Сегодня рабочая группа Центрального банка России по новым платежным документам рассматривает проект "Положения о порядке расчетов на территории Российской Федерации с помощью платежных карт". Этот документ, который должен стать основой правовой базы функционирования карточных систем в России, крайне необходим. Ибо за последнее время российский рынок пластиковых платежных средств сделал действительно большой шаг вперед.
Но у каждой медали есть оборотная сторона. Карточные мошенники — вот та опасность, перед лицом которой и эмитент карточки, и ее владелец оказываются порой одинаково беззащитны. И мошенничества с карточками имеют уже достаточно богатую историю не только за границей, но и в России.
Первые шаги
Первая платежная система — Diners Club — была создана в 1950 году. Через 17 лет появились еще две системы — Europay/MasterCard и American Express. А в 1974 году была образована VISA International. Постепенно завоевывая рынки различных регионов мира и укрепляя свои позиции в качестве заменителя наличных денег, пластиковые карточки стали привлекательным объектом для мошенников. Тем более что сама платежная система в мировом масштабе (несмотря на международную интеграцию и взаимозависимость финансовых институтов разных стран) остается весьма раздробленной и тем самым отчасти способствует развертыванию преступного бизнеса.
Видов мошенничеств с пластиковыми картами ныне существует превеликое множество. Однако настоящим бедствием стала их подделка. Так, еще в 1981 году убытки эмитентов США от поддельных карточек составили $15 млн, что побудило власти поручить расследование этого вида правонарушений специально созданной при министерстве финансов службе и принять ряд законодательных актов. Сама карточная индустрия отреагировала на массовые подделки позже: в 1986 году были введены голографические защитные коды.
Однако этих мер оказалось недостаточно. К 1991 году мошенники, центром деятельности которых стала Юго-Восточная Азия, активизировались настолько, что это стало ощутимо для платежных систем Европы и Северной Америки. В том году размеры ущерба, понесенного платежными системами MasterCard и VISA в связи с появлением фальшивых кредиток, составили соответственно 15,3% и 16,1% от общего объема их потерь.
Мимо Триад не пройдешь
Постепенно специалисты пришли к выводу, что несмотря на отсутствие явной связи между группами мошенников, орудующих в разных странах, их деятельность носит организованный характер. Это заключение, сделанное в свое время Интерполом, привело к созданию во Франции в начале 90-х специальных групп по расследованию случаев подделки карт. Тогда же забили тревогу и англичане. Созданная министерством внутренних дел Великобритании рабочая группа провела исследование, охватившее пять основных регионов функционирования карточных платежных систем: Европу, Ближний Восток и Африку (EMEA); Латинскую Америку; Азиатско-Тихоокеанский регион; США; Канаду.
Сфотографированных и занесенных в каталог фальшивых карточек Diners Club и American Express (12 и 41 соответственно), изученных в ходе исследования, экспертам оказалось недостаточно, чтобы сделать однозначное заключение об их наиболее уязвимых местах. В то же время в результате анализа 520 фальшивых карточек MasterCard было выявлено 17 различных способов подделки, причем в подавляющем большинстве подделывались голографические коды. Для изготовления почти тысячи выявленных фальшивых карточек VISA использовался 21 способ подделки. И в этом случае голографические коды оказались самыми популярными.
Было также установлено, что в большинстве мест, где были произведены аресты, мошенники из не связанных между собой группировок имели карточки, происходящие из одного и того же источника. В отчете британских экспертов нашел отражение тот факт, что из 186 мошенников, арестованных в Канаде, США, странах Европы и Азиатско-Тихоокеанского региона, 165 оказались китайцами, предположительно связанными с Триадами. Однако до вывода, что именно Триады или какая-либо иная иерархическая преступная структура полностью контролирует этот бизнес, дело не дошло.
Сегодня очевидно, что таких группировок несколько и они зачастую не только не воюют между собой, но и, напротив, активно делятся информацией и опытом.
Догоним точно. А то и перегоним...
