Самые популярные способы «карточного грабежа»
Татьяна Макурова, Семен Фактура
Пластиковые карты – теперь это в общем-то обыденность: у каждого из нас на руках есть хотя бы одна подобная «штучка». Ни для кого не секрет, что основная часть выпущенных нашими банками карт – зарплатные, и поначалу пользователи осуществляют с их помощью лишь одну операцию – снимают через банкомат все деньги в день выплаты. Постепенно количество операций увеличивается – средства «обналичивают» не сразу, а по мере необходимости. Потом приходит черед попробовать расплатиться картой в торговой сети – сначала в России, потом за границей (или наоборот). Самые продвинутые добираются до интернет-магазинов.
Чем дальше, тем больше становится активных пользователей «пластика». И тем больше случается нештатных ситуаций с держателями карт, самая неприятная из которых формулируется просто: злоумышленники украли деньги со счета.
Карточка как таковая не представляет для «профессиональных» негодяев особого интереса. Негодяи классом ниже могут, конечно, попытаться расплатиться оказавшейся в их распоряжении картой, что называется, «на шару». Успехом подобная попытка может увенчаться в Интернете или в точке продаж, где забудут попросить ввести ПИН-код или предъявить удостоверение личности. Тогда вероятность возврата денег законному владельцу карты довольно высока.
Главная задача профессиональных мошенников – получить данные, записанные на магнитной ленте, и ПИН-код. Вокруг этой цели и строятся всевозможные фокусы. Многие из них стары как мир, некоторые «вошли в моду» недавно, наиболее свежие ухищрения помимо самих мошенников известны лишь специалистам по безопасности банков и платежных систем. Как бы там ни было, мы расскажем о самых распространенных в последние годы «карточных фокусах», цель которых выведать данные карты и заветный ПИН-код, чтобы затем банально украсть деньги.
1. Скимминг. В дословном переводе с английского это слово означает «снимать сливки». Применительно к нашей теме речь идет об установке на банкомат или платежный терминал (в магазине, ресторане и т.п.) различных считывающих информацию устройств. Это может быть собственно скиммер (устройство, копирующее данные с магнитной ленты), видеокамера (которую мошенники направляют на клавиатуру ввода и получают возможность проследить последовательность нажатия клавиш) или фальшивая накладная клавиатура (она запоминает вводимый код). То есть задача, повторимся, состоит в том, чтобы не только скопировать данные с магнитной полосы, но и узнать ПИН. Как только дело сделано, мошенники изготавливают дубликат карты и могут списывать деньги.
Эпидемия скимминга прокатилась по крупным городам России пару лет назад, после чего банки предприняли определенные меры. В частности, многие должны были заметить специальные «антискимминговые» накладки на картоприемниках (то есть на щели, куда вставляется карточка в банкомате).
2. Фишинг. Дословно с английского это слово переводится как «ловить на крючок», «выуживать». Что? Опять же – данные пластиковой карты. Фишинг подразумевает создание мошенниками сайта, который будет пользоваться доверием у пользователя. Например, это может быть сайт, как две капли воды похожий на сайт «своего» банка или известного интернет-магазина. Пользователя побуждают ввести данные его карты, что позволит злоумышленникам в дальнейшем совершать несанкционированные списания с нее. Фишинг применяют не только карточные мошенники, но и мошенники вообще, в том числе для того, чтобы получить доступ к почтовым ящикам или аккаунтам пользователей в социальных сетях.
3. SMS-рассылки. В данном случае мошенники пытаются выудить данные с помощью отправки SMS «от имени банка». Так, недавно на мобильные телефоны клиентов одного крупного кредитного учреждения стали приходить сообщения о необходимости предоставить те или иные данные, включая ПИН-код, для «блокировки» или «разблокировки» карты. Причем в SMS фигурировало имя клиента, номер его карты, название банка-эмитента, а сами сообщения рассылались на те номера телефонов, баланс которых пополнялся в банкомате с карты. Люди видели в полученном сообщении свои данные, и это внушало определенное доверие. И, конечно, никто и не вспомнил, что на сайтах банков, в договорах на обслуживание картсчета, в самих кредитных организациях (объявления на стендах информации) постоянно напоминают о том, что банк никогда и ни при каких обстоятельствах не попросит держателя сообщить ПИН-код, что на официальном сайте банка не надо вводить карточные данные, и так далее.
