похищения. Полиция считает, что хакеры перепродали информацию другим мошенникам. Известны случаи массового мошенничества по картам, информация по которым была украдена в TJX. Известно также, что американские банки к середине 2007 г. перевыпустили более 200 тыс. карт для своих клиентов в связи с инцидентом, связанным с TJX.
Утечка информации через недобросовестных сотрудников процессинговых центров и банков. По статистике источником 20 % всех финансовых потерь банка являются нечестные сотрудники, 10 % — обиженные сотрудники, 55 % — халатность персонала, только 9 % — внешние атаки.
Перехват данных при их передаче (беспроводные соединения, подключение мошенников к выделенным линиям связи). Этот способ кражи персональных данных является сегодня достаточно редким, поскольку его эффективность невысока (высокая стоимость кражи данных одного клиента).
Другой способ «электронной» кражи персональных данных — использование специальных программ-шпионов (spyware). Такие программы умеют читать, записывать и удалять файлы на персональном компьютере клиента, изменять компьютерные настройки, в том числе отвечающие за сетевой доступ к компьютеру, тем самым, открывая хакерам доступ к содержащейся в нем информации. Программы-шпионы могут переформатировать компьютерный диск, сканировать изменения в файлах, следить за набираемыми на клавиатуре данными с целью кражи паролей. Во время сетевых сессий компьютера эти программы передают собранную ими информацию интересующейся ею стороне.
Формы существования программ-шпионов многообразны. Это и небольшие дополнительные программки (adware), используемые поставщиками в своем программном обеспечении в маркетинговых целях (для этого создаются целые сети adware networks), и троянские кони, и интернетовские cookies и т. п.
Мошенничества со стороны обслуживания карт
Приведем основные виды мошенничества второй группы (со стороны обслуживания карт):
• повторный ввод операции (multiple imprints, electronic data capture fraud, включая PAN Key Entry — транзакции);
• изменение содержимого слипов (altered sales drafts);
• перехват счета магазина (account takeover);
• использование отчетности легально существующего торгового предприятия (laundering);
• мошенничества в банкоматах.
Повторение слипов и (или) изменение содержимого слипов. Недобросовестные сотрудники торгового предприятия делают на импринтере более одного отпечатка карты (multiple imprints), используя их в дальнейшем для генерации новых платежных документов, или изменяют значения размера транзакции уже после того, как клиент подписал слип (altered sales drafts).
Electronic Data Capture Fraud. То же, что и повторение слипов, только с использованием электронных POS-терминалов. Особенно распространен способ PAN key entry, при котором в авторизационном запросе к эмитенту информация магнитной дорожки карты не предоставляется (представлены только номер карты, срок ее действия и, возможно, значение CVV2/CVC2).
Перехват счета. «Перехват» счета магазина (Merchant Account Takeover). Мошенники имеют все необходимые данные магазина (название, имена руководства, идентификатор торгового предприятия и т. п.) и, возможно, торговые слипы. Далее следует письмо (звонок) в банк, извещающее об изменении расчетного счета магазина. В результате возмещения по операциям, выполненным в реальном торговом предприятии, попадают на счета мошенников. По данным Visa средние потери банка от подобного мошенничества составляют примерно 100 тыс. долл.
Использование отчетности легально существующего торгового предприятия (laundering). В этом случае магазин A некоторой платежной системы предоставляет возможность магазину B, не имеющему договора с каким-либо банком на прием карт этой платежной системы, обычно за определенную комиссию, принимать карты данной платежной системы. При этом если B — мошенник, то A по прошествии некоторого времени остается один на один с отказами от платежей, пришедшими по операциям, якобы совершенным магазином B. По данным Visa потери магазина A в среднем составляют около 500 тыс. долл.
Мошенничества в банкоматах. До сих пор речь шла о мошенничестве в торговых предприятиях. В последнее время стало появляться все больше сообщений о случаях мошенничества с использованием банкоматов. Операции через банкоматы характеризуются повышенной безопасностью, поскольку авторизация таких операций осуществляется эмитентом в онлайновом режиме с обязательной проверкой персонального идентификатора (PIN-кода) держателя карты. Факт повышенной безопасности операций через банкоматы подтверждается и статистикой — объем мошенничеств через банкоматы на порядок ниже аналогичного показателя для торговли.
И все-таки последние сообщения платежных систем говорят о том, что мошенники постепенно подбираются и к банкоматам. В 2004 г. потери только банков Великобритании от мошенничества, связанного главным образом со скиммингом в банкоматах, составили 75 млн фунтов стерлингов (около 15 % всего карточного мошенничества в стране). Правда, в 2005 г. и 2006 г. уровень банкоматного мошенничества в Великобритании снижался, достигнув в 2006 г. отметки в 61,9 млн фунтов стерлингов. Но и этот уровень примерно в 1.5 раза выше уровня 2003 г., т. е. говорить о том, что проблема с банкоматным фродом стабилизировалась, преждевременно.
В соответствии с данными EAST (European ATM Security Team) потери европейских банков в 2006 г. от скимминга через банкомат, трэппинга и спровоцированных возвратов составили в прошлом году 306 млн евро.
О краже данных пластиковой карты и ПИН-кода через банкомат с помощью накладного ридера и миниатюрной видеокамеры (накладной клавиатуры) с последующим выпуском белого пластика уже говорилось выше. Под трэппингом (trapping) понимается мошенничество, в соответствии с которым на ридер банкомата устанавливается устройство, препятствующее извлечению карты из банкомата после выполнения транзакции. Карту потом извлекает мошенник, которому к тому же к этому моменту известен ПИН-код держателя карты (с помощью видеокамеры или иным более изощренным способом).
Иллюстрацией трэппинга является мошенничество, известное как «ливанская петля». Почти цирковой способ мошенничества, при котором ничего не подозревающий держатель карты засовывал ее в заранее «обработанный» мошенником банкомат. Суть «обработки» банкомата состояла в том, что в прорезь карт-ридера банкомата вставлялся кусок фотопленки, концы которого незаметно укреплялись на внешней стороне банкомата. Фотопленка после совершения операции не давала возможность карте выйти из карт- ридера. Мошенник оказывался неподалеку и предлагал держателю карты свою помощь. Он рекомендовал ему вновь ввести свой PIN-код, а когда из этого ничего не получалось, вводил его сам со слов держателя, утверждая, что уже видел такие случаи раньше и при повторном вводе PIN-кода карта должна выйти из банкомата. Карта, конечно, не возвращалась, а мошенник советовал ее держателю придти на следующий день в банк (махинация проводилась в часы, когда отделение банка уже не работало), и тогда карта ему будет обязательно возвращена. После ухода держателя карты мошенник извлекал пленку вместе с картой из банкомата и опустошал счет держателя карты.
Метод спровоцированного возврата заключается в том, что мошенники извлекают из банкомата не все выданные банкоматом деньги, а только их часть. Оставленные мошенниками средства по тайм-ауту возвращаются банкоматом в диверт-кассету. После этого банкомат инициирует возврат средств. Иногда программное обеспечение банкомата (обслуживающего банка) не способно поддерживать частичный возврат (partial reversal) и в результате на счет клиента возвращается вся заказанная им сумма.
Существуют и другие виды мошенничества с использованием банкоматов. Например, в результате физического взлома банкоматов с целью извлечения из них денежных средств, грабежей инкассаторов и
