Обнаружив внезапное исчезновение той или иной суммы на банковской карте или получив SMS о том, что где-нибудь в Зимбабве только что с нее было снято несколько сотен долларов, вернуть деньги очень сложно. Попробуй, докажи, что это не ты сам их снял и пытаешься облапошить честных банкиров, ведь с точки зрения банка именно ваша карта была вставлена в банкомат и введен ваш пин-код.
Фальшивая клавиатура и картоприемник. Фото: Тинькофф Журнал
Скиммер - это устройство-считыватель для банковских карт, состоящий из магнитной головки, управляющей электроники и модуля флеш-памяти. Первые скиммеры появились в 2002 году в Великобритании и выглядели как накладки на картоприемную щель банкомата, приклеиваемые на двухсторонний скотч.
Получалось, что карта, вставляемая в щель, сначала считывалась головкой скиммера, а потом уже головкой банкомата, и дамп данных с магнитной полосы оказывался в руках злоумышленников. Записав этот дамп на «болванку» пластиковой карты (на жаргоне она называется «белым пластиком»), они получали дубликат карты холдера (холдером на жаргоне кардеров именутся жертва - владелец карты).
Итак, карта есть. Но чтобы ей воспользоваться, нужен еще пин-код от нее. Простым перебором его не получить: после трех попыток неправильного ввода карта будет «проглочена» банкоматом и заблокируется, а с трех раз угадать код из 10 тысяч вариантов намного сложнее, чем выиграть в лотерею. Поэтому пин-код считывается прямо в процессе ввода холдером. Для этого может использоваться накладная клавиатура, устанавливаемая поверх обычной, либо, что гораздо чаще, просто видеокамера.
Первые камеры тоже маскировались под накладку и приклеивались прямо на банкомат, сейчас же чаще всего вешают камеру чуть поодаль в помещении рядом - или скрытно, или же, наоборот, явно и на самом видном месте: все думают, что это камера видеонаблюдения.
Порой используют и настоящие камеры наблюдения: известны случаи, когда охранники торговых комплексов и бизнес-центров были «в доле» и направляли камеры так, чтобы в их поле зрения попадали и клавиатуры банкоматов, а затем в конце дня «сливали» записи кому следует. Понять, от какой карты какой пин-код, очень легко, сопоставив время считывания дампа и время ввода на видео.
Имея дубликат карты и пин-код, можно смело идти к любому банкомату и снимать деньги. Сам преступник при этом, естественно, «не палится», выбирая банкоматы в безлюдных местах, используя маски или вовсе подсылая вместо себя бомжа или доверчивого школьника.
Скиммеры поначалу были в диковинку и пользователи особенно не интересовались, куда вставляют карту: банкомат же, я тут всегда деньги снимаю! Маскировали устройства очень топорно, поэтому банки начали выпускать инструкции - мол, осмотрите банкомат внимательно, нет ли ничего подозрительного. Подергайте за все, за что можно подергать, поищите глазки камер, поковыряйте клавиши и т.п.
Именно в таком виде эти советы последние десять лет гуляют по интернету, превратившись в эдакое развлекательное чтиво, потому что пользы от них немного, и так топорно, как раньше, никто уже не действует.
Первый этап обороны - это антискиммеры: накладки, установленные на щель самим банком. Их задача - не дать закрепить еще что-либо поверх: любые дополнительные накладки уже настолько удлинят щель, что картоприемный механизм не сможет «засосать» кредитку внутрь.
Антискимминговая накладка на картоприемник. Фото: Тинькофф Журнал
Сам механизм дополнительно может быть оснащен так называемым «вибромодулем»: при захвате карты он несколько раз дергает карту туда-сюда, и скиммер, если он установлен, считывает дамп некорректно. Вокруг клавиатур устанавливают козырьки, затрудняющие видеосъемку ввода пин-кодов.
Второй этап обороны - это отказ от использования магнитных полос: современные карты все чаще оснащаются чипами, которые на ходу уже не считаешь. Магнитная полоса на них все равно остается, но при этом при наличии чипа на настоящей карте клон по полосе в большинстве банкоматов авторизован не будет: на полосе, помимо прочего, содержится запись о разрешенных способах аутентификации, причем отдельно - для международных операций.
То есть, карта как бы говорит банкомату: «Я чиповая; если ты умеешь считывать чипы - считывай чип, иначе не можешь - дверь никому не открывай».
