Виды мошенничеств, связанных с незаконным использованием банковских карт

Виды мошенничеств,

связанных с незаконным использованием банковских карт

Постепенно карточный бизнес в России набирает немалые обороты, и почти у каждого гражданина РФ есть как минимум одна пластиковая банковская карта. Будучи удобным средством получения наличных и оплаты товаров или услуг, «пластик» таит в себе и множество рисков. Одним из наиболее распространенных рисков является риск мошенничества с использованием банковских карт. Банковские карты, как и всякий высокодоходный бизнес, стали мишенью для противоправных посягательств.

Наглядным подтверждением служит информация о потерях Российской Федерации денежных средств, связанных с мошенничеством как несанкционированным воздействием со стороны третьих лиц с целью организации незаконного доступа к счету держателя и последующего хищения денежных средств. По данным платежных систем потери от мошенничества по банковским картам за последние три года увеличиваются в геометрической прогрессии примерно в 1,4 раза, т.е. в 2010 потери составили 762 млн. рублей, 2011 – 988 млн. рублей, 2012 – 1396 млн. рублей. Причем, необходимо учитывать тот факт, что далеко не все мошенничества раскрываются правоохранительными органами. Так, по данным МВД РФ статистика потерь составляет 24 млн. рублей, 63 млн. рублей, 9 млн. рублей, соответственно.

Статья посвящена краткому обзору распространенных видов мошенничеств, а также мерах минимизации рисков, связанных с незаконным использованием банковских карт.

Мошенническая деятельность, так же как и банковский карточный бизнес, делится на эмитентское и эквайрерское направления.

Банки-эмитенты принимают на себя риски от несанкционированного использования эмитированных ими карт или платежных реквизитов карт (украденная/потерянная карта, неполученная карта), а также поддельных карт.

Банки-эквайреры подвержены рискам при обслуживании карт в ТСП, с которыми установлены договорные отношения в части оказания услуг принятия карт к оплате (поддельные слипы, двойной ввод операций, противоправная деятельность ТСП или отдельных ее сотрудников по совершению операций по украденным или поддельным картам).

Появляются новые виды мошенничества и технические средства, помогающие злоумышленникам получить доступ к счетам банковских карт. Как только вышла в свет первая банковская карта, сразу появился человек, который желает украсть с нее деньги. Такого человека принято назвать «кардером», а дело, начатое им, называть «кардинг». Во всемирной паутине существуют множество различных закрытых интернет – форумов, посвященных данному виду мошеннической деятельности, в котором есть своя власть, права, обязанности кардера, законы и даже свой язык. Учитывая названные признаки, можно назвать такие форумы – кардерскими государствами.

В преступном мире имеется целый перечень «карточных фокусов», которые позволяют мошенникам незаконно завладеть чужими денежными средствами, находящимися в оперативном банковском управлении.

Наиболее распространенными видами мошенничества для банка-эмитента являются мошенничества, связанные с утерянными либо украденными картами, с неполученными картами, с поддельными либо фальсифицированными картами, а также использование персональных данных третьих лиц в мошеннических целях.

Утерянные либо украденные карты. До обнаружения пропажи и блокировки карты в процессинговом центре проходит время, которое играет на руку преступникам. За это время он совершает все доступные операции по карте.  
Причем риски утери или кражи карты неизбежны и непредотвратимы, поскольку кражи и потери происходили во все времена.

Под «неполученными» платежные системы подразумевают карты, которые могли быть украдены при пересылке по почте. Основные риски для банка вытекают из того, что похищенные карты персонифицированы на реальных пользователей и являются по сути действующими, даже не смотря на их блокировку от авторизации. При этом на карте отсутствует подпись держателя на полосе для подписи, что дает дополнительное преимущество мошеннику. Вся ответственность за мошенничество в этом случае однозначно лежит на эмитенте.

