Мошенничество в платежной сфере. Бизнес-энциклопедия, стр. 71

Мошенник может узнать ПИН-код держателя банковской карты, подглядывая из-за его плеча, пока тот вводит свой код, выполняя операции в ТСП. При этом магнитная полоса может негласно копироваться или позднее карта похищается. В банкоматах данная угроза также существует, но уровень ее существенно ниже. При грамотной установке банкоматов существует так называемая зона безопасности, пространство, которое отделяет держателя карты, пользующегося банкоматом, от остальных людей в очереди. В торговом предприятии такую зону создать невозможно, дополнительно рядом с держателем присутствует кассир, который также может видеть вводимый ПИН-код.

Использование ПИН-кода в программе «ЧИП и ПИН» не влияет на уровень потерь по поддельным картам. Так как мошеннические операции производятся по магнитной полосе, то метод верификации держателя карты, определенный эмитентом в Cardholder Verification Method Туре не имеет значения. Верификация держателя происходит согласно Service Code — 201 (МПК, нормальная авторизация, нормальная верификация). Получается, что сокращение мошенничества по поддельным картам с МПК происходит не за счет требования ввода ПИН-кода в ТСП, а за счет применения на карте ЧИПа. Если при обслуживании МПК по ЧИПу верификацию держателя производить по подписи, то мошенничество по поддельным картам не увеличится относительно верификации по ПИН. Представляется, что использование программы» ЧИП и ПИН» на переходный период для комбинированных карт является стратегической ошибкой. Необходимо при обслуживании комбинированных карт в предприятиях торговли оставить использовавшийся ранее на картах с магнитной полосой способ верификации держателя по подписи. Для уменьшения потерь от банкоматного мошенничества из-за компрометации ПИН-кодов в торговых предприятиях для верификации держателя необходимо использовать chip-and-signature (чип и подпись). Данная схема реализована в Азии. Для банков-эмитентов это не приведет к увеличению потерь по поддельным картам, так как при проведении мошеннической операции по магнитной полосе МПК абсолютно неважно, как была запрограммирована верификация держателя на микропроцессоре. Для повышения общего уровня безопасности ПИН-кода требуется соблюдение требований PCI DSS, РА DSS, PTS PCI и усиление криптографической безопасности — криптографический алгоритм 3DES с ключами двойной длины; поточное шифрование, создание VPN-туннелей при подключении терминальных устройств к процессинговым центрам; использование функции макирования (MAC) на всех терминальных устройствах; внедрение технологии удаленной загрузки терминальных мастер-ключей (Remote Key Management).

Негативные последствия программы «ЧИП и ПИН»:

• Увеличение количества компрометаций ПИН-кодов за счет появления новых точек их ввода (ТСП).

• Увеличение потерь по банкоматному мошенничеству. Потери по скомпрометированной карте в ATM больше, чем в ТСП. В 2010 г. в России банкоматные потери составляли 40 % от всех потерь в сфере платежных карт, в 2011 г. — уже 55 %. Согласно Gartner, с 2009 по 2010 г. потери американских банков увеличились от ATM skimming на 13 %, от POS PIN на 71 %. По данным Fair Isaac Corporation, в 2011 г. компрометация ПИН была распределена между банкоматами и ПОС-терминалами в соотношении 25 и 75 % соответственно.

• Компрометация ПИН как аналога собственноручной подписи, как следствие — увеличение мошенничества со стороны держателей карт. Данный вид мошенничества ставит под сомнение собственно ПИН-код как аналог собственноручной подписи держателя, а, следовательно, и легитимность операций, в том числе и законных держателей, подтвержденных ПИН-кодом. Негативные последствия данной дискредитации ПИН для банков-эмитентов будут очень болезненны.

Переходить на стандарт EMV, безусловно, необходимо. Однако процесс перехода сопровождается увеличением потерь в индустрии платежных карт. Чем быстрее будет осуществлен процесс перехода и более высокий процент технологического соответствия EMV (карты, POS, ATM), тем меньше будет потерь, тем безопаснее и привлекательнее станут карты. В связи с этим все участники индустрии с большим нетерпением ждут миграции на технологию EMV крупнейшего региона — США, без которого все усилия остальных регионов приносят результаты гораздо ниже ожидаемых.

