КАРТЫ ВОЕННЫХ ДЕЙСТВИЙ

      31 мая в Анапе состоится закрытая конференция кардеров - людей, которые зарабатывают на мошенничествах с пластиковыми картами. А 4-6 июня банковский интернет-форум bankir.ru проведет в Москве первый семинар для банковских специалистов "Тонкости бизнеса с платежными пластиковыми картами в российских банках", посвященный, в частности, борьбе с кардингом. Совпадение символичное, ведь потери от мошенничеств с картами неумолимо растут. По данным Федеральной торговой комиссии США, они уже достигли $1 млрд в год.
      Правда, клиенты российских банков вряд ли могут в полной мере ощутить это на себе: от кардеров в основном страда ют за рубежные банки. С другой стороны, большинство профессионалов этого "бизнеса" - россияне.

Необутая Россия

      Разумеется, в России деньги с карточек воруют тоже. Например, 22 апреля в Москве была задержана группа студентов, похитивших с банковских счетов граждан более $700 тыс. Снимали так: в гнездо приема карточки банкомата вставляли устройство, считывающее магнитную полосу карт; в верхней части банкомата устанавливалась миниатюрная камера, снимавшая, как законный держатель карты (кардхолдер) набирает на клавиатуре банкомата пин-код.
      Есть и другие очень простые способы нажиться с помощью карточек. У тех же кардеров через интернет покупается фальшивый российский паспорт ($200-300), который от настоящего банковскому специалисту не отличить. На этот паспорт открывается настоящая карта Visa Classic или Mastercard Mass. С нею вы едете, например, в Австрию, предварительно приобретя фальшивые водительские права ($100) - этого документа достаточно для предъявления кассирам,- и спокойно покупаете товары по подлимитным операциям (когда со счета может списываться сумма больше той, что на нем находится) на несколько тысяч долларов в день. Этим можно заниматься две недели, ни о чем не беспокоясь.
      Нужно только выбирать торговые точки с импринтером - считывающим устройством, которое, в отличие от POS-терминала, не имеет онлайновой связи с процессингом. Бывает, что мошенники расплачиваются в магазинах с помощью поддельных карт - иногда по сговору с кассиром. Или создают фальшивые интернет-магазины, в которые посредством ворованных номеров карт идут платежи (заведению "Политшоп" к моменту задержания его руководителей в 2000 году удалось заработать $300 тыс.).
      Однако в России объем потерь от кардинга относительно невелик. Причин несколько. Например, жесткий контроль со стороны российских эквайринговых компаний (они осуществляют процессинг платежей в пунктах приема карт), которые, по словам их сотрудников, работают эффективнее западных. Лев Аршанский, руководитель службы безопасности "Компании объединенных кредитных карточек" (обслуживает ряд российских банков и более 7 тыс. предприятий, оборот более $1 млрд в год): Мы обслуживаем около 70% всех трансакций по карточкам в России, и у нас фродовых операций (fraud - мошенничество. - "Деньги") не более 0,06%. Это очень низкий уровень по сравнению с общемировым. Западным структурам иногда дешевле списать сумму, чем вести расследование, мы же разбираемся в любом случае, невзирая на сумму. Кроме того, каждый кассир материально заинтересован в выявлении и даже задержании мошенника.
      Другая причина - в России карточками в интернете почти никто не расплачивается, а именно на интернет-платежи приходится львиная доля $ 1 млрд мировых потерь от кардинга.
      И, наконец, самое главное - карточки российских банков (точнее, карточки клиентов российских банков) кардеров просто не интересуют. С западными картами работать выгоднее и проще.

