Контакты
Главная / Франшиза услуг

Как защититься от скимминга. Какая защита возможна от скиммера в банкомате

Для многих из нас может стать полнейшей неожиданностью ситуация, когда на банковской карте бесследно пропали средства, и такие случаи далеко не единичны. Большинство людей сразу обращаются в банк для выяснения, куда пропали их деньги, другие же замечают факт списания лишь спустя несколько недель или месяцев. Чаще всего работники банковских учреждений в таких случаях лишь разводят руками и сообщают, что средства с вашей карты были сняты в том или ином банкомате. Казус в том, что держатели карты всё делали правильно, снимая деньги в банкоматах, но им даже в «голову не могло прийти», что данные их карточки в этот момент скопировали с помощью современного вида мошенничества – скимминга. В чём заключается подобное мошенничество и как от него защититься, мы и поговорим в нашей статье.

Что такое скимминг?

Скимминг (от английского «skim» – бегло прочитывать, скользить, едва касаться) – одна из разновидностей мошеннической деятельности с банковскими картами, которая заключается в считывании информации с магнитной полосы с помощью специального технического устройства (скиммера). Одновременно с этим мошенники пытаются узнать ПИН-код «скиммированной» карты. Делается это при помощи специальных приспособлений, которые трудно заметить невооруженным глазом, поэтому жертвой мошенников может стать любой из нас.

Имя на руках информацию о карте и ПИН-код, мошенник может изготовить дубликат банковской карты и снять деньги с карточного счёта держателя оригинальной карточки. Самое неприятное, что факт несанкционированного снятия очень непросто доказать. Для банка всё выглядит так, будто владелец пластика сам по собственному желанию снял деньги со своего счёта и не вправе предъявлять какие-либо претензии банку.

Важнейшие способы защититься от такого способа мошенничества – использование карты с чипом и выполнение элементарных рекомендаций при работе с банкоматами (об этом далее в статье).

Скимминговые устройства, их отличия и принцип работы

Скиммер – специальное устройство, которое используется для считывания данных магнитной полосы пластиковых банковских карт. В большинстве случаев они крепятся непосредственно к банкомату, а именно к его принимающему слоту картоприёмника. При этом заметить наличие скиммера сможет лишь хорошо обученный и наблюдательный человек, у большей части граждан он не вызовет никаких опасений.

Скимминговое устройство состоит из трех элементов, это:

  • считывающая магнитная головка – она считывает информацию с магнитной полосы;
  • миниатюрный преобразователь – преобразовывает считанную информацию в цифровой код;
  • накопитель – записывает цифровой код на носитель данных.

Такие устройства обычно изготавливаются в виде специальной накладки на кардридер банкомата. При этом цвет и форма таких устройств подбирается для каждого банкомата отдельно дабы не вызвать малейших подозрений у пользователей, но как показывает практика цвет преступникам удаётся подобрать не всегда. Их источником питания служат миниатюрные батарейки.

Также скиммеры могут вставляться непосредственно в сам картоприемник, что значительно усложняет задачу его обнаружения. Это уже более новый, усовершенствованный тип мошенничества, называемый «шиммингом». Само устройство считывания – «шим», представляет из себя тонкую гибкую плату (её толщина не более 0,1 мм!), которая выполняет те же функции, что и скиммер.

Скиммеры для считывания данных с магнитной полосы карты делятся на два вида. Одни работают по принципу накопления информации о пользователях, других же сразу передают информацию о картах мошенникам при помощи радиоканала на миниатюрное принимающее устройство или непосредственно на свою принимающую аппаратуру. Может использоваться вариант устройства со встроенной сим-картой и передачей данных по сетям сотовой связи.

Есть и переносные считыватели магнитной полосы, которые в преступных целях используют официанты, работники гостиниц, кассиры. Именно поэтому старайтесь не отдавать вашу карточку в чужие руки и не упускайте её из вида.

Преступникам помимо того, что нужно считать информацию с карты, также нужно узнать и ПИН-код для доступа к ней. Для этого применяются специальные накладные клавиатуры и миниатюрные камеры, заметить которые практически невозможно. Часто их маскируют под рекламные материалы или же непосредственно под козырек банкомата. Микрокамеры могут быть установлены где угодно, необязательно на самом банкомате – всё зависит от сообразительности преступников.

Преступникам с помощью скиммингового устройства удается получить все необходимые данные с магнитной полосы (номер карточки, имя держателя, срок действия карточки, код проверки подлинности CVV2/CVC2) для того, чтобы сделать дубликат карты и в дальнейшем снять средства с вашего счета в любом из банкоматов. Причем жертвой может стать любой из нас. Всё происходит за несколько секунд в тот момент, когда вы решили снять деньги с карты или же оплатить какие-либо услуги через терминал или банкомат.

