Пластиковые войны

Денис Зенкин
директор по маркетингу компании Perimetrix

Пластиковые платежные карты - это удобно. Зачем носить с собой гору наличных, думать о том, как разменять купюры, или пересчитывать сдачу не отходя от кассы, если можно просто провести карточкой по специальному устройству? Зачем простаивать ценное время в очереди за зарплатой, когда можно лежать на диване и ждать SMS с уведомлением о поступившей на карточку сумме? Затем, чтобы быть уверенным в собственной безопасности.

К сожалению, современные пластиковые платежные карты - это небезопасно. 9 ноября прошлого года данный тезис осознали 137 клиентов банка RBS Worldpay, когда организованная группа мошенников в один момент сняла с их пластиковых карт более 9 млн долларов. Украв информацию о пластиковых картах банка, мошенники изготовили дубликаты и одновременно подошли к банкоматам в разных городах мира, не представив полиции ни единого шанса. Зато они оставили прекрасный сюжет для съемок очередного голливудского блокбастера.

Сегодня на рынке пластиковых карт наблюдается настоящая война между мошенниками (кардерами) и представителями крупнейших платежных систем. Эта война почти незаметна простому держателю карты, поскольку вероятность компрометации именно его счета пока еще невелика. Однако если мировые платежные системы не подумают о безопасности транзакций, развитие рынка банковских карт может пойти в прямо противоположном направлении.

Карты и карточные аферы: все больше адептов

Объем и темпы роста российского рынка платежных карт действительно впечатляют. Если лет десять назад карта являлась едва ли не предметом роскоши, статуса и достатка, то сегодня она стала предметом обихода. Картами сегодня успешно пользуются даже пенсионеры: по данным РБК, на начало 2009 г. в России было эмитировано почти 72 млн карт. И каждая из них находится под серьезной угрозой, поскольку является, по сути, всего лишь тиражируемым носителем информации.

Согласно статистике американской компании Actimize, практически 70% финансовых организаций зафиксировали рост количества "карточных" афер в 2008 г. При этом более 80% представителей банков предполагают, что в 2009 г. этот рост неизбежно продолжится (рис. 1). А по оценкам российской Ассоциации региональных банков России (АРБР), годовой ущерб от действий кардеров на территории РФ уже превысил 1 млрд руб. Можно не сомневаться, что в будущем эта сумма только вырастет.

Классическое карточное мошенничество завязано на слабости аутентификационный системы банкоматов или Интернет-магазинов. Когда банкомат выдает деньги держателю карты, он не может проверить его паспорт. Отсюда следует, что для успешного мошенничества достаточно изготовить дубликат карты. А чтобы сделать дубликат, достаточно иметь необходимую информацию о счете клиента, ведь карта - это всего лишь носитель этой информации. В случае онлайн-покупок даже дубликата делать не нужно, достаточно всего лишь требуемого информационного комплекта.

Таким образом, любое "карточное" мошенничество является не чем иным, как кражей информации. Данное определение позволяет провести декомпозицию карточных афер на две основные категории в зависимости от источника данных. Если информация крадется непосредственно с карты или предоставляется клиенту, мы имеем аферу "низкого" уровня, а если она "утекает" из банка или процессинга - возникает "высокоуровневый" инцидент. Оба обозначенных типа мошенничества уже получили широкое распространение и вполне заслуживают того, чтобы остановиться на них подробнее.

Аферы "низкого" уровня: скимминг, фишинг и все-все-все

Едва ли не каждый день новостные ленты сообщают нам о новых случаях низкоуровневых карточных афер - с использованием скимминговых технологий, фишинга или вредоносного ПО. Поскольку в этих случаях банк не задействован, то ответственность за аферы "низкого" уровня почти всегда лежит на держателе карты, который в подавляющем большинстве случаев не может затребовать с банка возмещение ущерба. В данном случае спасение утопающих - дело рук самих утопающих.

Чтобы не попасться на удочку кардеров, каждый держатель карты должен знать несколько основных способов хищения карточных данных непосредственно у клиента. Все эти способы можно условно разделить на две части:

• "Технологические" аферы предполагают копирование данных непосредственно с карты держателя. Как правило, такое копирование происходит в тех местах,  где используется карта, - в банкоматах, ресторанах и чуть реже - в супермаркетах.
• "Психологические"  аферы предполагают,  что держатель карты самостоятельно предоставит злоумышленникам информацию о ней. Такого рода мошенничество может быть реализовано посредством фишинговой рассылки, внедрения вредоносного ПО и даже банальных методов социальной инженерии.   Кроме того,  данные  могут быть украдены  в рамках   процесса   обработки вполне легальной онлайн-транзакции.

