Контакты
Подписка
МЕНЮ
Контакты
Подписка

Скимминг как частный случай кардинга: банковские карты доступны мошенникам

В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Скимминг как частный случай кардинга:
банковские карты доступны мошенникам

За прошедшие пять лет наблюдается устойчивая тенденция роста случаев обнаружения (соответственно и использования) скимминговых устройств. Всемирная паутина пестрит ресурсами, на территории которых мошенники делятся наработками в данной области преступлений, предлагают к реализации готовые программно-аппаратные комплексы
Е.А. Аметов
Руководитель проекта ООО "Энигма"

Кардинг (carding) – род мошенничества, при котором производится операция с использованием банковской карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Частным случаем кардинга является скимминг, при котором используется скиммер – инструмент злоумышленника для считывания, например магнитной дорожки платежной карты. При осуществлении данной мошеннической операции используется комплекс скимминговых устройств (www.wikipedia.org)


Случаи мошеннических действий в отношении держателей карт наблюдаются как с клиентами розничных банков, обладающих широкой филиальной сетью, так и с банками, позиционирующими себя как "престижное финансово-кредитное учреждение, представляющее персональный банкинг". Не вдаваясь в тонкости применения вышеописанной мошеннической схемы, хочется отметить, что во многом она рассчитана на элементы поведенческой психологии потенциальной жертвы. Денежный пластик, банкоматы, оборудованные СКД сервисные зоны банкомата – все это уже давно стало привычным окружением нашей ритмичной жизни. Процедуру снятия денежных средств с карточки в банкомате большинство уже делает на автомате. Многие детали "замылились", и мы не придаем никакого значения малозаметным отличиям в конструктивных внешних элементах и необычным реакциям банкомата на проводимые операции.

Схема мошеннических действий

 

Мошенники действуют по простой, проверенной годами схеме. На конструктивные элементы банкомата либо на считыватель СКД устанавливаются в различных сочетаниях следующие компоненты:

  1. Псевдоридер (устанавливается либо на сам банкомат, либо на считыватель системы контроля доступа в помещении зоны самообслуживания банкомата).
  2. Устройства съема видеоинформации (как правило, помещается в муляже конструктивного элемента над панелью клавиатуры банкомата).
  3. Псевдоклавиатура (устанавливается на штатную клавиатуру банкомата, данное устройство используется редко).
  4. Встречаются ситуации, когда мошенниками используется банкомат-пустышка, временно установленный в оживленном месте. Беззаботные владельцы карт оставляют мошенникам всю информацию по карте и PIN-код. Получив заранее запрограммированное сервисное окно о том, что операция невозможна, жертвы мошенников удаляются, ни о чем при этом не подозревая.

Для нас представлял интерес первый аппаратный элемент мошеннической схемы, так как данное устройство несет функцию несанкционированного съема данных с магнитной полосы пластиковой карты клиента банка. Сталкиваясь со случаями попыток установки внутрь систем или конструктивно сверху нештатных считывающих запоминающих (передающих) устройств, мы пришли к выводу, что одних действий конструкторов для минимизации мошенничества недостаточно.

Если отбросить в сторону все условности и сложности в расследовании данного вида преступлений, следует признать, что доступность и практически безнаказанность только лишь способствуют росту числа скимминга и популяризации его среди молодежи. Причем, судя по содержимому ряда форумов фрикерских (phreaker) Web-ресурсов, среди потенциальных мошенников большая часть – дилетанты, которых привлекает эта условно беспроблемная перспектива незаконного заработка.

Следует признать, что профессионалов в нашем понимании в этой среде – единицы. Но факт остается фактом: преступления совершаются, и не важно кем – вчерашними недоучившимися студентами или опытными, грамотными инженерами, не нашедшими применения своим знаниям, навыкам и таланту в созидательном аспекте нашей жизни.

