Мудрый Экономист

Предупреждение преступлений, совершаемых с использованием банковских карт

"Расчеты и операционная работа в коммерческом банке", 2011, N 3

В последнее время широкое распространение среди населения получили безналичные способы платежей, особое место среди которых занимают операции, осуществляемые с помощью электронных банковских карт. Между тем удобство использования пластиковых карт, обеспечивая их популярность, одновременно является элементом их уязвимости к противоправным посягательствам на счета клиентов кредитных организаций. Как уберечься от хищений со счетов держателей платежных карт? На что необходимо обращать особое внимание при оборудовании банкоматов?

Противоположность интересов

Располагая мгновенным доступом к банковским счетам, держатели пластиковых карт могут совершать множество банковских операций, таких как перевод денежных средств, снятие наличности, осуществление покупок товаров, оплата услуг, кредитов, штрафов, коммунальных платежей.

Проблемы безопасности электронных платежей признаются на высшем государственном уровне.

Как было отмечено в Стратегии развития банковского сектора Российской Федерации на период до 2015 года (далее - Стратегия) (Приложение к Заявлению Правительства Российской Федерации и Центрального банка Российской Федерации от 05.04.2011), мошенничество пока продолжает оставаться весьма распространенным явлением, с которым приходится сталкиваться как самим банкам, так и регуляторам <1>.

<1> Заявление Правительства РФ N 1472п-П13, ЦБ РФ N 01-001/1280 от 05.04.2011 "О Стратегии развития банковского сектора Российской Федерации на период до 2015 года".

Действительно, по данным МВД России, за последние годы отмечено резкое увеличение количества фактов мошенничества с применением поддельных кредитных либо расчетных карт с 14 преступлений в 2009 г. до 103 в 2010 г. При этом в 5 раз увеличилась сумма ущерба, причиненного в результате совершения указанных преступлений (2009 г. - 0,615 млн руб., 2010 г. - 3203 млн руб.) <1>.

<1> По данным ГИАЦ МВД России (разд. 5 ф-050 за 2009 и 2010 гг.).

Кроме этого, эксперты утверждают, что на практике указанных преступлений совершается гораздо больше, поскольку они, как правило, носят латентный характер <2>.

<2> Алексеев Ю.Ф., Доронин А.М. О некоторых вопросах расследования преступлений, совершаемых с использованием платежных карт в России // Информационный бюллетень Следственного комитета при МВД России N 4 (146). М., 2010. С. 127.

Об этом свидетельствуют убытки платежных систем от хищений, совершаемых при помощи платежных карт, например, в 2009 г. в России в сфере оборота банковских карт убытки составили порядка 1 млрд руб., что на 30% больше, чем в 2008 г. <3>.

<3> По материалам выступления представителя ОАО "Газпромбанк" Н.П. Пятиизбянцева на семинаре "Пластиковые карты: Виды мошенничества с пластиковыми картами. Безопасность пластиковых карт" (29 мая 2010 г., Институт банковского дела АРБ, Москва).

Недостатки в деятельности кредитных организаций снижают авторитет банковского сообщества и уровень доверия к банковскому сектору, ухудшают возможности привлечения банками инвестиций.

В связи с этим в Стратегии отмечается, что наличие нерешенных проблем обусловливает необходимость дополнительных усилий со стороны правительства РФ и Банка России в целях дальнейшего развития банковского сектора, направленного на качественные изменения в деятельности банков.

Таким образом, предупреждение преступлений, совершаемых с использованием банковских карт в России, является общей задачей государства и банковских учреждений, без решения которой невозможно дальнейшее успешное развитие электронных платежей.

Интерес преступников к банковским платежным картам определяется тем обстоятельством, что они являются электронным ключом удаленного доступа к банковскому счету клиента. То есть для снятия наличных денежных средств, размещаемых на банковском счете или предоставляемых в кредит, держателю карты не обязательно лично посещать банк, в котором открыт счет, достаточно использовать банкомат.

