Текст книги "Мошенничество в платежной сфере. Бизнес-энциклопедия"

Автор книги: авторов Коллектив

сообщить о нарушении

Текущая страница: 21 (всего у книги 22 страниц)

7.2.3. Атаки на держателей карт

Одним из объектов атак злоумышленников является держатель карты. Изучение судебной практики по уголовным делам показывает, что самыми многочисленными случаями противоправных действий в области платежных карт являются дела по фактам хищения денежных средств с использованием похищенных карт и ПИН-кода. ПИН-код может быть получен различными способами: похищен вместе с картой, подсмотрен, получен от держателя в результате угроз или даже пыток. Известны случаи, когда держатели карт, работающие вахтовым методом в районах Крайнего Севера, просили банки блокировать их карты на время своего проезда с места работы домой, так как такие рейсы встречали криминальные элементы с целью получения денежных средств. ПИН-код держателя может быть подсмотрен при использовании карты в банкомате или торговом предприятии. Особенно опасно вводить ПИН-код в торгово-сервисных предприятиях, так как при его введении нормальной является ситуация, что в кассу стоит очередь и за спиной держателя находится человек, который видит, как вводится ПИН-код. Помимо этого, недобросовестный владелец или сотрудник магазина может оборудовать место установки ПОС или кассового терминала скрытой системой видеонаблюдения. Подглядывание ПИН-кода может быть особенно опасно, если банк-эмитент предоставляет держателям карт возможность изменить ПИН-код и держатель установил одинаковый ПИН-код ко всем своим картам (чтобы легче запомнить). В этом случае компрометация такого ПИН-кода может привести к хищению денежных средств со всех карт. Иногда держатели карт сталкиваются с так называемым дружественным мошенничеством: член семьи, близкий друг, коллега по работе и т. п. берет карту втайне от законного владельца и, зная ПИН-код, получает деньги в банкомате. На банкоматах также могут устанавливаться различные ловушки, предназначенные либо для захвата карты, либо для захвата наличных денежных средств. При захвате карты обычно злоумышленник «помогает» держателю с целью узнать еще и ПИН-код. Такой «доброжелатель» может похитить у держателя карту и без каких-либо устройств, а просто отвлекая держателя в момент, когда карта выходит из банкомата.

В последнее время большое распространение получил обман держателей карт с использованием средств мобильной связи. Обычно клиент получает на телефон SMS-сообщение, что по какой-то причине его карта заблокирована, дополнительную информацию можно получить по указанному телефону. Характерной особенностью таких сообщений является отсутствие в них реквизитов карт, хотя банки всегда указывают последние цифры номера карты держателя. Так как у одного держателя может быть несколько карт и карты могут быть разных банков, в сообщении необходимо явно указать, о какой карте идет речь. Но мошенники не знают номера карты, а зачастую и банка-эмитента. Банк можно угадать, например Сбербанк – крупнейший эмитент. В остальном расчет злоумышленников строится на методах социальной инженерии. При звонке держателя (номер телефона, конечно же, не совпадает с контактными телефонами банка, указанными на оборотной стороне карты) держатель должен пройти процедуру идентификации, при этом разглашается номер карты и другая критичная информация (срок действия, кодовое слово, последняя легитимная операция). После этого может быть несколько вариантов действий мошенников. Используя полученную конфиденциальную информацию, они могут перезвонить в банк-эмитент и, выдав себя за держателя, либо изменить какие-либо данные, например номер мобильного телефона, либо получить какие-то дополнительные сведения. Другой вариант действий – держателю сообщают, что по его карте прошли какие-то операции, например оплата нескольких мобильных телефонов, «банк» (мошенники) посчитал их подозрительными и просит держателя подтвердить их легитимность. Так как держатель никаких операций не совершал, то просит их отменить. Для этого мошенники просят держателя пройти к банкомату и выполнить операции отмены оплаты мобильных телефонов. На самом деле держатель, инструктируемый «злодеями», не отменяет операции, а своими собственными руками осуществляет перечисление денежных средств на чужие телефоны. Указанная схема используется и при незаконных интернет-операциях, когда банк для их подтверждения высылает держателю одноразовые пароли с использованием SMS. В этом случае в качестве легенды по отмене несанкционированных операций у держателя запрашивают данные коды и, получив их, проводят интернет-операции.

