Предоставив клиенту разного рода интернет-сервис и прочие электронные удобства, российские банки не успевают обеспечить реальную защиту при их использовании. Помимо нерасторопности банков почва для электронного мошенничества отлично унавожена отсутствием специальных знаний у большинства законопослушного населения, которое пользуется платежными услугами уже в массовом порядке.
Ключик под ковриком
Один из наиболее известных способов получения доступа к банковскому счету или к счету в платежной системе, к которому привязан банковский счет,— так называемый фишинг. (О фишинге "Деньги" писали недавно — речь шла о взломе ICQ и электронной почты; см. N30 от 6 августа этого года.) Методами социальной инженерии пользователя провоцируют на добровольную выдачу логина и пароля мошенникам. Например, это "хитрые" письма, предлагающие ввести свой платежный пароль на специально созданной странице.
Алексей Требушной, начальник управления банковских карт ОАО "Банк "Возрождение"": Фишинг особенно распространен в США, где высок уровень законопослушности населения: если приходит запрос от "банка" о предоставлении данных, надо обязательно ответить. Несомненно, с развитием интернет-банкинга и повышением уровня компьютеризации населения российские банки столкнутся с этой проблемой, и потери от фишинга могут быть значительными.
Елена Биндусова, начальник управления розничного бизнеса Первого республиканского банка: Сотрудники банка никогда не пересылают клиенту по электронной почте в открытом виде информацию, в которой фигурируют данные карт,— даже по его личной просьбе.
Недавно москвичи столкнулись со случаями мобильного фишинга, и многие попались на крючок. Злоумышленники рассылали сообщения от имени московских банков (чаще всего — Мастер-банка и Банка Москвы) с отказом в получении кредита. Прочитав эту новость, человек, как правило, пожимал плечами, поскольку никаких заявлений о выдаче кредита в эти банки не подавал,— ошибка, с кем не бывает. Но через месяц автоинформатор через звонок на мобильный телефон сообщал ему, что на его карточном счете образовалась задолженность, которую необходимо погасить, а для решения вопросов по задолженности просил связаться с банком. Возмущенный гражданин набирал указанный номер и заявлял дружелюбному "менеджеру", что никаких кредитных карт в его банке не получал, после чего "менеджер" переводил вызов на "сотрудника службы безопасности". Тот выражал озабоченность проблемой и предлагал продиктовать паспортные данные и реквизиты кредитных карт, выданных другими банками,— якобы для того, чтобы проверить, не было ли и с этими картами фактов мошенничества.
Второй распространенный метод получения "ключа от квартиры, где деньги лежат",— внедрение на компьютер жертвы вируса-"трояна". Засылаются такие вирусы обычно не целенаправленно тому или иному адресату, а массово. "Троян" скачивает абсолютно все логины и пароли, которые пользователь вводит на конкретном компьютере, и отправляет их своему хозяину. В итоге у владельца "трояна" скапливаются тысячи записей (логов). Сам он с ними не работает (разделение труда!), а продает на мегабайты другим "узким специалистам". Так, похитители денег с банковских счетов, разбирая купленный материал, выберут по определенным признакам логины и пароли, относящиеся именно к их сфере.
Сейчас многие банки практикуют использование дополнительных одноразовых паролей, список которых выдается пользователю. Причем пароли принимаются только в указанной последовательности: пока пароль N2 не будет использован, N3 не сработает. Но мошенники и эту препону научились преодолевать. Пользователь заходит на страницу банка, забивает пароль. Поселившийся в его компьютере "троян" имитирует отказ в авторизации и предлагает ввести другой пароль. Тогда пораженный пользователь на всякий случай пытается войти по второму паролю — о, сработало, доступ к счету получен! Вот только получен он при вводе первого пароля. А второй, на самом деле еще не использованный, попадает в руки воров.
Или другой вроде бы надежный вариант защиты — когда одноразовый пароль для дополнительного ввода высылается на адрес пользователя в момент авторизации по основному паролю. Считается, что перехватить почту не успеют. Но, как показывает практика, успевают вполне. Собственно, всеми данными для доступа к почтовому ящику жертвы злоумышленники располагают благодаря тому же "трояну".