В последнее время на рынке банкоматов были отмечены случаи атак на терминалы (банкоматы) с функцией приема наличных денежных средств (cash-in). Цель данных атак — внести неплатежеспособные купюры в банкомат как платежеспособные с последующим выводом данных денежных средств. В августе 2011 г. в г. Екатеринбурге в банкоматы, принадлежащие Уральскому Банку ОАО «Сбербанк России» вместо банкнот были внесены неплатежеспособные купюры «Билет банка прикол» в размере более миллиона рублей. Можно предположить, что подобные атаки, направленные на изготовление поддельных машиночитаемых банкнот, будут только усиливаться. Связано это с особенностью уголовного законодательства России. Дело в том, что изготовление таких банкнот не влечет уголовной ответственности по статье 186 УК РФ «Изготовление, хранение, перевозка или сбыт поддельных денег или ценных бумаг», предусматривающей по части 1 лишение свободы на срок до восьми лет, так как на самой купюре написано, что она не является платежным средством. Поэтому их изготовление, хранение, перевозка и сбыт совершенно безопасны. Даже внесение таких банкнот в банкомат не образует оконченного состава преступления. Действия можно квалифицировать только как приготовление к краже. Но уголовная ответственность предусмотрена Уголовным кодексом РФ только за приготовления к тяжким и особо тяжким преступлениям. На практике это означает, что при внесении неплатежеспособных машиночитаемых купюр на сумму менее 250 000 рублей уголовная ответственность не наступает до момента получения внесенной денежной суммы. Снятие же денег может осуществляться за пределами России. В 2013 г. многие российские банки на некоторое время прекратили прием пятитысячных купюр. Это было связано с атакой, использующей неплатежеспособные банкноты, машиночитаемые как подлинные денежные купюры. Визуально они выглядели как грубая подделка, зачастую купюры изготавливались в черно-белом изображении, но банкоматы не могли выявить подделку. Дело в том, что для определения подлинности банкнот сканер банкомата проверяет их на машиночитаемые признаки: в видимом спектре, инфракрасном, ультрафиолетовом, магнитном. При современном уровне техники те элементы защиты, которые считывают сканеры банкомата, можно считать аналогичными сканирующими устройствами и передать на соответствующие принтеры. Изготовленная банкнота будет определяться банкоматом как подлинная. Другой способ атаки на cash-in — это использование склеенных купюр. Мошенники разрезают девять пятитысячных купюр и склеивают из фрагментов тонким матовым скотчем десять банкнот. Размер поврежденных купюр составляет 157?65 мм (обычные параметры — 157?69 мм), но при этом они принимаются банкоматами и платежными терминалами для зачисления на счет и в качестве платежей как банкноты Банка России стандартного размера. От четырех купюр отрезают по четверти, разрезанные купюры сдают в банк (осталось 75 % площади), из четырех четвертинок склеивают одну купюру и пополняют ей счет карты в банкомате с функцией приема наличных. Из нескольких купюр разного достоинства склеивают купюры, которые воспринимаются cash-in как купюры самого большого номинала.

7.2.3. Атаки на держателей карт

Одним из объектов атак злоумышленников является держатель карты. Изучение судебной практики по уголовным делам показывает, что самыми многочисленными случаями противоправных действий в области платежных карт являются дела по фактам хищения денежных средств с использованием похищенных карт и ПИН-кода. ПИН-код может быть получен различными способами: похищен вместе с картой, подсмотрен, получен от держателя в результате угроз или даже пыток. Известны случаи, когда держатели карт, работающие вахтовым методом в районах Крайнего Севера, просили банки блокировать их карты на время своего проезда с места работы домой, так как такие рейсы встречали криминальные элементы с целью получения денежных средств. ПИН-код держателя может быть подсмотрен при использовании карты в банкомате или торговом предприятии. Особенно опасно вводить ПИН-код в торгово-сервисных предприятиях, так как при его введении нормальной является ситуация, что в кассу стоит очередь и за спиной держателя находится человек, который видит, как вводится ПИН-код. Помимо этого, недобросовестный владелец или сотрудник магазина может оборудовать место установки ПОС или кассового терминала скрытой системой видеонаблюдения. Подглядывание ПИН-кода может быть особенно опасно, если банк-эмитент предоставляет держателям карт возможность изменить ПИН-код и держатель установил одинаковый ПИН-код ко всем своим картам (чтобы легче запомнить). В этом случае компрометация такого ПИН-кода может привести к хищению денежных средств со всех карт. Иногда держатели карт сталкиваются с так называемым дружественным мошенничеством: член семьи, близкий друг, коллега по работе и т. п. берет карту втайне от законного владельца и, зная ПИН-код, получает деньги в банкомате. На банкоматах также могут устанавливаться различные ловушки, предназначенные либо для захвата карты, либо для захвата наличных денежных средств. При захвате карты обычно злоумышленник «помогает» держателю с целью узнать еще и ПИН-код. Такой «доброжелатель» может похитить у держателя карту и без каких-либо устройств, а просто отвлекая держателя в момент, когда карта выходит из банкомата.