На финансовый рынок вернулась старая мошенническая схема с подбором номера и срока действия банковской карты. Проверив через тестовый платеж реальность карты в обычном интернет-магазине, мошенники оперативно выводят с нее средства мелкими суммами через фальшивые сайты. По словам экспертов, второму рождению схемы способствовало появление виртуальных карт с малым сроком действия, что сокращает время перебора вариантов. Еще одним фактором стал бум интернет-торговли на фоне пандемии: для улучшения клиентского пути магазины стали упрощать проверку карт.
Рисунок: Виктор Чумачев, Коммерсантъ
Рисунок: Виктор Чумачев, Коммерсантъ
Как рассказали “Ъ” в ряде банков, в последние два месяца они наблюдают на рынке схему мошенничества, которая, казалось, давно канула в прошлое: подбор номера карты и срока ее действия для вывода средств через фальшивые интернет-магазины. Начались проблемы у «трех крупных московских банков», но уже широко распространились, утверждает один из собеседников “Ъ”.
В «Лаборатории Касперского» пояснили, как работают злоумышленники. «Например, зная номер карты и фамилию владельца, они стремятся вычислить CVV и срок ее действия»,— говорит главный эксперт компании Сергей Голованов.
Для этого может использоваться следующий путь: открываются сайты большого количества интернет-магазинов, куда вводят доступную информацию и пробуют совершить покупку. Для этого на каждом из них перебором вводят CVV от 000 до 999: как только прошла оплата, значит, номер верный. «Магазины, которые при этом используются, мошенническими не являются»,— уточняет господин Голованов.
Исходная сумма списания всегда небольшая, чтобы не привлекать внимания владельца карты и банка. А уже после «авторизации» карты средства с нее списываются небольшими суммами через мошеннические интернет-магазины, которые «выдают» плательщику несуществующий товар, поясняют собеседники “Ъ”. Банкиры уверяют, что такие магазины и карты довольно быстро блокируются банками, в том числе из-за большого числа однотипных операций. Но при этом несложно открыть новые.
Подобные схемы были распространены пять-десять лет назад, но затем, по словам ведущего эксперта направления «Информационная безопасность» ИТ-компании КРОК Александра Черныхова, их использование сошло на нет из-за внедрения банками специализированных систем отслеживания и противодействия мошенничеству.
Одной из причин оживления этого вида мошенничества эксперты называют вывод крупными банками нового типа продуктов — виртуальных карт.
«Сроки действия таких карт зачастую ограничены несколькими месяцами, что несколько снижает количество попыток, которые должен сделать злоумышленник, чтобы подобрать реальную дату истечения карты»,— поясняет Александр Черныхов. В Сбербанке говорили, что более 10% новых открываемых карт приходится на карты без пластика, в ВТБ — более 15%, а к 2023 году банк планирует увеличить их долю до 40% (см. “Ъ” от 17 марта).
Другой причиной возвращения схемы стал существенный рост интернет-торговли в условиях пандемии. В некоторых интернет-магазинах номера карты и срока ее действия достаточно для проведения платежа. Для сокращения времени и большего удобства клиента интернет-магазины отключают функцию проверки CVV/CVC-кодов и 3D-Secure. Как пояснил технический директор RuSIEM Антон Фишман, некоторые платежи, например регулярно повторяющиеся, никогда не предполагают передачи CVC/CVV-кодов: «Международные платежные системы не требуют проверки этих данных, а эквайер на своей стороне их хранить не имеет права, только передавать».
Также, отметил один из экспертов по информбезопасности, всплеск мошенничества может быть связан с появлением на рынке новых баз данных:
«Когда мошенники покупают базы данных, они совершают пробные покупки для того, чтобы проверить, действует ли до сих пор карта».
В Банке России подтвердили, что схема с подбором номера и срока действия карты «периодически используется». Но, утверждают в регуляторе, «поскольку производить подбор сложно и малоэффективно, широкого распространения она не получила». В ЦБ пояснили, что, если операция без согласия клиента происходит без использования технологии двухфакторной аутентификации 3D-Secure, ответственность лежит на стороне банка-эквайера или владельце точки оплаты.