Кардинг

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Мошенничество с платежными картами, кардинг (от англ. carding) — вид мошенничества, при котором производится операция с использованием платежной карты или её реквизитов, не инициированная или не подтвержденная её держателем. Реквизиты платежных карт, как правило, берут со взломанных серверов интернет-магазинов, платежных и расчётных систем, а также с персональных компьютеров (либо непосредственно, либо через программы удаленного доступа, «трояны», «боты» с функцией формграббера). Кроме того, наиболее распространённым методом похищения номеров платежных карт на сегодня является фишинг (англ. phishing, искаженное «fishing» — «рыбалка») — создание мошенниками сайта, который будет пользоваться доверием у пользователя, например — сайт, похожий на сайт банка пользователя, через который и происходит похищение реквизитов платежных карт.

Одним из самых масштабных преступлений в области мошенничества с платежными картами считается взлом глобального процессинга кредитных карт Worldpay и кража с помощью его данных более 9 миллионов долларов США. В ноябре 2009 года по этому делу были предъявлены обвинения преступной группе, состоящей из граждан государств СНГ[1].

Воровство карт[править | править вики-текст]

Украденная или потерянная карта может использоваться преступниками только до тех пор, пока владелец не сообщит своему банку о пропаже, либо в оффлайновых операциях. Большинство банков предоставляют круглосуточную телефонную линию для подобных сообщений.

Основной защитной мерой является наличие подписи на карте и требование подписывания чеков. В некоторых магазинах при оплате картой требуется предоставление документов, удостоверяющих личность. Однако, требование документа в некоторых юрисдикциях является незаконным.

Украденные карты могут использоваться в некоторых терминалах самообслуживания (например, на АЗС), не требующих ввода PIN-кода.

В Европе большинство карт EMV оснащены чипом, который обычно запрашивает ввод 4-значного цифрового PIN-кода при совершении покупок. Если код не перехвачен, то мошенник сможет использовать её только в операциях, где код не требуется, например в онлайновых (электронных) транзакциях, либо в POS-терминалах, оснащенных только считывателем магнитной полосы.

Существуют программные системы и комплекс организационных мер, направленных на предотвращение или усложнение возможных мошеннических операций. Например, крупная транзакция, совершенная далеко от места жительства владельца — как вариант — в другой стране, может быть признана несостоявшейся или даже привести к временному блокированию карты.

Операции без карты[править | править вики-текст]

Для проведения транзакции требуются лишь некоторые данные, написанные на карте. Обычно карта содержит (в виде надписи и на магнитной полосе): имя владельца, номер карты (PAN), месяц и год окончания срока действия, верификационный код (CVV2).

Существуют операции, в которых не требуется физическое наличие карты, а транзакция проводится лишь по данным с неё. Минимальный необходимый набор информации — номер карты, часто также требуется срок окончания, чуть реже — верификационный код.

Злоумышленник может скопировать эти данные, если вступит в сговор с лицами, имеющими доступ к картам, например, с официантом или кассиром. Данные могут быть сфотографированы или восстановлены из видео-записи. Также получение подобных данных возможно с помощью вируса, установленного на компьютере пользователя, методами социальной инженерии (имитация звонка из банка), либо путём взлома интернет-магазинов или систем, обслуживающих карты. Затем преступники используют данные в операциях без присутствия карты.

Некоторую защиту от такого рода преступлений предоставляет внедрение оперативных уведомлений о проведении операций. Также частично от такого мошенничества защищают технологии 3-D Secure, MasterCard Security Code, Verified by Visa, в которых для проведения операции требуется ввод дополнительного кода, получаемого в отделении банка, через банкомат, по SMS или с помощью аппаратного генератора кодов (токен).

Скимминг[править | править вики-текст]

Частным случаем кардинга является скимминг (от англ. skim  — снимать сливки), при котором используется скиммер — инструмент злоумышленника для считывания, например, магнитной дорожки платёжной карты. При осуществлении данной мошеннической операции используется комплекс скимминговых устройств:

  • инструмент для считывания магнитной дорожки платёжной карты — представляет собой устройство, устанавливаемое в картоприёмник, и кардридер на входной двери в зону обслуживания клиентов в помещении банка. Представляет собой устройство со считывающей магнитной головкой, усилителем — преобразователем, памятью и переходником для подключения к компьютеру. Скиммеры могут быть портативными, миниатюрными. Основная идея и задача скимминга — считать необходимые данные (содержимое дорожки/трека) магнитной полосы карты для последующего воспроизведения её на поддельной. Таким образом, при оформлении операции по поддельной карте авторизационный запрос и списание денежных средств по мошеннической транзакции будут осуществлены со счета оригинальной, «скиммированной» карты.
  • миниатюрная видеокамера, устанавливаемая на банкомат и направляемая на клавиатуру ввода в виде козырька банкомата либо посторонних накладок, например, рекламных материалов — используется вкупе со скиммером для получения ПИН держателя, что позволяет получать наличные в банкоматах по поддельной карте (имея данные дорожки и ПИН оригинальной).
  • Использование вредоносного кода, встроенного в банкомат[источник не указан 133 дня]. Дампы банковских карт, записываются без использования спец оборудования и распознать такой способ обывателю не возможно, но встречается он крайне редко и в большинстве случаев преобладает среди маленьких банков[источник не указан 133 дня]. Дальше с помощью дампов создаются копии карт.