В случае если преступникам становятся известны пароль (ПИН), номер карты и другие личные данные о карте и ее владельце, они могут осуществить несанкционированный дистанционный доступ к банковским денежным средствам. В этом случае наступают неблагоприятные последствия как для держателя карты, так и банка-эквайрера.

На первый взгляд именно держателю карты приходится иметь дело с большей частью негативных последствий в случае несанкционированного доступа к его банковскому счету, но это не совсем так.

Для банка в данном случае важны не столько прямые материальные потери от несанкционированного доступа, сколько косвенные убытки, выраженные в снижении доверия клиентов к банку, особенно в случае попадания данных фактов в средства массовой информации (имиджевые потери).

Кроме банков и их клиентов, потерпевшими от электронных преступлений являются эмитенты пластиковых карт, так как мошенничество снижает уровень доверия к электронным средствам платежа.

Квалификация хищений с использованием банковских карт

Хищения, связанные с банковскими картами, могут быть классифицированы следующим образом.

I. Хищения, совершаемые при помощи подлинных платежных карт.

Их особенностью является то, что при совершении преступлений злоумышленникам известен ПИН владельца карты. Самыми распространенными способами совершения указанных видов преступлений являются следующие:

  1. Так называемая ливанская петля. Данный вид преступления совершается в несколько этапов, а именно:

Специальное приспособление преступников "ливанская петля" Рис. 1

Как правило, такие преступления совершаются в ночное время либо в местах, где мобильная связь недоступна, чтобы клиент не смог дозвониться в сервисную службу, и после того, как владелец карты уходит, преступник извлекает устройство вместе с его банковской картой и с помощью этого же банкомата присваивает все денежные средства, находящиеся на счете клиента банка.

  1. Подглядывание значения ПИН при его введении в банкомат держателем карты. Узнав ПИН, злоумышленники пытаются завладеть картой, как правило, с помощью карманной кражи либо грабежа.
  2. Снятие денежных средств при помощи украденной либо утерянной карты. Подобное возможно, когда ПИН либо нанесен владельцем на самой карте, либо написан на бумажке и хранится вместе с картой в бумажнике или сумочке, либо внесен в записную книжку телефона, и эти предметы одновременно оказались у преступников.
  3. Несанкционированное снятие денежных средств при помощи карты, принадлежащей владельцу, доверившему ее третьему лицу для проведения операций.

II. Хищения, совершаемые при помощи поддельных платежных карт.

Для совершения указанных видов преступлений злоумышленникам не требуется банковская карта владельца. Достаточно знать данные с магнитной полосы и ПИН карты. В настоящее время для получения данных о платежной карте преступниками применяются современные технические средства. Например, могут использоваться:

  1. поддельные банкоматы, в которых установлены устройства, считывающие реквизиты банковской карты и записывающие ПИНа;
  2. настоящие банкоматы - с целью получения информации о платежной карте. При этом преступниками устанавливаются на банкомате следующие технические устройства:

а) предназначенные для снятия информации с магнитной полосы платежной карты:

б) необходимые для определения ПИН:

<1> Скиммеры несложно купить в Интернете. Объявления об их продаже часто появляются в сети.

Самый распространенный скиммер Рис. 2 Банкомат с установленным скиммером и без него Рис. 3 Накладная клавиатура Рис. 4 Видеокамера, замаскированная в лотке для рекламы Рис. 5

После получения информации с магнитной полосы и значения ПИН преступники изготавливают поддельную платежную карту, реквизиты которой полностью повторяют реквизиты реальной платежной карты, выпущенной эмитентом, и снимают деньги при помощи официальных банкоматов;

  1. новые способы завладения денежными средствами из банкоматов, такие как применение вредоносного программного обеспечения, которое устанавливается на жесткий диск компьютера, осуществляющего управление банкоматом.

Рассмотрим механизм преступления с применением вредоносного программного обеспечения, используемого для хищения денежных средств из банкоматов, управляемых компьютером с установленной на нем операционной системой Windows XP.

