалов в банкоматы) является главным фактором роста банкоматного мошенничества.

До последнего времени существовало несколько известных способов использования банкомата с целью совершения мошенничества. Кратко опишем их.

1. К сожалению, несмотря на многочисленные разъяснения, многие держатели карт все еще записывают значения своего PIN-кода на карте. Согласно информации, опубликованной английской ассоциацией APACS (Association for Payment Clearing Services, теперь называется UK Payment Administration) в 2006 г., 8% английских держателей карт не могут запомнить значение своего PIN-кода и поэтому записывают его. По данным социологического опроса НАФИ, 11,6% россиян хранят PIN-код вместе с картой. В Москве этот показатель составляет 13,8%. Очевидно, что в случае кражи (потери) карты у вора оказывается все, что требуется для совершения мошенничества: и карта, и PIN-код.

Данный тип банкоматного мошенничества, очевидно, относится к виду "украденные карты".

2. Другой способ банкоматного мошенничества - так называемое дружественное мошенничество. Суть его состоит в том, что когда-то карта вместе с PIN-кодом давалась члену семьи или другу для разового выполнения операции через банкомат. Позже та же карта использовалась в банкомате уже без разрешения ее держателя.

Очевидно, данный тип банкоматного мошенничества относится к виду "украденные карты".

3. "Взгляд через плечо". Стоящий сзади за держателем карты человек может подсмотреть введенное им значение PIN-кода. После получения мошенником значения PIN-кода карта может быть либо похищена у ее держателя, либо при использовании карты может быть произведено несанкционированное копирование ее магнитной полосы с целью изготовления в последующем поддельной карты (ее можно изготовить на белом пластике).

Данный тип банкоматного мошенничества относится к виду "поддельные карты".

4. "Ливанская петля". Почти цирковой способ мошенничества, при котором ничего не подозревающий держатель карты засовывал ее в заранее "обработанный" мошенником банкомат. Суть "обработки" банкомата состояла в том, что в прорезь картридера банкомата вставлялся кусок фотопленки, концы которого незаметно укреплялись на внешней стороне банкомата. Фотопленка после совершения операции не давала возможности карте выйти из картридера. Мошенник оказывался неподалеку и предлагал держателю карты свою помощь. Он рекомендовал ему вновь ввести свой PIN-код, а когда из этого ничего не получалось, вводил его сам со слов держателя, утверждая, что уже видел такие случаи раньше и при повторном вводе PIN-кода карта должна выйти из банкомата. Карта, конечно, не возвращалась, а мошенник советовал ее держателю прийти на следующий день в банк (махинация проводилась в часы, когда отделение банка уже не работало), и тогда карта ему будет обязательно возвращена. После ухода держателя карты мошенник извлекал пленку вместе с картой из банкомата и опустошал счет держателя карты.

Данный тип банкоматного мошенничества относится к виду "украденные карты".

5. Поддельные банкоматы. Мошенники использовали специально изготовленные устройства, эмулирующие банкоматы и предназначенные для считывания информации о магнитной полосе карты и PIN-коде ее держателя.

Данный тип банкоматного мошенничества относится к виду "поддельные карты".

6. Банкоматный скимминг. В последнее время мошенники активно используют дополнительное оборудование, устанавливаемое на банкоматах для осуществления мошенничества. К такому оборудованию относятся накладной картридер и микрокамера. Иногда вместо микрокамеры используется накладная клавиатура.

Накладной картридер представляет собой устройство, прикрепляемое сверху к картридеру банкомата и использующееся для считывания информации с магнитной полосы карты. Он незаметен для держателя карты, неискушенного в знании деталей внешнего вида банкоматов, и способен либо запомнить считываемую им информацию о магнитной полосе карты, либо передать эту информацию мошенникам по радиоканалу (например, по GSM-каналу).

Микрокамера - это оптическая камера, устанавливаемая рядом с банкоматом и направленная на клавиатуру банкомата с целью записи последовательности вводимых клиентом цифр при наборе PIN-кода.

Альтернативой микрокамере является клавиатура, накладываемая поверх обычной клавиатуры банкомата и запоминающая или передающая по радиоканалу значения вводимых PIN-кодов.

Таким образом, с помощью дополнительного оборудования мошенники получают всю необходимую для осуществления фрода информацию: данные магнитной полосы и значение PIN-кода. Имея эти данные, мошенник способен персонализировать так называемый "белый пластик" (заготовка карты, не содержащая на своей поверхности каких-либо элементов дизайна обычной карты) и использовать его для снятия наличных со счета ничего не подозревающего держателя скомпрометированной карты.

В последнее время мошенники придумали альтернативу накладным клавиатуре и ридеру. Ею стали вредоносные программы (malware), несанкционированно устанавливаемые мошенниками в программном обеспечении банкомата. Такие вредоносные программы копируют и запоминают данные магнитной полосы и в некоторых случаях (при соответствующей конфигурации EPP-клавиатуры банкомата) сохраняют и значения PIN-кодов держателей карт.

Данный тип банкоматного мошенничества относится к виду "поддельные карты".

Существуют и другие типы банкоматного мошенничества, использующие специфику работы банкомата:

изменение в процессинговом центре номинала кассет и (или) обменного курса валют для клиентских счетов;
установка накладки на окне выдачи валюты с целью ее задержки с последующим извлечением мошенниками (Cash Trapping);
"щипачество", когда мошенник забирает из лотка банкомата не всю сумму, а банкомат, обнаружив этот факт, возвращает всю предназначенную для выдачи сумму на счет мошенника, и т.п.

К оглавлению энциклопедии "Платежные карты"

0 Комментария