Добавлено в закладки: 0
Что такое cкимминг? Описание и определение понятия
Скимминг – это кража данных c карты c помощью считывающего специального устройства (скиммера). Злоумышленники могут скопировать с магнитной полосы карты всю информацию (номер карты, имя держателя, срок завершения срока ее действия, CVC и CVV-код), узнать ПИН-код возможно при помощи небольшой камеры или накладок на клавиатуру, которые установлены на банкоматах. Быть жертвой скимминга возможно не только, когда снимаешь наличные, но и оплачиваешь в торговых точках покупки. Для того, чтобы копировать данные кассиры, официанты, служащие гостиниц применяют устройства, которые прикреплены к скиммингалу или переносные скиммеры.
Для того, чтобы защитить себя от скимминга банкиры советуют применять карты лишь в заслуживающих торговых точках и интернет-магазинах, которые заслуживают доверия. При оплате товаров в магазинах, ресторанах и т. д. Необходимо не выпускать из вида карту, а деньги снимать в банкоматах, которые расположены на территории, которая охраняется.
Кардинг, мошенничество с платежными картами (от англ. carding) — тип мошенничества, при котором проводится операция с применением платежной карты или реквизитов, не подтвержденная или не инициированная её держателем. Берут реквизиты платежных карт обычно со взломанных серверов интернет-магазинов, расчётных и платежных систем и с персональных компьютеров (или непосредственно, или благодаря программам удаленного доступа, «боты», «трояны» с функцией формграббера). Помимо этого, самым распространённым способом похищения номеров платежных карт на данный момент это фишинг (англ. phishing, искаженное «fishing» — «рыбалка») — создание сайта мошенниками, который будет в доверии у пользователя, к примеру — сайт, который похож на сайт банка пользователя, благодаря которому проходит похищение реквизитов платежных карт.
Одно из самых масштабных преступлений в сфере мошенничества с платежными картами — это взлом глобального процессинга кредитных карт Worldpay и кража при его помощи данных больше 9 миллионов долларов США. В ноябре 2009 по данному делу предъявили преступной группе обвинения, которые состоят из граждан государств СНГ.
Кража карт
Потерянная или украденная карта может применяться преступниками лишь до тех пор, пока владелец своему банку не сообщит о пропаже, или в оффлайновых операциях. Большая часть банков дают телефонную круглосуточную линию для таких сообщений.
Главная защитная мера — это наличие на карте подписи и требование подписывать чеки. В определенных магазинах, когда оплачивают картой необходимо предоставлять документы, которые удостоверяют личность. Но, требование документа в определенных юрисдикциях незаконно.
Украденные карты могут применяться в некоторых скиммингалах самообслуживания (к примеру, на АЗС), которые не требуют ввода PIN-кода.
Большая часть карт EMV в Европе снабжены чипом, который запрашивает обычно ввод цифрового четырёхзначного PIN-кода при выполнении покупок. Когда код не перехвачен, то мошенник сможет применять её лишь в операциях, где не требуется код, к примеру, в электронных (онлайновых) транзакциях, или в POS-Скиммингалах, снабжённых лишь считывателем магнитной полосы.
Есть комплекс организационных мери программные системы, которые направлены на усложнение или предотвращение вероятных мошеннических операций. К примеру, большая транзакция, которая совершена далеко от местожительства владельца — как вариант — в другой стране, можно признать несостоявшейся или привести даже к временной блокировке карты.
Операции без карты
Для того, чтобы провести транзакцию, необходимы лишь определенные данные, которые написаны на карте. Обыкновенно карта включает в себя (на магнитной полосе и в виде надписи): номер карты (PAN), имя владельца, год и месяц завершения срока действия, верификационный код (CVV2).
Есть операции, при которых не нужно физическое наличие карты, а транзакция производится только по данным с неё. Наименьший необходимый набор информации — это номер карты, также часто необходим срок завершения, немного реже — верификационный код.
Злоумышленник способен скопировать эти данные, вступив в сговор с лицами, которые имеют доступ к картам, к примеру, с кассиром или официантом. Данные можно сфотографировать или восстановить из видеозаписи. Еще получение таких данных возможно при помощи вируса, который установлен на компьютере пользователя, способами социальной инженерии (имитация звонка из банка), или при помощи взлома систем, обслуживающих карты, или интернет-магазинов. Потом преступники применяют данные в операциях, не используя карту.
Определенную защиту от данного рода преступлений дает внедрение оперативных уведомлений в отношении проведения операций. Еще частично от данного мошенничества могут защитить технологии Verified by Visa, MasterCard Security Code, 3D Secure, в которых для того, чтобы проводить операции, необходим ввод добавочного кода, приобретаемого через банкомат, в отделении банка, с помощью токена (аппаратный генератор кодов) или по SMS.
