Interested Article - Кардинг

Мошенничество с платежными картами, кардинг (от англ. carding ) — вид мошенничества , при котором производится операция с использованием платежной карты или её реквизитов, не инициированная или не подтверждённая её держателем. Реквизиты платежных карт, как правило, берут со взломанных серверов интернет-магазинов , платежных и расчётных систем, а также с персональных компьютеров (либо непосредственно, либо через программы удаленного доступа , « трояны », «боты» с функцией формграббера ). Кроме того, наиболее распространённым методом похищения номеров платежных карт на сегодня является фишинг ( англ. phishing , искаженное «fishing» — «рыбалка») — создание мошенниками сайта , который будет пользоваться доверием у пользователя, например — сайт, похожий на сайт банка пользователя, через который и происходит похищение реквизитов платежных карт .

Одним из самых масштабных преступлений в области мошенничества с платежными картами считается взлом глобального процессинга кредитных карт Worldpay и кража с помощью его данных более 9 миллионов долларов США. В ноябре 2009 года по этому делу были предъявлены обвинения преступной группе, состоящей из граждан государств СНГ .

Воровство карт

Украденная или потерянная карта может использоваться преступниками только до тех пор, пока владелец не сообщит своему банку о пропаже, либо в оффлайновых операциях. Большинство банков предоставляет круглосуточную телефонную линию для подобных сообщений.

Основной защитной мерой является наличие подписи на карте и требование подписывания чеков. В некоторых магазинах при оплате картой требуется предоставление документов, удостоверяющих личность. Однако требование документа в некоторых юрисдикциях является незаконным.

Украденные карты могут использоваться в некоторых терминалах самообслуживания (например, на АЗС), не требующих ввода PIN-кода.

В Европе большинство карт EMV оснащено чипом, который обычно запрашивает ввод 4-значного цифрового PIN-кода при совершении покупок. Если код не перехвачен, то мошенник сможет использовать её только в операциях, где код не требуется, например в онлайновых (электронных) транзакциях либо в POS-терминалах, оснащенных только считывателем магнитной полосы.

Существуют программные системы и комплекс организационных мер, направленных на предотвращение или усложнение возможных мошеннических операций. Например, крупная транзакция, совершенная далеко от места жительства владельца — как вариант — в другой стране, может быть признана несостоявшейся или даже привести к временному блокированию карты.

Операции без карты

Для проведения транзакции требуются лишь некоторые данные, написанные на карте. Обычно карта содержит (в виде надписи и на магнитной полосе): имя владельца, номер карты ( ), месяц и год окончания срока действия, верификационный код ( CVV2 ).

Существуют операции, в которых не требуется физического наличия карты, а транзакция проводится лишь по данным с неё. Минимальный необходимый набор информации — номер карты, часто также требуется срок окончания, чуть реже — верификационный код.

Злоумышленник может скопировать эти данные, если вступит в сговор с лицами, имеющими доступ к картам, например, с официантом или кассиром. Данные могут быть сфотографированы или восстановлены из видеозаписи. Также получение подобных данных возможно с помощью вируса, установленного на компьютере пользователя, методами социальной инженерии (имитация звонка из банка) либо путём взлома интернет-магазинов или систем, обслуживающих карты. Затем преступники используют данные в операциях без присутствия карты.

Некоторую защиту от такого рода преступлений предоставляет внедрение оперативных уведомлений о проведении операций. Также частично от такого мошенничества защищают технологии 3-D Secure , MasterCard Security Code, Verified by Visa, в которых для проведения операции требуется ввод дополнительного кода, получаемого в отделении банка, через банкомат, по SMS или с помощью аппаратного генератора кодов (токен).

