Всплеск потребительской активности перед Новым годом усилил деятельность мошенников, которые похищают у клиентов банков данные пластиковых карт. Если раньше они рассылали смс с просьбой «срочно перезвонить в банк», то сейчас учреждают целые колл-центры и сами ежедневно обзванивают сотни людей. В крупнейших российских банках рассказали «Фонтанке» о последних тенденциях в этой области и о том, как защититься от преступников.
Предыстория
В середине 2000-х годов наиболее распространенным способом мошенничества с банковскими картами был так называемый скимминг (от английского to skim — снимать пену, сливки). Скимминговые устройства представляют собой накладки, которые преступники устанавливают на банкомат для считывания данных с магнитной полосы карты. «Снятие сливок» происходит в момент, когда клиент вставляет карту в банкомат — скимминговое устройство устанавливается поверх отверстия для карты.
Поскольку данных самой карты недостаточно, мошенники также считывают пин-код — либо с помощью маленькой видеокамеры, направленной на клавиатуру, либо с помощью накладной клавиатуры, которую ставят поверх кнопок банкомата. Данные с карты и пин-код либо хранятся в устройстве до возвращения к банкомату преступников, либо сразу передаются им по беспроводной связи. Зная данные магнитной карты, которые преступники получают в виде файла, а также пин-код, они выпускают обычную пластиковую карту, на магнитную полосу которой наносят данные клиента. Мошенникам остается лишь вставить карту в любой банкомат — она воспринимается как настоящая, — ввести пин-код и снять деньги. В результате сотрудникам банка будет казаться, что операцию совершил сам клиент, и обычно людям приходится приложить большие усилия, чтобы доказать обратное.
Как заявлял в 2012 году зампред Сбербанка Станислав Кузнецов, для выпуска скимминговых устройств требуются лишь базовые знания на уровне университета, специального образования не нужно. Источником большинства таких устройств является кустарное производство, хотя и во многих случаях высокого качества. Большинство задержанных в то время мошенников, которые использовали это оборудование, были гражданами России, Молдавии, Приднестровья, Украины и некоторых других стран ближнего зарубежья.
2012-й год стал пиковым для проблемы скимминга. По данным Ассоциации российских членов Europay, в первом квартале 2011 в России было выявлено 40 случаев скимминга, в четвертом — 184, всего за 2011 год — 397. При этом за первый квартал 2012 года было выявлено случаев почти столько же, сколько за весь предыдущий год, — 362. Депутат Госдумы Анатолий Аксаков заявлял в начале 2013 года, что за 2012 год число случаев скимминга выросло на 200% до примерно 1200, причем под удар попадали в основном банки из топ-5 в стране, так как у них больше всего банкоматов. Объемы похищенных денег в России оценивались в приблизительно 2,4 млрд рублей за 2012 год.
С период с 2012 по 2014 год почти все крупнейшие банки установили на свои банкоматы антискимминговые устройства. В большинстве случаев это излучатель «белого шума» — помех, распространяемых на всех частотах определенного диапазона. Шум препятствует считыванию данных с карты скиммером, создавая помехи в момент вхождения карты в отверстие и в момент ее выхода. Цена на такое оборудование начинается от $2 тыс. за один комплект.
Хотя скимминг сегодня уже не так популярен, он по-прежнему используется, и технологии в этом направлении не стоят на месте. На специализированном форуме «Фонтанка» нашла объявление о продаже скиммеров. Их стоимость варьируется от $1000 до $2000. Время работы — 24 часа. В комплект входят: само считывающее устройство, планка (накладка), зарядное устройство, карта Micro SD, необходимый софт и инструкция по работе.
Как утверждают продавцы, все комплекты поставляются в любую страну частными почтовыми службами в корпусе аудиоколонок, чтобы не вызвать подозрение у перевозчиков и у правоохранительных органов. Установка, как говорится в объявлении, занимает 5-10 секунд. «В цену каждого комплекта включена планка с камерой (640x480, 30 fps), которая устанавливается для фиксации пин-кодов», — говорится в объявлении. В этих современных устройствах есть защита от посторонних шумов, а также от направленного электромагнитного излучения в области картоприемника.