Этапы данного преступления могут быть следующими:

а) разработка (самостоятельно или с помощью соучастников) вредоносного программного обеспечения, позволяющего получать команды с помощью пластиковых карт, а также управлять действиями банкомата при наборе определенных команд;

б) вскрытие корпуса банкомата с целью обеспечить доступ к компьютеру, управляющему банкоматом. Как правило, корпус банкомата, защищающий доступ к компьютеру, оснащен несложным замком (например, почтовым) в отличие от пространства банкомата, содержащего денежные кассеты, которое защищается бронированным металлом и несколькими замками. Эту процедуру мошенники осуществляют, замаскировавшись под работников сервис-центра;

в) подключение миниатюрной клавиатуры, которую злоумышленники приносят с собой;

г) установка флэш-накопителя с вредоносной программой в USB-разъем указанного компьютера, после чего файловым менеджером операционной системы банкомата разрешается доступ флэш-накопителя к корневому каталогу USB;

д) запуск вредоносной программы, в результате чего в директории "c:windows" создается файл, например "ss1.exe", дата и время создания которого соответствуют дате и времени запуска программы, что позволяет обеспечить автоматический запуск программы "c:windowsss1.exe" при каждой перезагрузке компьютера банкомата.

Программа функционирует, не требуя каких-либо дальнейших действий от запустившего ее пользователя. Выполнение программы заканчивается без признаков аварийного завершения в банкомате;

е) закрытие банкомата злоумышленниками, после чего они на некоторое время скрываются.

Через некоторое время преступники возвращаются к банкомату под видом клиентов и вставляют поддельную пластиковую карту с заранее зашифрованным кодом на треке N 2 карты. Далее через стандартную клавиатуру банкомата ими вводится ряд заранее определенных команд, который активизирует работу вредоносной программы. Таким образом они получают доступ к управлению банкоматом путем введения других команд.

При активации файла, установленного на компьютер с помощью подложной банковской карты, преступник получает доступ к денежным средствам, заряженным в банкомат. Он набирает заранее определенные им команды, и банкомат выдает денежные средства нужного преступнику номинала.

Далее осуществляется набор команды, удаляющей файл из памяти жесткого диска компьютера, производится извлечение подложной банковской карты, после чего преступники удаляются с денежными средствами.

III. Хищения, совершаемые через предприятия торговли, принимающие банковские карты в качестве средства платежа.

Для осуществления указанных преступлений используются следующие приемы:

  1. При помощи POS-терминала работником предприятия торговли делается более одной проводки платежной карты для подготовки других платежных документов или увеличения суммы в платежном документе, подписанном клиентом.
  2. Метод повторения электронных слипов. Он отличается от предыдущего метода тем, что осуществляется с использованием электронного терминала. Этот метод особенно распространен при ручном вводе реквизитов карты.
  3. Перехват счета магазина. В этом случае мошенники от имени торгового предприятия извещают банк об изменении расчетного счета для перечисления средств по совершенным операциям.
  4. Использование отчетности легально существующего торгового предприятия. Этот метод заключается в совершении одним торговым предприятием, которое не имеет договора с банком о приеме карт, операций от имени другого торгового предприятия (у которого заключен договор с банком о приеме карт к оплате). В случае если первое предприятие является специально созданным для незаконного получения денежных средств, на его счета будут перечислены средства за все совершенные им операции от "реального" (второго) предприятия, которому обслуживающий банк впоследствии предъявит претензии на сумму этих операций. По данным платежной системы Visa International, средние потери "реального" предприятия составляют порядка 500 тыс. долл. США <1>.
<1> Пугачев К.Б. Разработка механизмов повышения безопасности и качества оказания услуг с использованием банковских карт: Дис. ... канд. экон. наук. М., 2008. С. 42 - 44.

IV. Хищения, совершаемые со счетов держателей платежных карт без фактического использования банковской карты.

Такого рода хищения возможны при проведении CNP-транзакций (транзакции Card Not Present) - операций с "карточными" счетами клиентов банков посредством применения реквизитов платежных карт, но без их фактического использования.

Для совершения мошенничества в случае CNP-транзакции достаточно знать дополнительный код безопасности карты. Поэтому все CNP-транзакции обязательно выполняются в режиме реального времени.

