Мобильно-карточные фокусы
Несмотря на то что банки и операторы сотовой связи регулярно призывают своих клиентов ни в коем случае никому не сообщать реквизиты пластиковых карт, финансовая безграмотность граждан продолжает кормить жуликов. Однако иногда небрежность как раз сотовых операторов образует «дырки», через которые мошенники получают доступ к деньгам пользователей.
Лазейка для вора
Недавно некоторые абоненты «Билайна» (торговая марка компании «Вымпелком») столкнулись с тем, что с их банковских карточек исчезают деньги. На форумах и в блогах пользователи, разобравшись в ситуации, стали выкладывать гневные реплики, что схема привязки счета пластиковой карты к телефону от «Билайна» уязвима для мошенников.
Так, чтобы оплатить счет за телефонную связь с помощью банковской карты, абоненту «Билайна» необходимо знать лишь ее номер и дату окончания ее срока действия. Между тем похожие сервисы у остальных операторов «большой тройки» требуют указания большего числа реквизитов. В случае с «МегаФоном» это еще и CVC — код верификации карты, размещенный на ее оборотной стороне, а у МТС — и CVC, и ФИО владельца карты.
Злоумышленникам по большому счету достаточно выяснить лишь номер карты, чтобы зарегистрировать ее в сервисе и получить доступ к счету. Мошенники хорошо знают, что, как правило, карты выпускают сроком на один-два года, максимальный срок действия — три года; устанавливать более длительные сроки нецелесообразно — пластик изнашивается. Таким образом, необходимо перебрать 36 комбинаций года и месяца максимум.
Понятно, что номер и срок действия карты должен знать только владелец. О том, что нельзя «светить» реквизиты, клиентов постоянно предупреждают те же банки, выдавая пластиковую карту. Однако очень часто эти рекомендации остаются без должного внимания. «К примеру, официанты в кафе или ресторане забирают карту на оплату счета. Теоретически у них есть возможность подсмотреть ее номер и срок действия, — говорит аналитик Mobile Research Group Сергей Потресов. — Кто из нас следит, а не переписывает ли продавец в точке продаж эти данные?»
Или, допустим, оплачиваете вы покупку через некий интернет-магазин, продолжает директор по маркетингу компании Adscore.ru Сергей Шивалин, много лет изучающий рынок киберкриминала. «Средней руки интернет-магазин — это сотни тысяч карточек. Если там окажется кто-то нечистый на руку, ему будет технически не очень сложно получить номер и срок действия карты», — говорит он. Кроме того, отмечает господин Шивалин, большинство сайтов делается бездумно, у доброй половины из них есть минимальные уязвимости: через эти «дырки» на сайтах можно загрузить некое вредоносное ПО, которое позволит злоумышленникам добыть данные о пластиковых картах.
Как утверждает Сергей Потресов, в схеме регистрации в билайновском сервисе «Мобильный платеж» отсутствует очень важный защитный барьер, это, по словам эксперта, общепринятая мера безопасности у операторов при дистанционной регистрации банковской карты через интернет. «Когда вы регистрируете карту, должна проводиться тестовая трансакция на произвольную сумму, которую должны знать только сервер и банк, „холдирующий“ ее на вашей карте, — рассказывает господин Потресов. — Вы, как владелец карты, выясняете в банке или получаете SMS-оповещение о временном блокировании этой суммы. Дальше вы эту цифру должны ввести на сервере и тем самым подтвердить, что именно вы являетесь владельцем этой карты и именно вы эту карту пытаетесь привязать к мобильному телефону».
Ради клиента
«Вымпелком» признает существование лазейки для мошенников, но утверждает, что украсть за день больше 1 тыс. руб. у них не получится — таков лимит на списание средств при регистрации карты через сайт или IVR (Interactive Voice Response, система предварительно записанных голосовых сообщений).
В настоящее время механизм регистрации карты и ее привязки к телефону осуществляется путем списания тестовой суммы в 2 руб. По мнению Сергея Потресова, так оператор проверяет, действующая карта или нет. Если мошенник каким-то образом узнал данные карты и пытается подобрать срок ее действия, держателю карты приходит SMS-уведомление от банка об отказе в платеже, уверяют в «Вымпелкоме».
