Центр исследования компьютерной преступности

home контакты

Мошенничество с кредитными картами: как это происходит на самом деле

Дата: 25.06.2007
Источник: Moneynews.ru
Автор: Артур Ляшенко


card/card12.jpgБлог автора: http://arthur-lya.livejournal.com/

При перепечатке необходимо получит согласие редакции moneynews.com и лично автора. Ссылки на moneynews.com, блог автора, а также указание имени автора обязательно.

Вместо предисловия: 5 апреля 2007 года на сайте moneynews.ru была размещена статья Анны Иноземцевой из газеты «Коммерсантъ», в которой были изложены способы мошенничества с пластиковыми картами. Описанные случаи, конечно, существуют, но на деле они составляют очень небольшой процент. Не вина журналистки в том, что статья получилась не отражающей реальное положение дел – дело в том, что банки иногда сознательно, а иногда из-за недостаточного профессионализма сотрудников, представляют положение дел именно таким, дезинформируя об истинных причинах мошенничества как потребителей банковских услуг, так и журналистов.

Подавляющее число случаев мошенничества с пластиковыми картами происходит по вине банков либо из-за фундаментальных уязвимостей платежных систем. Однако обнародование истинных причин, способствующих случаям мошенничества с пластиковыми картами, как банкам, так и платежным системам невыгодно: первым невыгодны факты, свидетельствующие об их непрофессионализме (ведь это может отпугнуть новых клиентов и побудить существующих к смене обслуживающего их финансового учреждения), а платежные системы, упорно модернизирующие и адаптирующие к новым условиям появившуюся в 50-е годы прошлого века и безнадежно устаревшую в настоящее время систему расчетов, просто не хотят потерять свой бизнес, успокаивая клиентов «новейшими системами безопасности, гарантирующими сохранность ваших средств», что является по меньшей мере сознательной ложью. Целью данной статьи, написанной специально для moneynews.ru, является не запугивание держателей кредитных карточек несовершенством платежных технологий, тем более, что держатели карт на самом деле хорошо защищены от потерь правилами МПС от подавляющего большинства манипуляций, которые злоумышленники могут произвести с их картами, а желание представить объективную картину действительности в этой области. Ведь сколько не повторяй слово «халва», во рту от этого слаще не станет, и сколько ни труби о защищенности технологии современных международных платежных систем, они от этого не становятся защищеннее.

А умный читатель, владея информацией о том, как именно может произойти мошенничество с его картой, сможет более аргументированно защищать свои интересы перед финансовыми институтами, а также самостоятельно решать, пользоваться ли ему своей картой в необоснованно занесенных платежными системами и банками в «черный список» странах типа Украины.

Часть первая, техническая

Для более лучшего понимания данной статьи необходимо совершить небольшой экскурс в техническую часть пластиковых карт (ПК) международных платежных систем (МПС). Эта часть довольна скучная, поэтому постараюсь изложить ее максимально кратко – лишь для того, чтобы была понятна собственно занимательная часть статьи.
Как известно, пластиковая карта состоит из куска пластика с нанесенными на него изображением, голограммой, полосой подписи и магнитной ленты (а сейчас все чаще и чипом). Нанесенное на пластик изображение, голограмма и полоса подписи служат для визуального контроля того, является ли карта поддельной либо нет. Но необходимо помнить о том, что карту в момент оплаты физически видит лишь продавец, ее принимающий. Банки же физически карту не видят и поэтому по ее внешнему виду не могут определить, является ли она поддельной или нет.

Магнитная полоса и чип являются хранилищем набора цифр и знаков, являющегося своеобразным «ключом от квартиры, где деньги лежат». Этот набор цифр и знаков, записанный на магнитной полосе часто называют «дампом», поэтом в статье я буду употреблять именно это название. Дамп состоит из нескольких дорожек (как правило двух). На первой дорожке обычно хранится информация, которая используется для печати чека, выдаваемого при покупке (имя держателя карты, номер карты, срок окончания срока ее действия) а также частично дублируется служебная информация со второй дорожки. Вторая дорожка имени не содержит и, собственно, и является тем самым «ключом» от пресловутой квартиры, который при каждой транзакции передается в банк, где у держателя карты открыт счет. На второй дорожке содержится номер карты, срок истечения ее действия, а также служебная информация, в том числе и трехзначный CVV - card verification value (у Мастеркарда он называется CVC - card verification code). Эти же значения иногда называют CVV1/CVC1.

Данное значение получается путем сложного шифрования некоторых данных карты и служит для проверки банком того, подлинным ли является дамп либо он сгенерен злоумышленником, которому стал известен номер карты и срок окончания ее действия. Кстати: те, кто оплачивал покупки своей картой в интернете, сталкивались с CVV2 и CVC2, которые напечатаны на полосе подписи. Эти данные не являются тем же, что и CVV/CVC, хотя и имеют схожее название.
То же самое и с чипом – те же две (как правило) дорожки, та же структура дампа и те же проблемы, что и у магнитной полосы, несмотря на все заверения платежных систем в абсолютной безопасности чипа. Правда, чиповые карты не будут затрагиваться в данной статье.

Во время проведения транзакции терминал, установленный в магазине (либо банкомат), считывает вторую дорожку дампа, добавляет данные о транзакции, и отправляет ее в процессинговый центр того банка, который обслуживает этот магазин (банкомат). Далее процессинговый передает эту информацию в процессинговый центр соответствующей МПС, откуда информация ретранслируется в процессинговый центр банка, выдавшего карту. Здесь запрос обрабатывается и выдается ответ – можно ли магазину выдать товар (то есть будут ли ему перечислены деньги за покупку) или нет. При этом на счету держателя карты блокируется сумма, на который пришел запрос (это, конечно, в случае выдачи положительного ответа). Этот ответ возвращается магазину тем же путем, которым шел запрос.

Часть вторая. История противостояния «снаряда и брони»

Как известно, средства обороны и нападения развиваются друг за другом. Когда-то самым мощным оружием были стрелы и меч. В ответ были придуманы доспехи. Но люди придумали огнестрельное оружие и доспехи стали бесполезны. Зато другие люди придумали обшивать средства передвижения стальными щитами, которые обычные пули пробить не могли. В ответ появились снаряды, а в ответ на них – более эффективная броня, которую эти снаряды не могли пробить, и так далее... Та же самая гонка вооружений происходит и в области защиты денежных средств/методов изъятия этих же средств.

Кредитные карты появились и получили свое распространение в 50-х годах прошлого века. Тогда они представляли собой кусок пластика с нанесенным изображением, на которых были выдавлены номер карты, срок окончания ее действия и имя держателя карты. Никакой магнитной полосы не было, а транзакции производились на импринтерах, которые представляли собой ручной пресс, которым проводили по карте для того, чтобы выдавленная информация отпечаталась через копирку на квитанции. После проведения транзакции торговые точки выдавали покупателю товар, а свои копии квитанций складывали в стопочку, чтобы в конце дня отнести накопившиеся за день квитанции в банк. Вполне естественно, что долго такой безалаберный подход к деньгам безнаказанно продолжаться не мог, и злоумышленники стали подделывать украденные/утерянные карточки, которые клиенты заблокировали, просто срезая выдавленные символы номера карты и наклеивая другие – ведь проверить, существует ли вообще карта с таким номером, торговцы попросту не могли.

Убытки от мошенничества неумолимо росли и МПС ввели, как рекламировалось в то время, суперзащищенную технологию – стали наклеивать на карты магнитную полосу, на которой были записаны только те данные, которые были выдавлены на карте. Торговцев оснастили электронными терминалами, способными читать эту полосу и передавать ее в банк для получения информации о том, существует ли такой номер карты и есть ли на нем деньги. Злоумышленники при тогдашнем развитии доступных технологий (на свободном рынке отсутствовали необходимые для создания устройств чтения/записи магнитной полосы карты микросхемы) эту систему обойти не могли и мошенничество с картами на некоторое время происходило лишь на торговых точках, которые еще работали по старинке, с импринтерами. Тогда же появились и банкоматы, которые прежде не могли возникнуть из-за отсутствия возможности авторизовать карту в режиме реального времени, и пин-коды к картам.

В конце 80-х годов Великобританию захлестнула волна мошеннических снятий наличности с карт в банкоматах. При этом обманутые владельцы денежных средств своих карт не теряли и возмущенно демонстрировали их банкам при выяснении вопроса куда же делись деньги. Банки поначалу грешили на своих клиентов – кого подозревали в мошенничестве, кого в том, что те снимали деньги, будучи навеселе, и просто забыли о том, что снимали деньги, кому советовали присмотреть за детьми, которые могли получить доступ к карте с пин-кодом и снять тайком от родителей деньги. Однако обманутых клиентов приходило все больше и больше, к делу подключилась пресса, и банки признали, что таинственные злоумышленники каким-то образом получают дубликаты карт и узнают пин-коды к ним. Скотланд-Ярд потратил почти 2 года на то, чтобы вычислить злоумышленников, но поймали их случайно – парень и девушка, входившие в преступную группу, поссорились, девушка принялась заливать свое горе алкоголем в клубах, в процессе утешения у нее произошла драка с другой посетительницей клуба, и ее забрали в полицию, где обнаружилось, что дамская сумочка набита белым пластиком. Детективы надавили на...

Добавить комментарий
Всего 0 комментариев


Copyright © 2001–2009 Computer Crime Research Center

CCRC logo
Рассылка новостей