Еще в конце 80-х — начале 90-х годов, когда о рынке пластиковых платежных средств в России и разговору не было, потери от мошенничеств с карточками составляли до 5% от общего объема операций. И это при том, что пороговая величина, после которой данный вид деятельности становится для банков убыточным, составляет 3%. Нарастающий вал преступлений в этой сфере, казалось, вот-вот полностью захлестнет российский рынок, так и не дав ему развиться.
Однако в конце 1993 года эквайринговая Компания объединенных кредитных карточек (UCS) создала систему финансовой безопасности, на базе которой была разработана "Программа борьбы с преступностью в области банковских средств доступа". Благодаря ее реализации в 1994 году установленный ущерб от мошенничеств с картами составил 0,21% от общего объема операций по международным картам всех платежных систем (против 0,33% годом раньше).
Тем не менее уровень преступности по картам различных платежных систем далеко не одинаков. По данным консультационной компании "Рекон", специализирующейся на обслуживании рынка кредитных карт и дорожных чеков, потери от мошенничеств в общем объеме операций с картами платежных систем в прошлом году составили: по карточкам VISA — 0,3%, Eurocard/MasterCard — 0,1%, Diners Club — менее 0,01%. При этом на долю мошенничеств с картами VISA пришлось 86% от общего объема потерь, в то время как по MasterCard только 13,6%, а по Diners Club — лишь 0,4%. Таким образом, уровень преступности по VISA остался на уровне 1993 года. Впрочем, особо теплое отношение преступников к карточкам этой платежной системы вполне объяснимо, если принять во внимание их долю на рынке России.
Мошенники диверсифицируют свою деятельность
Интересно, что в 1994 году резко уменьшилось число преступлений с использованием утерянных или украденных карт (см. табл. 1). По мнению экспертов UCS, дало плоды активное обучение сотрудников банков, торговых и сервисных предприятий мерам безопасности при обслуживании карт, а также грамотно разработанная система их материального поощрения (за каждую фальшивку, принесенную в UCS, бдительный кассир получает вознаграждение в размере $50, а при задержании преступника компенсация увеличивается в несколько десятков раз).
В то же время гораздо большее распространение получили преступления, связанные с получением карт по поддельным заявлениям и мошенническим использованием счета его владельцем. Характерно, что около 35% установленных мошенничеств с картами было совершено непосредственно в банках, причем, по оценкам экспертов, реально доля таких преступлений еще выше — некоторые банки предпочитают не информировать соответствующие органы о своих проблемах по обслуживанию пластиковых карт.
Налицо также значительный рост числа преступлений, совершенных с помощью поддельных карт. Причем если такие типы мошенничеств, как изменение номера карты, срока ее действия, фамилии и имени пользователя, процветавшие в 1993 году, в прошлом году практически сошли на нет, то полная подделка карт, напротив, расцветает пышным цветом. В 1994 году у мошенников было изъято 26 поддельных карт, еще 5 подделок находятся в розыске. Общий ущерб только от операций с поддельными карточками составил около $100 тыс. При использовании таких карт предъявлялись поддельные или незаконно полученные российские загранпаспорта или документы граждан США, удостоверяющие личность (чаще всего водительские права).
Удачная находка или преступление?
Ряд экспертов делают вывод о том, что происходит сращивание международной преступности, имеющей большой опыт незаконных операций с пластиковыми картами, с российскими криминальными структурами. В задачу последних, как правило, входит подделка удостоверяющих личность документов с использованием чужих и вымышленных данных.
Усугубляет ситуацию и не отвечающее новым реалиям финансового рынка российское законодательство, согласно которому незаконное использование карточек в некоторых случаях с трудом квалифицируется как уголовное преступление. Этим зачастую и пользуются "карточные" мошенники, ссылаясь на то, что найденная на улице кредитка сродни найденному там же кошельку — ведь никто же не сажает в тюрьму за попытку расплатиться обнаруженными возле кассы наличными. Подобная аргументация нередко кажется убедительной и служителям Фемиды, хотя именную кредитку в данном случае логичнее было бы уподобить, например, паспорту. А с тем, что использование чужого паспорта является преступлением, спорить не приходится.
