Минфин - Курсы валют Украины

Установить
25 февраля 2016, 16:39 Читати українською

Как украсть транзакцию

Масштабы мошенничества с банковскими картами растут. В прошлом году у банков украли почти 162 млн гривен. Это в два раза больше, чем было в 2014-м.

Масштабы мошенничества с банковскими картами растут молниеносными темпами.
Фото: shutterstock.com

И это неточная сумма. Убытки от мошеннических операций проходят по балансам лишь 48 банков. Данных по конкретному количеству таких транзакций в Нацбанке нет. Только проценты от общего объема транзакций. Они не выглядят внушительно: 0,0147% в 2015-м и 0,007%  - в 2014 году.

Мало-мальски детализированное представление о банковском мошенничестве в Украине дает статистика компании Visa. Она основана на показателе «базисного пункта». Это 1 цент мошеннических транзакций на каждые 100$ общих платежей.

В Украине мошенничество с картами Visa оценивается в 0,7 базисных пункта. Это сравнительно низкий показатель. Например, в Сербии - 1,9, а в Казахстане — 1,54. Совсем жуткие цифры при сравнительно небольшом объеме платежей наблюдаются в Таджикистане — 13,79 базисных пунктов мошенничества.

В нашей стране злоумышленники все больше концентрируются на интернет-воровстве. Дистанционно сейчас воруют 52% денег клиентов банков. Это так называемая «социальная инженерия», когда мошенники звонят человеку, представляясь сотрудниками банка и выманивают данные по карте.

Объемы грабежей в банкоматах (воровство пин-кодов, накладки на клавиатуру и кардридеры и проч.) с 2013 года сокращаются. Тогда такие методы занимали около 33% случаев. Сейчас их 13%. 

«Минфин» собрал все, что нужно знать о таких преступлениях 

Вишинг

Vishing (от англ. «voice phishing») – злоумышленник звонит жертве, представляясь сотрудником банка (полиции, охранной фирмы etc) с просьбой озвучить данные счета или карты.

Например, человека уверяют, что его карта заблокирована. Потом жертву просят указать номер карты, пин-код и другие личные данные, открывающие доступ к счету. Все остальное – дело техники. «Обнулить» счет, зная, как минимум, номер карты CVV-код (последние три цифры номера, указанного в поле для личной подписи) и дату рождения, мошенникам несложно. В Украине с таким мошенничеством сталкиваются многие. По данным Visa, злоумышленники добиваются успеха в 60% случаев.

Скимминг

Skimming (от англ. «skim» — просматривать) – на картоприемники и клавиатуры банкоматов устанавливаются считывающие устройства, которые копируют данные магнитной ленты карты и фиксируют пин-код.

Классические скиммер и накладка на клавиатуру, фото: kaspersky.ru 

Внешне они почти неотличимы от настоящих частей банкомата. Для получения данных нередко используется также миниатюрная камера. Чтобы обчистить жертву, сама карта мошенникам не нужна. Все что нужно копируется на так называемый «белый пластик» (поддельные карточки, но это устаревающая вариация) или вводится через интернет-банк.

Траппинг

Trapping (от англ. «trap» — ловушка) – использование простейших приспособлений, которые блокируют карту или наличные внутри банкомата.

Вы приходите в банкомат, но он не выдает деньги или «съедает» карту. Это не всегда означает поломку аппарата. Карта может быть заблокирована в картоприемнике «ливанской петлей» — куском фотопленки (как правило, использующейся для рентгеновских снимков). А наличные не выдаются из-за накладки (внешне выглядит как часть банкомата) или просто куска скотча, прикрепленных к устройству выдачи купюр.

Жертва уходит, а карту или деньги забирает мошенник. 

Траппинговая панель, фото: vashgolos.net

Это самый простой способ воровства банкоматов. В 2015 году масштабы кэш-траппинга в Украине выросли в 10 раз.

Фишшинг

Phishing (от англ. «fish» — рыбачить) – попытка выяснить конфиденциальные данные банковского счета через ложные смс-сообщения, электронные письма или формы заполнения на веб-сайтах.

Схема та же, что и в случае с вишингом —  от имени банка мошенники уверяют, что карта жертвы заблокирована. Затем следует настоятельная просьба выслать/ввести данные или перезвонить по подставному номеру. 

