Кардинг

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Мошенничество с платежными картами, кардинг (от англ. carding) — вид мошенничества, при котором производится операция с использованием платежной карты или её реквизитов, не инициированная или не подтвержденная её держателем. Реквизиты платежных карт, как правило, берут со взломанных серверов интернет-магазинов, платежных и расчётных систем, а также с персональных компьютеров (либо непосредственно, либо через программы удаленного доступа, «трояны», «боты» с функцией формграббера). Кроме того, наиболее распространённым методом похищения номеров платежных карт на сегодня является фишинг (англ. phishing, искаженное «fishing» — «рыбалка») — создание мошенниками сайта, который будет пользоваться доверием у пользователя, например — сайт, похожий на сайт банка пользователя, через который и происходит похищение реквизитов платежных карт.

Одним из самых масштабных преступлений в области мошенничества с платежными картами считается взлом глобального процессинга кредитных карт Worldpay и кража с помощью его данных более 9 миллионов долларов США. В ноябре 2009 года по этому делу были предъявлены обвинения преступной группе, состоящей из граждан государств СНГ[1].

Воровство карт[править | править вики-текст]

Украденная или потерянная карта может использоваться преступниками только до тех пор, пока владелец не сообщит своему банку о пропаже, либо в оффлайновых операциях. Большинство банков предоставляют круглосуточную телефонную линию для подобных сообщений.

Основной защитной мерой является наличие подписи на карте и требование подписывания чеков. В некоторых магазинах при оплате картой требуется предоставление документов, удостоверяющих личность. Однако, требование документа в некоторых юрисдикциях является незаконным.

Украденные карты могут использоваться в некоторых терминалах самообслуживания (например, на АЗС), не требующих ввода PIN-кода.

В Европе большинство карт EMV оснащены чипом, который обычно запрашивает ввод 4-значного цифрового PIN-кода при совершении покупок. Если код не хранился вместе с украденной картой, то мошенник сможет использовать её только в операциях, где код не требуется, например в онлайновых (электронных) транзакциях, либо в POS-терминалах, оснащенных только считывателем магнитной полосы.

Существуют программные системы и комплекс организационных мер, направленных на предотвращение или усложнение возможных мошеннических операций. Например, крупная транзакция, совершенная далеко от места жительства владельца — как вариант — в другой стране, может быть признана несостоявшейся или даже привести к временному блокированию карты.

Операции без карты[править | править вики-текст]

Для проведения транзакции требуются лишь некоторые данные, написанные на карте. Обычно карта содержит (в виде надписи и на магнитной полосе): имя владельца, номер карты (PAN), месяц и год окончания срока действия, верификационный код (CVV2).

Существуют операции, в которых не требуется физическое наличие карты, а транзакция проводится лишь по данным с неё. Минимальный необходимый набор информации — номер карты, часто также требуется срок окончания, чуть реже — верификационный код.

Злоумышленник может скопировать эти данные, если вступит в сговор с лицами, имеющими доступ к картам, например, с официантом или кассиром. Данные могут быть сфотографированы или восстановлены из видео-записи. Также получение подобных данных возможно с помощью вируса, установленного на компьютере пользователя, методами социальной инженерии (имитация звонка из банка), либо путем взлома интернет-магазинов или систем, обслуживающих карты. Затем преступники используют данные в операциях без присутствия карты.

Некоторую защиту от такого рода преступлений предоставляет внедрение оперативных уведомлений о проведении операций. Также частично от такого мошенничества защищают технологии 3-D Secure, MasterCard Security Code, Verified by Visa, в которых для проведения операции требуется ввод дополнительного кода, получаемого в отделении банка, через банкомат, по SMS или с помощью аппаратного генератора кодов (токен).

Скимминг[править | править вики-текст]

Частным случаем кардинга является скимминг (от англ. skim  — снимать сливки), при котором используется скиммер — инструмент злоумышленника для считывания, например, магнитной дорожки платёжной карты. При осуществлении данной мошеннической операции используется комплекс скимминговых устройств:

  • инструмент для считывания магнитной дорожки платёжной карты — представляет собой устройство, устанавливаемое в картоприёмник, и картридер на входной двери в зону обслуживания клиентов в помещении банка. Представляет собой устройство со считывающей магнитной головкой, усилителем — преобразователем, памятью и переходником для подключения к компьютеру. Скиммеры могут быть портативными, миниатюрными. Основная идея и задача скимминга — считать необходимые данные (содержимое дорожки/трека) магнитной полосы карты для последующего воспроизведения её на поддельной. Таким образом, при оформлении операции по поддельной карте авторизационный запрос и списание денежных средств по мошеннической транзакции будут осуществлены со счета оригинальной, «скиммированной» карты.
  • миниатюрная видеокамера, устанавливаемая на банкомат и направляемая на клавиатуру ввода в виде козырька банкомата либо посторонних накладок, например, рекламных материалов — используется вкупе со скиммером для получения ПИН держателя, что позволяет получать наличные в банкоматах по поддельной карте (имея данные дорожки и ПИН оригинальной).

Данные устройства питаются от автономных источников энергии — миниатюрных батарей электропитания, и, для затруднения обнаружения, как правило, изготавливаются и маскируются под цвет и форму банкомата.

Скиммеры могут накапливать украденную информацию о пластиковых картах, либо дистанционно передавать её по радиоканалу злоумышленникам, находящимся поблизости. После копирования информации с карты мошенники изготавливают дубликат карты и, зная ПИН, снимают все деньги в пределах лимита выдачи, как в России, так и за рубежом. Также мошенники могут использовать полученную информацию о банковской карте для совершения покупок в торговых точках.

