Спустя длительное время продолжаем серию информационных материалов на тему банковских (они же пластиковые) карт. На сей раз поговорим о том, какие существуют схемы мошенничества в данной области, насколько они сложны (или нет), насколько часто встречаются. Не следует считать приведенный ниже список окончательным и полным, технология не стоит на месте, постоянно изобретаются все новые и новые способы. Поэтому, совершая операции с банковскими картами, всегда держите ухо востро — если вам что-то не нравится, не бойтесь спросить, поставить под сомнение или, в конце-концов, отказаться от транзакции.
Теперь, собственно, о самих способах мошенничества.
Начнем мы с самого древнего, простого и очевидного способа хищения денег с вашей карты — кражи. Суть способа в том, что у вас тайно (кража) или явно (разбой) изымают пластиковую карту, дабы в последствии снять с нее деньги (или просадить их в магазине). Обезопасить себя на 100% от этого способа расставания с кровно нажитыми средствами невозможно никогда и нигде, поэтому профессионалы рекомендуют не хранить свои кровные на одной карте, а использовать несколько карт с небольшими доступными суммами, и никогда не использовать банковские карты для доступа к депозитным счетам или текущим счетам с большими суммами.
Еще достаточно простой способ — подглядывание через плечо. Таким образом можно и цифры карты подсмотреть, и пин-код, и все, что нужно. Дело, как обычно, в сноровке подглядывающего и пофигизме жертвы.
В результате широкого распространения такой модной услуги, как получение кредитной карты по почте, появился и новый вид мошенничества — воровство этих самых карт. Воровать можно как по почтовым ящикам (не очень эффективно), так и на уровне сотрудников банка или курьерской компании. В результате в руках мошенников оказывается карта, пин-код и прочие полезные сведения, остается активировать карту и можно тратить деньги. Платить за все будет или несчастный клиент, чья карта была украдена, или банк, если клиент сможет доказать, что он тут ни при чем. Разновидность этой темы — оформление на клиента карты без его ведома (тут уже не обойтись без ушлого менеджера). Например, вы пришли в банк и оставили заявление на выдачу кредитной карты. По каким-то причинам банк вам отказал, но это не мешает менеджеру не озвучить вам истинную причину отказа (например, вы могли запросить лимит 100К рублей, а банк готов дать вам только 50К), а просто оформить повторное заявление с уже приемлемыми параметрами и получить карту за клиента. Также могут красть и перевыпущенные карты, что в сочетании с тем, что клиенты зачастую не меняют при перевыпуске пин-код, дает мошенникам много дополнительных возможностей.
Более крутой способ — скимминг, придуманный для того, чтобы снять копию с магнитной полосы карты. Суть способа в установке дополнительного считывающего устройства (скиммера) на картоприемник банкомата. Первые устройства были достаточно громоздки и грубы, современные же отличаются весьма миниатюрными размерами и высоким качеством исполнения. Понятное дело, что для того, чтобы вы не сообразили, что в банкомате стоит скиммер, его дизайн подбирают таким образом, чтобы он вписывался в общий дизайн банкомата.
Сейчас большинство наших банков борятся с этим путем установки анти-скиммеров (выглядят как нечто зеленое, выпирающее из картоприемника), которые многие наши граждане принимают за скиммеры
Понятное дело, что одной копии магнитной полосы недостаточно, поэтому скиммеры обычно дополняются или накладками на клавиатуру, позволяющими считать пин-код, или миниатюрными камерами, записывающими телодвижения пользователя.
Скиммеры обычно устанавливают на отдельностоящие уличные банкоматы темной ночью и стоят они на них не более 8 часов. Зачастую этого достаточно, чтобы получить данные нескольких карточек. В последствии, на основании полученных данных изготовляются дубликаты карт, которые используются в банкоматах для выкачивания денег. Учитывая, что устройства для кодирования магнитной полосы стоят не более 100 баксов, дубликаты карт делают сразу же, поэтому денег нерадивый клиент также лишается очень быстро.