"Упрятать за решетку даже пойманного с поличным мошенника не всегда представляется возможным, — рассказывает начальник управления безопасности компании UCS Павел Стромский. — Как правило, стражи закона с трудом представляют себе не только саму систему безналичных расчетов, но и внешний вид подлинной кредитной карточки (не говоря уже о фальшивках)".
"По законодательству всех цивилизованных стран подделка карт приравнивается к подделке денег с вытекающей из этого мерой ответственности,— развивает тему Михаил Горяинов, старший детектив директората безопасности и кадров UCS. — Чего не скажешь о современной ситуации на рынке пластиковых карт в России. Вот реальная история. Мошенник, получивший восемь лет за мошенничество, в том числе с кредитными картами, отделался едва ли не двумя, вышел на свободу и... вскоре вновь оказался за решеткой при сходных обстоятельствах".
Такие случаи, разумеется, не единичны. По мнению экспертов UCS, есть веские основания утверждать, что незаконное использование пластиковых карт с середины следующего года приобретет еще более массовый и, по всей видимости, наступательный характер.
Чип не спешит на помощь
Нарастающий ком преступлений с кредитными карточками не дает покоя разработчикам технологий изготовления и защиты пластиковых платежных средств. Чего только они не придумывали — и голограммы, и фотографии владельцев, и электронные коды. Но преступники совершенствовали свою квалификацию вместе с ними.
Поэтому вполне понятен энтузиазм, охвативший рынок, когда француз Ролан Морено придумал карточку со встроенной микросхемой, получившую впоследствии название "умной" карты (smart-card). Была изобретена принципиально иная технология, заменившая традиционную магнитную полосу на карточке небольшим чипом, способным содержать гораздо больший объем необходимой при таких операциях информации и с гораздо большим трудом поддающимся подделке.
Действительно, изготовить фальшивую карточку, в основе которой лежит чип, чрезвычайно трудно. Однако трудно — не значит невозможно. Да и просто наивно было бы считать, что мошенники на этом сдадутся. Словом, платежные системы могут рассчитывать лишь на некоторую фору по времени. Более того, некоторые российские специалисты (в частности, начальник центра электронных расчетов банка "Национальный кредит" Игорь Потемкин) утверждают, что своими глазами уже видели фальшивые копии чиповых карт. Причем изготовленные в России. Надо думать, за границей их научились подделывать еще раньше — хотя бы в силу того, что чиповая технология сначала появилась именно там.
А поддельная чиповая карточка таит в себе гораздо большую опасность, чем традиционная магнитная. Дело в том, что эта технология тем и хороша, что не требует авторизации в режиме on-line (то есть непосредственно в момент совершения операции ее владельцем) — вся необходимая информация, включая остаток средств, уже содержится на чипе. Теперь представьте себе искусного мошенника, который получил возможность бесконтрольно совершать покупки на любую сумму, лишь бы она значилась на чипе... Если же опять возвращаться к авторизации on-line, теряется сам смысл изобретения.
Не спасает и комбинация чипа с магнитной полосой. Владельцу такой карточки вообще не требуется никаких технических средств, чтобы совершить мошенничество. Например, в одном магазине он оплачивает покупку "магнитной" карточкой (при этом реальный остаток средств на его банковском счете тут же уменьшается), а в другом, где принимают чиповые карточки, расплачивается именно чипом (на котором в момент первой покупки никаких изменений не произошло), причем на сумму, превышающую реальный остаток.
Так что и чиповые банковские карты отнюдь не панацея. С этим, вероятно, и связано более сдержанное в последнее время отношение платежных систем VISA и Europay к идее перевода своих карточек на единый чиповый стандарт, которая еще в прошлом году очень активно обсуждалась западными средствами массовой информации. Не торопится поставить чипы на свои карточки и российская платежная система STB, также в свое время объявлявшая о таком намерении. Оно и понятно — затраты очень большие, а выгода если и будет, то кратковременная.
Словом, совершенствование защитных технологий не может считаться универсальным средством от мошенничества с картами. Их развитие, очевидно, должно сочетаться с разработкой законодательной базы, регулирующей российский рынок пластиковых платежных средств. И с этой точки зрения выход "Положения о порядке расчетов на территории Российской Федерации с помощью платежных карт" окажется как нельзя более кстати.
Таблица 1.
Мошенничества с кредитными картами всех международных платежных систем в России в 1993-1994 гг.
| Тип мошенничества | Доля в общем объеме ущерба (%) | Изменение в 1994 г. в сравнении с 1993 г.(%) | |
|---|---|---|---|
| 1993 год | 1994 год | ||
| Карты утерянные или украденные | 72,2 | 16,6 | -71 |
| Карты, не полученные пользователями | 2,8 | 0 | -100 |
| Мошенническое получение карты (по | 0,8 | 29,6 | +4600 |
| поддельным заявлениям) | |||
| Поддельные карты | 20,5 | 32,9 | +205 |
| Мошенническое использование счета | 1,4 | 4,9 | +436 |
| Тип не определен | 2,3 | 16,0 | +905 |
| Всего | 100 | 100 | - |
По данным компании "Рекон"
Таблица 2.
Мошенничества с кредитными картами VISA в России в I квартале 1995 года
| Тип мошенничества | январь | февраль | март | итого за I квартал | ||||
|---|---|---|---|---|---|---|---|---|
| сумма ущерба ($) | доля в общем объеме (%) | сумма ущерба ($) | доля в общем объеме (%) | сумма ущерба ($) | доля в общем объеме (%) | сумма ущерба ($) | доля в общем объеме (%) | |
| Карты утерянные | 8132,27 | 34,0 | 2109,17 | 16,0 | 1944,83 | 4,6 | 12186,27 | 17,2 |
| Карты украденные | 8517,21 | 35,6 | 9527,31 | 72,1 | 20191,1 | 47,9 | 38235,62 | 40,1 |
| Карты, не полученные пользователями | 1483,14 | 6,2 | 218,69 | 1,7 | 0 | 0,0 | 1701,83 | 4,6 |
| Поддельные карты | 5804,30 | 24,2 | 1110,72 | 8,4 | 6670,75 | 15,8 | 13585,77 | 21,4 |
| Мошенническое использование счета | 0 | 0,0 | 0 | 0,0 | 1481,56 | 3,5 | 1481,56 | 8,3 |
| Тип не определен | 0 | 0,0 | 247,57 | 1,9 | 9746,55 | 23,1 | 9994,13 | 8,1 |
| Мошенническое получение карты по | 0 | 0,0 | 0 | 0,0 | 2117,03 | 5,0 | 2117,03 | 0,3 |
| поддельным заявлениям | ||||||||
| Всего: | 23936,92 | 100,00 | 13213,46 | 100 | 42151,82 | 100 | 79302,20 | 100 |
-------------------------------------------------------
Основные виды мошенничеств с кредитными картами
— Незаконное использование настоящих кредиток, которые были утеряны их истинным владельцем или украдены у него. Вариант самый банальный, а потому имеющий вполне адекватные средства защиты. Настоящему владельцу карточки необходимо, во-первых, как можно скорее обнаружить пропажу, а во-вторых, также быстро сообщить об этом выдавшему карточку банку, чтобы тот заблокировал счет и не дал преступникам возможности использовать карточку для покупок. Снять же наличные через банкоматы они без знания PIN-кода не смогут.
— Использование карты, которая не была получена законным владельцем, например, по причине перемены им места жительства. В этом случае практикуется письменное уведомление банка-эмитента с просьбой выслать карточку по новому адресу. Этого-то как раз и стоит избегать. Достаточно злоумышленнику узнать о вашем намерении и подделать уведомление о переезде, и уже он получит по почте вашу карточку.
— Использование частично переделанной карточки. Суть сводится к следующему. Злоумышленникам необходимо получить настоящую карту в солидном банке, для чего внести на вновь открытый счет минимально необходимую сумму. Затем следует каким-то образом добыть информацию о владельце куда более внушительного счета и на основе полученных данных переделать карточку. Замазать образец подписи или вовсе наклеить новое подписное поле, используя обычную клеящуюся бумагу; "сбрить" проэмбоссированные на плоскости карты данные или "выгладить" полихлорвинил, из которого изготовлена карта, с помощью обычного утюга или "микроволновки", а после выравнивания поверхности карты нанести добытую информацию с помощью настольного пресса.
