«Чип — лучшая защита от скимминга» - «Интервью»
Леонид Храмцов
технический директор компании «Рико»
Скимминговые устройства, ворующие деньги с пластика, стали настолько совершенны, что не каждый специалист может их распознать на банкомате. Банки пытаются противодействовать мошенникам с помощью антискимминговых устройств, но не всегда успешно.
Технический директор компании «Рико» Леонид ХРАМЦОВ рассказал порталу Банки.ру, где чаще всего промышляют ловцы денег с чужих карт и как защитить свои деньги от мошенников.
— Как возросло количество мошеннических операций с помощью скимминговых устройств за последние годы?
— Точной статистики не приведу, но абсолютно точно можно сказать, что за последние два года количество мошеннических операций с использованием скимминговых устройств возросло в разы. Эта проблема стала настолько очевидной, что теперь уже ни один крупный банк не может ее игнорировать. Сейчас количество скимминговых устройств значительно выросло на российском рынке. Как правило, данные устройства «обкатываются» в Европе, а в Россию поступают готовые решения. В основном их производят в Китае, весь товар можно увидеть в Интернете, на определенных сайтах. Банки сейчас стали более активно оснащать устройства самообслуживания антискимминговыми устройствами.
— Бытует мнение, что неподготовленный человек не сможет увидеть скимминговое устройство на банкомате…
— Более того, даже специалисты не всегда могут отличить обычный банкомат от оборудованного скимминговым устройством.
— Как выглядят современные скимминговые устройства?
— Они состоят из двух частей: миниатюрной камеры, которая фиксирует комбинацию ПИН-кода, вводимого на клавиатуре, и накладки на картоприемник. Накладка создается из точно такого же пластика, полностью повторяя геометрию штатной накладки, это самая дорогая часть устройства (см. рисунок 1). Комплект электродеталей, используемых в накладке для считывания информации с магнитной полосы, недорогой. Готовое устройство стоит примерно 2—3 тысячи евро, устанавливается на банкомат за несколько секунд. Так же быстро его можно снять.
Чаще всего используются скимминговые устройства, повторяющие геометрию штатной накладки, но встречаются и такие случаи, когда мошенники используют саму штатную накладку (см. рисунок 2). То есть сначала она воруется с обычного АТМ, оснащается всеми необходимыми электронными элементами, а потом ее устанавливают на понравившийся банкомат такой же серии вместо штатной накладки. Раньше, лет 10—15 назад, скимминг никак не маскировали. Никто не знал, что это такое. Устройство представляло собой коробочку, которая просто ставилась перед устройством чтения карт. Когда скимминг приобрел массовый характер, производители банкоматов сделали антискимминговую накладку, которая препятствовала установке данных устройств. С тех пор технологии шагнули далеко вперед и стали более доступны. Сейчас деньги берутся именно за идеальные формы скимминговой накладки, благодаря которым стало возможно ее быстрое и незаметное размещение на АТМ.
— Каков принцип работы скиммингового устройства?
— Принцип действия простой. Устанавливается скимминговая накладка на устройство чтения карт, клиент вставляет карту, с магнитной полосы записывается вся необходимая информация, камера «подсматривает» ПИН-код либо ПИН-код «пишется» с помощью накладки на клавиатуру (устаревший метод). Затем эти данные расшифровываются, делается дубликат карты («белый пластик»), с его помощью деньги снимаются в любом банкомате. Многие клиенты не следуют инструкциям по безопасности, хотя куда уж проще просто рукой прикрыть ПИН-клавиатуру во время ввода ПИН-кода. А это реальная возможность защитить себя от скимминга, даже в том случае, когда данные с карты сворованы. Также необходимо подключать услугу СМС-информирования, чтобы всегда знать о действиях, производимых по карте, и иметь возможность быстро отреагировать в случае мошеннических действий.
— Данные передаются дистанционно или нужно снять устройство с банкомата и переписать с него полученную информацию?
— Раньше существовали скимминговые устройства, которые могли передавать данные дистанционно, но время их размещения на АТМ было достаточно коротким, так как батарея быстро садилась. В последнее время используются устройства, которые записывают информацию в свою память. Для получения этой информации необходимо снять устройство с банкомата и переписать данные. В зависимости от поставленных задач скимминговое устройство может прожить на банкомате от нескольких часов до нескольких дней.
— Скимминговые устройства воруют данные с магнитной полосы. Научились ли скиммеры «писать» данные с чипа?
— Чиповая карта — это способ навсегда забыть про скимминг в нынешнем виде. Дело в том, что банкомат должен проводить операции по чиповой карте, используя чип. Мошенник, скопировавший чиповую карту на «белый пластик», не сможет ею воспользоваться, так как операции, проводимые по магнитной полосе, будут отклоняться. Если банкомат какого-либо банка не поддерживает микропроцессорную технологию и проводит операцию по чиповой карте, используя только магнитную полосу, то ответственность за возмещение денежных средств ложится на плечи этого банка.