Магнитная полоса есть у всех карт, но именно наличие чипа добавляет безопасности.
Впрочем, обойти защиту можно. Например, скиммер можно встроить не только в банкомат, но и в магнитный замок на входе в отделение банка, который закрывает дверь в ночное время. Для справки: эти замки открываются любой магнитной картой, а не только вашей банковской, так что пользуйтесь для этого, например, дисконтной картой супермаркета. Да и для банкоматов скиммеры стали такими компактными, что легко устанавливаются внутрь самого антискиммера.
Кроме того, появились так называемые шиммеры - устройства толщиной с пленку, которые считывают и чиповые карты. Шиммер хитро запихивается в банкомат так, что оказывается «прокладкой» между чипом карты и контактами в картоприемнике.
Помните, были такие адаптеры для двух сим-карт? Принцип тот же, толщина шиммера составляет несколько микрометров и он может оставаться незамеченным долгое время.
Клон чиповой карты сделать сложнее, чем магнитной (поскольку здесь происходит двухсторонний обмен информацией, чип «отвечает» на авторизационные запросы генерацией ключей по определенному алгоритму шифрования), но на точках с оффлайн-авторизацией этим клоном можно будет расплатиться.
Также считать и карту, и пин-код от нее очень удобно, скажем, в небольшом кафе или маленьком магазинчике: вряд ли вы будете подробно изучать, не «модернизирован» ли платежный терминал (если он вообще настоящий - «Ой, карта не прошла!»).
Более того, есть сверхвысокотехнологичный способ, при котором два злоумышленника работают в паре. Один работает официантом и уносит карту от посетителя и в этот момент звонит сообщнику, который уже наготове и, например, пытается купить по карте кольцо с бриллиантами или айфон - любой ликвидный товар. Но у второго карта не простая, а замаскированный эмулятор, подключенный с помощью мобильного интернета по VPN-каналу к терминалу у официанта.
Во время загрузки произошла ошибка.
Магазинный вор установил считыватель карт за 3 секундыЗапрос пин-кода из магазина транслируется онлайн в ресторан, посетителю приносят терминал - мол, введите код - и все, операция одобрена, причем на чеке, естественно, ничего не печатается.
И, наконец, высший пилотаж - это поддельные банкоматы, устанавливаемые средь бела дня в местах скопления туристов. Ведь чем наглее способ кражи, тем меньше к нему подозрений!
Перед тем как воспользоваться банкоматом, присмотритесь к нему повнимательнее. Нет ли на панели с клавиатурой или рядом с экраном дополнительных устройств, к примеру лишних осветительных приборов? Нет ли поблизости зеркал или держателя для рекламных брошюр? Все эти мелочи могут свидетельствовать о наличии скиммера - считывающего устройства, прикрепленного к банкомату. Такие устройства помогают мошенникам в краже данных с кредитных карт. О том, как скиммеры выглядят и как они работают, рассказывает корреспондент американского портала MarketWatch.com Дженнифер Уотерс.
Если что-либо во внешнем виде банкомата показалось вам подозрительным, не пользуйтесь им. Таким образом вы, возможно, убережете себя от скимминга - кражи данных о пластике при помощи специального считывающего устройства. Злоумышленники могут похитить не только номер карты, но и другие данные.
Тем не менее, по словам аналитика исследовательской компании Javelin Strategy & Research Роберта Вамози, «многие держатели карт попадаются в эту ловушку из-за своей недостаточной информированности».
Итак, как же выглядят и работают скиммеры? У злоумышленников есть несколько способов установки шпионского оборудования на банкомат. Это может быть пластиковая накладка, прикрепляемая к кардридеру, либо миниатюрная видеокамера в держателе для брошюр рядом с банкоматом. Камера записывает, какие кнопки вы нажимаете, когда набираете ПИН-код. Бывают и специальные накладки на клавиатуру, считывающие порядок набора цифр.
При помощи этих устройств преступники выуживают всю информацию о вашей карте буквально в течение нескольких секунд.
«Мошенники получают не только номер и дату срока годности вашей карты, но и всю информацию, записанную на магнитной полосе, - поясняет Брайан Кребс, автор собственного блога KrebsOnSecurity.com, посвященного защитным информационным технологиям. - В итоге в руках у них оказывается точная копия вашей карты, полностью пригодная для совершения покупок».