Павел Шевчук, директор компании "Тамософт": Есть такой вид взлома сайтов интернет-магазинов, когда клиента на последнем этапе переадресуют на сайт злоумышленника, где он и вводит данные своей кредитной карты. При заказе товаров в онлайне надо внимательно следить за адресной строкой браузера. На страницах, где вводится личная информация, протокол обмена должен быть обязательно https:. Сертификат сайта — соответствовать имени сайта. Современные браузеры отмечают несоответствие сертификата строгими предупреждениями и красной адресной строкой, но пользователи старых версий могут попасться на этот вид взлома.
Наивно полагать, что частные клиенты банка могут обеспечить на домашнем компьютере стопроцентную защиту от "троянов". Да они и не обязаны этого делать: безопасность клиентских средств — забота банков, которые, понимая это, используют двухфакторную аутентификацию. Суть — два пароля поступают по разным каналам. Один, базовый, пароль вводится клиентом через интернет, а второй, одноразовый, приходит клиенту на мобильный телефон после ввода базового. Или генерируется криптокалькулятором — специальным устройством, выданным банком пользователю. Естественно, у злоумышленника не должно быть возможности дистанционно заменить номер мобильного телефона, на который будут приходить SMS,— меняют его только в отделении банка и только при личной явке клиента.
Однако многие отечественные банки пока двухфакторную аутентификацию не вводят — считают, что слишком дорого. При этом, пытаясь усложнить жизнь мошенникам, банки усложняют жизнь клиентам: существенно ограничивают лимиты на снятие средств с карты, увеличивают срок их перевода (дополнительное время нужно для анализа транзакций службой безопасности).
Исторический код
Критерием для выдачи наличных в банкомате служат введенный пин-код и, конечно, информация, записанная на магнитной полосе пластиковой карточки. Для совершения операции в этой записи должны содержаться номер карты, срок окончания ее действия, то есть данные, выбитые на лицевой стороне пластика, а также некий трехзначный код. В системе Visa он называется CVV, у MasterCard — CVC. Не надо путать их с кодами cvv2/cvc2 на полосе подписи карты, которые используются для совершения интернет-транзакций. Коды cvv и cvc хранятся только на магнитной полосе и служат для банка инструментом определения ее подлинности, своеобразной "электронной подписью" карты.
Ввели эти коды в конце 80-х годов в связи с массовым мошенническим снятием наличности с карт в банкоматах в Великобритании. При этом обворованные вкладчики своих карт не теряли. Поначалу банки грешили на клиентов: кого-то подозревали в мошенничестве, кому-то советовали присмотреть за детьми, которые могли узнать пин-код и пользоваться картами тайком от родителей. Однако пострадавших становилось все больше, к делу подключилась пресса, и банки признали, что злоумышленники каким-то образом получают дубликаты карт и узнают пин-коды. Скотленд-Ярду удалось поймать преступников только через два года — помог случай. У девушки, попавшей в полицию после драки в баре, нашли в сумочке кучу "белого пластика" — карточек без опознавательных знаков, но с магнитной полосой. Технология мошенничества оказалась весьма проста.
Преступники арендовали квартиры в многолюдных местах — такие, чтобы из окна были видны банкоматы. Вооружившись фотокамерой с длиннофокусным объективом, один злоумышленник фотографировал карты в тот момент, когда их вставляли в банкомат, а второй смотрел в бинокль и засекал набираемый пин-код. Оставалось только с помощью нехитрого прибора нанести всю полученную информацию на магнитную полосу поддельной карточки.
Как ни странно, и сегодня есть банки, которые игнорируют возможность контроля посредством кодов CVC/CVV. Причина такого легкомыслия не совсем понятна, ведь проверка кодов CVC/CVV увеличивает стоимость транзакции для банка на какие-то копейки. Кстати, ни один банковский сотрудник, занимающийся пластиковыми картами, никогда не признается, что контроля CVC/CVV в его заведении нет,— хотя бы из-за того, что платежные системы тут же наложат на банк крупный штраф.
Скорее всего, характерные кражи будут списаны на банальный скимминг, когда данные магнитной полосы (в том числе коды CVC/CVV) считываются преступниками или их пособниками непосредственно с самой карты с помощью электронного устройства. Допустим, официантом в кафе. Можно подсоединить такой девайс и к банкомату.
Скимминг весьма распространен во всем мире. Как с ним борются? Например, некоторое время назад банки сообщили клиентам об опасности использования карт в ряде пунктов выдачи наличных в Турции, а также о проблемах с банкоматами одного из таиландских банков.
