Хакеры разоряют счета украинцев: достаточно одного неосторожного платежа в интернет-магазине либо социальной сети, и на карточке физлица не останется ни копейки.
Карточные расчеты в Украине становятся все более опасными. Еще год-два назад владельцам пластика советовали обходить стороной банкоматы с накладками мошенников и по возможности не “светить” реквизиты карточек под видеокамерами во время расчетов в магазинах. Теперь же держателям рекомендуют несколько раз подумать, прежде чем рассчитаться в интернете: в системе интернет-банкинга или просто на сайте торгово-розничных сетей (интернет-магазинов, кинотеатров, транспортных компаний и пр.). Новая опасность для наших карт — хакеры. Они беспощадно грабят как личные счета рядовых граждан, так и “кубышки” предприятий.
Сеть — рай для мошенников
Разгул карточной преступности на прошлой неделе был подтвержден статистикой правоохранительных органов и Нацбанка. По информации чиновников, за 2012 г. общее количество мошеннических операций с платежными картами в нашей стране выросло сразу на 47% и с 35 до 57 увеличилось количество банков, со счетов которых пропадали средства. Как и прежде, по числу несанкционированных списаний со счетов лидировали физлица (ежедневно от населения поступает до 50 жалоб, со счетов за прошлый год пропало 11,4 млн грн.), а по объемам потерь — компании. Как сообщили “ДС” в МВД, за прошлый год правоохранители возбудили 139 уголовных дел на предмет списаний мошенниками при помощи систем “Клиент-Банк” 116 млн грн. Не менее активно исчезали деньги со счетов предприятий и в нынешнем году: зафиксировано 23 факта пропажи средств на общую сумму 12,5 млн грн.
Население, банкиры и даже силовики оказались не готовы к активизации финансового криминалитета, а главное, — к смене его приоритетов. До 2012 г. мошенники собирали информацию о карточных счетах украинцев главным образом в торговых точках (считывали данные с POS-терминалов во время платежа) и банкоматах, на которые устанавливались накладки, считывающие данные с пластика. Но в прошлом году они по-новому открыли для себя Всемирную паутину: компьютерные гении не только продолжали взламывать системы интернет-банкинга, но и стали писать специальные вирусы, считывающие с ПК банковских клиентов информацию о карточных счетах.
“Чаще всего использовался вирус типа back-door, позволяющий злоумышленникам на удалении контролировать компьютеры жертв. Как правило, между их заражением и проведением несанкционированной транзакции преступники в течение нескольких недель отслеживали состояние счетов и анализировали технические особенности соединения компьютеров клиентов с серверами банков (лог-файлы)”, — рассказал “ДС” начальник управления по борьбе с киберпреступностью МВД Украины Максим Литвинов.
Собственно, именно технологическая революция, перевернувшая весь мир в 2012 г., и стала главной причиной стремительного роста финансовой преступности в нашей стране. “Прошлый год знаменовался активным использованием современных информационных технологий для компрометации платежных карт: я имею в виду и создание новых вирусов, и взломы больших компаний по приему платежей и торговых точек”, — отметил в беседе с “ДС” ведущий эксперт управления безопасности ОТП Банка Алексей Немченко.
Профессиональный уровень жуликов стремительно повышался, а клиенты банков оставались такими же беспечными, как и прежде: продолжали, например, по первому требованию передавать мошенникам, представившимся по телефону либо электронной почте работниками банков, информацию о карточных счетах. Да и компьютеры физлиц и предприятий оставались совершенно беззащитными перед атаками мошенников: большинство отечественных пользователей ПК до сих пор не пользуются не только лицензированными антивирусными программами, но даже базовым лицензионным программным обеспечением.
Не всегда перед хакерами могли устоять и финансовые учреждения: либо из-за виртуозного искусства преступников, либо из-за устаревших программ, которые не спешили менять финансово немотивированные банки. “В нашей стране отсутствует ответственность банков за предоставление небезопасного сервиса с потерями выше определенного уровня. А также отсутствуют требования к безопасности систем дистанционного банковского обслуживания”, — признал начальник департамента безопасности информационных систем УкрСиббанка BNP Paribas Group Андрей Моршнев.
Усугублялась ситуация еще и более активным проникновением в банковские структуры криминала. Хакеры вступали с финансистами в преступные сговоры и ускоряли передвижение и вывод со счетов украденных денег. “В ходе расследований мы нередко сталкивались с подозрительными операциями по оперативной выдаче значительных сумм наличности. Это создавало предпосылки для преступлений и указывало на возможную заинтересованность работников банков в реализации преступного умысла”, — заметил “ДС” Максим Литвинов.
