На крючке у хакеров

Хакеры разоряют счета украинцев: достаточно одного неосторожного платежа в интернет-магазине либо социальной сети, и на карточке физлица не останется ни копейки.

Карточные расчеты в Украине становятся все более опасными. Еще год-два назад владельцам пластика советовали обходить стороной банкоматы с накладками мошенников и по возможности не “светить” реквизиты карточек под видеокамерами во время расчетов в магазинах. Теперь же держателям рекомендуют несколько раз подумать, прежде чем рассчитаться в интернете: в системе интернет-банкинга или просто на сайте торгово-розничных сетей (интернет-магазинов, кинотеатров, транспортных компаний и пр.). Новая опасность для наших карт — хакеры. Они беспощадно грабят как личные счета рядовых граждан, так и “кубышки” предприятий.

Сеть — рай для мошенников

Разгул карточной преступности на прошлой неделе был подтвержден статистикой правоохранительных органов и Нацбанка. По информации чиновников, за 2012 г. общее количество мошеннических операций с платежными картами в нашей стране выросло сразу на 47% и с 35 до 57 увеличилось количество банков, со счетов которых пропадали средства. Как и прежде, по числу несанкционированных списаний со счетов лидировали физлица (ежедневно от населения поступает до 50 жалоб, со счетов за прошлый год пропало 11,4 млн грн.), а по объемам потерь — компании. Как сообщили “ДС” в МВД, за прошлый год правоохранители возбудили 139 уголовных дел на предмет списаний мошенниками при помощи систем “Клиент-Банк” 116 млн грн. Не менее активно исчезали деньги со счетов предприятий и в нынешнем году: зафиксировано 23 факта пропажи средств на общую сумму 12,5 млн грн.

Население, банкиры и даже силовики оказались не готовы к активизации финансового криминалитета, а главное, — к смене его приоритетов. До 2012 г. мошенники собирали информацию о карточных счетах украинцев главным образом в торговых точках (считывали данные с POS-терминалов во время платежа) и банкоматах, на которые устанавливались накладки, считывающие данные с пластика. Но в прошлом году они по-новому открыли для себя Всемирную паутину: компьютерные гении не только продолжали взламывать системы интернет-банкинга, но и стали писать специальные вирусы, считывающие с ПК банковских клиентов информацию о карточных счетах.

“Чаще всего использовался вирус типа back-door, позволяющий злоумышленникам на удалении контролировать компьютеры жертв. Как правило, между их заражением и проведением несанкционированной транзакции преступники в течение нескольких недель отслеживали состояние счетов и анализировали технические особенности соединения компьютеров клиентов с серверами банков (лог-файлы)”, — рассказал “ДС” начальник управления по борьбе с киберпреступностью МВД Украины Максим Литвинов.

Собственно, именно технологическая революция, перевернувшая весь мир в 2012 г., и стала главной причиной стремительного роста финансовой преступности в нашей стране. “Прошлый год знаменовался активным использованием современных информационных технологий для компрометации платежных карт: я имею в виду и создание новых вирусов, и взломы больших компаний по приему платежей и торговых точек”, — отметил в беседе с “ДС” ведущий эксперт управления безопасности ОТП Банка Алексей Немченко.

Профессиональный уровень жуликов стремительно повышался, а клиенты банков оставались такими же беспечными, как и прежде: продолжали, например, по первому требованию передавать мошенникам, представившимся по телефону либо электронной почте работниками банков, информацию о карточных счетах. Да и компьютеры физлиц и предприятий оставались совершенно беззащитными перед атаками мошенников: большинство отечественных пользователей ПК до сих пор не пользуются не только лицензированными антивирусными программами, но даже базовым лицензионным программным обеспечением.

Не всегда перед хакерами могли устоять и финансовые учреждения: либо из-за виртуозного искусства преступников, либо из-за устаревших программ, которые не спешили менять финансово немотивированные банки. “В нашей стране отсутствует ответственность банков за предоставление небезопасного сервиса с потерями выше определенного уровня. А также отсутствуют требования к безопасности систем дистанционного банковского обслуживания”, — признал начальник департамента безопасности информационных систем УкрСиббанка BNP Paribas Group Андрей Моршнев.

Усугублялась ситуация еще и более активным проникновением в банковские структуры криминала. Хакеры вступали с финансистами в преступные сговоры и ускоряли передвижение и вывод со счетов украденных денег. “В ходе расследований мы нередко сталкивались с подозрительными операциями по оперативной выдаче значительных сумм наличности. Это создавало предпосылки для преступлений и указывало на возможную заинтересованность работников банков в реализации преступного умысла”, — заметил “ДС” Максим Литвинов.