Алексей Требушной: Единственной эффективной защитой от скимминга является переход на чиповые технологии. Однако пока далеко не во всех странах внедряются чиповые технологии для приема карт, а это значит, что даже если банк выпустил карту с чипом, то она все равно будет обслуживаться по магнитной полосе, следовательно, остается возможность использовать поддельную карту. Возможно, платежным системам надо ввести обязательное требование о переводе всех устройств для приема карт на чиповые технологии.
Заметим, разделить оптимизм банкиров относительно чиповой технологии сложно. Наши мошенники вовсю колесят по европейским странам с поддельными чиповыми картами и успешно совершают с ними покупки. А "чиповый пиар" только снижает бдительность продавцов.
Деньги не главное
Получается, что если владелец карты не дает ее в руки посторонним лицам, нигде и никогда ею не расплачивается и снимает деньги только в проверенных банкоматах, то он застрахован от кражи? Теоретически да.
Однако если он хоть раз снимал наличные в банкомате, сведения об этом, а также все данные карты, включая код CVC/CVV, поступили в так называемый процессинговый центр. Найдя брешь в его защите, мошенники получают доступ к данным миллионов карт. Правда, без пин-кода.
И что делать с такой картой? Наличные в банкомате ведь не снимешь. Возможностей здесь масса, в частности покупки в интернет-магазинах и проигрыш денег самому себе в интернет-казино. И если попадается карточка с серьезной суммой на счете, то одним из самых эффективных способов ее использования будет разовая оплата крупной покупки — автомобиля, норкового манто, бриллиантового колье... Однако в таком случае к карте обязательно потребуют документ: в Штатах — водительские права, в России — паспорт. И не просто потребуют, а на зуб попробуют и на свет посмотрят: не переклеена ли фотография? Возможно, в случае с "родными" пластиковыми картами, подсунутыми кассиру начинающим жуликом вместе с липовым студенческим билетом, подобная проверка будет действенной. Но если за дело берутся профессионалы...
Прежде всего предъявленный покупателем паспорт может быть настоящим, принадлежащим его подателю. Допустим, какому-нибудь бомжу, приведенному по такому случаю в респектабельный вид. Хорошо — кассир сканирует карту, отрывает чек, на котором значится то же имя, что и на лицевой стороне карты, и в предъявленном паспорте. Карту преступники печатали сами, соответственно, выбили на ней имя будущего покупателя и даже записали его на магнитной полосе взамен настоящего. Но вроде бы получается неувязочка: почему банк после сканирования в POS-терминале подтверждает карту, на магнитной полосе которой указано неизвестное имя? Оказывается, имя владельца банк при идентификации не использует! Оно нужно лишь для печати на чеке, чтобы кассир мог сравнить имя, записанное на магнитной полосе карты, с именем, выбитым на карте.
Как быть?
По российскому законодательству списание средств со счета клиента возможно только по документу, подписанному собственноручно клиентом, либо при наличии аналога такой подписи — ЭЦП (электронно-цифровой подписи). Никакие логины с паролями, пин-коды к картам и тому подобные идентификаторы ЭЦП не являются. Поэтому, что бы ни говорили банки об ответственности клиентов, что бы ни писали в своих договорах, по российским законам ответственность за несанкционированное снятие денег со счетов и карт несет сам банк. Суды, как правило, в таких спорах встают на сторону граждан.
Андрей Чумаков, руководитель департамента банковских карт одного из российских банков: Практически любой банк стремится не доводить дело до суда и решить конфликтную ситуацию с клиентом (не важно, VIP он или нет) в досудебном порядке. Репутация дороже.
Так или иначе, меры предосторожности соблюдать все-таки необходимо. Хотя бы для того, чтобы в случае эксцессов не тратить время и нервы на тяжбы с банками. Прежде всего следует регулярно проверять свои выписки по картам и состояние счета. В том числе примерно раз в полгода запрашивать кредитную историю (что сегодня практически никто не делает) и проверять ее на предмет наличия "левых" записей о взятых кредитах и выданных кредитных картах. Для этого нужно просто направить запрос о предоставлении вам кредитной истории в любой банк, клиентом которого вы являетесь.
Алексей Требушной: Полезно и даже необходимо контролировать свой счет в режиме онлайн через SMS-сервис, а также использовать практику установления ограничений на проведение операций из-за границы, за исключением тех периодов, когда клиент сам выезжает за пределы РФ.