Все вышеописанные способы (наверное, кроме фишинга) были ориентированы на банкоматы. Теперь о мошенничествах с торговой сфере, т.е. с POS-терминалами. Сначала самый простой — копирование карты. В большинстве ресторанов вы, хоть и не на долго, но выпускаете карту из вида — официант уносит ее на кассу, для совершения транзакции. Ничто не мешает официанту или кассиру скопировать данные карты и передать их мошенникам. Можно даже сделать проще — в торговой точке остается 2-я копия чека, которая содержит все необходимые данные (кроме CVC). Таким образом, карту можно скопировать даже тогда, когда вы не выпускаете ее из поля зрения, например, в магазине. Кассир всегда переворачивает карту обратной стороной, формально, для того, чтобы сравнить подпись на карте и чеке. При этом он видит CVC и может его запомнить. Когда вы радостный с покупками отваливаете от кассы, он просто записывает код на бумажку, а вечером делает копии чеков и сопоставляет их с ранее записанными кодами. Теперь можно делать или дубликаты карт, или использовать их при покупках в Интернете.
Еще один простой способ — двойные операции. В ресторане по вашей карте совершают не одну транзакцию, а две, обычно на одну и ту же сумму. Чек, понятное дело, приносят один. Многие, даже при наличии СМС-информирования, считают вторую СМС о списании средств ошибкой или дублем, т.к. суммы совпадают. Способ на самом деле очень не надежный, т.к. такие транзакции легко опротестовываются и деньги возвращаются, зато и мошенников сложнее привлечь к ответственности, т.к. все можно списать на сбой или ошибку оператора. Раньше, когда транзакции были offline’овыми и при покупке с карточки прокатывали слип, недобросовестные продавцы могли прокатать 2 чека, вместо одного (обычно клиенту объяснялось, что первый чек плохо прокатался, типа ничего не видно и нужно прокатать еще один и качественно). Во второй чек вписывалась нужная сумма и все. Сейчас платежные системы борятся с такими мошенничествами путем запрета операций на одну и ту же сумму в течение определенного периода времени (обычно часа).
Еще один несложный способ — использование транзакций без авторизации. В странах третьего мира, в основном в Азии и Африке, там где большие проблемы с хорошим интернетом, очень много торговых точек использует режим отложенных транзакций, допуская покупки до некоторой суммы (например, $100) без авторизации банка. В этом случае можно кидать не только клиента, но и банк. Карту можно загнать в овердрафт, совершив по карте множество мелких транзакций. Банки пытаются бороться с такими мошенничествами повышая уровень опасности транзакций из таких стран и блокируя карту при выполнении подозритеьных операций.
Более хитрый способ — фальшивые чарджбэки. Способ достаточно замороченный и требует криминализации торговой точки, т.к. все операции выполняются с POS-терминала и в последствии отвечать за них придется владельцу торговой точки. Суть в следующем. Вы (или мошенник с клонированной картой) совершаете абсолютно нормальную покупку, например на 10К рублей. Деньги эти сразу же на счету блокируются и доступный остаток на карте уменьшается на эту сумму. Спустя, например, 10 минут, проводится операция возврата средств, что приводит к увеличению остатка на карте не соотв. сумму. Сообщник мошенника (или он сам) тут же снимает деньги в банкомате. После этого производится операция отмены возврата, деньги снова блокируются. Обычно это приводит к овердрафту по карте, за что приходится платить сначала банку, а потом и вам. В случае сильно криминальной схемы сначала приходят чарджбэки, увеличивающие баланс на карте(ах), после чего карты обнуляются в банкоматах, а на следующий день приходят прямые транзакции о покупках, загоняя карты в овердрафт. В результате банку приходится искать владельцев этих карт, которые могут и не существовать. Результат мошенничества положителен для всех: мерчант получает деньги, мошенник получает и товар, и деньги. В пролете остается банк-эмитент, а если не повезло, то владелец карты (если он был не подставной).
Еще один банальный, но в то же время технологичный способ отъема денег — фальшивый Интернет-магазин. Мошенники делают нормальный Интернет-магазин (благо готовых движков сейчас сколько хочешь), наполняют его товарами, устанавливая на них цены ниже среднерыночных, добавляют возможность оплаты по банковским картам. Понятное дело, что никаких товаров никто высылать не собирается. Дальше просто сидим и ждем, когда клиенты будут сами добровольно указывать данные карточек. Дальше два варианта развития событий. Первый — деньги официально поступают на счет магазина в том объеме, в котором этого захотели клиенты. Второй — данные карт используются для их обнуления. В любом случае через месяц-другой магазин тихо умирает, а мошенники исчезают с деньгами и начинают создавать новый магазин.
Вот, собственно, и все хитрости В следующий раз расскажу о том, как же делать так, чтобы имея банковскую карту не бояться каждого куста.