Кредитных карт в России с каждым днем становится все больше. Растет и количество мошенничеств с ними. Российские преступники не тратят времени на придумывание новых форм обмана держателей карт, но активно заимствуют приемы, давно опробованные на Западе.
По разным оценкам, уровень мошенничества в России составляет около 0,07-0,09% от всего объема проводимых по картам операций. Казалось бы, не так уж и много. Однако, по словам зампреда правления банка "Союз" Екатерины Демыгиной, "в России карточное мошенничество имеет тенденцию к росту, и по этому показателю наша страна уже вышла на среднеевропейский уровень". Причем, как это ни покажется странным, карточные мошенничества — это не сугубо столичная проблема. "13% оборота по банковским картам в Санкт-Петербурге дают более 46% мошенничества,— говорит начальник сектора технических средств защиты информации Газпромбанка Николай Пятиизбянцев.— Это связано в первую очередь с нежеланием правоохранительных органов города противодействовать данному виду преступности".
Есть в борьбе с карточными мошенничествами и другая сложность. "Преступники, использующие банковские карты, в большинстве случаев уходят от ответственности. Банки зачастую даже не обращаются в правоохранительные органы, так как в российском законодательстве случаи противоправных деяний с использованием банковских карт описаны очень плохо",— утверждает Екатерина Демыгина.
При этом, как показал проведенный "Деньгами" опрос, с единичными случаями мошенничества периодически сталкиваются все банки, основная их часть приходится на украденные или утерянные карты. Ими мошенники расплачиваются в магазинах, где не проверяют паспорт. А если держатель карточки хранил пин-код где-то поблизости или даже записал его на карте, мошенник через банкомат снимал все имеющиеся на счете деньги.
С 1 июля, по решению Ассоциации российских банков--членов Visa, у держателя карты Visa вообще не будет проверяться паспорт при сумме покупки до 1000 рублей. В MasterCard ограничение на обязательное предъявление удостоверения личности при покупках уже снято. "Будьте более внимательны и не показывайте в общественных местах свои карты,— предупреждает старший вице-президент Связь-банка Аркадий Комягинский.— У меня был личный пример, когда я в метро достал бумажник, где у меня лежал проездной и банковские карты. Так их тут же заметили воры и вытащили у меня из кармана уже на второй остановке. Поэтому карты лучше держать отдельно от кошелька с деньгами и от проездного билета". "Обязательно подключайте услугу sms-информирования об операциях по карте. Как только произойдет несанкционированная операция, вы тут же о ней узнаете и сможете позвонить в банк и заблокировать карту",— говорит зампред правления банка "Авангард" Валерий Торхов.
Посылка с сюрпризом
Немалое количество зафиксированных в России мошеннических операций было связано с банковскими картами, высылаемыми клиентам по почте. В частности, несколько лет назад банк "Русский стандарт" высылал клиентам заказными письмами не только карты, но и пин-коды, чем здорово облегчал жизнь мошенникам. Потом от рассылки пин-кодов по почте банк отказался, они генерируются держателем карты по телефону после того, как клиент называет свои паспортные данные. Сами же карты по-прежнему отправляются по почте.
Две недели назад в Уральском федеральном округе была раскрыта группа мошенников, действовавших в Тюмени, Омске и Кургане, в которую, по данным Генпрокуратуры, входили менеджеры филиалов банка "Русский стандарт" и сотрудники почты. Последние перехватывали заказные письма с кредитными картами и передавали их менеджерам банка, которые вносили в базу данных ложные сведения о личности клиентов. После этого мошенники получали от операторов секретные коды доступа для активации кредитных карт и снимали деньги через банкоматы. Всего группа обналичила около 10 млн рублей. Потерпевшими по данному делу признаны около 200 клиентов банка.
А в Златоусте карточки "Русского стандарта" похищались не только в почтовых отделениях, но и прямо из почтовых ящиков. Потом миловидные девушки являлись домой к человеку, чью пластиковую карточку уже украли, и от имени банка благодарили людей за вовремя возвращенный кредит. Вручив подарки, девушки объясняли, что им нужно отчитаться перед руководством, для чего необходимо записать все данные клиента. И ничего не подозревавшие люди выкладывали о себе все. Завладев чужой карточкой и получив необходимые паспортные данные, злоумышленники звонили в московский офис "Русского стандарта" и активировали карточку.
В итоге до адресата доходила уже использованная карта. На счету арестованной в Златоусте мошеннической группы 38 преступлений с карточками банка "Русский стандарт". Подобные случаи мошенничества с картами того же банка, только в 2006 году, были раскрыты в Нижнекамске, Калмыкии, Березниках и других местах. Правда, сегодня, как уверяют в "Русском стандарте", введена усложненная схема генерирования пароля, для которой одних паспортных данных недостаточно.
