Лікбез

Какое мошенничество с пластиковыми картами сегодня наиболее распространено?

Published 17 Жовтня 2014

В течение года усиливались две основных тенденции – это хищение денег в системах интернет-банкинга у компаний и так называемый скимминг – копирование данных магнитной полосы платежной карты и ПИН-кода к ней с помощью микрокамер. Какое мошенничество с пластиковыми картами сегодня наиболее распространено? В чем оно заключается, и как себя от него уберечь.

Андрей Моршнев, начальник службы информационной безопасности УкрСиббанка BNP Paribas Group

Следует отметить, что хищения денег в интернет-банкинге сопровождаются длительными и мощными DDoS атаками на несколько дней для скрытия следов хищения денег, которые останавливают деятельность банков, всех клиентов, а, следовательно, тормозят и экономику – это явление можно назвать даже эпидемией и национальной проблемой.

В связи с увеличением числа интернет-магазинов, конечно же, начинает расти и интернет-мошенничество – фишинг.

Также появилась новая тенденция – это ограбления банкоматов, которые совершаются, в основном, практически на следующий день после загрузки банкоматов деньгами, и чаще проявляются там, где банкоматы не подключены к сигнализации, а денежные средства в банкоматах только страхуются.

Для безопаности операций в терминалах магазинов наш банк распространяет ЧИПовые карты и шифрует весь трафик до процессинга банка, создает системы сетевой защиты от проникновения в компьютерные сети. В банкоматах мы используем уникальные антискимминговые устройства пассивного и активного типа, безопасность программ внутри банкоматов, круглосуточный мониторинг подозрительных операций, лимиты на операции в любой конфигурации суммы, валюты, времени, заставки на банкоматах с эталонным изображением лицевой части банкомата без скиммингового устройства.

В системе интернет-банкинга мы используем широкий спектр бесплатных для клиентов мер безопасности, в частности – разовые пароли, токены для хранения секретных ключей, мониторинг подозрительных операций, информирование о любом событии со счетом и другое.

Наиболее эффективными являются самые простые или неповторяющиеся решения и элементарное соблюдение банками правил платежных карточных систем и требований НБУ.

Например, нужно пользоваться только ЧИПовой картой, а при операциях в сети Интернет всегда использовать одноразовые пароли. На банкоматах пока достаточно устанавливать антискимиинговые устройства или хотя бы разместить на экранах банкоматов заставки с изображением фото АТМ без накладок и телефон доверия банка. Вопросы программной безопасности внутри банкомата – это отдельная важная и сложная тема уже для специалистов служб безопасности банков, но ее отсутствие сведет к нулю все остальные действия банков.

В международном сотрудничестве достаточно обмена опытом и статистикой инцидентов, которая для неленивого безопасника даст возможность запланировать и внедрить дополнительные средства безопасности.

Банк активно использует разовые пароли как в операциях с картами в сети интернет, так и в системе интернет-банкинг – это очень простые для клиента, доступные и самые эффективные средства, не требующие дополнительных программ и сложностей.

Наши банкоматы вне помещений отделений оборудованы антискимминговыми устройствами. Смена стандартного ПИН-кода к карте в любой момент времени в банкомате банка и лимиты на операции любого типа. Ключи ЭЦП (электронно-цифровой подписи) нашего аккредитированного Центра сертификации ключей приравниваются к собственноручной живой подписи и могут быть использованы для электронного документооборота с госорганами и т.п., а, как известно, ЭЦП одного клиента сохраняет минимум одно дерево.

Итак, если резюмировать, советы очень простые:

сохранить отдельно от карты, кошелька и мобильного телефона записанный на отдельную бумажку или визитку номер телефона Контакт-центра и отделения своего банка (особенно актуально для выезжающих за границу). Если такой нет, то подойти к любому банкомату УкрСиббанка и посмотреть на нем контактные телефоны (для тех, кто в Украине) или посмотреть номер телефона на сайте банка в сети интернет;
при возникновении подозрений о неправомерных действиях с картой клиента сразу же звонить в Контакт-центр или отделение банка и блокировать карту, желательно также блокировать и доступ к системе интернет-банкинга, т.к. сейчас многие клиенты имеют возможность управлять карточными счетами и через интернет-банкинг;
после информирования КЦ банка прибыть на отделение банка, взять выписку движения средств по карте и написать заявление на оспаривание операции, а также подать заявление в милицию.

