Аферы Подделки Криминал Архив раздела "Аферы и мошенничество"




 

Карты военных действий

Алексей Ходорыч. Коммерсантъ-Деньги, № 19, 19.05.2003

31 мая в Анапе состоится закрытая конференция кардеров – людей, которые зарабатывают на мошенничествах с пластиковыми картами. А 4-6 июня банковский интернет-форум bankir.ru проведет в Москве первый семинар для банковских специалистов "Тонкости бизнеса с платежными пластиковыми картами в российских банках", посвященный, в частности, борьбе с кардингом. Совпадение символичное, ведь потери от мошенничеств с картами неумолимо растут. По данным Федеральной торговой комиссии США, они уже достигли $1 млрд в год. Правда, клиенты российских банков вряд ли могут в полной мере ощутить это на себе: от кардеров в основном страдают зарубежные банки. С другой стороны, большинство профессионалов этого "бизнеса"-- россияне.

Необутая Россия

Карты военных действий

Разумеется, в России деньги с карточек воруют тоже. Например, 22 апреля в Москве была задержана группа студентов, похитивших с банковских счетов граждан более $700 тыс. Снимали так: в гнездо приема карточки банкомата вставляли устройство, считывающее магнитную полосу карт; в верхней части банкомата устанавливалась миниатюрная камера, снимавшая, как законный держатель карты (кардхолдер) набирает на клавиатуре банкомата пин-код.

Есть и другие очень простые способы нажиться с помощью карточек. У тех же кардеров через интернет покупается фальшивый российский паспорт ($200-300), который от настоящего банковскому специалисту не отличить. На этот паспорт открывается настоящая карта Visa Classic или Mastercard Mass. С нею вы едете, например, в Австрию, предварительно приобретя фальшивые водительские права ($100) – этого документа достаточно для предъявления кассирам, – и спокойно покупаете товары по подлимитным операциям (когда со счета может списываться сумма больше той, что на нем находится) на несколько тысяч долларов в день. Этим можно заниматься две недели, ни о чем не беспокоясь. Нужно только выбирать торговые точки с импринтером – считывающим устройством, которое, в отличие от POS-терминала, не имеет онлайновой связи с процессингом.

Бывает, что мошенники расплачиваются в магазинах с помощью поддельных карт – иногда по сговору с кассиром. Или создают фальшивые интернет-магазины, в которые посредством ворованных номеров карт идут платежи (заведению "Политшоп" к моменту задержания его руководителей в 2000 году удалось заработать $300 тыс.).

Однако в России объем потерь от кардинга относительно невелик. Причин несколько. Например, жесткий контроль со стороны российских эквайринговых компаний (они осуществляют процессинг платежей в пунктах приема карт), которые, по словам их сотрудников, работают эффективнее западных. Лев Аршанский, руководитель службы безопасности "Компании объединенных кредитных карточек" (обслуживает ряд российских банков и более 7 тыс. предприятий, оборот более $1 млрд в год): Мы обслуживаем около 70% всех трансакций по карточкам в России, и у нас фродовых операций (fraud – мошенничество.– "Деньги") не более 0,06%. Это очень низкий уровень по сравнению с общемировым. Западным структурам иногда дешевле списать сумму, чем вести расследование, мы же разбираемся в любом случае, невзирая на сумму. Кроме того, каждый кассир материально заинтересован в выявлении и даже задержании мошенника.

Другая причина – в России карточками в интернете почти никто не расплачивается, а именно на интернет-платежи приходится львиная доля $1 млрд мировых потерь от кардинга.

И, наконец, самое главное – карточки российских банков (точнее, карточки клиентов российских банков) кардеров просто не интересуют. С западными картами работать выгоднее и проще.

Карточная мануфактура

О кардерском бизнесе ходит много историй. Например, считается, что значительная часть номеров карт попадает к кардерам через специально созданные порносайты. Однако сами кардеры уверяют, что эта информация недостоверна. Во–первых, прибыль от посещаемого платного порносайта достаточно велика, нет смысла воровать; во-вторых, если речь идет о слабо раскрученных сайтах, то общая реальная отдача будет небольшой – пять-шесть номеров с каждой тысячи посещений. Порносайты для получения номеров карт используют в основном новички.

