Мошенники изобрели новый способ кражи данных и денег с банковских карт. В отличие от «традиционных» методов, новое устройство, которое тоньше человеческого волоса, клиент не видит, что и делает его практически беспомощным перед преступниками.

Мошенники, специализирующиеся на кредитных картах, разработали новую технологию — «шимминг», позволяющую похитить номер банковской карты, ее PIN-код и другие данные через банкомат. Об этом сообщил специалист Cisco Systems Джейми Хири в блоге Cisco Security Expert. По оценкам компании-производителя бакноматов Diebold, из-за скимминга финансовые организации и частные лица теряют миллиарды долларов в год.

Устройства для кражи данных прошлого поколения, получившие название «скиммеры», представляли собой накладки на банкоматы. Шиммеры, в отличие от них, незаметны: тонкая гибкая плата вставляется через щель картридера (устройство для приема карт) и считывает данные введенных карт. «Такой тип мошенничества нетривиален с технической точки зрения, — чуть ли не восхищается ловкостью злоумышленников эксперт из Cisco Systems. — Прокладка должна быть очень гибкой и тонкой. Фактически, она должна быть тоньше 0,1 мм в большинстве случаев, чтобы уместиться в картридере и не мешать введению кредитных карт».

Чтобы более зримо представить, какое мастерство нужно для изготовления мошеннического устройства, эксперт приводит сравнения: толщина кредитки — примерно 0,76 мм, крупицы соли — 0,5 мм. Толщина человеческого волоса — около 0,18 мм. То есть плата для шимминга должна быть почти в два раза тоньше волоса.

По данным эксперта, такие устройства недавно начали массово выпускаться и уже «широко используется в некоторых частях Европы». В компании Diebold BFM.ru заявили, что знают о существовании этой разновидности мошенничества. «Однако о случаях ее применения в России нам пока ничего не известно, — сообщил BFM.ru представитель компании. — Для борьбы со всеми известными способами скимминговых атак на банкоматы у нас уже есть портфель антискимминговых решений и сервис удаленного мониторинга Diebold ATM Security Protection Suite. В портфель входит специальное устройство, создающее электромагнитное поле вокруг банкомата и мешающее скиммеру считывать информацию с магнитной полосы банковской карты в картридерах, так что данные владельца карты надежно защищены».

Российские банки пока не сталкивались с шиммингом. «Классикой» российских карточных мошенников остается скимминг, то есть получение доступа к данным карты путем установки устройств на картридер в банкомате с последующей подделкой карты. «Злоумышленники любят использовать и механические устройства. Например, преступники устанавливают в картридер крючки и щупы, карточки застревают в банкомате, и становится возможной их кража», — говорит представитель Diebold.

Для кражи PIN-кодов и персональной информации клиентов преступники подсматривают, как люди пользуются банкоматом, для чего рядом с банкоматом устанавливают миниатюрные видеокамеры. «Кроме того, преступники могут перехватывать PIN-коды, используя специальные накладки на клавиатуру ввода ПИН-кода, или устанавливая миниатюрные видеокамеры», — говорит представитель Diebold. — Распространены и различные способы захвата и извлечения банкнот из презентера банкомата». Еще более изощренным способом мошенничества являются манипуляции с операционной системой банкоматов: преступники вторгаются в компьютерную сеть банкоматов для кражи денег и получения информации о счетах.

Несмотря на такое разнообразие схем, адекватной статистики по мошенническим атакам на банкоматы в России до сих пор не ведется, говорят российские банкиры. «По данным некоторых экспертов, за 2009 год было совершено порядка 200 атак на банкоматы, что составляет примерно 0,24% от общего числа банкоматов в России», — заявили BFM.ru в банке «Ренессанс Кредит».

В России фактов «карточного» мошенничества не очень много по сравнению с их общей численностью в мире, говорит BFM.ru начальник управления администрирования и поддержки карточной системы департамента карточных программ «Москоммерцбанка» Алексей Друкер. «Большая часть мошеннических операций по картам, выпущенным в России, проходит за рубежом, — говорит эксперт. — Другими словами, кража информации большей частью тоже происходит именно за рубежом. Например, когда человек в отпуске расплатился в кафе или гостинице, и информацию украли».

«У меня есть большие сомнения, что эта технология получит массовое распространение в нашей стране, — говорит BFM.ru директор Департамента карточного бизнеса и дистанционного обслуживания банка Unicredit Александр Вишняков. — Судя по описанию, это технически довольно сложно осуществимо, и, соответственно, довольно дорого. Для мошенников гораздо проще делать скимминговые устройства более незаметными».

Для того, чтобы опознать поддельные устройства, Diebold рекомендует внимательно осмотреть банкомат. Нужно обратить внимание на внешние поверхности кард-ридера: яркие сигналы светодиодов должны быть видны даже под острым углом (фальшивый ридер сам выступает и перекрывает диоды, плюс они закрыты мутным пластиком - у оригинальных прозрачный жёсткий корпус). Поверхность корпуса ридера должна быть качественная и гладкая. Корпус ридера должен быть жестко, без люфтов, прикреплен к лицевой панели. Настоящая клавиатура должна быть чуть углублена в панель и также жестко закреплена. При сопоставлении настоящих и поддельных устройств также очевидны и различия в качестве обработки поверхностей и индивидуальных рамок клавиш.

«Кроме того, может быть полезно просто прикрыть ладонью клавиатуру во время ввода PIN-кода и обратить внимание на людей позади. Не стоит оставлять квитанцию в банкомате», — напоминает сотрудник Diebold.

Однако против такого способа мошенничества как шимминг клиенты ничего сделать не смогут, вынуждены констатировать эксперты. «В случае шимминга никаких внешних устройств увидеть не удастся», — говорит Алексей Друкер из Москоммерцбанка.

«Главная рекомендация — обзаводиться чиповыми картами, которые защищены от такого типа мошенничества. Это в данном случае самый надежный способ, и не случайно наш банк в этом году переходит на чиповые карты», — заявил Александр Вишняков из Unicredit. «Это, конечно, не сможет предотвратить считывание магнитной полосы карты и последующее ее копирование, но поможет клиенту впоследствии вернуть свои деньги, — добавляет эксперт Москоммерцбанка. — Дело в том, что скопировать информацию с чипа невозможно, по крайней мере, на данный момент таких фактов зафиксировано не было. При использовании такой карты клиент банкомат обязан производить авторизацию по данным чипа, а не магнитной полосы, а в случае невозможности авторизации по чипу создавать транзакцию типа Fallback». Тогда практически в 100% случаев мошеннических транзакций ответственность ляжет на банк-эквайер, которому принадлежит банкомат. Поэтому если кто-то скопирует данные магнитной полосы такой карты, сделает ее дубликат и попытается снять деньги, у клиента будет намного больше шансов опротестовать подобную операцию, говорит Друкер.

Впрочем, как правило, мошенники предпочитают не связываться с подделкой таких карт, так как это слишком сложно и дорого, отмечает вице-президент банка «Интеркоммерц» Денис Хренов.

«Честно говоря, несмотря на стремление максимально защитить клиента, его карту и внедрение новых технологических решений, уровень мошенничества не снижается, — заключает вице-президент Первого республиканского банка Дмитрий Орлов. — В качестве основной рекомендации, наверное, стоит посоветовать клиентам чаще использовать карту как платежный инструмент, а не как средство для получения наличных».