Деньги вернут VIP-клиентам и застрахованным

Обычно жулики собирали информацию о картах физлиц (номер карты и код CVV, который нужен для покупок в интернете) тремя способами. Реже прибегали к классическому: обзванивание физлиц под видом банковских работников с просьбой уточнить данные карты. Хотя обыватели до сих пор покупаются на эти нехитрые трюки. Куда чаще жулики демонстрировали свои хакерские таланты: создавали вредоносные программы, собирающие сведения о карточных счетах физлиц непосредственно на их компьютерах, после чего вирусы запускали в интернет.

“Те попадали на порталы, не имеющие четко построенной защиты от мошенничества: созданные для оплат компьютерных игр, программного обеспечения (чаще всего пиратского происхождения). А то и вовсе на фишинговые сайты: это ресурсы, выдающие себя за другие порталы, создаются с целью хищения логинов, паролей и другой конфиденциальной информации”, — рассказал “ДС” начальник управления безопасности карточного бизнеса департамента банковской безопасности банка Надра Вячеслав Федотенко.

Нередко вредоносные программы подхватывались компьютерами пользователей с разного рода интернет-форумов и социальных сетей. Хакеры не гнушались и банального взлома карточных данных, правда, прибегали к этому крайне редко: проникали в ноутбуки физлиц в публичных зонах Wi-Fi и считывали при помощи спецпрограммы нужные данные.

Как ни старались финучреждения защитить свои системы интернет-банкинга, им так и не удалось выстроить идеальный барьер против хакеров-разрушителей. Поэтому они также служили для злых гениев источниками информации о карточных счетах населения. “Системы защиты конфиденциальных сведений финучреждений остаются уязвимыми. На это указывает статистика краж средств со счетов клиентов Укрсоцбанка и УкрСиббанка”, — сказал “ДС” г-н Литвинов. Некоторое утешение лишь в том, что количество попыток взломов удаленных систем банкинга, по оценкам финансистов, в 2012 г. было зафиксировано на 10–15% меньше, чем в 2011 г.

Следующая плохая новость: у мошенников заметно выросли аппетиты. Если в 2011 г. с карты физлица до ее блокирования банком (после обращения клиента) успевали похитить от 300 до 500 грн., то в 2012 г. — уже порядка 700–1000 грн. Вернуть же эти средства удавалось далеко не всегда и только после проведения расследования, которое обычно длится до 30 дней. Как правило, банк соглашается компенсировать потери клиентов лишь в некоторых случаях: если в ходе расследования (службы безопасности финучреждения и МВД) будет доказана вина финансистов или сайта, на котором до кражи денег осуществлялись платежи. То есть выяснится, что утечка информации о картах произошла из-за оборудования или действий их сотрудников.

“В случаях, когда явно виноват банк, он выплачивает компенсацию. Если ошибся клиент (например, сам выдал данные карты мошеннику), скорее всего, финучреждение не заплатит. Хотя бывают и исключения: в некоторых банках существуют программы лояльности, в рамках которых они возмещают клиентам потери в любом случае. Но обычно это касается лишь VIP-клиентов”, — рассказал “ДС” координатор комитета Независимой ассоциации банков Украины по вопросам банковской инфраструктуры и платежных систем Владимир Еременко.

Также стопроцентную возможность вернуть себе украденные средства имеют застрахованные держатели пластика. Но платить им будет уже не банк, а страховая компания в рамках страховой суммы. “По желанию клиентов, в некоторых тарифных планах мы предлагаем воспользоваться возможностью оформить страховой полис от мошенничества. Плата за такую опцию колеблется в среднем от 40 до 150 грн. в год в зависимости от типа карты, размера кредитного лимита и страхового покрытия (обычно оно не превышает 30 тыс. грн.)”, — сообщил “ДС” заместитель начальника управления платежных карт Банка “Национальный кредит” Денис Мельник.