В последнее время для уменьшения жертв скимминга многие банки стали устанавливать терминалы и банкоматы с сенсорными экранами, однако, мошенников это абсолютно не смутило. Для получения ПИН-кода они начали использовать специальные накладки, которые крепятся прямо на экран.

Производители банкоматов выпускают также антискимминговые накладки, которые призваны не допустить установки скимминговых накладок, а последние модификации подавляют работу мошеннических накладок с помощью электромагнитных волн – препятствуя считыванию информации с карты.

Как защититься от скимминга?

Чтобы не стать очередной жертвой злоумышленников при очередном снятии средств или оплате услуг через терминал или банкомат необходимо четко придерживаться следующих правил:

Наконец, используйте карту как платёжный инструмент в магазинах, а не как средство для получения наличных в банкоматах.

Никогда не теряйте бдительности и помните о вышеуказанных правилах. Это позволит вам защитить себя и не стать жертвой скимминга.

Мы все привыкли к словосочетанию «технический прогресс». Уже довольно много лет назад смена поколений всевозможных устройств и гаджетов стала таким же привычным явлением, как смена времён года. И никого не удивляет, по большей части. Мы привыкли, к метаморфозам мобильных телефонов, домашних телевизоров, компьютерных мониторов, теперь вот подтянулись часы и даже очки. Однако есть некий немногочисленный класс устройств, о которых многие слышали, их опасаются, но в живую видели единицы. Речь идёт о скиммерах.

В России банкоматы до сих пор не столь распространены, несмотря на 23 года официального капитализма. Но даже у нас скиммеры стали некой городской страшилкой. И мало кто задумывается, что эти устройства, использующие высокотехнологичные компоненты, тоже со временем эволюционируют. И потому особый интерес представляет недавно опубликованный материал, в котором наглядно представлены этапы «модернизации» скиммеров, вплоть до современных новейших разработок криминальных умельцев.

По сути своей, скимминг представляет собой способ кражи некой информации, необходимой для осуществления транзакции с банковского счёта с целью хищения денежных средств. Говоря по простому, чтобы снять через банкомат деньги со счёта вашей банковской карты, мошенникам нужно узнать ваш PIN-код и считать данные с магнитной полосы. И для этого используются устройства самых разных конструкций и принципов действия - скиммеры.

Скиммеры изготавливаются так, чтобы быть как можно незаметнее для пользователей банкомата. Зачастую они мимикрируют под какой-то элемент интерфейса или внешнего оформления. Это сильно затрудняет не только обнаружение скиммеров, но и поимку самих злоумышленников. И за последние 12 лет скиммеры претерпели серьёзные метаморфозы. По крайне мере, если судить по тем образцам, которые были обнаружены за этот период.

2002-2007

В декабре 2002 года CBS сообщила об обнаружении невиданного ранее устройства, которое могло «записывать имена, номера счетов и прочую идентификационную информацию с магнитных полос банковских карт, с возможностью последующей загрузки в компьютер.» Персональный компьютер!

В то время даже законники считали, что скиммеры были фантастикой. Когда прокурор Говард Вайс, специализирующийся на мошенничествах, сам стал жертвой скимминга, он был шокирован тем, что технологии достигли такого уровня.

Конечно, полное игнорирование фактов долго не продлилось. В 2003 году покупатели, пользовавшиеся банкоматом в одном нью-йоркском гастрономе, потеряли за день суммарно около 200 000$. В последствии в сети начало ходить предупреждающее письмо:

2008

В этом году в полицию города Нейплс (Naples) поступил звонок о неудачной попытке размещения скиммера:

Это довольно примитивное устройство состояло из считывателя, который можно было купить совершенно легально, установленного поверх картоприёмника банкомата. А под пластиковым козырьком над монитором была установлена маленькая камера.

2009

Первые поколения скиммеров представляли собой довольно примитивные поделки. Ниже представлена одна из конструкций, включающая в себя батарейку, флешку и порт miniUSB.

Этот скиммер обнаружил один из читателей сайта Consumerist. Бдительный пользователь заподозрил неладное, дёрнул картоприёмник и к нему в руки вывалилось это .

Меньше чем через месяц был обнаружен другой скиммер, который не позволял банкомату корректно считывать карты и включал в себя фальшивое зеркало, в которое была встроена камера.