Говорят также, что часто в сговор с мошенниками вступают кассиры учреждений, где принимаются для расчета кредитные карты, сотрудники онлайновых магазинов и процессинговых компаний. Так действительно бывает. Например, в конце прошлого года в этом был уличен начальник службы безопасности Union Card. Примерно тогда же Абрам Абдала, 32-летний официант из Бруклина, снял нескольких миллионов долларов со счетов топ-менеджеров крупных компаний. Но это скорее исключение, нежели правило. Ворующий карты таким образом является, по сути, камикадзе – его обнаруживают практически всегда и очень быстро.

Настоящие кардеры действуют с большим размахом и более безопасно для самих себя, залог тому – четкая специализация. Сергей Хренов, эксперт по безопасности ЗАО "Соник Дуо", в прошлом сотрудник отдела по борьбе с киберпреступлениями одной из российских спецслужб: Одни взламывают интернет-магазины, процессинговые и биллинговые компании с целью получения доступа к базам данных – то есть к номерам кредитных карт и информации, записанной на магнитной полосе, так называемым дампам. Это хакеры. Номера кредитных карт используются для покупок через интернет – на этом специализируются уже другие. Они либо просто "обналичивают" карты через подставные онлайновые магазины –- то есть контактируют с третьим видом мошенников, либо совершают покупки в интернет-магазинах, обеспечивая схемы про приему "накарженных" фотоаппаратов, ноутбуков и прочих дорогих, но компактных вещей, удобных для пересылки. Приемом товара и его пересылкой заняты так называемые дропы, это четвертая разновидность участников кардерских операций. Еще несколько видов мошенников занимаются "пластиком". Одни, используя дампы, изготавливают фальшивые аналоги настоящих карт для операций в офлайне. Другие у них эти карты покупают и на свой страх и риск пытаются ими расплатиться.

Взломщики

Взлом карточных баз данных является основой кардинга, именно взломщики обеспечивают "сырьем" этот криминальный бизнес. Однако случаи, когда взлом был обнаружен, можно пересчитать по пальцам.

Самый известный произошел в конце 1999 года, когда хакер, известный под кличкой Максус, украл из базы данных покупателей крупного американского виртуального торгового центра CD Universe информацию о номерах 300 тыс. кредиток. Известным этот случай стал по той простой причине, что Максус, вместо того чтобы продавать номера субподрядчикам по кардерскому бизнесу, попросил CD Universe выплатить ему $100 тыс. отступных. Компания отказалась, после чего информация о номерах карточек 25 тыс. ее клиентов была вывешена в интернете в свободном доступе.

Если бы Максус не известил CD Universe о взломе, скорее всего, о нем бы узнали еще не скоро. В большинстве случаев владельцы баз данных пластиковых карт осознают, что к ним кто-то подключился, далеко не сразу, некоторые об этом не знают до сих пор. То есть они понимают, что что-то не так, но найти источник утечки порой просто не в состоянии.

Кстати, по данным ФБР, настоящее имя Максуса – Максим Иваньков. Львиная доля хакеров, снабжающих мировой кардинг качественным "сырьем", являются бывшими гражданами СССР.

Григорий Яклюшин, заместитель директора компании 3d-pay (специализируется на создании ПО для обеспечения безопасности интернет-платежей): Мы изучаем фрод уже почти три года. Естественно, я общаюсь и с кардерами. Основными мировыми поставщиками как карт для кардинга в интернете, так и дампов для записи их на поддельные карты действительно являются русские. Крупнейшие потребители этого товара – американцы сами заявляют, что русский товар – лучший по качеству, цене и ассортименту.

Мне известны пять российских хакерских групп, каждая ежедневно продает дапмов на $2-4 тыс. – дамп может стоить $30-100. Сведений для операций в интернете продается на порядок больше, но они значительно дешевле – номер карты с полной биллинговой информацией (имя владельца и его адрес, на который банк отсылает выписки по трансакциям. –"Деньги") стоит $2-4, в итоге в денежном выражении получается примерно столько же, сколько и от дампов. Вот и считайте – только по продаже первичной информации ежедневный оборот составляет около $30 тыс., или порядка $10 млн в год.

Номер карты и биллинговая информация позволяют кардерам подменять адрес доставки товаров, купленных в интернет-магазине. Подноготная любого американца – номер социального страхования, адрес проживания и проч. – стоит всего $5. Имея на руках такие данные, поменять адрес, привязанный к карточке, можно с помощью обычного телефонного звонка – достаточно произнести (либо набрать на телефоне в тоновом режиме) номер карты социального страхования либо "секретный пароль", в качестве которого американцы, как правило, используют девичью фамилию матери. Узнать ее также не составляет проблемы – в интернете эти сведения покупаются у тех, кто взламывает базы данных по родильным домам.

