Карткове шахрайство в Україні: шахраї змінюють способи роботи
Кількість шахрайських операцій з платіжними картками за минулий рік склала 77,6 тис. випадків. Для порівняння, в 2016 році їх було 95 тис. Зниження активності пояснюється тим, що банки неприпинно б’ються з технологічними методами шахрайства, найбільш популярними з яких є скіммінг (skimming) та кештреппінг (cash trapping). Все активніше банки впроваджують більш сучасні та захищені технології, наприклад, картки з чіпом, безконтактні технології зчитування і мобільні банківські додатки для смартфонів і інших гаджетів.
За даними Національного банку України, частка безготівкових розрахунків в Україні в першому півріччі 2018 виросла до 44,1%. Це на 5,8 відсоткових пункти більше в порівнянні з результатами першого півріччя 2017 (38,3%). Загальна кількість операцій з використанням банківських платіжних карток за результатами шести місяців 2018 становить 1 835,0 млн шт., А їх обсяг – 1 298,5 млрд грн. Ці показники в порівнянні з першим півріччям 2017 року зросли на 28,2 і 41,0% відповідно.
У той же час, необхідно відзначити, що істотно виріс показник шахрайських операцій, проведених через Інтернет. Фахівці стверджують, що шахраї “переключилися” з технологічних методів на психологічні. Так званий “соціальний інжиніринг” – комплекс методів управління діями людини з використанням особливостей людської психіки.
Найпростіший і “ефективний” спосіб – фальшивий інтернет-магазин. “Клієнт” приходить за великими знижками, дешевим товаром. Щоправда з умовою передплати. Адже товар “швидко розкуповують”. Або шахраї створюють сайт-клон, який призначений для переказу грошей з картки на картку. При цьому шахраї щедре платять за контекстну рекламу і піднімають фальшивий сайт в топ рейтингу пошуку, організують фальшиві позитивні відгуки. Користувачі, нажаль, вважають ці інструменти гарантією популярності і безпеки сайту.
Ще один поширений спосіб – фішинг (fishing). Це коли шахраї будь-яким способом змушують клієнта надати дані про картковий рахунок. Наприклад, на телефон приходить повідомлення, що карта заблокована і для її розблокування необхідно зателефонувати за вказаним номером телефону. Як правило, жертва, не замислюючись, відразу передзвонює. Трубку піднімають зловмисники, представляються співробітниками банку і дуже правдоподібно просять надати всю конфіденційну інформацію, нібито для проходження процедури ідентифікації особистості. Метод настільки ефективний, що користувачі карт примудряються продиктувати по телефону навіть дані карти, CVV2 / CVC2 та ПІН-коди.
У лідерах популярності шахраїв і сценарій “покупка по оголошенню”. Шахрай, граючи роль “покупця”, домовляється з продавцем про покупку і просить назвати номер карти, щоб перевести гроші. Далі продавцеві передзвонює вже другий шахрай, в ролі “співробітника банку”, який заявляє, що платіж неможливо здійснити без додаткових даних: ПІН-коду, CVV2 / СVC2-коду, терміну дії.
Наступний спосіб “соціальної інженерії” – це комп’ютерні віруси, банківські трояни. Так звані програми-шпигуни, які крадуть дані банківських карт і додатків, які працюють з цими картами. Після активації, вони або перекривають інтерфейс банківського додатка ідентичною копією свого, або перехоплюють СМС з банків з кодами підтвердження та списання коштів.
Повертаючись до способів захисту, в першу чергу необхідно розповісти про безконтактні картки. Це більш високий рівень захисту пластика. Адже, крім багаторівневого захисту та новітніх технологій, відомості картки завжди залишаються при власникові. Їх не потрібно нікуди передавати, немає необхідності зчитувати карту.
Але в цьому і криється слабке місце. Якщо картку буде викрадено або загублено, зловмисник легко може оплатити товари в будь-якому магазині, не маючи ніякої інформації про картку і її власника, поки, звичайно, володілець не заблокує картку. Зараз в Україні ПІН-код має бути введений у платежі понад 100 грн через систему PayPass від MasterCard і при платежі понад 500 грн при використанні PayWave від Visa.
Безконтактні картки – це RFID-технологія (Radio Frequency IDentification, “радіочастотна ідентифікація”). Тобто спосіб автоматичної ідентифікації об’єктів, при якому прочитуються радіосигнали або записуються дані, що зберігаються в так званих транспондерах (RFID-мітках). RFID-мітки в свою чергу інтегрують в собі чіп і антену для прийому-передачі сигналу. Коли антена потрапляє в поле зчитувача, генерується електричний струм, що живить чіп. Дальність дії зчитувача залежить від його типу і може складати від декількох сантиметрів до 30 метрів (зчитувачі дальньої ідентифікації). Для передачі даних використовується технологія NFC (Near field communication, “зв’язок ближнього поля”), яка працює на дистанції не більше 10 сантиметрів на частоті 13,56 МГц.