В случае обнаружения неизвестных транзакций нужно незамедлительно писать претензию банку в двух экземплярах, отсылать ее в банк заказным письмом с уведомлением и описью вложения. Либо лично вручить сотруднику банка один экземпляр претензии под роспись (с расшифровкой ФИО и должности) с проставлением на своем экземпляре входящего номера документа, даты и времени его получения, а также штампа банка. Кроме того, рекомендуется хранить все договоры, правила банка, выписки, чеки и другие финансовые документы.
Павел Шевчук: Будьте осторожны, если выходите в сеть из публичного места, такого как интернет-кафе или хот-спот. Беспроводные хот-споты, как правило, не используют шифрование трафика, и любой желающий может увидеть все данные, которые вы посылаете или получаете. Использование корпоративной беспроводной сети тоже не гарантирует безопасности. Многие корпоративные сети до сих пор не используют шифрование или используют уязвимый для взлома WEP. Сидящий за соседним столиком в кафе или припарковавшийся рядом с офисом злоумышленник с ноутбуком и специализированным программным обеспечением очень быстро получит доступ к вашим данным. Несколько рекомендаций. Если ваша почта содержит что-то более важное, чем приветы от знакомых, то лучше использовать защищенные протоколы TLS и SSL — обратитесь к своему провайдеру, и он вам посоветует, как это сделать. Помните, что любая страница в браузере, просмотренная по открытому протоколу HTTP или FTP, может быть скопирована злоумышленником. Программы мгновенного обмена сообщениями ICQ и MSN вообще не защищены. То же относится к большинству протоколов IP-телефонии, так что использование Wi-Fi-телефона для разговора с банком — идея не очень хорошая.
Пользуясь предоставленным интернет-сервисом, необходимо быть крайне внимательным не только в момент совершения операций, но вообще всегда. Например, при получении писем по электронной почте, которые предлагают перейти по ссылке и ввести свои логин и пароль либо реквизиты карты, ничего никогда не вводите. Не важно, для чего это просят — пусть даже ради спасения мира от ядерной войны. Ни один банк не взаимодействует со своими клиентами таким образом. В случае особых сомнений можно позвонить в банк — уточнить, отправлялось ли вам то или иное письмо. При этом телефон банка лучше взять из имеющихся у вас банковских документов или посмотреть на обратную сторону вашей кредитной карты.
Роман Воробьев, член правления, руководитель дирекции обслуживания физлиц ЗАО "Райффайзенбанк Австрия": Должно вызывать подозрение, если в письме просят подтвердить пароль, если много грамматических и стилистических ошибок, если ссылка в письме ведет на незнакомый вам сайт или сайт отличается по дизайну от того, чем вы пользовались ранее.
Пользователям Windows в качестве "программной" защиты рекомендуется заменить любые предыдущие версии ОС Windows на новую Vista. По крайней мере, пока "дырок" для внедрения "троянов" в ней не обнаружено. Плюс поставить хороший антивирус. Он хоть и не панацея, но позволит выловить старые либо не очень хорошо сделанные вирусы. И по возможности не используйте Internet Explorer и Microsoft Outlook для веб-серфинга и получения электронной почты соответственно, поскольку большинство "троянов" пишутся под "дыры" именно этих программ. Наконец, при выборе обслуживающего банка не забывайте об упомянутой двухфакторной аутентификации — это неплохой критерий.
Надо сказать, что в статье описаны лишь самые распространенные способы мошенничества. Головы у электронных злоумышленников хорошие, и они постоянно придумывают что-то новое. В заключение информация к размышлению. На одном кардерском форуме недавно за $100 продавался 600-страничный анализ систем предупреждения мошенничества, применяемых финансовыми учреждениями, в том числе в интернете. Документ ценой несколько десятков тысяч долларов хакеры стащили из консалтинговой конторы — это был заказ одного из крупнейших американских банков.
Алексей Требушной: "Необходимо контролировать свой банковский счет через SMS-сервис"
Павел Шевчук: "Будьте осторожны, когда выходите в сеть из публичного места"
Елена Биндусова: "Сотрудники банка никогда не пересылают в открытом виде информацию с данными карт"
Роман Воробьев: "Должно вызывать подозрение, если в письме просят подтвердить пароль"