Спустя длительное время продолжаем серию информационных материалов на тему банковских (они же пластиковые) карт. На сей раз поговорим о том, какие существуют схемы мошенничества в данной области, насколько они сложны (или нет), насколько часто встречаются. Не следует считать приведенный ниже список окончательным и полным, технология не стоит на месте, постоянно изобретаются все новые и новые способы. Поэтому, совершая операции с банковскими картами, всегда держите ухо востро — если вам что-то не нравится, не бойтесь спросить, поставить под сомнение или, в конце-концов, отказаться от транзакции.
Сначала немного терминов и определений:
- счет — некая виртуальная банковская сущность, с которой работает АБС банка. По сути счет — это запись в базе данных, где указывается, сколько денег вам должен банк. По способу доступа счета делятся на:
- текущие (обычные) — такой счет характеризуется 20-ти значным номером, обычно начинающимся с цифр 401. С таким счетом можно оперировать не только с помощью привязанной карты, но и посредством традиционных банковских операций (например, зачислить денежные средства при помощи обычного платежного поручения).
- лицевые — такой счет не является полноценным счетом с точки зрения банковской технологии. Операции с ним возможны только внутри банка, а для перечисления денег на такой счет требуются дополнительные ухищрения. С другой стороны операции с лицевыми счетами обычно проводятся вне банковской АБС, а значит не привязаны к стандартным графикам обмена деньгами и могут происходить быстрее.
- карточные — разновидность лицевых счетов, используемая некоторыми банками для банковских карт (например, ВТБ-24, Сбербанк с картами Маэстро).
- депозитные — такой счет не предназначен для оперативных операций с денежными средствами, а предназначен для их хранения и преумножения. На средства, находящиеся на этом счете, банк начисляет проценты. Обычно такие счета можно только пополнять, а снимать средства можно только в временных окнах, определенных договором.
- кредитные — дополнительный счет, открываемый для полноценной кредитной карты. Обычно все операции с кредиткой отражаются на этом счете, а при закрытии периода этот счет кредитуется с основного счета.
- служебные — прочие счета, открываемые банком клиенту (обычно автоматически), необходимые для его обслуживания. Например, если клиент имеет рублевую и валютную карты, то у него есть служебный счет, через который оформляются операции по конвертации валюты. Такие схемы применяют далеко не все банки, но не стоит удивляться, если вы встретите что-то подобное в своей кредитной организации.
- овердрафт — такое состояние счета, когда сумма на нем становится отрицательной. Овердрафт бывает техническим (когда счет уходит в минус из-за таких операций, как колебания курсов валют) или обычным. Для дебетовых карт овердрафт недопустим (хотя, например, у меня по счету одной из карт уже 2 месяца висит овердрафт в 750 рублей из-за перевыпуска карты), для «кредитных» овердрафт возможен в пределах кредитного лимита.
- карта — она же банковская карта, пластиковая карта, кредитная карта, пластик, CC и т.д. — кусок пластика, содержащий магнитную полосу и, возможно, чип (тогда она называется смарт-карта или EMV-карта). Несмотря на распространенное заблуждение, ни магнитная полоса, ни чип карты не содержат ни номера счета, ни пин-кода, ни какой-либо сверхсекретной информации. Также не следует искать взаимосвязи между номером карты и номером счета — их не существует. Информация о связи между картой и счетом хранится в банке в специальной процессинговой системе. Карта должна быть привязана к счету (только к одному), карта без счета существовать не может. Однако к одному счету может быть привязано несколько карт.
- дорожка — запись на магнитной полосе карты. Современные карты содержат 3 дорожки (используются не все). Первая дорожка фактически дублирует данные, указанные на лицевой стороне карты, включая имя владельца. Сейчас используется POS-терминалами исключительно для того, чтобы напечатать на чеке имя владельца. Вторая дорожка является основной и содержит только цифровые данные (номер, срок действия и кучу служебной информации). Именно эта дорожка используется всеми устройствами, считывающими карты. Третья дорожка предназначена для ко-брендинговых продуктов и содержит информацию, не имеющую никакого отношения к банковской сфере.
- CVC — он же CVV, CVV2 — дополнительный 3-х символьный код, изображенный на белой полосе на обратной стороне карты. Код предназначен для использования при Интернет-операциях, когда нужно как-то подтвердить, что покупатель действительно является обладателем карты. Данный код не хранится нигде на магнитной полосе карты, а также не хранится нигде в банке, единственное место где он есть — сама карта. Проверка кода осуществляется очень просто. Банк формирует некий блок данных (обычно состоящий из номера карты, срока действия и некоторых других параметров), который шифруется с использованием CVC. Полученное значение сравнивается с тем, которое хранится в процессинговой системе. Если совпали — все ОК. Учтите, что при операциях в банкомате или на POS-терминале, код CVC не используется.