Шимминг

Shimming (от англ. «shim» – тонкая прокладка) – улучшенная версия скимминга.

В картоприемник вставляется тончайшая прокладка (при толщине кредитки около 0,76 мм прокладка должна быть не толще 0,1 мм), которая считывает данные карты. Если «жизнь» скиммера обычно коротка, то найти шимминговое устройство сбшникам банков не так уж и просто. Поэтому с его помощью мошенники получают доступ к сотням или даже тысячам счетов. Внешне устройство совершенно незаметно. 

Что делать?

Добиться от банка справедливости и возместить ущерб не так уж и просто. Если деньги украли, финучреждение, как правило, проводит собственное расследование происшествия. Для этого в банк нужно подать заявление о «спорной транзакции». Но для жертв мошенников это нередко заканчивается полным поражением.

Банк может обвинить человека в безответственном использовании своих данных (сказал пин-код постороннему, невнимательно осмотрел банкомат, не прикрыл клавиатуру рукой и т.п.) или даже в сговоре с преступниками. 

Все это можно оспорить в суде, но для этого нужно иметь как можно больше доказательств своей невиновности. Это могут быть записи с камер видеонаблюдения банкоматов, чеки, свидетельства очевидцев, отчеты об осмотре банкомата полицией.

Пренебрегать услугами правоохранителей не стоит – описанные случаи мошенничества типичны, поэтому вероятность поимки мошенников увеличивается с количеством заявлений.

Методы НБУ

В Нацбанке видят только один способ борьбы с банковским мошенничеством — повышение финансовой грамотности населения. В регуляторе уверенны, что главная проблема в подаче информации. Поэтому особое внимание уделяют созданию удобной инфографики для читателей своего сайта. А банкам рассылают методические рекомендации.

Комментарии - 31

+
0
vladimir anisimoff
vladimir anisimoff
25 февраля 2016, 17:41
#
А чипированную карту можно так же спистонить как и обычную?
+
+22
Йохан П.
Йохан П.
25 февраля 2016, 18:01
#
Чип — нет. Но проблема современных чипированных карт в том, что с них также скиммером снимаются данные с магнитной полосы, так же накладкой или видеокамерой снимается пароль — и все, транзакция проводится с копии карты либо онлайн, либо при помощи скопированной магнитной полосы.

Только полное устранение в чипированных картах устаревших (или устаревающих) магнитных полос поможет победить клонирование таких карт. Почему платежные системы-эмитенты чипированных карт до сих пор не отказались от магнитной полосы как от класса, мне не понятно…

