Креатив от банковских мошенников

Александр Зарщиков
Журнал «Финанс.»
Мошенники проявляют смекалку, втираясь в доверие к клиентам банков, – те сами сообщают им данные пластиковых карт. «Финанс.» составил список наиболее актуальных рисков, которые несут кредитные организации и их клиенты.
Джек Барнаби продемонстрировал всему миру уязвимость АТМ (фото: архив «Ф.»)

У видео Barnaby Jack Hacks ATM на сайте Youtube уже более 83 тыс. просмотров. Ролик снят на проходившей в Лас-Вегасе хакерской конференции Black Hat в июле этого года – эксперт по компьютерной безопасности Джек Барнаби демонстрирует, как за несколько минут можно заставить банкомат «поделиться» деньгами с помощью модема и программ, эксплуатирующих недостатки программного обеспечения кэш-машины. Зал взрывается аплодисментами. Но бенефис мог и не состояться – на прошлогодней конференции компания Juniper Networks, на которую работал Барнаби, внезапно отменила его доклад по просьбе представителей одной из компаний-производителей ATM. Естественно, пожелавшей остаться неизвестной.

Специалисты признают: интерес к тому, можно ли «вскрыть» кэш-машину, огромен. По некоторым данным, за 2009 год в России было совершено около 250 атак на банкоматы с помощью подключения хакеров. Собеседник «Ф.» в одном из крупных розничных банков весной этого года всерьез говорил: если не получится победить мошенников, которые наладили «мануфактуру» по взлому банкоматов, карточный бизнес в России можно будет сворачивать. Потери в целом по системе шли на десятки миллионов долларов. Перекрыть лазейку все-таки удалось. Теперь, в связи с ожесточенным противодействием банкиров в области «пластика» центр приложения мошеннических сил постепенно переходит в интернет. Также в ход идут мобильные телефоны и методы психологического давления.

Доходное место. Когда сотруднику службы безопасности Абсолют-банка пришло SMS-сообщение о том, что его карта заблокирована и для ее разблокировки необходимо позвонить по определенному номеру, тот ее удалил, особо не вдаваясь в подробности. Однако чуть позже с этого номера раздался звонок – в необходимости срочно разблокировать карту теперь убеждал приятный женский голос. Мошенников не смутило даже то, что они звонят «безопаснику». История закончилась тем, что этот номер телефона был передан в МВД. Там таких обращений уже несколько десятков – этим летом банковскую индустрию накрыла волна попыток хитростью узнать PIN-коды карт. В середине августа Сбербанку даже пришлось выпускать специальное обращение к клиентам с предупреждением об активизации мошеннических действий «с использованием SMS-сообщений и звонков на мобильные телефоны». Сталкивались с подобными случаями в «Сити» и «Альфе». Мошенники, представляясь сотрудниками банка, просили сообщить им полный номер карты, срок действия и другие необходимые для подделки «пластика» реквизиты. Некоторых клиентов направляли прямиком к «заряженным» скимминговыми устройствами банкоматам, где они подписывались на услугу интернет-банка, после чего передавали «представителю банка» логин и пароль, полученный в банкомате. Мошенники, получая номера карты, а также данные для доступа в интернет-банк, переводили все средства на другие счета.

Злоумышленники креативят – от имени ВТБ24 размещают вакансии на региональных сайтах по поиску работы (для предоставления уточняющей информации пользователи отправляли платное SMS-сообщение), а от имени ЦБ проводились «розыгрыши призов» среди держателей пластиковых карт. По данным Ассоциации региональных банков, в 2008 году потери, связанные с мошенничеством на рынке платежных карт, в России составили около 1 млрд руб­лей. В прошлом году объем потерь, по оценкам экспертов, вырос еще на 150–200 млн руб­лей. «Кардинально новых видов мошенничества не появилось, скорее, происходит небольшая «модификация» старых, – утверждает начальник управления взаимодействия с платежными системами Альфа-банка Алексей Голенищев. – Например, за счет пресловутых «китайских» производителей появились более миниатюризированные, дешевые и разнообразные устройства для компрометации карт в банкоматах».

Мошенничества с дистанционным банковским обслуживанием (ДБО) до сих пор остаются наиболее популярными. В частности, уже почти год несколько десятков банков, находящихся в середине второй сотни по капиталу, держит в страхе организованная группировка, промышляющая подделкой «пластика». Об этом «Ф.» рассказал представитель одного из этих банков. Проблема мошенничеств с ДБО приобрела столь массовый характер, что в июне Ассоциация российских банков и ЦБ даже разослали в кредитные организации специальные письма и инструкции по предотвращению мошеннических действий в этих каналах. Никуда не исчезли и случаи компрометации карты при использовании в магазинах, барах, ресторанах. Самыми криминогенными в этом смысле считаются Украина, Польша, Турция и с недавних пор Белоруссия. Правда, бывает «проруха» и на Западную Европу – в феврале Альфа-банку пришлось перевыпускать около 2,5 тыс. карт, скомпрометированных в отелях и ресторанах Германии, Австрии, Бельгии, Швейцарии.

Как отмечает начальник юридического управления СДМ-банка Александр Голубев, нередки случаи, когда в платежные терминалы или банкоматы помещаются объекты, обладающие признаками денежных купюр (прежде всего элементы, имитирующие средства защиты). «Такие действия не являются фальшивомонетничеством, поскольку эти объекты визуально отличаются от денежных знаков и «живая» проверка однозначно бы их забраковала», – говорит он. Еще один вариант – имитация проводок по счетам карт с использованием пробелов в правилах платежных систем.