Карточная мануфактура

      О кардерском бизнесе ходит много историй. Например, считается, что значительная часть номеров карт попадает к кардерам через специально созданные порносайты. Однако сами кардеры уверяют, что эта информация недостоверна. Во-первых, прибыль от посещаемого платного порносайта достаточно велика, нет смысла воровать; во-вторых, если речь идет о слабо раскрученных сайтах, то общая реальная отдача будет небольшой - пять-шесть номеров с каждой тысячи посещений. Порносайты для получения номеров карт используют в основном новички.
      Говорят также, что часто в сговор с мошенниками вступают кассиры учреждений, где принимаются для расчета кредитные карты, сотрудники онлайновых магазинов и процессинговых компаний. Так действительно бывает. Например, в конце прошлого года в этом был уличен начальник службы безопасности Union Card.
      Примерно тогда же Абрам Абдала, 32-летний официант из Бруклина, снял нескольких миллионов долларов со счетов топ-менеджеров крупных компаний. Но это скорее исключение, нежели правило. Ворующий карты таким образом является, по сути, камикадзе - его обнаруживают практически всегда и очень быстро. Настоящие кардеры действуют с большим размахом и более безопасно для самих себя, залог тому - четкая специализация. Сергей Хренов, эксперт по безопасности ЗАО "Соник Дуо", в прошлом сотрудник отдела по борьбе с киберпреступлениями одной из российских спецслужб: Одни взламывают интернет-магазины, процессинговые и биллинговые компании с целью получения доступа к базам данных - то есть к номерам кредитных карт и информации, записанной на магнитной полосе, так называемым дампам. Это хакеры. Номера кредитных карт используются для покупок через интернет - на этом специализируются уже другие. Они либо просто <обналичивают> карты через подставные онлайновые магазины - то есть контактируют с третьим видом мошенников, либо совершают покупки в интернет-магазинах, обеспечивая схемы про приему <накарженных> фотоаппаратов, ноутбуков и прочих дорогих, но компактных вещей, удобных для пересылки. Приемом товара и его пересылкой заняты так называемые дропы, это четвертая разновидность участников кардерских операций. Еще несколько видов мошенников занимаются "пластиком".
      Одни, используя дампы, изготавливают фальшивые аналоги настоящих карт для операций в офлайне. Другие у них эти карты покупают и на свой страх и риск пытаются ими расплатиться.

Взломщики

      Взлом карточных баз данных является основой кардинга, именно взломщики обеспечивают <сырьем> этот криминальный бизнес. Однако случаи, когда взлом был обнаружен, можно пересчитать по пальцам. Самый известный произошел в конце 1999 года, когда хакер, известный под кличкой Максус, украл из базы данных покупателей крупного американского виртуального торгового центра CD Universe информацию о номерах 300 тыс. кредиток. Известным этот случай стал по той простой причине, что Максус, вместо того чтобы продавать номера субподрядчикам по кардерскому бизнесу, попросил CD Universe выплатить ему $100 тыс. отступных. Компания отказалась, после чего информация о номерах карточек 25 тыс. ее клиентов была вывешена в интернете в свободном доступе.
      Если бы Максус не известил CD Universe о взломе, скорее всего, о нем бы узнали еще не скоро. В большинстве случаев владельцы баз данных пластиковых карт осознают, что к ним кто-то подключился, далеко не сразу, некоторые об этом не знают до сих пор. То есть они понимают, что что-то не так, но найти источник утечки порой просто не в состоянии.
      Кстати, по данным ФБР, настоящее имя Максуса - Максим Иваньков. Львиная доля хакеров, снабжающих мировой кардинг качественным "сырьем", являются бывшими гражданами СССР.
      Григорий Яклюшин, заместитель директора компании 3d-pay (специализируется на создании ПО для обеспечения безопасности интернет-платежей): Мы изучаем фрод уже почти три года. Естественно, я общаюсь и с кардерами. Основными мировыми поставщиками как карт для кардинга в интернете, так и дампов для записи их на поддельные карты действительно являются русские. Крупнейшие потребители этого товара - американцы сами заявляют, что русский товар - лучший по качеству, цене и ассортименту. Мне известны пять российских хакерских групп, каждая ежедневно продает дапмов на $2-4 тыс. - дамп может стоить $30-100.
      Сведений для операций в интернете продается на порядок больше, но они значительно дешевле - номер карты с полной биллинговой информацией (имя владельца и его адрес, на который банк отсылает выписки по трансакциям. - "Деньги"у стоит $2-4, в итоге в денежном выражении получается примерно столько же, сколько и от дампов. Вот и считайте - только по продаже первичной информации ежедневный оборот составляет около $30 тыс., или порядка $10 млн в год. Номер карты и биллинговая информация позволяют кардерам подменять адрес доставки товаров, купленных в интернет-магазине.
      Подноготная любого американца - номер социального страхования, адрес проживания и проч.- стоит всего $5. Имея на руках такие данные, поменять адрес, привязанный к карточке, можно с помощью обычного телефонного звонка - достаточно произнести (либо набрать на телефоне в тоновом режиме) номер карты социального страхования либо "секретный пароль", в качестве которого американцы, как правило, используют девичью фамилию матери. Узнать ее также не составляет проблемы - в интернете эти сведения покупаются у тех, кто взламывает базы данных по родильным домам. Примерно по той же схеме можно подменить информацию по так называемому дампу с первой дорожкой - то есть с полной информацией о кардхолдере. Этот дамп стоит уже не $100, а от $200 - с ним можно снимать деньги с банкомата (потратившись дополнительно на "пластик"), правда, встречается подобный товар крайне редко. Самые дорогие дампы - с информацией о количестве денег на счете. Их продают за 15 - 20% от суммы средств на счете, но не дешевле $500.

