Поиск
Круглосуточная информационно-сервисная служба
+7 495 705 90 90
8 800 200 02 23
Онлайн-банкинг
Онлайн-банкинг
||| Банковская газета ||| Пресс-релизы ||| Публикации
 
Распечатать страницу

Публикации

20.09.2010


финанс.
№34
Дата: Сентябрь 20, 2010
Тип издания: Еженедельный деловой журнал.
Тираж: 48 700 экз.
Распространение: Россия

АЛЛО, МЫ ИЩЕМ КРИМИНАЛЬНЫЕ ТАЛАНТЫ!

Схемы. Мошенники проявляют смекалку, втираясь в доверие к клиентам банков, - те сами сообщают им данные пластиковых карт. "Ф. " составил список наиболее актуальных рисков, которые несут кредитные организации и их клиенты.

У видео Barnaby Jack Hacks ATM на сайте Youtube уже более &3 тыс. просмотров. Ролик снят на проходившей в Лас-Вегасе хакерской конференции Black Hat в июле этого года - эксперт по компьютерной безопасности Джек Барнаби демонстрирует, как за несколько минут можно заставить банкомат "поделиться" деньгами с помощью модема и программ, эксплуатирующих недостатки программного обеспечения кэш-машины. Зал взрывается аплодисментами. Но бенефис мог и не состояться - на прошлогодней конференции компания Juniper Networks, на которую работал Барнаби, внезапно отменила его доклад по просьбе представителей одной из компаний-производителей ATM. Естественно, пожелавшей остаться неизвестной.

Специалисты признают: интерес к тому, можно ли "вскрыть" кэш-машину, огромен. По некоторым данным, за 2009 год в России было совершено около 250 атак на банкоматы с помощью подключения хакеров. Собеседник "Ф. " в одном из крупных розничных банков весной этого года всерьез говорил: если не получится победить мошенников, которые наладили "мануфактуру" по взлому банкоматов, карточный бизнес в России можно будет сворачивать. Потери в целом по системе шли на десятки миллионов долларов. Перекрыть лазейку все-таки удалось. Теперь, в связи с ожесточенным противодействием банкиров в области "пластика" центр приложения мошеннических сил постепенно переходит в интернет. Также в ход идут мобильные телефоны и методы психологического давления.

Доходное место. Когда сотруднику службы безопасности Абсолют-банка пришло SMS-сообщение о том, что его карта заблокирована и для ее разблокировки необходимо позвонить по определенному номеру, тот ее удалил, особо не вдаваясь в подробности. Однако чуть позже с этого номера раздался звонок - в необходимости срочно разблокировать карту теперь убеждал приятный женский голос. Мошенников не смутило даже то, что они звонят "безопаснику". История закончилась тем, что этот номер телефона был передан в МВД. Там таких обращений уже несколько десятков - этим летом банковскую индустрию накрыла волна попыток хитростью узнать PIN-коды карт. В середине августа Сбербанку даже пришлось выпускать специальное обращение к клиентам с предупреждением об активизации мошеннических действий "с использованием SMS-сообщений и звонков на мобильные телефоны". Сталкивались с подобными случаями в "Сити" и "Альфе". Мошенники, представляясь сотрудниками банка, просили сообщить им полный номер карты, срок действия и другие необходимые для подделки "пластика" реквизиты, Некоторых клиентов направляли прямиком к "заряженным" скимминговыми устройствами банкоматам, где они подписывались на услугу интернет-банка, после чего передавали "представителю банка" логин и пароль, полученный в банкомате. Мошенники, получая номера карты, а также данные для доступа в интернет-банк, переводили все средства на другие счета.

Злоумышленники креативят - от имени ВТБ24 размещают вакансии на региональных сайтах по поиску работы (для предоставления уточняющей информации пользователи отправляли платное SMS-сообщение), а от имени ЦБ проводились "розыгрыши призов" среди держателей пластиковых карт. По данным Ассоциации региональных банков, в 2008 году потери, связанные с мошенничеством на рынке платежных карт, в России составили около 1 млрд. рублей. В прошлом году объем потерь, по оценкам экспертов, вырос еще на 150-200 млн. рублей. "Кардинально новых видов мошенничества не появилось, скорее, происходит небольшая "модификация" старых, - утверждает начальник управления взаимодействия с платежными системами Альфабанка Алексей Голенищев, - Например, за счет пресловутых "китайских" производителей появились более миниатюризированные, дешевые и разнообразные устройства для компрометации карт в банкоматах".

Мошенничества с дистанционным банковским обслуживанием (ДБО) до сих пор остаются наиболее популярными. В частности, уже почти год несколько десятков банков, находящихся в середине второй сотни по капиталу, держит в страхе организованная группировка, промышляющая подделкой "пластика". Об этом "Ф. " рассказал представитель одного из этих банков. Проблема мошенничеств с ДБО приобрела столь массовый характер, что в июне Ассоциация российских банков и ЦБ даже разослали в кредитные организации специальные письма и инструкции по предотвращению мошеннических действий в этих каналах. Никуда не исчезли и случаи компрометации карты при использовании в магазинах, барах, ресторанах. Самыми криминогенными в этом смысле считаются Украина, Польша, Турция и с недавних пор Белоруссия. Правда, бывает "проруха" и на Западную Европу - в феврале Альфа-банку пришлось перевыпускать около 2, 5 тыс. карт, скомпрометированных в отелях и ресторанах Германии, Австрии, Бельгии, Швейцарии.

Как отмечает начальник юридического управления СДМ-Банка Александр Голубев, нередки случаи, когда в платежные терминалы или банкоматы помещаются объекты, обладающие признаками денежных купюр (прежде всего элементы, имитирующие средства защиты). "Такие действия не являются фальшивомонетничеством, поскольку эти объекты визуально отличаются от денежных знаков и "живая" проверка однозначно бы их забраковала", - говорит он. Еще один вариант - имитация проводок по счетам карт с использованием пробелов в правилах платежных систем.

