Пластиковая безопасность

Чужая полоса. Специалисты уверяют, что существует более 20 способов подделки пластиковых карт. Один из самых распространенных — так называемый скимминг (от английского skimming — снятие сливок): считывание данных магнитной полосы при помощи различных устройств — скиммеров. Современные скиммеры очень малы — используемые в ресторанах, например, раза в два меньше небольшого сотового телефона, а могут одновременно хранить данные сотен магнитных полос. Вдоль такого прибора проходит отверстие для считывания магнитной полосы. Когда официант берет карту и уносит ее, чтобы сделать платеж, он незаметно проводит ею по скиммеру, спрятанному в руке. Иногда они вообще незаметны — изготавливаются из прозрачного пластика и вкладываются в папку для счета: чтобы списать информацию, официанту достаточно провести картой по внутреннему сгибу папки.

В конце дня данные, считанные с магнитных полос, передаются со скиммера для обработки и дальнейшего распространения. С помощью специального оборудования изготавливается поддельный пластик — полная копия настоящего, только имя и фамилия на нем уже другие.

Около года назад в районе метро «Юго-Западная» в Москве была обнаружена лаборатория по производству пластиковых карт «с нуля», где был полностью воспроизведен весь процесс изготовления карты, как в процессинговом центре крупного банка. Необходимое оборудование для изготовления пластика, практически не отличимого от оригинала, располагалось в обычной столичной квартире, и почти все было приобретено хозяевами совершенно легально. Например, заготовки для пластика были закуплены одним клубом для изготовления членских карточек.

Наиболее опасными в отношении скимминга в торговых точках являются страны Азиатско-Тихоокеанского региона, Новая Зеландия, Украина. Используется такая карта в торговых и сервисных точках, которые не требуют вводить pin-код. В России, где при оплате картой в магазине почти всегда требуют предъявить паспорт, на поддельную карту наносится имя нового владельца.

ПРИМЕР 1. Несколько месяцев назад в один из крупнейших российских банков обратились представители спецслужб Новой Зеландии. В рамках антитеррористических мероприятий они проверили почтовые бандероли, приходящие в Новую Зеландию, и обнаружили в них миниатюрные электронные устройства непонятного назначения. Спецслужбы обратились в банк, пластиковая карта которого была изъята из кошелька одного из задержанных. В итоге проведения совместных мероприятий была раскрыта группа российских мошенников, занимающихся скиммингом карт в магазинах Новой Зеландии. Используя данные считанных магнитных полос, преступники изготавливали поддельный пластик на другие фамилии. Потом они продавались партнерам из Западной Европы, и уже на территории Англии или Франции по пластикам проводились операции. Между фактом скимминга и реальным снятием денег со счета могли пройти месяцы. А сами устройства для считывания, так озадачившие спецслужбы, русские «новозеландцы», практически не таясь, заказывали через интернет на специальных сайтах, вот уже несколько лет снабжающих мошенников любыми приборами для подделки карт.

Электронный грабеж. Наиболее часто скимминг используется мошенниками при снятии клиентом денег через банкомат (АТМ — Automatic Teller Machine). В этом случае мошенники должны также считать и pin-код карты. Для этого используются банкоматы, установленные на улице, в холлах или вестибюлях банков, метро, торговых учреждений. Главное условие — чтобы около АТМ не стоял охранник. Один из мошенников незаметно устанавливает в картридер (приемник карты) прибор для считывания магнитной полосы и укрепляет на передней панели банкомата устройство для запоминания pin-кода. Клиенты пользуются АТМ, не обращая никакого внимания на практически незаметные изменения его внешнего вида. Считывание информации происходит в тот момент, когда клиент вставляет карту в картридер и набирает pin-код. При этом он может быть считан как миниатюрной камерой, закрепленной над клавиатурой (но эта технология уже считается устаревшей), так и при помощи наклеенной клавиатуры, сделанной из тончайшего пластика и почти не отличимой от стандартной.

При использовании видеокамеры информацию о записанных pin-кодах необходимо периодически просматривать, а кассету менять. Поэтому такие устройства устанавливаются на короткое время и через несколько дней снимаются. Заметить их и тем более поймать мошенников практически невозможно. Но уже существуют устройства по считыванию магнитной полосы и pin-кода, которые автоматически сохраняют всю информацию на электронном носителе и передают ее на другой электронный носитель, находящийся на расстоянии 100-160 метров. Обычно для приема данных используется специально оборудованная машина, припаркованная на безопасном расстоянии от АТМ. Иногда данные со скиммера посылаются в виде sms-сообщений на сотовый телефон, оформленный на подставное лицо. Такие приспособления могут стоять на банкоматах сколько угодно долго, вплоть до их очередной технической проверки.

Pin-код и данные пластиковых карт, считанные мошенниками, обрабатываются и расшифровываются, а потом на специальном оборудовании выпускаются так называемый белый пластик. Это действительно белые кусочки пластика без каких-либо надписей (логотипов или голограмм) с магнитной полосой, на которую скопирована информация настоящей карты. Используются «белый пластик» в банкоматах, расположенных в укромных местах, где нет охранников или сотрудников банка, которые могут заинтересоваться необычного вида картой.