Сетевой кардинг

      Видов интернет-кардинга, то есть способов заработать в сети по купленным номерам карт, существует не меньше десятка. Самый испытанный и надежный связан с использованием дропов - людей, которые согласны принимать товары, купленные через интернет, на свой адрес. В США, как правило, это небогатые граждане, уверенные, что работают в абсолютно легальной посылторговой компании - только на дому. Дроп функционирует не больше месяца - потом к нему всегда приходят федеральные агенты. Говорят, что именно благодаря дроп-схемам в Москве - на <Горбушке> и в интернет-магазинах - такое богатое предложение ноутбуков и цифровых фотоаппаратов по демпинговым ценам. Кстати, самыми активными кардерами-вещевиками считаются белорусы. Еще один способ заработка связан с интернет-казино. Можно просто играть с чужим номером карты. Проиграешь - деньги списываются с чужого счета, выиграешь - перечисляются уже на твой счет. Некоторые зарабатывают в покерных комнатах, где игра идет не против казино, а между реальными людьми. Например, играют четыре человека. Трое - кардеры, сидящие в одном помещении,- против одного настоящего игрока.
      Иногда в онлайновые казино заглядывают и хакеры - в свободное от взлома баз данных время. Известен случай, когда они перенастроили работу одного из интернет-заведений таким образом, что в течение двух часов все, кто там играл, непрерывно выигрывали - и хакеры (наэтот раз они использовали свои настоящие карты), и обычные посетители.
      Выигрыш выплатили именно потому, что злоумышленников невозможно было отличить от честных игроков. Еще кардеры делают ставки в букмекерских конторах, которых много в интернете. Ставят на все исходы крупные суммы - денег-то не жалко, они чужие. Одна ставка выигрывает, разумеется. Некоторые зарабатывают на интернет-аукционах. Но такая работа считается грязной, так как в этом случае от действий кардеров страдают не банки и страховые компании, а реальные люди.