Скимминг

Частным случаем кардинга является скимминг (от англ. skim — снимать сливки), при котором используется скиммер — инструмент злоумышленника для считывания, например, магнитной дорожки платёжной карты . При осуществлении данной мошеннической операции используется комплекс скимминговых устройств:

инструмент для считывания магнитной дорожки платёжной карты — представляет собой устройство, устанавливаемое в картоприёмник, и кардридер на входной двери в зону обслуживания клиентов в помещении банка. Представляет собой устройство со считывающей магнитной головкой, усилителем — преобразователем, памятью и переходником для подключения к компьютеру. Скиммеры могут быть портативными, миниатюрными. Основная идея и задача скимминга — считать необходимые данные (содержимое дорожки/трека) магнитной полосы карты для последующего воспроизведения её на поддельной. Таким образом, при оформлении операции по поддельной карте авторизационный запрос и списание денежных средств по мошеннической транзакции будут осуществлены со счета оригинальной, «скиммированной» карты.
миниатюрная видеокамера, устанавливаемая на банкомат и направляемая на клавиатуру ввода в виде козырька банкомата либо посторонних накладок, например, рекламных материалов — используется вкупе со скиммером для получения ПИН держателя, что позволяет получать наличные в банкоматах по поддельной карте (имея данные дорожки и ПИН оригинальной).

Данные устройства питаются от автономных источников энергии — миниатюрных батарей электропитания, и, для затруднения обнаружения, как правило, изготавливаются и маскируются под цвет и форму банкомата.

Скиммеры могут накапливать украденную информацию о пластиковых картах либо дистанционно передавать её по радиоканалу злоумышленникам, находящимся поблизости. После копирования информации с карты мошенники изготавливают дубликат карты и, зная ПИН, снимают все деньги в пределах лимита выдачи, как в России, так и за рубежом. Также мошенники могут использовать полученную информацию о банковской карте для совершения покупок в торговых точках.

Меры защиты

Для предотвращения незаконных списаний по банковской карте рекомендуется применять следующие меры безопасности:

не передавать свою карту в чужие руки, следить за тем, чтобы карта использовалась лишь по назначению (дабы невозможно было применить портативное скимминговое устройство, спрятанное под одеждой, например, официанта либо сотрудника автозаправочных станций, продавца магазина и т. д.).
проявлять бдительность и внимательность при пользовании банкоматом, обращать внимание на нестандартные элементы конструкции — накладную клавиатуру, используемую для считывания PINа . В случае скимминга такая клавиатура располагается, как правило, выше уровня корпуса банкомата, легко от неё отделяется и, зачастую, под накладной виднеется часть оригинальной.
обращать внимание на установленные микровидеокамеры на самом банкомате, которые могут быть смонтированы как в козырьке банкомата, так и замаскированы под сопутствующие банкомату предметы, например, рекламные материалы.
минимизировать случаи использования банковской карты в местах, вызывающих подозрение; по возможности использовать банковскую карту в хорошо просматриваемых помещениях.
снятие наличных средств и другие банковские операции, осуществляемые при помощи банкоматов, по возможности производить в одном и том же банкомате, запомнив его внешний вид. Как правило, стандартные технические модификации банкоматов одного банка редко отражаются на их внешнем виде.
по возможности набирать ПИН быстро, заученными движениями и, желательно, используя несколько пальцев руки сразу — так злоумышленникам будет сложнее распознать ваши движения. По возможности прикрывать набирающую ПИН руку другой рукой, сумочкой или каким-либо иным предметом.
если банк-эмитент банковской карты имеет в своём сервисе услугу быстрого оповещения владельца карты о фактах списания (смс-оповещения), подключить её для наиболее быстрого реагирования на незаконные списания.
использовать банковские карты со встроенным микрочипом , если это возможно .

Статистика

В начале 2010-х в США из 5,6 миллиарда действительных банковских карт лишь около 20 миллионов являются смарт-картами (содержат чип). За период с 2007 по 2011 год секретная служба США арестовала более 5 тысяч преступников, замешанных в скимминге . Потери за 2012 год оцениваются в 11,3 млрд долларов. В год в стране обнаруживают около 20 тысяч скиммеров .

В Великобритании с 2001 по 2011 года мошенничество с пластиковыми картами приводило к потерям в 300—600 млн фунтов ежегодно . Значительная доля преступлений осуществлялась по данным карты в операциях, в которых не требуется предъявление карты (например, покупка через интернет). Потери от скимминга, составлявшие ежегодно от 100 до 170 миллионов фунтов в 2001—2008 годах, значительно снизились в 2010—2011 годах, до 47—36 миллионов фунтов, благодаря широкому внедрению чипованных карт и чипов с поддержкой iCVV и DDA .