Равно как не отказались от контрольных цифр CVV, написанных сзади самой карты, где их может подсмотреть, записать или запомнить вместе с номером вашей карты и затем использовать при оформлении фальшивой транзакции онлайн любой оператор пос-терминала… Вы замазываете CVV хотя бы белой стирающейся замазкой для исправления текста на своих картах? Как много владельцев карт прибегают к такой мере безопасности?
+
+11
Йохан П.
Йохан П.
25 февраля 2016, 18:04
#
Вот поэтому бесконтактные платежи и бесконтактные карты более безопасны — ибо вы не засовываете при этом карту или NFC-чип куда не следует, где могут скопировать магнитную полосу с вашей карты. Но, вы много знаете банкоматов, которые позволяют аутентифицировать карту без засовывания карты полностью в картоприемник — либо бесконтактно, либо частичным засоваванием чипованной части, как в пос-терминалах для чипованных карт? То-то…
+
+5
Йохан П.
Йохан П.
25 февраля 2016, 18:23
#
Как много владельцев карт при оплате картой, скажем, в ресторане идут вместе с официантом до пос-терминала и наблюдают визуально транзакцию от и до или же просят принести пос-терминал непосредственно к столику, а не просто кладут карточку официанту, а потом вводят пин-код на поднесенном к столику терминале или просто расписываются на чеке? Что происходит с картой в это время, что там с ней делают и могут сделать (скопировать, записать CVV) — зависит даже не от репутации самого заведения, а от конкретных работников… К сожалению, народ здесь неимоверно дремуч…
+
+29
1On
1On
25 февраля 2016, 20:45
#
После хорошего вечера в ресторане уже не до карт :) Лучший способ — это отдельная карта для расчетов в рознице-интернете, строго лимитированная либо на которую заводятся деньги непосредственно для осуществления транзакции.
+
0
vladimir anisimoff
vladimir anisimoff
26 февраля 2016, 11:59
#
Ну у меня все операции подтверждаются пинкодом либо смс сообщением, кроме регулярных оплат, аля эпл стор. карта платит по воздуху (не везде конечно есть такие терминалы). Да и кэш я с нее не снимаю, т.к. она специально для оплат.
+
+5
Йохан П.
Йохан П.
26 февраля 2016, 12:31
#
Как подтверждение по смс спасет вас от копирования вашей карты в то время, когда вы ее отдали для оплаты и остались сидеть за столиком? Транзакция из ресторана придет верная и вам принесут правильный чек с правильной суммой и другими атрибутами, вам придет правильная смс на правильную сумму. А через несколько месяцев внезапно ночью, когда вы спите, пойдут вдруг смс о снятиях денег с вашего карточного счета из, например, таиланда, одна, вторая, третья, одна за одной. И это не будут запросы на подтверждение, это будут нотификации о уже состоявшихся транзакциях по копии вашей карты… Ибо карту вашу (магнитную полосу) скопировали пока вы за ней не следили, и пин-код ваш тоже тогда же сняли, т.к. пос-терминал тоже может быть заряжен, сохраняя введенные пин-коды… А так выглядело все прилично — вам принесли вашу чипованную карту, воткнутую как положено в пос-терминал, для ввода пин-кода… Только то, что между делом ей еще провели по кардридеру и скопировали полосу, вам забыли сказать…
+
0
vladimir anisimoff
vladimir anisimoff
26 февраля 2016, 12:39
#
А зачем мне давать им карту если они не знают пинкод? Либо я к терминалу, либо терминал ко мне. Например в моем банке, нужно перед поездкой за границу их предупредить, иначе не смогу ничего снять.
+
+22
Йохан П.
Йохан П.
26 февраля 2016, 12:46
#
А затем, что далеко не все так делают. Затем, что у многих карт установлен приоритет подписи и ввод пин-кода не нужен. Затем, что во многих, если не во всех, пос-терминалах в ответ на запрос пин-кода можно нажать красную кнопочку Cancel и транзакция пойдет не по пин-коду, а с подписью клиента. Вы, наверное, об этом не знали (попробуйте в следующий раз, например на заправке)… А многие кассиры знают — когда им официант приносит карту, они в ответ на запрос пин-кода нажимают эту кнопку, потом обратно клиенту приносят и карту и чек для его подписи… Так что для людей все выглядит естественно, они не задумываются, а как это официант или кассир провел транзакцию в отсутствие меня самого… И никто никуда не идет и не просит принести пос-терминал…
+
0
vladimir anisimoff
vladimir anisimoff
26 февраля 2016, 12:56
#
Про красную кнопку не знал, в банке можно запретить такую услугу?
+
0
Йохан П.
Йохан П.
26 февраля 2016, 13:09
