Куда улетают деньги
Технология 3D-Secure не спасает от карточных мошенников
Фото: Fotolia/peshkova

Считается, что технология 3D-Secure, повсеместно внедряемая российскими банками, является надежной защитой от карточного фрода. Однако мошенники этого мнения не разделяют – случаев воровства денег с карт, защищенных хваленой 3DS, очень много. Портал Банки.ру разбирался, в каких случаях 3D-Secure не спасает и как при этом можно защититься от потери денег.

Суть технологии, напомним, состоит в том, что для совершения любой CNP-трансакции (Card Not Present, без предъявления карты) необходимо ввести дополнительный код, на карте не написанный. Обычно этот одноразовый код берется со скретч-карты, полученной держателем платежной карты в банке, либо из присланного банком СМС-сообщения. Ввод этого кода доказывает банку, что трансакцию пытается совершить не просто кто-то, знающий данные, размещенные на поверхности карты, но человек, имеющий доступ к телефону держателя карты или к выданной ему скретч-карте.

Как и любая усиленная мера безопасности, 3D-Secure доставляет пользователям определенные неудобства. Нужно хранить в безопасности скретч-карту с кодами и постоянно носить ее с собой либо всегда быть на связи, что возможно далеко не всегда, особенно в заграничных поездках. Севший аккумулятор телефона, отсутствие покрытия сети, какой-либо сбой у оператора или проблемы с маршрутизацией СМС-сообщений в роуминге – и у вас нет никакой возможности совершить нужный платеж.

Стремление исключить возможность подобной неприятности может обойтись достаточно дорого, как это произошло с героем нашего видеосюжета, с чьей карты мошенники украли 300 тыс. рублей прямо во время его перелета. В отличие от большинства других банков, в ВТБ24 3DS-код постоянный, что изрядно облегчило злоумышленникам проведение аферы. Так как код не меняется от операции к операции, его достаточно украсть одним из нескольких способов – например, заразив компьютер жертвы троянской программой, запоминающей нажатия на клавиатуре («кейлоггер») или записывающей данных из веб-форм («форм-граббер»), или же «подсунув» жертве поддельный интернет-магазин, собирающий данные карт.

Директор по мониторингу электронного бизнеса Альфа-Банка Алексей Голенищев и начальник управления электронной коммерции Альфа-Банка Игорь Арефьев рассказали порталу Банки.ру о рисках при использовании технологии 3D-Secure.

«Электронная коммерция остается рисковым сегментом с точки зрения безопасности банковских карт. Несмотря на введение дополнительных средств защиты, риски при оплате через Интернет сохраняются – карта физически не предъявляется, мошенники оперируют данными, которыми могут завладеть с помощью как технических средств, так и социальной инженерии, просто обманув жертву.

Проведение операций в формате 3D-Secure, конечно, более безопасно, так как, помимо стандартных реквизитов карты, еще вводится дополнительный пароль. В Европе, как родоначальнике данного формата, до сих пор распространен формат таких операций в виде дополнительного ввода постоянного пароля, то есть некоего аналога ПИН для банкоматов.

В России в основном используются одноразовые пароли для подтверждения каждой операции, что более безопасно. Но, учитывая, что в отличие от банкоматов, где ПИН шифруется непосредственно на клавиатуре и в открытом виде никуда не уходит, в случае ввода пароля 3D-Secure на клавиатуре компьютера он не шифруется и может быть перехвачен злоумышленниками, получившими в результате хакерской атаки контроль над вашим компьютером. Или сам клиент может его выдать мошенникам в результате применения против него какого-либо воздействия методом социальной инженерии, – объясняет Алексей Голенищев. – Учитывая, что любые дополнительные средства защиты операций в Интернете, как правило, усложняют клиенту процедуру покупки, что часто воспринимается негативно. С точки зрения золотой середины бизнеса и рисков, помимо стандартных средств защиты операций, существенную роль играет наличие у банка современной системы онлайн-мониторинга и противодействия мошенническим операциям».