Мошеннические колл-центры
В конце 2014 года, в условиях предновогодней потребительской активности, банкиры обнаружили рост числа обращений к клиентам со стороны мошенников, которые представляются сотрудниками банка. Такую тенденцию заметили, например, в банке ВТБ24.
«По информации ВТБ24, дело поставлено чуть ли не на промышленный поток. Причем если раньше мошенники занимались рассылкой смс-сообщений с информацией о том, что карта клиента якобы заблокирована, и требованием "немедленно связаться с банком" по номеру телефона, который на самом деле принадлежал мошенникам, то теперь они сами обзванивают клиентов», — сообщили «Фонтанке» в ВТБ24 по СЗФО.
Явление подтвердили в другом банке, входящем в топ-5 в России: «Целые колл-центры ребята организовывают. Целая бригада обзванивает в день сотни человек. Методы воздействия типичные: "У нас в банке все легло, ваша карта заблокирована, давайте проверим вас в нашей системе. Какой у вас номер карты, какой у вас код CVV2 (англ. Card Verification Value 2 — трехзначный код на обороте карты платежной системы Visa, позволяющий совершать операции через Интернет)". В результате у человека отключается сознание, и он все данные сообщает. А потом он приходит в банк и говорит: верните мне мои деньги. Ему отвечают: "Это вы сами пришли и сняли". И иди доказывай, что ты не верблюд».
«В городе с большим количеством туристов всплески мошенничества наблюдаются периодически, особенно к праздникам. В настоящий момент мы ожидаем увеличения жалоб клиентов на операции, совершённые в период новогодних праздников, в том числе с использованием утерянных и поддельных карт, а также совершённых в результате манипуляций кассиров», — рассказал замначальника управления собственного процессинга банка БФА Иван Федотов.
Как сообщил «Фонтанке» начальник управления мониторинга процессингового центра Альфа-банка Владимир Бакулин, помимо традиционного скимминга и способов физического хищения карты, клиента в последнее время набирают обороты всевозможные киберварианты — вирусные атаки на персональные компьютеры или мобильные телефоны пользователей. «Нередко это сопровождается, а зачастую и заменяется средствами социальной инженерии, когда преступники выманивают у жертвы все необходимые данные», — сказал он.
Помимо обзванивая клиентов, преступники используют и более простой метод — «подкуп официанта». Смысл в том, что пока официант несет карту клиента к терминалу, он фотографирует ее с двух сторон, карту возвращает, а фотографии отправляет мошенникам. После этого деньги с карты часто переводят на номер мобильного телефона, зарегистрированный по поддельному паспорту, и далее владелец номера приходит в салон связи: «Ой, извините, я случайно вместо 1 тыс. рублей перевел 100 тыс. рублей, верните мне 99». Ему возвращают, и мошенник с деньгами удаляется.
Роста числа жалоб по Петербургу в Альфа-банке, впрочем, не заметили. «Скорее, [имеет место] общий рост числа операций, связанный с предновогодней активностью граждан и, как следствие, желанием мошенников половить рыбку в столь бурной воде», — отметил Бакулин.
В Банке Москвы сообщили, что разные мошеннические схемы совершенствуются по мере развития рынка банковских услуг. Чем больше карт у людей, тем больше желающих ими воспользоваться. «И самое главное, сами владельцы карт дают [мошенникам] много поводов», — сказали в банке. Например, пользователи часто указывают на самой карте ее пин-код или записывают его на лист бумаги и хранят вместе с картой.
Другое направление, которое развивают мошенники, связано с использованием карты в Интернете. Во-первых, говорят в Банке Москвы, данные воруют с сайтов компаний, которые занимаются интернет-продажами. Хищением данных занимаются как продвинутые в программировании мошенники, выхватывая данные при отправлении их с компьютера на сервер интернет-магазина, либо эти данные продают преступникам представители самих интернет-магазинов.
«Вот здесь главное не пользоваться непроверенными сайтами, которые пришли по рассылке или сами напрашиваются в друзья. Желательно пользоваться уже известными на сегодняшний день сайтами-сервисами, т.к. такие сервисы сотрудничают с серьезными банками, а значит у них есть серьезная защита от DoS-атак, их система построена так, чтобы минимизировать риски клиентов, и данные о клиентах не будут проданы на черном рынке», — говорят в Банке Москвы.
Примеры «разводов»
«Фонтанка» нашла в Сети несколько записей разговоров, когда мошенники пытаются «развести» клиента озвучить его данные. В первом разговоре девушка, представившаяся сотрудником Сбербанка, уточняет детали операции, которую якобы пытались совершить мошенники, а для ее разрешения предлагает дойти до ближайшего банкомата, чтобы «вернуть из системы банка деньги на карту». Разговор выложен в Интернет в августе 2013 года.
— С вашей карты пытались вывести денежную сумму в размере 19 тыс. рублей на мобильную связь другого региона. Я обязана задать вам вопрос. Вы проводили этот платеж?
— Нет, не проводил.
— Данный платеж приостановлен, так как показался банку подозрительным. Деньги с вашей карты списаны, но по назначению они не доставлены. На данный момент мы удерживаем деньги в блоке в нашей системе, до выяснения обстоятельств. Разговор наш записывается, и подтверждение либо неподтверждение платежа считается официальным. Если вы официально не подтверждаете данный платеж, то деньги мы должны будем отправить не на мобильный номер, а вернуть вам на карту.
— Да. Верните, пожалуйста, мне деньги.
— Хорошо. Сейчас я обязана заявку составить, номер вашей заявки 27. По возврату денежной суммы в размере 19 тысяч рублей. Здесь все неудобство состоит в том, что, так как вы держатель карты, вы собственноручно должны провести операцию по выводу денег с нашего блока вам обратно на карту. Эта операция занимает 2-3 минуты и производится в любом ближайшем банкомате, поддерживающем вашу карту.
— Ты как все это выучила-то, когда героином упоролась? Ты говоришь так протяжно, как будто у тебя глаза закрываются.
— Так. Я хочу вам сказать. Если у меня глаза и закрываются, то только от усталости. Мы работаем с пяти утра. Всего доброго, молодой человек.
— Ничего, что у меня нет даже карточки сбербанковской? Ты зачем мне все эти вопросы-то задавала? Я даже догадываюсь, откуда вы номера абонентов берете.
— Молодцы. Вы очень догадливый молодой человек.
На следующей записи лжесотрудница банка милым голосом сообщает о том, что карта клиента заблокирована по причине ввода неверного пин-кода, и для разблокировки предлагает произвести замену пин-кода. Предполагалось, что в ходе этой замены клиент озвучит действующий пин-код, которым и воспользуются мошенники. До этого дело не дошло, но походя девушка выудила у клиента номер карты, срок действия и трехзначный код на обороте — этих данных вполне хватало для вывода денег через Интернет. Хотя, судя по разговору, клиент с самого начала понимал, что его разводят, поэтому играл с мошенницей в ее игру.
— Здравствуйте! Мне пришла смс-ка о том, что моя карта заблокирована.
— Карта у вас какая? "Виза", "Маэстро", "Мастеркард"?
— "Виза".
— Номер карты назовите, пожалуйста.
Клиент называет номер.
— Действительна до?
— До одиннадцатого четырнадцатого.
— И также на обратной стороне трехзначный номер.
— 198.
— Фамилия-имя-отчество ваше?
— Сергей Владимирович Федоров.
— Кодовое слово по карте?
— Тут не написано нигде.
— Вы его указывали, когда оформляли карту. Девичья фамилия матери или...
— А, ну это девичья фамилия матери была, да. Борисова.
— Приблизительный остаток по карте можете назвать?
— Могу, но мне прежде всего интересно, почему ее заблокировали-то?
— Вы картой пользовались когда последний раз?
— Около недели назад, оплачивал покупки в универсаме.
— Вы пин-код вводили неверный?
— Нет.
— Но вот я вижу у вас причину блокировки — был введен неверный пин-код. Вам сейчас нужно сделать замену пин-кода по вашей карте. Давайте сейчас составим заявочку. Карта привязана к вашему телефону, по которому вы сейчас говорите?