Деньги вернут VIP-клиентам и застрахованным
Обычно жулики собирали информацию о картах физлиц (номер карты и код CVV, который нужен для покупок в интернете) тремя способами. Реже прибегали к классическому: обзванивание физлиц под видом банковских работников с просьбой уточнить данные карты. Хотя обыватели до сих пор покупаются на эти нехитрые трюки. Куда чаще жулики демонстрировали свои хакерские таланты: создавали вредоносные программы, собирающие сведения о карточных счетах физлиц непосредственно на их компьютерах, после чего вирусы запускали в интернет.
“Те попадали на порталы, не имеющие четко построенной защиты от мошенничества: созданные для оплат компьютерных игр, программного обеспечения (чаще всего пиратского происхождения). А то и вовсе на фишинговые сайты: это ресурсы, выдающие себя за другие порталы, создаются с целью хищения логинов, паролей и другой конфиденциальной информации”, — рассказал “ДС” начальник управления безопасности карточного бизнеса департамента банковской безопасности банка Надра Вячеслав Федотенко.
Нередко вредоносные программы подхватывались компьютерами пользователей с разного рода интернет-форумов и социальных сетей. Хакеры не гнушались и банального взлома карточных данных, правда, прибегали к этому крайне редко: проникали в ноутбуки физлиц в публичных зонах Wi-Fi и считывали при помощи спецпрограммы нужные данные.
Как ни старались финучреждения защитить свои системы интернет-банкинга, им так и не удалось выстроить идеальный барьер против хакеров-разрушителей. Поэтому они также служили для злых гениев источниками информации о карточных счетах населения. “Системы защиты конфиденциальных сведений финучреждений остаются уязвимыми. На это указывает статистика краж средств со счетов клиентов Укрсоцбанка и УкрСиббанка”, — сказал “ДС” г-н Литвинов. Некоторое утешение лишь в том, что количество попыток взломов удаленных систем банкинга, по оценкам финансистов, в 2012 г. было зафиксировано на 10–15% меньше, чем в 2011 г.
Следующая плохая новость: у мошенников заметно выросли аппетиты. Если в 2011 г. с карты физлица до ее блокирования банком (после обращения клиента) успевали похитить от 300 до 500 грн., то в 2012 г. — уже порядка 700–1000 грн. Вернуть же эти средства удавалось далеко не всегда и только после проведения расследования, которое обычно длится до 30 дней. Как правило, банк соглашается компенсировать потери клиентов лишь в некоторых случаях: если в ходе расследования (службы безопасности финучреждения и МВД) будет доказана вина финансистов или сайта, на котором до кражи денег осуществлялись платежи. То есть выяснится, что утечка информации о картах произошла из-за оборудования или действий их сотрудников.
“В случаях, когда явно виноват банк, он выплачивает компенсацию. Если ошибся клиент (например, сам выдал данные карты мошеннику), скорее всего, финучреждение не заплатит. Хотя бывают и исключения: в некоторых банках существуют программы лояльности, в рамках которых они возмещают клиентам потери в любом случае. Но обычно это касается лишь VIP-клиентов”, — рассказал “ДС” координатор комитета Независимой ассоциации банков Украины по вопросам банковской инфраструктуры и платежных систем Владимир Еременко.
Также стопроцентную возможность вернуть себе украденные средства имеют застрахованные держатели пластика. Но платить им будет уже не банк, а страховая компания в рамках страховой суммы. “По желанию клиентов, в некоторых тарифных планах мы предлагаем воспользоваться возможностью оформить страховой полис от мошенничества. Плата за такую опцию колеблется в среднем от 40 до 150 грн. в год в зависимости от типа карты, размера кредитного лимита и страхового покрытия (обычно оно не превышает 30 тыс. грн.)”, — сообщил “ДС” заместитель начальника управления платежных карт Банка “Национальный кредит” Денис Мельник.
В ближайшее время финансисты не обещают менять правила компенсаций для обобранных мошенниками клиентов. Чтобы не попадаться на удочку жуликов, советуют следовать нескольким правилам. Главное — ни в коем случае не сообщать данные карт третьим лицам. Кроме того, желательно установить лимиты на операции, sms-информирование о каждой транзакции, не пользоваться системами интернет-банкинга и платежными функциями на других сайтах в публичных зонах Wi-Fi. А также выпустить к стандартной карте дополнительную — для платежей в интернете (класса Virtuon), и только по ней совершать транзакции в Сети.