#
Некоторые банки для карт позволяют менять приоритет — приоритет подписи или приоритет пин-кода. Можно ли отменить одну из опций — не уверен. Кстати вы зря хотите отменить подпись — подпись наоборот более безопасна. Т.к. фальшивая подпись отдается на экспертизу и проверяется, а вот пин-код — украли значит украли… И, потом, если у вас на карте приоритет подписи и если у вас 2 карты с двумя разными счетами для банкоматов и для оплаты, то если на карте, используемой для оплаты, установлен приоритет подписи, то вы ее пин-код не будете светить в пос-терминалах и, значит, даже если ее скопируют, то ее пин-код будет злоумышленникам неизвестен и, значит, ее копию не смогут использовать для снятия в банкомате…
+
0
Йохан П.
Йохан П.
26 февраля 2016, 13:00
#
Запрет на снятие из-за рубежа, казалось бы, это сильный рубеж защиты, да. Однако, кардеры ваши данные просто сначала отдадут группе в том же Таиланде, а когда те скажут, что транзакции не проходят — отдадут группе своих, отечественных, и пойдут транзакции из одного из областных центров… И тут, кстати, будет сложнее доказать вам для банка, что это не ваши транзакции. Т.к. в случае транзакций из-за рубежа все просто — ваши перемещения в загранпаспорте. А вот то, что вас не было в этом областном центре… А еще если это из вашего города…
+
0
vladimir anisimoff
vladimir anisimoff
26 февраля 2016, 13:03
#
Ну не знаю, если увижу снятия, сразу звоню в банк, они даже по место нахождению телефона смогут меня затрэкать. Короче сложно все это и кажется, что далеко и не про нас)
+
0
Йохан П.
Йохан П.
26 февраля 2016, 13:04
#
У вас хороший банк, вам повезло.
+
0
Йохан П.
Йохан П.
26 февраля 2016, 13:16
#
Хотя сейчас почти все банки такие — это требование платежных систем, ибо иначе все спорные транзакции виснут на платежной системе…
+
0
dimchik84buh
dimchik84buh
26 февраля 2016, 13:33
#
Если для всех стран, кроме Украины, заблокирована карта, то при попытке снятия за пределами Украины карта блокируется.
+
0
vladimir anisimoff
vladimir anisimoff
26 февраля 2016, 18:06
#
Точно!
+
+5
Йохан П.
Йохан П.
26 февраля 2016, 23:15
#
Зависит от банка.
+
0
faxbox
faxbox
11 апреля 2016, 14:18
#
Если Вы говорите о А-Банке или Приват-Банке, то сейчас уже не нужно предупреждать о пребывании за границей.
+
0
DmytroDnepr
DmytroDnepr
26 февраля 2016, 18:03
#
У меня для ресторанов и торговых точек отдельная карта закрытая для интернет платежей и имеющая чип. Что либо сделать с ней без пина нельзя, данные списанные с нее официантом тоже бесполезны.
+
+5
Йохан П.
Йохан П.
26 февраля 2016, 23:13
#
Ну, вы же пин для нее вводите в терминале? А откуда вы знаете, что терминал не «заряжен» и кроме проведения вашей транзакции не записывает введенные пин-коды и не отдает их потом официанту? Или, по-старинке, что официант не протер кнопки терминала флюоресцирующим составом и потом не посветил на кнопки ультрафиолетом? И, если вы карту выпускаете из виду, что ее полосу не протянули через карт-ридер и не сняли копию? Вуаля, есть копия магнитной полосы, есть пин-код, можно идти в банкомат снимать деньги. И запрет на онлайн-платежи для нее — не помешает никак… Я же говорю, только полностью исключение магнитной полосы как класс из чипованных карт может увеличить их безопасность…
+
0
DmytroDnepr
DmytroDnepr
29 февраля 2016, 13:23
#
Пин ввожу, но толку от него похитителям никакого. Транзакция по карте с чипом не пройдет по полосе от этой карты. Полоса там нужна только для срабатывания магнитного датчика наличия карты в картоприемнике банкомата, что либо снять с использованием магнитной полосы от чиповой карты в банкомате не выйдет.
+
0
Йохан П.
Йохан П.
1 марта 2016, 14:00
#
Хм, а карточная платежная система то знает, что чипованной карточкой, эмитированной вашим банком, нельзя якобы осуществить транзакцию в терминале без возможности приема чипов, т.е. по магнитной полосе?
+
+10
DmytroDnepr
DmytroDnepr
1 марта 2016, 15:15
#
Конечно знает. В терминале (в отличии от банкомата) в некоторых случаях совершить можно будет (хотя это зависит от настроек банка эмитента и экваера), но риски по такой транзакции будут на владельце терминала потому как транзакции проведенные по полосе при наличии чипа на карте однозначно являются риском владельца терминала. Ну и опять же, крайне редкое такое вообще разрешено настройками терминала.
+
0
Йохан П.
Йохан П.
1 марта 2016, 16:38