4. «Ливанская петля». Очень старый «фокус». Как не трудно догадаться, название дано по стране происхождения. Речь идет о виртуозном способе завладеть банковской картой человека и при этом узнать ПИН-код, чтобы потом беспрепятственно снять деньги. Суть в следующем: злоумышленник специальным образом закрепляет на картоприемнике изготовленную из фото- или магнитофонной пленки (или другого подходящего материала) петлю, концы которой искусно закрепляются снаружи так, чтобы их было невозможно заметить. Дальше разворачивается театральное действо. Человек подходит к банкомату, совершает необходимые действия, но не может забрать карту, так как ее благополучному извлечению мешает та самая «ливанская петля» (при этом карта не попадает и в контейнер для задержанных карт, имеющийся в каждом банкомате, – снова мешает петля). Владелец карты начинает нажимать разные кнопки, заметно волнуется. В это время подходит некий человек и пытается успокоить нашего героя, рассказывает, что у него была та же ситуация, и советует совершить «правильные» действия. Как можно догадаться, они предполагают введение ПИН-кода (иногда неоднократное – именно это и требуется мошеннику-«артисту»): «звонки» в службу поддержки банка с рассказом о том, что «еще одному клиенту банкомат не возвращает карточку», передача инструкций якобы от специалистов и т.п. Естественно, вернуть карту не удается, «добрый самаритянин» пожимает плечами и предлагает жертве самой разбираться с банком и его банкоматом. Как правило, такие случаи происходят либо в выходной день, либо поздно вечером, когда нельзя сразу же обратиться непосредственно к сотрудникам банка. В общем, рано или поздно человек от банкомата отходит, а мошенник легким движением руки извлекает карту, вводит ПИН-код и опустошает счет. Если действие происходит не в России, то чаще всего это будет какая-нибудь южная курортная страна.
5. Банкоматные вирусы. Это относительно недавнее изобретение мошенников. Речь идет о внедрении вирусных программ для банкоматов, позволяющих скопировать данные карты, узнать ПИН-код и передать данные непосредственно злоумышленникам. По мнению специалистов, подобные программы невозможно внедрить без сервисного инженера, обслуживающего банкомат, но клиентам от этого спокойнее не становится. Особенно если посмотреть видео-записи «для служебного пользования», на которых ушлые ребята в униформе устанавливают какое-то устройство на банкомат (зритель уже знает, что это скиммер), а за ними выстраивается очередь из жаждущих получить кэш. Как только злоумышленники отходят, люди начинают снимать деньги с карточки, не подозревая, как они «попали».
Кто виноват?
В случае хищения денег с карты важно определить, по чьей вине это произошло. Это может быть ваша собственная глупость (скажем, держали конверт с ПИН-кодом и карточку в бумажнике), банковские огрехи (например, бреши в системе безопасности) или недобросовестность торговой точки. В зависимости от того, кто виноват, вам вернут или не вернут украденные деньги. Это в теории. Не исключено, что и при отсутствии вашей вины получить обратно деньги вы сможете только через суд.
Международные платежные системы (Visa, MasterCard) имеют регламенты по порядку разрешения тех или иных ситуаций. Надо понимать, что сами платежные системы ответственности за мошенничество не несут, они лишь предоставляют сервис как таковой, но, взаимодействуя с банками, вырабатывают для них правила поведения. Ведение претензионной работы регламентировано специальной документацией: Dispute Resolution Rules для Visa International и Chargeback Guide – для MasterCard Worldwide.
В сложных случаях, требующих вмешательства платежной системы, действует арбитражный комитет. В классическом варианте претензионного процесса участники представлены, с одной стороны, банком-эмитентом (тем, что выпустил карту), отстаивающим интересы держателя карты, а с другой – банком-эквайером (тем, что обслужил платеж по карте), защищающим свою торговую точку или банкомат. Разу-меется, в зависимости от ситуации схема может меняться: если есть подозрение, что держатель карты является не пострадавшей стороной, а инициатором мошеннической акции, банк-эмитент будет защищать уже свои интересы. Либо, скажем, торговая точка намеренно нарушает правила обслуживания, что подтверждается неоднократными сигналами. В таком случае банк-эквайер, не желающий рисковать репутацией и лицензией на прием карт, займет в разбирательстве против скомпрометировавшей себя торговой точки сторону эмитента.
Как бы там ни было, с переходом на чип (электронный микропроцессор, взломать который не в пример труднее, чем считать данные с магнитной полосы) обязанность возместить похищенные с карты деньги возлагается на банк, обслуживший карту по магнитной полосе, то есть в банкомате которого не реализована функция считывания информации через чип и терминалы которого в магазинах не оснащены надлежащим образом. (А это возможно, поскольку подавляющее большинство карт выпускаются гибридными – как с чипом, так и с магнитной полосой.) Если карту обслужат не по чипу, а по полосе, то кардеры (карточные мошенники) смогут ее считать и сделать дубликат. Но расплатиться получится не всегда: банкоматы и терминалы, настроенные на прием микропроцессора, просто не обслужат липовую карту по магнитной полосе.
Что касается покупок через Интернет, то здесь платежные системы вынуждают банки перейти на более безопасные технологии, например на 3D Secure (в этом случае после ввода реквизитов карты появится дополнительное окно, куда пользователь вводит известное только ему секретное слово; можно сказать, что это некий аналог ПИН-кода для осуществления дистанционных покупок). Тогда даже при утрате карты совершить по ней покупку в Интернете будет невозможно (если, конечно, вы не написали на самой карте свое секретное слово).
Что делать?
После того как вы обнаружили несанкционированное списание средств с вашей карты, необходимо выполнить следующие действия: немедленно по телефону уведомить банк (и заблокировать карту), прийти и написать соответствующее заявление в банк и страховщику (если операции по карте застрахованы), написать заявление в полицию. Не помешает почитать договор на обслуживание картсчета: по правилам одних банков надо сразу писать заявление на оспаривание операции, другие просят сначала обратиться в полицию, чтобы у вас, когда вы придете писать заявление, был документ «из органов». Вне зависимости от процедурных нюансов бумага из полиции (талон-уведомление о принятии заявления к рассмотрению, а затем постановление о возбуждении или об отказе в возбуждении уголовного дела) все равно потребуется. Понятно, что органам МВД обычно не до вас и вашей карты, и если вашим делом никто не занимается, пишите жалобу на имя руководителя отделения полиции и в прокуратуру. Просмотреть хотя бы видеозаписи при наличии на то оснований полицейские обязаны (ведь не секрет, что банкоматы все чаще оборудуются видеокамерами, да и торговые залы в магазинах нередко находятся под видеонаблюдением).
Проблема состоит в том, что ввод ПИН-кода считается однозначным подтверждением операции и опротестовать списание средств со счета будет очень трудно. Но возможно. В России есть прецеденты, когда люди выигрывали в суде и добивались возвращения похищенных денег. В некоторых ситуациях дело до суда не доходило: банки признавали факт того же скимминга и возмещали средства по завершении разбирательств в добровольном порядке. Правда, для этого должны сложиться несколько обстоятельств. Как минимум необходимы неопровержимые доказательства того, что вы не могли находиться в том месте, где произошло списание. В известных нам успешных случаях оспаривания операций мошенники снимали деньги со счетов жертв за пределами России. Причем счастливым совпадением оказывалось то, что жертвы скиммеров буквально в то же время, что и мошенники, совершали операции по своей карте. Хотя и здесь все не так однозначно. С одной стороны, вроде бы очевидно, что одна и та же карта не могла находиться одновременно в Петербурге или Москве и, скажем, в Праге. С другой – такое возможно: известны случаи, когда мошенники снимали деньги с дубликата карточки «где-то далеко», а их сообщники формировали однозначные доказательства наличия карточки в тот момент на территории России.