Одним из наиболее распространенных типов технологических афер является скимминг - установка на банкоматы специальных устройств, перехватывающих данные с магнитной полосы карты, а также введенный с клавиатуры PIN-код. Оборудование для реализации таких афер доступно на черном рынке по сравнительно недорогим ценам. Последнее обстоятельство делает скимминг простым и незамысловатым типом мошенничества, в котором могут быть заинтересованы рядовые криминальные элементы без всякого ИТ-бэкграунда.

Представьте, что в помещение супермаркета приходят несколько людей в униформе и начинают производить какие-то манипуляции с банкоматом. У большинства посетителей и мысли не возникнет, что это мошенники - они подумают, что пришли специальные люди из соответствующего банка. Известны случаи, когда таким образом не только устанавливали накладки на банкомат, но и выносили весь банкомат целиком.

Кроме "банкоматного" ским-минга широкое распространение получил схожий тип мошенничества, реализуемый без использования специальных устройств. Дело в том, что для осуществления онлайн-транзакций и прочих операций без участия  карты  (Card-not-present, CNP) достаточно иметь информацию, которая на этой карте напечатана. Это означает, что при оплате с помощью карты, скажем, счета в ресторане официант может сфотографировать карту и использовать ее для приобретения товаров в Интернет-магазине. Дешево и сердито.

Кроме "технических" способов получить информацию о картах, мошенники часто применяют психологические приемы, побуждающие держателей добровольно раскрыть интересующую их информацию. В эту категорию афер входит, в частности, рассылка фишинговых писем от имени финансовых организаций с просьбой указать данные о картах на поддельном Интернет-ресурсе. В 2007 г. от такой фишинговой рассылки пострадал один из крупнейших российских банков -"Альфа-Банк".

Наконец, мошенники могут обманом узнать карточные данные жертвы, просто позвонив ей и представившись сотрудниками банка. Сами держатели нередко отличаются халатностью и публикуют информацию о своих картах на Интернет-сайтах или "расшарива-ют" их в файлообменных сетях. Короче говоря, сегодня существует масса вариаций на тему психологического мошенничества.

В общем случае все аферы низкого уровня имеют между собой много общего. Во-первых, еще раз подчеркнем, что ответственность за инциденты такого рода почти всегда лежит на держателях карт. И если с точки зрения банков такие инциденты вряд ли окажутся фатальными, то для платежных систем они представляют собой едва ли не главную проблему. Долгосрочные последствия "низкоуровневых" афер рискуют оказаться катастрофическими, поскольку каждый такой случай резко подрывает доверие держателей к картам.

Во-вторых, все аферы низкого уровня сравнительно легко реализуемы и доступны широкому кругу аферистов. Но в то же время они достаточно рискованны, поскольку каждая незаконная транзакция легко отслеживается на уровне про-цессинга. Такие аферы обычно имеют ограниченный масштаб и редко интересуют мошенников высокого полета,  однако за счет большого количества мелких инцидентов именно они приводят к максимальному совокупному ущербу. По оценкам Actimize (рис. 2), средний американский банк теряет от такого рода инцидентов около 744 тыс. долларов в год, и в современных условиях эта цифра уже отнюдь не выглядит высокой.

Аферы "высокого" уровня: утечки, репутация и организованная преступность

Кроме противодействия аферам низкого уровня, банки и платежные системы пытаются минимизировать риски масштабных, высокоуровневых инцидентов. Аферы высокого уровня, предполагающие кражу полноценных баз данных "карточной" информации, случаются значительно реже низкоуровневых инцидентов. Однако если банк или процессин-говый центр допускает такого рода утечку, то мало ему точно не покажется.

В качестве одного из наиболее показательных примеров можно рассмотреть утечку данных из компании Heartland Payment Services, о которой стало известно в начале нынешнего года. Шестой по величине про-цессинговый центр США потерял базу данных с таким количеством транзакций, что до сих пор не может точно их посчитать. Предполагается, что утечку спровоцировали некие внешние злоумышленники, сумевшие установить в инфраструктуре Heartland специально написанную под эту компанию вредоносную программу.

Показательно, что спустя всего лишь один день после публикации информации об утечке акции Heartland на нью-йоркской фондовой бирже просели на 42%. На данный момент о перевыпуске карт, скомпрометированных вследствие данного инцидента, уже объявили более 600 (!) американских банков, а общий ущерб от утечки измеряется сотнями миллионов долларов.

