Обнаружив внезапное исчезновение той или иной суммы на банковской карте или получив SMS о том, что где-нибудь в Зимбабве только что с нее было снято несколько сотен долларов, вернуть деньги очень сложно. Попробуй, докажи, что это не ты сам их снял и пытаешься облапошить честных банкиров, ведь с точки зрения банка именно ваша карта была вставлена в банкомат и введен ваш пин-код.
Как устроен скиммер?
Скиммер — это устройство-считыватель для банковских карт, состоящий из магнитной головки, управляющей электроники и модуля флеш-памяти. Первые скиммеры появились в 2002 году в Великобритании и выглядели как накладки на картоприемную щель банкомата, приклеиваемые на двухсторонний скотч.
Получалось, что карта, вставляемая в щель, сначала считывалась головкой скиммера, а потом уже головкой банкомата, и дамп данных с магнитной полосы оказывался в руках злоумышленников. Записав этот дамп на «болванку» пластиковой карты (на жаргоне она называется «белым пластиком»), они получали дубликат карты холдера (холдером на жаргоне кардеров именутся жертва — владелец карты).
Итак, карта есть. Но чтобы ей воспользоваться, нужен еще пин-код от нее. Простым перебором его не получить: после трех попыток неправильного ввода карта будет «проглочена» банкоматом и заблокируется, а с трех раз угадать код из 10 тысяч вариантов намного сложнее, чем выиграть в лотерею. Поэтому пин-код считывается прямо в процессе ввода холдером. Для этого может использоваться накладная клавиатура, устанавливаемая поверх обычной, либо, что гораздо чаще, просто видеокамера.
Первые камеры тоже маскировались под накладку и приклеивались прямо на банкомат, сейчас же чаще всего вешают камеру чуть поодаль в помещении рядом — или скрытно, или же, наоборот, явно и на самом видном месте: все думают, что это камера видеонаблюдения.
Порой используют и настоящие камеры наблюдения: известны случаи, когда охранники торговых комплексов и бизнес-центров были «в доле» и направляли камеры так, чтобы в их поле зрения попадали и клавиатуры банкоматов, а затем в конце дня «сливали» записи кому следует. Понять, от какой карты какой пин-код, очень легко, сопоставив время считывания дампа и время ввода на видео.
Имея дубликат карты и пин-код, можно смело идти к любому банкомату и снимать деньги. Сам преступник при этом, естественно, «не палится», выбирая банкоматы в безлюдных местах, используя маски или вовсе подсылая вместо себя бомжа или доверчивого школьника.
Банки защищаются как могут
Скиммеры поначалу были в диковинку и пользователи особенно не интересовались, куда вставляют карту: банкомат же, я тут всегда деньги снимаю! Маскировали устройства очень топорно, поэтому банки начали выпускать инструкции — мол, осмотрите банкомат внимательно, нет ли ничего подозрительного. Подергайте за все, за что можно подергать, поищите глазки камер, поковыряйте клавиши и т.п.
Именно в таком виде эти советы последние десять лет гуляют по интернету, превратившись в эдакое развлекательное чтиво, потому что пользы от них немного, и так топорно, как раньше, никто уже не действует.
Первый этап обороны — это антискиммеры: накладки, установленные на щель самим банком. Их задача — не дать закрепить еще что-либо поверх: любые дополнительные накладки уже настолько удлинят щель, что картоприемный механизм не сможет «засосать» кредитку внутрь.
Сам механизм дополнительно может быть оснащен так называемым «вибромодулем»: при захвате карты он несколько раз дергает карту туда-сюда, и скиммер, если он установлен, считывает дамп некорректно. Вокруг клавиатур устанавливают козырьки, затрудняющие видеосъемку ввода пин-кодов.
Второй этап обороны — это отказ от использования магнитных полос: современные карты все чаще оснащаются чипами, которые на ходу уже не считаешь. Магнитная полоса на них все равно остается, но при этом при наличии чипа на настоящей карте клон по полосе в большинстве банкоматов авторизован не будет: на полосе, помимо прочего, содержится запись о разрешенных способах аутентификации, причем отдельно — для международных операций.