Ходили слухи, что есть уже какие-то наработки или даже готовые устройства, которые могут копировать чип. Но «вживую» я их пока не видел. Более того, я сомневаюсь, что эти устройства можно использовать в банкомате. Если они действительно существуют, то, скорее всего, их будут использовать при оплате с использованием POS-терминалов (кафе, магазины и так далее), когда у мошенников будет доступ к чиповой карте на какое-то время.
— Где чаще всего устанавливают скимминговые устройства?
— В зонах свободного доступа (метро, торговые центры, маленькие магазины и тому подобное), зонах круглосуточного обслуживания (дополнительные офисы банков) и на уличных банкоматах. Мошенников порой не пугает наличие сотрудников безопасности и камер наружного наблюдения. Устройство может быть установлено на очень короткое время. Этого вполне достаточно при условии большой проходимости. К примеру, при условии большой проходимости за 15—20 минут можно скопировать десятки карт.
— Есть еще скимминговые устройства, которые используются в торговых точках, таких как кафе или магазины. Как от них защититься?
— Мошенничество с использованием POS-терминалов имеет место быть, но его нельзя отнести к скиммингу, поскольку скимминг — это вид мошенничества с пластиковыми картами с использованием специальных считывающих устройств. В случаях кражи данных в торговых точках мошенники используют данные, которые нанесены на карту, такие как тип карты, номер карты, Ф. И. О., срок действия и код CVC. Позднее эти данные используются для оплаты товаров и услуг через Интернет. Но данный вид мошенничества не носит массового характера, потому что достаточно легко вычисляется. Для защиты необходимо, как я и говорил ранее, подключать услугу СМС-информирования и при оплате стараться не упускать карту из вида. В последнее время в торговых точках все чаще можно увидеть мобильные POS-терминалы, так как их приобретение обходится дешевле владельцу, чем санкции, применяемые к торговой точке, в которой был зафиксирован случай кражи данных.
— Как работают антискимминговые устройства?
— В России в основном представлены активные устройства, то есть те, у которых есть какие-то электронные компоненты. Например, датчики (оптические или реагирующие на металл), определяющие наличие инородного предмета возле устройства чтения карт. Предполагается, что, обнаружив мошенническое устройство, банкомат либо временно выйдет из режима обслуживания, либо отключится до приезда сотрудника банка. Также активные антискимминговые устройства могут быть оборудованы антенной, которая размещается вокруг приемника и посылает помехи во время вставливания карты, таким образом мешая скимминговому устройству скопировать данные с магнитной полосы. Но сейчас с этим методом защиты достаточно просто справляются злоумышленники. Уже известны случаи как в Европе, так и в России, когда банкоматы, оборудованные активными системами защиты, подвергались успешным атакам скиммеров.
— Сколько они стоят?
— Средняя цена активных антискимминговых устройств достигает 40 тысяч рублей за одно устройство.
— А ваши устройства?
— Наши устройства стоят на порядок дешевле. Условия индивидуальные для каждого банка. Причем мы не делаем какие-то массовые партии по 100 тысяч штук, по 10 тысяч штук. Например, для ВТБ 24 это была уникальная партия с определенной геометрией, которая больше повторяться не будет. В наших устройствах нет электронных компонентов. Идея проста — мы создали безопасную накладку на банкомат, геометрия которой не оставит мошенникам возможности поставить туда свое устройство (см. рисунок 3). Почему раньше такие не выпускалось, сказать сложно. Возможно, потому, что большие компании очень неповоротливые.
Мы собрали данные о представленных на российском рынке устройствах защиты от скимминга, изучили скимминговые устройства, совещались с сотрудниками безопасности банков. И на основании изученных данных, путем экспериментов сделали свое устройство, которое не является активным. В то же время, по оценке наших клиентов, устройство более эффективно в предотвращении мошенничества, чем другие.
Установка существующих скимминговых устройств поверх нашей накладки невозможна. Также исключается размещение электронных элементов внутри, потому что мы используем прозрачный материал. Подмена на скимминговую накладку тоже проблематична, так как используемый материал достаточно прочный, а крепления усилены. Геометрия продумана таким образом, что установка скиммингового устройства поверх накладки приведет к ограничению функционала устройства чтения карт, клиент не сможет забрать свою карту и будет вынужден обратиться в банк. А банк, в свою очередь, быстро выявит причину этого ограничения и предпримет все необходимые действия для обеспечения безопасности клиента и его денежных средств.
— И как скиммеры борются с вашими устройствами?
— Это вопрос экономики. При желании возможно обойти и наше устройство, но проще найти другой банкомат, оборудованный штатной защитой. Это будет менее трудоемко и рискованно. Конечно, мы не заявляем о 100-процентной гарантии. Думаю, если будет поставлена такая задача, то можно найти способ, как удалить или заменить нашу защиту. Но на данный момент это просто нецелесообразно.
Рисунок 1. Накладка создается из точно такого же пластика, полностью повторяя геометрию штатного устройства
Рисунок 2. Иногда мошенники используют саму штатную накладку в качестве скиммингового устройства
Рисунок 3. Безопасные накладки на банкомат, геометрия которых не позволяет мошенникам поставить туда свое устройство
Беседовала Наталья РОМАНОВА,