В то время для мошенников ключом к успешному скиммингу было найти способ получения украденной информации со скиммера:

2010

Многие годы в скиммерах использовались камеры для кражи PIN-кодов. Но их было не так просто незаметно разместить на банкомате. В результате появились накладные клавиатуры, которые записывали последовательность нажимаемых клавиш:

С развитием технологий, мошенникам становилось всё легче создавать компактные устройства. Развились и подешевели услуги аутсорсингового производства. В интернете начали продавать целые наборы для скимминга, которые могли быть по запросу покрашены в нужные цвета. Цены начинались от 1500$.

Но это лишь набор начального уровня. Топовые устройства уходили за 7000-8000$:

Не все наборы были такими дорогими. Многие представляли собой готовые к использованию модули, которые мошенники устанавливали на банкоматы, а через некоторое время собирали с них собранные данные. Главным недостатком этих устройств была необходимость возвращаться за ними, чтобы забрать информацию.

Ниже представлен скиммер с функцией беспроводной связи, способный передавать информацию через сотовый модуль. Сам скиммер очень компактен, собранные данные передаёт в зашифрованном виде.

Продвинутые скиммеры вроде этого делали труд скиммеров менее опасным, снижая вероятность быть пойманными с поличным.

2011

В конце концов, производители банкоматов начали что-то делать для противодействия скиммингу. Во-первых, начали внедрять элементы из прозрачного пластика, в частности, полусферические картоприёмники. Но злоумышленники быстро к этому приспособились:

Как видите, заметить подставу можно лишь по небольшой малозаметной пластиковой накладке. Многие ли из вас обратили бы на неё внимание? А вскоре доступная 3D-печать вывела качество скиммеров на новый уровень:

Домашние модели 3D-принтеров были ещё малопригодны для этих целей, и детали заказывались на стороне в специализированных компаниях. Выше приведён один из таких заказов, которые производитель осмотрительно отказался выполнять.

2012

Обнаружение скиммеров становилось всё более сложной задачей. Ниже показано почти совершенное устройство. Единственный недостаток заключается в маленьком отверстии справа, через которое маленькая камера снимала набираемые на клавиатуре PIN-код.

В конце концов скиммеры стали такими миниатюрными, что вы их не увидите, даже если очень постараетесь. По данным Европейской группы по обеспечению безопасности банкоматов (European ATM Security Team), в июле 2012 были обнаружены скиммеры толщиной с лист тонкого картона. Они помещались внутрь картоприёмника, и заметить их снаружи невозможно.

Теперь ваши карты могут просканировать не только в банкоматах, но и в мобильных терминалах. В ролике показано устройство, даже печатающее фальшивый чек:

Теперь любой сотрудник может подключить принесённое с собой устройство, а в конце рабочего дня унести его, наполненным данными с большого количества банковских карт. Функционал этих терминалов позволяет даже имитировать ошибку соединения, когда данные успешно считаны. В комплекте с ними поставляется и ПО для дешифровки информации с карт, а все данные можно скачать через USB.

2013

В прошлом году на сети заправок Murphy в Оклахоме был зафиксирован ряд случаев скимминга, когда суммарно было похищено 400 000$. мошенники использовали считыватели в комбинации с накладными клавиатурами:

Интересное в этой истории то, что скиммеры были оснащены Bluetooth-модулями, а питание получали прямо от самих банкоматов. Иными словами, срок их службы был практически не ограничен, и непосредственного визита мошенников для сбора данных не требовалось.

Пока одна «эволюционная ветвь» скиммеров пришла к миниатюризации, другая пошла по пути радикальной мимикрии. Нижеприведённый скиммер представляет собой огромную накладную панель с дисплеем. В «дикой природе» этот образец был обнаружен в Бразилии:

Устройство было изготовлено из деталей разобранного ноутбука.

2014

Но это можно отнести скорее к курьёзам, либо к особенностям горячего бразильского характера. Всё-таки компактные скиммеры имеют куда больше шансов остаться незамеченными. И буквально на прошлой неделе был обнаружен вот такой вот скиммер толщиной с кредитную карту:

Устройство требует очень мало времени на установку и демонтаж в банкомат:

К счастью, производители тоже не сидят сложа руки, в частности, используя знания и опыт пойманных хакеров для борьбы с мошенниками. Но они быстро адаптируются, так что эта ситуация напоминает борьбу снаряда и брони.

А что делать нам, обычным пользователям? Как не стать жертвой мошенников и сохранить свои кровные? Всегда. всегда прикрывайте клавиатуру во время набора PIN-кода: в большинстве случаев мошенники используют миниатюрные камеры. А если вы используете карту системы Chip-and-pin, то злоумышленникам не так просто считать с неё данные.