Александр Парамонов, заместитель председателя правления Forward Bank (Украина)

На сегодняшний день наиболее распространенным видом мошенничества с банковскими картами остается скимминг – компрометация карты путем установки на банкоматы различных считывающих устройств: скиммеров, накладных пинпад-клавиатур, скрытых видеокамер. Иногда мошенники устанавливают на банкоматы устройства для технического захвата наличности во время снятия денег (cash trapping). Возможна компрометация данных карты в торговых сетях или при расчетах в Интернете и пр. Безусловно, банки и международные платежные системы очень серьезно работают над вопросом безопасности платежей и постоянно совершенствуют многоуровневую защиту. Однако есть ряд рекомендаций, которые следует соблюдать и держателям карт, чтобы снизить риск мошеннических операций по картам до минимума.

Прежде всего, ни при каких обстоятельствах нельзя разглашать третьим лицам свои персональные данные, в том числе срок действия карты (exp. date), СVV2 (CVC2) код, нанесенный на реверсе (обратной стороне) карты, и ПИН-код.

Не рекомендуется отвечать на электронные письма, в которых от имени банка или платежной системы предлагается зарегистрировать карту, где бы то ни было. Нельзя активировать ссылки, указанные в таких письмах, т. к. они могут вести на сайты-двойники, собирающие данные.

Перед работой с банкоматом необходимо осмотреть его на наличие дополнительных устройств, не предусмотренных конструкцией и расположенных в месте набора ПИН-кода или в слоте для приема карты. При обнаружении подозрительных устройств необходимо воздержаться от использования такого банкомата, а о случившемся – сообщить в банк по телефону, указанному на банкомате. В случае если банкомат работает некорректно, к примеру, долгое время находится в режиме ожидания, самопроизвольно перезагружается, нужно отказаться от его использования, отменить текущую операцию, нажав на клавиатуре кнопку «Отмена», и дождаться возврата карты. Если банкомат не возвращает карту, нужно сразу же обратиться в банк.

При расчетах картой в торговой сети, помните, что операции должны совершаться только в присутствии держателя карты. В этом случае снижается риск неправомерного получения персональных данных, указанных на карте. Также желательно сохранять все чеки, даже – о неудачной попытке платежа.

Если оплата осуществляется в сети Интернет, то ее необходимо осуществлять только с компьютера с установленным антивирусным комплексом (желательно формата Internet Security), с включенным межсетевым экраном и брандмауэром. В противном случае конфиденциальность персональных и платежных данных, как хранимых на компьютере, так и используемых в процессе оплаты – может оказаться под угрозой компрометации третьими лицами. Более того, для максимальной безопасности расчетов в Интернете рекомендуется использовать виртуальную карту.

Это предоплаченная банковская карта, не имеющая материального носителя. Средства на карту вносит ее владелец. При этом виртуальную карту можно выпускать с определенным лимитом под каждую покупку – ведь количество виртуальных карт не ограничено. После совершения операции такую карту можно закрыть и больше о ней не вспоминать. Украсть средства в этом случае невозможно, т.к. все происходит в режиме реального времени и у мошенников просто нет возможности получения необходимых данных. Также, как вариант, можно оформить дебетную карту и использовать ее только для расчетов в Интернете. Остаток средств на такой карте предпочтительнее держать в минимально допустимом размере, а в идеале – пополнять ее на сумму планируемой покупки.

Олег Матата, начальник управления информационной безопасности департамента безопасности Укринбанка

На мой взгляд, наиболее распространённым видом мошенничества с платёжными картами является банкоматные записывающие накладки (скиммеры) и ловушки денег. Почему? Клиенты более доверяют банкоматам, а значит, возможен значительный поток данных за короткий промежуток времени. Мошенники, используя «белый пластик» не тратят время на точный дизайн поддельной карты. Ловушка денег даёт возможность получать средства сразу, при этом не копируются данные, не изготавливаются дубликаты.

Заключается мошенничество вот в чем:

Накладка: на банкомат устанавливается устройство для записи данных с дорожки карты и видео камера для копирования ПИН-кода;
Ловушка для денег: на место выхода наличности с банкомата (внешняя часть) устанавливается планка закрывающая выход денег, либо установленное устройство внутри банкомата (на выходе денег), которое не выпускает отсчитанные деньги.

