Пластиковые карточки и безопасность
27 марта 2009 г.
Сохранность банковской карты во многом зависит от её владельца
|
Из истории…
Первый банкомат по выдаче наличных денег был установлен еще в 1967 году в районе Энфилд на севере Лондона в отделении британского банка Barclays. Изобретателем его был шотландец Джон Шепард Барон, работавший по заказу компании De La Rue - британского производителя бумаги для денежных знаков более чем в 150 странах мира. Пластиковых карточек более 40 лет назад, конечно, не существовало, и для снятия денег пользовались специальными ваучерами, которые необходимо было заранее получить в банке. Спустя несколько лет другой шотландец Джим Гудфеллоу придумал использовать секретный ПИН-код для защиты от несанкционированного доступа к банковским счетам.
А первые пластиковые карточки с магнитной полосой появились в США. Насколько можно судить, за 40 лет пластиковые карты и доступность банкоматов стали не только новой вехой в истории платежных средств, но и дополнительным подспорьем для плутовского сословия.
Кто предупрежден, тот вооружен, или распространенные схемы банкоматного мошенничества… Наиболее распространенными схемами мошенничества с банковскими картами по данным APACS (Association for Payment Clearing Services - Ассоциация систем клиринговых платежей - Великобритания), являются следующие:
Оглашение сведений о ПИН-коде самим держателем карты. Имеется ввиду, к примеру, запись ПИН-кода на карте или каком-либо носителе (лист бумаги, записная книжка, мобильный телефон), хранимом вместе с картой. Соответственно, если карта утеряна или украдена (вместе с сумкой, бумажником), у мошенника оказывается и карта и персональный код.
Дружественное мошенничество. Использование в своих целях карты с предварительной осведомленностью о ПИН-коде членами семьи, близкими друзьями, коллегами по работе. То есть людьми, имеющими доступ к месту хранения карты.
Подглядывание из-за плеча. Мошенник вполне может узнать ПИН-код держателя банковской карты, подглядывая из-за его плеча, пока тот вводит код в банкомате. Затем злоумышленник осуществляет кражу карты и использует ее в своих целях.
"Ливанская петля". Как вариант подглядывания из-за плеча. Пока владелец карточки погружает ее в банкомат, она застревает. В это время подходит "советчик", который рекомендует срочно идти и звонить в сервисную службу, к примеру. Владелец карты уходит, а тем временем "советчик", видевший как он набирал ПИН-код, вытаскивает карту и снимает деньги.
Фальшивые банкоматы. Мошенники разрабатывают и производят фальшивые банкоматы, либо переделывают старые, которые выглядят как настоящие. Размещаются банкоматы в наиболее оживленных местах. После введения карты и ПИН-кода обычно на дисплее фальшивого банкомата появляется надпись, что денег в банкомате нет или, что банкомат не исправен. К тому времени мошенники уже скопировали с магнитной полосы карты информацию о счете данного лица и его персональный идентификационный номер.
Копирование магнитной полосы (skimming). Данный вид мошенничества предусматривает использование особых видов устройств, считывающих информацию с магнитных полос карт. Обычно это специально изготовленные клавиатуры, которыми накрывают существующие.
Законный держатель банковской карты проводит операцию с вводом персонального идентификационного номера (ПИН), в это время, дополнительно установленное устройство считывает и записывает информацию на магнитной полосе. Т.е. у злоумышленников появляется данные необходимые для дальнейшего изготовления поддельной карты и ее использования в своих целях.
Ложный ПИН-ПАД. Держателю карты может быть предложено ввести ПИН-код не в настоящий ПИН-ПАД (устройство для ввода ПИН-кода), а в его имитацию, которая запомнит введенный код. Такие ложные устройства иногда устанавливают рядом со считывающими датчиками, предназначенными для прохода в помещение с банкоматом с использованием в качестве идентификатора (электронного ключа) банковской карты.
Ограбление держателей банковских карт. Самый незамысловатый способ. Клиент снял наличность - мошенник ограбил.