#
Значит можно (а вы выше говорили, что нельзя). Дело не в том, чьи риски (риски всегда чьи-то — банка-эмитента, банка-экваера, платежной системы, владельца терминала, владельца карточного счета), а в том, что такую транзакцию проведут, деньги в результате снимут и получат (им не важно, кто потом эту сумму на себя возьмет), и вам придется с банком разбираться… Вы можете сказать — какая разница, если мне компенсируют снятую сумму на счету? Так, разница большая, устранена такая возможность или нет — т.к. в настоящем виде это подпитывает злоумышленников. Если такая возможность была бы устранена (полный отказ от магнитной полосы) — тогда им просто нечего было бы делать… Остается масса других способов (и транзакцию по чиповой карте можно при желании и наличии средств подделать, и физические средства остаются — петля в банкомате, не позволяющая забрать деньги) — но это уже совсем иной коленкор…
+
0
DmytroDnepr
DmytroDnepr
1 марта 2016, 17:02
#
Скажем так — в 99.9% случаев нельзя. В тех 0.01% случае когда будет можно ответственность за эту операцию понесет владелец терминала, что опять же приемлемо. Разница в том что в случае с чисто полосатой картой и вводом пина вы никак не оспорите фрод-транзакцию, а в случае с чипом вы ничего не потеряете т.к. ответственность будет на владельце старого терминала без возможности чтения чипа. По этой же причине вероятность такого мошенничества близка к нулю т.к. в конечном итоге это кража у самого себя, и владелец такого терминала это знает.
+
0
Йохан П.
Йохан П.
1 марта 2016, 17:17
#
Вы судите, наверное, исходя из украинских реалий. Еще пару лет назад, по-крайней мере, таких терминалов было полно в Египте, в Таиланде. Поэтому я и упоминал эту страну выше. Злоумышленники, обладая карточными данными, найдут способ их монетизировать. Естественно, они будут искать те устройства и те способы, которыми это можно сделать. И найдут. Естественно, чем больше мер противодействия, тем вероятность успешных действий меньше. Но, думаете, много людей вообще о них знает, задумывается обо всем об этом? Я, собственно, с этого и начал (а не с того, что у вас лично все в порядке с безопасностью) — что при современной системе организации карточных платежей остается много нюансов и дыр для злоумышленников, особенно если владелец карточного счета не очень во всем этом разбирается, а карточные системы как будто специально не хотят их исправлять, превращать в систему, безопасность которой обеспечена ей самой. Наверное им просто достаточны существующие риски, их устранять будет дороже…
+
0
PSS1
PSS1
1 марта 2016, 13:52
#
Ну вот правильные вещи пишите, а как Вам здоровыми аргументами отвечают, так совсем уже надуманные ситуации приводите, ультрафиолет какой-то). В нормальном заведении уже давно терминалы приносят, если это нужно, если нет, то хоть 1 случай и репутация заведения заметно пошатнется, не говоря уже о том, что белый пластик еще надо залить этой информацией и найти «Васю» который пойдет светить лицом на камеры, и рентабельность для преступников сомнительна. Самая большая проблема отнюдь не магнитка а CVV и тд. там хоть чип хоть не чип. Вопрос решается лимитами и PayPass|Wave, благо эти технологии уже на картах среднего класса вовсю используются. Так что давайте трезво рассуждать.
+
0
Йохан П.
Йохан П.
1 марта 2016, 13:58
#
В сообществах кардеров давно разделение труда — кто-то заряжает банкоматы и терминалы, кто-то забирает оттуда слитые данные, кто-то делает карточки-копии, кто-то (у кого мозгов на иное не хватает) — «светит лицом», ходит по банкоматам и обналичивает… Вопрос решается не лимитами, а тем, что в случае спорной и признанной левой транзакции риски несет не банк, а платежная карточная система (Visa, Mastercard, AmEx). Только с банком разбираться все равно вам придется, даже если (и скорее всего) банк признает транзакцию левой…
+
0
tsar1
tsar1
3 марта 2016, 14:21
#
Не понятно о чем столько букв истрачено. Ну сколько может быть денег на карте украинского банка? Тысяча или две? Что это за деньги чтобы о них говорить? Я вот жил в штатах так там на карточках, кредитных, не дебетовых десятки тысяч и не гривен, а в банке два счета чекинг и сейвингс. Все деньги на сейвингс аккаунт и если надо переводишь на чекинг и платишь. Но даже если там украли деньги то один звонок в банк или на виза/мастер кард решает вопрос так как клиент всегда прав и деньги вернут на счёт, а потом расследование будет. Украина к сожалению в каменном веке и самый большой кредит на карту пару тысяч максимум, гривен.
+
0
vladimir anisimoff
vladimir anisimoff
3 марта 2016, 14:25
#
Вы не правы. Что на счет сбережений, что на счет кредитных лимитов. Конечно далеко не уровень США, но у наших шулеров и потребности не такие.
Чтобы оставить комментарий, нужно войти или зарегистрироваться