В ближайшее время финансисты не обещают менять правила компенсаций для обобранных мошенниками клиентов. Чтобы не попадаться на удочку жуликов, советуют следовать нескольким правилам. Главное — ни в коем случае не сообщать данные карт третьим лицам. Кроме того, желательно установить лимиты на операции, sms-информирование о каждой транзакции, не пользоваться системами интернет-банкинга и платежными функциями на других сайтах в публичных зонах Wi-Fi. А также выпустить к стандартной карте дополнительную — для платежей в интернете (класса Virtuon), и только по ней совершать транзакции в Сети.

pokupki_internet

Охота по-крупному

Украинские компании мошенники грабят практически так же, как и население. Сначала пытаются выудить информацию у малоопытных и беспечных бухгалтеров: раздобыв у банка базу данных e-mail адресов корпоративных клиентов, жулик рассылает по ней письма с просьбой ответить на некоторые вопросы (например, ПИН-код, номер карты, одноразовый пароль и т. д.). Получив информацию, преступник действует мгновенно — со счетов компании начинают исчезать средства.

Второй способ получить информацию о счете сводится к написанию хакером специального вируса под отдельно взятую систему “Клиент-Банк” (нельзя написать универсальную программу, которая будет взламывать все системы подряд). Он либо откроет злоумышленнику удаленный доступ к компьютеру предприятия в онлайн-режиме, либо просто перехватит для хакера пароль и ключ, открывающие доступ к “Клиент-Банку”.

Компании теряют на атаках злых гениев куда большие суммы, чем физлица. “Суммы, на которые посягают преступники, в 2012 г. колебались от 30 тыс. до 30 млн грн.”, — сообщил “ДС” Максим Литвинов. Утешает лишь то, что раскрываемость корпоративных краж у правоохранителей довольно высока: за прошлый год милиция совместно с банками и Госфинмониторингом смогла компенсировать 54% убытков юрлиц в 74 случаях из 139 зафиксированных. Обычно отследить средства удавалось после того, как они начинали стихийно переводиться со счета на счет в разных банках.

В то же время розыск пропавших денег по корсчетам и поимка преступников — единственный реальный шанс для компаний вернуть свои средства. Такие потери банки практически не компенсируют. Возмещение может состояться лишь в том случае, если будет доказан сговор банковского работника с жуликами и вина финучреждения будет очевидна.

Руководителям компаний, желающих защититься от хакеров, сегодня дают несколько советов. В первую очередь стандартные: ограничивать число сотрудников, ответственных за осуществление операций в “Клиент-Банке”, и компьютеров, используемых для этого. “Также мы предлагаем клиентам для хранения электронных ключей специальные токены, которые защищают ключи от несанкционированного копирования при входе в “Клиент-Банк”. И советуем клиентам прописывать свои IP-адреса, с которых будет возможен вход в систему или использовать одноразовые пароли для подтверждения операций через sms-сообщения”, — объяснил “ДС” начальник сектора мониторинга и опротестования транзакций АО “Эрсте Банк” Игорь Попов.

В случае применения всех этих рекомендаций вероятность хищений сводится к минимуму. У жуликов останется лишь один способ получить деньги компании — физически вторгнуться в офис предприятия и быстро “зачистить” его счета. По слухам, в Украине были и такие случаи, однако они заканчивались поимками преступников.

Карточный облом

Карточные расчеты банки активно пропагандируют последние лет десять. Чего только не делают: и разбрасывают бесплатный пластик по почтовым ящикам украинцев, и дают им скидки на покупаемые картой товары, и насчитывают за покупки денежные бонусы на счет. Главная же заповедь финансистов: на карточном счете деньгам куда безопаснее, чем в кошельке. Если карманный вор утащит портмоне, то наличные пропадут навсегда, а “пластиковые” средства находятся под замком у банка, и до них злодею не добраться. Но совершенно неожиданно для многих выяснилось, что все это миф.

Преступники научились оперативно взламывать защиту финансистов и ловко грабить счета населения, которое живет вчерашним днем и призрачной надеждой, что банки надежно оберегают их накопления. Гражданам, которые, не вникая, подмахивали карточные договоры с банками, не вчитываясь в правила пользования карточкой, и в голову не приходит, что под видом банкиров им могут позвонить жулики, выведать номер карты с кодом и в считанные минуты оставить без копейки. А потому и попадаются они на избитые уловки мошенников, количество которых в последнее время растет стремительными темпами.

Причем все чаще среди них встречаются не только примитивные махинаторы, подсматривающие карточные пароли в магазинах, но и настоящие гении. Они могут облапошить даже самого искушенного карточного пользователя: при помощи вируса, запущенного в компьютер физлица, собрать всю информацию о карте, и, пока тот безмятежно спит (и не видит банковские sms-сообщения о расчетах), за одну ночь разграбить весь его банковский счет. А дальше — тупик. Глухим к просьбам вернуть деньги может оказаться и банк, который использует любую возможность экономить — не компенсировать потери, и правоохранители. В самом лучшем случае удается возврат около половины украденного.