Кража персональных данных клиентов с целью их использования для совершения мошеннических операций отличается от рассмотренных выше видов мошенничества тем, что данные не крадутся непосредственно с карты.

Защита информации и меры борьбы с хищениями

С целью предупреждения указанных выше хищений финансово-кредитными учреждениями осуществляется комплекс мероприятий. Вместе с тем без участия государства этот процесс не будет эффективным.

В связи с этим Правительство РФ и Банк России предусматривают комплекс мероприятий <1>, включающий в себя обеспечение формирования нормативной базы, а также общих условий для применения в банковской деятельности новейших информационных технологий, в том числе технологий дистанционного банковского обслуживания, средств автоматизации кассовых операций, электронных средств платежа и электронной обработки платежной информации, на основе развития конкуренции и внедрения инноваций в сфере высокотехнологичных банковских продуктов при соответствующем государственном регулировании и контроле.

<1> Заявление Правительства РФ N 1472п-П13, ЦБ РФ N 01-001/1280 от 05.04.2011 "О Стратегии развития банковского сектора Российской Федерации на период до 2015 года".

Правительством РФ отмечается, что развитие передовых технологий ставит на повестку дня вопросы обеспечения надежности функционирования банковских автоматизированных систем и их информационной безопасности. Важным направлением деятельности кредитных организаций должны стать обеспечение защиты информации, выявление рисков, имеющих технический и технологический характер <2>.

<2> Там же.

Субъектов, участвующих в предупреждении преступлений, связанных с банковскими платежными картами, и меры предупреждения, принимаемые ими, возможно классифицировать следующим образом:

  1. государственные органы и учреждения;
  2. Правительство РФ;
  3. Минфин России, Федеральная налоговая служба, Минэкономразвития России и другие министерства и ведомства;
  4. Банк России;
  5. правоохранительные органы, в том числе Прокуратура РФ, МВД России, ФСБ России.

Основной функцией указанных органов в рассматриваемой сфере является осуществление нормативно-правового регулирования финансово-кредитных отношений, а также выполнение контрольно-надзорных функций.

В этой части следует отметить, что до сих пор существует ряд законодательно неурегулированных вопросов, что является фактором, детерминирующим совершение преступлений с использованием электронных банковских карт.

В частности, остро стоит вопрос о необходимости внесения изменений в Уголовный кодекс Российской Федерации в части установления ответственности для лиц, осуществляющих незаконное изготовление всех платежных банковских карт (не только расчетных, кредитных, но и предоплаченных карт) независимо от наличия цели сбыта.

Так, в настоящее время для наступления ответственности по ст. 187 УК РФ обязательным условием является доказанная в установленном порядке цель сбыта у лица, осуществившего незаконное изготовление кредитных либо расчетных карт. Более того, буквальное толкование ст. 187 УК РФ не позволяет говорить о том, что предоплаченные карты являются предметом указанного преступления, так как не являются платежным документом. Предоплаченная карта, наряду с кредитными и расчетными картами, - это электронный ключ доступа к банковскому счету клиента.

Эффективной мерой борьбы с международными преступными сообществами, специализирующимися на хищениях в сфере электронных расчетов и платежей, может стать создание в структуре Интерпола специализированных подразделений полиции, осуществляющих мониторинг и выявление данных преступных сообществ, а также способных мгновенно реагировать на факты преступных проявлений.

I. Финансово-кредитные учреждения (коммерческие банки и их службы безопасности).

Указанные учреждения и организации являются ключевым элементом системы предупреждения хищений, совершаемых с использованием банковских карт, так как ими осуществляется на практике весь комплекс организационно-практических мер, направленных на снижение рисков от противоправных посягательств.