Меры защиты[править | править вики-текст]

Для предотвращения незаконных списаний по банковской карте рекомендуется применять следующие меры безопасности:

  • не передавать свою карту в чужие руки, следить за тем, чтобы карта использовалась лишь по назначению (дабы невозможно было применить портативное скимминговое устройство, спрятанное под одеждой, например, официанта, либо сотрудника автозаправочных станций, продавца магазина и т. д.).
  • проявлять бдительность и внимательность при пользовании банкоматом, обращать внимание на нестандартные элементы конструкции — накладную клавиатуру, используемую для считывания PINа. В случае скимминга такая клавиатура располагается, как правило, выше уровня корпуса банкомата, легко от неё отделяется и, зачастую, под накладной виднеется часть оригинальной.
  • обращать на установленные микро-видеокамеры на самом банкомате, которые могут быть смонтированы как в козырьке банкомата, так и замаскированы под сопутствующие банкомату предметы, например, рекламные материалы.
  • минимизировать случаи использования банковской карты в местах, вызывающих подозрение; по возможности использовать банковскую карту в хорошо просматриваемых помещениях.
  • снятие наличных средств и другие банковские операции, осуществляемые при помощи банкоматов, по возможности производить в одном и том же банкомате, запомнив его внешний вид. Как правило, стандартные технические модификации банкоматов одного банка редко отражаются на их внешнем виде.
  • по возможности набирать ПИН быстро, заученными движениями и, желательно, используя несколько пальцев руки сразу — так злоумышленникам будет сложнее распознать ваши движения. По возможности прикрывать набирающую ПИН руку другой рукой, сумочкой или каким-либо иным предметом.
  • если банк-эмитент банковской карты имеет в своём сервисе услугу быстрого оповещения владельца карты о фактах списания (смс-оповещения), подключить её для наиболее быстрого реагирования на незаконные списания.
  • использовать банковские карты со встроенным микрочипом, если это возможно[2].

Шимминг[править | править вики-текст]

Шимминг представляет собой разновидность скимминга. В этом случае в картридер банкомата помещается не крупная накладка, как при традиционном скимминге, а очень компактное электронное устройство (шиммер, shim, shimmer), позволяющее получить информацию о банковской карте. Толщина шиммера — порядка 0,1-0,2 мм. Устанавливается шиммер с помощью карты-носителя вглубь приемной щели за небольшое время. Внешнее определение наличия шиммера крайне затруднено[3][4]. Защитой от шиммера является только то, что шиммер не перехватывает PIN-код.

Статистика[править | править вики-текст]

В начале 2010-х в США из 5,6 миллиардов действительных банковских карт, лишь около 20 миллионов являются смарт-картами (содержат чип). За период с 2007 по 2011 год секретная служба США арестовала более 5 тысяч преступников, замешанных в скимминге[5]. Потери за 2012 год оцениваются в 11,3 млрд долларов. [6] В год в стране обнаруживают около 20 тысяч скиммеров[7].

В Великобритании с 2001 по 2011 года мошенничество с пластиковыми картами приводило к потерям в 300—600 млн фунтов ежегодно[8]. Значительная доля преступлений осуществлялась по данным карты в операциях, в которых не требуется предъявление карты (например, покупка через интернет). Потери от скимминга, составлявшие ежегодно от 100 до 170 миллионов фунтов в 2001—2008 годах, значительно снизились в 2010—2011 годах, до 47-36 миллионов фунтов, благодаря широкому внедрению чипованных карт и чипов с поддержкой iCVV и DDA[8].

В России в 2010-е года по официальным данным совершаются тысячи преступлений с пластиковыми картами в год.[9] В 2011 году ущерб от кардинга был оценен компанией Group-IB в 400 миллионов долларов[10].

См. также[править | править вики-текст]

Примечания[править | править вики-текст]

  1. Computer, News Предъявлено обвинение хакерам организаторам ограбления века. Аналитика компьютерной преступности (1о ноября 2009). Проверено 10 ноября 2009. Архивировано из первоисточника 25 августа 2011.
  2. Пластиковые карты с магнитной полосой заменят на чипованные — Татьяна Шадрина — Российская газета
  3. Jamey Heary. Newest Attack on your Credit Card: Pin Pad Shims. Cheap, readily available microchip fabrication gives thieves new tech  (англ.), NetworkWorld (11 July 2010). Проверено 28 января 2014.
  4. Шимминг - новая разновидность скимминга, SecurityLab.ru (14 июля, 2010). Проверено 28 января 2014.
  5. Yudhijit Bhattacharjee. Automated Theft Machines Crooks are getting better at stealing your ATM info. Why the U.S. is such a hot spot  (англ.), TIME (Jan. 17, 2011). Проверено 28 января 2014. «Since 2007, the Secret Service has made more than 5,000 arrests in skimming cases, and the FBI has busted a good number of skimming rings too.».
  6. Сергей Голубицкий. Правда о Target, которую вы никогда не узнаете из-за отвлекающего маневра с «Kaptoxой» и русским следом  (рус.), "Компьютерра-Онлайн" (24 января 2014). Проверено 28 января 2014.
  7. Защита банкоматов: почему цены на скиммеры падают, а на антискиммеры растут?. — СИА
  8. 1 2 Fraud The Facts 2012
  9. Мошенничество с пластиковыми картами — Портал финансовой грамотности «Ваши личные финансы»
  10. Идет вторая волна воровства денег с банковских карт Мошенники используют скиммеры для считывания данных с банковских карт, Газета.ру (21.10.2011). Проверено 29 января 2014.

Ссылки[править | править вики-текст]