Фишинг (от англ. Phishing). В вольном переводе "закидывание удочки". Термин появился для обозначения новых схем, в результате которых путем обмана становятся доступны реквизиты банковской карты и ПИН-код. Чаще всего используется в виде рассылки через Интернет писем от имени банка или платежной системы с просьбой подтвердить указанную конфиденциальную информацию на сайте организации. Подробней о методе было написано в одной из предыдущих статей.
Вишинг (англ. vishing) - новый вид мошенничества - голосовой фишинг, использующий технологию, позволяющую автоматически собирать информацию, такую как номера карт и счетов. Мошенники моделируют звонок автоинформатора, получив который держатель получает следующую информацию:
- автоответчик предупреждает потребителя, что с его картой производятся мошеннические действия, и дает инструкции - перезвонить по определенному номеру немедленно. Злоумышленник, принимающий звонки по указанному автоответчиком номеру, часто представляется вымышленным именем от лица финансовой организации;
- когда по этому номеру перезванивают, на другом конце провода отвечает типично компьютерный голос, сообщающий, что человек должен пройти сверку данных и ввести 16-значный номер карты с клавиатуры телефона;
- как только номер введен, вишер становится обладателем всей необходимой информации (номер телефона, полное имя, адрес), чтобы, к примеру, обложить карту штрафом;
- затем, используя этот звонок, можно собрать и дополнительную информацию, такую, как PIN-код, срок действия карты, дата рождения, номер банковского счета и т.п.
Неэлектронный фишинг. Данный вид связан с осуществлением покупок в торговых организациях посредством обязательного ввода ПИН-кода. В схемах неэлектронного фишинга создаются реальные торгово-сервисные предприятия/офисы банков, либо используются уже существующие.
Держатели платежных карт совершают покупки товаров, получают услуги либо снимают денежные средства в кассе банка. Операции производятся с использованием банковских микропроцессорных карт и сопровождаются введением клиентом своего ПИН-кода. Сотрудники мошеннических предприятий негласно копируют информацию с магнитной полосы карты и производят запись персонального идентификационного номера. Далее мошенники изготавливают поддельную банковскую карту, и в банкоматах производится снятие денежных средств со счета клиента.
Вирус, поражающий банкоматы. Сразу три разработчика антивирусов - Sophos, Dr.Web и "Лаборатория Касперского" - сообщили об обнаружении вредоносной программы в банкоматах нескольких российских банков. "Целители" отловили "троянца" через сервис онлайн-сканера и уверяют, что ранее подобные вредители в "железные ящики" никогда не запускались.
Trojan.Skimer, как классифицировали его "вирусологи", запоминает информацию обо всех картах, побывавших в зараженном банкомате, а затем по запросу мошенника, у которого есть специальная карта доступа, распечатывает чек с данными и ПИН-кодами потенциальных жертв.
Поскольку сети банкоматов не связаны с интернетом, "троянец", вероятнее всего, был запущен в "железные ящики" недобросовестными сотрудниками банка, имеющими доступ ко внутренностям устройства (чтобы заразить банкомат, достаточно открыть его и добраться до жесткого диска). Авторами вредоносной программы являются люди, знакомые с принципами работы программного обеспечения компании - производителя банкомата.
От хакерской атаки пострадали машины американской компании Diebold (16 тысяч устройств по России): вирус поражал операционную систему Windows XP Embedded и программное обеспечение, позволяющее управлять банкоматом. Как сообщают "Ведомости", первые случаи заражения были зафиксированы еще в январе в банке "Петрокоммерц" - Diebold проинформировала своих клиентов об угрозе и разослала инструкции по ее устранению.
Информации о том, сколько на данный момент заражено банкоматов и сколько человек пострадали, пока нет, однако в "Лаборатории Касперского" полагают, что количество инфицированных машин минимально, поскольку банкоматы заражаются "вручную".