Подбор срока действия карты предполагает несколько попыток, и абонент получает подряд несколько SMS-уведомлений, свидетельствующих о том, что карта скомпрометирована и нужно срочно обратиться в банк для ее блокировки. Но как быть, если SMS-оповещение о трансакциях по карте у абонента не подключено (услуга-то платная, и многие считают, что могут обойтись и без нее), в компании умалчивают. К тому же при подключенном SMS-оповещении возврат средств осуществляется только по первым двум несанкционированным трансакциям. Если вы не успели заблокировать карту, суммы последующих трансакций банк не возместит, отмечают в компании Chronopay (занимается обработкой платежей в интернете).
Изначально подключение услуги «Мобильный платеж» производилось в офисах «Билайна» и банкоматах банков-партнеров. Но чтобы выйти на широкого потребителя, потребовались массовые каналы регистрации карт, которые позволили бы удаленным способом подключать услугу, рассказывает пресс-секретарь «Вымпелкома» Анна Айбашева. По ее словам, в конце 2008 года такими каналами подключения стали интернет и IVR, и подключение услуги через них запускалось с применением механизма списания случайной суммы.
«Но, как показала практика, двухэтапный механизм регистрации является барьером для пользователей. Чтобы изменить ситуацию, было принято решение с конца декабря 2009 года отменить списание случайной суммы и усилить антимошеннические меры по web- и IVR-регистрации, — говорит госпожа Айбашева. — Этими мерами стали ограничения по суммам (1 тыс. руб.) и количеству платежей в день (пять), невозможность использования услуги, если паспортных данных абонента нет у нас в базе и его стаж в „Билайне“ не превышает трех месяцев. Кроме того, одна карта может быть привязана только к одному номеру телефона».
По словам представителей «Вымпелкома», если абонент обратится в банк с жалобой на неавторизованное действие с картой, после проверки оператор обязательно возвратит деньги на абонентский счет пострадавшего, независимо от того, находятся ли они в данный момент на счету другого абонента или уже переведены злоумышленниками на другую банковскую карту.
Фактически «Вымпелком» выбрал схему, наиболее удобную для своих клиентов, но недостаточно защищенную с точки зрения безопасности, полагает вице-президент компании Chronopay Дмитрий Шмаков. К слову, пользователь под ником Pif на форуме banki.ru в своем отзыве о проблеме пишет: «Я ходил на соответствующие форумы, спрашивал у менеджеров „Билайна“ — ребята, вы что? А они отвечают — фрод (то бишь мошенничество) пока небольшой, деньги, если что, мы без звука возвращаем по заявлению, зато услуга востребована».
Однако ведущий аналитик Mobile Research Group Эльдар Муртазин отмечает, что сервис «Мобильный платеж» не очень популярен: можно говорить, что его используют десятки или сотни человек, никак не тысячи. «„Вымпелком“ прав в том смысле, что масштаб бедствия невелик, — вторит ему Сергей Потресов. — Но надо с этим что-то делать, это явная прореха, которую нужно устранять».
Банки против
Предложенную абонентам «Билайна» схему критикуют и представители банковского сообщества. «При желании номер пластиковой карты и срок ее действия достаточно просто получить, — согласна с упреками в адрес «Вымпелкома» директор департамента платежных карт Промсвязьбанка Елена Дворовых. — Этих данных совершено недостаточно для того, чтобы эти операции были хотя бы чуть-чуть безопаснее».
«Схема сервиса мобильного оператора действительно допускает несанкционированный доступ к счету карты, — говорит заместитель председателя правления банка «Авангард» Валерий Торхов. — Но можно принять дополнительные меры безопасности, установив лимиты как по суммам, так и по количеству платежей. К примеру, у клиентов нашего банка такая возможность есть».