Решение проблемы скимминга

Каким видятся возможные варианты решения этого непростого с точки зрения технологии реализации незаконного отъема денег у граждан? Основными вариантами решения, на наш взгляд, являются:

  1. Миграция с "магнитного пластика" на микропроцессорные карты (EMV (ISO 7816)).
  2. Ряд конструкторских решений, препятствующих взлому штатных кард-ридеров и (или) установке нештатных считывателей карт.
  3. Оборудование зон самообслуживания банкоматов средствами ТСО (технических средств охраны) по усиленной схеме.
  4. Минимизация количества точек потенциально возможного применения мошеннических схем.
  5. Проведение ряда профилактических мероприятий службами банков.

Начнем с профилактических мер. Всегда абсолютно оправданно считалось, что правонарушение легче предупредить, чем расследовать и раскрывать его уже после совершения. Комплекс профилактических мероприятий достаточно широк – от тривиальных выездов и исследования банкоматов и сервисных зон на предмет выявления нештатных устройств до ведения грамотной работы с точками, оказывающими агентские услуги эквайринга для банка. Сюда также можно было бы включить:

  1. Адресные рассылки своим клиентам SMS предупреждающего характера.
  2. Регулярные e-mail-рассылки разъяснительного характера.
  3. Сервисные заставки на экранах банкоматов с изображением оригинальных конструктивных элементов и предупреждением о возможных случаях мошенничества.

Второй и третий предлагаемые варианты уже частично применяются: банкоматы оснащаются антискимминговыми устройствами. В сервисных зонах устанавливаются дополнительные видеокамеры. Мы оснащаем свои СКД крепежными элементами, демонтаж которых невозможен без их разрушения. Но во всем предполагаемом списке проводимых работ необходимо, на наш взгляд, чувствовать ту границу, переход которой превратит программу оснащения в гонку вооружений с долгой перспективой.


Что касается миграции платежных карт на платформу микропроцессоров, то на наш взгляд, это вопрос времени.

Дело не столько в борьбе с мошенничеством, сколько в перспективе работы на многозадачной платформе. С другой стороны, что бы там ни говорили, а случаев взлома кодировок или самих чиповых карт буквально единицы, да и не в области банковских карт (за исключением 1998 г. в Омске, когда главным фигурантом дела был сотрудник IT-отдела банка, отвечающий за безопасность карточного решения). В остальных заявленных случаях это предоплатные решения систем спутникового телевидения, связи. Стоимость этих решений несопоставима с предполагаемой разовой выгодой. Безусловно, и в этой области присутствуют элементы пресловутой гонки вооружений, но в данном случае догоняющими всегда будут те, кто преступает закон.

Приходилось нам слышать и о таком методе борьбы со скиммингом, как минимизация инсталляций банкоматов и даже демонтаж СКД к банкомату как зон возможного применения устройств мо-
шенников. Подобная точка зрения имеет право на жизнь. Перефразируя известное высказывание: нет банкомата – нет проблемы. Тут дело в выборе банком вариантов развития бизнеса.

Завершить статью хотелось бы словами о том, что все высказанное нами – исключительно наше мнение. Это мнение одной из сторон, заинтересованной в решении заявленной проблемы. Как бы скимминг ни облекался в формы высоких технологий, каким бы ореолом "непризнанного гения" ни покрывался тот или иной автор идеи мошенничества, по сути, скимминг – воровство, уголовно наказуемое преступление. С помощью этой статьи мы хотели бы осветить факт существования вполне реальной угрозы для нас и наших клиентов. Прозвучавшие в ней вопросы и ответы – наш взгляд на меры предотвращения угрозы хищений. Данные меры будут приносить пользу при условии совместной системной работы всех заинтересованных сторон.

 

Опубликовано: Каталог "СКУД. Антитерроризм"-2011
Посещений: 16163

  Автор

Аметов Е.А.

Аметов Е.А.

Руководитель технического отдела компании "СМ ТРЭИД"

Всего статей:  8

В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик  |  К списку авторов  |  К списку публикаций