Примерно по той же схеме можно подменить информацию по так называемому дампу с первой дорожкой – то есть с полной информацией о кардхолдере. Этот дамп стоит уже не $100, а от $200 – с ним можно снимать деньги с банкомата (потратившись дополнительно на "пластик"), правда, встречается подобный товар крайне редко. Самые дорогие дампы – с информацией о количестве денег на счете. Их продают за 15-20% от суммы средств на счете, но не дешевле $500.

Пластиковых дел мастера

Если в деле взлома баз данных кредитных карт русские – вне конкуренции, то в сфере изготовления "пластика" конкуренция существует, и весьма серьезная. Помимо России карты в больших объемах изготавливают в Юго-Восточной Азии, Прибалтике и на Украине. При этом используется промышленное оборудование, и выявить подделку подчас не могут даже в банках.

Корреспондент "Денег" побеседовал с одним из производителей поддельных карт.

– Прибыльное дело?

– В среднем выпускаем по 500 карт в месяц, продаем их оптом по $80. Одна карточка стоит $180. Это без стоимости дампа, потому что дамп клиент присылает сам. Себестоимость – $1,5-3 за штуку.

– Сколько стоит оборудование?

– Весь комплекс – офсетная печать, голограммы, аппарат для эмбоссирования (выдавливание имени и номера. –"Деньги") стоит порядка $1 млн. Но мы, естественно, его не покупали. Используем мощности для производства дисконтных карт магазинов, например.

– Кто ваши клиенты?

– Практически все они проживают в США. Россиянам тоже продаем – если едут за границу. Если карточка покупается для России, можем и отказать. Много начинающих кардеров, жаль ломать им жизнь, попадутся ведь. Все-таки за рубежом контроль не такой серьезный. Так что моральный аспект для нас тоже важен. Кто в итоге страдает от наших карт на Западе? Да практически никто, все оплачивают страховые компании. В России же убытки могут повесить, например, на кассира – такое случается сплошь и рядом.

– Не опасаетесь, что вас накроют?

– Чисто технически вычислить нас очень сложно. Моего реального имени и местонахождения никто не знает, заказы и платежи принимаем только через интернет, готовые карточки высылаем по почте.

– Совсем недавно на Кипре арестовали владельца сайта boafactory.to, известного под ником Боа. А он ведь занимался тем же самым...

– Он, насколько я знаю, неоднократно использовал не очень качественные карточки собственного производства, на чем и попался. Его вообще давно уже "пасли". Говорят, что Боа сдала органам Mastercard.

Щит и меч

В магазинах используют не только искусно изготовленные дубликаты, но и настоящие карты. Андрей Чумаков, руководитель проекта платежной системы "Рапида": Недавно я был в Чехии и в гостинице случайно познакомился с карточным мошенником – разумеется, русским. Он рассказал, как работает их коллектив. Один –- карманник –- вытаскивает карту, второй – специалист по документам – быстро, буквально за 10 минут делает пластиковое удостоверение личности на имя владельца карты, третий – спец по подделке подписей – срочно отправляется с нею и удостоверением по магазинам. А четвертый идет за человеком, у которого карту украли. Его цель – ни на секунду не упускать клиента из вида, чтобы зафиксировать момент, когда он обнаружит пропажу. В этом случае идет звонок тому, кто ходит по магазинам, и карта скидывается. В день удается таким образом освоить шесть-семь карт, а ежедневный доход составляет около $10-15 тыс. Пока этот метод активно используется в Европе – таких групп только в Праге около десяти, все русскоязычные. Но дело идет к тому, что скоро они появятся и в России. Между прочим, эти мошенники никогда не используют карты, на которых есть фотография кардхолдера, – лишний риск им ни к чему. Они их просто выкидывают.

Также следует ожидать появления в России бутафорских банкоматов – по стопам США, где эта афера очень популярна. Такой переносной аппарат не подключен ни к одной из платежных систем, просто собирает дампы и пин-коды карт и денег, естественно, не выдает (говорят, подобную технику можно купить у европейских "специалистов" за $3,5 тыс.).

