Спецпроект

Картки в руки

Микола ТИМОШЕНКО, Олена СТРУК

Найчастіше українців обкрадають за допомогою загублених або вкрадених банківських карток

ШАХРАЙСТВО ПЕРШЕ
ПІДРОБКА КАРТОК

У лютому 2008 року біля станції столичного метро «Позняки» людина, яка побажала зняти готівку, виявила на звичайному банкоматі скімер — спеціальний пристрій, який шахраї встановлюють для зчитування реквізитів пластикової картки (дізнатися ПІН-код, який вводить її власник, дозволяє спеціальна накладка на клавіатуру). Якби користувач банкомата вчасно не зрозумів, що його хочуть пограбувати, і ввів ПІН-код, зловмисник, отримавши потрібну йому інформацію, виготовив би дублікат картки і зняв би з рахунка гроші жертви.

Скімер — це лише один зі способів, до яких вдаються зловмисники, щоб підробляти карти і обнуляти чужі рахунки. Виготовлення і використання підроблених пластикових карток (кардинг) перетворилися останнім часом на масштабний міжнародний бізнес: його щорічні обороти становлять 0,04-1% світового обсягу операцій з платіжними картками.

Пластикове шахрайство

Крадіжка грошей за допомогою фальшивих пластикових карток відбувається у кілька етапів. Перший і найскладніший пов’язаний з отриманням інформації, необхідної для виготовлення картки. Зробити фальшивку неможливо, не знаючи дампу картки — даних, закодованих на її магнітній смузі (ім’я власника, номер, термін дії, а також закодована службова інформація). За оцінками екс-хакера, відомого серед кардерів як Neron, на Заході 70% цієї інформації шахраї отримують із самих банків, 5-10% — через спеціальні зчитувальні пристрої (скімери), що встановлюються на банкоматах. Ще одне джерело витоку інформації — кафе, ресторани, готелі та інші установи, що приймають до розрахунку платіжні картки.

Зібравши потрібні відомості, шахраї беруться за виготовлення підробки. Для цього використовують енкодер, за допомогою якого можна не лише зчитати дані магнітної смуги і зберегти їх, а й перезаписати на іншу картку. Його можна купити в київських інтернет-магазинах лише за $300-500.

Зазвичай зловмисники, які мають ПІН-код картки, наносять украдені реквізити на іншу платіжну або дисконтну картку або на порожню пластикову заготовку з магнітною смужкою (їх називають білими картками, і коштують вони на ринку від $0,1). За допомогою «білого» пластику гроші можна знімати тільки в банкоматах. Щоб обнулити чужу картку, не маючи її ПІН-коду, кардер просить знайомого відкрити кілька дебетних карток, після чого на кардерських форумах замовляє на його ім’я фальшивий паспорт (вартість $600-1200) або водійське посвідчення ($200). За допомогою енкодера наносить куплений дамп на магнітну смужку однієї з дебетних карток, а потім користується нею для покупок.

Для новачків цей бізнес набагато безпечніший, ніж зняття готівки у банкоматі. Касири, звіряючи прізвище, зазначене на картці, з прізвищем на документі, майже ніколи не зважають на те, що надруковано в чеку. Обережні кардери періодично замовляють нове фальшиве посвідчення, покупки здійснюють у різних містах і працюють не більш ніж три місяці на рік. Для простого кардера такий спосіб заробітку сьогодні вважається найдохіднішим. Дотримуючись усіх заходів обережності, на місяць можна «заробити» до $5 тис.

Зняття грошей у банкоматі або покупка через підроблену картку товарів у магазині — технічно найпростіший етап крадіжки, але й найнебезпечніший. 100% українських і 90% іноземних карткових шахраїв, викритих у крадіжці, попалися при спробі зняти гроші готівкою.

Крадіжки без кордонів

У процесі виготовлення фальшивих карток задіяні десятки виконавців, відповідальних за певну ділянку роботи. «Спеціальними знаннями і високою кваліфікацією має володіти лише верхівка кардерського угруповання, — каже екс-хакер. — Інша робота дуже проста, її може освоїти кожен».

Світові шахрайські угруповання першого ешелону зазвичай контролюють усі етапи від викрадання дампів карток до зняття грошей. У них обов’язково є власні інформатори серед працівників іноземних банків, які крадуть дані магнітних смуг, а також фахівці, що володіють технологією вирахування ПІН-кодів.

Лідери угруповання та їхні інформатори заробляють на продажу даних шахраям, які випускають фальшиві картки та знімають за їх допомогою гроші. Вартість даних магнітної смуги картки з розшифрованим ПІН-кодом — $300-400. Річні обсяги продажу реквізитів карток сягають $30-40 млн. Мережа «наймачів» розкидана по всьому світу і, як правило, охоплює кількасот осіб, яким і дістаються гроші, украдені через банкомати. Ще два роки тому з однієї картки за один раз можна було викрасти в середньому $3 тис., зараз — близько $1 тис.