- реквизиты карты — набор данных, необходимых для совершения любой операции по карте. Это номер карты, срок ее действия, кому она выдана и код CVC (как было написано выше, используется не во всех операциях). Обладая реквизитами карты можно совершать покупки от вашего имени в Интернете, а также попытаться изготовить дубликат карты (большинство банков достаточно эффективно борятся с этим путем записи на 2-ю дорожку служебной информации, которую невозможно сгенерировать на основе реквизитов карты), правда в POS-терминалах это также не спасет.
- транзакция — банковская операция, связанная с перемещением денежных средств с одного счета на другой (возможно, в разных банках). На самом деле транзакция является логическим объединением множества операций, которое может существовать только как единое целое (отдельные операции, составляющие транзакцию, сами по себе смысла не имеют).
- мерчант — он же продавец — обычно торговая точка (Интернет-магазин), в которой вы что-то оплачиваете с использованием карты. Мерчант оснащен POS-терминалом (обычный эквайринг) или имеет модуль Интернет-платежей (Интернет-эквайринг).
- оплата — транзакиция, инициируемая вами, по перемещению денежных средств с карты на счет мерчанта. Обычно такая транзакция является многоэтапной и состоит из фаз авторизации карты, блокирования средств, клиринга и окончательного перемещения средств.
- отмена транзакции — отмена ранее совершенной транзакции, инициируется обычно мерчантом, чаще всего в случае проведения ошибочной операции.
- возврат средств — транзакция, обратная оплате, инициируется вами в случае возврата неподходящего товара.
- чарджбэк — она же chargeback — процесс опротестовывания вами ранее совершенной транзакции через ваш банк. В случае чарджбэка деньги безакцептно списываются с мерчанта и возвращаются на ваш счет. Обычно опротестовывание транзакции достаточно муторно и гиморно, т.к. эта процедура в наших банках необоснованно зарегламентирована. Иногда чарджбэком также называют и операции по отмене транзакций.
- обнуление — выкачивание всех денег с карты (до 0 для дебетовых карт или до кредитного лимита для карт с овердрафтом). Для этого могут использоваться как банкоматы, так и торговые точки. Результат один — клиент остается без денег.
Теперь, собственно, о самих способах мошенничества.
Начнем мы с самого древнего, простого и очевидного способа хищения денег с вашей карты — кражи. Суть способа в том, что у вас тайно (кража) или явно (разбой) изымают пластиковую карту, дабы в последствии снять с нее деньги (или просадить их в магазине). Обезопасить себя на 100% от этого способа расставания с кровно нажитыми средствами невозможно никогда и нигде, поэтому профессионалы рекомендуют не хранить свои кровные на одной карте, а использовать несколько карт с небольшими доступными суммами, и никогда не использовать банковские карты для доступа к депозитным счетам или текущим счетам с большими суммами.
Еще достаточно простой способ — подглядывание через плечо. Таким образом можно и цифры карты подсмотреть, и пин-код, и все, что нужно. Дело, как обычно, в сноровке подглядывающего и пофигизме жертвы.
В результате широкого распространения такой модной услуги, как получение кредитной карты по почте, появился и новый вид мошенничества — воровство этих самых карт. Воровать можно как по почтовым ящикам (не очень эффективно), так и на уровне сотрудников банка или курьерской компании. В результате в руках мошенников оказывается карта, пин-код и прочие полезные сведения, остается активировать карту и можно тратить деньги. Платить за все будет или несчастный клиент, чья карта была украдена, или банк, если клиент сможет доказать, что он тут ни при чем. Разновидность этой темы — оформление на клиента карты без его ведома (тут уже не обойтись без ушлого менеджера). Например, вы пришли в банк и оставили заявление на выдачу кредитной карты. По каким-то причинам банк вам отказал, но это не мешает менеджеру не озвучить вам истинную причину отказа (например, вы могли запросить лимит 100К рублей, а банк готов дать вам только 50К), а просто оформить повторное заявление с уже приемлемыми параметрами и получить карту за клиента. Также могут красть и перевыпущенные карты, что в сочетании с тем, что клиенты зачастую не меняют при перевыпуске пин-код, дает мошенникам много дополнительных возможностей.