Этот бизнес процветает. Так, по данным портала Bankrate.com, при помощи скимминга злоумышленники ежегодно крадут с карточных счетов около 1 млрд долларов, а в исследовании Javelin Strategy & Research говорится о том, что каждый пятый американец пострадал из-за подобного мошенничества.
Обычное банковское ограбление приносит преступникам в среднем около 5 тыс. долларов прибыли, в то время как взломанный банкомат - 50 тыс. долларов, говорит Дуг Джонсон, вице-президент департамента рисковой политики Американской банковской ассоциации. «Но скимминговые технологии становятся все более изощренными, и из-за этого в ближайшем будущем убытки простых держателей карт могут сильно возрасти», - прогнозирует эксперт.
Больше всего мошенники любят общественные места и крупные торговые точки. Впрочем, и любой отдельно стоящий банкомат может привлечь их внимание.
Будьте избирательны: не пользуйтесь банкоматами, расположенными в подозрительных и плохо освещенных помещениях. Отдавайте предпочтение хорошо освещенным устройствам в людных местах;
Доверяйте своей интуиции: если что-то с устройством не так, не пользуйтесь им. Эксперты утверждают, что у большинства жертв подобных мошенничеств было нехорошее предчувствие при взгляде на банкомат;
Вводя ПИН-код, прикрывайте клавиатуру рукой, чтобы скрыть набираемые цифры от видеокамер и злоумышленников;
Не доверяйте банкоматам, имеющим непривычные опознавательные знаки или настораживающие пункты в инструкции, к примеру если машина требует ввести ПИН дважды для подтверждения трансакции.
Пользуйтесь знакомыми вам устройствами в отделениях банков. «Иметь дело с банкоматом вне банковского офиса, особенно в крупных городах, - все равно что играть в русскую рулетку», - говорит Роберт Сицилиано, консультант компании по разработке антивирусного программного обеспечения McAfee.
Как же выглядят банкоматы, на которые установлено опасное оборудование?
По словам Сицилиано, многие скимминговые приспособления прикрепляются к банкоматам с помощью обычного двустороннего скотча или застежки-«липучки». Что касается клавиатуры, то если она была, скажем, вогнутой, специальная накладка сделает панель более плоской. Также скимминговое устройство может изменить сами клавиши: они будут либо утоплены в панель клавиатуры, либо, наоборот, слишком сильно выпирать.
Скиммеры, установленные на кардридер, могут в точности повторять цвет и дизайн банкомата. Единственный их отличительный признак - они слегка выдаются над основной поверхностью корпуса.
«От банкоматов, явно претерпевших внешние изменения, надо держаться подальше, - подчеркивает Малкольм Уайли, представитель Секретной службы США. - Если вы заметили, что устройство повреждено или что некоторые его детали некрепко держатся, то это, скорее всего, означает, что к нему подсоединили скимминговое оборудование».
Еще одно место, где промышляют мошенники, - автозаправочные станции. Скиммеры могут быть присоединены к кардридерам на бензоколонках. Так, в прошлом году полиция арестовала нескольких преступников в Денвере, Лос-Анджелесе, Далласе и в штате Флорида. Они подсоединяли скиммеры, управляемые через Bluetooth, к считывающим устройствам для самостоятельной оплаты топлива.
Мошенникам даже не требовалось появляться на месте преступления: вся информация поступала на их компьютеры по каналам удаленной связи или в виде текстовых сообщений на сотовые телефоны. Продолжалось это до тех пор, пока не садились батарейки в скимминговых устройствах.
«Скиммеры становятся все совершеннее с технологической точки зрения, и, чем они совершеннее, тем труднее их обнаружить», - подытоживает Сицилиано.
На фото: так выглядит скиммер, прикрепляемый к считывающему устройству банкомата. Иллюстрация: MarketWatch
проблемы банков вопросы-ответы банкоматы мошенничествоВопрос: В договорах на выпуск пластиковых карт обычно написано, что операции, совершенные с их помощью с указанием правильного ПИН-кода оспариванию не подлежат. Но есть же такая угроза, как банкоматы со скиммерами. Как избежать банкомата со скиммером, и есть ли какая-нибудь возможность вернуть деньги, если столкнешься с таким мошенничеством?
