Киберпреступники перешли на пластиковые карты

Доходы киберпиратов только в России приблизились к полумиллиарду долларов, и это только начало

Остап Бендер, как известно, знал четыреста сравнительно легальных способов отъема денег у доверчивых граждан. С появлением безналичных платежей этих способов стало значительно больше. Еще тридцать лет назад ничего не значащие понятия «киберпреступники» и «киберпираты» теперь плотно вошли в нашу жизнь. Более того, киберпреступность в наши дни приобрела масштаб эпидемии.

Подсчитано, что около трети утечек с банковских карт в банках, розничных магазинах и процессинговых центрах касается платежных данных. Такие данные опубликовала компания Infowatch (бывшая «дочка» «Лаборатории Касперского»). По числу утечек Россия занимает почетное третье место в тройке лидеров. Первые две позиции делят между собой США и Великобритания.

Согласно оценкам разработчика антивирусного программного обеспечения компании McAfee, цена одной записи о кредитной карте не так уж велика и колеблется от 15 до 200 долларов. А вот общие доходы киберпреступников превышают миллионы долларов: только в России они оцениваются в 446 миллионов долларов. Такие данные приводит компания Group-IB.

Главная цель киберпреступников – уязвимость. Это качество, как известно, присуще магазинам: именно они обладают гораздо большим объемом плохо защищенных платежных данных. Ретейлеры являются лидерами по утечке данных среди коллег – банков и процессинговых центров. Так, доля утечки у ретейлеров составляет 50%, у банков этот показатель находится на отметке 29%, а через процессинговые центры – 31%.

Тем не менее наибольшую активность среди киберпреступности эксперты связывают с развитием интернет-торговли. Для оплаты услуг или товаров через интернет необходимо ввести полный набор данных, указанных на карте, а именно номер карты, инициалы держателя, срок окончания действия карты и код проверки подлинности карты платежной системы CVV. Любой, кто знает эти сведения, может провести платеж с карты, чьи сведения им вводятся. Соответственно, если эти сведения становятся известны и сохраняются (например, фотографируются или просто записываются), владелец карты рискует потерять все свои средства.

«Достаточно для сохранности средств сделать недоступным один элемент данных карты – например, закрасить обычным канцелярским штрихом код CVV карты. Лицо, не знающее этого кода, платеж никогда не проведет», – рассказывает начальник юридического департамента «Ланта-Банка» Дмитрий Шевченко.

Часть ретейлеров агрегируют CVC-код для онлайн-платежей и PIN-код. И это вопреки запрету на их хранение после авторизации.

Правда, проблемы с защитой платежных данных чаще возникают у небольших ретейлеров, которые не видят в этом никакой необходимости. Однако законодательные санкции, применяемые к платежному рынку последние два года, заставляют ретейлеров подстраиваться под требования Закона «О персональных данных».

Банки и процессинговые центры, не в пример ретейлерам, к проблеме сохранности данных относятся более серьезно. Доля случайных утечек у них не превышает 20%. В то же время доля злонамеренных операций с участием сотрудников достигает 75% у процессинговых компаний и 68% у банков. Побороть проблему внутреннего «слива» не удается ни тем, ни другим.

Часть банков пытается бороться с этой проблемой путем разделения функции по обработке платежных данных между разными сотрудниками.

Со своей стороны, эквайринговые компании, предоставляющие ретейлерам возможность проводить безналичные расчеты, обеспечивают и гарантируют работы системы, при которой у ретейлера не остается платежных данных клиентов. В то же время огромное значение имеет вопрос о добросовестности самих сотрудников магазинов. Дать гарантию, что продавец не «прокатает» карту через другое устройство, которое сохранит конфиденциальные данные, банк-эквайер, конечно, не может.

Есть и другие способы «отъема» денег, используемые киберпиратами. Многие слышали о «механическом» способе кражи данных и впоследствии денежных средств – скимминге. Если точнее, это создание карты-двойника с использованием данных о реально существующей карте.