Один кардер-технарь сообщил корреспонденту "Денег", что недавно ему поступил заказ на дистанционное перепрограммирование банкоматов – выдаваемая сумма будет увеличиваться в десять раз. Уверяет, что задача вполне выполнимая. В общем, складывается впечатление, что управы на кардеров нет и не будет.

Сергей Хренов: Антифродовые системы постоянно совершенствуются, но и кардеры не стоят на месте. Суть кредитной карты в ее нынешнем виде такова, что абсолютной защиты по операциям с ней добиться невозможно без существенного усложнения правил ее использования. На это платежные системы вряд ли пойдут, поскольку американцы – а США являются самым большим рынком пластиковых карт – за несколько десятков лет привыкли пользоваться картами в торговой сети без введения пин-кода, а просто подписывая чек. Кстати, платежные системы прямо запрещают торговым точкам требовать введения пин-кода. По большому счету карточное мошенничество мало трогает зарубежных кардхолдеров, поскольку по правилам тех же платежных систем все риски берут на себя банки-эмитенты. У нас, к сожалению, другая ситуация (см. "Уезжая за границу, оставьте заявление об утере карты").

По мнению некоторых независимых экспертов, способность российских банковских служащих противостоять кардингу крайне невелика. Григорий Яклюшин: Уже сейчас можно было бы существенно снизить риски по тому же эквайрингу интернет-магазинов. А банки просто отказываются их обслуживать, между тем гигантские обороты зарубежных кардхолдеров вполне могли бы пройти через российскую банковскую систему. Причина – полное непонимание большинством банковских специалистов, как контролировать риски при работе на этом рынке. На самом деле, если нет доверия к интернет-магазину, можно просто каждый день проверять трансакции, хотя бы 10-30%. Зарубежные эмитенты отвечают на такие запросы очень охотно и оперативно – в течение пары дней. Служащие банков брезгуют даже ходить на кардерские форумы, где могли бы существенно поднять свой профессиональный уровень. Противника нужно знать в лицо.

Кардеры, кстати, изучают действия банкиров с гораздо большим энтузиазмом. В конце мая в России должно открыться первое Национальное кредитное бюро, в которое уже согласились войти десять крупнейших банков. В рамках проекта они будут обмениваться информацией, создавая базу данных по клиентам с хорошей и плохой кредитной историей.

Кардеры, по их собственным словам, ждут этого с нетерпением. Централизованная база кредитных историй им пригодится.

"Уезжая за границу, оставьте заявление об утере карты"

Проблема карточного мошенничества для россиян пока не очень актуальна, в частности, потому, что большинство имеющихся у них карточек – дебетовые типа Visa Electron/Maestro. Красть такую бессмысленно, поскольку все операции по ней проводятся только с авторизацией, а подлимитные операции (когда с карточки может списываться сумма, превышающая ту, что на ней находится) невозможны. Однако если у вас дебетовая карточка более высокого класса – например, Visa Classic или Mastercard Mass, эмитированная российским банком, вы не застрахованы от весьма крупных неприятностей. О них спецкорреспонденту "Денег" Алексею Ходорычу рассказал Андрей Чумаков, руководитель проекта платежной системы "Рапида".

– О каких неприятностях речь?

– Три недели назад завершился судебный процесс одного из крупнейших российских банков против его клиентки. Три года назад у клиентки украли карточку. Она тут же написала заявление о пропаже, его приняли и прекратили операции по счету. Но спустя шесть месяцев по карточке были совершены подлимитные операции на $12 тыс. Эти деньги банк стребовал с клиентки, она отказалась их выплачивать, и банк подал на нее в суд. В суде представители банка заявили, что никакого заявления не получали. Но клиентка оказалась грамотной – она сохранила копию. Банк, не ожидавший такой предусмотрительности, тут же подал заявление в УБЭП – клиентку пытались обвинить в преступном сговоре. Между тем с учетом процентов $12 тыс. превратились в $30 тыс. В итоге клиентке удалось доказать свою правоту. Но какой ценой! Напомню, разбирательство длилось три года.

– Почему это стало возможным?

– Во-первых, банк решил сэкономить на страховании своих рисков, переложив их на клиентов. Во-вторых, он решил сэкономить на постановке карточки в стоп-лист, это стоит $40 за две недели по одному региону. А таких регионов в мире шесть. Но главное то, что договоры подавляющего числа российских банков составлены так, что потери по подлимитным операциям перекладываются на клиента. Такого нет нигде в мире! Если клиент грамотный и просит поставить карту в стоп-лист, то обнаруживает, что это платная услуга! А ведь стоимость стоп-листа по всем регионам до конца срока годности карты составляет иногда более $6 тыс. в год. А если не желаешь платить, с тебя попробуют взыскать ущерб от подлимитных операций, которые могут быть совершены уже после того, как ты известил банк о пропаже. На Западе, утеряв карту, вы просто платите штраф в $50. И все. Вся ответственность с вас снимается.

– И как быть?

– Внимательно читайте договор с банком. Особое внимание уделите пункту "Ответственность сторон". Бывает, он прописан не в договоре, а в правилах или условиях пользования картой. А иногда в договоре с банком встречается пункт: "...если по картам, уже заявленным клиентами как утерянные/украденные в Банк поступает расчетная информация, то такие операции списываются со счета владельца СКС, который тем самым несет полную ответственность по возмещению подобного рода расходов до того момента, пока данные по утерянной/украденной карте не будут помещены в информационную базу платежной системы Visa в сроки, установленные платежной системой..."

С такими банками дела иметь не стоит. Как и с теми, у кого стоп-лист позиционируется как платная услуга. Эти расходы должен нести банк.

– А с кем стоит иметь дело? Вы же говорите, что большинство таких!

– В России работает ряд западных и российских банков, где права клиента защищены на должном уровне. Но их единицы. Если российские банки не поменяют свою политику в этой области, пусть несут потери. Рано или поздно они перепишут договор. Чем грамотнее будут клиенты, тем скорее это произойдет.

– Допустим, человек только утратив карту сообразил, что его банк, согласно договору, перекладывает на него ответственность. Что делать?

– В таких случаях следует заплатить банку лишь штраф за утерю карты, прописанный в тарифах – обычно это $50. А блокировка карты и тем более какая-то там постановка в стоп-лист, о котором вы, клиент, знать вообще не должны, – это проблемы банка. Даже если в договоре, который вы подписали, написано иное. Если банк списал какие-то средства с вашего счета, смело подавайте в суд. Гражданский кодекс еще никто не отменял. Дело вы выиграете. Главное условие – оперативно подать заявление в письменно виде.

– А если я заявление о пропаже не подал? Допустим, я нахожусь на отдыхе за границей... 

– Эта ситуация самая неприятная. По телефону операции по вашему счету временно приостановят. Но не подлимитные. Вернувшись, вы можете подать заявление в письменном виде, но если мошенники успели поработать с вашей картой, суд вам выиграть будет тяжело. Ведь в договорах со всеми банками написано, что заявление об утере может быть подано только в письменном виде, даже факс не годится. Это, кстати, тоже расходится с зарубежной практикой, где карточку можно заблокировать дистанционно, используя в качестве идентификации кодовое слово, и ответственность за все мошеннические операции по карте с клиентов тут же снимается. Российские банки не идут на это, чтобы иметь еще один козырь в случае мошенничества по подлимитным операциям. Поэтому, уезжая за границу, оставьте у близких заявление об утере карты. Если случилась неприятность, они должны быстро отнести заявление в отделение банка, предварительно поставив в нем необходимую дату. И пусть обязательно возьмут копию документа – там операционист банка должен поставить отметку о принятии заявления.

– Но банки перекладывают ответственность не только на физических, но и на юридических лиц. Например, на магазины, которые обслуживают по соответствующему договору.

– Конечно, если кассир нарушил правила приема карты, виноват магазин. Но вообще, поскольку речь идет о юрлице, некоторые положения Гражданского кодекса здесь не применимы. Если та или иная ситуация была прописана в договоре, значит, магазину придется платить. Вывод: внимательно изучайте договор. Но, боюсь, в России нет банков, которые составляли бы подобный документ должным образом.

Еще статьи Алексея Ходорыча на сайте: 




При любом использовании материалов сайта или их части в сети Интернет обязательна активная незакрытая для индексирования гиперссылка на www.aferizm.ru.
При воспроизведении материалов сайта в печатных изданиях обязательно указание на источник заимствования: Aferizm.ru.

Copyright © А. Захаров  2000-2017. Все права защищены. Последнее обновление: 20 апреля 2017 г.
Сайт в Сети с 21 июня 2000 года

SpyLOG Яндекс.Метрика   Openstat   HotLog