Данные устройства питаются от автономных источников энергии — миниатюрных батарей электропитания, и, для затруднения обнаружения, как правило, изготавливаются и маскируются под цвет и форму банкомата.

Скиммеры могут накапливать украденную информацию о пластиковых картах, либо дистанционно передавать её по радиоканалу злоумышленникам, находящимся поблизости. После копирования информации с карты мошенники изготавливают дубликат карты и, зная ПИН, снимают все деньги в пределах лимита выдачи, как в России, так и за рубежом. Также мошенники могут использовать полученную информацию о банковской карте для совершения покупок в торговых точках.

Меры защиты[править | править вики-текст]

Для предотвращения незаконных списаний по банковской карте рекомендуется применять следующие меры безопасности:

  • не передавать свою карту в чужие руки, следить за тем, чтобы карта использовалась лишь по назначению (дабы невозможно было применить портативное скимминговое устройство, спрятанное под одеждой, например, официанта, либо сотрудника автозаправочных станций, продавца магазина и т. д.).
  • проявлять бдительность и внимательность при пользовании банкоматом, обращать внимание на нестандартные элементы конструкции — накладную клавиатуру, используемую для считывания PINа. В случае скимминга такая клавиатура располагается, как правило, выше уровня корпуса банкомата, легко от неё отделяется и, зачастую, под накладной виднеется часть оригинальной.
  • обращать внимание на установленные микро-видеокамеры на самом банкомате, которые могут быть смонтированы как в козырьке банкомата, так и замаскированы под сопутствующие банкомату предметы, например, рекламные материалы.
  • минимизировать случаи использования банковской карты в местах, вызывающих подозрение; по возможности использовать банковскую карту в хорошо просматриваемых помещениях.
  • снятие наличных средств и другие банковские операции, осуществляемые при помощи банкоматов, по возможности производить в одном и том же банкомате, запомнив его внешний вид. Как правило, стандартные технические модификации банкоматов одного банка редко отражаются на их внешнем виде.
  • по возможности набирать ПИН быстро, заученными движениями и, желательно, используя несколько пальцев руки сразу — так злоумышленникам будет сложнее распознать ваши движения. По возможности прикрывать набирающую ПИН руку другой рукой, сумочкой или каким-либо иным предметом.
  • если банк-эмитент банковской карты имеет в своём сервисе услугу быстрого оповещения владельца карты о фактах списания (смс-оповещения), подключить её для наиболее быстрого реагирования на незаконные списания.
  • использовать банковские карты со встроенным микрочипом, если это возможно[2].

Статистика[править | править вики-текст]

В начале 2010-х в США из 5,6 миллиардов действительных банковских карт, лишь около 20 миллионов являются смарт-картами (содержат чип). За период с 2007 по 2011 год секретная служба США арестовала более 5 тысяч преступников, замешанных в скимминге[3]. Потери за 2012 год оцениваются в 11,3 млрд долларов. [4] В год в стране обнаруживают около 20 тысяч скиммеров[5].

В Великобритании с 2001 по 2011 года мошенничество с пластиковыми картами приводило к потерям в 300—600 млн фунтов ежегодно[6]. Значительная доля преступлений осуществлялась по данным карты в операциях, в которых не требуется предъявление карты (например, покупка через интернет). Потери от скимминга, составлявшие ежегодно от 100 до 170 миллионов фунтов в 2001—2008 годах, значительно снизились в 2010—2011 годах, до 47-36 миллионов фунтов, благодаря широкому внедрению чипованных карт и чипов с поддержкой iCVV и DDA[6].

В России в 2010-е года по официальным данным совершаются тысячи преступлений с пластиковыми картами в год.[7] В 2011 году ущерб от кардинга был оценен компанией Group-IB в 400 миллионов долларов[8].

См. также[править | править вики-текст]

Примечания[править | править вики-текст]

  1. Computer, News Предъявлено обвинение хакерам организаторам ограбления века. Аналитика компьютерной преступности (1о ноября 2009). Проверено 10 ноября 2009. Архивировано из первоисточника 25 августа 2011.
  2. Пластиковые карты с магнитной полосой заменят на чипованные — Татьяна Шадрина — Российская газета
  3. Yudhijit Bhattacharjee. Automated Theft Machines Crooks are getting better at stealing your ATM info. Why the U.S. is such a hot spot (англ.), TIME (Jan. 17, 2011). Проверено 28 января 2014. «Since 2007, the Secret Service has made more than 5,000 arrests in skimming cases, and the FBI has busted a good number of skimming rings too.».
  4. Сергей Голубицкий. Правда о Target, которую вы никогда не узнаете из-за отвлекающего маневра с «Kaptoxой» и русским следом (рус.), "Компьютерра-Онлайн" (24 января 2014). Проверено 28 января 2014.
  5. Защита банкоматов: почему цены на скиммеры падают, а на антискиммеры растут?. — СИА
  6. 1 2 Fraud The Facts 2012
  7. Мошенничество с пластиковыми картами — Портал финансовой грамотности «Ваши личные финансы»
  8. Идет вторая волна воровства денег с банковских карт Мошенники используют скиммеры для считывания данных с банковских карт, Газета.ру (21.10.2011). Проверено 29 января 2014.

Ссылки[править | править вики-текст]