Ответ:
Вычислить и задержать мошенника, установившего скиммер в банкомате, крайне сложно, для этого требуются титанические усилия многих служб. Да и задержание мошенника не дает никакой гарантии возврата средств - их, как правило, мошенники тратят быстро. А чтобы исчезнувшие со счета средства возместил банк, держателю карты надо еще доказать, что:
Задача, прямо скажу очень сложная, учитывая наличие в договорах фраз, одну из которых вы привели, и отсутствия нормативных актов, указаний или хотя-бы рекомендаций ЦБ РФ по данному вопросу. Поэтому вину банка, за несанкционированное Вами снятие средств с карточного счёта , доказать практически невозможно, а следовательно и вернуть средства вряд ли получится. Ну, разве что сам банк пойдет на это чисто из своих, внутрибанковских интересов, и особенно тогда, когда количество людей, потерявших средства из-за одного банкомата будет значительным, т.е. будет зафиксировано массовое воровство средств.
Какие шаги вы осуществляете при снятии средств или при осуществлении перевода денег через банкомат ? Вы осуществляете следующее:
А еще, по возможности стоит избегать банкоматы, которые расположены на вокзалах, в аэропортах, в торговых центрах, а больше проводить операции в банкоматах, размещенных в зданиях банков и филиалов.
Если же, в процессе проведения операции появилось подозрение, что на банкомате вмонтирован скиммер, то:
Для многих из нас может стать полнейшей неожиданностью ситуация, когда на банковской карте бесследно пропали средства, и такие случаи далеко не единичны. Большинство людей сразу обращаются в банк для выяснения, куда пропали их деньги, другие же замечают факт списания лишь спустя несколько недель или месяцев. Чаще всего работники банковских учреждений в таких случаях лишь разводят руками и сообщают, что средства с вашей карты были сняты в том или ином банкомате. Казус в том, что держатели карты всё делали правильно, снимая деньги в банкоматах, но им даже в «голову не могло прийти», что данные их карточки в этот момент скопировали с помощью современного вида мошенничества – скимминга. В чём заключается подобное мошенничество и как от него защититься, мы и поговорим в нашей статье.
Скимминг (от английского «skim» – бегло прочитывать, скользить, едва касаться) – одна из разновидностей мошеннической деятельности с банковскими картами, которая заключается в считывании информации с магнитной полосы с помощью специального технического устройства (скиммера). Одновременно с этим мошенники пытаются узнать ПИН-код «скиммированной» карты. Делается это при помощи специальных приспособлений, которые трудно заметить невооруженным глазом, поэтому жертвой мошенников может стать любой из нас.
Имя на руках информацию о карте и ПИН-код, мошенник может изготовить дубликат банковской карты и снять деньги с карточного счёта держателя оригинальной карточки. Самое неприятное, что факт несанкционированного снятия очень непросто доказать. Для банка всё выглядит так, будто владелец пластика сам по собственному желанию снял деньги со своего счёта и не вправе предъявлять какие-либо претензии банку.
Важнейшие способы защититься от такого способа мошенничества – использование карты с чипом и выполнение элементарных рекомендаций при работе с банкоматами (об этом далее в статье).
Скиммер – специальное устройство, которое используется для считывания данных магнитной полосы пластиковых банковских карт. В большинстве случаев они крепятся непосредственно к банкомату, а именно к его принимающему слоту картоприёмника. При этом заметить наличие скиммера сможет лишь хорошо обученный и наблюдательный человек, у большей части граждан он не вызовет никаких опасений.
Скимминговое устройство состоит из трех элементов, это:
Такие устройства обычно изготавливаются в виде специальной накладки на кардридер банкомата. При этом цвет и форма таких устройств подбирается для каждого банкомата отдельно дабы не вызвать малейших подозрений у пользователей, но как показывает практика цвет преступникам удаётся подобрать не всегда. Их источником питания служат миниатюрные батарейки.
Также скиммеры могут вставляться непосредственно в сам картоприемник, что значительно усложняет задачу его обнаружения. Это уже более новый, усовершенствованный тип мошенничества, называемый «шиммингом». Само устройство считывания – «шим», представляет из себя тонкую гибкую плату (её толщина не более 0,1 мм!), которая выполняет те же функции, что и скиммер.
Скиммеры для считывания данных с магнитной полосы карты делятся на два вида. Одни работают по принципу накопления информации о пользователях, других же сразу передают информацию о картах мошенникам при помощи радиоканала на миниатюрное принимающее устройство или непосредственно на свою принимающую аппаратуру. Может использоваться вариант устройства со встроенной сим-картой и передачей данных по сетям сотовой связи.