Особенности скимминга
Частный случай кардинга — это скимминг (от англ. skim — снимать сливки), для которого применяется скиммер — инструмент злоумышленника для считывания, к примеру, магнитной дорожки платёжной карты. При проведении этой мошеннической операции применяется комплекс скимминговых устройств:
- инструмент для того, чтобы считывать магнитную дорожку платёжной карты — являет собой устройство, которое устанавливается в картоприёмник, и кардридер на входной двери в помещении банка в зоне обслуживания клиентов. Являет собой устройство с магнитной считывающей головкой, усилителем — преобразователем, переходником для подключения к компьютеру и памятью. Скиммеры могут быть миниатюрными, портативными. Главная задача и идея скимминга — считать нужные данные (содержимое трека/дорожки) магнитной полосы карты для воспроизведения её в дальнейшем на поддельной. Так, при оформлении по поддельной карте операции списание денежных средств по мошеннической транзакции и авторизационный запрос будут проведены со счета «скиммированной» оригинальной карты.
- миниатюрная видеокамера, которая устанавливается на банкомат и направляется на клавиатуру ввода, как козырёк банкомата или посторонние накладки, к примеру, рекламные материалы — применяется вместе со скиммером для того, чтобы получить ПИН держателя, что даст возможность получать в банкоматах наличные по поддельной карте (имея ПИН оригинальной и данные дорожки).
- Применение вредоносного кода, который встроен в банкомат. Дампы банковских карт, записывают без применения специального оборудования и распознать данный метод обывателю не представляется возможным, но он встречается достаточно редко и зачастую преобладает среди малых банков. Далее при помощи дампов создают копии карт.
Эти устройства запитаны от автономных источников энергии — малых батарей электропитания, и чтобы затруднить их обнаружение обычно, производятся и маскируются под форму и цвет банкомата.
Скиммеры способны накапливать сворованную информацию в отношении пластиковых карт или дистанционно её передавать её злоумышленникам, которые находятся поблизости по радиоканалу. Когда с карты скопирована информация, мошенники делают дубликат карты и, зная ПИН, все деньги снимают в границах лимита выдачи, как за рубежом, так и в России. Также мошенники могут применять приобретенную информацию в отношении банковской карты для выполнения покупок в торговых точках.
Меры защиты
Для того, чтобы предотвратить незаконные списания по банковской карте советуется использовать такие меры безопасности:
- не передавать в чужие руки свою карту, следить, чтобы карта применялась только по назначению (чтобы было невозможно использовать скимминговое портативное устройство, которое спрятано под одеждой, к примеру, официанта, или работника АЗС, продавца магазина и так далее).
- проявлять внимательность и бдительность при использовании банкомата, обращать внимание на необычные элементы конструкции — накладную клавиатуру, применяемую для считывания PIN кода. При скимминге данная клавиатура размещается, обычно, выше, чем уровень корпуса банкомата, от неё легко отделяется и, часто, под накладной видно часть оригинальной.
- обращать внимание на установленные минивидеокамеры на непосредственно банкомате, которые можно смонтировать, как в козырьке банкомата, так и замаскировать под предметы, которые сопутствуют банкомату к примеру, рекламные материалы.
- уменьшить случаи применения банковской карты в местах, которые вызывают подозрение; использовать по возможности банковскую карту в просматриваемых хорошо помещениях.
- снятие налички и прочие банковские операции, которые осуществляются с помощью банкоматов, производить по возможности в одном и том же банкомате, при этом запомнить его внешний вид. Обычно, технические стандартные модификации банкоматов от одного банка отражаются редко на их внешнем виде.
- набирать по возможности быстро ПИН, заученными движениями и, желательно, применяя сразу несколько пальцев руки — так злоумышленникам будет труднее ваши движения распознать. Прикрывать по возможности руку, набирающую ПИН, другой рукой, сумочкой или другим предметом.
- когда банк-эмитент банковской карты в своём сервисе имеет услугу быстрого оповещения владельца карты в отношении фактов списания (смс-оповещения), её подключить её для самой быстрой реакции на противозаконные списания.
- применять банковские карты, имеющие встроенный микрочип, когда это возможно.
Статистика
В США в начале 2010-х из 5,6 миллиардов действующих банковских карт, только приблизительно 20 миллионов это смарт-карты (имеющие чип). За период 2007-2011 год секретная служба США привлекла к ответственности больше 5 тысяч преступников, которые замешаны в скимминге. За 2012 год потери оценивают в 11,3 млрд долларов. В стране в год обнаруживают приблизительно 20 тысяч скиммеров.
С 2001 по 2011 года в Великобритании мошенничество с пластиковыми картами вызвало потери в 300—600 миллионов фунтов каждый год. Большая доля преступлений производилась по данным карты в операциях, в которых не нужно предъявление карты (к примеру, покупка через интернет). Потери от скимминга, которые составляли каждый год от 100 до 170 миллионов фунтов в 2001—2008 годах, снизились значительно в 2010—2011 годах, до 47-36 миллионов фунтов, при помощи широкого внедрения чипованных карт и чипов, поддерживающих DDA и iCVV.
В 2010-е года в России согласно официальных данных выполняются в год тысячи преступлений с пластиковыми картами. Ущерб от кардинга в 2011 году оценила компания Group-IB в 400 миллионов долларов.
Рассмотрим на примере. В очередной раз большой банк признал факт мошенничества по своим картам. Согласно оценкам экспертов, объемы российских карточных хищений увеличиваются стремительными темпами и по результатам данного года могут в значительной степени быть больше, чем 2 миллиарда рублей.
