double arrow

Возможные последствия мошеннических транзакций

Распределение мошеннических транзакций по доступным атрибутам карт

Варианты мошеннических транзакций

Субъект системы взаиморасчётов Варианты мошеннических действий
Покупатель ввод номера чужой карты; создание карты-двойника; осуществление овердрафта на карт-счёте из-за мошеннических действий при массовых закупках по карте ниже авторизационных лимитов в большом числе торговых точек; несанкционированная установка на карту кредитного лимита, позволяющую увеличить авторизационный остаток на карточном счёте с последующим снятием средств; несанкционированная установка в авторизационной системе специального статуса счёта, позволяющая в определённых пределах снимать средства с карты (фактически кредитный лимит); получение и использование товара или услуги в форме информации (ПО, аудио, видео, результаты маркетинговых исследований и т.п.) и отказ от платежа
Продавец увеличение суммы платежа; запоминание полученного номера карты и использование его для своих покупок; отказ от сделки
Банк подделка транзакции
Злоумышленники, не принимающие непосредственного участия в сделке трассировка транзакций и несанкционированный собор информации о пользователях; генерация (как правило, программная) существующего номера пластиковой карты, выяснение срока её действия и использование её для покупок в Интернете; перехват данных платежа при передаче, а также «взломе» компьютерных систем продавца или банка, использование их для манипуляций с карт-счетами и т.д.

Таблица 6

Атрибуты карт доступные мошенникам Оплата с использованием украденной карты в офлайновом магазине Использование реквизитов карты в интернет-коммерции Снятие наличных в банкомате Оплата незаказанных покупок по сговору с работниками магазинов
Карта        
Реквизиты карты        
Магнитная полоса и ПИН-код        

Таблица 7

Атрибуты карт доступные мошенникам Дебетовая карта Кредитная карта
Реквизиты карты Трата денег на товары и услуги, продаваемые через Интернет Трата всех денег, которые есть на карт-счёте и средств, выделяемых в рамках лимита кредита через Интернет
Карта и ПИН-код Снятие всех деньг через банкомат Снятие всех денег через банкомат, после чего карту будут использовать для покупок, не требующих авторизации
Магнитная полоса и ПИН-код Снятие всех находящихся на счёте денег через банкомат Снятие всех денег (включая средства, выделяемые в рамках лимита кредита) через банкомат

Одним из упоминавшихся выше способов мошенничества является метод создания псевдо-магазина, открывающегося для кражи денег, находящихся на связанных с картами карт-счетах. После того как в руках криминальных структур появляются реквизиты карт обманутых покупателей, ими можно воспользоваться. Осуществляется это, как правило, с помощью интернет-магазина, «торгующего» программным обеспечением или другими информационными ресурсами (программы телевизионных передач, подписка на новости и т.д.). В действительности, такой интернет-магазин ничем не торгует. Но им регулярно направляются авторизационные запросы, использующие реквизиты карт полученные мошенническим путём, в обслуживающие карточные системы банки, а, следовательно, магазин может получать от банков возмещение за совершённые в нём «покупки». Так продолжается до тех пор, пока уровень чарджбеков (отказов от платежей), от держателей карт с украденными реквизитами не станет свидетельством того, что имеет место мошенничество. Обычно к этому моменту псевдо-магазины исчезают и становятся предметом поиска правоохранительных органов.

Распространённая технология работы псевдо-магазинов – осуществление подложных транзакций на небольшие суммы (не более 10 долл.). Основная идея такого подхода заключается в том, что действительный владелец карты заметит небольшую потерю средств на своем счёте далеко не сразу и в результате за имеющееся в распоряжении мошенников время (как правило, несколько месяцев) можно с использованием подобных небольших транзакций украсть сотни тысяч долл.

Пример. В декабре 1999 года гр-н Левитин открыл электронный магазин "Полит-шоп", сайт которого содержал объявления о предоставлении ряда услуг. После этого Левитиным были заключены договора с коммерческим банком о расчётном обслуживании этого магазина. Взломав серверы других электронных магазинов, Левитин и его друзья получили информацию о держателях пластиковых карт и от их имени оформляли покупки в магазине Левитина. Вырученные средства, проходя через несколько коммерческих банков, обналичивались и распределялись между участниками преступной группы. Всего за период с декабря 1999 года по апрель 2000 года Левитин и его сообщники похитили более 18 млн. руб. со счетов свыше пяти с половиной тысяч держателей карт. В результате проведённой 27 апреля операции все преступники были арестованы, и возбуждено уголовное дело по части 3 статьи 159 «Овладение чужим имуществом, путем мошенничества в составе организованной группы».