В данном случае основными мерами будут являться:

а) обеспечение информационной безопасности. Установление в финансовом учреждении внутренними нормативными актами и инструкциями режима сохранения банковской и коммерческой тайны. Также эффективной мерой будет объединение всех банкоматов одного банка в единую информационно-телекоммуникационную сеть с выводом на сервер, фиксирующий все случаи несанкционированного физического доступа к технической части банкомата, перевода банкомата в режим Out off Service, а также концентрирующий информацию об установке каких-либо файлов или программ на жесткий диск компьютера, обеспечивающего работу банкомата;

б) обеспечение технической безопасности. Мероприятия по предотвращению незаконного доступа к информационным банковским системам, программному обеспечению, компьютерам, банкоматам и другим электронно-техническим устройствам. Включают в себя использование лицензионных операционных и антивирусных систем, их своевременное обновление, применение элементов криптографии и шифрования, установление парольного доступа для всех допущенных к системам пользователей и еженедельную смену паролей, определение уровней доступа для пользователей к банковским информационным системам и базам данных.

Эффективной защитной мерой является встройка банкоматов в стены помещений с целью обеспечить доступ к технической части банкомата через служебное помещение, расположенное внутри здания и огражденное от посторонних лиц дополнительными дверями. Это также позволяет снизить риски хищений самих банкоматов.

Полезным мероприятием является оборудование помещений, где располагаются банкоматы, видеокамерами.

Одним из способов предотвращения установки скиммеров является оборудование банкоматов антискимминговыми устройствами. Данная практика применяется в Европе уже давно, в России установку антискиммеров начали проводить намного позже. Антискиммер - накладка на приемную щель банкомата, которая препятствует установке скиммера (рис. 6).

Банкомат, оснащенный антискиммером и его изображением Рис. 6

Наряду с этим для предотвращения хищений с использованием пластиковых карт рекомендуется:

в) обеспечение внутренней безопасности банка - за счет тщательного изучения кандидатов на работу в банк, периодических проверок ведущих специалистов банка с целью раннего выявления признаков готовящегося либо совершаемого противоправного посягательства, отработка заявлений и жалоб клиентов, которые могут содержать информацию о противоправных действиях в отношении их самих или банка.

II. Эмитенты пластиковых карт (Visa, MasterCard и др.).

Самым эффективным способом предотвращения преступлений с платежными картами с магнитной полосой является переход эмитентов пластиковых карт на чипирование платежных карт и отказ от карт с магнитной полосой.

Магнитная полоса более не способна обеспечить достаточную безопасность и конфиденциальность данных о владельце карты. Как только преступные элементы обнаружили, насколько легко магнитная полоса карты поддается копированию, объемы хищений стали стремительно расти.

Ограниченные возможности систем безопасности карт с магнитной полосой не только могут вызвать потерю чувствительной информации (и повлечь финансовые потери), но и препятствуют использованию карты как носителя нескольких финансовых приложений.

Смарт-карты надежно и безопасно хранят информацию и в ходе транзакции позволяют выполнять проверки.

III. Иные организации, участвующие в аутсорсинге коммерческих банков:

  1. юридические лица, осуществляющие техническую и программную поддержку работы банкоматов, банковских информационных систем;
  2. службы инкассации, частные охранные предприятия. В функции последних, кроме прочего, входят внедрение современных информационных систем безопасности и оборудование банкоматов дополнительными замками, системами доступа. Инкассаторам следует проводить физический осмотр банкоматов на предмет наличия инородных предметов, повреждений и т.д.

IV. Клиенты коммерческих банков - держатели пластиковых карт.

Для предотвращения случаев незаконного использования банковских карт банкам необходимо доводить до сведения клиентов, использующих банкоматы, следующие основные правила:

Банки должны информировать клиентов, что доступ в помещения банков, в которых установлены банкоматы, осуществляется без предъявления или ввода ПИН. Если клиенту стало известно о наличии устройства доступа, требующего ввода пин-кода, необходимо сообщать об этом сотрудникам ближайшего подразделения банка. При этом клиенту следует не вводить пин-код в устройства доступа в помещения.

Кредитным организациям рекомендуется рассмотреть вопрос о включении отдельных правил, перечисленных выше, в типовые договоры об использовании банковских карт клиентами в качестве обязательных.

Д.Н.Иконников

Инспектор по особым поручениям

лицензионно-разрешительное управление

ДООП МВД России