В России в 2010-е годы, по официальным данным, совершаются тысячи преступлений с пластиковыми картами в год . В 2011 году ущерб от кардинга был оценен в 400 миллионов долларов .

См. также

Фишинг

Примечания

Computer, News (неопр.) . Аналитика компьютерной преступности (ноябрь 2009). Дата обращения: 10 ноября 2009. 25 августа 2011 года.
(неопр.) . Дата обращения: 28 января 2014. 2 февраля 2014 года.
Yudhijit Bhattacharjee (Jan. 17, 2011). (англ.) . TIME. из оригинала 25 февраля 2014 . Дата обращения: 28 января 2014 . Since 2007, the Secret Service has made more than 5,000 arrests in skimming cases, and the FBI has busted a good number of skimming rings too. {{ cite news }} : Проверьте значение даты: |date= ( справка )
Сергей Голубицкий (24 января 2014). . "Компьютерра-Онлайн". из оригинала 27 января 2014 . Дата обращения: 28 января 2014 .
(неопр.) . Дата обращения: 29 января 2014. 2 февраля 2014 года.
↑ (неопр.) . Дата обращения: 29 января 2014. 22 сентября 2013 года.
(неопр.) . Дата обращения: 29 января 2014. 1 февраля 2014 года.
. Газета.ру. 21.10.2011. из оригинала 2 февраля 2014 . Дата обращения: 29 января 2014 . {{ cite news }} : Проверьте значение даты: |date= ( справка )

Ссылки

// Хакер, номер № 08/2006 (92), стр. 092-086-1

[1] Computer, News (неопр.) . Аналитика компьютерной преступности (ноябрь 2009). Дата обращения: 10 ноября 2009. 25 августа 2011 года.

[2] (неопр.) . Дата обращения: 28 января 2014. 2 февраля 2014 года.

[3] Yudhijit Bhattacharjee (Jan. 17, 2011). (англ.) . TIME. из оригинала 25 февраля 2014 . Дата обращения: 28 января 2014 . Since 2007, the Secret Service has made more than 5,000 arrests in skimming cases, and the FBI has busted a good number of skimming rings too. {{ cite news }} : Проверьте значение даты: |date= ( справка )

[4] Сергей Голубицкий (24 января 2014). . "Компьютерра-Онлайн". из оригинала 27 января 2014 . Дата обращения: 28 января 2014 .

[5] (неопр.) . Дата обращения: 29 января 2014. 2 февраля 2014 года.

[frauduk12-6] (неопр.) . Дата обращения: 29 января 2014. 22 сентября 2013 года.

[7] (неопр.) . Дата обращения: 29 января 2014. 1 февраля 2014 года.

[8] . Газета.ру. 21.10.2011. из оригинала 2 февраля 2014 . Дата обращения: 29 января 2014 . {{ cite news }} : Проверьте значение даты: |date= ( справка )

Банковские карты
Типы карт	Банковская платёжная карта кредитная карта дебетовая карта расчётная карта
Глобальные платёжные системы	Visa Mastercard American Express Diners Club Cirrus JCB UnionPay Мир
Локальные платёжные системы, в том числе закрытые	Алтын Асыр Белкарт Золотая корона Приднестровье Корти Милли Простір Элкарт Armenian Card AzeriCard Banelco BC Card Carte Bleue Elo Gh-link Girocard HUMO Interac Meeza PayPak Qi Card Qiwi RuPay Shetab Troy Uzcard V Pay Verve Carte Blanche enRoute Eurocard Laser Mondex Solo STB Card Switch Union Card Про100
Основные кредитные карты	Мир Visa Mastercard JCB
Основные дебетовые карты	Мир Debit Mastercard Maestro Visa Debit Visa Electron
Выпуск банковских карт	Банк-эмитент Эмбосированная карта Карта с магнитной полосой Смарт-карта (с чипом) Бесконтактная карта ( MasterCard Contactless Visa payWave )
Приём банковских карт	Банкомат POS-терминал ( mPOS ) Импринтер Эквайринг
Связанные понятия	Банковская транзакция Системы расчётов по банковским картам Процессинговый центр Платёжная система Реестр операторов платёжных систем
Безопасность	CVV2 3-D Secure EMV CNP-операции