Чтобы воспользоваться чужими деньгами, злоумышленнику совсем необязательно подделывать платежную карту — достаточно добыть ее реквизиты в сети и там же обналичить деньги, например, сделав покупку в интернет-магазине.
МОШЕННИЧЕСТВО ВТОРОЕ
ИНТЕРНЕТ-КАРДИНГ
«Бродя по интернету, я как-то попала на англоязычную веб-страничку, где увидела заманчивое сообщение: «Вы стали миллионным посетителем сайта. Свяжитесь с нами по телефону, чтобы получить приз». В качестве приза предлагали $50 тыс. Недолго думая, схватила телефонную трубку и дозвонилась с первого раза. Мой собеседник говорил по-английски, он еще раз объявил, что мне полагается вознаграждение, которое переведут на мой счет, если я продиктую номер кредитной карты. Тогда — пять лет назад — от мошенника, которым и был мой собеседник, меня спасло лишь отсутствие кредитки. Платой за доверчивость стал счет за международный звонок», — рассказывает студентка Киевского национального университета им. Тараса Шевченко.
Чтобы воспользоваться чужими деньгами, злоумышленнику совсем необязательно подделывать платежную карту — достаточно добыть ее реквизиты в сети и там же обналичить деньги, например, сделав покупку в интернет-магазине. Владельцы карт узнают о несанкционированной транзакции не сразу, а только получив банковскую выписку с незнакомой сделкой. По такой простой схеме, к примеру, одна лишь Великобритания ежегодно теряет более $200 млн.
Узнав номер карты, срок ее действия, фамилию и имя владельца, а также СVV-код (трехзначный код на карте для дополнительной защиты кредитки), мошенник получает доступ к чужому счету. Для подделки кредитки и обналичивания ее в банкоматах или торговых точках этой информации недостаточно, но чтобы расплатиться за покупку в сети — вполне хватает.
По словам одного из хакеров, бум карточного мошенничества в интернете в США и Западной Европе пришелся на 2000 год. Злоумышленники чувствовали себя в сети относительно безопасно: в то время сетевой кардинг по своим объемам не уступал операциям с поддельными картами, но за последние годы несколько сдал позиции, в первую очередь из-за усложнения механизмов обналичивания денег в интернете.
В нашей стране случаи сетевого мошенничества с украинскими картами участились 1,5-2 года назад. В основном таким бизнесом промышляют мелкие преступники, зарабатывающие в интернете свои первые деньги и опыт. Правоохранительным органам трудно отследить подобные преступления, поскольку жертва и злоумышленник часто находятся в разных странах.
Где взять
В период расцвета мошенничества с картами в интернете ловкачи добывали реквизиты карт, взламывая базы данных клиентов интернет-магазинов или создавая подставные виртуальные магазины, казино и порносайты. К примеру, в конце 1999 года известному хакеру под кличкой Максус (по данным ФБР, им оказался Максим Иваньков) удалось украсть из базы данных покупателей крупного американского виртуального торгового центра CD Universe информацию о номерах 300 тыс. кредиток. Он попался, после того как потребовал от СD Universe $100 тыс. отступных за украденные данные. Компания отказалась сотрудничать с хакером, и данные о номерах карточек 25 тыс. клиентов появились в свободном доступе в интернете.
За последние 5 лет самым распространенным способом добычи реквизитов на Западе стал фишинг: мошенники создают точные копии веб-страниц, к примеру, банков или платежных систем, чтобы заставить пользователя ввести свои личные, финансовые данные или пароль. «Для сбора информации они используют электронные рассылки: в почтовом письме злоумышленники, например, сообщают владельцу карты, что на сервере банка якобы произошел сбой. Для обновления базы данных клиента просят заполнить анкету на сайте, при этом в письме приводится ссылка не на официальную страницу сервиса, а на ее точную копию. Так оставленная пользователем информация попадает в руки мошенников», — рассказывает начальник отдела мониторинга клиентских операций Укрсоцбанка Оксана Задорожная.
По данным исследовательской компании Cloudmark, ежедневно мошенники предпринимают 250 тыс. попыток добыть информацию с помощью фишинга. В Англии только за один месяц онлайн-злоумышленники атакуют почтовые ящики британцев тремя тысячами электронных писем. Но больше всего от фишинга страдают в США, где по итогам прошлого года было зарегистрировано почти 60% сайтов-клонов, созданных злоумышленниками для получения информации. В 2007 году, по данным исследования компании Gartner, США потеряли от фишинга около $2 млрд. В среднем финансовые потери жертв фишинга составили $890.