Ловкость рук, и больше ничего. Впрочем, чтобы воспользоваться чужим счетом, вовсе не обязательно воровать карту или копировать ее данные. Есть и менее технологичные способы. Так, достаточно случайно подсмотреть и запомнить реквизиты пластика: номер, срок годности, имя и фамилию владельца, а также трехзначный код CVV2, указанный на оборотной стороне карты на том месте, где должна стоять подпись владельца. Существует достаточное количество интернет-магазинов, где этих данных достаточно, чтобы произвести платеж и купить товар. Одним из любимых мошенниками способов похищения карт из банкоматов является так называемая ливанская петля — способ, придуманный, как нетрудно догадаться, в Ливане несколько лет назад. Теперь он очень широко распространен по всему миру. Для его применения используется небольшой отрезок фотопленки, который складывается пополам, а края загибаются под углом в 90 градусов. Это приспособление аккуратно вставляется в банкомат. Главной изюминкой «ливанской петли» является вырезанный на нижней стороне фотопленки на определенном расстоянии от края небольшой «лепесток», отогнутый вверх по ходу карты. Пленка располагается в картридере таким образом, что не мешает проведению транзакции. Но отогнувшийся «лепесток» не позволяет банкомату выдать пластик обратно. Пока клиент растерянно стоит у АТМ, к нему подходит другой пострадавший, который попал точно в такую же ситуацию. Он сообщает, что звонил в свой банк и там ему посоветовали заново ввести pin-код. Обрадованный клиент его вводит, но банкомат никак не реагирует. Человек пытается ввести код снова и снова. Когда это не помогает, «доброжелатель» советует ему пойти позвонить в свой банк и предлагает на это время постоять возле АТМ — «покараулить» карту. Когда незадачливый человек уходит, мошенник выдергивает «ливанскую петлю» вместе с пластиком и, пользуясь подсмотренным pin-кодом, в течение получаса опустошает счет. После этого карта выкидывается.

В России и странах Азиатско-Тихоокеанского региона мошенники предпочитают использовать высокотехнологичные способы подделки пластиков. А вот в Западной Европе наиболее популярны простые, но не менее действенные методы.

ПРИМЕР 2. Несколько месяцев назад, находясь в командировке в Англии, сотрудник одного из российских банков снимал деньги в уличном банкомате. Немного правее от него встал в очередь молодой человек приятной наружности, чуть левее остановилась вежливая улыбающаяся девушка, а потом сзади подошел и встал в очередь кто-то еще. Все проявляли совершенное равнодушие к действиям россиянина, пока вежливая девушка, стоящая слева, не обратила внимание на оброненные им деньги. Действительно, на асфальте валялась купюра — можно было подумать, что она выпала из банкомата. В то время когда «объект» мошенничества поднимал деньги и горячо благодарил девушку, молодой человек, стоящий справа, неуловимым движением забрал карту из картридера, передал партнеру, стоящему сзади, и они оба незаметно удалились. Банкомат выдал чек о проведении транзакции, но пластика обманутый владелец так и не дождался. За это время вежливая девушка тоже куда-то пропала. И только через час, когда клиент все-таки догадался заблокировать карту, выяснилось, что несколько тысяч долларов перекочевали с его счета в карманы предприимчивых молодых людей.

Как защитить свою карту. Способов опустошения чужих пластиковых карт великое множество, и защититься от всех практически невозможно. Однако при соблюдении минимальных способов безопасности риски потерять деньги значительно снижаются. Помимо основной меры безопасности, о которой предупреждают все банки, — хранить свои пластики в укромной месте и никому никогда не называть их pin-коды (а тем более писать их на видном месте), мы советуем читателям подключиться на услуги sms-банкинга, когда информация о любом движении по счету — снятии или зачислении денег — приходит на сотовый телефон через несколько минут после совершения транзакции. В этом случае вы сможете оперативно отреагировать на несанкционированное использование вашей карты, позвонив в банк и заблокировав ее. При получении пластика можно сразу ограничить территорию его использования. Особенно это актуально для Азиатско-Тихоокеанского региона, стран бывшего СНГ и в последнее время Западной Европы. Если вы не часто выезжаете за рубеж, лучше блокировать карту для всех регионов обслуживания, кроме России, — снять блокировку или изменить ее параметры можно в течение одного дня. Прежде чем использовать банкомат, убедитесь, что на его панели нет каких-либо подозрительных «излишеств». Например, утолщений в районе картридера, торчащей из него фотопленки, дополнительной лампы над клавиатурой, объемных наклеек с названиями платежных систем (под ними могут прятаться видеокамеры). Камеры слежения, которые иногда установлены над АТМ, не должны быть направлены на клавиатуру. Снимая деньги, нужно быть предельно внимательным, не поддаваться ни на какие провокации, не слушать чужих советов, кроме рекомендаций специалистов банка. Отвлекаться от проводимой операции надо только после возврата карты и получения денег. В любом случае, набирая pin-код, следует закрывать клавиатуру рукой. В случае возникновения любой нестандартной ситуации необходимо сразу же сообщить об этом в банк-эмитент. Лучше всего сделать это немедленно по мобильному телефону.

