Сейчас способы получения информации с карт очень разнообразны. Самый простой: поставить в коморке с манимашиной свой сканер. Маленький и незаметный. Есть такие, которые ставятся прямо на щель, в которую вводится карта. Сначала она проходит через сканер фишинга, а потом уползает вглубь машины в законный сканер. Вся информация, включая пин код снимается мгновенно. Или стоит этот шпионский сканер еще где-то снизу, сбоку. Поди – ищи.
Но найти можно. Особенно работникам банка, которые стали проверять свою технику. К тому же все кабины оборудованы телекамерами, могут и засечь того, кто сначала устанавливал, а потом приходил забирать сканер.
Посему перешли на мобильные системы. Например, в кабине стоит человек, занимается своим делом – заполняет какую-то бумагу. А рядом клиент сует свою карту в манимашину. Все – сгорел. Еще проще действовать наводчику в магазине. Стоит за кем-то или просто рядом, покупатели один за другим расплачиваются картами, а у агента в кармане тикает и тикает. Агент может даже сидеть в своей машине рядом с витриной магазина. Совсем уж неприметно и не вызывать подозрений. Часами. И у него там столько информации набежит!
Международная сеть построена как революционные пятерки Нечаева. Первичные агенты знают только своего “старшего”. Друг друга они не знают. Ему они передают чипы со снятой информацией (за каждую карту агенты тут же получают, скажем, по 50 долларов). Пятеро “старших” передают ведущему третьего уровня. Каждый из них тоже получает за каждую карточку. И так до руководителя, который пускает процесс в обратную сторону, но уже совсем с другими мошенниками. Они либо заказывают по номерам кредиток товары, либо по изготовленным клонам карт просто снимают деньги в манимашинах. Причем теперь рыболовы не спешат. Полученные данные карточек выдерживаются пару недель. А то и месяц. Это для того, чтобы стало невозможными отследить, в каком месте была с карты снята информация. Деньги всегда снимаются не в той стране, откуда “родом” карта. Это тоже затрудняет идентификацию преступников.
В случае провала одного из агентов из сети изымается только он и “старший”. В случае провала старшего – только один старший и пять агентов. И то, если старший расколется. Вся сеть остается в целости. Особенно ее самая ценная часть: умельцы по изготовлению клонов и вообще, техническая подсистема.
Банки обеспокоились. Если так дело пойдет и дальше, они лишаться доверия клиентов. А это доверие – главный актив банков. Несколько месяцев назад все крупные банки создали у себя департменты card risk prevention – отделы по предотвращению карточных рисков. Хмм…Звучит как-то уж почти как у Достоевского. Тем не менее вот именно такие отделы. В них работают весьма шустрые “контрагенты”. Стоит ряд компьютеров. Все они заряжены специальными программами на подозрительные транзакции. К ним относятся:
- Все транзакции заграницей.
- Все транзакции с наличностью.
- Все транзакции в онлайне.
- Все транзакции выше 1000 или 2000 долларов (в зависимости от банка).
Любая из этих транзакций дает о себе знать звуковым и световым сигналом. Тут же у монитора контрагент. Он видит, что с такого-то счета снята такая-то сумма. По совокупности признаков ему ясно, что действует бригада аферистов. Карточка немедленно блокируется. Клиент извещается по телефону о нападении.
Впрочем, вот живой пример, произошедший со мной. Рано утром в субботу 26 марта раздается звонок.
-Говорит Юджин из банка. Отдел card risk prevention. Вы такой то?
-Да.
-Вы никуда в эти дни не выезжали?
-Нет.
-Последние четыре цифры номера вашей банковской карты такие-то?
-Да. А в чем дело?
-У вас сегодня ночью со счета в Румынии сняли 500 долларов (больше за один раз снять нельзя, да больше и не было – В.Л.). Деньги сняты по фальшивому дубликату вашей карты. Мы сразу проверили наличие на ваше имя авиабилетов. Их не было. Все стало ясным. Ваша карта была блокирована, а теперь, прямо во время нашего разговора, аннулирована. Вам сегодня же будет послана новая карта. Пожалуйста, сходите сегодня в банк, заполните форму по возврату денег. У вас чистый случай, никаких расследований больше не нужно. Возврат должен произойти в пределах 10 дней, но скорее всего – раньше.
Я так и сделал. Перезвонил Юджину. Поблагодарил за бдительность и оперативность.
- Это наша работа.
Представился подробнее, сказал, что хотел бы написать о всей этой новой ситуации. Спрашиваю:
- Есть ли шанс, что мошенники будут пойманы?
- Это трудно. Мы работаем в тесном содружестве с FBI. Кое-что удается, уже довольно многих поймали. Но все среди низовых мошенников. Сеть очень законспирирована. Не удается выйти на организаторов. На самых главных.