«Этот способ изобрели приблизительно 5 лет назад американские банкиры, имевшие доступ к дампам карт, которые они поставляли кардерам. Поскольку данные без пин-кода стоили на рынке почти в десять раз дешевле, они придумали способ, как выманивать у клиентов их коды: рассылали владельцам карт персональные письма от имени банка, указывая в них реальные имя и фамилию клиента. «Американцы, не сомневаясь в подлинности посланий, заполняли все необходимые формы, — рассказывает кардер. — Потом эту идею переняли интернет-мошенники».
Но вместо индивидуальной переписки они начали вести массовые рассылки по тысячам электронных адресов, в результате чего ежедневно появляется более тысячи уникальных фишинговых сообщений. Впрочем, в последнее время, чтобы получить информацию хотя бы о двух номерах карты, нужно разослать около 1 млн писем. Эффективность сбора информации через ложные веб-сайты снижается благодаря разъяснительной работе банков, поэтому мошенники переключились на распространение с помощью писем вируса «Троян». Он проникает в компьютер и передает секретные данные мошенникам, как только клиент связывается со своим банковским счетом.
Поход по магазинам
Кардеры придумали десятки схем использования информации с кредиток в интернете. Обычно сетевые мошенники обнуляют счета, делая покупки в интернет-магазинах: этот способ был очень популярен среди первых украинских и российских кардеров, покупавших ноутбуки, телефоны и драгоценности на западных виртуальных площадках. Торговые платформы тогда лишь экспериментировали с приемом платежных карт, и их системы защиты были очень слабыми. Мошенники без особого труда заказывали товар, позвонив по телефону и продиктовав номер карты, сгенерированный специальной программой, а через несколько недель получали продукцию по почте. Таким простым способом они зарабатывали сотни тысяч долларов в месяц.
В середине 1990-х годов о новом явлении написали несколько российских изданий — магазины пережили настоящую атаку мошенников из России и Украины. С 1996 года многие были вынуждены прекратить поставки товаров в Россию, а с 2000-го — в Украину. Кроме того, при покупке на сумму свыше $20 менеджеры начали тщательно проверять покупателей. В некоторых магазинах перед отправкой товара клиента просили выслать отсканированное изображение карты, паспорта и других документов, подделка которых требует больших временных и финансовых затрат.
Нововведения усложнили жизнь кардерам, которым пришлось изобретать новые способы обнуления чужых счетов. К примеру, несколько лет назад они создавали платные порносайты, регистрировали на них владельцев платежных карт и списывали с последних абонплату. «Но этот вид мошенничества стал менее популярным после внедрения услуги SMS-банкинга, позволяющей клиенту отслеживать состояние счета», — рассказывает кардер. Зато процветают другие: например, можно получить чужие средства, проиграв все доступные на карте деньги в интернет-казино или купив у подставного продавца товар на виртуальном аукционе. Для этого мошенник регистрируется на сайте интернет-аукциона в качестве продавца и выставляет на продажу товар. Затем он регистрируется как покупатель, используя реквизиты владельца кредитной карточки. После этого ему остается лишь выиграть аукцион, предложив за товар самую высокую цену. Покупку оплачивают кредиткой, а вещь никуда не отправляют.
Мелкий вор
Украденные данные карт продают на специальных сайтах, где их и покупают украинские мошенники. Реквизиты одной карты без пин-кода стоят на рынке $1,5-2. Опытные интернет-кардеры, которых в Украине осталось не так много — около тысячи, предпочитают работать с американскими кредитками и в месяц зарабатывают до $5 тыс.
Основную массу карточных мошенников в сети составляют мелкие воры: как правило, это парни в возрасте 17-20 лет. Начитавшись статей о кардинге, они решили, что в интернете можно легко заработать. «Но обвести вокруг пальца иностранцев юным мошенникам обычно не удается, поскольку схемы, описанные в интернете, уже десять лет как устарели», — рассказывает экс-хакер.
