Безопасность пластиковых карт: вторая кровь

Сложно найти выступление (доклад, мнение, публикацию), посвящённое ситуации на украинском рынке карточных платежей, в котором не упоминалась бы характерная особенность местных владельцев «пластика». Речь идет о нежелании их абсолютного большинства использовать банковские карты по прямому назначению — для расчетов в торговой сети. Несть числа стенаниям представителей банковского сообщества по поводу глупости (дикости, забитости, темноты, кретинизма — нужное подчеркнуть)  соотечественников, которые, получив деньги на карточку, тут же бегут снимать их в ближайшем банкомате.

Все эти сетования основаны на неявном предположении, что расчеты карточками это, во-первых, удобно, и, во-вторых, безусловно и однозначно безопасно. На сегодняшний день и банковское сообщество, и широкий круг энтузиастов, довольно  категорично утверждают об отсутствии системных проблем с безопасностью карточных платежей. Мол, соблюдение несложных предосторожностей позволяет избежать неприятных сюрпризов. 

Полгода назад я уже разбирал проблему, обусловленную распространением так называемой SMS-авторизации для доступа к банковским счетам. Мой вывод, напомню, заключается в следующем: навязаные банкирами процедуры SMS-авторизации содержат в себе ряд изъянов и образуют приличных размеров дыру в безопасности их клиентов, включая и держателей карт. Это первый вывод. Этой дырой регулярно пользуются и будут невозбранно пользоваться мерзавцы всех мастей во-вторых и тот же Приватбанк, аккумулировавший около 40% всех депозитов, не делает ничего, чтобы эту дыру ликвидировать, в-третьих. 

За прошедшие месяцы картина, насколько мне известно,  не изменилась. Банк тупо проигнорировал все предложения операторов мобильной связи хоть как-то минимизировать риски для их общих клиентов. Например, операторы предложили применять специальный порядок обмена утерянных/испорченных SIM-карт предоплаченной формы услуг, поскольку мошеннические действия такого рода являются основной системной уязвимостью SMS-авторизации. Операторы  были готовы совместно разработать и внедрить подобные процедуры для работы с теми SIM-картами, которые используются клиентами Приватбанка. Готовы были сделать это самостоятельно. Всё, о чём они просили Приват, это сообщить им номера, на которые завязаны банковские услуги. Приват их просто проигнорировал.  

Поэтому гнойная мразь продолжает воровать деньги украинцев с их карточных счетов в Приватбанке. Последний попавшийся мне на глаза пример — кража пятидесяти восьми тысяч гривен, собранных на лечение тяжело больного ребёнка. Судя по тексту сообщения, и в этом случае имел место мошенническое завладение SIM-картой пользователя карточного счёта при посещении салона мобильной связи. Спасибо тов. Витязю и лично Александру Дубилету за новые великолепные возможности. 

Но это касалось лишь одного аспекта вопроса. Теперь пришло время разобраться с другой группой  проблем. Причём опять на собственном опыте.  Прошлой ночью с карточного счёта близких мне людей в банке «Райффайзен Аваль» были украдены  8000 гривен. Глубокой ночью где-то на Харьковском массиве в течении трёх с небольшим минут последовательно сняли восемь раз тысяче гривен, пока не был достигнут суточный лимит для снятия.  Насколько я понимаю, злоумышленники изготовили дубликат пластиковой карты, поскольку оригинал всё это время находился и находится у хозяйки.  

За последние пару месяцев эту карту использовали только для снятия денег, причем, за редким исключением, в отделениях самого банка. Плюс раз или два снимали в банкомате, установленном в вестибюле Метрограда на Площади Независимости в Киеве. Также карточку использовали для расчетов в торговых сетях. Всё это время карточку не выпускали из виду, никогда не передавали, например, официанту для того, чтобы «прокатить» где-то за кулисами. Соответственно скопировать магнитную полосу могли только за счет использование накладки на банкомате.  

Есть основания полагать, что данные карты были украдены достаточно давно. Злоумышленники ждали праздников, когда люди покидают пределы и, зачастую, им физически тяжело либо невозможно своевременно дозвониться в банк. Да и получить sms с оповещением о несанкционирвоанных транзакциях. При благоприятных для мерзавцев раскладах они могут каждый день ходить и снимать деньги, пока полностью не обнулят счёт. Так что на праздниках приходится быть особенно острожными.

А пока жду рабочего дня,  чтобы посмотреть, каким образом Аваль будет реагировать в этой ситуации. Учитывая, в первую очередь, тот факт,  что речь идет о клиентах, которым он присвоил статус VIP.  

Мне интересны ваше мнение и опыт: каким образом на практике реализуются такого рода атаки на карточные счета в Украине? Каким образом их можно избежать? Интересуют,  конечно же, в первую очередь практические советы, которые не делают использование картой попросту бессмысленным. Например, установить нулевой лимит для покупок и каждый раз звонить в сервис-центр, чтобы поднять его. Моё внимание, например, обратил тот факт, что в Авале лимит совершение покупок в интернете соответствует таковому для расчетов в розничной сети. То-есть я не могу, например,  сделать лимит для расчётов в интернете нулевым, поскольку тогда будет нулевым и лимит для торгово-розничной сети. 

С вероятностью 99,9%  в комментариях появятся граждане, которые затянут любимую песню: «сами виноваты… ничего такого не может быть, потому что не может быть никогда… у банков всегда всё хорошо и правильно...» Сразу прошу оставить этот бред при себе. Сфера моих профессиональных интересов связана с рынком мобильной связи. Этот рынок в некоторых отношениях весьма похож на банковский, в частности, масштабами использования ИТ-технологий для обслуживания клиентов.

Так вот, я на собственном опыте, не раз и не два участвуя в разного рода  конфликтных ситуациях как со стороны оператора, так и со стороны абонентов, достоверно знаю следующее: а) операторы периодически допускают совершенно чудовищные по своей нелепости и масштабам ошибки; б) их первая, стандартная реакция в случае конфликта с абонентами по поводу денег это «сами виноваты… ничего такого не может быть, потому что не может быть никогда...»; в)если удается, всё-таки,  ткнуть оператора носом в собственное дерьмо, одним из элементов соглашения по урегулированию ситуации они настойчиво требуют подписания документов о неразглашении, тем самым максимально затрудняя защиту своих прав другими бедолагами. 

Итак, мой вопрос заключается в следующем: каким образом мог быть изготовлен дубликат карточки, включая ПИН-код? Если не были допущены основные проколы в части безопасности карточных платежей: карту не выпускали из виду и никому не передавали.