— Изготовление и использование полностью поддельных карт. Этот вид мошенничества является, пожалуй, наиболее сложным. Помимо наличия соответствующего оборудования для производства пластиковых карт необходим еще прямой доступ к сфере обслуживания — владение небольшим ресторанчиком или магазином, или, по меньшей мере, возможность обслуживать клиентов в качестве кассира или официанта, чтобы получить в собственные руки их кредитки. И тогда единственное, что остается, — на время изъять из поля зрения клиента его карту и снять с нее оттиск. Впрочем, не обязательно копировать ее полностью. Можно остановиться на промежуточном варианте, так называемом белом пластике — куске чистой пластмассы, размеры которого полностью соответствуют размерам настоящей карты. На него-то и наносятся данные с чужой карты, после чего такую "кредитку" можно использовать как для снятия денег через банкоматы (если преступникам удастся выяснить PIN-код), так и для прикрытия фиктивного оборота в том же магазинчике или ресторанчике, отправляя в адрес эмитента "левые" счета.
--------------------------------------------------------
Анатолий Исаенков, заместитель начальника службы экономической безопасности Московского банка Сбербанка России
Вот реальная история, с которой столкнулся наш банк. Речь пойдет, правда, не о поддельных картах, а о настоящих — системы VISA, эмитированных Кредобанком. Мы до сих пор не можем сделать стопроцентно точных выводов из случившегося, потому что мошенники пока не найдены (мошенничество, о котором идет речь, было совершено в августе 1994 года, но следствие все еще продолжается. — Ъ).
Преступники похитили 150 тысяч долларов. 70 тысяч в одном отделении банка и 80 тысяч — в другом. Часть из этих денег была получена ими в виде дорожных чеков.
Как действовали мошенники? По нашим данным, они воспользовались системой голосовой телефонной авторизации компании UCS, в обязанности которой входит подтверждение подлинности карты. Открыв счет в Кредобанке, преступники положили на него где-то около 1000 долларов; раз шесть-семь они снимали в барах и ресторанах долларов по сто, выясняя и изучая систему авторизации. Не вдаваясь в детали, расскажу главное: при авторизации заполняется специальный save, затем идет ответный код телефонистки, а на руки клиенту выдается копия. Так вот, внимательно изучив систему авторизации, мошенники перехватили звонок телефонистки, практически отсоединив ее, и дали фальшивый код подтверждения. Кстати, получены карты были по недействительным документам: один из паспортов был украден, другой — поддельный. Судя по всему, действовала преступная группа — операция была организована слишком хорошо, чтобы ее могли осуществить два человека.
Преступники предприняли первую попытку мошенничества, которая оказалась неудачной. В одном из отделений банка они пытались перехватить звонок, но наша телефонистка все-таки дозвонилась в Кредобанк и получила отрицательный ответ — оказалось, что на указанном счете требуемой суммы нет. Но в тот же день пострадали два других отделения, где преступникам технически удалось врезаться в сеть и провернуть эту операцию. Получив чеки, большую их часть они отоварили на следующий день в Кредобанке и скрылись с деньгами (не исключено, что навсегда, если учесть, что преступники, по мнению сотрудников правоохранительных органов, были уроженцами Грозного. — Ъ) После этого случая мы отказались от телефонной авторизации наших карт.
Игорь Потемкин, начальник центра электронных расчетов банка "Национальный кредит"
При нынешнем уровне развития технологии подделать карточку не составляет труда. Определенной защитой служит голограмма, но и она подделывается. Некоторые платежные системы практикуют нанесение на карточку фотографии ее владельца, что также повышает степень защищенности карты, но не делает ее безупречной с точки зрения безопасности.