Поддельной называется карта, которая имеет внешние признаки действительной и легально выпущенной, однако печать, эмбоссирование, персонализация и кодирование карты были произведены с нарушением установленных платежной системой правил и не были санкционированы эмитентом. Мошенники используют карты с магнитной полосой преимущественно для перекодирования информации на ней, т. е. нанесения данных, считанных с легальных карт. Мошенничество, связанное с копированием магнитной полосы карты называется «скимминг» (skimming). Схема данного преступления заключается в том, что магнитная полоса карты копируется с помощью накладки на слот кардридера банкомата специального оборудования – скиммера. Скимминг часто происходит в совокупности с перехватом ПИН-кода с помощью накладной клавиатуры либо с устройства со встроенной видеокамерой, записывающего ПИН-код в режиме онлайн. Злоумышленники используют данные с магнитной полосы для изготовления клона карты и с ее помощью обналичивают деньги. Распознать эти накладки для неспециалиста затруднительно: внешне они имитируют штатные устройства. Держатель вставляет карту в отверстие картоприемника, и данные в ту же минуту оказываются в руках у мошенника.

Целью использования данных третьих или подставных лиц – получение  банковской карты на чужое или подставное лицо. Для получения таких карт используются украденные, утерянные или поддельные документы, удостоверяющие личность, а также подставные заведомо неплатежеспособные лица – финансово неграмотные пенсионеры или студенты, алкозависимые личности и прочие граждане, желательно имеющие легальную регистрацию места жительства.

Также существует и ряд мошеннических действий для банка-эквайрера. К ним относятся: мошенничество персонала торговой точки в виде сговора со злоумышленниками, подлог платежных документов в качестве которого можно считать оформление и передача банку-эквайреру платежных документов, реализованные иным ТСП, не имеющим договора с этим банком-эквайрером, перехват счета как направление в банк-эквайрер мошенниками поддельного извещения от имени ТСП об изменении платежных реквизитов для перечисления денежных средств по договору на услугу торгового эквайринга с указанием номера подставного расчетного счета.

Непосредственное участие клиента-держателя карты – еще один классифицирующий признак, по которому можно выделить особые виды «карточных фокусов».

Еще один способ незаконно получить денежные средства – это ресторанный кардинг. Клиент, обедая в ресторане, желает оплатить счет картой и отдает ее официанту, где последний в сговоре с преступниками незаметно «прокатывает» карту через считывающее магнитную полосу мобильное устройство. ПИН-код в этом случае подсматривается «из-за плеча».

Постепенно теневой оборот с использованием банковских карт и баз данных, информация о которых была добыта с помощью простых средств – скиммеров, миниатюрных камер, накладок, перемещается в сеть, происходит качественное изменение банковской преступности. Схема таких преступлений достаточно проста: злоумышленник удаленно имея доступ к какому либо сайту, размещает  в глобальной сети особые компьютерные вирусы, и если  держатель карты пользуется услугами интернет-банка, то вирус активизируется и записывает всю необходимую конфиденциальную  информацию о счетах и картах, направляя ее в руки мошенников. Неправомерное использование банковских карт является самостоятельной формой хищения с помощью компьютерных технологий, которое получило название «фишинг» (от англ. fishing – рыбалка). Такой «фокус» действительно напоминает рыбалку: мошенники, выступая в роли рыболовов, ловят в «море» интернете данные банковских карт. Наживкой в данном случае выступают вредоносное программное обеспечение, фальшивые сайты магазинов и банков.

Одним из разновидностей фишинга является «фарминг». Клиент, набирая в адресной строке правильный адрес интернет-сайта банка, перенаправляется на сайт, контролируемый мошенниками. Дизайн подставного сайта почти полностью копирует оригинальный банковский и содержит перечень полей для заполнения личными данными. Клиент пребывает в уверенности, что пользуется услугами банка и безбоязненно вводит платежные реквизиты. После этого личные данные клиента становятся доступными мошенникам, а клиент перенаправляется на официальный сайт банка.