Перед картодержателем разведут руками — технический прогресс открывает перед хакерами бесконечные возможности. В такой ситуации невольно задумаешься: готов ли ты нести на своем кошельке издержки высоких технологий и покупаться на россказни финансистов о безопасном размещении у них своих кровных.

Наказание для шопоголиков

Главная опасность при расчетах картами в интернет-магазинах — это все тот же пресловутый фишинг. Только здесь, чтобы попасться на удочку мошенников, вовсе не обязательно выдавать жуликам данные карты по телефону, достаточно лишь войти на неблагонадежный сайт и попытаться там что-то купить. Для этого, собственно, их и создают: чтобы выведывать данные о счетах. Внешне они выглядят весьма благопристойно и делают покупателям очень выгодные предложения (товары на этих порталах могут быть чуть ли не на 20–30% дешевле, чем в среднем по рынку). А иногда даже напоминают своим дизайном известные интернет-магазины. Все делается для того, чтобы покупатель не заподозрил подвоха и попытался приобрести товар — вбил реквизиты своей карты. Это все, что нужно владельцам портала, чтобы начать разграбление карточного счета физлица.

Сведения о счетах получают и накапливают в своих базах данные только “фишинговые” сайты. Все нормально действующие порталы работают через процессинговые центры, и данные о картах даже “не видят”.

“Они применяют международную технологию 3-D Secure. Происходит взаимообмен между тремя сторонами: банком, выпустившим карту, банком-эквайером (обслуживающим конкретный магазин) и процессинговым центром. Сам же интернет-магазин лишь получает от банка-эмитента ответ, если транзакция невозможна (например, нет денег на счете) или же положительный отчет о зачислении денег”, — объяснил “ДС” председатель правления Украинского процессингового центра Антон Романчук. Такая система передачи данных практически сводит к нулю возможность кражи банковской информации в интернет-магазинах.

Чтобы максимально себя обезопасить, населению советуют пользоваться новыми технологиями: подписывать каждую проплату кодом и sms-сообщением.

“Платежные карты могут быть защищены протоколом 3-D Secure на стороне эмитента карточки. В таком случае при каждой операции в интернете, помимо стандартных данных (номер карты, имя владельца, CVV-2 кода и даты окончания срока действия карты), от плательщика требуется ввести одноразовый пароль, который высылается ему на номер мобильного телефона с помощью sms-сообщения. Это полностью исключает опасность потери денег клиентом, так как даже если его информация о карте попадет в руки мошенникам, они не смогут ничего оплатить без пароля”, — заверил г-н Романчук. Еще один совет специалистов: входить на сайты магазинов только при помощи защищенного соединения — адрес сайта должен начинаться с https://.

МНЕНИЕ ЭКСПЕРТА

Ростислав Кравец, старший партнер адвокатской компании “Кравец и Партнеры”

У банка можно отсудить не только сумму похищенных с карточки денег, но и пеню

Банки обязаны компенсировать клиентам украденные с карточного счета средства, даже если платежи подтверждались кодом CVV. И отказы это сделать незаконны. В любой платежной системе деньги перечисляются не сразу, а блокируются на счете на некоторое время, и если клиент своевременно обращается в банк с заявлением, то вернуть их довольно легко.

Основным документом, регулирующим деятельность платежных систем в нашей стране, устанавливающим понятия и общий порядок проведения перевода средств в пределах Украины, а также ответственность субъектов перевода, является закон “О платежных системах и переводе средств в Украине”. Взаимоотношения между банком и клиентом подпадают под действие Гражданского кодекса, а также Закона “О защите прав потребителей”.

Крайне сложно доказать вину банка и отсудить у него компенсацию похищенных жуликами средств, если владелец счета сам сообщил злоумышленникам данные карты либо поздно уведомил банк о возможной пропаже пластика. Если же вина финучреждения будет доказана, то в зависимости от обстоятельств можно требовать от банка не только возврата потерянных средств, но еще и пеню: по 0,1% в день от суммы, которую клиент не смог перечислить при помощи карты, но не более 10% суммы.

К общему же размеру ущерба можно причислить не только размер похищенных со счета средств, но и дополнительные затраты на возмещение этих потерь. Скажем, комиссию, уплаченную при отправке перевода Western Union клиенту, оставшемуся без копейки на карточном счете.

Елена ЛЫСЕНКО, Станислав ЯБЛОНСКИЙ, “Деловая столица

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Прокрутить вверх

Заказ обратного звонка