Для получения данных кодов мошенники пытаются перехватить высылаемые банками SMS-сообщения. Это возможно упоминавшимся уже способом получения персональных данных держателя с последующим изменением номера телефона в банке. Также мошенники могут изготовить поддельную доверенность и обратиться в представительство оператора мобильной связи с заявлением об утрате телефона и просьбой выдать новую SIM-карту со старым номером. В этом случае старая SIM-карта у держателя перестает работать, а все SMS-пароли банк высылает на телефон, находящийся у злоумышленников. Для борьбы с таким мошенничеством некоторые банки контролируют процесс смены SIM-карт. Особенно уязвимы мобильные телефоны, а вмести с ними и мобильный банкинг или его элементы, стали с распространением смартфонов, особенно с операционной системой Android. Разработано множество вариантов вредоносного программного обеспечения, направленного и на хищение SMS-паролей, которые не показываются держателю (так же как не показываются и другие сообщения от банка, например об операциях оплаты), и на полный контроль работы мобильного телефона – возможность получать сообщения и формировать команды (сообщения). До появления каких-либо новых технологических решений для телефонов, особенно с операционной системой Android, использование мобильного банка достаточно рискованно.

Приведем некоторые меры безопасности, которые необходимо соблюдать держателям карт с целью не допустить несанкционированных операций по своим картам.

7.2.4. Общие рекомендации для держателей карт по мерам безопасности

Платежные карты являются средством доступа к денежным средствам, находящимся на вашем банковском счете, поэтому отношение к их использованию и хранению должно быть аналогично отношению к наличным денежным средствам. Чтобы использование платежных карт было удобным и приятным, а ваши денежные средства оставались в сохранности, просим вас обратить внимание на следующие простые правила и рекомендации.

1. Храните карту вне доступа третьих лиц, не передавайте карту и (или) не сообщайте ее реквизиты (номер, срок действия, код безопасности на полосе для подписи) третьим лицам, кроме случаев, когда это требуется в процессе оплаты товаров/услуг.

2. Проявляйте аккуратность при хранении и вводе ПИН-кода (не храните записанным вместе с платежной картой). Помните о том, что ответственность за операции, совершенные с использованием ПИН-кода, возлагается на клиента.

3. Будьте бдительны при получении электронных писем или SMS-сообщений якобы от имени банка (например, о блокировке карты или каких-либо платежах), особенно если они содержат ссылки или номера телефонов для связи, отличные от телефонов на оборотной стороне вашей карты. Ссылки в электронных письмах могут вести на мошеннический сайт. Не сообщайте никакой информации о себе и ваших картах позвонившим лицам. При возникновении подозрений звоните в банк по телефонам «горячей линии». Помните о том, что информация о коде безопасности карты (CVC2/CW2), ПИН-коде, а также о паролях/кодах на проведение/отмену операций никогда не запрашивается сотрудниками банка.

4. Используйте услугу SMS-информирования для контроля операций по своим банковским картам, а также возможности мобильного банка для управления суточными лимитами. Оперативное получение SMS-уведомлений по операциям с вашей платежной картой и возможность моментальной самостоятельной блокировки платежной карты без телефонного звонка в банк позволит вам своевременно отреагировать на несанкционированный доступ к карточному счету.

