Спецпроект

Інтернет і 40 розбійників

Олена СТРУК, Микола ТИМОШЕНКО

Карткові шахраї крадуть в українців у мережі близько $100 тис. на рік. Щоб скористатися чужими грішми, зловмисникові зовсім не обов’язково підробляти платіжну картку

ШАХРАЙСТВО ДРУГЕ
ІНТЕРНЕТ-КАРДИНГ

«Блукаючи інтернетом, я якось натрапила на англомовну веб-сторінку, де прочитала спокусливе повідомлення: «Ви стали мільйонним відвідувачем сайту. Зв’яжіться з нами за телефоном, щоб отримати приз». Як приз пропонували $50 тис. Не довго думаючи, схопила слухавку і додзвонилася з першого разу. Мій співрозмовник говорив англійською. Він ще раз оголосив, що я маю отримати винагороду, яку перекажуть на мій рахунок, якщо я продиктую номер кредитної картки. Тоді, п’ять років тому, від шахрая, яким і був мій співрозмовник, мене врятувала лише відсутність кредитки. Платою за довірливість став рахунок за міжнародний дзвінок», — розповідає студентка Київського національного університету імені Тараса Шевченка.

Щоб скористатися чужими грішми, зловмисникові зовсім не обов’язково підробляти платіжну картку. Достатньо роздобути її реквізити в мережі й витягнути з неї гроші, наприклад, зробивши покупку в інтернет-магазині. Власники карток дізнаються про несанкціоновану транзакцію не відразу, а тільки отримавши банківську виписку з незнайомою угодою. За такою простою схемою, приміром, тільки Велика Британія щороку втрачає понад $200 млн.

Дізнавшись номер картки, термін її дії, прізвище та ім’я власника, а також СVV-код (тризначний код на картці для додаткового захисту кредитки), шахрай отримує доступ до чужого рахунка. Для підробки картки й отримання за нею готівки в банкоматах або торговельних точках цієї інформації недостатньо, але цілком достатньо, щоб розплатитися за покупку в мережі.

За словами одного з хакерів, бум карткового шахрайства в інтернеті у США та Західній Європі припав на 2000 рік. Зловмисники почувалися в мережі відносно безпечно. У той час мережевий кардинг за своїми обсягами не поступався операціям з підробленими картками, але останніми роками він дещо поступився позиціями, передусім через ускладнення механізмів переведення грошей у готівку в інтернеті.

В Україні випадки мережевого шахрайства з українськими картками почастішали 1,5-2 роки тому. Здебільшого таким бізнесом промишляють дрібні злочинці, які заробляють в інтернеті свої перші гроші й здобувають досвід. Правоохоронним органам важко відстежити такі злочини, оскільки жертва і зловмисник часто перебувають у різних країнах.

Де взяти

У період розквіту шахрайства з картками в інтернеті ловкачі добували реквізити карток, зламуючи бази даних клієнтів інтернет-магазинів або створюючи підставні віртуальні магазини, казино і порносайти. Так, наприкінці 1999 року відомому хакеру на прізвисько Максус (за даними ФБР, ним виявився Максим Іваньков) вдалося украсти з бази даних покупців великого американського віртуального торговельного центру CD Universe інформацію про номери 300 тис. кредиток. Він попався, після того як вимагав від СD Universe $100 тис. відступних за вкрадену інформацію. Компанія відмовилася співпрацювати з хакером, і дані про номери карток 25 тис. клієнтів з’явилися у вільному доступі в інтернеті.

За останні 5 років одним із найпоширеніших способів отримання реквізитів на Заході став фішинг. Шахраї створюють точні копії веб-сторінок, приміром, банків або платіжних систем, щоб змусити користувача ввести свої особисті, фінансові дані або пароль. «Для збирання інформації вони використовують електронні розсилки: у поштовому листі зловмисники, наприклад, повідомляють власнику картки, що на сервері банку нібито стався збій. Для відновлення бази даних клієнта просять заповнити анкету на сайті, при цьому в листі наводиться посилання не на офіційну сторінку сервісу, а на її точну копію. Так залишена користувачем інформація потрапляє до шахраїв», — розповідає начальник відділу моніторингу клієнтських операцій Укрсоцбанку Оксана Задорожна.

За даними дослідної компанії Cloudmark, щодня зловмисники роблять 250 тис. спроб роздобути інформацію за допомогою фішингу. У Великій Британії лише за один місяць онлайн-злодії атакують поштові скриньки британців трьома тисячами електронних листів. Але найбільше від фішингу потерпають у США, де за підсумками минулого року було зареєстровано майже 60% сайтів-клонів, створених зловмисниками для одержання інформації. У 2007-му, за даними дослідження компанії Gartner, США втратили від фішингу близько $2 млрд. У середньому фінансові збитки жертви фішингу становили $890.

«Цей спосіб винайшли близько 5 років тому американські банкіри, що мали доступ до дампів карток, які вони постачали кардерам. Оскільки дані без ПІН-коду коштували на ринку майже вдесятеро дешевше, вони вигадали спосіб, як виманювати у клієнтів їхні коди: розсилали власникам карток персональні листи від імені банку, вказуючи в них реальні ім’я і прізвище клієнта. Американці, не сумніваючись в автентичності послань, заповнювали всі необхідні форми», — розповідає кардер. — Потім цю ідею перейняли інтернет-шахраї».

Проте замість індивідуального листування вони почали здійснювати масові розсилки на тисячі електронних адрес, внаслідок чого щодня з’являється більш ніж тисяча унікальних фішингових повідомлень. Утім, останнім часом, щоб отримати інформацію хоча б про два номери картки, потрібно розіслати близько 1 млн листів. Ефективність збирання інформації через фальшиві веб-сайти знижується завдяки роз’яснювальній роботі банків. Тому зловмисники переключилися на поширення за допомогою листів вірусу «троян», який проникає в комп’ютер і передає секретні дані, щойно клієнт зв’язується зі своїм банківським рахунком.

Похід по магазинах

Кардери вигадали десятки схем використання даних карток в інтернеті. Зазвичай мережеві шахраї обнуляють рахунки, роблячи покупки в інтернет-магазинах. Цей спосіб був дуже популярний серед перших українських і російських кардерів, які купували ноутбуки, телефони і коштовності на західних віртуальних майданчиках. Торговельні платформи тоді лише експериментували з прийомом платіжних карток, і системи їх захисту були дуже слабкими. Зловмисники без особливих зусиль замовляли товар, зателефонувавши і продиктувавши номер картки, згенерований спеціальною програмою, а через кілька тижнів отримували продукцію поштою. Таким простим способом кардери заробляли сотні тисяч доларів на місяць.

У середині 90-х про нове явище написали кілька російських видань — магазини пережили справжню атаку шахраїв з Росії та України. З 1996 року багато хто був змушений припинити поставки товарів у Росію, а з 2000-го — в Україну. Крім того, при покупці на суму більш ніж $20 менеджери магазинів почали ретельно перевіряти клієнтів. У деяких магазинах перед відправкою товару покупця просили надіслати відскановане зображення картки, паспорта та інших документів, підробка яких потребує великих часових і фінансових витрат.

Нововведення ускладнили життя інтернет-шахраям, яким довелося винаходити нові способи крадіжок із чужих рахунків. Приміром, кілька років тому кардери створювали платні порносайти, реєстрували на них власників платіжних карток і списували з останніх абонплату. «Але цей вид шахрайства став менш популярним після впровадження послуги sms-банкінгу, що дозволяє клієнтові відстежувати стан рахунка», — розповідає кардер. Натомість процвітають інші, наприклад, можна отримати чужі гроші, програвши всі доступні на картці кошти в інтернет-казино або купивши у підставного продавця товар на віртуальному аукціоні. Для цього зловмисник реєструється на сайті інтернет-аукціону як продавець і виставляє на продаж товар, потім реєструється як покупець, використовуючи реквізити власника кредитної картки. Далі йому залишається лише виграти аукціон, запропонувавши за товар найвищу ціну. Покупку оплачують кредиткою, а товар нікуди не відправляють.

Дрібний злодій

Украдені дані карток продають на спеціальних сайтах, де їх і купують українські шахраї. Реквізити однієї картки без ПІН-коду коштують на ринку $1,5-2. Досвідчені інтернет-кардери, яких в Україні залишилося не так багато — близько тисячі, воліють працювати з американськими кредитками. На місяць вони заробляють до $5 тис.

Більшість карткових шахраїв у мережі — це дрібні злодії, як правило, хлопці 20 років. Начитавшись статей про кардинг, вони вирішили, що в інтернеті можна легко заробити. «Але вкрасти в іноземців юним злодіям зазвичай не вдається, оскільки схеми, описані в інтернеті, вже десять років як застаріли», — розповідає екс-хакер.

