Ежегодно банки и их клиенты теряют сотни миллионов долларов из-за деятельности мошенников. Преступники выдумывают все более изощренные способы взламывания паролей и вскрытия банковских счетов, кражи персональных данных и манипуляций с банковскими картами и интернет-транзакциями. И хотя банки уделяют все большее внимание вопросам безопасности, они, по мнению экспертов, никогда не смогут гарантировать клиентам стопроцентную защиту.
Злоумышленники атакуют
По данным федерального министерства торговли США, в 2003 году с кражей персональных данных так или иначе столкнулись около 10 млн американцев, ущерб для бизнеса от действий мошенников составил больше $50 млрд. В прошлом году непосредственными жертвами "воров-персональщиков" стали 250 тыс. американцев. В Великобритании, по данным Ассоциации по клиринговым услугам (Apacs), в прошлом году объем мошенничества с кредитными картами впервые превысил £500 млн. Каждый месяц банки теряют около £2,8 млн ($5,1 млн) в результате реализации мошеннических схем. Это значит, что каждый час карточные мошенники крадут около $58 тыс.
Исследование, сделанное по заказу крупнейшего в Австралии National Australia Bank, показало, что интернет-мошенничество стоит ему около $1 млн в месяц, а к 2008 году ущерб может вырасти до $30 млн в год. На основании этих данных можно утверждать, что ущерб всех банков Австралии составляет около $70 млн в год. Авторы исследования утверждают: "Интернет-мошенничество в отношении банков растет. Преступники взяли отрасль в осаду".
Мошенничество с кредитными и дебитовыми картами — одно из самых распространенных видов банковских преступлений. Так, с начала года идет масштабная проверка транзакций, совершенных по кредитным картам, которые обслуживались Card Systems Solutions. Эта американская процессинговая компания с 40 млн клиентов по всему миру стала жертвой мошенников, совершавших кражи персональных данных в период рождественских продаж в прошлом году. В результате многим банкам мира пришлось выдать тысячам клиентов новые кредитные карты.
Большую проблему составляют также подделки кредитных и дебитовых карт. На подъеме и так называемые бескарточные мошенничества, связанные с покупками, сделанными через интернет, а также по телефону, факсу или по почте. В прошлом году объем этого вида мошенничества только в Великобритании вырос на 24%, до £151 млн ($270 млн), нанеся ущерб больший, чем другие виды банковского мошенничества. Проблема для держателей карт состоит в том, что они узнают о факте мошенничества, только получив банковскую выписку с незнакомой им транзакцией. Мошенники чрезвычайно изобретательны. Например, британец Эшли Льюис, получивший в возрасте 21 года свою первую банковскую карту, еще ничего не успел по ней купить, когда выяснилось, что его долг уже превысил £1200. Позже полиция нашла "жучок" в банкомате, которым он пользовался при активации карты.
Интернет-кражи, известные в банковской отрасли как "действия 007" (type 007 activity), основаны на использовании вирусов, червей и ложных сайтов. Преподаватель университета Сиднея Тони Ян говорит, что многие мошенники используют для кражи персональных данных и паролей так называемые "задние калитки", предусмотренные в программах безопасности на случай устранения неполадок. Однако самый популярный вид мошенничества — фишинг. Эта техника включает рассылку электронных писем как будто бы из банка клиента с просьбой сообщить детали своего счета или ввести их на фальшивом сайте. Более изощренные приемы применяются, чтобы заставить клиента скачать шпионскую программу, записывающую все нажатия на клавиши компьютера, включая пароли.
По словам Тони Яна, еще один метод включает установку шпионских программ в компьютерные сети и расшифровку 128-битного кода банка, что позволяет хакерам уводить деньги со счета, не привлекая внимания владельцев. "Большинство профессиональных хакеров — из стран Восточной Европы, где есть компьютерные мощности, но нет экономической стабильности,— говорит он.— Больше половины из них — из Венгрии и России, где компьютерщики удивительно талантливы даже в сравнении с такими странами, как США".
Получив доступ к счету в той или иной стране, хакеры нанимают там "мулов", чтобы те сняли деньги, а затем переслали их почтовым переводом за рубеж. Это, как правило, молодые люди от 18 до 20 лет, их вербуют по электронной почте или на чатах. По словам адвоката Криса Россера, это напоминает "убалтывание молодых девушек сексуальными хищниками". Так, 19-летнего Стива из Австралии наняла по электронной почте якобы международная компания по электронике — World Projectors Corporation. Ему сказали, что во избежание выплаты комиссионных для продажи товаров в Австралии они нанимают австралийских граждан, чтобы те переводили деньги с их банковских счетов в компанию денежным переводом. Оплата услуг — 2% от суммы. Стив заполнил форму на сайте компании и получил работу, не догадываясь, что его используют как "мула". В первый же день его попросили снять почти $50 тыс. наличными из банка и переводом Western Union отправить в Новую Зеландию. Стива остановила полиция, когда он получал последние $10 тыс. Как выяснилось, преступники действовали из Литвы.