Пластиковых дел мастера

      Если в деле взлома баз данных кредитных карт русские - вне конкуренции, то в сфере изготовления <пластика> конкуренция существует, и весьма серьезная.
      Помимо России карты в больших объемах изготавливают в Юго-Восточной Азии, Прибалтике и на Украине. При этом используется промышленное оборудование, и выявить подделку подчас не могут даже в банках. Корреспондент "Денег" побеседовал с одним из производителей поддельных карт.
      - Прибыльное дело?
      - В среднем продаем по 500 карт в месяц, оптовая цена - $80, если покупать одну -$180. Это без стоимости дампа, потому что дамп клиент присылает сам. Себестоимость - $1,5 - 3 за штуку.
      - Сколько стоит оборудование?
      - Весь комплекс - офсетная печать, голограммы, аппарат для эмбоссирования (выдавливание имени и номера.- "Деньги") стоит порядка $1 млн. Но мы, естественно, его не покупали. Используем мощности для производства дисконтных карт магазинов, например.
      - Кто ваши клиенты?
      - Практически все они проживают в США. Россиянам тоже продаем - если едут за границу. Если карточка покупается для России, можем и отказать. Много начинающих кардеров, жаль ломать им жизнь, попадутся ведь. Все-таки за рубежом контроль не такой серьезный. Так что моральный аспект для нас тоже важен. Кто в итоге страдает от наших карт на Западе? Да практически никто, все оплачивают страховые компании. В России же убытки могут повесить, например, на кассира - такое случается сплошь и рядом.
      - Не опасаетесь, что вас накроют?
      - Чисто технически вычислить нас очень сложно. Моего реального имени и местонахождения никто не знает, заказы и платежи принимаем только через интернет, готовые карточки высылаем по почте.
      - Совсем недавно на Кипре арестовали владельца сайта boafactory.to, известного под ником Боа. А он ведь занимался тем же самым...
      - Он, насколько я знаю, неоднократно использовал не очень качественные карточки собственного производства, на чем и попался. Его вообще давно уже "пасли". Говорят, что Боа был задержан службой безопасности Mastercard.

Щит и меч

      В магазинах используют не только искусно изготовленные дубликаты, но и настоящие карты. Андрей Чумаков, руководитель проекта платежной системы "Рапида": Недавно я был в Чехии и в гостинице случайно познакомился с карточным мошенником - разумеется, русским. Он рассказал, как работает их коллектив. Один - карманник - вытаскивает карту, второй - специалист по документам - быстро, буквально за 10 минут делает пластиковое удостоверение личности на имя владельца карты, третий - спец по подделке подписей - срочно отправляется с нею и удостоверением по магазинам. А четвертый идет за человеком, у которого карту украли. Его цель - ни на секунду не упускать клиента из вида, чтобы зафиксировать момент, когда он обнаружит пропажу. В этом случае идет звонок тому, кто ходит по магазинам, и карта скидывается. В день удается таким образом освоить шесть-семь карт, а ежедневный доход составляет около $10-15 тыс. Пока этот метод активно используется