Карточное мошенничество в Украине: мошенники меняют способы работы

Количеству мошеннических операций с платежными карточками за прошлый год составили 77,6 тыс. случаев. Для сравнения, в 2016 году их было 95 тыс. Снижение активности объясняется тем, что банки неутомимо сражаются с технологическими методами мошенничества, самыми популярными из которых являются скимминг (skimming) и кештреппинг (cash trapping). Все активней банки внедряют более современные и защищенные технологии, например, карточки с чипом, бесконтактные технологии считывания и мобильные банковские приложение для смартфонов и других гаджетов.

По данным Национального банка Украины, доля безналичных расчетов в Украине в первом полугодии 2018 выросла до 44,1%. Это на 5,8 процентных пункта больше по сравнению с результатами первого полугодия 2017 (38,3%). Общее количество операций с использованием банковских платежных карточек по результатам шести месяцев 2018 года составляло 1 835,0 млн шт., а их объем — 1 298,5 млрд грн. Эти показатели по сравнению с первым полугодием 2017 года выросли на 28,2 и 41,0% соответственно.

В то же время, необходимо отметить, что существенно вырос показатель мошеннических операций, производимых через Интернет. Специалисты утверждают, что мошенники “переключились” с технологических методов на психологические. Так называемый “социальный инжиниринг” — комплекс методов управления действиями человека с использованием особенностей человеческой психики.

Самый простой и “эффективный” способ — фальшивый интернет-магазин. “Клиент” приходит за большими скидками, дешевый товар, “вкусными” скидками. Правда с условием предоплаты. Ведь товар “быстро раскупают”. Либо мошенники создают сайт-клон, который предназначен для перевода денег с карты на карту. При этом мошенники щедро платят за контекстную рекламу и поднимают фальшивый сайт в топ рейтинга поиска, организуют фальшивые позитивные отзывы. Пользователи, к сожалению, считают эти инструменты гарантией популярности и безопасности сайта.

Еще один распространенный способ — фишинг (fishing). Это когда мошенники любым способом заставляют клиента предоставить данные о карточном счете. Например, на телефон приходит сообщение, что карта заблокирована и для ее разблокировки необходимо позвонить по указанному номеру телефона. Как правило, жертва, не задумываясь, сразу перезванивает. Трубку поднимают злоумышленники, представляются сотрудниками банка и очень правдоподобно просят предоставить всю конфиденциальную информацию, якобы для прохождения процедуры идентификации личности. Метод настолько действенный, что пользователи карт умудряются продиктовать по телефону даже данные карты, CVV2/CVC2 и ПИН-коды.

В лидерах популярности мошенников и сценарий “покупка по объявлению”. Мошенник, играя роль “покупателя”, договаривается с продавцом о покупке и просит назвать номер карты, чтобы перевести деньги. Далее продавцу перезванивает уже второй мошенник, в роли “сотрудника банка”, который заявляет, что платеж невозможно совершить без дополнительных данных: ПИН-кода, CVV2/СVC2-кода, срока действия.

Следующий способ “социальной инженерии” — это компьютерные вирусы, банковские троянцы. Так называемые программы-шпионы, ворующие данные банковских карт и приложений, которые работают с этими картами. После активации, они или перекрывают интерфейс банковского приложения идентичной копией своего, или перехватывают СМС из банков с кодами подтверждения и списания средств.

Возвращаясь к способам защиты, в первую очередь необходимо рассказать о бесконтактных картах. Это более высокий уровень защиты пластика. Ведь кроме многоуровневой защиты и новейших технологий, данные карточки всегда остаются при владельце. Их не нужно никуда передавать, нет необходимости считывать карту.

Но в этом и кроется слабое место. Если карта будет украдена или утеряна, злоумышленник легко может оплатить товары в любом магазине, не имея никакой информации о карте и ее хозяине, пока, конечно, владелец не заблокирует карту. Сейчас в Украине ПИН-код необходимо вводить при платежах свыше 100 грн через систему PayPass от MasterCard и при платежах свыше 500 грн при использовании PayWave от Visa.

Бесконтактные карты — это RFID-технология (Radio Frequency IDentification, “радиочастотная идентификация”). То есть способ автоматической идентификации объектов, при котором считываются радиосигналы или записываются данные, хранящиеся в так называемых транспондерах (RFID-метках). RFID-метки в свою очередь интегрируют в себе чип и антенну для приема-передачи сигнала. Когда антенна попадает в поле считывателя, генерируется электрический ток, питающий чип. Дальность действия считывателя зависит от его типа и может составлять от нескольких сантиметров до 30 метров (считыватели дальней идентификации). Для передачи данных используется технология NFC (Near field communication, “связь ближнего поля”), которая работает на дистанции не более 10 сантиметров на частоте 13,56 МГц.

Дальность передачи данных через NFC — это по сути первый барьер защиты. Когда карта подносится вплотную к терминалу, считать информацию невозможно. Но, если транзакция проходит на расстоянии, то мошенники уже придумали нестандартный считыватель, который “работает” на дистанции. Также, испанские хакеры Рикардо Родригес и Хосе Вилла уже придумали концепт троянца. Он превращает смартфон пользователя в нечто вроде ретранслятора NFC-сигнала. Это происходит тогда, когда телефон и карта лежат вместе. Через NFC можно украсть не “саму транзакцию”, она достаточно надежно защищена шифрованием одноразовым кодом, а информацию о банковской карте.