Однако хитом нынешнего сезона стал шимминг – технология, позволяющая украсть номер карты и PIN через банкомат, – о которой все слышали, но никто не видел. Один из сотрудников Cisco в своем блоге переполошил всю Европу, утверждая, что специальные устройства начали массово выпускаться в некоторых странах Старого Света. Специальная тонкая плата вставляется в картридер и считывает данные введенных карт. Плата должна быть одновременно гибкой и тонкой (менее 0,1 мм), чтобы не создавать помех при использовании «пластика». Однако производители банкоматов все отрицают. «Технология ”шимминга“ в настоящее время существует лишь в теории, поскольку ее практическая реализация на деле была бы слишком дорогой», – утверждает Иван Стригин, директор по профессиональным инженерным услугам компании «Diebold Россия».

Среди относительно новых видов мошенничества Иван Стригин отмечает несанкционированное вмешательство в работу программного обеспечения банкомата (вроде того, что демонстрировал Джек Барнаби), кража данных с банкомата, перехват трафика между банкоматом и хостом, подмена хоста, а также компьютерные «вирусы» и «трояны» («Ф.» писал об этом в № 11, 2009). Тем не менее, в Европе уровень мошенничества по картам в 5–6 раз выше, чем в России, считает Алексей Голенищев.

Посильный вклад в эту статистику вносят и отечественные хакеры. На прошлой неделе петербургский суд признал 28-летнего Виктора Плещука виновным в краже у корпорации RBS WorldPay (принадлежит Royal Bank of Scotland) более $9 млн. Это действительно редкий случай для России. Статей в УК, по которым можно наказывать «пластиковых» мошенников, мало – ст. 159 «Мошенничество» и ст. 187 «Изготовление или сбыт поддельных кредитных либо расчетных карт и иных платежных документов». Но, например, если мошенническая операция совершена с помощью банкомата, то ст. 159 уже неприменима – мошенничество подразумевает обман, а банкомат обмануть нельзя, поскольку он является неодушевленным предметом.

Дела по мошенничествам с помощью проводок по счетам банковских карт очень сложно вести в судах, потому что необходимо описывать достаточно сложный механизм функционирования МПС, особенно учитывая, что такие споры, как правило, рассматриваются в судах общей юрисдикции, говорит Александр Голубев. Также у некоторых судов, особенно в провинции, до сих пор возникает множество вопросов относительно подтверждений мошеннических действий, совершенных с помощью систем дистанционного обслуживания клиентов: необходимо доказывать достоверность ЭЦП, различия в IP адресах и прочее. По более «банальным» спорам проблем почти не возникает – подделка доверенностей и фальшивомонетничество рассматриваются судами без особых проблем, говорит Александр Голубев.

За моральный ущерб. Помимо SMS, с развитием мобильной коммерции (когда инициирование операции происходит непосредственно с мобильного телефона), появилась «мошенническая» специфика и в этой области. «Более разнообразно и организованно стало мошенничество в области интернет-коммерции, особенно в сегменте авиаперевозок», – отмечает Алексей Голенищев. Вынуждает мошенников идти на просторы Всемирной паутины и стремление обойти препоны, которые строят банки в «офлайне». С помощью троянов мошенники проникают в компьютеры клиентов и воруют их электронные цифровые подписи. Перестали спасать даже USB-Token’ы – с весны нынешнего года активно используется новая хакерская программа, позволяющая воровать пароли, если компьютер находится в сети, а флэшка с ЭЦП вставлена в системный блок или ноутбук, рассказывают в службе безопасности одного из крупных банков. Флэшку «расшивают», после чего проводят платежи от имени клиента, и доказать, что это дело рук злоумышленника практически невозможно. Средства обычно направляются на карточки граждан, которые их обналичивают, как зарплата. Среди новых назначений таких платежей – выплата алиментов и возмещение морального ущерба. В одном из крупных банков рассказывают, что их внимание привлекла выплата алиментов в размере 700 тыс. рублей.

Кредиты. Однако при всей популярности хищений средств с пластиковых карт уверенное лидерство по объему финансового ущерба, причиненного банком, занимают «кредиты в никуда». «Ужесточение правил в отношении заемщиков спровоцировало рост мошенничества как среди физических лиц, так и среди корпоративных клиентов банков», – говорит президент АКГ «Созидание и Развитие» Василий Кошелев. По его словам, наиболее распространенным видом мошенничества среди физлиц остается предоставление недостоверной информации об уровне дохода. Это уже проверенная годами технология. Суды завалены исками банков к недобросовестным заемщикам. На Западе при описании типичных мошеннических схем говорят также о сговоре между клиентом и работниками банка, которые закрывают глаза на недостатки или нестыковки в документах, недостаточный уровень дохода. Однако обман по кредитам большой суммы маловероятен у нас, поскольку, в отличие от США процесс принятия решений о кредитовании в российских банках достаточно сложен и затрагивает несколько подразделений, отмечает Марина Мишурис, предправления Флексинвестбанка. К тому же многие банки, которые обожглись во время кредитного бума 2006–2008 годов, ужесточили риск-менеджмент. Например, если раньше выдавали займы направо и налево, то сейчас нередко перед выдачей кредита специалисты выезжают в компанию, которая претендует на получение кредита, и тщательно осматривают офис – вплоть до того, есть ли на офисных столах пыль. Если есть, значит, контора, скорее всего, неработающая. Но если количество потенциальных заемщиков у кредитных организаций снова резко увеличится, ездить по офисам станет некогда.

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *