Американская утопия, киберфашизм и карточные флибустьеры

Американский писатель Эдвард Беллэми в фантастическом бестселлере «Глядя назад», опубликованном в 1888 году, написал о человеке, страдающем бессонницей, который мог засыпать лишь под гипнозом. Однажды герой книги, в очередной раз задремав таким образом, сумел проснуться лишь через сотню с лишним лет… в Бостоне 2000 года. При этом он очутился в абсолютно безденежном обществе, в котором вместо звонкой монеты гражданам выдавались… тонкие маленькие карточки. На этих чудо-карточках указывалась сумма предоставленного кредита, по которому их обладатели могли купить любой товар.

Так за 60 лет до первой эмиссии платежных карт американский фантаст сумел предсказать их появление. Однако он, разумеется, тогда не мог предусмотреть всех потенциальных рисков, связанных с этим одним из самых полезных изобретений двадцатого века. Среди них, пожалуй, самая серьезная угроза — карточное мошенничество, бурно разросшееся особенно в последние годы.

Если бы творческая фантазия Эдварда Беллэми вдруг пожелала бы разбудить героя книги «Глядя назад», к примеру, в сентябре 2004 года, то вовсе не исключено, что в одно прекрасное утро он мог бы получить письмо примерно такого содержания: «Мы уведомляем Вас, что компания Visa сообщила нам о несанкционированном вторжении в сеть». Именно такое пугающее послание недавно получили клиенты американского банка Washington Mutual Bank. Как сообщает «Деловая неделя», номера кредитных карт были получены хакерами из базы одного из магазинов, принимающих кредитные карты.

А вот газета «Ведомости» недавно проинформировала еще об одном факте карточного флибустьерства: финская антивирусная компания F-Secure подозревает российскую хакерскую группу Hangup Team в создании нового компьютерного вируса — Korgo. Этот вирус способен фиксировать данные владельцев кредитных карточек в тот момент, когда они делают заказы и покупки через интернет-магазины. Команда Hangup Team, именующая себя на собственном web-сайте «киберфашистами», давно известна специалистам, хотя какой-либо достоверной информации о действительной ее причастности к созданию этого вируса пока нет.

Страх просвещенной заграницы перед растущей «киберпреступностью» вполне понятен. А вот в менее просвещенной (в смысле киберфашизма и прочего пластикового криминала) Беларуси, по информации сайта crime-research.ru, один местный мошенник даже не посчитал нужным прибегать к изощренным хакерским приемам. Зачем, если владельцы карт сами готовы сообщить о себе злоумышленнику всю нужную ему информацию!? Именно таким был их отклик на обращение преступника: «Здравствуйте! К вам обращается менеджер Вашего банка. Мы проводим сверку данных клиентов и просим сообщить нам номер Вашей кредитной карты и срок ее действия». Дескать, чего вам стоит, господа хорошие, дать мне ключ от сейфа, где деньги лежат. И хотя в письмах не было никаких данных, подтверждающих полномочия неизвестного автора, из полутора тысяч получивших это послание примерно треть безропотно прислала мошеннику запрошенные данные.

Нежелательная миграция

Во всем мире наметилась устойчивая тенденция к росту карточных хищений. По данным Cards Business Review, список стран с высоким уровнем пластиковой преступности возглавляет Украина — 19% всех случаев мошенничества, далее следуют Индонезия — 18,3%, Югославия — 17,8%, Турция — 9% и Малайзия — 5,9%. В Соединенных Штатах, где карточный оборот весьма велик, совершается лишь 1,7% всех преступлений.

По информации Celent Communications, в 2002 году в структуре мировой преступности чуть меньше половины случаев карточного мошенничества приходится на потерянные и украденные карты. Почти одна треть пластикового криминала связана с использованием чужого идентификационного кода и копированием чужих карт.

В бывшем СССР такие преступления появились в конце 80-х годов. Благодаря стараниям тогдашних правоохранительных органов в историю вошло имя одного из первых карточных флибустьеров страны Советов — Василия Жука, бывшего бармена гостиницы «Космос». Женившись на гражданке США, он начал интенсивно курсировать между двумя странами, привозя в Советский Союз похищенные в США кредитные карты. Расчет строился на том, что украденные карты не фиксировались в региональных «стоп-листах», выпускаемых на территории СССР.

В настоящее время в России потери от действий карточных мошенников достигли 20 млн долларов в год. Если в 2002 году и I квартале 2003 года, по данным УВД, было возбуждено 43 уголовных дела и выявлено 197 фактов преступной деятельности, которые связаны с пластиковыми картами, то, по заявлению заместителя начальника 6-го отдела Управления по борьбе с экономическими преступлениями ГУВД Москвы Константина Рыжкина, за 7 месяцев текущего года только в столице было выявлено 180 эпизодов и возбуждено более 50 уголовных дел по факту мошенничества с банковскими картами. На основе опыта сотрудничества с зарубежными коллегами Константин Рыжкин пришел к выводу, что уровень мошенничества в России превысил среднеевропейский показатель, достигнув 0,1% от общего оборота по пластиковым картам (20 млрд долларов). Интерес мошенников к России повышается также из-за высоких темпов роста «пластикового» рынка (в прошлом году — до 40%). Если два года назад расплачиваться картой предпочитало только 10% россиян, то сейчас их количество увеличилось вдвое.

Пока этот вид преступлений гораздо более широко распространен в странах Западной Европы, например, в Великобритании. Однако существует опасность, что в ближайшие годы по мере интенсивного перехода европейских стран на платежные карты с чипом, надежность которых значительно выше, карточные мошенники могут переключить свое внимание на страны, имеющие менее защищенные платежные системы. В том числе и на Россию, где доля карт с микрочипом в совокупном обороте еще явно недостаточна. Миграция карточной преступности создаст серьезные проблемы, поскольку уровень безопасности карточного бизнеса в нашей стране пока ниже, чем в большинстве европейских стран.

Технологии защиты

Несколько лет назад международные платежные системы EuropayMasterCard и Visa объявили о желательности быстрого перехода на микрочиповые технологии. О благотворном влиянии чипа на снижение уровня мошенничества свидетельствует, например, опыт Франции. После перехода этой страны на микропроцессорную технологию объем мошеннических операций с карточками в 1989 году резко упал.

Значительно снизить количество спорных интернет-транзакций и уровень карточного мошенничества в сети в целом позволяет использование банками и мерчантами технологии интернет-аутентификации Verified by Visa, основанной на протоколе 3D Secure. Согласно требованиям Visa International, с 1 апреля 2004 года последний должен поддерживаться всеми банками-участниками платежной системы в регионе CEMEA, обслуживающими интернет-транзакции по ее картам.

Применение технологии Verified by Visa выгодно для всех участников рынка электронной коммерции. Так, при проведении транзакции по технологии 3D Secure интернет-магазин не несет ответственности по спорным транзакциям в силу того, что аутентификация пользователя карты происходит на стороне банка-эмитента. Таким образом, снимается один из основных барьеров, препятствующих мерчантам принимать карточные платежи в интернете. В свою очередь владелец карты Visa, совершая покупки с использованием технологии 3D Secure, пользуется счетом, предназначенным специально для проведения платежей в интернете. Что же касается безопасности использования карт в обычной торговой сети, то здесь эффективным средством против мошенников считается не только использование чиповых карт, но и переход на обязательное введение пин-кода при POS-терминальных транзакциях, практикуемый сегодня в ряде стран мира. Впрочем, в соседней с нами Украине POS-ввод пин-кодов в терминалах торговой сети привел к противоположному эффекту. В прошлом году с карточных счетов украинцев в самый разгар туристического сезона начали исчезать деньги. Мошенники обогатились изрядно, поскольку списывали средства с карт класса Gold, обычно выдаваемых состоятельным клиентам. Деньги со счетов VIP-персон пропадали сразу после расчета картой в торговой сети, оборудованной PIN-падами (при расчете через эти устройства необходимо вводить личный пин-код держателя). После рассекречивания кода мошенники, подделав карту, успешно потрошили карточные счета ее владельцев.