Заметим, что 3D-Secure работает не во всех ситуациях: при покупке с вас затребуют код, только если технологию поддерживает не только банк-эмитент вашей карты, но и банк-эквайер, принимающий платежи для данной точки интернет-торговли. Среди европейских банков поддержка 3D-Secure крайне распространена, а вот в США, где многие банки до сих пор работают «по старинке», без EMV-чипов и 3D-Secure, многие товары и услуги можно оплатить безо всякого кода. Потому именно американские магазины нередко становятся каналом для вывода украденных средств. Но интернет-магазины – не самый удобный вариант для воров, так как приобретенные товары еще нужно реализовать. Теперь все чаще появляются сервисы, позволяющие заполучить «живые» деньги.

«Наивысшие риски имеются там, где есть возможность обналичивания украденных денег. Мошенникам интересно получить реальные деньги, а не какие-либо товары. Прежде всего, речь о пополнении телефонных счетов, приобретении авиабилетов, сервисах перевода денег с карты на карту», – говорит Алексей Голенищев.

По словам Голенищева и Арефьева, в мошеннические схемы нередко вовлекают операторов связи, системы электронных кошельков и даже банки. Так, при расследовании одного из инцидентов кражи денег с карты Альфа-Банка был обнаружен сайт, маскирующийся под сервис-агрегатор продажи авиабилетов. Сайт был построен на совесть, он позволял выбрать нужный рейс и оплатить билеты. Вот только форма для ввода данных карты на самом деле представляла собой сервис перевода денег с карты на карту, предлагаемый одним из российских банков на условиях white label (то есть техническая «начинка», которую партнер банка может «завернуть» в свой собственный дизайн). Фактически клиент сам вбивал все необходимые данные, включая код 3D-Secure, а банк переводил стоимость билета с карты жертвы на карту мошенников.

Причиной этого «странного сотрудничества», по мнению представителей Альфа-Банка, является недостаточно тщательная проверка партнеров со стороны неназваного банка. В данный момент договор банка с мошенниками разорван, а работа их сайта прекращена.

Помимо таких вопиющих случаев, есть множество других способов обойти 3D-Secure. Один из наиболее популярных – перехват управления смартфоном с помощью мобильной троянской программы. Если у злоумышленника есть все данные карты жертвы, мобильный троянец может пересылать хозяину приходящие по СМС коды 3D-Secure, чтобы тот мог воспользоваться сервисом перевода денег. Или же и того проще – троянец с помощью команд СМС-банкинга может «слить» деньги с банковского счета на мобильный счет сим-карты жертвы. А уж их перевести на сторону достаточно несложно безо всяких данных карты и кодов подтверждения.

Еще одним классическим вариантом является атака «человек в браузере». Если жертва пользуется интернет-банкингом посредством компьютера, зараженного троянцем, вредоносная программа может перехватывать вводимые данные и заменить реквизиты операции. Таким образом, сумма в 100 рублей может превратиться в 100 тыс. рублей, а перевод другу Пете – в перевод какому-то незнакомому Васе. Правда, такие изменения можно вовремя заметить, внимательно прочитав СМС-сообщение с кодом 3D-Secure – большинство банков указывают в нем сумму и получателя платежа.

На практике карточные мошенники чаще всего не утруждают себя приобретением и распространением мобильных троянцев. В этом нет нужды, коль скоро сим-карту с номером жертвы можно просто перевыпустить в салоне оператора мобильной связи и спокойно украсть деньги с помощью команд СМС-банкинга, которые у многих банков даже ввода пароля не требуют. Операторы, по их словам, начали бороться с этой практикой, но пока количество инцидентов такого рода не снижается. Стопроцентной защиты от карточного мошенничества нет и быть не может. Как видим, есть множество случаев, когда даже 3D-Secure не спасает. Однако степень риска можно существенно снизить, придерживаясь определенных правил. Вот они: 1) внимательно читать СМС-сообщения с кодами 3D-Secure; 2) немедленно обращаться в банк в случае, если мобильная сеть перестала принимать вашу сим-карту (что свидетельствует о ее перевыпуске); 3) и конечно, не совершать оплат на незнакомых интернет-сайтах.

Михаил ДЬЯКОВ, Banki.ru