Банкиры обещают бросить все силы за защиту "денежных машин". "В нашем банке случаев заражения банкоматов "троянцем" не выявлено, - сообщил "Труду" сотрудник одного из крупных столичных финучреждений. - Однако в качестве превентивной меры мы обязательно протестируем все наши устройства, тем более что подходящее программное обеспечение у нас есть".
"Для предотвращения заражения достаточно исключить человеческий фактор и доступ злоумышленников к компьютерам банкоматов, - рассказывает директор по стандартным розничным продуктам банка "Траст" Марина Дембицкая. - Наш банк проводит внутренние мероприятия для исключения доступа к банкомату неавторизированного персонала, а также использует простой и самый действенный способ защиты устройств - полный запрет доступа к компьютерам устройств извне".
А пока вирусологи изучают, как работает "троянец", простые граждане рискуют деньгами: самостоятельно определить, "здоров" ли банкомат, невозможно, а финучреждения предупреждают, что не станут возвращать средства клиенту, пострадавшему от вируса - транзакция, совершенная с вводом ПИН-кода, обжалованию не подлежит. "Но если банк не в состоянии обеспечить безопасность использования своего продукта - карточки, он должен его отозвать, как это делают автоконцерны: например, сообщить, что пользоваться банкоматами небезопасно, и приостановить их работу, - негодует адвокат Нина Еременко. - Перекладывать ответственность за собственное бессилие на потребителя не просто незаконно, но и некрасиво. Однако самое страшное в данном случае то, что клиенту будет трудно доказать свою правоту".
Помоги себе сам…
Сохранность денежных средств и банковской карты во многом зависит от самого держателя, его знаний пользования картой, соблюдении мер безопасности, а также осведомленности о схемах мошенничества с банковскими картами, используемых преступниками. О последнем читатель уже достаточно информирован, но некоторые практические советы не станут лишними.
- старайтесь пользоваться привычными банкоматами или выбирайте банкоматы в крупных торговых центрах или отделениях банка; постарайтесь не пользоваться "подозрительными" банкоматами или банкоматами, которые расположены на улице;
- перед использованием банкомата осмотритесь вокруг, не следует использовать "пластик" в присутствии подозрительных людей, или если банкомат выглядит небезопасно или слишком изолированно;
- ни в коем случае никому не сообщайте ПИН-код к своей пластиковой карте, ни сотруднику банка, ни отзывчивому прохожему, который изъявляет желание помочь вам с банкоматом, в случае возникновения у вас каких-либо проблем;
- следует убедиться, что люди, которые ожидают своей очереди снять деньги, находятся на достаточном от вас расстоянии; в любом случае постарайтесь прикрывать рукой клавиатуру, когда вводите свой ПИН-код;
- банкомат не должен выглядеть подозрительно; следует проверить, не прикреплены ли к банкомату какие-либо дополнительные устройства; на экране банкомата не должно быть никаких дополнительных инструкций, а также вызывающих сомнение пустых экранов;
- не позволяйте никому отвлекать вас при пользовании банкоматом, не откликайтесь на предложение о помощи в совершении операции или разрешения какой-либо другой сложившейся ситуации;
- воспользуйтесь другим банкоматом, если требуется усилие для погружения карты в отверстие банкомата, или в случае, если вы чувствуете, что банкомат работает не так, как обычно;
- немедленно сообщите в банк по телефону горячей линии, если ваша карта осталась в банкомате или с ней что-либо произошло, в случае если вы не помните телефон своего банка, то обратитесь в другой банк (телефон должен быть указан на банкомате). В случае обращения в другой банк необходимо помнить номер карты, поэтому сохраняйте отдельно номер вашей карты;
- также необходимо регулярно проверять выписки с вашего банковского счета, а также остаток по карте; в случае малейшего несоответствия необходимо незамедлительно обратиться в банк за разъяснениями;
- в некоторых случаях целесообразнее заплатить комиссию за снятие наличных средств в чужом банкомате, нежели пользоваться сомнительными устройствами для получения
По материалам и