Платежные системы используют все доступные способы минимизации потерь от мошенничества с пластиковыми карточками. Эмитенты платежных карт обычно имеют круглосуточно работающую службу для сообщений об утере платежной карты. При получении сообщения счет клиента блокируется и всякое дальнейшее использование его карты вызовет проведение расследования. Иногда необычное количество транзакций может вызвать реакцию компьютерной системы сигнализации еще до того, как будет известно о краже карты.

Проведенные экспертами исследования показывают, что сообщения об утере карты могут поступать в компанию даже через 3—4 дня после ее исчезновения, а в случае использования поддельной карты мошенничество может обнаружиться даже через 30—40 дней. Однако, как показывает практика, около 60% этих потерь происходит прежде, чем банк узнает об утрате клиентом карточки.

В случае похищения карты при пересылке ее по почте особенность мошенничества заключается в том, что владелец даже не догадывается о том, что его карта в чужих руках. Почтовые ящики в жилых домах — также излюбленная цель охотников за чужими картами. Преступники нередко осведомлены о времени доставки новых платежных карт. Следуя за почтальоном, вор ждет, пока тот опустит корреспонденцию в почтовый ящик и уйдет, после чего забирает содержимое. Следователи называют этот тип кражи «медленный прохожий».

Из-за существенных потерь от почтовых краж многие организации, выпускающие карточки, пользуются для доставки заказными письмами. Как дополнительная мера предосторожности может использоваться предварительное уведомление о предстоящей доставке карты. Иногда вместе с предварительным уведомлением используется система, получившая название «двойное датирование». В этом случае карта начинает действовать через месяц или более после даты отправки. В случае неполучения пластиковой карты этого времени достаточно для сообщения о пропаже и внесения карты в список предупреждений. Некоторые организации, выпускающие карты, требуют от получателя обязательного подтверждения о том, что карта ему доставлена.

До недавнего времени получение денег через банкомат считалось одним из наиболее надежных и безопасных способов использования платежной карты, поскольку наличие пин-кода, известного только пользователю, гарантирует идентификацию владельца ПК и конфиденциальность доступа клиента к счету. Однако международная практика уже зафиксировала крупные мошеннические операции через банкоматы. Так, в Венгрии через банкоматы, расположенные в разных районах Будапешта, преступники, используя около 1,5 тыс. поддельных карт, в течение нескольких минут сняли со счетов около 1,5 млн форинтов. По данным Интерпола, в операции принимало участие до 150 человек.

В Англии имел место факт использования мошенниками незаконно установленного банкомата, который внешне был оформлен, как принадлежащий одной из известных фирм. При обслуживании нелегальный банкомат выдавал правильные сообщения, не вызывая у держателей карточек сомнений в его подлинности. Пользователи банкомата оставляли все данные о своем счете. Затем мошенники, используя полученную информацию, изготавливали фальшивые карты из белого пластика, наносили подлинную информацию, кодировали магнитную полосу, а затем получали наличные деньги с чужих счетов через действительные банкоматы.

Растущий вал карточной преступности в перспективе грозит подорвать авторитет карточек как надежного финансового инструмента. Все это заставляет платежные системы и банки-эмитенты заботиться о повышении уровня безопасности карточных транзакций. Например, Гута Банк, недавно купленный Внешторгбанком, совместно с компанией «Гута-Страхование» внедрил новый продукт — страхование платежных карт. Застрахованный потребитель теперь может получить компенсацию не только в случае утери, хищения, а также повреждения карты, но и при несанкционированном доступе злоумышленников к его денежным средствам с помощью похищенной или утерянной карты. Сумма возмещения ущерба по этому риску может достигать 5 тыс. долларов, а полис стоит два доллара. В конце этого года состоялась презентация совместного проекта СДМ-Банка и компании «Автокард» — чиповой пластиковой карты Visa СДМ-Банка, с помощью которой столичные водители будут оплачивать топливо на автозаправочных станциях Московской топливной компании. Миграция на микрочиповую карту помимо прочих преимуществ призвана обеспечить и более высокий уровень безопасности и защиты карты от мошеннических операций.

Впрочем, опыт показывает: любое усовершенствование технологии защиты ведет к адекватному ответу со стороны криминального мира. Тем не менее в этой гонке отечественным банкирам нельзя отставать, поскольку в противном случае именно платежные карты россиян станут наиболее легкой желанной добычей для карточных флибустьеров.