— Я не вводил неправильный пин-код. Как вас зовут вообще?
— Марина.
— Марина, вы из какого отделения Сбербанка?
— Отдел безопасности.
— А по горячей линии Сбербанка можно позвонить и узнать, действительно ли вы там работаете?
— Да, конечно, обращайтесь.
— Фамилию и отчество назовите, пожалуйста.
Поняв, что разговор не имеет перспективы, девушка прервала звонок.
Фишинг
Сбербанк 22 декабря выложил у себя на сайте инструкцию о том, как в преддверии праздников не пострадать от мошенников. Ее полный текст доступен по ссылке. В инструкции есть раздел, где открыто заявляется о резком росте мошенничества от имени Сбербанка в Интернете.
«В последнее время мошеннические действия с неправомерным использованием имени Сбербанка в Интернете приобрели колоссальные масштабы. Только за последний месяц выявлено около 50 сайтов, где предлагается провести ту или иную финансовую операцию якобы под брендом самого надежного банка страны. Для борьбы с мошенниками мы создали специальный раздел на сайте — теперь мы будем знать мошенников в лицо!» — говорится в тексте.
Хищение данных банковской карты через Интернет называется фишингом, от английского слова fishing — рыбалка. Чаще всего встречаются так называемые фишинговые сайты, внешне ничем не отличающиеся от настоящего сайта банка, но тем не менее размещенные по другому адресу в Сети. Сбербанк собрал примеры подобных сайтов и выложил в Интернет.
Как защититься
Обобщив советы и рекомендации Сбербанка, ВТБ24, Банка Москвы, Альфа-банка и банка БФА, «Фонтанка» составила несколько пунктов, следуя которым вероятность мошеннического хищения денег с карты сводится почти к нулю.
1. Пин-код при себе не хранить, а только запомнить. Если у клиента несколько карт, можно установить для всех один пин-код. Банки, как правило, предоставляют такую услугу.
2. Обращать внимание на банкомат, расположенный вне офиса банка, прежде чем вставлять в него карту. Он не должен иметь никаких накладок и надстроек, а также следов клея или щели. Мини-камера, направленная на клавиатуру, где клиент вводит пин-код, может быть установлена на предметах вокруг банкомата, либо сбоку от клавиатуры — в маленьком отверстии в корпусе банкомата.
3. Прикрывать клавиатуру рукой во время ввода пин-кода, чтобы его не увидели посторонние или не засняла камера, если она установлена.
4. Проверять номер, с которого звонит представитель банка. Если он начинается на 8800, это еще не значит, что вам звонит банк. Такой номер может купить любой желающий.
5. Не оглашать по телефону трехзначный код на обороте карты и пин-код. Сотрудники банков никогда не спрашивают эту информацию.
6. Игнорировать смс-сообщения с просьбой «срочно перезвонить по номеру банка». Если банку это необходимо, его представитель сам звонит клиенту.
7. Позвонить в банк с просьбой подключить карту к системе 3D Secure. Она вводит дополнительную проверку при оплате услуг и товаров через Интернет. Большинство крупнейших интернет-магазинов подключены к этой системе и не принимают к оплате карты, к ней не подключенные.
8. Не открывать вложения к письмам, полученным по электронной почте от неизвестных отправителей. Прежде чем переходить по ссылкам в этих письмах, обратить внимание на адрес, куда они ведут. Текст ссылки и ее адрес не одно и то же. Например, ссылка на статью в Википедии https://ru.wikipedia.org/wiki/Правда на самом деле ведет на страницу «Ложь».
9. Перед оплатой товаров и услуг обратить внимание на адрес сайта. Он может быть похож на сайт магазина, которым вы пользуетесь, но им не являться. Реквизиты карты на самом деле уйдут мошенникам.
10. В магазинах не позволять кассирам уносить карту из поля видимости. Обращать внимание на манипуляции с картой в момент, когда не происходит операция оплаты или кассир отказывается выдавать товар. Не вводить пин-код в постороннее устройство.
11. Следить за официантами, которые уносят карту к терминалу. Лучше всего подходить к месту оплаты самостоятельно.
Александр Аликин,
«Фонтанка.ру»