Однако хитом нынешнего сезона стал шимминг - технология, позволяющая украсть номер карты и PIN через банкомат, - о которой все слышали, но никто не видел. Один из сотрудников Cisco в своем блоге переполошил всю Европу, утверждая, что специальные устройства начали массово выпускаться в некоторых странах Старого Света. Специальная тонкая плата вставляется в картридер и считывает данные введенных карт. Плата должна быть одновременно гибкой и тонкой (менее 0, 1 мм), чтобы не создавать помех при использовании "пластика". Однако производители банкоматов все отрицают. "Технология "шимминга" в настоящее время существует лишь в теории, поскольку ее практическая реализация на деле была бы слишком дорогой", - утверждает Иван Стригин, директор по профессиональным инженерным услугам компании "Diebold Россия".

Среди относительно новых видов мошенничества Иван Стригин отмечает несанкционированное вмешательство в работу программного обеспечения банкомата (вроде того, что демонстрировал Джек Барнаби), кража данных с банкомата, перехват трафика между банкоматом и хостом, подмена хоста, а также компьютерные "вирусы" и "трояны" ("Ф. " писал об этом в N11, 2009). Тем не менее, в Европе уровень мошенничества по картам в 5-6 раз выше, чем в России, считает Алексей Голенищев. Посильный вклад в эту статистику вносят и отечественные хакеры. На прошлой неделе петербургский суд признал 28-летнего Виктора Плещука виновным в краже у корпорации RBS WorldPay (принадлежит Royal Bank of Scotland) более $9 млн. Это действительно редкий случай для России. Статей в УК, по которым можно наказывать "пластиковых" мошенников, мало - ст. 159 "Мошенничество" и ст. 187 "Изготовление или сбыт поддельных кредитных либо расчетных карт и иных платежных документов". Но, например, если мошенническая операция совершена с помощью банкомата, то ст. 159 уже неприменима - мошенничество подразумевает обман, а банкомат обмануть нельзя, поскольку он является неодушевленным предметом.

Дела по мошенничествам с помощью проводок по счетам банковских карт очень сложно вести в судах, потому что необходимо описывать достаточно сложный механизм функционирования МПС, особенно учитывая, что такие споры, как правило, рассматриваются в судах общей юрисдикции, говорит Александр Голубев. Также у некоторых судов, особенно в провинции, до сих пор возникает множество вопросов относительно подтверждений мошеннических действий, совершенных с помощью систем дистанционного обслуживания клиентов: необходимо доказывать достоверность ЭЦП, различия в IP адресах и прочее. По более "банальным" спорам проблем почти не возникает - подделка доверенностей и фальшивомонетничество рассматриваются судами без особых проблем, говорит Александр Голубев.

За моральный ущерб. Помимо SMS, с развитием мобильной коммерции (когда инициирование операции происходит непосредственно с мобильного телефона), появилась "мошенническая" специфика и в этой области. "Более разнообразно и организованно стало мошенничество в области интернет-коммерции, особенно в сегменте авиаперевозок", - отмечает Алексей Голенищев. Вынуждает мошенников идти на просторы Всемирной паутины и стремление обойти препоны, которые строят банки в "офлайне". С помощью троянов мошенники проникают в компьютеры клиентов и воруют их электронные цифровые подписи. Перестали спасать даже USB-Token'ы - с весны нынешнего года активно используется новая хакерская программа, позволяющая воровать пароли, если компьютер находится в сети, а флэшка с ЭЦП вставлена в системный блок или ноутбук, рассказывают в службе безопасности одного из крупных банков. Флэшку "расшивают", после чего проводят платежи от имени клиента, и доказать, что это дело рук злоумышленника практически невозможно. Средства обычно направляются на карточки граждан, которые их обналичивают, как зарплата. Среди новых назначений таких платежей - выплата алиментов и возмещение морального ущерба. В одном из крупных банков рассказывают, что их внимание привлекла выплата алиментов в размере 700 тыс. рублей.

Кредиты. Однако при всей популярности хищений средств с пластиковых карт уверенное лидерство по объему финансового ущерба, причиненного банком, занимают "кредиты в никуда". "Ужесточение правил в отношении заемщиков спровоцировало рост мошенничества как среди физических лиц, так и среди корпоративных клиентов банков", - говорит президент АКГ "Созидание и Развитие" Василий Кошелев. По его словам, наиболее распространенным видом мошенничества среди физлиц остается предоставление недостоверной информации об уровне дохода. Это уже проверенная годами технология. Суды завалены исками банков к недобросовестным заемщикам. На Западе при описании типичных мошеннических схем говорят также о сговоре между клиентом и работниками банка, которые закрывают глаза на недостатки или нестыковки в документах, недостаточный уровень дохода. Однако обман по кредитам большой суммы маловероятен у нас, поскольку, в отличие от США процесс принятия решений о кредитовании в российских банках достаточно сложен и затрагивает несколько подразделений, отмечает Марина Мишурис, предправления Флексинвестбанка. К тому же многие банки, которые обожглись во время кредитного бума 2006-2008 годов, ужесточили риск-менеджмент. Например, если раньше выдавали займы направо и налево, то сейчас нередко перед выдачей кредита специалисты выезжают в компанию, которая претендует на получение кредита, и тщательно осматривают офис - вплоть до того, есть ли на офисных столах пыль. Если есть, значит, контора, скорее всего, неработающая. Но если количество потенциальных заемщиков у кредитных организаций снова резко увеличится, ездить по офисам станет некогда.

  предыдущая новость       к списку новостей     следующая новость