Теперь способ более интеллектуальный и высокотехнологичный — фишинг. В целом, способ рассчитан на незамутненных граждан, которые или недавно, или редко пользуются картами, а посему слабо знают, как «должно быть на самом деле». Фишинг бывает электронный и голосовой. Суть одна — вам звонит (или пишет по электронной почте, или шлет СМС, или, или, или) сотрудник вашего банка и под различными благовидными предлогами начинает вытягивать из вас ключевую информацию. Например, вам сообщают, что по вашей карте совершена подозрительная транзакция, которая привела к блокировке карты банком, а для того, чтобы ее разблокировать нужно сообщить номер карты, срок действия, имя на карте и код CVC, т.е. все те данные, которые нужны для изготовления дубликата карты. Сообщаете все эти данные, вы, естественно, не банку, а мошенникам (на поддельном сайте банка или по левому телефону или еще как — не принципиально). В Интернете нередко встречаются рассылки, которые не пугают вас блокировкой карты, а наоборот, предлагают подключить какой-либо новый модный сервис. Суть сообщения/предложения в целом не важна, главное то, что вас всеми возможными способами загоняют на ресурс, принадлежащий не банку, а мошенникам, где вы, ничего не подозревая, выкладываете всю информацию, которая нужна мошенникам. В результате на основании ваших данных или изготавливается дубликат карты, или реквизиты используются для покупки товаров и услуг в Интернете. В любом случае, деньги исчезают очень быстро, обычно в течение часа, зачастую в банкоматах/терминалах в другой стране.
Более крутой способ — скимминг, придуманный для того, чтобы снять копию с магнитной полосы карты. Суть способа в установке дополнительного считывающего устройства (скиммера) на картоприемник банкомата. Первые устройства были достаточно громоздки и грубы, современные же отличаются весьма миниатюрными размерами и высоким качеством исполнения. Понятное дело, что для того, чтобы вы не сообразили, что в банкомате стоит скиммер, его дизайн подбирают таким образом, чтобы он вписывался в общий дизайн банкомата.
Сейчас большинство наших банков борятся с этим путем установки анти-скиммеров (выглядят как нечто зеленое, выпирающее из картоприемника), которые многие наши граждане принимают за скиммеры
Понятное дело, что одной копии магнитной полосы недостаточно, поэтому скиммеры обычно дополняются или накладками на клавиатуру, позволяющими считать пин-код, или миниатюрными камерами, записывающими телодвижения пользователя.
Скиммеры обычно устанавливают на отдельностоящие уличные банкоматы темной ночью и стоят они на них не более 8 часов. Зачастую этого достаточно, чтобы получить данные нескольких карточек. В последствии, на основании полученных данных изготовляются дубликаты карт, которые используются в банкоматах для выкачивания денег. Учитывая, что устройства для кодирования магнитной полосы стоят не более 100 баксов, дубликаты карт делают сразу же, поэтому денег нерадивый клиент также лишается очень быстро.
Разновидность скимминга — поддельные банкоматы. За последние 20 лет в большинстве стран сформировался вторичный рынок банкоматов, на котором можно купить целый работающий банкомат за вполне приемлемые деньги. Дальше нужно залить в него свое ПО и установить его в «правильном» месте. Такой банкомат позволяет клиенту сунуть карту, ввести пин-код и выбрать какую-либо операцию (например, снятие денег). После ввода суммы банкомат сообщает, что в нем нет денег и отдает карту клиенту, который уходит искать другой банкомат. А в это время по дубликату его карты мошенники уже получают деньги в нормальном банкомате.
Еще одна банкоматная хитрость — «ливанская петля». Из куска фотопленки изготавливается нечто, напоминающее букву Л, имеющее небольшие «ушки» по краям. Устройство засовывается в считыватель карт банкомата, ушки цепляются за внешние края считывателя, не давая конструкции провалиться внутрь. Кроме этого, на одном из ушек делается дополнительный лепесток, который отгибается внутрь банкомата. Такое устройство не мешает вставлять карту и осуществлять любые операции по ней, но препятствует извлечению карты из картоприемника. Злоумышленник в этом случае обычно стоит в очереди к банкомату следом за жертвой и, когда происходит «неприятность», тут же советует жертве бежать в банк, чтобы они по-быстрому вынули карту. Как только расстроенный хомячок убегает, мошенник просто вынимает карту за ушки и делает ноги. Понятное дело, что обладая полноценной (не клонированной) картой жертвы, деньги с нее можно тратить с большей эффективностью и безопасностью.