И самое главное, если вас хоть что-то настораживает в облике банкомата, лучше воспользуйтесь другим. Старайтесь использовать банкоматы только в отделениях банков, это существенно снижает риск. Ну, и старайтесь не хранить много денег на «карточном» счёте.

Московский комсомолец , 8 ноября 2011

В столице участились случаи мошенничества на банкоматах. Преступники устанавливают на щели картоприемников специальные устройства - скиммеры, которые считывают данные банковских карт. Только за последний месяц было выявлено не менее 5 подобных преступлений. Эксперты уверяют, что технические средства кражи денег с карточек совершенствуются, а география преступлений расширяется. «МК» выяснил, какие новые способы мошенничества придумали злоумышленники, ворующие чужие банковские данные.

фото: Геннадий Черкасов

Основная мошенническая схема работает просто: злоумышленники устанавливают на картоприемник банкомата специальное считывающее устройство - скиммер, который распознает информацию с магнитной ленты карты. На клавиатуру банкомата крепится накладка, запоминающая пин-код, который вы вводите. Иногда вместо накладки к банкомату прикрепляют небольшую видеокамеру. Устройства маскируют так, что распознать их практически невозможно. После того как вы воспользуетесь таким банкоматом, данные вашей карточки остаются у злоумышленников, и через какое-то время с нее начинают пропадать деньги.

Жертвой подобной махинации стал 35-летний Кирилл, обратившийся в «МК». По иронии судьбы, Кирилл работал в банковской сфере и о скимминге знал очень многое. Перед тем как снять деньги, он выбирал самые безопасные банкоматы, только при отделениях банка, и тщательно их осматривал. Кроме того, он завел себе чиповую карту, думая, что она защитит от махинаций. Но Кирилл все равно попался. Однажды ему срочно понадобились наличные, и он воспользовался одним из уличных банкоматов. «Скиммер был настолько совершенен технически, что даже я ничего не заметил», - рассказал Кирилл. Вскоре с его счета стали пропадать деньги: «Через мобильный банк мне пришли два сообщения о снятии денег - первое, пробное, на 1000 рублей, а потом преступники стали снимать по максимально доступной сумме в стороннем банкомате - по 7500 рублей». Банк вернул Кириллу украденные деньги только через два с половиной месяца.

Кирилл - одна из жертв активизировавшихся мошенников. Не проходит и недели, чтобы не обнаружили скиммер на банкомате. 16 октября замаскированное устройство нашли в Новогирееве в холле отделения банка. 10 октября полицейские задержали двух нанятых гастарбайтеров, которые пытались прикрепить скиммер к банкомату на Якиманке. 5 октября скиммер с банкомата в вестибюле станции метро «Павелецкая» сняла бдительная прохожая. Неделей ранее считывающее устройство было обнаружено и на улице Каховке.

По данным банковской Ассоциации российских членов Europay, за прошлый год в России было зафиксировано 140 установок скиммеров, половина из них - в Москве. В России общие потери от мошенничества по банковским карточкам выросли на 70% за первое полугодие 2011 года и могут достигнуть 2,4 миллиарда рублей, оценивает объемы мошенничества начальник сектора департамента безопасности Газпромбанка Николай Пятиизбянцев.

«Сегодня в России скимминг переживает второе рождение. Во многом это связано с ростом объемов использования пластиковых карт: если раньше карточками расплачивались в мегаполисах, то теперь банкоматы крупных банков устанавливают в провинции. А там люди менее грамотные и не знают еще о том, как уберечься от скиммера», - рассказал «МК» Илья Сачков, генеральный директор компании, занимающийся расследованием киберпреступлений.

Вот несколько фото, которые наглядно демонстрируют – как может выглядеть банкомат до и после установки скиммера.

Левое фото : Банкомат до установки скиммера. На правом -- скиммер установлен, и никаких подозрений не вызывает

Пин-код можно «засечь» с помощью миниатюрной видеокамеры, установленной возле банкомата.

На этот банкомат поверх клавиатуры мошенники установили специальную накладку, копирующую настоящую. А еще и скиммер.

Если позволяет конструкция банкомата, то накладка со скиммером могут являться одним блоком, покрывающим соответствующую часть банкомата.

«Если раньше мошенники работали в одиночку, то теперь кражей данных занимаются целые преступные группы», - предупреждает руководитель пресс-службы управления «К» МВД России Лариса Жукова. Она напомнила громкую историю этого лета, когда сотрудники управления «К» задержали двух представителей международного синдиката кардеров (людей, которые занимаются похищением денег с карт и подделкой карт). Мошенники разъезжали по миру, обменивались опытом и данными «пробитых» карточек, зачастую обналичивали денежные средства в других странах, чтобы замести следы. «Бандиты - иностранец и житель Подмосковья - устанавливали скиммеры на столичные банкоматы совершенно беспрепятственно. Прохожие думали, что это работают представители технической службы», - рассказывает Лариса Жукова.