Финансовая ответственность по мошенническим трансакциям по правилам ложится на сотового оператора, так как для услуги «Мобильный платеж» не используются проверка CVC и технология 3D-secure, утверждает Дмитрий Шмаков. 3D-secure — это протокол обработки интернет-трансакций, разработанный Visa и одобренный MasterCard; он предназначен для обеспечения большей безопасности интернет-платежей, выполняемых с использованием кредитных или дебетовых карт. Правда, оговаривается господин Шмаков, в зависимости от договоренностей между мобильным оператором и банком-эквайером финансовые риски могут быть переложены на банк.
Условия возврата утраченных средств описаны в договоре на обслуживание, который подписывает клиент при получении банковской карты, напоминает Елена Дворовых. Но если карта остается у владельца, банк, как правило, возвращает средства по опротестованным операциям безо всяких страховок, подчеркивает Валерий Торхов.
Кстати, многие крупные банки активно предлагают своим клиентам страхование рисков мошенничества по пластиковым картам. В ВТБ 24 услуги страхования стоят от 60 руб. в месяц (страховая сумма от 20 тыс. руб.), Райффайзенбанк в рамках программы «Карта без риска» предлагает страхование классических карт за 70 руб. в месяц (покрытие до 75 тыс. руб.) и золотых — за 140 руб. в месяц (покрытие до 150 тыс. руб.). Аналогичные продукты есть, к примеру, у Росбанка, Альфа-банка, Газпромбанка.
Рабочие схемы
По словам Сергея Шивалина, серьезные спецы, работающие на ниве мобильного мошенничества, пользоваться сервисом от «Билайна» для вывода денежных средств не будут: нажива невелика, а им это неинтересно — у них другие масштабы и сложнее схемы: «В основном такими вещами занимаются начинающие хакеры подросткового возраста».
Как бы то ни было, в связи с участившимися случаями мобильного мошенничества «Вымпелком» решил вернуть прежнюю схему регистрации с «холдированием» случайной суммы — она будет введена «в самое ближайшее время».
Стоит добавить, что в России мошенники всегда были хитры на выдумку. Каждый год жулики придумывают что-то новое. Например, в этом году тот же «Вымпелком» предупреждал о такой мошеннической схеме: абонентам приходит SMS-сообщение следующего содержания: «(bank) Заявка с карты 5,500 р. Принята. Инфо 8(ххх) ххх-хх-хх». В сообщении могли быть указаны разные суммы и номера телефонов.
Естественно, обеспокоенный абонент перезванивал на указанный якобы информационный номер, где трубку брал мужчина и представлялся «службой финансового контроля». На вопрос, о чем идет речь, собеседник отвечал, что, скорее всего, это ошибка, с которой будет разбираться служба безопасности банка. Но чтобы избежать перевода денег, необходимо отправиться к банкомату, перезвонить снова и выполнить несколько действий с пластиковой картой под диктовку мнимого сотрудника банка. Нетрудно догадаться, что незадачливых абонентов ждала пропажа денег со счета.
Впрочем, как отмечают эксперты, у мошенников до сих пор в ходу и старый как мир развод — абоненту звонят якобы из службы техподдержки оператора и говорят: «Ваш номер по техническим причинам будет заблокирован на две недели». Чтобы этого не произошло, незадачливого абонента просят, скажем, «перезагрузить сетевое оборудование» и набрать для этого некую комбинацию клавиш. В итоге все сводится к мобильному переводу денег на другой номер.
Не так давно была зафиксирована новая разновидность мошенничества с банковскими картами, всплеск был три-четыре месяца назад. Абоненты получали SMS с текстом «Ваша банковская карта заблокирована» и номером телефона, куда нужно перезвонить (или же абоненту просто звонили и радостно сообщали о блокировке карты). Владелец номера перезванивал по указанному номеру, мошенники сообщали ему, что на банковском сервере произошел сбой, и просили сообщить реквизиты карты для устранения неполадок. «После этого через сервис именно „Билайна“ с этих клиентов списывались денежные средства», — утверждает Елена Дворовых. От этой аферы, в частности, пострадали клиенты Альфа-банка, Промсвязьбанка, Райффайзенбанка.