5. При совершении операций с использованием платежных карт в торгово-сервисных предприятиях или банкоматах таких стран, как Украина, Таиланд, США, Бразилия, Турция существует высокая вероятность того, что данные карты и ПИН-код станут доступны мошенникам без ведома держателя карты. Поэтому после посещения этих стран рекомендуется по возможности установить необходимый вам суточный лимит расходования по карте. Использование возможностей системы мобильного банка позволят вам повысить суточный лимит / разблокировать банковскую карту перед проведением операций и понизить лимит / блокировать карту сразу же после совершения операции или при возвращении из страны пребывания. В целях снижения риска потерь рекомендуется установление удобного вам суточного лимита расходов по всем вашим картам, в том числе при использовании их на территории Российской Федерации.

6. Защиту карты от подделки обеспечивает наличие на карте встроенного чипа. Обслуживание в торговых предприятиях платежных карт с использованием чипа обеспечивает должный уровень безопасности.

7. Если банк предоставляет возможность самостоятельного выбора регионов обслуживания и видов операций, разрешенных для вашей платежной карты, рекомендуется ограничить платежную карту использованием только в регионе пребывания и менять настройки в соответствии с планируемыми поездками.

8. Защита от мошенничества по реквизитам платежной карты (в сети Интернет) обеспечивается подключением платежной карты к сервису проведения дополнительной аутентификации платежей по технологии 3D Secure при операциях на сайтах с логотипами Verified By Visa/MasterCard SecureCode (защищенные сайты). Платежи на таких сайтах требуют дополнительной верификации держателя карты со стороны эмитента, например введения одноразового пароля, направляемого в момент операции на номер мобильного телефона. Поскольку кража реквизитов платежной карты возможна не только через Интернет, данный сервис служит вам независимо от того, используете ли вы свою карту в Интернете.

9. Не реже раза в месяц получайте выписку по вашим карточным счетам в отделении банка или оформите заявление о ежемесячном предоставлении ее вам по электронной почте. Из-за специфики проведения расчетов через платежные системы только из выписки можно почерпнуть полную информацию о движениях по счету.

10. Для звонков в банк используйте только телефоны горячей линии банка, указанные на оборотной стороне карты и на официальном сайте банка.

11. Не отключайте без необходимости телефон, на который должны приходить сообщения об операциях! При смене номера мобильного телефона не забудьте незамедлительно уведомить об этом банк.

Услуги с использованием мобильной связи для защиты ваших средств предоставляют следующие основные возможности:

1. Получение SMS-уведомлений:

– об авторизованных операциях по счету платежной карты (авторизованные операции – операции, осуществляемые с проверкой текущего платежного лимита и статуса проверяемой карты);

– об увеличении платежного лимита карты, в том числе зачисление денежных средств на счет карты;

– о запросе через банкоматы / устройства самообслуживания информации о доступной сумме платежного лимита;

– о приостановке/возобновлении действия платежной карты;

– о неуспешной операции по платежной карте.

2. Направление запросов (и получение информации о результате их обработки) для:

– установки по запросу держателя карты суточного/месячного расходного лимита по платежной карте;

– временного приостановления проведения авторизуемых операций по счету платежной карты;

– возобновления возможности проведения авторизуемых операций по счету платежной карты.

3. Подключение сервисов возможно в отделении банка или его банкоматах.

4. Для наиболее полного использования всех возможностей сервисов разработаны специальные приложения для сотовых телефонов.

7.2.5. Особенности обслуживания карт в отдельных странах

Для повышения безопасности использования платежных карт банк может использовать систему мониторинга, учитывающую характерные признаки мошенничества, выявленные в ходе анализа других случаев мошенничества или по информации от международных платежных систем.

Таким образом, в ходе проведения тех или иных операций с использованием платежных карт системой мониторинга банка в динамическом режиме могут накладываться ограничения, если проводимая операция распознается системой как подозрительная. Особенное внимание уделяется операциям с использованием платежных карт в рисковых странах и регионах, таких как США, Латинская Америка или Юго-Восточная Азия, в силу того что в данных регионах не распространены защищенные чиповые технологии, часто фиксируются факты компрометации платежных карт и ПИН-кодов при проведении операций в банкоматах (особенно характерно для Таиланда) и торговых предприятиях. Установленные системой мониторинга банка геоограничения могут изменяться держателем платежной карты самостоятельно, а также при обращении по телефонам круглосуточной службы поддержки держателей платежных карт.