Кардерські організації другого ешелону не мають доступу до банківської інформації, тому змушені шукати інших способів отримання реквізитів карток. Їхні лідери (до речі, здебільшого вихідці з СНД) формують мережу інформаторів з-поміж обслуговуючого персоналу готелів, ресторанів, кафе, торговельних точок, що приймають до оплати пластикові картки. Особливо багато помічників вербують у курортних містах з великим потоком туристів. Інформаторам надають потрібне для роботи обладнання і навчають правил користування.

«В іноземних готелях при бронюванні номера, а також в інших установах сфери обслуговування кредитну картку часто забирають з поля зору клієнта, — каже начальник відділу моніторингу клієнтських операцій Укрсоцбанку Оксана Задорожна. — Цим і користуються зловмисники».

Клієнт ресторану, який віддав офіціантові свою картку, щоб розплатитися за рахунком, навіть не здогадується, що шахрай протягом кількох хвилин зможе викрасти всю інформацію, потрібну для підробки. Коли «навчений» інформатор отримує картку в руки, він проводить нею не лише через термінал і знімає гроші з рахунка, а й пропускає через енкодер. Щоб отримати ПІН-код, шахраї приносять власникові картки термінал і просять увести секретний номер. За кожну украдену картку інформатор одержує від лідера угруповання $50-70.

1

2     3

1 У ящику, прикріпленому біля банкомата, встановлена прихована камера, що фіксує ПІН-код, який вводить власник картки

2,3,5 Скімери. Відрізняються від справжнього приймального пристрою банкомата випуклою формою і залізною окантовкою отвору для картки

4 Накладка для клавіатури банкомата. Її шахраї використовують для визначення ПІН-коду картки

Частину інформації угруповання другого ешелону отримують, встановлюючи скімери на банкомати. Такий спосіб збору даних у середовищі професійних кардерів уже не такий популярний. «По-перше, красти інформацію таким чином значно небезпечніше, ніж зчитувати її з карток, якими скористалися в кафе і ресторанах. По-друге, правильно встановити скімер не так просто. Крім того, якщо до кваліфікованого інформатора потрапить дамп із ПІН-кодом, він дуже скоро піде у вільне плавання», — розповідає кардер.

Недолік їхніх послуг полягає в тому, що шахраї не можуть відсортувати картки за класами (Standart, Classic, Silver, Basic, Gold, Platinum) і не мають даних про доступні на них кошти. Таким інформаторам платять на 30% менше, ніж кардерам, які працюють з банкірами, що мають повну інформацію про рахунок клієнта.

Хороша витримка — запорука успіху бізнесу шахраїв другого ешелону. Гроші на картках, дані з яких були украдені в готелях і ресторанах, зазвичай знімають не відразу, а через 4-6 місяців, інакше правоохоронні органи швидко вирахують, де стався витік інформації, і ватажкам доведеться оновлювати мережу інформаторів.

Такі угруповання існують у середньому 2-3 роки. Накопичивши капітал у кілька мільйонів доларів, організатор мережі вкладає вкрадене у легальну справу і залишає картковий «бізнес» іншим. Опинившись на стадії ліквідації, мережа інформаторів поступово згортається і за рік повністю зникає.

Велика втрата

Талант і фантазія вітчизняних шахраїв працюють здебільшого проти іноземців. Українські зловмисники, які входять до міжнародних шахрайських угруповань, заробляють, знімаючи гроші в банкоматах з фальшивих закордонних карток. Практично 90% вітчизняних кардерів мають постійних постачальників реквізитів, решта купують дані в інтернеті час від часу.

Українці, за словами Оксани Задорожної, найбільше грошей втрачають від шахрайства з використанням загублених або вкрадених карток. Крім того, гроші зникають із карток українців, які побували за кордоном, де вони розплачувалися кредитками в готелях, ресторанах, торговельних точках.

Банкіри впевнені, що причиною є безтурботність клієнтів, які раз у раз порушують правила користування картками, зберігають ПІН-код разом із карткою, а іноді навіть записують його на кредитці. Втім, іноді така поведінка клієнта — наслідок недбалості працівника банку, який не пояснив, як правильно користуватися платіжними засобами.

Офіційно втрати від шахрайства з банківськими картками в Україні не перевищують 0,06% річного обороту за картками. За даними Української міжбанківської асоціації членів платіжних систем «ЕМА», у 2006-му вони становили майже $18 млн, але банкіри визнають, що ця цифра занижена і насправді втрати сягають 1% загального обсягу операцій з картками (близько $200 млн).

