Осторожно, банкомат!
Фото: Stock.XCHNG

Сегодня стремительное развитие банкоматных сетей сопровождается увеличением объема мошеннических операций. Исследования в области рисков, связанных с использованием банкоматов и их минимизации, приобретают особую актуальность ввиду необходимости поддержания доверия клиента.

Новые банкоматы, постоянно появляющиеся повсеместно: в магазинах, гостиницах, торговых и офисных центрах, в аптеках и медицинских учреждениях, на станциях метро и просто на улицах, в последнее время стали привычным явлением для россиян. Действительно, Россия является одним из самых быстроразвивающихся рынков банкоматов Центральной и Восточной Европы. К концу 2006 года общее количество банкоматов достигло 30 000 и продолжает расти. По данным британской компании Retail Banking Research, годовой рост количества банкоматов в 2006 году составил почти 40%. Такой рост объясняется тем, что все большее количество банков в России выходят на рынок розничных услуг, постоянно растет число «зарплатных проектов». Кроме того, растет количество потребкредитов, зачисляемых на банковские карты.

Большинство держателей карт по-прежнему предпочитают иметь на руках «живые» деньги, а не использовать для оплаты товаров и услуг выданный им «пластик», несмотря на все акции банков и платежных систем, направленные на стимуляцию безналичных операций по банковским картам. Банкам тоже выгодно «пластиковое» кредитование: установка банкоматов, а тем более терминалов с функцией не только выдачи, но и приема наличных и обмена валюты, снижает загруженность отделений и касс банка и его затраты на расширение сети отделений. Да и сами держатели карт не желают выплачивать комиссию за выдачу наличных через «чужие» банкоматы и, соответственно, отдают предпочтение банкам с развитыми сетями банкоматов.

В таких условиях установка банкоматов перестала быть для банков просто поддержанием имиджа, а стала необходимым шагом для удержания существующих клиентов и привлечения новых.

Как работают мошенники

Но у медали есть и оборотная сторона: вместе с ростом числа банкоматов возрастает и объем мошенничеств с их использованием. Статистические данные подтверждают, что объем мошеннических операций через банкоматы на несколько порядков ниже аналогичного показателя для торговых предприятий, поскольку авторизация операций осуществляется эмитентом в режиме реального времени с обязательной проверкой персонального идентификатора (PIN-кода). Тем не менее, стремительный рост банкоматной сети не мог не вызвать интереса у мошенников.

Естественно, что банкомат привлекателен для грабителей. Загрузка банкомата — четыре кассеты, по 2000 купюр в каждой. Значит, при загрузке банкомата кассетами с купюрами по 500 и 1000 рублей, 100 долларов и 100 евро, общая сумма наличных в нем будет 3 млн. рублей + 200 тыс. долларов + 200 тыс. евро. Соответственно, резкое увеличение числа банкоматов привело к усовершенствованию технологий мошенничества через банкоматы и увеличению его объемов. При этом меры безопасности, принимаемые банками, не предвосхищали возможные способы мошенничества, а только боролись с уже существующими.

Изначальные, примитивные методы защиты давали возможность использовать такие же примитивные методы мошенничества. Самым первым и грубым из них был физический вынос банкомата с последующим взломом. Понятно, что такой способ не является самым легко осуществимым, поэтому на смену ему довольно быстро пришли другие методы, которые, в следствие с ответными шагами банков, становились все более изящными.
Среди подобных способов мошенничеств — операции по картам, утерянным или украденным вместе с PIN-кодом, который многие держатели по неопытности записывают на самой карте или хранят вместе с ней. Существует и мошенничество «по доверию»: после разовой просьбы снять деньги в банкомате карта или ее дубликат может использоваться третьим лицом уже без разрешения держателя. Способ под названием «Ливанская петля» работает так: мошенники помещают в прорезь считывающего устройства банкомата кусок фотопленки, закрепив его концы на внешней стороне банкомата. После совершения операции фотопленка не дает карте выйти из банкомата, и мошенник, предлагая свою помощь, узнает PIN-код держателя карты, уверяя его, что при повторном вводе карта должна выйти из банкомата (как правило, мошенник доводит игру до того, что сам несколько раз вводит PIN-код со слов держателя карты). После нескольких неудач мошенник рекомендует держателю обратиться в свой банк на следующий день (махинация проводится в часы, когда отделения банка уже не работают), а после, уже зная PIN-код, извлекает фотопленку вместе с картой. Еще один способ — «Взгляд через плечо»: человек, стоящий во время совершения операции, за держателем карты может подсмотреть введенное значение PIN-кода.

Не ленятся мошенники даже изготавливать поддельные банкоматы — специальные устройства, внешне копирующие банкоматы и предназначенные для считывания информации о данных на магнитной полосе и PIN-коде. Возможна и установка на реальные банкоматы дополнительных устройств, позволяющих считывать данные с магнитной полосы карты, а также сохранять или записывать на видео цифровые комбинации, вводимые на клавиатуре банкомата. К такому оборудованию относятся накладной кард-ридер (card reader) и микрокамера (иногда — накладная клавиатура). Накладной кард-ридер представляет собой устройство, прикрепляемое сверху к кард-ридеру банкомата и незаметное для держателя карты, которое считывает информацию с магнитной полосы карты и передает ее мошенникам по радиоканалу. Микрокамера представляет собой оптическую камеру, которая устанавливается рядом с банкоматом и записывает значения вводимых PIN-кодов. Вместо микрокамеры может устанавливаться клавиатура, которая накладывается на клавиатуру банкомата и запоминает или передает по радиоканалу значения введенных PIN-кодов. Таким образом, с помощью поддельного банкомата, POS-терминала или дополнительного оборудования мошенники получают всю информацию, необходимую для совершения мошеннической операции. Имея данные с магнитной полосы карты и значение PIN-кода, мошенник имеет возможность изготовить так называемый «белый пластик» — заготовку карты без каких-либо элементов дизайна обычной карты — и использовать его для снятия наличных со счета держателя скомпрометированной карты.

Как защищаются банки

С учетом того, что рост числа банкоматов сопровождается развитием мошенничества, также возрастают и требования к профилактическим мерам со стороны банков. Что касается утечки данных, то в этом аспекте банки должны соблюдать определенную кадровую политику, т. к. недовольные сотрудники относятся к особой группе риска. Практика показывает, что многие члены «профессиональных» мошеннических структур являются бывшими сотрудниками банков и процессинговых компаний. Также должны соблюдаться меры по разграничению доступа к информации. Необходимо создать такие условия, чтобы сотрудники отделов, имеющих доступ к информации, которая при объединении может быть использована для мошеннических операций, не имели возможностей для личного общения (например, работа в разных, удаленных друг от друга офисах). Этого можно добиться путем создания единого центра, в который отправляются все внутренние запросы, а затем из него пересылаются адресату.

Сегодня банки имеют возможность предотвращать случаи мошенничества, не связанные с поведением держателей карт. Для этого используются современные комплексные системы безопасности, которые включают в себя видеонаблюдение, аудиозапись, датчики открывания шкафов, датчики удара и физического воздействия. Работа такой системы обеспечивает комплексный анализ поступающих данных и существенно повышает надежность работы системы, сводя к минимуму вероятность ложных срабатываний. Это позволяет оперативно выявлять случаи мошенничества с пластиковой картой, попытки перемещения банкомата, его вскрытия, повреждения корпуса, попытки установки дополнительных устройств, возгорание или слишком длительное нахождение клиента в зоне наблюдения.

Эти системы также позволяют создать единый видеоархив; кроме того, они подразумевают возможность передавать сигналы о тревожных событиях или угрозах в соответствующие подразделения правоохранительных органов или служб оперативного реагирования. В результате, внедрение подобных систем позволяет своевременно и оперативно выявлять все тревожные ситуации, связанные с мошенничеством при получении наличных через банкоматы.

В настоящее время подобные системы не являются обязательными и в одних банках не используются вообще, а в других могут охватывать не всю сеть банкоматов. С учетом возрастающего количества нераскрытых фактов мошенничества через банкоматы особую актуальность приобретает вопрос о введении обязательных единых стандартов по обеспечению дополнительной безопасности банкоматных сетей, например путем обязательного внедрения и поддержки подобных систем, также прошедших необходимую сертификацию на предмет достаточности выполняемых функций для обеспечения должного уровня безопасности и оперативного извещения службы безопасности и/или органов оперативного реагирования, а также на предмет допустимого количества пропусков тревожных событий или ложной тревоги.

Что делать владельцам карт

Однако от самих держателей карт также требуется соблюдение определенных правил, направленных на предотвращение несанкционированного доступа к их средствам, размещенным на картсчетах.

Вот несколько советов, обычно содержащихся в буклетах для держателей карт, выдаваемых банками вместе картами:

— старайтесь пользоваться привычными банкоматами или выбирайте банкоматы в отделениях банка или крупных торговых центрах; старайтесь не пользоваться «подозрительными» или расположенными на улице банкоматами;

— перед использованием осмотрите территорию вокруг банкомата — не используйте карту в присутствии подозрительных личностей, или если банкомат выглядит слишком изолированно или небезопасно;

— нельзя ни в коем случае никому сообщать PIN-код к своей карте — ни сотруднику банка, ни тем более отзывчивому прохожему, изъявляющему желание помочь вам с банкоматом, в случае возникновения у вас каких-либо проблем;

— убедитесь, что ожидающие своей очереди снять деньги, находятся на приемлемом расстоянии — в любом случае старайтесь прикрывать рукой клавиатуру, когда вводите PIN-код;

— банкомат не должен выглядеть подозрительно — проверьте, не прикреплены ли к банкомату какие-либо дополнительные устройства; на экране банкомата не должно быть никаких дополнительных инструкций, а также вызывающих сомнение пустых экранов;

— ни в коем случае не пользуйтесь банкоматом, к которому прикреплены какие-либо необычные инструкции по его использованию;

— не позволяйте никому отвлекать вас при пользовании банкоматом, тем более откликаться на предложение о помощи в совершении операции или разрешения какой-либо другой сложившейся ситуации;

— в случае, если требуется усилие для погружения карты в отверстие банкомата, воспользуйтесь другим устройством; в случае, если вы чувствуете, что банкомат работает не так как обычно — воспользуйтесь другим;

— если ваша карта осталась в банкомате или с ней что-либо произошло, немедленно сообщите в банк по телефону горячей линии, в случае если не помните телефон своего банка — можно обратиться в другой банк (телефон должен быть указан на банкомате). В случае обращения в другой банк необходимо помнить номер карты, поэтому сохраняйте отдельно номер вашей карты;

— необходимо регулярно проверять выписки с банковского счета, а также остаток на карте; в случае малейшего несоответствия необходимо незамедлительно обратиться в банк за разъяснениями:

— наконец, в некоторых случаях целесообразнее заплатить комиссию за снятие наличных в чужом банкомате, нежели пользоваться сомнительными устройствами для обналичивания денежных средств.

Кирилл ПУГАЧЕВ специально для Banki.ru