Самый простой способ мошенничества с банкоматами: заклеивание окошка выдачи наличных в банкомате скотчем. Решив, что банкомат неисправен, невнимательный держатель карты уходит. А преступник, дежуривший поблизости, забирает деньги и наклеивает новый скотч.

Со взломом банкоматов связан и самый сложный из известных автору методов используемых киберпреступниками. Технологии защиты банкоматов не уступают технологиям защиты банковских сейфов. Кроме того, банкоматы обычно устанавливают в местах, где действия злоумышленников по вскрытию банкомата не могут остаться незамеченными: банках, крупных офисных и торговых центрах.

Таким образом, слабое звено системы – не сам банкомат, а кабель, соединяющий его с банком. Для авторизации транзакций банкомат всегда обращается в банк. Подключившись в разрез кабеля между банкоматом и банком и расшифровав передаваемые сообщения, злоумышленники могут перехватывать и фальсифицировать информацию. В результате они могут проводить авторизацию собственных транзакций по получению наличных в банкомате.

Довольно проста схема мошенничества, связанная с голосовой авторизацией, применяемой при совершении платежей по кредитным картам. Преступнику нужен сообщник в магазине, который передаст ему слип с карты жертвы преступления. Физического отпечатка с номером, сроком действия и фамилией клиента достаточно для изготовления подделкислипа.

Пример:Перехватив почтовую корреспонденцию между банком и клиентом, преступники могут узнать номер карты. Когда впервые в 1972 году в США была проведена инспекция на почтовых участках, то были вскрыты 436 случаев мошенничества данного вида (98% подозреваемых были осуждены).

Метод «Доставка товаров».Один из вариантов мошенничества начинается с предложения, по тем или иным причинам, получить товар за кого-то и переслать его, потом по почте или передать «с оказией» за приличное вознаграждение. Такое предложение можно прочесть на электронной доске объявлений.

Договорившись о сумме вознаграждения, выполнив условия (переслав товар) и возможно получив обещанное вознаграждение, жертва мошенничества узнает, что товар, купленный на её имя в электронном магазине, был приобретен с использованием ворованной пластиковой карты. Посему магазин требует возвращения купленного продукта или возмещения его полной стоимости, а в противном случае грозит возбудить уголовное дело.

С момента покупки товара по ворованной пластиковой карте и получения торговцем информации о незаконном платеже может пройти до четырёх месяцев. Этого времени достаточно, чтобы мошенник скрылся.

Мошенничество в электронных платёжных системах.Сценарий мошенничества следующий: жертве предлагают помочь перевести деньги, т.е. деньги должны пройти транзитом через её счёт. После осуществления транзита (часто мультисистемного, с использованием пластиковых карт, традиционного банковского счета или электронных денег), развитие событий становится аналогичным ситуации с доставкой товара.

Деньги в случае мошенничества переводятся с пластиковых карт, с использованием «Cardholder Not Present-транзакций», а это означает, что кроме данных карты клиент не предоставил ни каких данных о себе. Через несколько недель жертве мошенничества придёт извещение от платёжной системы об опротестовании данного платежа. В подобных инцидентах платёжные системы возмещают деньги владельцу карт-счёта самостоятельно и затем направляют усилия своих сотрудников на получение этих денег у жертвы мошенничества. Наличие у компании номера банковского счёта жертвы и документальные подтверждения осуществления им транзакции помогут платёжной системе получить свои деньги.

Пример. Система борьбы с мошенничеством в платёжной системе PayPal названа «Игорь» в честь русского мошенника, который долгое время использовал недостатки системы в своекорыстных целях.

Метод «Партнёрские программы».Способы мошенничества в партнёрских программах тоже часто построены на использовании вышеописанных недостатков платёжных систем на основе пластиковых карт.

