В Украине начали выявлять устройства нового поколения для считывания данных с платежных карт в банкоматах, и грабежей карточных счетов. В чем их отличия от старых моделей, можно ли от них защититься и как вообще обстоят дела с воровством данных о картах украинце в 2016 году UBR.ua расспросил у заместителя директора Форума безопасности расчетов и кредитов Украинской межбанковской ассоциации членов платежных систем ЕМА Олеси Данильченко.
Олеся, прежде чем рассказать о новых устройствах, оцените ситуацию по количеству мошеннических операций с платежными картами
Самый большой всплеск по числу таких транзакций был в 2013 году. С начала 2014 года, после известных событий, к нам стали реже ездить иностранные гастролеры, что и повлияло на снижение скимминговых инцидентов. Приезжали румыны, китайцы, болгары.
Теперь отмечаются больше сезонные всплески: в летние каникулы, накануне Нового года. Также мошенники предпочитают отдельные регионы. Летом — это Одесса, Херсон. Но в основном, это Киев и Харьков. Тенденции одинаковы в течении трех лет.
Какое снижение в цифрах?
По итогам 2013 года зафиксировано 293 случая выявления устройств компрометации данных — то есть считывания данных с карт при помощи скиммингового оборудования. По итогам 2014 года — 216 случаев. В 2015 году — только 89 случаев, а по итогам 3 кварталов 2016-го пока лишь 65.
Устройства нового поколения не развернут статистику?
Если не защищать ПИН-код. Новые устройства, в отличии от привычных "накладок" на банкоматы, монтируются внутрь картридера. Единственный признак их наличия — затрудненное введение карточки. Если при введении платежной карты в картридер ощущается какое-то сопротивление — лучше карту тотчас изъять и воспользоваться другим банкоматом. Новый вид устройства был обнаружен благодаря жалобе на затруднительное введение карты.
Что делать, если поздно сообразил, что с картой было что-то не так или появились сомнения в визуальной "идентичности" банкомата?
Если обнаружили на банкомате какие-то дополнительные устройства или появились подозрения в этом, звоните банку-эквайеру (установившему банкомат), укажите его адрес и причины своих подозрений. Если в таком банкомате воспользовались картой без применения защитных мер, ищите банкомат своего банка и меняйте ПИН-код. Непосредственно карточку стоит менять только в том случае, если банк не предоставляет услугу смены ПИН-кода.
О каких защитных мерах идет речь?
Все должны запомнить — единственная защитная мера, которую надо применять при каждом снятии налички — прикрывать рукой с любым подручным средством клавиатуру при введении ПИН-кода. Это защищает от мини видеокамер мошенников. Их крепят вверху на подвесных панелях или маскируют в небольших боксах с рекламной продукцией у банкоматов. Всегда прикрывайте введение ПИНа. Без него мошенник не сможет воспользоваться считанными данными с платежной карты.
Какие новые веяния на рынке мошеннических операций?
В Украине, как и в Европе, уменьшается активность применения скимминговых устройств. Теперь более актуален другой вид мошенничества — кэш-треппинг. На отверстие для выдачи наличных мошенники устанавливают дополнительные планки со скотчем с обратной стороны. При операциях снятия наличных, купюры липнут к планке. Человек, не получив наличные и списав все на проблемы с банкоматом, уходит. Мошенник тут же снимает планку и забирает деньги.
Что делать, если банкомат не выдал купюры?
Если на экране прошла информация о проведении операции, а деньги не выданы, ни в коем случае не отходите от банкомата. В первую очередь звоните по указанному на банкомате телефону. Технический сбой в call-центре увидят и средства будут возвращены на счет. Если это не сбой системы (подтвердится выдача средств), оператор посоветует проверить банкомат. Надо убедиться, а не прилипли ли деньги к таким планкам.
Пытаться оторвать планку?
Банкомат — это цельное устройство, и все дополнительные детали, приложив усилия, можно отсоединить. Они крепятся зачастую на клей. К тому же, в районе отверстия для выдачи наличных есть шторка, которая открывается при выдаче налички. Если установлены мошеннические приспособления, то вы не увидите эти открывающиеся шторки. Значит с банкоматом не все в порядке.
Деньги в банкомате могут закончиться…
Тогда на экране появится сообщение о невозможности выполнить операцию. А если банкомат показывает, что операция прошла успешно и предлагает забрать деньги и карточку, а наличных он не выдал, то это должно вызывать наибольшие подозрения. Это мошенничество.
И какая статистика по кэш-треппингу?
Пока рост. В 2013 году было только 6 случаев, а по итогам 2015 — уже 989 случаев. Хотя банки тратятся на оснащение банкоматов анти-треппинговыми устройствами. К сожалению, в нашей стране совершенству мошенников нет предела. Они болгарками срезают эти анти-треппинговые накладки. Сперва проводят пробный тест, удаляя небольшую часть. Если не сработала сигнализация и нет охраны, защитное устройство обрезают полностью и устанавливают "левое" оборудование.
Мошенники выбирают какие-то определенные банки, на чьи банкоматы устанавливать считывающие устройства?
Скорее, выбирают модели банкомата, на которые приобретают или изготавливают оборудование. Если начинают устанавливать устройства, например, на модели компании Wincor Nixdorf — самые популярные в Украине, то и попадают банки, пользующиеся этими банкоматами. Например, банкоматы Wincor стоят у Приватбанка, ПУМБа, Ощадбанка.
Что больше всего "бомбили" в 2016 году?
В первом квартале больше всего случаев выявлено уже по моделям NCR, которые на втором месте по популярности. Здесь могу только предположить, что накладки устанавливались на банкоматах Райффайзен Банк Аваль, у которого больше всего таких банкоматов. То есть работала группа, которая специализировалась на банкоматах компании NCR. Хотя объективно в Украине больше всего банкоматов Wincor Nixdorf.
Где обналичиваются фиктивные карты?
Если считаны данные с карты с магнитной полосой, то обналичивание проводится в Украине по регионам, где устанавливались скимминговые устройства. Но в основном в Киеве. Были случаи в Одессе и Херсоне. По остальным городам очень редко фиксируются прецеденты. Однажды, снятие произошло в Черновцах.
Но в основном, обналичивание проводится в США и Таиланде. Особенно, если карты чиповые. Так как в Украине нельзя провести операции по чиповым картам из-за работы механизма переноса ответственности. Но есть ряд стран, где не введен этот принцип — США и страны тихоокеанского региона. Там чиповые карты и обналичивают. (Принцип переноса ответственности: ответственность по несанкционированным операциям карты переносится на того участника, который не обеспечил внедрение чиповой технологии. И в случае несанкционированного использования карты в банкомате, не оснащенном соответствующей технологией, ответственность за потери будет нести банк-эквайер, а не эмитент карты).
Но VISA, MasterCard — американские компании. И их "родина" это правило не ввела?
Да. Поэтому все европейские банки страдают от обналичивания в США и Таиланде.
Кроме накладок какие методы считывания данных популярны в Украине?
Сравнительно новый метод считывания данных с карт — ивс-дроппинг. Злоумышленники высверливают отверстие под картридером, подключаются к коммуникационным каналам банкомата для перехвата данных, а отверстие маскируют наклейкой с логотипом банка. Визуально пользователь не видит повреждений. Единственное, что может привлечь внимание — подсвечивание через просверленное отверстие через накладку. Но при плохом освещении и этого не заметно.
Если "гастролеры" не посещают Украину, то работают только местные умельцы?
Да. И наши более изощренные — сами делают устройства. Когда к нам наезжали румыны и китайцы, то они устанавливали купленные скимминговые устройства. А наши изготавливают свое оборудование, постоянно его совершенствуя и адаптируя едва ли не индивидуально под банкомат.
Это следствие того, что у украинские "спецы" имеют хорошую IT-подготовку. Поэтому у нас много видов логических атак на банкоматы. Логические атаки — это установление программного обеспечения на банкомат, благодаря которому банкомату посылается команда на выдачу налички. В прошлом году было около 30 успешных и неуспешных инцидентов. Пострадало 11 банков.
То есть в Украине интеллектуальные воры…
И это не самое плохое. В Голландии, например, предпочитают взрывать банкоматы. И дело не только в том, что уничтожается еще и оборудование помимо денег, страдают граждане, находящиеся возле взрывающихся банкоматов. Поэтому огромные средства вкладывают в защиту банкоматов от взрывных устройств (чтобы взрывчатка не взорвалась).
В мире есть страны, где не воруют данные и средства с карт?
Норвегия, Бельгия, Финляндия. В этих странах единичные случаи. Но у них очень жесткое законодательство: как в части уголовной ответственности, так и в части требований к банкам по обеспечению безопасности.
Там не встретишь случаев — словили, в СИЗО подержали и отпустили. И защиту банки не устанавливают на свое усмотрение, а все жестко регламентируется: сейф должен быть определенного класса с защитой от взрывных устройств. А банкоматы должны быть оборудованы дорогими антискимминговыми устройствами, стоимость которых может быть и 1 тыс. евро.
Такое активное устройство определяет установку любого "инородного" оборудования. Есть еще пассивное антискимминговое оборудование, которая мешает злоумышленнику установить что-то поверх деталей банкомата и его стоимость около 100 евро.
А стоимость оборудования для воровства?
Может и до $2 тыс. доходить. Поэтому злоумышленники за этим оборудованием и возвращаются. Учитывая, что наши умельцы стали сами изготавливать оборудование, то их первичная "инвестиция" может быть меньше.
Вообще изготовление скиммингового оборудования — это отдельный бизнес. Часто, те кто его разрабатывает, не пользуются им на практике. Они изготавливают оборудование, могут снимать информацию в кодированном виде и продают желающим. Мошенники из Румынии всегда покупают готовое оборудование. В Европе чаще всего используют оборудование, изготовленное в Болгарии. А устанавливают эти устройства уже другие люди, колеся по Европе.
Какая подготовка необходима для установки "левого" оборудования?
В прошлом году у нас задержали группу, осуществляющую логические атаки на банкоматы для изъятия налички. На их "базе" было 3 вида банкоматов, на которых они оттачивали свое мастерство, тестировали устройства, разрабатывали под каждый вид свой софт. Эта группа изловчилась до того, что устанавливала свое считывающее устройство на заднюю панель банкомата, предварительно вскрывая ее.
Но задняя панель банкомата в помещении, где должна была сработать сигнализация…
Они заходили в помещение по несколько раз. Срабатывала сигнализация, они уходили, приезжала охрана и не никого не найдя, уезжала. А они возвращались. Охрана приезжала по 3-4 раза.
Еще одна европейская новинка 2016-ого — блек-боксы. В этом случае высверливают отверстие не вскрывая банкомат, и подключают свой компьютер для проведения команды по выдаче налички. От исполнителя требуется понимание только того, где просверлить и какие провода отсоединить.
То есть бороться с воровством с карт бесполезно?
Когда все карты будут даже не комбинированные, а исключительно чиповые, прекратят принимать карты с магнитной полосой, когда все страны введут принцип переноса ответственности, возможно получим существенный эффект.