Скиммеры эволюционируют

Заметить вредоносное приспособление на банкомате становится все сложнее. «Идет технологическая эволюция скиммеров - они все более незаметны и малы в размерах. Кроме того, злоумышленники стали пользоваться беспроводными стандартами связи. Такой скиммер самостоятельно передает похищенные данные мошенникам, и им не нужно возвращаться к банкомату, чтобы установленное устройство снять. Увеличивается время автономной работы и разрешающая способность цифровых камер, которые используются для хищений PIN-кодов», - говорит Илья Сачков.

Иногда в СМИ появляются слухи о революционно новых устройствах, например, о скиммерах под названием шиммеры. Это сверхтонкие (тоньше человеческого волоса) гибкие чипы, которые вставляются в картоприемники. Сообщается о тепловизорах - специальных инфракрасных камерах, которые позволяют считывать пин-код. Однако эксперты назвали это все теоретическими изысканиями. «Реальных устройств на практике встречать не приходилось. При каждой инкассации производится проверка банкоматов на наличие скиммеров. Это означает, что в большинстве случаев скиммер будет обнаружен и изъят, а терять такое дорогое устройство с тепловой камерой весьма накладно. Злоумышленникам проще за эту сумму установить 10 обычных скиммеров», - рассказывает Илья Сачков.

От раздутых слухов страдают даже сами мошенники: «В Интернете стали появляться сообщения о том, что продается шиммер. Я купил, потратил 40 тысяч, оказалось - деньги на ветер», - пожаловался «завязавший» кардер.

Деньги с карточек можно украсть и без пин-кода

Впрочем, дорогие и технически продвинутые устройства мошенникам сейчас ни к чему: деньги с чужих карточек можно добыть и более простыми способами. «Скимминг умер! Только дурачки продолжают им заниматься, которые не понимают сроков, которые им грозят! Сейчас много усиленных мер против такого вида кардинга, и рентабельность его почти нулевая», - признаются сами мошенники. Участившиеся случаи поимки кардеров они объясняют недавними облавами.

На смену скиммерам пришли т.н. мини-ридеры. Потенциальные жертвы - люди, которые любят расплачиваться в барах, ресторанах, на кассе своими кредитными картами. Официант, получив карту, проводит ее через свой мини-ридер, считывая информацию магнитной ленты, и дает ввести пин-код клиенту. Пин-код подсмотреть легко по неосторожности самого карт-холдера, который вводит его у всех на виду. По данным Николая Пятиизбянцева, через POS-терминалы (или так называемые «карты оплаты») проходят почти 60% мошеннических транзакций.

Более того, чтобы похитить деньги с вашей карточки, теперь даже не обязательно знать пин-код. «Для проведения платежа, например в Интернете, достаточно знать только ту информацию, которая присутствует на самой банковской карте: ее номер, срок действия, ФИО владельца и CVV\CVC2 код. Даже официант в ресторане, просто сфотографировав карту, уже может совершить покупку в Интернете за чужой счет», - предупреждает Сачков. Способ мошенничества, когда «свой» человек специально для кражи денег устраивается на работу в банк, кафе, сейчас весьма актуален.

«Все операции с вашей пластиковой карточкой должны производиться только у вас на глазах. Никому не позволяйте куда-либо карту уносить и пользоваться ею без вашего ведома, например, при оплате чеков в кафе», - предупреждает Лариса Жукова. Единственное, что может утешить, - юристы банков утверждают, что оспорить несанкционированную интернет-транзакцию или транзакцию с подписью на чеке намного проще, чем снятие денег с использованием пин-кода.

По-прежнему актуальны и прочие способы интернет-преступлений. «Зараженный „трояном“ компьютер может считывать и сохранять данные банковских карточек пользователей, которые ими расплачиваются через Интернет, - поясняет „МК“ Лариса Жукова. - Например, пользователь оплачивает банковской карточкой счета ЖКХ, а все деньги при помощи специальных программ автоматически переводятся на счет злоумышленников». Иногда преступники обзванивают держателей карт, представляясь работниками банка, и просят им под любым предлогом сообщить какие-либо данные, а также пин-код. «Вашего пин-кода не знают даже сотрудники банка. Если банк и проводит какие-либо операции, где требуется ваш пин-код, вас попросят прийти лично в кредитное учреждение», - предупреждает Жукова.