в Европе - таких групп только в Праге около десяти, все русскоязычные. Но дело идет к тому, что скоро они появятся и в России. Между прочим, эти мошенники никогда не используют карты, на которых есть фотография кардхолдера,-лишний риск им ни к чему. Они их просто выкидывают. Также следует ожидать появления в России бутафорских банкоматов - по стопам США, где эта афера очень популярна. Такой переносной аппарат не подключен ни к одной из платежных систем, просто собирает дампы и пин-коды карт и денег, естественно, не выдает (говорят, подобную технику можно купить у европейских "специалистов" за $3,5 тыс.). Один кардер-технарь сообщил корреспонденту "Денег", что недавно ему поступил заказ на дистанционное перепрограммирование банкоматов - выдаваемая сумма будет увеличиваться в десять раз. Уверяет, что задача вполне выполнимая. В общем, складывается впечатление, что управы на кардеров нет и не будет. Сергей Хренов: Антифродовые системы постоянно совершенствуются, но и кардеры не стоят на месте. Суть кредитной карты в ее нынешнем виде такова, что абсолютной защиты по операциям с ней добиться невозможно без существенного усложнения правил ее использования. На это платежные системы вряд ли пойдут, поскольку американцы - а США являются самым большим рынком пластиковых карт - за несколько десятков лет привыкли пользоваться картами в торговой сети без введения пин-кода, а просто подписывая чек. Кстати, платежные системы прямо запрещают торговым точкам требовать введения пин-кода. По большому счету карточное мошенничество мало трогает зарубежных кардхолдеров, поскольку по правилам тех же платежных систем все риски берут на себя банки-эмитенты. У нас, к сожалению, другая ситуация.
      По мнению некоторых независимых экспертов, способность российских банковских служащих противостоять кардингу крайне невелика. Григорий Яклюшин: Уже сейчас можно было бы существенно снизить риски по тому же эквайрингу интернет-магазинов. А банки просто отказываются их обслуживать, между тем гигантские обороты зарубежных кардхолдеров вполне могли бы пройти через российскую банковскую систему. Причина - полное непонимание большинством банковских специалистов, как контролировать риски при работе на этом рынке.
      На самом деле, если нет доверия к интернет-магазину, можно просто каждый день проверять трансакции, хотя бы 10-30%. Зарубежные эмитенты отвечают на такие запросы очень охотно и оперативно - в течение пары дней. Служащие банков брезгуют даже ходить на кардерские форумы, где могли бы существенно поднять свой профессиональный уровень. Противника нужно знать в лицо.
      Кардеры, кстати, изучают действия банкиров с гораздо большим энтузиазмом. В конце мая в России должно открыться первое Национальное кредитное бюро, в которое уже согласились войти десять крупнейших банков. В рамках проекта они будут обмениваться информацией, создавая базу данных по клиентам с хорошей и плохой кредитной историей.
      Кардеры, по их собственным словам, ждут этого с нетерпением. Централизованная база кредитных историй им пригодится.

      Уезжая за границу, оставьте заявление об утере карт у родственников или знакомых. Проблема карточного мошенничества для россиян пока не очень актуальна, в частности, потому, что большинство имеющихся у них карточек - дебетовые типа Visa Electron/Maestro. Красть такую бессмысленно, поскольку все операции по ней проводятся только с авторизацией, а подлимитные операции (когда с карточки может списываться сумма, превышающая ту, что на ней находится) невозможны. Однако если у вас дебетовая карточка более высокого класса - например, Visa Classic или Mastercard Mass, эмитированная российским банком, вы не застрахованы от весьма крупных неприятностей. О них спецкорреспонденту "Денег" Алексею Ходорычу рассказал Андрей Чумаков, руководитель проекта платежной системы "Рапида".
      - О каких неприятностях речь?
      - Три недели назад завершился судебный процесс одного из крупнейших российских банков против его клиентки. Три года назад у клиентки украли карточку. Она тут же написала заявление о пропаже, его приняли и прекратили операции по счету. Но спустя шесть месяцев по карточке были совершены подлимитные операции на $12 тыс. Эти деньги банк стребовал с клиентки, она отказалась их выплачивать, и банк подал на нее в суд. В суде представители банка заявили, что никакого заявления не получали. Но клиентка оказалась грамотной - она сохранила копию. Банк, не ожидавший такой редусмотрительности, тут же подал заявление в УБЭП - клиентку пытались обвинить в преступном сговоре. Между тем с учетом процентов $12 тыс. превратились в $30 тыс. В итоге клиентке удалось доказать свою правоту. Но какой ценой! Напомню, разбирательство длилось три года.
      - Почему это стало возможным?
      - Во-первых, банк решил сэкономить на страховании своих рисков, переложив их на клиентов. Во-вторых, он решил сэкономить на постановке карточки в стоп-лист, это стоит $40 за две недели по одному региону. А таких регионов в мире шесть. Но главное то, что договоры подавляющего числа российских банков составлены так, что потери по подлимит-ным операциям перекладываются на клиента. Такого нет нигде в мире! Если клиент грамотный и просит поставить карту в стоп-лист, то обнаруживает, что это платная услуга! А ведь стоимость стоп-листа по всем регионам до конца срока годности карты составляет иногда более $6 тыс. в год. А если не желаешь платить, с тебя попробуют взыскать ущерб от подлимитных операций, которые могут быть совершены уже после того, как ты известил банк о пропаже. На Западе, утеряв карту, вы просто платите штраф в $50. И все. Вся ответственность с вас снимается.
      - И как быть? Внимательно читайте договор с банком.
      - Особое внимание уделите пункту "Ответственность сторон". Бывает, он прописан не в договоре, а в правилах или условиях пользования картой. А иногда в договоре с банком встречается пункт: "...если по картам, уже заявленным клиентами как утерянные/украденные в Банк поступает расчетная информация, то такие операции списываются со счета владельца СКС, который тем самым несет полную ответственность по возмещению подобного рода расходов до того момента, пока данные по утерянной/украденной карте не будут помещены в информационную базу платежной системы Visa в сроки, установленные платежной системой..." С такими банками дела иметь не стоит. Как и с теми, у кого стоп-лист позиционируется как платная услуга. Эти расходы должен нести банк.
      - А с кем стоит иметь дело? Вы же говорите, что большинство таких!
      - В России работает ряд западных и российских банков, где права клиента защищены на должном уровне. Но их единицы. Если российские банки не поменяют свою политику в этой области, пусть несут потери. Рано или поздно они перепишут договор. Чем грамотнее будут клиенты, тем скорее это произойдет.
      - Допустим, человек только утратив карту сообразил, что его банк, согласно договору, перекладывает на него ответственность. Что делать?
      - В таких случаях следует заплатить банку лишь штраф за утерю карты, прописанный в тарифах обычно это $50. А блокировка карты и тем более какая-то там постановка в стоп-лист, о котором вы, клиент, знать вообще не должны,- это проблемы банка. Даже если в договоре, который вы подписали, написано иное. Если банк списал какие-то средства с вашего счета, смело подавайте в суд. Гражданский кодекс еще никто не отменял. Дело вы выиграете. Главное условие - оперативно подать заявление в письменно виде.
      - А если я заявление о пропаже не подал? Допустим, я нахожусь на отдыхе за границей...
      - Эта ситуация самая неприятная. По телефону операции по вашему счету временно приостановят. Но не подлимитные. Вернувшись, вы можете подать заявление в письменном виде, но если мошенники успели поработать с вашей картой, суд вам выиграть будет тяжело. Ведь в договорах со всеми банками написано, что заявление об утере может быть подано только в письменном виде, даже факс не годится. Это, кстати, тоже расходится с зарубежной практикой, где карточку можно заблокировать дистанционно, используя в качестве идентификации кодовое слово, и ответственность за все мошеннические операции по карте с клиентов тут же снимается. Российские банки не идут на это, чтобы иметь еще один козырь в случае мошенничества по подлимитным операциям. Поэтому, уезжая за границу, оставьте у близких заявление об утере карты.
      Если случилась неприятность, они должны быстро отнести заявление в отделение банка, предварительно поставив в нем необходимую дату. И пусть обязательно возьмут копию документа - там операционист банка должен поставить отметку о принятии заявления.
      - Но банки перекладывают ответственность не только на физических, но и на юридических лиц. Например, на магазины, которые обслуживают по соответствующему договору.
      - Конечно, если кассир нарушил правила приема карты, виноват магазин. Но вообще, поскольку речь идет о юрлице, некоторые положения Гражданского кодекса здесь не применимы. Если та или иная ситуация была прописана в договоре, значит, магазину придется платить. Вывод: внимательно изучайте договор. Но, боюсь, в России нет банков, которые составляли бы подобный документ должным образом.




Перейти на главную страницу
Hosted by uCoz