Что происходит после того, как организация допускает утечку "карточных" данных? Здесь возможно несколько основных сценариев. В некоторых случаях (например, в случае потери ноутбука) никаких трагических событий может не произойти, и данные на практике не компрометируются. Но даже в таких условиях допустившая утечку компания несет серьезные репутационные потери, а также тратит деньги на расследование инцидента и оповещение клиентов. Согласно последним оценкам Ponemon Institute, средние совокупные затраты на ликвидацию утечки составляют более 200 долларов за одну учетную запись (на территории США).

В случае наихудшего сценария (который, в частности, произошел и с Heartland, и с упоминавшейся выше компанией RBS Worldpay) информация о карточных транзакциях попадает в руки организованных преступных группировок (ОПГ). На данный момент это уже вполне оформившаяся ниша преступного "бизнеса", в которой сформировалась собственная иерархия и разделение труда. Ситуация усугубляется еще и тем, что многие "карточные" ОПГ используют распределенную модель, и члены различных звеньев преступной цепочки могут даже не знать друг друга.

В этом свете весьма показательна недавняя операция "Пластиковый канал" ("Operation Plastic Pipe Line"), которая была успешно завершена американскими спецслужбами. В рамках операции, продолжавшейся почти два года, была раскрыта деятельность крупной "карточной" ОПГ, действовавшей на территории США и Канады и состоящей из выходцев из Нигерии. В общей сложности было задержано более 40 человек.

Во главе нигерийской группировки находился "поставщик" (supplier) - организатор банды и человек, который изначально предоставлял данные кредитных карт. По-видимому, он приобретал эти данные у других мошенников, которые, в свою очередь, провоцировали утечки информации из финансовых структур.

Затем информация о картах проходила предварительную подготовку, в рамках которой собиралась максимальная информация о жертвах (за эту работу отвечали люди с должностью "Account washers"), происходила активация аккаунтов ("Account preparers"), а также их поддержка с целью повышения кредитных линий ("Аccount ma-intainers"). После завершения этого процесса данные попадали в ячейки ("Сells"), в которых непосредственно происходила их обналичка. При этом использовались сразу три различных способа: снятие денег в банковских отделениях (с помощью поддельных документов) и банкоматов (за эти действия отвечали "Foot soldiers"), а также покупка (и дальнейшая перепродажа) дорогостоящей электроники в комиссионных магазинах ("Shoppers"). В общей сложности нигерийским мошенникам инкриминируется почти 800 эпизодов, а общий ущерб от их деятельности только за последний год превысил отметку 12 млн долларов.

По данным Actimize, средние потери банков в результате утечек информации составляют 145 тыс. долларов в год (рис. 2). Эта, казалось бы, сравнительно небольшая цифра отнюдь не должна вводить в заблуждение: речь идет о средних потерях, которые были спровоцированы утечками в других финансовых структурах. Если же информацию теряет сам банк, его финансовый ущерб автоматически возрастает на несколько порядков.

Информационная безопасность: бесценна

Если суммировать общий средний ущерб банка от афер "низкого" и "высокого" уровня, а потом умножить эту сумму на количество американских банков, можно оценить общие потери финансовой системы от различных типов мошенничества с кредитными картами. На данный момент прямые потери финансовых структур на территории США составляют 7,5 млрд долларов в год, и есть ощущение, что это только начало.

Можно ли что-либо сделать для снижения актуальности "карточной" проблемы? Безусловно, да. Можно ли решить эту проблему полностью? Конечно, нет. Проблема "карточных" аферистов связана не только с отсутствием воли платежных систем, но и с главным компромиссом информационной безопасности, который устанавливает обратно пропорциональную зависимость между удобством и защищенностью.

"Деятельность карточных мошенников можно было бы существенно ограничить, запретив транзакции Card-Not-Pres-ent или используя какие-то дополнительные схемы аутентификации держателей карт, -рассказывает руководитель аналитического центра компании Perimetrix Владимир Ульянов. - Сделать это, безусловно, можно, однако платежные системы на это не пойдут, поскольку любые способы обеспечения защиты привносят определенные неудобства в использовании карт".

Возможно, именно поэтому и Visa, и MasterCard озабочены сейчас не столько технологическими инновациями, сколько задачей повсеместного внедрения стандарта PCI DSS. Задача стандарта, который обязателен для соответствия всем организациям, обрабатывающим транзакции по картам, сводится к минимизации рисков утечки. И ключевое слово здесь "минимизация": и Heartland, и RBS прошли аудит соответствия PCI DSS, но тем не менее не сумели обеспечить защиту.