Охота по-крупному
Украинские компании мошенники грабят практически так же, как и население. Сначала пытаются выудить информацию у малоопытных и беспечных бухгалтеров: раздобыв у банка базу данных e-mail адресов корпоративных клиентов, жулик рассылает по ней письма с просьбой ответить на некоторые вопросы (например, ПИН-код, номер карты, одноразовый пароль и т. д.). Получив информацию, преступник действует мгновенно — со счетов компании начинают исчезать средства.
Второй способ получить информацию о счете сводится к написанию хакером специального вируса под отдельно взятую систему “Клиент-Банк” (нельзя написать универсальную программу, которая будет взламывать все системы подряд). Он либо откроет злоумышленнику удаленный доступ к компьютеру предприятия в онлайн-режиме, либо просто перехватит для хакера пароль и ключ, открывающие доступ к “Клиент-Банку”.
Компании теряют на атаках злых гениев куда большие суммы, чем физлица. “Суммы, на которые посягают преступники, в 2012 г. колебались от 30 тыс. до 30 млн грн.”, — сообщил “ДС” Максим Литвинов. Утешает лишь то, что раскрываемость корпоративных краж у правоохранителей довольно высока: за прошлый год милиция совместно с банками и Госфинмониторингом смогла компенсировать 54% убытков юрлиц в 74 случаях из 139 зафиксированных. Обычно отследить средства удавалось после того, как они начинали стихийно переводиться со счета на счет в разных банках.
В то же время розыск пропавших денег по корсчетам и поимка преступников — единственный реальный шанс для компаний вернуть свои средства. Такие потери банки практически не компенсируют. Возмещение может состояться лишь в том случае, если будет доказан сговор банковского работника с жуликами и вина финучреждения будет очевидна.
Руководителям компаний, желающих защититься от хакеров, сегодня дают несколько советов. В первую очередь стандартные: ограничивать число сотрудников, ответственных за осуществление операций в “Клиент-Банке”, и компьютеров, используемых для этого. “Также мы предлагаем клиентам для хранения электронных ключей специальные токены, которые защищают ключи от несанкционированного копирования при входе в “Клиент-Банк”. И советуем клиентам прописывать свои IP-адреса, с которых будет возможен вход в систему или использовать одноразовые пароли для подтверждения операций через sms-сообщения”, — объяснил “ДС” начальник сектора мониторинга и опротестования транзакций АО “Эрсте Банк” Игорь Попов.
В случае применения всех этих рекомендаций вероятность хищений сводится к минимуму. У жуликов останется лишь один способ получить деньги компании — физически вторгнуться в офис предприятия и быстро “зачистить” его счета. По слухам, в Украине были и такие случаи, однако они заканчивались поимками преступников.
Карточный облом
Карточные расчеты банки активно пропагандируют последние лет десять. Чего только не делают: и разбрасывают бесплатный пластик по почтовым ящикам украинцев, и дают им скидки на покупаемые картой товары, и насчитывают за покупки денежные бонусы на счет. Главная же заповедь финансистов: на карточном счете деньгам куда безопаснее, чем в кошельке. Если карманный вор утащит портмоне, то наличные пропадут навсегда, а “пластиковые” средства находятся под замком у банка, и до них злодею не добраться. Но совершенно неожиданно для многих выяснилось, что все это миф.
Преступники научились оперативно взламывать защиту финансистов и ловко грабить счета населения, которое живет вчерашним днем и призрачной надеждой, что банки надежно оберегают их накопления. Гражданам, которые, не вникая, подмахивали карточные договоры с банками, не вчитываясь в правила пользования карточкой, и в голову не приходит, что под видом банкиров им могут позвонить жулики, выведать номер карты с кодом и в считанные минуты оставить без копейки. А потому и попадаются они на избитые уловки мошенников, количество которых в последнее время растет стремительными темпами.
Причем все чаще среди них встречаются не только примитивные махинаторы, подсматривающие карточные пароли в магазинах, но и настоящие гении. Они могут облапошить даже самого искушенного карточного пользователя: при помощи вируса, запущенного в компьютер физлица, собрать всю информацию о карте, и, пока тот безмятежно спит (и не видит банковские sms-сообщения о расчетах), за одну ночь разграбить весь его банковский счет. А дальше — тупик. Глухим к просьбам вернуть деньги может оказаться и банк, который использует любую возможность экономить — не компенсировать потери, и правоохранители. В самом лучшем случае удается возврат около половины украденного.