То есть, карта как бы говорит банкомату: «Я чиповая; если ты умеешь считывать чипы — считывай чип, иначе не можешь — дверь никому не открывай».
Мошенники обходят защиту
Впрочем, обойти защиту можно. Например, скиммер можно встроить не только в банкомат, но и в магнитный замок на входе в отделение банка, который закрывает дверь в ночное время. Для справки: эти замки открываются любой магнитной картой, а не только вашей банковской, так что пользуйтесь для этого, например, дисконтной картой супермаркета. Да и для банкоматов скиммеры стали такими компактными, что легко устанавливаются внутрь самого антискиммера.
Кроме того, появились так называемые шиммеры — устройства толщиной с пленку, которые считывают и чиповые карты. Шиммер хитро запихивается в банкомат так, что оказывается «прокладкой» между чипом карты и контактами в картоприемнике.
Помните, были такие адаптеры для двух сим-карт? Принцип тот же, толщина шиммера составляет несколько микрометров и он может оставаться незамеченным долгое время.
Клон чиповой карты сделать сложнее, чем магнитной (поскольку здесь происходит двухсторонний обмен информацией, чип «отвечает» на авторизационные запросы генерацией ключей по определенному алгоритму шифрования), но на точках с оффлайн-авторизацией этим клоном можно будет расплатиться.
Также считать и карту, и пин-код от нее очень удобно, скажем, в небольшом кафе или маленьком магазинчике: вряд ли вы будете подробно изучать, не «модернизирован» ли платежный терминал (если он вообще настоящий — «Ой, карта не прошла!»).
Более того, есть сверхвысокотехнологичный способ, при котором два злоумышленника работают в паре. Один работает официантом и уносит карту от посетителя и в этот момент звонит сообщнику, который уже наготове и, например, пытается купить по карте кольцо с бриллиантами или айфон — любой ликвидный товар. Но у второго карта не простая, а замаскированный эмулятор, подключенный с помощью мобильного интернета по VPN-каналу к терминалу у официанта.
Запрос пин-кода из магазина транслируется онлайн в ресторан, посетителю приносят терминал — мол, введите код — и все, операция одобрена, причем на чеке, естественно, ничего не печатается.
И, наконец, высший пилотаж — это поддельные банкоматы, устанавливаемые средь бела дня в местах скопления туристов. Ведь чем наглее способ кражи, тем меньше к нему подозрений!
Как не стать жертвой и сберечь свои деньги
- Лучший способ обезопасить себя — это не «светить» картой в банкоматах. Карты сегодня принимают чуть ли не в киосках с шаурмой, так что по возможности расплачивайтесь безналичным способом. А если карта еще и бесконтактная (Paypass, Paywave), надежнее использовать этот способ.
- Особенное внимание — банкоматам за границей! Здесь лучше снять деньги в отделении банка или, например, в зоне прилета аэропорта — то есть, там, куда злоумышленнику трудно пробраться незамеченным.
- У чиповой карты пин-код можно многократно менять прямо в банкомате: не пренебрегайте этой возможностью. Если у вас карта не чиповая, то исправьте это недоразумение, сейчас не 1996 год.
- В интернет-банке установите минимально возможные лимиты на снятие наличных по своим картам и подключите SMS-уведомления об операциях. Так вы успеете оперативно обнаружить кражу и заблокировать карту, а преступники не успеют снять большую сумму. Когда деньги понадобятся вам — установите нужный лимит и потом снова верните минимальный.
- В любом случае обращайтесь в банк и пишите заявление. В общении с сотрудниками вверните словосочетание «liability shift». Смысл в том, что по правилам международных платежных систем если чиповая карта (с EMV-авторизацией) была использована для снятия средств в банкомате без EMV-авторизации (то есть, по магнитной полосе), то при оспаривании такой операции убытки понесет банк, в банкомате которого были сняты деньги по клону вашей карты, а вам их оперативно вернут. Правда, liability shift не признается США, поэтому угадайте, в какой стране кардеры чаще всего снимают деньги?