За словами президента міжбанківської системи електронної доставки й оплати рахунків Portmone.com Ігоря Горіна, дрібні шахраї дедалі частіше стали знімати гроші з рахунків співвітчизників. Спочатку вони переводили кошти в готівку через західні інтернет-магазини, а тепер користуються послугами українських віртуальних торговельних майданчиків, які з кінця 2007 року почали приймати до оплати пластикові картки. Банкіри без ентузіазму сприйняли цю новину. Вони дуже насторожено ставляться до розрахунків в інтернеті й радять своїм клієнтам спеціально для роботи в мережі зробити окрему картку з невеликою сумою доступних на ній грошей.

Попри зростання кількості злочинів, такі шахраї завдають порівняно невеликих збитків, позаяк рідко роблять покупки на суми більш ніж $100-200. Загалом оцінити обсяги шахрайства з українськими картками в інтернеті досить складно. У нашій країні не зафіксовано жодного випадку затримання інтернет-кардера. На думку екс-хакера Nerona, на українцях карткові шахраї заробляють небагато — обороти їхнього бізнесу не перевищують $100 тис. на рік.

Ситуація може змінитися з розвитком інтернет-банкінгу — послуги, що дозволяє клієнтові керувати рахунком через мережу (блокувати його, купувати або продавати валюту, здійснювати розрахунки за товари і послуги). На Заході користувачі послуги найчастіше стають мішенню мережевих зловмисників. Атакам уже піддавалися клієнти російських банків. Приміром, торік користувачі «Альфа-клієнт On-line» російського Альфа-Банку двічі отримували листи нібито від імені банку з проханням підтвердити логін і пароль в онлайн-системі. Банкіри впевнені, що з поширенням послуги спроби роздобути конфіденційні дані частішатимуть.

Для України інтернет-банкінг — відносно нове явище. Зараз ним користуються щонайбільше 2% клієнтів фінустанов. «Розвиток інтернет-банкінгу не досяг у нашій країні таких масштабів, як в Америці чи навіть Росії, й українські фінустанови не фіксували випадків шахрайства у цьому сегменті», — стверджує начальник управління карткового бізнесу VAB Банку Олена Соболєва-Терещенко.

Утім, Україна, де кількість клієнтів інтернет-банкінгу щороку зростає на 20-30%, має високі шанси зіткнутися з такою проблемою, оскільки поки що не всі банки можуть гарантувати достатню безпеку послуги. Доступ до рахунка клієнта зараз захищають тільки логін і пароль, хоча у світі вже давно впроваджують флеш- або сеансові ключі (міні-програми, які ідентифікують електронний підпис клієнта).

Обізнана людина

Не спійманий — не злодій
Чому карткові шахраї у більшості випадків уникають покарання

Сергій ЛЕБІДЬ,
заступник начальника департаменту з боротьби з економічними злочинами МВС України

— У 2007 році правоохоронні органи виявили 205 злочинів у сфері електронних платежів, 99 із них пов’язані з використанням підроблених карток. За переведення в готівку грошей у банкоматах за фальшивими картками торік засудили лише чотирьох осіб, двоє з них потрапили до в’язниці, ще двоє отримали строк умовно.

Банки неохоче діляться з правоохоронними органами інформацією про зловживання. Факти шахрайства підривають їхній авторитет, тому його керівництво звертається до нас по допомогу в крайніх випадках, наприклад, у разі масового зняття грошей з рахунків групою шахраїв.

Зазвичай ми спочатку затримуємо людей, що знімали гроші в банкоматі або купували товари за фальшивими картками, і поетапно виходимо на виробників карток. Останніх виявити і покарати найскладніше. Сьогодні, згідно з чинним законодавством, притягнути людину до кримінальної відповідальності можна, лише зафіксувавши матеріальну шкоду, завдану потерпілому. А довести, що викрадення інформації про картку та її виготовлення призвело до втрат, вдається не завжди.

Ще складніше викрити шахрая, що використовував картку для розрахунку в мережі. Сліди таких злочинів важко фіксувати, оскільки потерпілий і зловмисник зазвичай є громадянами різних країн. Це ускладнює документування злочину і знижує шанси притягнення шахрая до відповідальності.

Зловмисників, що працюють через інтернет, за останні роки не арештовували жодного разу. По-перше, до нас із цього приводу практично не звертаються. По-друге, суми, які шахраї знімають із карток через інтернет, невеликі. Порушити кримінальну справу за відповідною статтею можна, якщо збиток становить щонайменше 1 тис. грн.

Обговорити на форумi

На початок

Версія для друку		Відправити поштою
Оцiнити статтю		Ваш коментар