Тем не менее за картой лучше съездить в банк лично, не дожидаясь ее доставки по почте. И речь в данном случае идет не только о картах "Русского стандарта", но и всех российских банков, рассылающих карты по почте. "На мой взгляд, в России однозначно не следует пользоваться услугами почты для доставки карт или любой другой секретной информации",— считает Валерий Торхов.
Банкомат-шпион
В конце декабря прошлого года банк ВТБ-24 заблокировал несколько тысяч пластиковых карт. Как выяснилось позже, на нескольких его банкоматах мошенники установили специальные устройства, считывающие информацию с магнитной полосы, а также вводимый клиентом пин-код. Полученных данных было достаточно для изготовления поддельной карты. По данным самого ВТБ-24, было скомпрометировано 4,4 тыс. его карт и около 4,8 тыс. карт сторонних банков. Поддельными картами мошенники воспользовались уже за границей. Точный ущерб неизвестен, но со счетов ВТБ-24, по словам работников этого банка, было похищено около $100 тыс.
Такой вид мошенничества называется скиммингом. На банкоматах скимминговые устройства устанавливаются прямо в окошке для приема карты. Однократного ввода карты в банкомат достаточно, чтобы скопировать все необходимые данные с магнитной полосы. А вот чтобы узнать пин-код, мошенники идут на всевозможные технические ухищрения. На банкоматах ВТБ-24 были установлены специальные накладные панели на клавиатуре, которые фиксировали вводимые клиентом цифры. Другой популярный у мошенников способ узнать пин-код — мини-камера.
Кроме того, в России уже было зафиксировано несколько случаев, когда мошенники устанавливали поддельные банкоматы. Клиент вставлял карту, набирал пин-код, а банкомат отвечал клиенту, что он неисправен. Клиент отправлялся к другому банкомату. "Неисправный" же банкомат через несколько дней исчезал, а с ним и все необходимые для мошенников данные о картах.
"Прежде чем пользоваться банкоматом, клиенту следует убедиться в том, что на банкомате нет накладных устройств. Конечно, обычному пользователю трудно заметить разницу между стандартным банковским оборудованием и мошенническими механизмами, тем не менее, если вам показалось что-то подозрительным, лучше не пользоваться этим банкоматом",— советует Валерий Торхов. "Не стоит также использовать карту в небрежно оформленных, подозрительных банкоматах или банкоматах абсолютно неизвестных банков",— говорит начальник департамента платежных систем и электронной коммерции Оргрэсбанка Людмила Дерягина. Да и набираемый пин-код желательно закрывать от посторонних глаз. Ведь в стандартных банковских договорах об открытии пластиковой карты записано, что банк не несет ответственности за операции, совершенные с применением пин-кода.
Но если все-таки вы стали жертвой мошенников, а банк отказывает компенсировать издержки, не отчаивайтесь, идите в суд. Дело в том, что, по Гражданскому кодексу, основанием для списания средств со счета может быть только соответствующее распоряжение клиента о списании. Поэтому если банк отказывает клиенту в компенсации ущерба, суд всегда становится на сторону пострадавшего.
Жулики в белых халатах
Стать жертвой скимминга можно не только в банкоматах, но и в торговых точках или ресторанах. Чтобы списать данные с магнитной полосы, мошенникам достаточно провести картой по терминалу, на котором может быть установлено скимминговое устройство. В декабре 2006 года Останкинский районный суд Москвы приговорил к нескольким годам лишения свободы преступную группу карточных мошенников, в которую входили изготовитель поддельных карт, псевдопокупатель и кассир магазина "Электрофлот". Кассир принимал от "покупателя" для оплаты предметов бытовой техники фальшивые пластиковые карты иностранных банков. Оплата проводилась через терминал Газпромбанка. В приговоре суда отмечается, что такая сложная, многоступенчатая форма организации преступления с использованием высокотехнологичных устройств свидетельствует о высоком уровне подготовки преступной группы.
"Выявление таких мошеннических схем обычно происходит уже после того, как мнимый держатель карты расплатился за товар и благополучно удалился с незаконно полученными ценностями,— пояснили в Газпромбанке.— Кассир, состоящий с ним в сговоре, будет клятвенно уверять, что предъявленные платежные карты соответствовали требованиям платежных систем, содержали все элементы защиты, а покупатель предъявил документ, удостоверяющий личность, данные которого соответствовали фамилии на карте. Доказать сговор практически невозможно. В этом случае банку приходится либо расторгать договор с предприятием торговли, либо ходатайствовать перед ним об отстранении недобросовестного кассира от работы".
