Карт-бланш українських кардерів
Нині кардинг – «ремесло» розгалуженого організованого злочинного співтовариства, що має свої сайти, форуми, де новачки долучаються до таїнств ремесла, а професіонали обмінюються корисними порадами. Приміром, у травні 2003 року в Анапі (Росія) відбулася перша закрита конференція російських кардерів. Офіційної ж статистики щодо діяльності спритників в Україні немає й донині. За неофіційними даними, збитки від кардерів в нашій країні сягають 1% обсягу операцій з платіжними картками. Відповідно ж до вимог Vіsa і Europay, ця цифра не може перевищувати 0,14%.
Нещодавно в курортному передмісті столиці Пущі-Водиці відбувся семінар, головною темою якого стала протидія так званим картковим злочинам. Сюди з’їхалися керівники регіональних відділів ДСБЕЗ МВС, представники служб безпеки українських банків, журналісти. Вони обмінялись пропозиціями, методикою, прийомами боротьби з «кіберкидалами». Адже лише тісна співпраця правоохоронців і банків може убезпечити платіжні системи від кримінальних інтервенцій. Побував на заході і наш кореспондент.
«Білий пластик» — «чорні» гроші
Учасники семінару одностайно заявили: в Україні стрімко росте ринок пластикових карток (ПК) міжнародних платіжних систем. За темпами їх емісії ми вже обігнали Росію, в якої ще донедавна вчилися працювати. В країні діє понад 2100 банкоматів, близько 15 тис. POS-терміналів і 30 тисяч імпринтерів. За даними НБУ, кількість карток, емітованих 40 українськими банками, становить майже 5 мільйонів, з яких 3 мільйони — міжнародні. Україна вийшла на перше місце в Центральній і Східній Європі за темпами емісії карт Vіsa, її річний обіг зріс удвічі і становить $800 мільйонів, кількість трансакцій сягнула 16 мільйонів. Проте українці рідко оплачують картками товари і послуги. Якщо за кордоном ними розраховується 70% покупців, то в нас цей відсоток ще малий. Втім, із збільшенням ринку ПК, зростає і ризик підробки, тому проблема безпеки стає дедалі актуальнішою. Нині серед українських еквайрів (банки, що заробляють комісію на видачі готівки) є багато дрібних і середніх банків, які не готові витрачатися на безпеку. В результаті рівень шахрайств тих операцій лишається вищим за світовий, а якість послуг нижчою.
Щорічно в світі за допомогою ПК систем Vіsa і Europay викрадається майже $2 мільярди, половина припадає на США — за даними Федеральної торговельної комісії їх втрати сягнули $1 мільярд. У 2005 році в Україні на «гарячому» затримали 16 осіб, які займалися картковою злочинністю (кардингом) — тобто використовували автоматизовані системи в несанкціонованих платіжних операціях. Нині кардинг — не просто окремі шахраї, це організоване злочинне співтовариство, що має свої сайти, форуми, де новачки долучаються до таїнств ремесла, а професіонали обмінюються корисними порадами. Приміром, у травні 2003 року в Анапі (Росія) відбулася перша закрита конференція російських кардерів. Офіційної ж статистики щодо діяльності спритників в Україні немає й донині. Якщо банки і відслідковують шахрайські дії, то ця інформація є конфіденційною. За неофіційними даними, збитки від кардерів в Україні сягають 1% обсягу операцій з ПК. Відповідно ж до вимог Vіsa і Europay, ця цифра не може перевищувати 0,14%. Тому за ініціативи ООН, яка, мабуть, небезпідставно вважає, що в Україні знаходиться одне з найпотужніших у Європі джерел кардер-шахрайства, в 2004 році тут створили міжвідомчу робочу групу з протидії картковим злочинам, куди ввійшли представники правоохоронних відомств та НБУ.