Все вышеописанные способы (наверное, кроме фишинга) были ориентированы на банкоматы. Теперь о мошенничествах с торговой сфере, т.е. с POS-терминалами. Сначала самый простой — копирование карты. В большинстве ресторанов вы, хоть и не на долго, но выпускаете карту из вида — официант уносит ее на кассу, для совершения транзакции. Ничто не мешает официанту или кассиру скопировать данные карты и передать их мошенникам. Можно даже сделать проще — в торговой точке остается 2-я копия чека, которая содержит все необходимые данные (кроме CVC). Таким образом, карту можно скопировать даже тогда, когда вы не выпускаете ее из поля зрения, например, в магазине. Кассир всегда переворачивает карту обратной стороной, формально, для того, чтобы сравнить подпись на карте и чеке. При этом он видит CVC и может его запомнить. Когда вы радостный с покупками отваливаете от кассы, он просто записывает код на бумажку, а вечером делает копии чеков и сопоставляет их с ранее записанными кодами. Теперь можно делать или дубликаты карт, или использовать их при покупках в Интернете.
Еще один простой способ — двойные операции. В ресторане по вашей карте совершают не одну транзакцию, а две, обычно на одну и ту же сумму. Чек, понятное дело, приносят один. Многие, даже при наличии СМС-информирования, считают вторую СМС о списании средств ошибкой или дублем, т.к. суммы совпадают. Способ на самом деле очень не надежный, т.к. такие транзакции легко опротестовываются и деньги возвращаются, зато и мошенников сложнее привлечь к ответственности, т.к. все можно списать на сбой или ошибку оператора. Раньше, когда транзакции были offline’овыми и при покупке с карточки прокатывали слип, недобросовестные продавцы могли прокатать 2 чека, вместо одного (обычно клиенту объяснялось, что первый чек плохо прокатался, типа ничего не видно и нужно прокатать еще один и качественно). Во второй чек вписывалась нужная сумма и все. Сейчас платежные системы борятся с такими мошенничествами путем запрета операций на одну и ту же сумму в течение определенного периода времени (обычно часа).
Еще один несложный способ — использование транзакций без авторизации. В странах третьего мира, в основном в Азии и Африке, там где большие проблемы с хорошим интернетом, очень много торговых точек использует режим отложенных транзакций, допуская покупки до некоторой суммы (например, $100) без авторизации банка. В этом случае можно кидать не только клиента, но и банк. Карту можно загнать в овердрафт, совершив по карте множество мелких транзакций. Банки пытаются бороться с такими мошенничествами повышая уровень опасности транзакций из таких стран и блокируя карту при выполнении подозритеьных операций.
Более хитрый способ — фальшивые чарджбэки. Способ достаточно замороченный и требует криминализации торговой точки, т.к. все операции выполняются с POS-терминала и в последствии отвечать за них придется владельцу торговой точки. Суть в следующем. Вы (или мошенник с клонированной картой) совершаете абсолютно нормальную покупку, например на 10К рублей. Деньги эти сразу же на счету блокируются и доступный остаток на карте уменьшается на эту сумму. Спустя, например, 10 минут, проводится операция возврата средств, что приводит к увеличению остатка на карте не соотв. сумму. Сообщник мошенника (или он сам) тут же снимает деньги в банкомате. После этого производится операция отмены возврата, деньги снова блокируются. Обычно это приводит к овердрафту по карте, за что приходится платить сначала банку, а потом и вам. В случае сильно криминальной схемы сначала приходят чарджбэки, увеличивающие баланс на карте(ах), после чего карты обнуляются в банкоматах, а на следующий день приходят прямые транзакции о покупках, загоняя карты в овердрафт. В результате банку приходится искать владельцев этих карт, которые могут и не существовать. Результат мошенничества положителен для всех: мерчант получает деньги, мошенник получает и товар, и деньги. В пролете остается банк-эмитент, а если не повезло, то владелец карты (если он был не подставной).
Еще один банальный, но в то же время технологичный способ отъема денег — фальшивый Интернет-магазин. Мошенники делают нормальный Интернет-магазин (благо готовых движков сейчас сколько хочешь), наполняют его товарами, устанавливая на них цены ниже среднерыночных, добавляют возможность оплаты по банковским картам. Понятное дело, что никаких товаров никто высылать не собирается. Дальше просто сидим и ждем, когда клиенты будут сами добровольно указывать данные карточек. Дальше два варианта развития событий. Первый — деньги официально поступают на счет магазина в том объеме, в котором этого захотели клиенты. Второй — данные карт используются для их обнуления. В любом случае через месяц-другой магазин тихо умирает, а мошенники исчезают с деньгами и начинают создавать новый магазин.
Вот, собственно, и все хитрости В следующий раз расскажу о том, как же делать так, чтобы имея банковскую карту не бояться каждого куста.