Как не стать жертвой советов огромное количество, но остановимся на основных:

осматривайте внешний вид банкомата на предмет нахождения в части подачи карты подозрительных устройств, а также над клавиатурой дополнительных планок (можно попытаться их пошатать, если «устройство» не закреплено и отпадает, откажитесь от обслуживания в таком банкомате и сообщите об этом в Контакт-центр банка);
если после заказа средств вам выдали карту, в чеке отмечена положительная операция, а деньги не выданы, не отходя от АТМ перезвоните в Контакт-центр. Полученные рекомендации помогут правильно оценить ситуацию и возможно упредить мошенничество (если в/на банкомате ловушка, мошенник подойдёт после вас и изымет ловушку вместе с деньгами);
старайтесь избегать снятия средств в банкоматах где нет обозначений принадлежности его к банку;
не бойтесь рассчитываться платёжной картой в торговых точках (согласно статистике, процент мошенничества в этом секторе значительно ниже, чем в банкоматах). Сейчас кассиры более обучены мерам безопасности, если где-то и происходит мошенничество, то оно заметно и оперативно пресекается.

Вячеслав Федотенко, начальник управления безопасности карточного бизнеса банка «Надра»

Сегодня украинцы достаточно активно осуществляют безналичные расчеты в сети Интернет с помощью банковских карт. Частое использование клиентами данных своих платежных карт в Интернете, социальных сетях, при проведении регистрации на сайтах, оплате товаров или иных услуг игрового бизнеса влечет за собой риск, что данные платежной карты, а именно: ее номер, CVV2, срок действия могут стать известны так называемым карточным мошенникам.

Чтобы уберечь себя от подобных ситуаций, необходимо проявлять максимальную бдительность при проведении расчетов в Интернете, не использовать для этого сомнительные ресурсы, не передавать третьим лицам реквизиты своей карты.

Сейчас большинство онлайн-торговых площадок используют технологию Verified by Visa и MasterCard Secure – дополнительных инструментов безопасности платежей в Интернете. Суть данного способа защиты заключается в идентификации владельца карты путем отправки во время совершения покупки на его мобильный телефон секретного кода, без ввода которого платежная операция не может быть завершена.

Еще один способ обезопасить себя и сохранить свои средства – использовать для расчетов в Интернете виртуальную карту. Принцип работы с виртуальной картой прост. Перед совершением операции клиенту следует переслать с основной карты на счет виртуальной необходимую для транзакции сумму, оставляя большую часть средств на основной карте, данные которой в платежной операции не задействованы, а значит – останутся вне досягаемости мошенников.

Оксана Сидорова, заместитель начальника управления розничного бизнеса банка «Стандарт»

Наиболее традиционным для украинских держателей платёжных карт на сегодняшний день остаются тривиальные накладки на банкоматы (скимминг), которые устанавливают мошенники. Это позволяет им узнать основные реквизиты карты, данные магнитной полосы и ПИН-код самой карты. Далее картой производится расчёт либо в интернет-магазинах, либо при помощи «белого пластика» производится кража денег со счета клиента путем снятия наличных в банкомате.

К традиционным рекомендациям держателей ПК, с учётом ситуации с таким видом мошенничества в Украине, хотелось бы добавить рекомендацию быть наиболее внимательными при снятии наличных средств в банкоматах и расчётах в торгово-сервисной сети в первую очередь в крупных торгово-развлекательных центрах городов миллионников и полумиллионников, в аэропортах, на вокзалах. Так как наибольшее количество тех самых скимминговых накладок на банкоматы, а также кража персональных данных с карт, по статистике, происходят именно там.

Наиболее элементарные меры, которые «по силам» каждому клиенту – это всегда закрывать рукой либо сторонним предметом ладонь во время ввода пин-кода (как в банкоматах, так и в терминалах), пользоваться услугой смс-банкинга и отслеживать сообщения о тратах по карте. В случае получения сообщения об операции, которую клиент не совершал, немедленно заблокировать карту любым доступным методом.

Александр Комисарчук, начальник отдела противодействия мошенническим операциям с платежными картами МПС Имэксбанка

Наиболее распространенными видами мошенничества являются скимминг и “махинации” с платежными картами в Интернете.

Первый вид мошенничества – скимминг (от англ. skimming) – это считывание данных карты с магнитной полосы при помощи скиммера, который представляет собой специальное оборудование в виде накладки на считывающее устройство банкомата. А для получения ПИН-кода мошенники устанавливают в зоне видимости клавиатуры банкомата скрытую видео-камеру или специальную накладку на клавиатуру банкомата.

Далее мошенники, получив необходимые данные для дальнейшего изготовления поддельной карты, используют ее в своих корыстных целях.

Для предотвращения возможного скимминга вам необходимо перед использованием банкомата визуально осмотреть его на наличие прикрепленных каких-либо дополнительных устройств. Если он вызывают малейшее подозрение, то лучше им не пользоваться и поискать другой банкомат. Старайтесь снимать наличные в банкоматах, расположенных в офисах банков.

Второй вид мошенничества связан с использованием реквизитов карты, полученных незаконным путем, для транзакций в сети Интернет. Необходимые реквизиты карты мошенники получают различными путями, включая кражу с вашего компьютера или компьютерной системы торговой точки в сети Интернет.

Для предотвращения компрометации вашей карты в сети Интернет следует использовать для покупок известные (проверенные) сайты магазинов, фирм.

Используйте отдельную карту, только для расчета в сети Интернет и не храните на ней все ваши сбережения.

Главный совет: после получения платежной карточки изучите правила ее использования, которые указаны в договоре или присутствуют на сайте банка, подключите услугу интернет-банкинга и СМС-информирования.

Резюме: держатель должен бережно обращаться со своей платежной картой и в случае возникновения подозрений на мошеннические операции незамедлительно обращаться в банк.

Андрей Рудов, директор департамента по развитию кредитных карт банка «Ренессанс Кредит»

Мы рекомендуем нашим держателям кредитных карт обязательно пользоваться СМС-банкингом и в режиме реального времени следить за движением средств по счету. Если клиент обнаруживает операцию по карте без его участия, необходимо немедленно сообщить в банк. После проведения расследования банк может возместить неправомерно использованную третьим лицом сумму.

Среди мошеннических действий, которые встречаются в Интернет, – получение смс, электронных писем якобы от имени банков с посылом клиенту предоставить информацию о карте. Встречаются случаи, когда мошенники выпытывают у клиента реквизиты карты будто бы для перевода на нее средств от продажи товара, др. Чтобы избежать подобного мошенничества, ни при каких обстоятельствах клиент не должен сообщать дополнительные данные о карте – срок действия, код СVV/CVC, и тем более ПИН-код. Одного только номера карты недостаточно, чтобы совершить мошенническую операцию.

При расчете картой в торгово-сервисных сетях – в кафе, в магазине, в отеле – мошеннические действия может совершить недобросовестный обслуживающий персонал, запомнив все реквизиты карты (номер, срок действия, код СVV/CVC на обратной стороне), чтобы после ею воспользоваться. Этого легко избежать, если не упускать свою карту из виду. Всегда настаивайте, чтобы карта использовалась для оплаты только в вашем присутствии.

Алексей Немченко, ведущий экономист сектора мониторинга и расследования мошеннических операций ОТП Банка

Наиболее распространенным видом мошенничества с пластиковыми картами сегодня является скимминг – несанкционированная установка устройств на банкомат с целью получения данных с магнитной полосы платежной карты (считыватель на картридер) и ПИН-кода к ней (видеокамера или накладная клавиатура). Для того чтобы свести к минимуму вероятность стать жертвой мошенников, помимо прочих мер предосторожности, вместо карты с магнитной полосой можно использовать чиповые карты на более безопасных технологиях.

Галина Терлецкая, начальник департамента розничного обслуживания ВБР

Наиболее распространены виды мошенничества через интернет, когда для совершения покупки в сети вам необходимо ввести номер карты, имя владельца, срок действия карты и CVC-код, если к данному сайту есть доступ у мошенников, данная карта попадает в их полное распоряжение. Выход – не совершать расчетов на сомнительных интернет сайтах.

Второй самый распространенный способ – элементарная кража пластиковой карты, вдвойне неприятно, когда карта украдена вместе с пин-кодом. Выход – ни в коем случае не сохранять пин-код вместе с пластиковой картой – это правило №1. Также ни в коем случае не сообщайте свой пин-код третьим лицам ни посредством смс, ни в обычном общении.