В целях минимизации неудобств при пользовании платежной картой рекомендуется информировать банк о сроках своего пребывания в перечисленных рисковых регионах.

Для обеспечения максимальной защиты от мошенничества платежные карты могут выпускаться с предустановленными ограничениями по операциям покупки и снятия наличных в рисковых регионах.

США. В отличие от большинства других стран, в США платежные карты обслуживаются преимущественно по магнитной полосе. Терминалы и банкоматы, способные обслуживать платежные карты по чипу, на текущий момент остаются редкостью. Таким образом, чип как основной элемент защиты против мошенничества по поддельным платежным картам практически не работает в США, что приводит к увеличению рисков проведения по платежной карте мошеннических операций.

В связи с резким увеличением в настоящее время мошеннической активности на территории США и в целях обеспечения безопасности денежных средств возможны ограничения на операции в данном регионе. В целях минимизации неудобств при пользовании картой рекомендуется информировать банк о сроках своего пребывания в США.

Страны Юго-Восточной Азии. В связи с большим количеством зафиксированных случаев компрометации платежных карт (совместно с ПИН-кодом) при пользовании банкоматами на территории Таиланда, учитывая географию последующих несанкционированных операций, системой мониторинга банка могут блокироваться карты при попытках снятий в банкоматах на территории ряда стран Юго-Восточной Азии. В связи с вышеизложенным, в целях минимизации неудобств при пользовании платежной картой рекомендуется информировать банк о сроках своего пребывания в данном регионе.

Турция. Одним из наиболее распространенных способов компрометации платежных карт (совместно с ПИН-кодом) на территории Турции является перехват данных платежной карты и ПИНа при совершении операций, связанных с получением наличных денежных средств в терминалах. По этой причине не рекомендуется пользоваться услугами таких пунктов, если они не располагаются непосредственно при каком-либо банке.

7.2.6. О мерах безопасности при использовании банкоматов

1. Старайтесь пользоваться одними и теми же банкоматами, которые вам хорошо известны.

2. В случае необходимости использовать новый банкомат, выбирайте хорошо освещенный и установленный в удобном месте.

3. Прежде чем подойти к банкомату, осмотрите окружающее пространство. В случае нахождения поблизости подозрительных людей воспользуйтесь другим банкоматом.

4. Перед тем как подойти к банкомату, достаньте свою карточку и держите ее в руках. Не открывайте бумажник, кошелек, сумку, барсетку непосредственно около банкомата или в очереди к нему.

5. Перед использованием банкомата осмотрите его внешний вид. Если вы обнаружите наличие каких-либо посторонних изделий, предметов, проводов, следов конструктивных изменений, воспользуйтесь другим банкоматом.

6. Будьте особенно осторожны, если кто-то посторонний предлагает вам около банкомата помощь, даже если у вас застряла карточка или возникли проблемы с проведением операции. Не набирайте ПИН-код на виду у «помощника», не позволяйте себя отвлечь, так как в этот момент мошенники могут забрать из банкомата вашу карточку или выданные денежные средства.

7. Если у банкомата за вами находится очередь, убедитесь, что никто не может увидеть ваш ПИН-код.

8. При вводе ПИН-кода находитесь как можно ближе к банкомату, вводите ПИН-код средним пальцем руки (при этом, ладонь руки оказывается раскрытой и злоумышленнику гораздо сложнее увидеть, какие кнопки вы нажимаете), по возможности второй рукой закрывайте клавиатуру от постороннего обзора.

9. Вводите ПИН-код только после того, как банкомат попросит вас об этом.

10. Не применяйте физическую силу, чтобы вставить карточку в банкомат.

11. Всегда сохраняйте все распечатанные банкоматом квитанции.