По словам президента межбанковской системы электронной доставки и оплаты счетов Portmone.com Игоря Горина, мелкие мошенники все чаще стали снимать деньги со счетов соотечественников. Сначала они обналичивали средства через западные интернет-магазины, а теперь пользуются услугами украинских виртуальных торговых площадок, которые с конца 2007 года начали принимать к оплате пластиковые карты. Банкиры без энтузиазма восприняли эту новость, очень настороженно относятся к расчетам в интернете и советуют своим клиентам специально для работы в сети сделать отдельную карту с небольшой суммой доступных на ней денег.
Несмотря на растущее количество преступлений, такие мошенники приносят сравнительно небольшой ущерб, поскольку редко делают покупки на сумму более $100-200. В целом оценить объемы мошенничества с украинскими картами в интернете довольно сложно. У нас в стране не зафиксировано ни одного случая поимки интернет-кардера. По мнению экс-хакера Nerona, на украинцах карточные мошенники зарабатывают немного – обороты их бизнеса не превышают $100 тыс. в год.
Ситуация может измениться с развитием интернет-банкинга – услуги, позволяющей клиентам управлять счетом через сеть (блокировать его, покупать или продавать валюту, производить расчеты за товары и услуги). На Западе пользователи услуги чаще всего становятся мишенью сетевых злоумышленников. Атакам уже подвергались клиенты российских банков. К примеру, в прошлом году клиенты «Альфа-клиент On-line» российского Альфа-Банка дважды получали письма якобы от имени этого финучреждения с просьбой подтвердить логин и пароль в онлайн-системе. Банкиры уверены, что по мере распространения услуги попытки заполучить конфиденциальные данные будут учащаться.
Для Украины интернет-банкинг — относительно новое явление, которым пользуются не более 2% клиентов банков. «Развитие интернет-банкинга не достигло таких масштабов, как в Америке или даже в России, и украинские финучреждения не фиксировали случаев мошенничества в этом сегменте», — утверждает начальник управления карточного бизнеса VAB Банка Елена Соболева-Терещенко.
Впрочем, Украина, где число клиентов интернет-банкинга ежегодно увеличивается на 20-30%, имеет высокие шансы столкнуться с такой проблемой, поскольку пока не все банки могут обеспечить достаточную безопасность услуги. Доступ к счету клиента сейчас защищает только логин и пароль, хотя в мире уже давно внедряют флеш-ключи или сеансовые ключи (мини-программы, идентифицирующие электронную подпись клиента).
Знающий человек
Не пойман — не вор
Почему карточные мошенники в
большинстве случаев избегают наказания
Сергей ЛЕБЕДЬ,
заместитель начальника
Департамента по борьбе с экономическими
преступлениями МВД Украины
— В 2007 году
правоохранительными органами было выявлено 205 преступлений в сфере электронных
платежей, 99 из них связаны с использованием поддельных карт. За обналичивание
денег в банкоматах по фальшивым картам в прошлом году осудили всего 4 человека,
два из них попали в тюрьму, еще два получили срок условно.
Банки неохотно делятся информацией о злоупотреблениях с правоохранительными органами. Факты мошенничества подрывают авторитет банка, поэтому его руководство обращается к нам за помощью в крайних случаях, например, при массовом снятии денег со счетов, что происходит, когда работает группа мошенников.
Как правило, мы сначала задерживаем людей, снимавших деньги в банкомате либо покупавших товары и услуги по фальшивым картам, и поэтапно выходим на изготовителей карточек. Последних выявить и наказать сложнее всего. Сегодня, согласно действующему законодательству, привлечь человека к уголовной ответственности можно, только зафиксировав материальный ущерб, нанесенный пострадавшему. А доказать, что воровство информации о карте и ее изготовление привело к потерям, не всегда удается.
Еще сложнее уличить мошенника, использовавшего карточку для расчета в сети. Следы таких преступлений трудно фиксировать, поскольку потерпевший и злоумышленник, как правило, граждане разных стран. Это усложняет документирование преступления и снижает шансы привлечения мошенника к ответственности.
Злоумышленников, работающих через интернет, за последние годы не арестовывали ни разу. Во-первых, к нам по этому поводу практически не обращаются. Во-вторых, суммы, которые мошенники снимают с кредитных карт через интернет, невелики. Возбудить уголовное дело по соответствующей статье можно, если ущерб составил минимум 1 тыс. грн.