Однако чаще всего жертвами скиммеров россияне становятся за границей. Этим летом был зафиксирован всплеск мошенничеств по российским картам в Турции. Мошенники изобрели нехитрую уловку, приглашая доверчивых туристов снимать деньги по льготному курсу в кассах магазинов, называемых post-office. В принципе на Западе снятие денег с карты через кассы магазинов — довольно распространенная услуга. Но в Турции снятие наличных сопровождалось вводом пин-кода, который для этой процедуры не требуется. "Данные по картам попадали в руки мошенников, а туристы, сэкономив пару долларов, получали головную боль с разбирательством по пропавшим с карточки суммам",— рассказывает директор департамента неторговых операций банка "Глобэкс" Денис Хренов. В России, по правилам платежных систем, услуга по снятию наличных через кассы магазинов запрещена.
Защититься от скиммеров довольно сложно. Пожалуй, главное, что может сделать держатель карточки,— это лично отслеживать все действия, проводимые с его картой продавцами или официантами. "Чтобы повысить безопасность платежей, приобретайте карты начального уровня — Electron или Classic. Как правило, они менее привлекательны для грабителей",— отмечает один из банкиров. Кроме того, карты Electron, в отличие от карт более высокого уровня, являются неэмбоссированными, на них не выдавлено имя владельца карты и номер. А значит, с этой карты нельзя снять слип и провести неавторизованные платежи. Несмотря на то что неавторизованные платежи сегодня считаются устаревшей технологией, они все еще довольно распространены в Англии и некоторых других европейских странах.
Виртуальные воры
Интернет принес с собой не только новые возможности по использованию банковских карт, но и новые виды мошенничества. Два с половиной года назад в России был зафиксирован первый случай фишинга. Термин phishing составлен из английских слов phone (телефон) и fishing (рыбная ловля). Он обозначает схему жульничества с целью выманивания у пользователей номеров их кредитных карточек, паролей доступа к банковским счетам и счетам платежных систем. Мошенники по электронной почте рассылают письма с логотипом банка с просьбой подтвердить персональные данные: номер карты, пин-код, кодовое слово, имя и т. д., например, в связи с обновлением базы данных.
В случае, если держатель карты следует по ссылке, указанной в письме, он попадает на сайт мошенников, и вся информация, которая будет введена, попадет в их руки. Наличие такой информации позволит преступникам совершать покупки через интернет или изготовить "белый" пластик. "Держателям банковских карт важно помнить, что банки никогда не запрашивают информацию по электронной почте. При получении таких писем необходимо их удалять,— подчеркивает начальник управления банковских карт Московского кредитного банка Алексей Есенников.— Если клиент банка все же ответил на подобное сообщение, необходимо незамедлительно связаться с банком-эмитентом, заблокировать карточный счет и перевыпустить карту".
Зачастую для совершения мошеннической операции в интернете преступникам достаточно номера, срока годности, имени и фамилии владельца, а также трехзначного кода CVV2, указанного на оборотной стороне карты там, где должна стоять подпись владельца. Все эти данные нанесены непосредственно на саму карту, поэтому не стоит показывать ее посторонним. "Существует большое количество интернет-магазинов, где этих данных достаточно, чтобы произвести платеж и купить товар",— рассказали в одном из банков. "Правда, легкость проведения операции в интернете зависит от того, как настроена процессинговая система банка--эмитента карты. Если банк тратит много денег на усовершенствование защитных механизмов, в том числе и на online-мониторинг, такие операции могут просто не пройти",— говорит директор департамента платежных карт Промсвязьбанка Елена Дворовых.
Тем не менее, по мнению Аркадия Комягинского, лучше вообще не расплачиваться картой в интернете. "Если же вы чувствуете острую необходимость в этом, лучше воспользоваться специально предназначенными для интернет-платежей виртуальными банковскими картами или завести отдельную обычную карту, на которую стоит положить ровно столько денег, сколько вы хотите потратить на конкретный продукт. При этом будьте готовы к тому, что эти деньги вы можете потерять",— предупреждает банкир. Пользоваться картой в интернете желательно только в известных, зарекомендовавших себя магазинах. Причем желательно в тех магазинах, что получили соответствующие сертификаты качества от платежных систем Verified by Visa и MasterCard SecureCode. "Ну а если вы периодически совершаете платежи через интернет, например, в пользу мобильного оператора или провайдера, то лучше зайдите однажды в офис к этому оператору и оставьте поручение на регулярное списание средств с вашего счета,— советует Валерий Торхов.— Это удобно и безопасно, так как во время самой транзакции вы не будете вводить номер карты. Информация о карте уже есть у провайдера, таким образом, транзакция получается безопасной".