Стандарт EMV допускает хранение в памяти чипа карты данных в незашифрованном виде. К таким данным могут относиться номер карты, срок ее действия, несколько последних совершенных операций и т.д. Какая именно информация и как хранится в чипе, определяют платежная система и банк-эмитент. Эти данные можно считать даже с помощью обычного смартфона, установив на него вполне легальное приложение (например, Banking card reader NFC). Несмотря на то, что эта открытая, казалось бы, информация не ставит под угрозу безопасность карты, реальность такова, что все чаще многие интернет-магазины перестали требовать CVV2/СVC2-код карты, который требуется для онлайн-покупки.

Сегодня реальность такова, что даже несмотря на технологию с хорошей многофакторной защитой, 100% гарантию защиты денежных средств никто не даст. Слишком много все зависит еще и от дополнительных настроек торговых точек, а также от персонала, который принимает карты для платежей, не соблюдая инструкцию по безопасности.

Смартфон как средство платежа — еще один способ защиты от NFC-мошенничества. Это когда вместо карточки используют телефон, то есть мобильное программное приложение, привязанное к счету карты. С еuj помощью мобильное устройство с поддержкой бесконтактных платежей передает данные о платежной операции через канал, защищенный при помощи шифрования. Данные хранятся в памяти смартфона или планшета. Такая модель значительно снижает вероятность симуляции NFC-платежа и перехвата данных злоумышленниками. Если пользователь не разблокировал смартфон и не активировал мобильное приложение, к которому привязана карта, атака с использованием ретрансляции невозможна. Хотя и носители NFC тоже уязвимы, ведь сами по себе гаджеты не защищены. Не гарантируют 100% безопасности и принимающие устройства: POS-терминалы, банкоматы, которые также могут быть заражены вредоносным программным обеспечением. Все перечисленные угрозы касаются не только самых популярных карточных NFC-технологий PayWave и PayPass от платежных систем Visa и MasterCard, но и систем, выпущенных на рынок мобильными операторами, таких как Vodafone Pay и “Смарт-гроші” (“Киевстар”), а также программных решений Apple Pay и Google Pay (G Pay), получивших в последнее время широкое распространение.

Подытоживая, сейчас можно говорить, что современные технологии чаще побеждают мошенников. Также, существенно снизился процент безграмотности самих пользователей, однако специалисты утверждают, что это заслуга гаджетов и установленных приложений. Именно лень пользователей стали в этом вопросе двигателем прогресса, ведь приложить к считывателю смартфон намного проще, чем искать карту, вбивать данные, перепроверять реквизиты.

В свою очередь банковские работники не перестают напоминать о правилах использования платежных карт, о необходимости быть осмотрительными и важности неразглашения информации. Так, до сих пор самое распространенное заблуждение среди держателей карт являются мифы, что если картой пользоваться меньше, то и риск мошенничества равен нулю, или если деньги снять с карты сразу и все суммой, то так они будут целее. К сожалению, пользователи не понимают, что даже если хранить карту под матрасом, то ее данные успешно можно узнать через e-mail, “неожиданный звонок из банка”, ложные сайты и т.п. Даже если на карте совсем нет денег, злоумышленник может снять средства на сумму кредитного лимита. Ведь большинство мошеннических операций возникают именно на незнании, безграмотности или неуверенности пользователя.

Автор: Кидалов Игорь

Share Button

Click here to submit your review.


Submit your review
* Required Field

RSS HG.org – Legal Articles

  • I Blew Under the Legal Limit - Now What Will Happen to My DUI Case? 28.06.2018
    By Law Office of John Rutkowski - Clearwater, FloridaHow can the state prove a DUI when there is a low BAC or no BAC? Is there a possibility of a reduction of the charge? […]
  • What Constitutes Workplace Harassment and Discrimination? 28.06.2018
    By Mitchell L. Feldman Esq. PA - Tampa, FloridaDiscrimination and sexual harassment are widely discussed in the media, and these behaviors are the catalyst for many high-profile lawsuits. In the work environment, discrimination or harassment based on race, gender and other specific categories is prohibited under federal and state employment laws. […]
  • California's Lemon Law: What Active Service Members Should Know 28.06.2018
    By Neale & Fhima, LLP - Dana Point, CaliforniaA lesser known benefit of the California Lemon Law is its application to members of the U.S. military. For most lemon law claims to be valid in California, the vehicle must have been purchased in the state of California. But this is not the case if you are in the United States Armed Forces. […]
  • 31 Insurance Terms You Need to Know if You've Been in a Car Accident 28.06.2018
    By Coye Law Firm - Orlando, FloridaCar Accident Insurance Terms you'll need to know when dealing with your insurance company after an accident in Florida. […]
  • Insurance Adjuster Wants to Meet with Me to Settle My Car Accident Case. What Should I Do? 27.06.2018
    By Lem Garcia Law - West Covina, CaliforniaIf an insurance adjuster wants to settle your car accident case with you, you should talk to an experienced personal injury attorney first. An experienced personal injury attorney will advise you whether it is a good idea to meet with the insurance adjuster or not. […]

SUBSCRIBE TO SITE NEWS

Enter your email address:

 Subscribe in a reader