Юлия Чернухина

Справка "МК"

КАК УБЕРЕЧЬСЯ ОТ СКИММИНГА:

1) Старайтесь использовать банкомат, располагающийся внутри отделений банков. Избегайте банкоматов, установленных на окраине города или без логотипа банка.

2) Если банкомат кажется вам подозрительным, воздержитесь от его использования. Например, на банкомате над щелью картоприемника может что-то выступать, банкомат может «подвисать», клавиатура может быть выпуклой и необычной формы.

3) Желательно подключить в банке СМС-уведомления об операциях по карте - тогда вы быстрее сможете узнать, что деньги со счета списали без вашего ведома. Чем скорее клиент уведомит банк о несанкционированном списании средств, тем больше у него шансов получить деньги обратно.

4) Установите лимит суточного снятия наличных по карте: это убережет от снятия мошенниками суммы сверх этого лимита.

5) При вводе пин-кода не стесняйтесь максимально закрывать клавиатуру. Не всегда мошенники используют фальшивые накладки на клавиатуру - чаще пин крадут с помощью миниатюрной видеокамеры, установленной на банкомате или рядом с ним. Никому ни под каким предлогом не сообщайте свой пин-код.

6) Если в банкоматах вашего банка есть опция «Сменить пин-код карты», то после использования карты в сомнительном месте лучше ею воспользоваться.

Банкоматы и скимминг!

Один из видов мошенничества с пластиковыми картами является скимминг , при котором используется скиммер - инструмент злоумышленника для считывания, например, магнитной дорожки кредитной карты. Скиммер представляет из себя устройство со считывающей магнитной головкой, усилителем-преобразователем, памятью и переходником для подключения к компьютеру. Скиммеры могут быть портативными, миниатюрными. При помощи электронного устройства (скиммера), устанавливаемого на банкоматы для считывания информации с кредитных карт, проходящих через эти банкоматы, а также накладной клавиатуры или мини-камеры мошенник получает доступ к карточному счету жертвы и может снимать с него любые суммы.
Современные скиммеры очень малы. Например, скиммеры, которые используются в ресторанах (и не только), раза в два меньше небольшого сотового телефона, могут одновременно хранить данные сотен магнитных полос.

Когда официант берет карту и уносит ее, чтобы сделать платеж, он может незаметно провести ею по скиммеру, спрятанному в руке. Бывают плоские скиммеры, которые вообще незаметны и просто кладутся в папку со счетом. Наиболее часто скимминг используется мошенниками при снятии клиентом денег через банкомат.

Немного теории: как устроена кредитка.

Кредитная карточка - это пластиковый прямоугольник с нанесенными на нем:

    Изображением

    Голограммой

  • Полосой с подписью

    Иногда - фотографией владельца

    Магнитной полосой (и чипом, что не столь принципиально)

Изображение, голограмма, подпись, фотография - служат для определения идентификации карты в магазинах, банках, или пунктах обслуживания. Нас же интересует система банкоматов или интернет-торговли, где эти данные не учитываются.

На магнитной ленте (или чипе) записаны два набора цифр. Первый - копия того, что указано на карте (фамилия, номер, срок действия (expiriency date). Второй - некий шифр, образованный по некоему алгоритму из этих данных. (CVV - card verification value или CVC - card verification code). Этот цифровой код называется CVV1/CVC1.

В онлайн-торговле вообще принимается во внимание только номер и код. Это три цифры, которые нанесены на обратной стороне карты, и называются они CVV2/CVC2.

Банкомат при считывании карты принимает во внимание только вторую дорожку. По ней он и идентифицирует владельца карты (точнее, банкомат передает этот код и получает данные от сервера банка) и принимает решение о выдаче денег или приеме оплаты.

Суть скимминга в том, что преступник "модернизирует" банкомат электронным устройством, которое считывает информацию с карточки потенциальной жертвы (оно называется скиммер). Вы можете не заметить этого, спокойно воспользовавшись услугами банкомата. А через некоторое время ваша банковская карта будет взломана и лишена всех денег, которые на ней хранились.

Как происходит кража информации с банковской карточки?

Скиммер копирует информацию, которая содержится на магнитной полосе пластиковой карты, и дает возможность мошенникам изготовить дубликат вашей карты. Помимо скиммера на банкомат устанавливается фальшивая клавиатура и/или скрытая камера для определения пин-кода.

Что такое скимминг-клавиатура и как ее опознать?

Во-первых, она может при тактильном контакте незначительно сдвигаться, во-вторых, возвышаться над поверхностью банкомата, в третьих, на панели банкомата могут остаться следы клея. С помощью такой клавиатуры копируется ПИН-код, который вы вводите для начала операций с картой.