Примеров скимминга – масса. Не так давно в Москве были обнаружены устройства, имитирующие банкоматы. На них был нанесен логотип не существующего в природе банка. На стикере банкомата-грабителя были указания о том, что принимаются карты платежных систем VISA, MasterCard и AmEX.

«Визуально банкоматы были подключены к сети и реально «работали», – говорит директор московского филиала КБ «Энерготрансбанк» Павел Сакадынский. – После обработки пластиковой карты и запроса о выдаче денег или производства какой-либо операции на экране появлялось сообщение об отказе в обслуживании». Информация о таких запросах по Сети, конечно, не отправлялась, поэтому сведений о такой «операции» нет ни у эмитента, ни в платежной системе. Устройства использовались мошенниками для получения доступа к счетам граждан и списывания с них денег, поясняет представитель банка.

Главная загвоздка в том, что отследить киберпреступников очень сложно. Этим должно заниматься отдельное подразделение полиции, так как борьба с подобными преступниками требует определенных технологий, навыков и информации, говорит аналитик компании «Альпари» Анна Кокорева. По ее словам, «в России случаев, когда киберпреступники понесли ответственность, немного по причине несовершенства законодательства, а также из-за трудностей поиска таких мошенников».

Кибермошенники могут находиться даже за пределами РФ, тогда как преступления совершаются на российской территории. В связи с этим могут возникать проблемы как с законодательными базами обеих стран, так и с преследованием преступников. Как отмечают эксперты, организациям проще обеспечить высокую информационную безопасность и потратить на это определенную сумму денег, чем поймать злоумышленника.

По мнению экспертов, борьба с киберпиратами должна идти с трех сторон и объединять усилия клиентов, банкиров и правоохранительных органов.

«Клиентам необходимо использовать максимальный объем инструментов для защиты своих данных: антивирусы на компьютерах, оповещение по СМС о всех операциях, неиспользование реквизитов карты на неизвестных и незащищенных сайтах, использование виртуальных карт», – говорит аналитик «Инвесткафе» Михаил Кузьмин. Банки, в свою очередь, должны не допускать мошенничества со стороны своих сотрудников: для этого необходимы более строгий контроль и снижение доступа к конфиденциальной информации у большого количества сотрудников. Правоохранительным органам же необходимо перенимать опыт зарубежных коллег, которые более успешны в поимке киберпиратов, по выявлению преступлений и нахождению виновных лиц, считает эксперт.

С недавних пор борьбой с киберпреступниками занимается Управление «К» МВД России, а также специальные подразделения ФСБ РФ. «В составе данного подразделения зачастую служат хакеры, вставшие на путь исправления. Убежден, что для борьбы с киберпреступностью прекрасно подходят механизмы ГЧП, и многие государства привлекают для данной работы производителей антивирусного обеспечения и частных специалистов в области информационной безопасности», – отмечает партнер адвокатского бюро «Коблев и партнеры» Кирилл Бельский. Кроме того, на международном уровне Россия является одним из активных инициаторов создания концепции Конвенции ООН об обеспечении международной информационной безопасности, которая, возможно, будет подписана уже в 2014 году, добавляет юрист.

Впрочем, в бесконечной войне с киберпреступниками пока нет ни победителей, ни побежденных, а значит, держателям карт всегда нужно быть начеку. Некоторых ошибок можно избежать еще на стадии выбора карты. «При выборе карты для платежей во Всемирной паутине лучше всего выбирать такой продукт, который позволит быстро (например, через интернет-банк) переводить необходимую сумму средств с основного счета на карточный, – поясняет эксперт банка «БКС Премьер» Антон Шабанов. – Тогда на карте, которая «засвечена» на различных сайтах, всегда будет нулевой остаток. Кроме того, при вводе данных карты для оплаты в Сети важно убедиться в том, что используется защищенное SSL- или TLS-соединение (использование протокола https://). Сайты, начинающиеся с «http://», являются незащищенными. Осуществляйте покупки только на тех сайтах, в надежности которых вы уверены».