Перед картодержателем разведут руками — технический прогресс открывает перед хакерами бесконечные возможности. В такой ситуации невольно задумаешься: готов ли ты нести на своем кошельке издержки высоких технологий и покупаться на россказни финансистов о безопасном размещении у них своих кровных.
Наказание для шопоголиков
Главная опасность при расчетах картами в интернет-магазинах — это все тот же пресловутый фишинг. Только здесь, чтобы попасться на удочку мошенников, вовсе не обязательно выдавать жуликам данные карты по телефону, достаточно лишь войти на неблагонадежный сайт и попытаться там что-то купить. Для этого, собственно, их и создают: чтобы выведывать данные о счетах. Внешне они выглядят весьма благопристойно и делают покупателям очень выгодные предложения (товары на этих порталах могут быть чуть ли не на 20–30% дешевле, чем в среднем по рынку). А иногда даже напоминают своим дизайном известные интернет-магазины. Все делается для того, чтобы покупатель не заподозрил подвоха и попытался приобрести товар — вбил реквизиты своей карты. Это все, что нужно владельцам портала, чтобы начать разграбление карточного счета физлица.
Сведения о счетах получают и накапливают в своих базах данные только “фишинговые” сайты. Все нормально действующие порталы работают через процессинговые центры, и данные о картах даже “не видят”.
“Они применяют международную технологию 3-D Secure. Происходит взаимообмен между тремя сторонами: банком, выпустившим карту, банком-эквайером (обслуживающим конкретный магазин) и процессинговым центром. Сам же интернет-магазин лишь получает от банка-эмитента ответ, если транзакция невозможна (например, нет денег на счете) или же положительный отчет о зачислении денег”, — объяснил “ДС” председатель правления Украинского процессингового центра Антон Романчук. Такая система передачи данных практически сводит к нулю возможность кражи банковской информации в интернет-магазинах.
Чтобы максимально себя обезопасить, населению советуют пользоваться новыми технологиями: подписывать каждую проплату кодом и sms-сообщением.
“Платежные карты могут быть защищены протоколом 3-D Secure на стороне эмитента карточки. В таком случае при каждой операции в интернете, помимо стандартных данных (номер карты, имя владельца, CVV-2 кода и даты окончания срока действия карты), от плательщика требуется ввести одноразовый пароль, который высылается ему на номер мобильного телефона с помощью sms-сообщения. Это полностью исключает опасность потери денег клиентом, так как даже если его информация о карте попадет в руки мошенникам, они не смогут ничего оплатить без пароля”, — заверил г-н Романчук. Еще один совет специалистов: входить на сайты магазинов только при помощи защищенного соединения — адрес сайта должен начинаться с https://.
МНЕНИЕ ЭКСПЕРТА
Ростислав Кравец, старший партнер адвокатской компании “Кравец и Партнеры”
У банка можно отсудить не только сумму похищенных с карточки денег, но и пеню
Банки обязаны компенсировать клиентам украденные с карточного счета средства, даже если платежи подтверждались кодом CVV. И отказы это сделать незаконны. В любой платежной системе деньги перечисляются не сразу, а блокируются на счете на некоторое время, и если клиент своевременно обращается в банк с заявлением, то вернуть их довольно легко.
Основным документом, регулирующим деятельность платежных систем в нашей стране, устанавливающим понятия и общий порядок проведения перевода средств в пределах Украины, а также ответственность субъектов перевода, является закон “О платежных системах и переводе средств в Украине”. Взаимоотношения между банком и клиентом подпадают под действие Гражданского кодекса, а также Закона “О защите прав потребителей”.
Крайне сложно доказать вину банка и отсудить у него компенсацию похищенных жуликами средств, если владелец счета сам сообщил злоумышленникам данные карты либо поздно уведомил банк о возможной пропаже пластика. Если же вина финучреждения будет доказана, то в зависимости от обстоятельств можно требовать от банка не только возврата потерянных средств, но еще и пеню: по 0,1% в день от суммы, которую клиент не смог перечислить при помощи карты, но не более 10% суммы.
К общему же размеру ущерба можно причислить не только размер похищенных со счета средств, но и дополнительные затраты на возмещение этих потерь. Скажем, комиссию, уплаченную при отправке перевода Western Union клиенту, оставшемуся без копейки на карточном счете.
Елена ЛЫСЕНКО, Станислав ЯБЛОНСКИЙ, “Деловая столица“