Помимо ложной клавиатуры существуют еще как минимум два способа узнать ваш ПИН-код: подглядеть его, стоя у вас за спиной, или установить на банкомат небольшую видеокамеру, направленную на область клавиатуры.

Скимминг - накладки на гнезда банкоматов, которые считывают информацию с магнитной полосы карточки. Причем теперь их уже оборудуют сим-картами, с помощью которых они отправляют данные прямо на мобильный телефон мошенника. Иногда доходит даже до того, что преступники устанавливают на улицах целые фальшивые банкоматы, запрограммированные на снятие информации с карточек.

Как обезопасить себя от мошенничества - скимминга?

Обнаружив внезапное исчезновение той или иной суммы на банковской карте или получив SMS о том, что где-нибудь в Зимбабве только что с нее было снято несколько сотен долларов, вернуть деньги очень сложно. Попробуй, докажи, что это не ты сам их снял и пытаешься облапошить честных банкиров, ведь с точки зрения банка именно ваша карта была вставлена в банкомат и введен ваш пин-код.

Как устроен скиммер?

Фальшивая клавиатура и картоприемник. Фото: Тинькофф Журнал

Скиммер - это устройство-считыватель для банковских карт, состоящий из магнитной головки, управляющей электроники и модуля флеш-памяти. Первые скиммеры появились в 2002 году в Великобритании и выглядели как накладки на картоприемную щель банкомата, приклеиваемые на двухсторонний скотч.

Получалось, что карта, вставляемая в щель, сначала считывалась головкой скиммера, а потом уже головкой банкомата, и дамп данных с магнитной полосы оказывался в руках злоумышленников. Записав этот дамп на «болванку» пластиковой карты (на жаргоне она называется «белым пластиком»), они получали дубликат карты холдера (холдером на жаргоне кардеров именутся жертва - владелец карты).

Итак, карта есть. Но чтобы ей воспользоваться, нужен еще пин-код от нее. Простым перебором его не получить: после трех попыток неправильного ввода карта будет «проглочена» банкоматом и заблокируется, а с трех раз угадать код из 10 тысяч вариантов намного сложнее, чем выиграть в лотерею. Поэтому пин-код считывается прямо в процессе ввода холдером. Для этого может использоваться накладная клавиатура, устанавливаемая поверх обычной, либо, что гораздо чаще, просто видеокамера.

Первые камеры тоже маскировались под накладку и приклеивались прямо на банкомат, сейчас же чаще всего вешают камеру чуть поодаль в помещении рядом - или скрытно, или же, наоборот, явно и на самом видном месте: все думают, что это камера видеонаблюдения.

Порой используют и настоящие камеры наблюдения: известны случаи, когда охранники торговых комплексов и бизнес-центров были «в доле» и направляли камеры так, чтобы в их поле зрения попадали и клавиатуры банкоматов, а затем в конце дня «сливали» записи кому следует. Понять, от какой карты какой пин-код, очень легко, сопоставив время считывания дампа и время ввода на видео.

Имея дубликат карты и пин-код, можно смело идти к любому банкомату и снимать деньги. Сам преступник при этом, естественно, «не палится», выбирая банкоматы в безлюдных местах, используя маски или вовсе подсылая вместо себя бомжа или доверчивого школьника.

Банки защищаются как могут

Скиммеры поначалу были в диковинку и пользователи особенно не интересовались, куда вставляют карту: банкомат же, я тут всегда деньги снимаю! Маскировали устройства очень топорно, поэтому банки начали выпускать инструкции - мол, осмотрите банкомат внимательно, нет ли ничего подозрительного. Подергайте за все, за что можно подергать, поищите глазки камер, поковыряйте клавиши и т.п.

Именно в таком виде эти советы последние десять лет гуляют по интернету, превратившись в эдакое развлекательное чтиво, потому что пользы от них немного, и так топорно, как раньше, никто уже не действует.

Первый этап обороны - это антискиммеры: накладки, установленные на щель самим банком. Их задача - не дать закрепить еще что-либо поверх: любые дополнительные накладки уже настолько удлинят щель, что картоприемный механизм не сможет «засосать» кредитку внутрь.

Антискимминговая накладка на картоприемник. Фото: Тинькофф Журнал

Сам механизм дополнительно может быть оснащен так называемым «вибромодулем»: при захвате карты он несколько раз дергает карту туда-сюда, и скиммер, если он установлен, считывает дамп некорректно. Вокруг клавиатур устанавливают козырьки, затрудняющие видеосъемку ввода пин-кодов.