Есть и переносные считыватели магнитной полосы, которые в преступных целях используют официанты, работники гостиниц, кассиры. Именно поэтому старайтесь не отдавать вашу карточку в чужие руки и не упускайте её из вида.
Преступникам помимо того, что нужно считать информацию с карты, также нужно узнать и ПИН-код для доступа к ней. Для этого применяются специальные накладные клавиатуры и миниатюрные камеры, заметить которые практически невозможно. Часто их маскируют под рекламные материалы или же непосредственно под козырек банкомата. Микрокамеры могут быть установлены где угодно, необязательно на самом банкомате – всё зависит от сообразительности преступников.
Преступникам с помощью скиммингового устройства удается получить все необходимые данные с магнитной полосы (номер карточки, имя держателя, срок действия карточки, код проверки подлинности CVV2/CVC2) для того, чтобы сделать дубликат карты и в дальнейшем снять средства с вашего счета в любом из банкоматов. Причем жертвой может стать любой из нас. Всё происходит за несколько секунд в тот момент, когда вы решили снять деньги с карты или же оплатить какие-либо услуги через терминал или банкомат.
В последнее время для уменьшения жертв скимминга многие банки стали устанавливать терминалы и банкоматы с сенсорными экранами, однако, мошенников это абсолютно не смутило. Для получения ПИН-кода они начали использовать специальные накладки, которые крепятся прямо на экран.
Производители банкоматов выпускают также антискимминговые накладки, которые призваны не допустить установки скимминговых накладок, а последние модификации подавляют работу мошеннических накладок с помощью электромагнитных волн – препятствуя считыванию информации с карты.
Чтобы не стать очередной жертвой злоумышленников при очередном снятии средств или оплате услуг через терминал или банкомат необходимо четко придерживаться следующих правил:
Наконец, используйте карту как платёжный инструмент в магазинах, а не как средство для получения наличных в банкоматах.
Никогда не теряйте бдительности и помните о вышеуказанных правилах. Это позволит вам защитить себя и не стать жертвой скимминга.
Это то, чего в банкоматах быть не должно.
Используя скиммеры, мошенники крадут данные с банковских карт при работе с банкоматами, инфокиосками и терминалами.
Технологии кражи данных при непосредственном контакте с банковской картой постоянно совершенствуются. Обычно это происходит так:
Затем происходит:
Внешний вид и тип работы скимминговых устройств весьма различны. Они постоянно «эволюционируют» и «маскируются» под детали банкоматов, терминалов и внешнего декора.
Самые распространенные скиммеры это:
Накладка на гнездо. Мешает извлечь карту обратно. Пользователь проглоченной карты начинает искать помощь у стоящего рядом. Который как раз и оказывается мошенником. Карта, после нескольких безуспешных попыток, все равно не возвращается клиенту. Но он успевает сообщить ПИН-код и уходит. После этого злоумышленники снимают деньги с карты. Иногда на «оборудованном» банкомата заменяют телефон службы поддержки. Клиент звонит по нему и сообщает код якобы сотруднику банка.
Вставка внутрь прорези для карты
Работает также как накладка на гнездо.
Фальшивая клавиатура, которая устанавливается поверх настоящей.
Действует вкупе с установленным внутри банкомата устройством, которое блокирует карту в банкомате. Клавиатура же «запоминает» набранный ПИН-код.
Дополнительная камера на панели банкомата.
Может иметь самый разный вид, иногда это просто черные стеклянные кружки. Устанавливается камера с той же целью, что и накладка на клавиатуру - запоминает набранный код.
Простейшая защита от подобных преступлений помнить, что ПИН-код предназначен только для держателя карты. Сотрудники банков его никогда не спрашивают. ПИН-код нужен только для снятия средств, в карты из банкомата он не помогает.
С развитием технологий появляются скиммеры, которые позволяют не красть саму карту, блокировать ее, как это описано выше и подглядывать ПИН-код. Современные скиммеры могут воровать не сами карты, а только информацию с них.
Сложные скимминговые устройства имеют вид:
Эти устройства могут находиться в корпусах настоящих терминалов и банкоматов, но иметь внутренние механические или программные изменения.
Самостоятельно распознать хорошо сделанное современное скимминговое устройство для обычного человека трудно. Сравнительно надежной мерой профилактики кражи денег с карты может быть расчет картой в солидных магазинах и снятие наличных в терминалах внутри отделений банков.