Обычно мошенники просят жертву, живущую за границей России, согласиться принимать на свое имя чеки от сервисных партнёрских компаний. Обосновывается это тем, что западные партнёрские компании редко работают с участниками из стран Восточной Европы. Те же, кто работает, высылают партнёрские вознаграждения в форме банковского чека, а банковские комиссии при получении денег по таким чекам в России достаточно высоки (от 10 до 20 долл. за обналичивание чека).

Если человек, к которому обратились мошенники, согласился им помочь, то на его адрес начинают приходить чеки. Происходят данные выплаты следующим образом. С партнёрского сайта, участвующего в партнёрской программе, совершается покупка в интернет-магазине. Магазин выплачивает сервисной партнёрской компании (администратору партнёрской программы) определённую сумму, часть которой затем уходит на счёт участника партнёрской программы как процент от продаж.

Ежемесячно сервисная партнёрская компания платит своим участникам, рассылая процентные отчисления в виде чеков. Приняв на себя ответственность обналичивать чек и расписываясь на нём, человек, таким образом, заявляет в банке, что эти деньги принадлежат именно ему.

Через какое-то время интернет-магазин обнаруживает много опротестованных платежей, и становится ясно, что некоторые покупки производились с использованием ворованных реквизитов пластиковых карт. Наряду с попытками возвращения отосланных товаров интернет-магазин посылает информацию о правонарушении в партнёрскую организацию.

Проанализировав счета своих участников, партнёрская организация приходит к выводу, что в некоторых из них процент опротестованных платежей чрезмерно высок, и, следовательно, можно говорить о мошенничестве. Компания выясняет, кому отсылались чеки. Дальнейшее развитие событий становится аналогичным ситуации с доставкой товара.

Особенность данной схемы в том, что о мошенничестве с партнёрскими программами жертва чаще всего узнаёт не раньше чем через полгода. Вначале на опротестованные платежи должен обратить внимание интернет-магазин, затем, в случае резкого роста их числа, информация о таких платежах будет передана в сервисную партнёрскую компанию, которая потратит некоторое время на анализ расчётов и только после этого начнёт внутреннее расследование. Процесс может занять целый год. Это достаточное время чтобы мошенники получили деньги у жертвы.

Способы защиты от мошенничества при использовании пластиковых карт:

- наиболее простым способом снижения вероятности потерь от мошенничества является ограничение функциональности пластиковой карты совместно с подключением к услуге мониторинга активности (например, в форме SMS-сообщений обо всех операциях с карт-счетом). Для ограничения функциональности пластиковой карты используются: лимит на максимальную сумму покупки, максимальное количество операций, максимальную сумму операций по одной карте, ограничение региона использования карты, блокировка карты на то время, пока она не используется и т.д.;

- желательно использовать пластиковые карты, имеющие страховой полис;

- никогда, никому (включая работников банка) не сообщать ПИН-код карты и не вводить его на виду у посторонних;

- хранить карту в надёжном месте, недоступном для мошенников;

- в случае потери карты оперативно связаться с банком и заблокировать её использование. В этом случае многое зависит от содержания договора на открытие карт-счёта. Например, клиент по договору может нести ответственность за все операции со своей пластиковой картой в течении N-го числа дней с момента подачи письменного заявления об утере или клиент должен самостоятельно оплачивать блокировку карты (желательно избегать использования данных пунктов в договоре);

- избегать оплаты с помощью голосовой авторизации, снятия слипов импринтером в тех торговых заведениях, надёжность которых вызывает сомнения: есть риск, что с карты снимут гораздо большую сумму, чем требуется, либо скопируют данные с магнитной полосы специальным прибором;

- в случае отказа в авторизации нужно проконтролировать факт уничтожения слипа сотрудником торгового предприятия;

- совершая покупки в Интернете, любую информацию, касающуюся карт, следует передавать только по защищённым протоколам, например, протоколу SSL 3.0, с длиной ключа шифрования не менее 128 бит;

- необходимо своевременно проверять выписку по карте (стейтмент). Существуют строго оговоренные сроки, в течение которых можно выставить претензию обслуживающему банку (чарджбек). Своевременное выставление претензий снимает с клиента ответственность за дальнейший ход событий.


Сейчас читают про: