39 % — записывают. По данным социологического опроса Национального Агентства Финансовых Исследований (НАФИ) 11,6 % россиян хранят ПИН-код вместе с картой, в Москве данный показатель составляет 13,8 %. При этом 19,8 % российских держателей теряли свою карту (Россия). Таким образом, получаем, что 2,29 % держателей платежных карт в России утрачивают карту вместе с ПИН. Представляется, что с увеличением количества карт в России (наличие нескольких карт у одного человека), процент держателей, записывающих свои ПИН-коды, будет неуклонно расти.
2. Часто сотрудники банка при расследовании случаев мошенничества обнаруживают, что речь идет о «дружественном» мошенничестве. Член семьи, близкий друг, коллега по работе берет карту без разрешения ее законного владельца (иногда в сговоре с ним) и получает деньги из банкомата. Далее законный держатель карты отказывается от проведенных операций. В России 9,9 % держателей передавали свою карту третьим лицам (по данным НАФИ), в Великобритании 7 % держателей говорили кому-либо свой ПИН-код (по данным APACS). Основным способом борьбы с «дружественным» мошенничеством служит установка видеонаблюдения в местах расположения банкоматов.
3. «Подглядывание из-за плеча». Мошенник может узнать ПИН-код держателя банковской карты, подглядывая из-за его плеча, пока тот вводит свой код, выполняя банкоматные операции по карте. При этом могут использоваться специальные оптические приборы. После получения мошенником ПИН-код карта может быть просто похищена у держателя либо при использовании карты одновременно производится несанкционированное копирование магнитной полосы, для изготовления в последующем «белого пластика»[203].
Данная угроза увеличится при введении ПИН-кодов по смарт картам и картам Maestro в торговых предприятиях. Показателен всплеск мошеннических операций по снятию наличных в банкоматах после введения требования ввода ПИН-кода в предприятиях торговли по всем картам MasterCard и VISA в Украине в 2002 г.
В январе 2004 г. в Японии были арестованы преступники, которые установили камеры видеонаблюдения в гольф-клубе таким образом, чтобы записывать коды цифровых замков на шкафчиках для переодевания. При этом они обосновано полагали, что эти коды будут совпадать с ПИН-кодами платежных карт клиентов клуба. Узнав коды шкафчиков, мошенники вскрывали их, копировали магнитные полосы карт, изготавливали «белый пластик» и снимали деньги в банкоматах (ПИН-код соответствовал коду на шкафчике). Таким способом денежные средства были похищены со счетов более 150 держателей карт. Всего в 2004 г. в Японии было совершено 411 инцидентов с банкоматным мошенничеством и потери составили 968 млн йен.
В Великобритании, где каждый держатель имеет в среднем 4 карты, 27 % используют один и тот же ПИН-код для всех карт, а 20 % никогда не закрывают ПИН-код при его использовании (APACS).
4. «Ливанская петля» (траппинг). Злоумышленник вставляет внутрь прорези для считывания карт (картридер) кусок 35-мм фотопленки, которая разрезана таким образом, что карта застревает и не возвращается назад (П-образный обратный клапан). Находящийся снаружи кусок фотопленки приклеен к банкомату и выглядит как его часть. Ничего не подозревающий держатель банковской карты вводит карту в банкомат в попытке получить наличные средства. Карта застревает в «ливанской петле» и транзакция не происходит. Мошенник «оказывается» неподалеку и предлагает свою помощь держателю банковской карты. Он рекомендует вновь ввести ПИН-код, а когда из этого ничего не получается, спрашивает у держателя карты ПИН-код и вводит его сам, говоря при этом, что он уже видел такие случаи и что при повторном вводе ПИН-кода карта возвращалась. Карта, конечно, не возвращается, а мошенник совершенно искренне рекомендует держателю банковской карты связаться с банком с самого раннего утра на следующий день. После того как клиент уходит, пленка вместе с картой извлекается из банкомата. Таким образом, у злоумышленника оказывается в руках и действующая карта, и надлежащий ПИН-код. В результате можно в любом банкомате получить наличные денежные средства.