Оформляем претензию. Если не часто посещаете банк и проверяете состояние своего счета, а также не пользуетесь услугами sms- и интернет-банкинга, то обнаружить подозрительную операцию по счету будет довольно непросто. Однако тоже возможно. Дело в том, что банк обязан предоставлять клиенту ежемесячную выписку с его счета. Она формируется эмитентом в конце каждого отчетного периода и содержит сведения об остатке средств на счете и всех совершенных операциях. Отчетный период составляет 30-31 день и начинается, как правило, с даты выпуска карты. Банк может присылать вам выписку по счету по почте (простой или электронной) на адрес, указанный в заявлении на получение пластика.

Получив очередную выписку, необходимо внимательно проверить все расходные операции. Обнаружив операцию, которую вы не совершали — даже если ее сумма не превышает $3-5, следует обязательно обратиться в банк с претензией. Там вам предложат заполнить заявление установленной формы и приложить к нему все имеющиеся документы. Если во время оспариваемой транзакции вы находились в другой стране, советуем захватить с собой копию заграничного паспорта, подтверждающего этот факт документально. Обычно банки ограничивают сроки подачи претензии 10-20 днями с момента формирования выписки по счету, в правилах платежных систем могут быть прописаны другие сроки: так, в СТБ это три месяца, у международных платежных систем — шесть месяцев. Лучше не нарушать этих сроков, однако следует знать, что банк обязан принять претензию в течение всего срока действия карты.

Дальнейшие действия по возврату платежа (сharge back) производит эмитент. В случае если операция признана мошеннической, банк в течение нескольких дней возвращает средства клиенту. Если такой уверенности нет, направляется запрос в банк-эквайер, обслуживающий торговую точку, совершившую спорную операцию. Эквайер высылает документы по транзакции, после чего клиент приглашается к эмитенту для определения подлинности его подписи на присланных документах. Если подлинность неоспорима, клиенту могут отказать в дальнейшем рассмотрении претензии и ему остается только одно — подавать иск в суд. Если документы не представлены или они явно подделаны, банк возвращает спорную сумму. Общий срок рассмотрения претензии клиента не должен превышать 180 дней. Если за это время эмитент не сможет прояснить ситуацию, он возвращает спорную сумму клиенту. Если у эквайера и эмитента возникли разногласия по поводу того, кто должен нести ответственность за мошенническую операцию, в спор вмешивается осуществившая ее платежная система, за которой и остается последнее слово. Как правило, платежные системы встают на сторону держателя карты, так как его интересы для них важнее. Как показывает практика, мошенники среди владельцев карт, которые отказываются от своих транзакций, встречаются довольно редко.

Если украли карту. При исчезновении карты надо немедленно позвонить в банк и блокировать ее — банк обязан это делать. Однако пластик блокируется только на проведение on-line платежей, которые требуют авторизации (проверки денег на счете). Остается актуальной только опасность проведения по карте так называемых подлимитных операций, которые некоторые торговцы проводят без авторизации в пределах лимитов, определенных платежными системами. А для этого карту надо поставить в стоп-лист (список номеров украденных или потерянных карт), что мгновенно сделать невозможно хотя бы потому, что обновляется он раз в одну-две недели. Таким образом, возможна ситуация, что ваша карта попадет в стоп-лист дней через двадцать после ее блокировки, а среднее время использования мошенниками украденной карты составляет всего полчаса-час. Но на самом деле вам не стоит по этому поводу беспокоиться, так как количество подлимитных операций по всему миру сейчас не превышает 2%, а в России и ряде других стран они вообще запрещены.

ПРИМЕР 3. Один из клиентов банка с удивлением обнаружил, что в прошлом месяце совершил покупку по пластику в торговой точке Таиланда. Правда, операция была проведена всего на сумму $8, но в Таиланде, где он был последний раз три или четыре месяца назад. Клиент позвонил в банк и заблокировал карту на использование везде, кроме России. В скором времени банк-эмитент зафиксировал по ней авторизационный запрос на приличную сумму, пришедший из одного французского магазина. Соответственно запрос был отвергнут, банк перевыпустил карту, данные которой были скопированы при использовании ее в Таиланде. По скопированным там данным была выпущена поддельная карта на нового владельца, которая пошла «гулять» по странам. Таким образом, обратив внимание на незначительную операцию с подозрительными параметрами (это мошенники проверяли, работает подделка или нет), клиент оградил себя от значительных потерь.

Журнал «Финанс.» № 41 (82) 1-7 ноября 2004 — Личные финансы
Наталия Терновая

Подписывайтесь на телеграм-канал Финсайд и потом не говорите, что вас не предупреждали: https://t.me/finside.