Дальність передачі даних через NFC – це по суті перший бар’єр захисту. Коли карта підноситься впритул до терміналу, зчитати інформацію неможливо. Але, якщо транзакція проходить на відстані, то шахраї вже придумали нестандартний зчитувач, який “працює” на дистанції. Також, іспанські хакери Рікардо Родрігес і Хосе Вілла вже придумали концепт троянця. Він перетворює смартфон користувача в щось на зразок ретранслятора NFC-сигналу. Це відбувається тоді, коли телефон і карта лежать разом. Через NFC можна вкрасти не саму “транзакцію”, вона досить надійно захищена шифруванням одноразовим кодом, а інформацію про банківську карту.
Стандарт EMV допускає зберігання в пам’яті чіпа карти даних в незашифрованому вигляді. До таких даних можуть ставитися номер карти, термін її дії, кілька останніх здійснених операцій і т.д. Яка саме інформація і як зберігається в чіпі, визначають платіжна система і банк-емітент. Ці дані можна вважати навіть за допомогою звичайного смартфона, встановивши на нього цілком легальне додаток (наприклад, Banking card reader NFC). Незважаючи на те, що ця відкрита, здавалося б, інформація не ставить під загрозу безпеку карти, реальність така, що все частіше багато інтернет-магазини перестали вимагати CVV2 / СVC2-код карти, який потрібно для онлайн-покупки.
Сьогодні реальність така, що навіть незважаючи на технологію з хорошим багатофакторним захистом, 100% гарантію захисту грошових коштів ніхто не дасть. Занадто багато все залежить ще й від додаткових налаштувань торгових точок, а також від персоналу, який приймає картки для платежів, не дотримуючись інструкції з безпеки.
Смартфон як засіб платежу – ще один спосіб захисту від NFC-шахрайства. Це коли замість картки використовують телефон, тобто мобільний програмний додаток, прив’язаний до рахунку карти. За допомогою мобільного пристрою з підтримкою безконтактних платежів передає дані про платіжну операції через канал, захищений за допомогою шифрування. Дані зберігаються в пам’яті смартфона або планшета. Така модель значно знижує ймовірність симуляції NFC-платежу і перехоплення даних зловмисниками. Якщо користувач не розблокував смартфон і не активував мобільний додаток, до якого прив’язана карта, атака з використанням ретрансляції неможлива.
Хоча і носії NFC теж уразливі, адже самі по собі гаджети не захищені. Не гарантують 100% безпеки й приймаючі пристрої: POS-термінали, банкомати, що також можуть бути заражені шкідливим програмним забезпеченням. Всі перераховані загрози стосуються не лише найпопулярніших карткових NFC-технологій PayWave і PayPass від платіжних систем Visa і MasterCard, а й систем, випущених на ринок мобільними операторами, таких як Vodafone Pay і “Смарт-гроші” ( “Київстар”), а також програмних рішень Apple Pay і Google Pay (G Pay), що отримали останнім часом широке поширення.
Підсумовуючи, зараз можна говорити, що сучасні технології частіше перемагають шахраїв. Також, суттєво знизився відсоток необізнаності самих користувачів, проте фахівці стверджують, що це заслуга гаджетів і встановлених додатків. Саме лінь користувачів стали в цьому питанні двигуном прогресу, адже прикласти до зчитувача смартфон набагато простіше, ніж шукати карту, забивати дані, перевіряти реквізити.
У свою чергу банківські працівники не перестають нагадувати про правила використання платіжних карток, про необхідність бути обачними і про важливість нерозголошення інформації. Так, до цих пір найпоширенішою помилкою серед власників карток є міфи, що якщо карткою користуватися менше, то і ризик шахрайства дорівнює нулю, або якщо гроші зняти з карти відразу і все сумою, то так вони будуть ціліше. На жаль, користувачі не розуміють, що навіть якщо зберігати карту під матрацом, то її дані успішно можна дізнатися через e-mail, “несподіваний дзвінок з банку”, помилкові сайти і т.п.. Навіть якщо на карті зовсім немає грошей, зловмисник може зняти кошти на суму кредитного ліміту. Адже більшість шахрайських операцій виникають саме через незнання, безграмотність або невпевненість користувача.
Автор: Кидалов Ігор
Submit your review | |
Переглядів: 9.8K
Коментарі