Я поговорил еще и понял, что банки делают все возможное, но техническое и организационное превосходство пока на стороне phishing. Банки страхуют вклады и получают от страховых компаний возмещение убытков от восстановления похищения денег с украденных карточек. Но… сама страховка тоже ведь стоит денег. И чем больше украдут, тем больше расходы на страхование. Эти расходы в конечном итоге раскладываются на клиентов, которым повышают плату за обслуживание и защиту их счетов.
Последнее слово в фишинге – это HOT SPOTS и привязанные к ним EVIL TWINS. HOT SPOTS (дословно – горячие пятна)– это места, в которых стоят wireless routers (устройства для беспроводной связи с интернетом). Например, это сеть кафе Starbucks . Но могут быть также отели, аэропорты и прочие места скопления людей. Таких мест (они еще называются wi-fi) в США сегодня – 22 081. Посетители приходят в кафе со своим ноутбуком и за чашкой кофе и ланчем на столике беспроводным образом подключаются (бесплатно) к сети. Многие из них при этом проверяют почту, отправляют письма в банк, делают транзакции. Рядом с кафе стоит автомашина. В ней – “рыболов”. У него включен тот самый EVIL TWIN – (дословно “дьявольский близнец”). Это тоже раутер, но более мощный, чем в кафе. Этот “близнец дьявола” перешибает своего “брата” в кафе и соединение происходит через него, а не через раутер в кафе. Рыболов видит (точнее - записывает) на своем ноутбуке в машине все, имеющееся в ноутбуке жертвы. Его пароли в системе переводов денег WebMoney или PayPal. Тем более, прямо к рыбаку попадают все операции, которые производит клиент кафе по транзакциям или покупкам в онлайн. А такие покупки и переводы посетители кафе делают очень часто. Понятно, что после этого счет жертвы очень тощает.
В свежей публикации на сайте почты США от 19 марта появилась тревожная статья “ Identity theft is America's fastest-growing crime” (Кража идентичности – самый быстрорастущий вид криминала в США), а в ней такие строки:
Last year alone, more than 9.9 million Americans were victims of identity theft, a crime that cost them roughly $5 billion. (Только за последний год более чем 9,9 миллионов американцев стали жертвами краж их идентичности (это такой эвфемизм – речь идет о похищении данных банковских карт - В.Л.), это преступление обошлось им в 5 миллиардов долларов).
И большинство "рыбаков" остались ненаказанными. Это значит, что они продолжают свою ловлю.
При этом ужасно страдает идея справедливости. Нет ничего хуже для законности, чем безнаказанность преступников. К тому же этот вид преступлений нов, привлекателен для молодых людей своей интеллектуальностью, неким изыском, само собой – большими деньгами. И – совершенной безопасностью их промыслового лова.
Можно ли техническими средствами остановить вал phishing, evil twins и прочих разновидностей любителей ставить переметы и закидывать сети в наши карманы?
Похоже – да. Через год начнется переход на американские паспорта с биометрическими данными владельца. Там будут не только отпечатки пальцев, но и данные по радужной оболочке глаза владельца паспорта. Мне кажется, в биоданных выход из положения.
Следует эти же данные вносить в банковские карты. Но этого мало. Конечно, карту и биоданными, закодированными на карте, мошенникам будет изготовить труднее, но все равно возможно. Если карточку делают в одном месте (“казенном”), то ее смогут сделать и в другом – в мошенническом. Аферисты купят (или украдут) точно такое же оборудование (как они это делают сейчас со сканерами, раутерами и др.) и наладят производство дубликатов. Поэтому все установки манимашин (а потом и магазинов) следует оснастить идентификаторами владельца. Одной рукой владелец сует карту в щель, вторую кладет на определитель отпечатков пальцев, глазом уставился в объектив вмонтированной перед ним телекамеры. Компьютер производит сравнение данных карты с параметрами живого владельца. И только при полном совпадении выдает деньги. Деньги на все это оборудование понадобятся большие. Опять за наш счет.
Все? Вопрос решен? Это вряд ли. В особо крайних случаях и с особой жесткостью у владельца можно отрубить руку и изъять глаз. И с этими “вещественными доказательствами” получить деньги. Конечно, такое вряд ли возможно, разве что как эксцесс. Но вот подменять устройства для определения пальца и глаза на “свои” – это, точно, смогут.
Так что борьба рыболовов и инспекторов рыбоохраны продолжается.
Автор выражает благодарность работнику банка Юджину, а также Сабирджану Курмаеву, Александру Готхарту, Фатеху Вергасову, Андрею Горлину за стимулирующие дискуссии и присылку важных линков.
Валерий ЛЕБЕДЕВ
|