В ВТБ 24 подтверждают факт мошенничества с банковскими картами в подмосковном Серпухове. Сумма ущерба согласно предварительным данным, а составила приблизительно 1,5 миллиона рублей. В кредитной организации объяснили, что пострадавшие клиенты были жертвами скимминга — кражи данных карты при помощи считывающего специального устройства, которое установлено в одном из банкоматов Серпухова на улице. «От скимминга пострадали многие банки, и наш не исключение», — сказал представитель ВТБ 24.
Действительно, объемы и количество мошеннических транзакций в нашей стране растут неуклонно год от года. Как сообщил в собственном докладе на международной конференции «Банковские карты: эффективный бизнес», которая организована Ассоциацией региональных банков России, начальник сектора отдела безопасности Газпромбанка Пятиизбянцев Николай, объем утрат от карточного мошенничества в России вырос за первое полугодие 2011 года на 70% в сравнении с аналогичным периодом в прошлом году. Когда динамика роста будет уменьшаться и во втором полугодии, то по результатам года объем потерь увеличится практически на 1 миллиард — до 2,368 миллиардов рублей.
Большая часть мошеннических транзакций (58%) проходит через POS-Скиммингалы. На втором месте находятся банкоматы (40%). На третьем — электронная коммерция (2%). Наряду с этим в нынешнем году объем потерь через электронную коммерцию в значительной степени увеличился: банки начинают все активнее проводить интернет-эквайринг.
Когда рассматривать среднюю сумму одной транзакции, самая высокая она при мошеннических операциях, производимых через банкоматы, — 239 долларов по результатам 2010 года. При электронной коммерции «средний чек» был 202 доллара, а через POS-Скиммингалы, находящиеся в торговых сетях — 148 долларов.
Согласно данным АРЧЕ (Ассоциация российских членов Европы), большая часть случаев мошенничества по банкоматам приходится на скимминг. За ним с малым отрывом следуют физатаки на банкомат (хищение или взлом) и установка программного вредоносного обеспечения. В России в прошлом году на общее число банкоматов — 97 тысяч штук — зарегистрировали 250 мошеннических инцидентов, из них 140 случаев монтажа считывающих устройств. Потеря на один банкомат в среднем получилась 190 долларов (5757 рублей). В согласии с информации АРЧЕ, 28% случаев скимминга попадало на банкоматы изготовления NCR и по 24% — на устройства других производителей (Wincor Nixdorf, Diebold и прочие).
Самые высокие показатели традиционно по числу скимминговых транзакций — в Санкт-Петербурге (12%) и Москве (51%). Согласно мнению Пятиизбянцева, это поясняется развитой инфраструктурой и огромным числом банкоматов. На третьем месте — Краснодар (10%). Потом идут Смоленск (3%), Тольятти (4%), Ростов-на-Дону (6%). Оставшиеся 14% попадают на другие российские города.
Пятиизбянцев указал, что финансовые потери в 2009 году при мошенничестве через банкоматы были 348 миллионов рублей, в 2010-м они увеличились до 558 миллионов. Планируемые «банкоматные» потери по результатам 2011 года — 2 миллиарада рублей.
«У нас огромные законодательные пробелы, — заметил Пятиизбянцев из Газпромбанка. — Преступление признается таковым, когда оно описывается в законодательстве. А фишинг и скимминг не фигурируют в Уголовном кодексе». Он также добавил, что на стадии подготовки к преступлению трудно поймать мошенников: «К примеру, за факт монтажа скиммингового устройства в банкомат, по теперешнему законодательству, минимальное наказание. В УК это трактуют, как покушение на преступление. То есть человек реально не «сядет».
Участники конференции пояснили, что скимминговые современные устройства весьма отличны от тех, какими они являлись три года назад: в данный момент это приспособления промышленного изготовления. Они порой бывают незаметны настолько, что их даже инкассаторы не видят. Представитель Газпромбанка заметил, что противостоять мошенникам возможно с участием изготовителей банкоматов, если бы они немного изменили устройство собственных аппаратов — так, чтобы в них нельзя было разместить скимминговое устройство.
Региональный менеджер Visa по странам Восточной Европы и СНГ, выступавший на этой конференции, Стромский Павел сообщил, что для банков платежная система имеет некоторые решения, которые позволяют противодействовать мошенникам с картами. Но он подчеркнул, что кредитные организации должны сами иметь активную позицию по данному вопросу, например, переходить на чиповые технологии и производить разъяснительную работу с клиентами, являющимися держателями карт. «Была такая ситуация, — рассказал он. — В один банкомат было вставлено скимминговое устройство, но, судя по всему, оно было не должным образом закреплено и выпало в какой-то момент. Клиент, который собирался произвести операцию, поднял данное устройство, снова вставил его в банкомат, а затем отправил туда собственную пластиковую карту…»
Мы коротко рассмотрели cкимминг: кража карт, операции без карты, особенности скимминга, меры защиты, статистика. Оставляйте свои комментарии или дополнения к материалу