Следующий вид мошенничества под названием «траппинг» (от англ. trap – ловушка) осуществляется с помощью приспособления «Ливанская петля». В данном случае нужна только рядовая фотопленка. Кардер вставляет «петлю» в картоприемник, концы ее закрепляются на основании картридера. Банковская карта вставляется в банкомат, совершаются все необходимые операции, но когда требуются возврат карты, она застревает в банкомате. Мошенник под видом осведомленного сотрудника банка либо «опытного» прохожего предлагает клиенту свою помощь. Во время оказания помощи злоумышленник узнает ПИН-код карты и советует быстрее обратиться в банк. Когда последний уходит, карта изымается, и, зная ПИН-код, мошенник снимает с нее денежные средства.

Испугать, затем расположить к себе и найти быстрое решение проблемы, а между делом узнать все необходимые реквизиты банковской карты – стандартная схема социальных инженеров. Данный вид мошенничества получил название «социальная инженерия» – метод управления действиями человека без использования технических средств. Метод основан на использовании слабостей человеческого фактора, для каждой «жертвы» существует свой подход. В данном случае клиент банка сам отдает всю необходимую информацию в руки мошенникам.

Но, несмотря на высокие риски, связанные с использованием банковских карт, необходимо должным образом подходить к процедуре их минимизции, а также к их предупреждению. В целом, к решению данной проблемы необходимо подходить комплексно, т.е. все объекты преступных посягательств (банк-эмитент, банк-эквайрер, клиент) должны разработать для себя определенные меры по защите от мошеннических действий кардеров.

Так, например, для банка-эмитента они следующие:

1. Действующая политика обеспечения безопасности эмиссии карт, устанавливающая обязанности и полномочия всех задействованных в процедурах выпуска и обслуживания банковских карт подразделений банка по защите от мошенничества, распределение зон и степени их ответственности.
2. Действующие регламенты по безопасной транспортировке, хранению, выдаче карт и ПИН-конвертов, уничтожению невостребованных карт и ПИН-конвертов. Обеспечение условия раздельной доставки и хранения карт и ПИН-конвертов.
3. Использование систем онлайн мониторинга авторизационного трафика с возможностью анализа и принятия решения по подозрительным операциям с целью минимизации рисков.
4. Обязательное обучение сотрудников банка, задействованных в процедурах выпуска и обслуживания банковских карт, мерам по защите от мошенничества.
5. Обязательное обучение держателей карт правилам безопасного хранения и использования карт. Бесплатное предоставление держателям карт средств самостоятельного контроля операций (смс-информирование).
6. Переход на микропроцессорные карты.

Для банка-эквайрера:

1. Периодическая инспекция ТСП — посещение сотрудника банка, проверка на соответствие характера деятельности ТСП заявленному в заявлении.
2. Организация мониторинга программной, аппаратной и коммуникационной составляющих банкоматной сети на подверженность мошенническим воздействиям.
3. Обязательное обучение сотрудников банка, задействованных в развитии и эксплуатации терминальной сети, мерам по защите от мошенничества.

Для клиента банка:

1. Не хранить ПИН-код вместе с банковской картой.
2. Перед использованием банкомата необходимо осмотреть его на наличие дополнительных устройств, не соответствующих его конструкции и расположенных в месте набора ПИН-кода и на основании картридера.
3. При оплате товаров или услуг в торгово-сервисных предприятиях требуйте проведения операций только в Вашем присутствии, не позволяйте уносить карту из Вашего поля зрения.
4. Для оплаты в Интернете лучше завести виртуальную карту и переводить на нее столько средств, сколько необходимо для оплаты конкретного товара или услуги.
5. Посещение только официальных интернет-сайтов банков, а также обязательно убеждение в правильности адреса интернет-сайта.
6. Не поддаваться на уловки «социальных инженеров».

Соблюдение даже этих элементарных мер безопасности при использовании банковских пластиковых карт может повлиять на минимизацию рисков мошенничества, а также способствовать дальнейшему уровню повышения финансовой грамотности их держателей.