На мой взгляд, основным вариантом защиты, применение которого способно значительно снизить вероятность незаконного использования карточки, является полная, стопроцентная авторизация в режиме on-line. Причем чем меньше лимиты операций, которые может совершать владелец карточки без авторизации, тем меньше эта вероятность. Поэтому, например, OLBI-Card практикует обязательную авторизацию даже в том случае, если вы хотите потратить всего 1 рубль или 1 цент.
И делается это именно потому, что как не существует стопроцентной гарантии от подделки денег, так и не существует ее от подделки кредитных карт. Все равно находятся умельцы, которые смогут изготовить фальшивые карточки. Есть определенная категория людей, которые занимаются этим не ради наживы, а ради интереса, ради удовольствия. Интересный случай произошел с нашей предыдущей картой, не банка "Национальный кредит", а системы OLBI. На определенном этапе я со своим заместителем просто взял и сделал несколько экземпляров одной и той же карты и одновременно "запустил" несколько человек в магазины, где с помощью этих карт они оплатили покупки. Это обнаружилось только через сутки, потому что тогда наши карты, точно так же, как и чиповые, работали в режиме off-line.
И все-таки пока о массовости преступлений с кредитными картами речи не идет. Объем махинаций целиком и полностью зависит от объема выпуска карт. И до тех пор пока карточки не будут занимать процентов 30-40 рынка, о мошенничестве говорить рановато. Отдельные случаи — да. И в то же время понятно, что эта опасность очень серьезная. Поэтому необходимо скорейшее введение соответствующего законодательства. Сейчас же, например, если кто-то подделал карточку Инкомбанка или банка "Национальный кредит", которые являются собственностью российских компаний, преступника можно как-то привлечь к ответственности. Но если это карточка западной компании, то сделать это гораздо сложнее, если не сказать, что практически невозможно — никакого законодательства на этот счет нет.
Лев Аршанский, заместитель начальника службы экономической безопасности Столичного банка сбережений
Говоря о развитии пластиковых платежных средств в России, важно подчеркнуть, что проблемы нашего пластикового рынка (как, впрочем, всего российского бизнеса) в достаточной мере специфичны. Да, подделки карточек уже получили достаточное распространение, да, их крадут, но настоящим бичом все же является наш российский полукриминальный менталитет. Значительный процент мошенничеств совершается при непосредственной помощи служащих банков, кассиров, продавцов, имеющих прямой доступ если не к самой карточке, то по крайней мере к информации о ее держателе или банке-эмитенте.
Большое распространение получил, например, способ так называемой двойной прокатки, когда в руках у кассира остается дополнительный неиспользованный "слип", он получает таким образом номер кредитки и, хорошо представляя систему авторизации, легко ее проходит. Такие случаи довольно распространены: случай в Петербурге в "Невском пассаже" или случай с кассиром из ресторана отеля "Аэростар", которую задержали с четырьмя "слипами", дали за мошенничество два года и отпустили по амнистии. В связи с этим можно вспомнить и прошлогоднюю историю с Кредобанком, когда мошенники сняли 150 тысяч долларов через Московский Сбербанк. Наше мнение, отличное, правда, от точки зрения Московского Сбербанка: с высокой степенью вероятности имел место сговор преступников с операционисткой банка. Мошенники, устанавливая контакт, прошли несколько отделений, прежде чем им удалось провернуть эту аферу.
Возвращаясь к теме подделок, хочу подчеркнуть, что здесь все зависит от количества степеней защиты каждой конкретной карты. Вот STB-Card, например, в отличие от той же карточки системы VISA, снабжена, помимо всего прочего, фотографией пользователя. Это существенно уменьшает риск последнего лишиться своих денег, даже если карта будет украдена — простой поход в магазин для преступника может оказаться проблематичным. Вообще, надо сказать, что за четыре года работы на российском рынке системы STB не было выявлено ни одного случая подделки этой карты, а это очень неплохие показатели. Проблемы, конечно, были и у нас, но, как правило, это проблемы технологических погрешностей в программе, ошибки в расчетах, а не случаи мошенничества.
--------------------------------------------------------
ЕЛЕНА КИСЕЛЕВА