Клей на банкомате или о чем молчат банкиры
Объем воровства денег с пластиковых карт может достичь угрожающих размеров, если украинские банки не ускорят переход на чиповые технологии. А государство — не ужесточит наказание за подделки карт. Инновации в преступном мире внедряются быстро. Бурный рост переживает воровство с пластиковых карт. По официальным данным, потери от мошенничества в Украине уже достигают среднеевропейского уровня — 0,06% годового оборота по картам (90 млн гривен в прошлом году). А по неофициальным оценкам специалистов Национального банка, мошенники присваивают не менее процента от оборота по картам (это означает, что только в первом полугодии этого года объем мошеннических операций составил около миллиарда гривен). В основном страдают владельцы карт иностранных банков. Однако в последнее время преступники проявляют все бо/льший интерес к карточным счетам украинских граждан. В этом году уже трижды были обнаружены специальные насадки на банкоматах, с помощью которых мошенники получали информацию о картах, изготавливали их дубликаты и обчищали счета. Используются и другие методы получения доступа к чужим деньгам.
Эволюция схем
Мошенничество с платежными картами в Украине возникло тогда же, когда и сам рынок платежных карт, — в начале 90-х годов. И развивалось вместе с рынком. В конце 90-х мошенники подделывали карты, перехватывая данные (реквизиты карточного счета, PIN-код), следующие из банкомата или POS-терминала в процессинговый центр путем присоединения к кабелю. Изза такой незащищенности каналов передачи данных отечественных банков международные платежные ассоциации даже рекомендовали иностранцам не рассчитываться карточками и не пользоваться банкоматами в Украине. Два года назад банки усложнили задачу хакерам, обратившись к более продвинутым методам шифровки передаваемой информации.
Тогда мошенники стали искать другие способы получения информации о карточках. Скимминг (копирование данных с магнитной полосы карты и изготовление ее дубликата) стал осуществляться с помощью специальных насадок (скиммеров) на клавиатуру банкомата и конвертов, вставляемых в разъем для карты. Эти устройства считывают информацию с магнитной полосы карт, а также фиксируют PIN-код.
Насадка устанавливается за пару минут, обычно на популярных банкоматах, расположенных около крупных предприятий или торговыхцентров. В прошлом году службы безопасности банков не успевали находить сами устройства — их использование выдавали лишь следы клея на банкомате. Обычно мошенники снимают насадки и конверты через пару часов после установления. Для предупреждения этого типа мошенничества банки ставят видеонаблюдение на банкоматах и на их экранах запускают заставки, информирующие о том, как должен выглядеть банкомат без мошеннических устройств.
Скимминг также нередко происходит при расчете карточкой за товары и услуги в случае сговора персонала торговых и сервисных учреждений с мошенниками. Опасность может подстерегать владельца карты где угодно. Например, карту клиента одного из крупнейших банков скопировали в турфирме, предварительно запросив якобы для ксерокопирования. Для считки информации с карт мошенники используют небольшой ручной скиммер.
Располагая реквизитами карты, смастерить подделку несложно — устройство для нанесения на обычный пластик с магнитной полосой информации о счете, по словам банковских специалистов, можно без труда приобрести на любом радиорынке. Без знания PIN-кода сложнее обналичить фальшивую карту. В торговых сетях факт мошенничества будет быстро обнаружен и доказан, поэтому неоднократно рассчитываться фальшивой картой в одной и той же торговой точке мошеннику вряд ли удастся. Хотя раньше это было возможно. «До 2000 года были нередки случаи открытия ”левых” торговых точек, в которых снимались деньги с карточных счетов. Сейчас такое невозможно — банки мониторят операции в торговой сети. Резкое увеличение объема операций в конкретном магазине настораживает службы безопасности», — рассказывает директор Украинской межбанковской ассоциации членов платежных систем (ЕМА) Александр Карпов. Проблемой остается халатность кассиров. Опыт корреспондента «Эксперта» свидетельствует, что они далеко не всегда сравнивают подпись на карте с подписью на чеке. О предъявлении документов в сомнительных случаях речь вообще не идет.
Мошенники стараются упростить себе жизнь, заполучив не только данные о карточном счете, но и PIN-код, и поэтому все чаще прибегают к установке скиммеров на банкоматы. Отечественные похитители используют и фишинг — рассылку писем, предлагающих посетить web-страницу банка или виртуального магазина с тем, чтобы уточнить данные о счете или приобрести товары или услуги, например, маркетинговые исследования или базы данных. Недавно клиенты украинских банков повелись на предложение мошенников заработать с помощью Интернета. Их карты впоследствии были использованы в интернет-магазинах для покупки ваучеров пополнения счетов мобильной связи. Аферисты неоднократно рассылали письма абонентам услуги интернет-банкинга ПриватБанка. Клиенты банка получали электронные письма якобы от службы безопасности банка с просьбой срочно пройти авторизацию, следуя по прилагаемой ссылке. При этом название мошеннического сайта почти полностью повторяло адрес портала интернет-банкинга «Приват24».
Клиент тоже виноват
Банкиры считают, что чаще всего мошенничество — результат беспечности клиентов, то и дело нарушающих обязательства, прописанные в договоре об открытии карточного счета. «Клиенты часто нарушают правила пользования картами, храня PINкод вместе с картой. В таком случае, ворам, укравшим карту, несложно ее обналичить в банкомате», — отмечает главный специалист отдела безопасности карточного бизнеса банка «Финансы и Кредит» Игорь Попов.
Карты нередко доверяются родственникам и друзьям, либо хранятся вместе с PIN-кодом в известном посторонним людям месте, что влечет за собой так называемое дружественное мошенничество. «Обращения клиентов в банк с просьбой разобраться в исчезновении денег с карточного счета — не редкость, но большинство претензий, как потом выясняется, связаны со снятием денег в банкомате родственником или знакомым, знавшим PIN-код», — говорит заместитель начальника управления платежных систем Укрэксимбанка Олег Тищенко. Дружественное мошенничество, потери и кражи карт составляют бо/льшую часть всех мошеннических операций с картами украинских банков.
Структура эмиссии платежных карт в Украине (в разрезе видов носителей информации)
Граждане проявляют беспечность и пренебрегая услугой sms-банкинга. Дело в том, что с момента пропажи карты до времени обнаружения этого факта клиентом может пройти немало времени. А деньги с украденной карты обычно снимаются в течение первых суток. Таким образом, получив сообщение, клиент может заблокировать карту после первой же мошеннической операции. Например, у Александра Карпова мошенники воровали деньги дважды, но в обоих случаях они не смогли обнулить счет благодаря услуге sms-банкинга.
Банкиры уверены, что снизить уровень мошенничества поможет подробный инструктаж клиентов. Часто при выдаче карты менеджеры банков не утруждаются объяснить им, как правильно пользоваться платежным средством. Ассоциация ЕМА в ближайшее время собирается восполнить этот пробел и начнет распространять диск с подробной информацией о том, что такое карта и какие действия с ней недопустимы.
Воровство без границ
Самые распространенные мошеннические операции в мире — трансграничные. Организованные преступные группировки взламывают базы данных банков, передают сведения о картах сообщникам, которые изготавливают дубликаты, а потом снимают деньги в банкоматах или рассчитываются в магазинах других стран. В Украине в 2004 году был скандал, связанный со снятием крупной суммы по картам американского эмитента. В Одессе сотрудники Управления по борьбе с организованной преступностью задержали четверых мошенников, подозреваемых в краже через банкоматы при помощи поддельных карточек почти миллиона долларов. И хотя преступники были задержаны во время обналичивания десяти тысяч долларов, наказать их так и не удалось. «Мошенники отделалисьштрафами, потому что по закону в подобных случаях должен иметь место реальный ущерб. А пострадавший от их действий американский банк не пожелал тратить время на предоставление официальных данных нашему следствию и суду», — объясняет Карпов. Располагая реквизитами карты, смастерить подделку несложно — устройство для нанесения на обычный пластик с магнитной полосой информации о счете можно без труда приобрести на любом радиорынке.
Мошенники для обналичивания средств по поддельным картам специально выбирают другие страны — любое трансграничное преступление очень трудно расследуется. В большинстве случаев преступники остаются безнаказанными, а всю цепочку группировки проследить не удается — привлекаются исполнители, а их сообщники в других государствах продолжают заниматься своим делом.
Клиентов наших финучреждений наибольшая опасность подстерегает при поездках за рубеж. «В прошлом году я расплатился карточкой за ужин в парижском ресторане. Уже в Киеве я получил SMS, что моя карточка опять была использована во Франции», — рассказал «Эксперту» клиент одного из крупных украинских банков Николай Шевченко. Благодаря услуге SMS-банкинга он своевременно заблокировал карту. После проведения расследования службой безопасности учреждения украденные средства удалось вернуть.
Наиболее рисковыми с точки зрения мошенничества считаются азиатские страны, особенно Таиланд и Сингапур. Хотя неприятности с владельцами карт могут случиться и в Польше, и в Болгарии, и в Турции. «В турецких магазинах предлагают провести операцию в терминале, где нужно ввести PIN-код, и он выдаст наличные. На самом деле эти магазины не являются пунктами выдачи наличных, и код вводить не надо. После этого появляется дубликат карты, с которой мошенники идут в банкомат и снимают деньги», — рассказал «Эксперту» начальник управления по предотвращению мошенничества Дельта Банка Александр Кирпо.
Проблема в технологиях
Распространению трансграничного мошенничества также способствует нежелание тех же американских банков заменять карты с магнитной полосой картами с чипом (микропроцессором). Таким образом, завладев базой данных американского эмитента, мошенники могут без труда создать поддельную карту с магнитной полосой. Но поскольку в США за карточное мошенничество наказывают довольно строго,преступники предпочитают грабить американских держателей карт за рубежом.
В нашей стране и Национальный банк, и международные платежные системы выступают за переход на чиповую технологию. По словам главы представительства VISA International CEMEA в Украине Антонина Ермоленко, карта с чипом обладает стойкими криптоалгоритмами, взломать которые хакеры пока не могут. Однако, по данным НБУ, к июлю этого года только шесть процентов всех выпущенных в стране карт были оснащены чипами. При этом основная часть таких карт выпущена в рамках подконтрольной НБУ Национальной системы массовых электронных платежей. Многие крупные финучреждения вообще не вводят чиповые карты, считая подобную технологию слишком затратной. Так, платежная система VISA сертифицировала на выпуск чиповых карт лишь 26 отечественных банков-эмитентов. Сами платежные системы стараются стимулировать фининституты переходить на более безопасные технологии. «Согласно обязательным требованиям платежных систем, банки обязаны привести свои карточные системы в соответствие со стандартами защиты информации по платежным картам PCIDSS (Plastic Card Industry Data Security Standard). Этот стандарт предусматривает комплексную защиту информации от утечки, а значит, и от мошенничества», — говорит начальник сектора мониторинга и расследования мошеннических операций ОТП Банка Полина Базурина. С 1 января 2008 года платежные системы начнут контролировать выполнение финучреждениями стандарта PCIDSS. Еще несколько лет назад платежные системы ввели правило переноса ответственности: из двух участников транзакции (банк-эмитент и банк-эквайер, осуществляющий расчет) ответственность за мошенничество несет тот, кто не перешел на чипы. Благодаря этому правилу большинство отечественных банкоматов и терминалов оборудованы устройствами для приема чип-карт — наши банкиры не хотят возмещать убытки американским владельцам карточек.
Преступление без наказания
В случае мошенничества финучреждения обычно аннулируют карту и выпускают новую. По законодательству, в случае заявления клиента о факте мошенничества, банк-эмитент должен за 180 суток провести расследование и вернуть деньги, если владелец карты к преступлению непричастен. Обычно фининституты стараются расследовать ситуацию раньше отведенного срока — в некоторых случаях клиенту выплачивают возмещение через месяц-полтора после инцидента. Но это правило не распространяется на крупнейшие банки. «У меня более полугода назад украли деньги с пластиковой карты. Но до сих пор ничего так и не вернули, хотя расследование давно проведено. К тому же банк полностью игнорирует все мои обращения, наверное, придется подавать в суд», — возмущается клиент одного из крупнейших финучреждений Игорь Лаврик.
Ведущие эмитенты платежных карт в Украине (на 1 июля 2007 года)
Если факта мошенничества расследование не подтвердило, клиента попросят заплатить за проделанную работу 10–20 долларов. Однако у владельца карты есть возможность оспорить такое решение банка и вернуть свои деньги через суд. Перспектива судебного разбирательства иногда становится весомым аргументом в пользу возврата средств. «Финансовые учреждения не хотят афишировать случаи мошенничества, потому что это подрывает их авторитет и авторитет карты как инструмента. Поэтому большинство из них сообщают лишь о тех случаях, скрыть которые просто невозможно», — отметил исполнительный директор по вопросам платежных систем и расчетов НБУ Виктор Кравец.
Государство тоже должно принять участие в обеспечении безопасности операций по карточкам. Прежде всего необходимо ужесточить наказание за подделку карт. Сейчас карточный мошенник может отделаться штрафом от 500 до 1000 необлагаемых налогом минимумов доходов граждан или лишением свободы на срок до трех лет (тогда как фальшивомонетчики получают от трех до семи лет). Повторно задержанный преступник может лишиться свободы на два-пять лет. По мнению Олега Тищенко, из-за сложности карточных технологий и процессуальных тонкостей ведения таких уголовных дел лица, задержанные по подозрению в карточном мошенничестве, зачастую уходят от ответственности. Ассоциация ЕМА предлагает внести изменения в Уголовный кодекс: при первом же задержании наказывать мошенников не штрафами, а лишением свободы. Подделывать карты проще, чем наличные средства, но их подделка не менее опасна для общества, чем выпуск фальшивых денег. Поэтому наказание за эти виды преступлений должно быть одинаковым. Играет на руку мошенникам и стремление банков экономить на технологиях изготовления карт.
Наталия Богута , Эксперт