12. Если вам кажется, что банкомат работает неправильно, нажните кнопку «отмена», заберите свою карточку и воспользуйтесь другим банкоматом. Если проблемы возникли после момента ввода запрошенной суммы, не отходите от банкомата до тех пор, пока не убедитесь в завершении операции, отказе в выдаче или в появлении на экране приглашения провести новую операцию.

13. После получения денежных средств положите наличность и карточку в бумажник, кошелек, сумку и т. п. и только после этого отходите от банкомата.

14. Запомните свой ПИН-код. Если вы его запишете, всегда будет вероятность, что кто-нибудь сможет его узнать.

15. Никогда и ни при каких обстоятельствах не сообщайте никому свой ПИН-код, в том числе родственникам, знакомым, сотрудникам банка или правоохранительных органов.

16. Установите ежедневный лимит снятия денежных средств. Если вам понадобится снять сумму, превышающую разрешенную, можно на время повысить или совсем снять лимит.

17. Подключитесь к системе информирования об операциях по карточке по мобильному телефону при помощи SMS-сообщений. Это позволит не только сразу же узнать о несанкционированной вами операции по карте, но и сразу же ее заблокировать.

18. Ежемесячно получайте и проверяйте выписки по вашему карточному счету.

19. Относитесь к хранению карточки так же, как вы относитесь к наличным денежным средствам.

20. При пользовании карточкой в торговых предприятиях, следите, чтобы карточка не исчезала из вашего поля зрения. При необходимости ввести ПИН-код закройте клавиатуру рукой так, чтобы ни продавец, ни находящиеся рядом с вами клиенты не видели введенных цифр. Если кто-то увидит ваш ПИН-код, после этого карточку могут украсть и быстро снять все денежные средства в банкомате. Не вводите ПИН-код для выдачи наличных в местах, не обозначенных как пункт выдачи наличных какого-либо (желательно знакомого вам по названию) банка.

21. Запишите и всегда храните с собой, но отдельно от карточки, номер вашей карты, номер телефона вашего банка, кодовое слово, по которому банк аутентифицирует вас как законного держателя. Эта информация будет необходима вам в случае возникновения каких-либо проблем с карточкой (например, в случае ее утраты).

22. Если в результате какой-либо подозрительной ситуации вам показалось, что ваш ПИН-код стал известен посторонним людям, обратитесь в банк для блокировки и перевыпуска карты или поменяйте ПИН-код, если банк разрешает это.

7.2.7. Мероприятия по уменьшению банкоматных эмиссионных потерь

1. 100 % эмиссия карт EMV.

2. На регионы, не входящие в liability shift program, по умолчанию для всех карт с использованием фильтров на страны устанавливаются нулевые лимиты.

3. Все карты делятся на две группы:

а) нулевой лимит на страну, не входящую в liability shift program, может подниматься держателем самостоятельно либо банком (по распоряжению клиента) на определенный период времени (планируемое время пребывания);

б) карта устанавливается в список исключений (VIP, характер работы и др.), лимит на страну не устанавливается, банк определяет суточный лимит, который держатель может самостоятельно изменить в любое время.

4. Операции из стран, не входящих в liability shift program, имеют приоритетный статус в системе фрод-мониторинга.

5. Ужесточение правил фрод-мониторинга для стран, не входящих в liability shift program.

6. Для стран, входящих в liability shift program, смягчение правил фрод-мониторинга и отказ от отдельных правил.

7. Обучение держателей карт, снижение «человеческого фактора».

8. SMS-информирование держателей и управление счетом (лимиты, блокирование).

9. Запрет возможности выбора ПИН-кода держателем.

10. Генерация случайного ПИН-кода.

11. Контроль HSM слабого ПИН-кода при генерации.

12. Проверка ПИН-кода методом PW.

13. Проверка ПИН-кода по PW, записанному на магнитную полосу, а не по базе (исключает фишинг для ATM).

14. При записи образа магнитной полосы в ЧИП использование iCW.

15. Страхование эмиссионных рисков (несанкционированные операции по платежным картам).