Второй этап обороны - это отказ от использования магнитных полос: современные карты все чаще оснащаются чипами, которые на ходу уже не считаешь. Магнитная полоса на них все равно остается, но при этом при наличии чипа на настоящей карте клон по полосе в большинстве банкоматов авторизован не будет: на полосе, помимо прочего, содержится запись о разрешенных способах аутентификации, причем отдельно - для международных операций.

То есть, карта как бы говорит банкомату: «Я чиповая; если ты умеешь считывать чипы - считывай чип, иначе не можешь - дверь никому не открывай».

Магнитная полоса есть у всех карт, но именно наличие чипа добавляет безопасности.

Мошенники обходят защиту

Впрочем, обойти защиту можно. Например, скиммер можно встроить не только в банкомат, но и в магнитный замок на входе в отделение банка, который закрывает дверь в ночное время. Для справки: эти замки открываются любой магнитной картой, а не только вашей банковской, так что пользуйтесь для этого, например, дисконтной картой супермаркета. Да и для банкоматов скиммеры стали такими компактными, что легко устанавливаются внутрь самого антискиммера.

Кроме того, появились так называемые шиммеры - устройства толщиной с пленку, которые считывают и чиповые карты. Шиммер хитро запихивается в банкомат так, что оказывается «прокладкой» между чипом карты и контактами в картоприемнике.

Помните, были такие адаптеры для двух сим-карт? Принцип тот же, толщина шиммера составляет несколько микрометров и он может оставаться незамеченным долгое время.

Клон чиповой карты сделать сложнее, чем магнитной (поскольку здесь происходит двухсторонний обмен информацией, чип «отвечает» на авторизационные запросы генерацией ключей по определенному алгоритму шифрования), но на точках с оффлайн-авторизацией этим клоном можно будет расплатиться.

Также считать и карту, и пин-код от нее очень удобно, скажем, в небольшом кафе или маленьком магазинчике: вряд ли вы будете подробно изучать, не «модернизирован» ли платежный терминал (если он вообще настоящий - «Ой, карта не прошла!»).

Более того, есть сверхвысокотехнологичный способ, при котором два злоумышленника работают в паре. Один работает официантом и уносит карту от посетителя и в этот момент звонит сообщнику, который уже наготове и, например, пытается купить по карте кольцо с бриллиантами или айфон - любой ликвидный товар. Но у второго карта не простая, а замаскированный эмулятор, подключенный с помощью мобильного интернета по VPN-каналу к терминалу у официанта.

Во время загрузки произошла ошибка.

Магазинный вор установил считыватель карт за 3 секунды

Запрос пин-кода из магазина транслируется онлайн в ресторан, посетителю приносят терминал - мол, введите код - и все, операция одобрена, причем на чеке, естественно, ничего не печатается.

И, наконец, высший пилотаж - это поддельные банкоматы, устанавливаемые средь бела дня в местах скопления туристов. Ведь чем наглее способ кражи, тем меньше к нему подозрений!

Как не стать жертвой и сберечь свои деньги

  1. Лучший способ обезопасить себя - это не «светить» картой в банкоматах. Карты сегодня принимают чуть ли не в киосках с шаурмой, так что по возможности расплачивайтесь безналичным способом. А если карта еще и бесконтактная (Paypass, Paywave), надежнее использовать этот способ.
  2. Особенное внимание - банкоматам за границей! Здесь лучше снять деньги в отделении банка или, например, в зоне прилета аэропорта - то есть, там, куда злоумышленнику трудно пробраться незамеченным.
  3. У чиповой карты пин-код можно многократно менять прямо в банкомате: не пренебрегайте этой возможностью. Если у вас карта не чиповая, то исправьте это недоразумение, сейчас не 1996 год.
  4. В интернет-банке установите минимально возможные лимиты на снятие наличных по своим картам и подключите SMS-уведомления об операциях. Так вы успеете оперативно обнаружить кражу и заблокировать карту, а преступники не успеют снять большую сумму. Когда деньги понадобятся вам - установите нужный лимит и потом снова верните минимальный.
  5. В любом случае обращайтесь в банк и пишите заявление. В общении с сотрудниками вверните словосочетание «liability shift». Смысл в том, что по правилам международных платежных систем если чиповая карта (с EMV-авторизацией) была использована для снятия средств в банкомате без EMV-авторизации (то есть, по магнитной полосе), то при оспаривании такой операции убытки понесет банк, в банкомате которого были сняты деньги по клону вашей карты, а вам их оперативно вернут. Правда, liability shift не признается США, поэтому угадайте, в какой стране кардеры чаще всего снимают деньги?