Реальная имплементация новых систем защиты банковских карт должна стартовать снизу -держателям карт необходимо осознать, что в интересах их собственной финансовой безопасности необходимо пожертвовать удобством. Это событие случится тогда, когда количество зафиксированных инцидентов станет для них невыносимо большим. По нашему мнению, если тенденции к росту количества "карточных" преступлений сохранятся, то данное событие может произойти в течение ближайших нескольких лет. 

_________________________________________________________________________________

Комментарии экспертов

Евгений Бурягин
заместитель начальника Управления автоматизации ОООКБ "ПРОМИНВЕСТ-РАСЧЕТ"

Такой платежный инструмент, как пластиковая карта, является крайне уязвимым для мошенников из-за сильного проявления такой черты, как человеческая халатность. У большинства держателей карт возникает иллюзия безопасности, и они, доверяя технологиям, теряют бдительность. Но существующие технологии платежных систем могут обеспечить безопасность транзакций только на техническом уровне и только после авторизации. Поэтому необходимо критически относиться ко всем манипуляциям с картой.

Есть несколько общих правил, следуя которым можно обезопасить себя от карточного мошенничества. Во-первых, используйте банкоматы, установленные в помещениях банков и охраняемых офисов, которым вы доверяете. Во-вторых, контролируйте процесс оплаты через POS-терминалы, не теряйте карту из вида. В-третьих, все платежи через Интернет должны инициироваться вами лично, перед вводом номера и кода карты проверяйте адрес сайта. В-четвертых, запрос номера и кода карты возможен только для оплаты или снятия наличных, любой другой случай запроса этих данных - попытка мошенничества.

Стоит заметить, что ни одна технология не обеспечит абсолютную защиту платежной системы до тех пор, пока каждый ее участник всецело полагается на других.

Игорь Писаренко
к.т.н., доцент, заместитель начальника отдела информационной безопасности Управления обеспечения безопасности ВТБ 24 (ЗАО)

В России, как и во всем мире, использование пластиковых платежных карт прочно вошло в повседневную привычку. Но наряду с предоставляемыми удобствами проведения финансовых операций перед владельцем карты возникают и определенные риски, к которым могут привести как неосторожные действия самого держателя карты или банка, в котором обслуживается карта, так и действия мошенников.

Способов проведения мошеннических операций на сегодняшний день придумано очень много: начиная от установки скимминговых устройств на банкоматах и заканчивая масштабными утечками данных пластиковых карт.

Естественно, что мировые платежные системы и банки предпринимают серьезные шаги, внедряя и стремясь соответствовать требованиям стандарта безопасности данных индустрии платежных карт (PCI DSS), используя новые технологии защиты информации; и это понятно - бизнес необходимо защищать.

С другой стороны, многое зависит и от самого держателя карты - по аналогии с обычными, наличными деньгами, средства на карте также нужно внимательно контролировать, надежно хранить и правильно использовать.

Ну и, наверное, еще одной "уязвимостью" можно считать несовершенство законодательства Российской Федерации в сфере пластикового бизнеса, слабое взаимодействие наших правоохранительных органов с зарубежными коллегами по поимке мошенников, низкий уровень подготовки их сотрудников, а порой и просто нежелание разбираться в сложных и запутанных преступлениях с пластиковыми картами.

Юрий Лысенко
начальник Управления информационной безопасности "РосЕвроБанк"

Лето, пора отпусков, многие не берут с собой крупных сумм наличных, полагаясь на пластиковые карты. Действительно, это очень удобный способ оплаты покупок и услуг, но часто пользователи забывают, что существует реальная  опасность лишиться  всех "пластиковых" денег, да и еще попасть на овердрафт.

В данной статье рассматриваются различные способы мошенничества, о которых необходимо помнить всегда, доставая пластиковую карту. В самом деле, проблемы с безопасностью растут год от года. Появились целые Управления международные ОПГ, насчитывающие сотни людей. Даже поимка нескольких человек не приводит к установлению всей преступной цепочки, так как преступные элементы не знакомы лично друг с другом, общаются через Интернет по закрытым каналам и выполняют строго определенные действия, получая свой процент от преступного промысла.

Поэтому не надо держать все "яйца в одной корзине" - необходимо иметь несколько разных карт различных платежных систем и никогда не забывать правила безопасности, приведенные в данной статье и выдаваемые банком вместе с пластиковой картой.

В общем, господа и дамы, старинная поговорка подходит здесь как нельзя кстати - держите "карты ближе к орденам".