Випадки підробок українських карток почали фіксувати лише кілька років тому, і масового характеру такі факти ще не набули. За словами екс-хакера, серед досвідчених кардерів українські дампи не мають великого попиту. «На вітчизняних картках мало грошей (як правило, залишок у розмірі $100-500), і працювати з ними небезпечніше, ніж із західними. Мереж збору інформації у сфері обслуговування в нашій країні ніхто не створював, оскільки майже всі українці в таких закладах розплачуються готівкою, а кардерських угруповань, очолюваних банкірами, немає», — пояснює він.

Хоча з огляду на зростання кількості виданих платіжних карток в Україні, а також збільшення операцій за ними (щороку на 20-25%) інтерес до українських кредиток зростатиме. Шахраї-дилетанти вже почали експериментувати зі встановленням скімерів на банкоматах. «Немає жодного банку, який не зіткнувся б із цим явищем, — визнає начальник департаменту з роботи з платіжними картками Кредитпромбанку Володимир Білоус. — Просто більшість банків не афішує інформацію».

На форумах кардерів з’явилися десятки оголошень про продаж скімерів. Вартість такого пристрою жалюгідна — $40-150. Його ціна і доступність приваблюють здебільшого новачків. «Побачивши оголошення на форумах, вони думають, що на цьому можна легко заробити, але часто не можуть навіть правильно встановити», — каже Neron.

На Заході зчитувальні пристрої встановлюють стаціонарно під панель апарата. «Бували випадки, коли професійно встановлені скімери залишалися на банкоматах місяцями. І їх не могли виявити навіть після того, як апарат відвозили на ремонт», — розповідає екс-кардер.

Утім, можливість встановлення стаціонарних скімерів на вітчизняні банкомати він заперечує: «На відміну від Європи та Америки в Україні використовують нові моделі банкоматів. Під панеллю цих пристроїв скімери не вміщаються».

Еволюція схем

Для захисту від шахраїв банки створюють системи онлайн-відеоспостереження за банкоматами, а також упроваджують автоматичні системи відстеження шахрайських транзакцій. Майже всі фінустанови запровадили подобовий ліміт на зняття грошей з рахунка і послугу sms-банкінгу. Щоразу, коли клієнт знімає гроші в банкоматі або здійснює покупку за платіжною карткою, на його мобільний телефон надходить повідомлення. У разі несанкціонованої операції він може оперативно заблокувати картку.

Деякі банки повністю припинили емісію карток із магнітною смужкою, замінивши їх чіп-картками. «Зараз увесь світ переходить на цю технологію. Я лише одного разу натрапив на інформацію про те, що чіп-картку було підроблено», — каже Володимир Білоус.

На думку екс-хакера, у найближчі 3-4 роки власники чіп-карток можуть бути спокійними: поки є кредитки з магнітною смужкою, підробляти чіпи недоцільно. Але щойно фінустанови цілковито відмовляться від цієї технології, обороти великих кардерських угруповань істотно зменшаться. «Банкіри крастимуть складніші дампи, а кардерам доведеться купувати дорогі енкодери, що працюють уже за новою технологією. Чутки про те, що чіп-картку неможливо підробити, перебільшені. Якщо її спромоглися виготовити у банку, то й шахраї зможуть. Натомість напевно припиняться крадіжки інформації в кафе, ресторанах, готелях», — упевнений екс-хакер.

Що впало, те пропало

Українські банки лише VIP-клієнтам повертають украдені шахраями гроші

Клієнт банку, який загубив картку або виявив, що з неї зникли гроші, відразу має зателефонувати до банку і заблокувати рахунок, потім написати заяву в службу безпеки фінустанови про зникнення коштів. На підставі цієї заяви буде призначено внутрішнє розслідування, що триває в середньому один місяць. За його результатами банк вирішить, повертати гроші чи ні. Клієнт, який не звернувся вчасно до банку для блокування рахунка, втрачає шанс на повернення коштів, оскільки не виконав правил, передбачених договором обслуговування.

Потерпілий може повернути викрадені кошти, якщо шахрай скористався украденою або загубленою карткою в магазині. Втім, спочатку треба довести, що в магазині погано перевірили документи в момент оплати покупки.

У власника картки більше шансів отримати втрачені кошти, якщо незаконні операції здійснили з підробленою карткою, у той час як справжня була у власника, і набагато менше, якщо гроші було знято із загубленої картки в банкоматі. «Якщо вже ПІН-код виявився в шахрая, отже, клієнт зберігав його ненадійно», — міркують банкіри.

На практиці українські банки повертають своїм клієнтам украдені гроші рідко, зазвичай лише VIP-особам. Власникові картки слід пам’ятати, що під час внутрішнього розслідування служба безпеки фінустанови практично ніколи не звертається до правоохоронних органів, тому в разі зникнення великої суми грошей потрібно написати заяву в міліцію самостійно. Тоді ймовірність повернення вкрадених грошей теоретично зростає.

Обговорити на форумi

На початок

Версія для друку		Відправити поштою
Оцiнити статтю		Ваш коментар