Королі електронної «капусти»
— Є два види кардерів: інтернет-кардери, що працюють лише з інформацією, і реальні кардери, які оперують клонами карток. Всьому світу відомо: безпосередні виконавці — так звані дропи, яких наймають кардери, аби за допомогою «білого пластику» (шматок пластику із магнітною смугою), де маркером намальовано PIN-код, зняти в банкоматі гроші, — розповідає заступник начальника відділу боротьби з правопорушеннями у сфері високих технологій ДДСБЕЗ МВС Володимир Шеломенцев. — У організаторів цього бізнесу вочевидь багатих людей, є консультанти й інформатори із банківської сфери, що дуже турбує, бо дістати PIN без них практично неможливо. Зазвичай дропів розвозять легковиком. Вони отримують до 25% від суми, яку вдалося видурити в «електронного касира». Під кінець «вахти» 3-4 таких пасажири нерідко вщерть набивають готівкою багажник авто. До того ж, господарі дають їм кошти на «представницькі витрати». Приміром, на випадок викриття правоохоронцями чи службою безпеки банку, коли за мовчання останніх доводиться платити. Як кажуть деякі спритники, в разі загрози затримання їм дозволено одразу знімати до 5 тис. гривень. Причому тримачі схеми ведуть чітку «бухгалтерію» оборудок. У вилучених блокнотах тих авторитетів все скрупульозно записано: якому дропу і скільки видали «білого пластику»; кількість знятої ним готівки; витрати на готель, авто, їжу…
Кардери прагнуть використовувати легальні он-лайн служби, шукаючи дропів як здобувачів позиції «менеджер з обробки кореспонденції компанії», куди запрошують тих, хто має вільний час і може працювати вдома. Потім кардер листується з дропом, укладає з ним угоду (підробленими документами займаються окремі «фахівці») і поступово втягує його в «бізнес компанії». За даними кардерів, «термін життя» найманця — 3-4 місяці і потім на нього виходять правоохоронці…
Цікаво, що створенню будь-якої гілки кардингу передує своєрідна розвідка — збір інформації про власників карток та їхні реквізити через відкриття «офісів», що буцімто проводять операції з ПК (ті ж інтернет-магазини). Слідчі можуть кваліфікувати ту віртуальність як фіктивне підприємництво (ст. 205 ККУ), оскільки лиходії насправді нічого не продають, а створюють сліпи й чеки, відомості з яких заносять до баз даних. Сліп — попередній рахунок, що друкує сліп-принтер на спеціальному бланку — одночасно чек і копію — та включає реквізити, що записуються вручну працівником торговельної організації чи банку (відбиток ПК, дата операції, сума, валюта, код авторизації, підписи касира і власника картки). Після завершення операції перший примірник заповненого сліпу віддають клієнту, другий лишають організації, третій передають у банк-еквайр чи процесинг-компанію. Сліп-принтери, які встановлюють на станціях офіціантів, барменів і касирів, не друкують фіскальних чеків, які оформлює лише імпринтер. Тому злочинці намагаються якщо не отримати дані про ПК через електронний магазин, то хоча б заволодіти сліпами. Можна навіть із корзини зі сміттям…
Афери з ПК кваліфікують як завгодно
…Під час обшуків у комп’ютерах зловмисників знаходять інформацію про сотні ПК, причому такого рівня, що здобувається не лише пристроями для скімінгу і зняття інформації з каналів зв’язку, а й «витікає» безпосередньо із банку. Особливо це стосується осіб, які відповідають за оформлення карток. Цікаво, що чимало тих «протікань» виявляють у США, оскільки банки саме цієї країни найбільше страждають від кардерів. Слідчі в такому разі можуть порушувати кримінальні справи за ст. 231 та 232 КК України (відповідно: «Незаконне збирання відомостей, що становлять комерційну таємницю» та «Розголошення комерційної таємниці»).
На жаль, американські банки не завжди співробітничають з українськими правоохоронцями і нерідко ігнорують запити про підтвердження збитків. У кращому разі можна дочекатися якогось заокеанського факсу із незрозумілими позначками про операцію-аферу. Але це не є юридично прийнятним документом — вітчизняне судочинство надає перевагу доказам у вигляді офіційних листів, що пройшли відповідну реєстрацію в амбасаді. Зрозуміло, що деякі банки (зазвичай дрібні) просто роблять вигляд, що нічого страшного не відбувається — мовляв, репутація дорожча й повноголосно не зізнаються про те, що віддають власних клієнтів у жертву кардерам.
Записати дропів, хакерів і кардерів до злочинців може лише суд, хоча означені терміни вживають скоріше як соціологічний феномен. Та й свою справу робить почасти невиправдана обережність слідчих, які кваліфікують ті дії — у більшості з них нема належного досвіду. Тому незаконні операції з ПК кваліфікують як завгодно: крадіжкою, заподіянням шкоди шляхом обману чи зловживання довірою. Але ні в якому разі не як «незаконні дії з документами на переказ, платіжними картками та іншими засобами доступу до банківських рахунків, обладнання для їх виготовлення», про що йдеться в ст. 200 КК України. Банки й інтернет-магазини бояться, що заява в міліцію викличе витік інформації і тоді вибухне скандал, що призведе до втрати клієнтів і краху. В половині випадків власник картки також не звернеться до правоохоронців і злочин буде безкарним. Одна причина — побоювання викрити фінансове становище, інша — можливість розібратися із магазином без втручання «органів». Є чимало ситуацій, коли гроші повертають: якщо користувач доведе, що не оформляв і не одержував покупку, інтернет-магазин поверне гроші, знову ж таки боячись розголосу…
Показово, що число афер з картками залежить від «зрілості» ринку. Шахраї постійно шукають країни, що вже мають значні обсяги емісії ПК, але ще не вміють ефективно боротися з кардерами. Взагалі, Нігерія, Росія, Україна, Литва, Румунія, Югославія, Болгарія, Єгипет, Ізраїль, Індонезія і Пакистан — «лідери» кардингу й формують неофіційний «чорний список» країн, куди відомі інтернет-аукціони, наприклад e-bay, не беруться доставляти замовлені товари. За даними дослідницької фірми Gartner, близько 12% електронних магазинів США не доставляють товари за кордон. Однак у тій же Росії обсяг втрат від кардингу відносно невеликий. Причин кілька.
Наприклад, посилений контроль тамтешніх еквайрів (здійснюють процесинг платежів у пунктах приймання ПК). Лев Аршанський, керівник служби безпеки «Компанії об’єднаних кредитних карток» (обслуговує низку російських банків і понад 7 тис. підприємств, обіг понад $1 млрд на рік) каже: «Близько 70% усіх трансакцій ПК у Росії — наші, і в нас фродових операцій (fraud англ. — шахрайство) не більше 0,06%. Це дуже низький рівень порівняно зі світовим. Західним колегам дешевше списати збиток, ніж розслідувати, ми ж розбираємося в будь-якому разі, незважаючи на суму. До того, касири матеріально зацікавлені у виявленні і затриманні шахрая. Інша причина — в РФ картками в Інтернеті рідко розплачуються, тоді як інтернет-платежі тримають першість світових утрат від кардингу. І, головне, кардерів просто не цікавлять ПК клієнтів російських банків. Напевно, із західними працювати вигідніше.»
В Україні дропів випускають на підписку про невиїзд. В Естонії — арештовують «табунами»
— В Україні на «гарячому» (під час зняття коштів у банкоматах — Авт.) затримано ще дуже мало дропів, але їх, напевне, багато, — розповідає заступник директора Української міжбанківської асоціації членів платіжних систем ЕМА Лариса Макарова. — Та ще сумно від того, що не викрито жодного організатора кардер-мережі. Звісно, це якщо не брати до уваги розслідування справи сумнозвісного «SCRIPTа» (див. «Іменем Закону» №10 — Авт.), який створив справжню кібермафію, проте її члени зазвичай оперували на території інших країн, у Києві ж діяла лише лабораторія з виготовлення підроблених ПК. Ми ж говоримо про ті угруповання, що є повновагим надбанням національного криміналітету і працюють виключно в Україні. Прикро, але нерідко дропів відпускають «за відсутності складу злочину», що вказує на невисокий професіоналізм правоохоронців. Якщо справи і доходять до суду, то призначається надто м’яке чи умовне покарання.
А тим часом кардинг удосконалюється. Приміром, особливість і новизна нинішньої ситуації в Україні — шахрайство у комунальних платежах, оплаті послуг кабельного телебачення й зв’язку. Аферисти складають неіснуючі рахунки у вигляді квитанцій за послуги, де вказують реквізити певного карткового рахунку спритників, і вкладають до поштової скриньки. Люди, не зрозумівши підступності каверзи, спокійно перераховують їм гроші…
Зазначу, що 22 лютого Верховна Рада пленарно розглядала законопроект № 8035-Д, розроблений за участі ЕМА, що передбачав прискорене формування єдиної системи моніторингу операцій з вкраденими, підробленими ПК та уточнював питання провадження емітентами та еквайрами відповідних дій за його результатами для мінімізації ризиків клієнтів. Пропонувалися і зміни до ст. 200 ККУ, що узгодили б її диспозицію з нормами Закону «Про платіжні системи та переказ коштів в Україні».
Відповідно до практики застосування цієї статті, особливої суспільної небезпеки, зухвалості дій щодо використання підроблених платіжних інструментів, відповідальність за цей злочин встановлювалася б подібно до санкцій за фальшивомонетництво. Це давало б можливість оперативним підрозділам МВС застосовувати весь арсенал заходів, передбачених Законом України «Про оперативно-розшукову діяльність», і сприяло б розкриттю злочинів, підвищило б довіру громади до фінансової системи країни. Та розгляд не став результативним. Втім, ЕМА реєструватиме законопроект у травні для розгляду і прийняття новим складом парламенту.
Не секрет, що саме із Росії, (почасти із С.-Петербурга) у Східну Європу й до України також постачається чимало «білого пластику», що підтверджує досвід Естонії, яка має певні успіхи в протидії кардерам. Із 2003 по 2006 рік Eesti Unispank вилучив у своїх банкоматах понад 600 фальшивих ПК — зазвичай «білого пластику», за допомогою якого знімали кошти клієнтів американських й західноєвропейських банків. У складі служби безпеки Eesti Unispank є відділ розслідувань, де накопичується інформація про випадки та варіації використання «білого пластику». «Механічних касирів» Eesti Unispank облаштував прихованими відеокамерами, що фіксували зовнішність користувачів саме там, де відбувалося найбільше шахрайств.
— Прикро, але наші правоохоронці намагаються затримувати дропів-одинаків на «гарячому», як тільки-но надійде оперативна інформація, тому до них потрапляє найнижчий ієрархічний рівень угруповання кардерів, — продовжує Лариса Макарова. — Але й то вважають неабияким успіхом, про що звітують і керівництву, і нерідко ЗМІ. Затримані почасти перебувають під вартою не більше трьох діб, а потім щезають під девізом «підписки про невиїзд». В Естонії ті речі відбуваються дещо інакше. Та ж служба безпеки і відділ розслідувань Eesti Unispank систематизує, аналізує інформацію щодо дропів та (що є пріоритетом) їх організаторів, встановлюючи за ними тривале спостереження, а вже потім одним ударом викриває всю схему «сім’ї», родинне «кіно» про яку вже записане прихованими камерами. В середині грудня 2005 року відділ розслідувань зазначеного естонського банку в тісній співпраці із місцевими правоохоронцями ідентифікували осіб, на яких вже зібрався цілий серіал. Виявилося, що більшість з них входить до складу злочинної групи, а дехто вже мав судимість. Поліція зібрала додаткові докази і взяла хід розслідування під свій повний контроль. Цікаво, що майже всі ті дропи — російськомовні.
Дещо пізніше — у січні 2006 року — вже інший естонський банк Hansapank фіксує такі ж підозрілі трансакції за картками американських емітентів, згодом і операції з підробленими ПК та порцію переказів великих коштів у С.- Петербург, про що операційний відділ Hansapank поінформував розслідування. Відправниками виявилися молодики, «портрети» яких давно відомі поліції і службі безпеки Eesti Unispank. Втім, навіть коли знову помітили підозрілі операції з картками на суму понад 400 тис. євро, естонська поліція нікого не затримувала, доки не встановила весь «ланцюжок». Арешт був блискавичним — у поліційний відділок одразу «загриміло» 17 підозрюваних у створенні й діяльності кримінальної зграї кардерів. Вилучена в них комп’ютерна техніка, підроблені ПК та готівка «заважили» на понад мільйон євро! Перший етап слідства, що проводився спільно із ФБР США, встановив, що цю схему впровадили Павло Усов, Роман Канкан та Андрій Медведєв, які й організували так званий дроп-сервіс…
Наймудріше рішення — страхування ризиків
…Міжнародні платіжні системи давно виробили механізм боротьби з аферистами. Завдяки взаємодії продавців, банків і правоохоронців злочинців беруть на гарячому. Жертвам, навіть якщо викрадачі й не знайдені, повертають украдені гроші. Власники карток мають лише неухильно виконувати рекомендації банку-емітента: щомісяця одержувати виписки з рахунку й звіряти із реальними витратами. Якщо виявиться розбіжність, варто негайно писати заяву-протест, і практично в 99% випадків «злизані» кошти повертають.
Вітчизняні фінансисти об’єднуються проти кардерів у міжбанківській системі обміну інформації про фродові операції із ПК, яку впроваджують Українська міжбанківська асоціація банків-членів Europay і Український процесинг-центр. Рецепт боротьби із шахраями від Europay досить простий: вимагайте в покупців паспорти. За новими правилами, якщо банк доведе, що розрахунок украденою чи підробленою ПК допустив продавець, то кошти на рахунок магазину не перекажуть. Що дало дивний ефект — у минулому році розкрадань за допомогою ПК стало втричі менше.
Та наймудріше рішення, на думку фахівців, є страхування ризиків втрат від шахрайства з ПК. На жаль, вітчизняні агенції зазвичай не страхують ті втрати через відсутність досвіду оцінки ризиків. Натомість великі закордонні компанії не страхують дрібних збитків банків, бо вартість послуг перевищує розміри збитку, реально завданого кардерами — платити 40-70 тис. доларів за страховку економічно недоцільно.
Геннадій КАРПЮК, «Іменем закону»