5. Подмена или хищение карты. При проведении операции по карте в банкомате перед тем как карта должна выйти обратно мошенники отвлекают держателя и либо похищают карту, либо её подменяют в момент выдачи банкоматом. Обычно они действуют в группе, один отвлекает, другой забирает карту. Часто для отвлечения внимания используется красивая девушка для держателей мужчин либо на землю (пол) роняют денежную купюру и говорят держателю, что это он её обронил, человек наклоняется за купюрой, карта исчезает. ПИН-код похищенной карты подсматривается «из-за плеча» (см. способ 3).
6. «Щипачество». На банкоматах установлены датчики, которые позволяют убедиться, что деньги с лотка банкомата взяты. При оставлении в лотке хотя бы одной купюры датчик дает сигнал, что деньги не были забраны. В этом случае банкомат посылает в банк сообщение об аннулировании операции снятия денег со счета, поскольку деньги не были взяты физически. Мошенник забирает себе деньги и подает в банк претензию о неполучении в банкомате всей суммы. Неполученная держателем сумма блокируется, но если за период инкассации таких операций было несколько, в том числе действительно неполученные суммы денежных средств, то установить истину очень сложно.
7. Известны случаи установки фальшивых накладок на окна выдачи наличных денежных средств банкоматов — cash trapping. После запроса законным держателем денежных средств купюры задерживаются данным устройством и не выдаются держателю. Далее мошенник снимает накладку вместе с наличными средствами.
Согласно данным Европейской группы по безопасности банкоматов (European ATM security team — EAST) в 2005 г. в Европе зафиксировано 850 случаев мошенничества типа «ливанская петля», «щипачество», захват купюр и общие потери составили 2,37 млн долл.
8. «Фальшивые» банкоматы. В последнее время преступники воспользовались ростом числа банкоматов и стали применять «фальшивые» банкоматы. Мошенники разрабатывают и производят новые фальшивые банкоматы либо переделывают старые, которые выглядят как настоящие. Первый зарегистрированный случай установки поддельного АТМ произошел в 1993 г., когда преступная группа известная как Buckland Boys установила такой банкомат в торговом центре Манчестера. В наше время данный способ мошенничества продолжает существовать.
Например, 7 мая 2005 г. румынские преступники полностью собрали фальшивый банкомат для выдачи денег. Как передает CNN, в конструкции не имелось только емкости для купюр, а все остальное, в том числе устройства для считывания кодов с карточки было в наличии. Фальшивый банкомат несколько раз устанавливали в разных кварталах Бухареста. В 2007 г. полиция Швеции разработала специальную инструкцию для держателей карт, когда обнаружилось, что в Стокгольме появились деревянные банкоматы. К настоящему банкомату прикреплялась передняя панель, изготовленная из дерева, за которой скрывалось устройство считывания информации с магнитной карточки, а также мини-камера, снимавшая ПИН-код.
9. Недобросовестные владельцы банкоматов. В ряде стран (например, США, Канада и др.) любой гражданин может свободно купить банкомат, заключить соответствующие договоры на его обслуживание, установить и получать прибыль. То же самое могут сделать и мошенники. После введения карты и ПИН-кода мошенники копируют информацию с магнитной полосы карты и сам ПИН-код. Затем они могут использовать утерянные, украденные карты или «белый пластик» для изготовления поддельных карт. Такие карты можно использовать в настоящих банкоматах, поскольку информация на магнитной полосе действительна, а ПИН-код верен.
В США в декабре 2003 г. был арестован мошенник, который купил и установил в Калифорнии, Флориде и Нью-Йорке порядка 55 банкоматов. В результате этого он получил информацию о более чем 21 тыс. номеров банковских карт 1400 различных банков на сумму более 3,5 млн долл. США.
10. Кибератаки. В сентябре 2006 г. телекомпания WAVY-TV сообщила об одном инциденте когда хакер получил права администратора на АТМ и изменил номиналы загруженных купюр на 5 долларовые вместо 20 долларовых. Это стало возможно, в результате того, что пароли доступа в систему были оставлены по умолчанию.
В 2006 г. на Украине были отмечены очень высокотехнологичные атаки на инфраструктуру банкоматных сетей. Злоумышленники избрали своей целью банкоматы подключенные с использованием радиорелейных каналов связи, при этом банки не использовали ни VPN-каналы, ни функцию МАС. Путем сканирования радиоэфира определялась частота канала связи банкомата. Далее осуществлялся перехват