Как с карточных счетов украинцев украли 120 миллионов

По словам директора департамента платежных систем и инновационного развития НБУ Сергея Шацкого, в интернете было зафиксировано свыше 43 тыс. мошеннических операций на сумму почти 95 млн грн., в банкоматах — 9,4 тыс. на 15,2 млн грн., а в торговых сетях — 4,7 тыс. на 13,9 млн грн. От действий мошенников в 2015 г. пострадали 47 финучреждений. При этом убытки банков составили 0,0147% (или 181 млн грн.) от общего объема операций с использованием платежных карточек (в 2014 г. — 0,007%).

Новые схемы

Довольно популярной стала новая разновидность вишинга (звонки банковским клиентам для выманивания реквизитов платежных карт). Теперь жертве звонит не сам преступник, а робот, запрограммированный через систему IVR (интерактивных голосовых ответов). Жулики программируют автоответчик, создавая видимость звонка из банка, который якобы собирает информацию о клиенте. Для "уточнения или проверки информации" робот спрашивает данные карт, логины-пароли для входа в интернет-банк, CVV-коды, PIN-коды. Иногда он говорит, что собирает информацию, поскольку произошел "сбой системы".

Еще одно криминальное новшество — выманивание данных у граждан через социальные сети и мессенджеры.

Так аферисты получают либо данные платежной карты, либо сразу деньги от доверчивого "социального френда". Часто бывает, что преступники успевают полностью опустошить карточный счет, прежде чем человек додумывается перезвонить другу и спросить, действительно ли просьба исходила от него.

Другая сложная схема, которая пока используется нечасто, касается карт с технологиями бесконтактной оплаты, таких как PayWave (Visa) и PayPass (MasterСard). Мошенники научились воровать с них деньги с помощью специальных устройств, которые перехватывают электромагнитный сигнал с карты. Это делают по тому же принципу, что и угонщики автомобилей, перехватывающие сигналы электрозамков. Ридер, способный сканировать банковские карты с чипами, достаточно приблизить на расстояние 5–20 см, чтобы считать всю необходимую информацию. В принципе, считывающим устройством может служить даже обычный смартфон, оснащенный  чипами NFC. Провести мошенническую операцию можно где угодно — в любом людном месте, и человек даже не заметит, что у него украли информацию. Полученные данные киберпреступники записывают на карты-клоны, чтобы в дальнейшем воровать средства с просканированной банковской карты, проводя транзакции через подставные интернет-площадки. К слову, зачастую при расчетах бесконтактной картой не нужно вводить PIN-код. Этим и пользуются преступники. В Украине бесконтактные карты пока не получили широкого распространения — у нас их насчитывается около 1 млн штук. Но в Европе такие карты и этот вид воровства уже стали очень популярными.

"Чтобы уберечься от хищения денег, держателям карточек лучше установить лимиты по операциям с картой (лимит на расчеты) и лимиты на количество таких операций", — говорит начальник службы информационной безопасности УкрСиббанка BNP Paribas Group Андрей Моршнев. Актуальным методом борьбы с карточным мошенничеством также является использование технологии 3D Secure, которая предусматривает подтверждение одноразовым паролем каждого платежа в интернете.

И старые приемы...

"Безусловным лидером среди мошеннических схем в 2015 г. стало применение методов социальной инженерии, когда клиент самостоятельно раскрывает мошеннику данные своей платежной карты", — рассказывает заместитель директора розничного департамента банка "Пивденный" Александр Стельмах. По данным Украинской межбанковской ассоциации членов платежных систем "ЕМА" сегодня самые распространенные схемы кибермошенничества — это фишинг, вишинг, скимминг и кеш-треппинг.

Фишинг — это создание специальных сайтов (часто дубликатов известных интернет-площадок, например, по продаже мобильных телефонов или бытовой техники). Их главная цель — сбор реквизитов платежных карточек банковских клиентов. "Увеличилось количество поддельных сайтов, через которые люди пытаются оплатить услуги, не ведая, что мошенники получают данные их банковской карты", — говорит заместитель председателя правления ПАО "Сбербанк" Ирина Князева. В 2015 г. ЕМА было выявлено 38 таких сайтов.

Кеш-треппинг (дословно переводится как "захват денег") также чрезвычайно популярен.  В основе этого способа — установка в банкомате специальной накладки, которая блокирует "шторку" устройства, выдающего купюры. Клиент не может получить деньги и, думая, что банкомат неисправен, отходит от терминала. Тем временем злоумышленники забирают застрявшие банкноты. По данным ассоциации ЕМА, в 2015 г. в Украине было зарегистрировано 989 таких случаев — в 10 раз больше, чем в 2014 г.

Хотя и не так часто, но преступники все же используют скимминг — копирование данных магнитной полосы платежной карты и ПИН-кода к ней с помощью микрокамер в момент, когда клиент пытается снять наличные через банкомат. Мошенники также пользуются методом копирования данных карт при использовании банкоматов, устанавливая накладки на клавиатуру, крошечные видеокамеры, вставки и накладки на приемник карточек и т. п.

Появился и новый метод считывания данных карточки — так называемый ивсдроппинг. Злоумышленники высверливают в банкомате отверстие под карт-ридером, прикрывают его наклейкой с логотипом банка и подключаются к коммуникационным каналам банкомата. При этом визуально пользователь никаких повреждений обнаружить не может.