Банки защищаются
Чтобы защитить свой карточный бизнес, банки намерены автоматизировать процесс проверки транзакций, выполняемый сейчас посредством телефонных звонков держателям кредитных и дебитовых карт. Технология, разработанная компанией Adeptra, основана на использовании записей диалога и компьютеризованной речи. Система идентифицирует и подтверждает личность держателя карточки, а затем проверяет детали транзакций, которые банк считает подозрительными. Держатель карточки отвечает на компьютерный звонок, чтобы подтвердить легитимность транзакции. Если ответа нет, банк принимает меры по предотвращению ущерба. Adeptra уже обслуживает пять из десяти ведущих банковских групп Великобритании и проверяет свыше 30 тысяч транзакций в неделю в автоматизированном режиме. По ее прогнозам, эта технология позволит банкам увеличить количество проверок на 30-50% и уже к концу этого года уменьшить потери от мошенничеств наполовину.
Фил Уилсон, глава Adeptra, говорит: "Из всех транзакций, которые кажутся банкам подозрительными, только небольшая часть (в некоторых банках это лишь 4%) действительно являются таковыми. Но call-центрам требуется много часов, чтобы связаться с пострадавшими держателями карт, и все это время мошенники продолжают действовать. Автоматизируя звонки, банки смогут быстрее связаться с держателями карт и пресечь мошенничество гораздо раньше".
Другим способом борьбы с карточными мошенничествами служит выпуск карт с микрочипом и PIN-кодом, которые снижают риск обмана: микрочип, встроенный в карту, позволяет набрать секретный четырехзначный цифровой код, расплачиваясь у кассы. По данным Apacs, в июне в Великобритании была выпущена 100-миллионная карта этого типа.
Многие банки вводят двухуровневую систему аутентификации, в которой клиенты онлайнового банкинга получают дополнительный краткосрочный пароль. По этой системе клиентам, запрашивающим перевод денег по интернету для оплаты счетов или покупок, на их мобильные телефоны рассылается авторизованный номер в виде SMS. Если клиент не регистрируется для получения этого номера, банк ограничит размер переводов, которые можно совершать по интернету. Не исключено, что эта добровольная услуга станет обязательной.
Клиент всегда жертва
Пока банки и мошенники соревнуются друг с другом в технической изощренности, клиенты продолжают нести потери. Чтобы минимизировать их, необходимо соблюдать правила безопасности: покупая что-то по интернету или по телефону, называть специальный цифровой код, чтобы авторизовать транзакцию, уничтожать все чеки и бумаги, на которых содержатся какие-то сведения о карте, а также осторожно отвечать на любые запросы относительно банковских счетов и карточек.
Обнаружив неавторизованную транзакцию, держатель должен немедленно позвонить эмитенту. По правилам электронного перевода средств банки должны возвращать клиентам деньги в случае, если мошенничество доказано и клиенты в нем не участвовали. Однако проблема как раз в том, что доказать это довольно трудно. Хотя формально доказывать мошенничество — это работа банка, держателя карты все равно подвергают ряду проверок. После сообщения о мошенничестве подозрительная транзакция должна быть удалена из отчета о состоянии карточного счета на время расследования соответствующим департаментом банка. Однако на практике это происходит не всегда, или же транзакция снимается лишь для того, чтобы появиться в следующем месяце, и надо вновь звонить в банк. При этом звонки часто оплачиваются по высоким тарифам.
По мнению экспертов, в борьбе между банками и мошенниками клиенты и далее будут проигравшей стороной. По словам профессора Каелли, эксперта по ИТ из Австралии, 8 млн зарегистрированных в Австралии клиентов интернет-банкинга безоружны перед преступниками: "Смешно даже предполагать, что владельцы домашних компьютеров могут защитить себя достаточно надежно". По его словам, компьютеры просто не созданы для того, чтобы обеспечивать безопасность работы с финансовыми данными, в том числе транзакциями. Конечно, нужно ввести все возможные виды защиты — защитные экраны, антивирусы, антиспамное и антишпионское ПО, однако это лишь снизит риск. По мнению профессора Каелли, интернет-банкинг никогда не будет безопасным на 100%.
ЕЛЕНА ЧИНЯЕВА