Мошенничество с кредитными картами: история противостояния "снаряда и брони". Часть 2

При перепечатке данной статьи необходимо получить согласие редакции MoneyNews и лично автора. Ссылки на MoneyNews, блог автора, а также указание имени автора обязательно.

Как известно, средства обороны и нападения развиваются друг за другом. Когда-то самым мощным оружием были стрелы и меч. В ответ были придуманы доспехи. Но люди придумали огнестрельное оружие и доспехи стали бесполезны. Зато другие люди придумали обшивать средства передвижения стальными щитами, которые обычные пули пробить не могли. В ответ появились снаряды, а в ответ на них – более эффективная броня, которую эти снаряды не могли пробить, и так далее... Та же самая гонка вооружений происходит и в области защиты денежных средств/методов изъятия этих же средств.

Кредитные карты появились и получили свое распространение в 50-х годах прошлого века. Тогда они представляли собой кусок пластика с нанесенным изображением, на которых были выдавлены номер карты, срок окончания ее действия и имя держателя карты. Никакой магнитной полосы не было, а транзакции производились на импринтерах, которые представляли собой ручной пресс, которым проводили по карте для того, чтобы выдавленная информация отпечаталась через копирку на квитанции.

После проведения транзакции торговые точки выдавали покупателю товар, а свои копии квитанций складывали в стопочку, чтобы в конце дня отнести накопившиеся за день квитанции в банк. Вполне естественно, что долго такой безалаберный подход к деньгам безнаказанно продолжаться не мог, и злоумышленники стали подделывать краденные/утерянные карточки, которые клиенты заблокировали, просто срезая выдавленные символы номера карты и наклеивая другие – ведь проверить, существует ли вообще карта с таким номером, торговцы попросту не могли.

Убытки от мошенничества неумолимо росли и МПС ввели, как рекламировалось в то время, суперзащищенную технологию – стали наклеивать на карты магнитную полосу, на которой были записаны только те данные, которые были выдавлены на карте. Торговцев оснастили электронными терминалами, способными читать эту полосу и передавать ее в банк для получения информации о том, существует ли такой номер карты и есть ли на нем деньги.

Злоумышленники при тогдашнем развитии доступных технологий (на свободном рынке отсутствовали необходимые для создания устройств чтения/записи магнитной полосы карты микросхемы) эту систему обойти не могли и мошенничество с картами на некоторое время происходило лишь на торговых точках, которые еще работали по старинке, с импринтерами. Тогда же появились и банкоматы, которые прежде не
 могли возникнуть из-за отсутствия возможности авторизовать карту в режиме реального времени, и пин-коды к картам. 

В конце 80-х годов Великобританию захлестнула волна мошеннических снятий наличности с карт в банкоматах. При этом обманутые владельцы денежных средств своих карт не теряли и возмущенно демонстрировали их банкам при выяснении вопроса куда же делись деньги. Банки поначалу грешили на своих клиентов – кого подозревали в мошенничестве, кого в том, что те снимали деньги, будучи навеселе, и просто забыли о том, что снимали деньги, кому советовали присмотреть за детьми, которые могли получить доступ к карте с пин-кодом и снять тайком от родителей деньги. Однако обманутых клиентов приходило все больше и больше, к делу подключилась пресса, и банки признали, что таинственные злоумышленники каким-то образом получают дубликаты карт и узнают пин-коды к ним.

Скотланд-Ярд потратил почти 2 года на то, чтобы вычислить злоумышленников, но поймали их случайно – парень и девушка, входившие в преступную группу, поссорились, девушка принялась заливать свое горе алкоголем в клубах, в процессе утешения у нее произошла драка с другой посетительницей клуба, и ее забрали в полицию, где обнаружилось, что дамская сумочка набита белым пластиком. Детективы надавили на пьяную девушку, и она раскололась. Технология мошенничества оказалась проста: преступники вооружились фотоаппаратами с мощными объективами и не менее мощными биноклями, снимали квартиры в домах, расположенных напротив банкоматов с высоким уровнем посещения, и фотографировали карту в тот момент, когда клиенты вставляли в банкомат свои карты; второй злоумышленник в бинокль смотрел какой пин-код набирает клиент.

В конце 80-х годов прошлого века уровень развития микроэлектроники уже достиг того уровня, когда любой желающий мог из имеющихся в свободной продаже деталей собрать устройство, способное записывать необходимую информацию на магнитную полосу кредитных карт, а на магнитную полосу карт нужно было нанести только ту информацию, которая была выдавлена на карте, поэтому когда фотография карты была в руках у злоумышленников, а пин-код к этой карте был записан, ничего не препятствовало тому, чтобы изготовить на обычной болванке с магнитной полосой полноценный клон карты, с помощью которого можно снять деньги с банкомата.

После этого случая МПС (международные платежные системы - Прим.Ред.) ввели требование расширить служебную информацию на магнитной полосе карт с тем, чтобы злоумышленники, даже имея фотографию карты, по нанесенным на карту данным не могли сгенерировать работающую магнитную полосу. Так появился CVV (CVV) код, который нигде, кроме магнитной полосы, не был записан, и который можно было проверить при прохождении транзакции путем шифрования определенных данных карты с помощью ключа, хранящегося в банке, и сравнения получившегося значения с пришедшим CVC (CVV) кодом дампа. Не имея физического доступа к магнитной полосе карты, чтобы считать ее, злоумышленники теперь не могли изготовить клон карты. К тому же несколько ранее были введены голограммы на картах. На некоторое время кривая мошенничества с пластиковыми картами пошла вниз...

Однако довольно скоро, уже с начала-середины 90-х годов прошлого века, преступники освоили подделку голограмм, а также поставили на поток производство портативных приборов размером с пейджер, проведя через который картой, можно скопировать ее магнитную полосу. Такой прибор называется скиммер, а способ получения дампов с помощью них – скиммингом. Преступники стали снабжать скиммерами официантов, работников автозаправочных станций, продавцов магазинов – всех, кто имел доступ к обслуживанию клиентов и их карт. Посмотреть как происходит скимминг кредитных карт официанткой в ресторане можно на видео из YouTube, представленном ниже. Перевода ролика нет, но текст там не важен, интересна собственно картинка.

МПС довольно быстро научились вычислять людей, скиммящих карточки в торговых точках, путем анализа статистических данных. По всем случаям мошенничества проводится анализ на предмет того, где каждая жертва скимминга расплачивалась своей картой. В случае многочисленных совпадений проведенных транзакций у разных клиентов в одной и той же торговой точке, можно с большой долей уверенности утверждать, что скиммер работает именно там.

Дальше уже дело полиции. Однако следует отметить, что подобные методы борьбы позволяют выявить злоумышленника после совершения им преступления, но не помогают предотвратить мошенничество с картами, поэтому скимминг до сих пор остается довольно значительной проблемой для МПС, поскольку всегда находятся люди, считающие, что их "пронесет" и они останутся безнаказанными. Что же – логическое мышление развито не у всех; кроме того, сложно требовать от официанток или работников автозаправочных станций знаний того, как легко их могут вычислить специалисты служб безопасности МПС.

Продолжение следует...