Но если вы добропорядочный гражданин, а банк, по вашему мнению, ведет себя некорректно, отказываясь возмещать неправомерно списанные средства, идите в суд, заручившись поддержкой компетентного юриста. Жалобы в представительства платежных систем не помогут: они не состоят в отношениях с потребителем – только с банками.
При сумме иска до 50 тыс. рублей спор рассматривается мировым судьей, а при большей сумме – районным судом. Обращаться в соответствующий суд можно как по месту жительства гражданина, так и по месту нахождения банка или его филиала (поскольку в данном случае спор вытекает из закона «О защите прав потребителей»). Понятно, что в суде придется доказывать, что деньги были списаны действительно неправомерно и без участия истца. Привлеките свидетелей, предоставьте данные о том, что в момент проведения мошенниками операции вы не находились в месте, откуда она была совершена, и что при этом карта была у вас на руках.
Страхование «пластика»
Возможно, имеет смысл поинтересоваться, есть ли в вашем банке программа по страхованию держателей пластиковых карт. Сегодня многие банки в партнерстве со страховыми компаниями предлагают такой вид страхования. Если банк и страховщик не связаны между собой, то страховой продукт более выгоден держателям карт (поскольку разрабатывается конкурентоспособное рыночное предложение). Однако часто банк и страховая компания входят в одну и ту же финансовую группу и страховка включается автоматически (в данном продукте велика вероятность, что перечень исключений или нюансы урегулирования убытков таковы, что получить выплату во многих случаях не представится возможным). Правила большинства страховщиков содержат довольно расплывчатые пункты об исключениях из страхового покрытия, как то: «не возмещаются убытки, возникшие вследствие наступления событий, зависящих от воли страхователя или воли держателя банковской карты»; «не возмещаются убытки, возникшие в результате нарушения страхователем и/или держателем банковской карты правил пользования банковскими картами и/или договора о порядке обслуживания банковской карты» и другие. При желании подобные пункты можно трактовать весьма широко. Кстати, часто встречается оговорка о том, что не возмещаются убытки, возникшие в связи с несвоевременным уведомлением банка-эмитента об утере/хищении карты. То есть совсем не факт, что вам покроют списания, совершенные до момента блокировки карты в случае ее утери или кражи.
Обычно страховой взнос по полису страхования держателей карт составляет в среднем 600–1000 рублей в год, а страховая сумма, как правило, колеблется в пределах 30 –100 тыс. рублей – в зависимости от вида и категории карты (кредитная она или дебетовая, Electron или Gold и т.п.). Независимые рыночные страховщики ставят ограничения как на лимит возмещения по отдельной карте, так и на банк в целом (при страховании рисков самого банка как эмитента карт).
В заключение
Порассуждать об опасностях, подстерегающих владельцев банковских пластиковых карт, нас сподвигло желание предупредить, а не напугать. Просто потому, что первое полезно, а второе – контрпродуктивно. Люди же не перестанут жить в квартирах, зная, что иногда их «обчищают». Или носить наличные деньги в бумажнике, зная, что его могут украсть. Так же и с карточками. Удобство пользования подобным продуктом все же перевешивает возможный негатив. Главное –быть осмотрительным и не делать глупостей. А знания о возможных ухищрениях мошенников помогут избежать неприятностей. Чего всем и желаем!
http://www.nashidengi.ru/Materials/11-06-15/Samye_populjarnye_sposoby_«kartochnogo_grabezha».aspx