В США в декабре 2003 г. был арестован мошенник, который купил и установил в Калифорнии, Флориде и Нью-Йорке порядка 55 банкоматов. В результате этого он получил информацию о более чем 21 тыс. номеров банковских карт 1400 различных банков на сумму более 3,5 млн долл. США.
10. Кибератаки. В сентябре 2006 г. телекомпания WAVY-TV сообщила об одном инциденте когда хакер получил права администратора на АТМ и изменил номиналы загруженных купюр на 5 долларовые вместо 20 долларовых. Это стало возможно, в результате того, что пароли доступа в систему были оставлены по умолчанию.
В 2006 г. на Украине были отмечены очень высокотехнологичные атаки на инфраструктуру банкоматных сетей. Злоумышленники избрали своей целью банкоматы подключенные с использованием радиорелейных каналов связи, при этом банки не использовали ни VPN-каналы, ни функцию МАС. Путем сканирования радиоэфира определялась частота канала связи банкомата. Далее осуществлялся перехват банкомата на мошеннический эмулятор хост-системы процессинга. Мошенники вставляли карту в банкомат и направляли запрос на выдачу наличных денежных средств. Но данные запросы не попадали к эквайреру, а перехватывались эмулятором хоста мошенников, который на все запросы выдавал положительную авторизацию. В то время как банкомат выдавал мошенникам денежные средства, эквайрер думал, что с банкоматом просто отсутствует связь.
11. Мошеннический ПИН-ПАД[204]. Держателю карты может быть предложено, ввести ПИН-код не в настоящий ПИН-ПАД (терминал), а в ложное устройство, его эмулирующее, которое запомнит ПИН-код либо в модифицированный терминал (ПИН-ПАД) (устройство, помимо выполнения штатных процедур, несанкционированно записывающее ПИН-код). В разгар летнего туристического сезона 2006–2007 гг. такой вид мошенничества был отмечен российскими банками на территории Турции. Держателям карт предлагалась услуга получения по карте наличных денежных средств, но не в отделениях банка, а в торговых точках. Часто на них были вывески post-office. При этом операция для банка эмитента представлялась как покупка в предприятии торговли, а не выдача наличных денежных средств. У держателя карты при проведении транзакции запрашивали ПИН-код. Только ПИН-код не направлялся на проверку эмитенту, а негласно копировался вместе с магнитной полосой карты. Через некоторое время из банкоматов производились операции по поддельной карте.
12. Физические нападения на банкоматы — кражи банкоматов, взлом сейфов.
13. Вандализм. В последнее время, в связи с усилением угрозы терроризма, отмечены случаи использования мест установки банкоматов для организации взрывов.
25 августа 2004 г. в южном турецком городе Дертйол взорвалась бомба, заложенная перед банкоматом. В результате взрыва ранены семь человек.
14. Ограбления держателей карт. После получения запрошенной суммы держателями карт в банкоматах, преступники нападают на них и в результате ограбления или разбоя завладевают денежными средствами. Оборудование банкоматов тревожными кнопками иногда ожесточало нападавших и приводило к более тяжелым последствиям для потерпевших, вплоть до смертельного исхода. В США более 2000 банкоматов оборудованы кнопкой «911». По данным страховых компаний в США порядка 82 % страховых случаев держателей карт наступают в результате принудительного изъятия карты преступниками.
15. «Фишинг» (phishing). Классический фишинг — рассылка электронных писем для того, чтобы пользователи Интернет посетили веб-сайты, похожие на сайты электронной коммерции, различных фирм и банков, но созданные и контролируемые мошенниками. По данным Международной ассоциации по борьбе с фишингом (APWG) в 2006 г. было зарегистрировано 268 126 сообщений о фишинговых атаках (734 атаки в день).
Одна из разновидностей фишинга — фарминг (pharming). В данном случае пользователь Интернет, набирая в адресной строке правильный адрес, все равно перенаправляется на мошеннический сайт. Атака возможна как на самом компьютере пользователя с использованием «троянцев» (изменяется таблица соответствия DNS имён и цифровых IP-адресов), так и непосредственно на DNS сервера, при этом затронуты будут уже большее количество пользователей.
В июле 2006 г. было сообщение об атаке клиентов калифорнийского банка Santa Barbara с помощью использования технологии передачи голоса через интернет VoIP, получившей название вишинг (vishing). Летом 2007 г. держатели карт в Москве получали ложные смс-сообщения о задолженности с их стороны по банковским кредитам. Для выяснения ситуации необходимо было перезвонить в банк по указанному телефону. При звонке по ложному телефону, подставной «сотрудник банка» выяснял у держателя номер банковской карты, срок её действия и другую информацию. Полученная таким образам информация, позволяла злоумышленника осуществлять Интернет транзакции.
В результате массовости и больших масштабов фишинга (51 % англичан не контролируют изменение в адресной стоке интернет броузера с http на https и 25 % раскрывали свой ПИН-код кому-либо) и скимминга (несанкционированного копирования информации с магнитной полосы карты) происходит симбиоз данных направлений мошенничества. Фишинг дает большую базу данных номеров карт с ПИН-кодами, а скимминг — базу со вторыми дорожками магнитных карт. В итоге мошенники из обеих групп обмениваются информаций и получают возможность изготовить поддельную банковскую карту с известным ПИН-кодом. На кардерских сайтах идет активный обмен информацией (купля-продажа) о номерах банковских карт, сроках действия и ПИН (без второго трека), что подтверждает реализацию фишинговых атак банкоматными мошенниками.
16. Устройства копирующие магнитную полосу. Перед ридером банкомата монтируется устройство, считывающее информацию с магнитной полосы карты при ее введении в банкомат (скиммер).
17. Накладные клавиатуры. Предназначены для перехвата вводимого ПИН-кода. В простейшем случае злоумышленник может совсем не использовать никаких дополнительных устройств. Достаточно протереть ПИН-клавиатуру, а после введения ПИН-кодом держателем, когда он отойдет от банкомата, посыпать её тальком. В результате мошенник получает цифры из которых состоит ПИН-код, остается только подобрать их порядок (существует всего лишь 24 комбинации перебора всех вариантов). Учитывая технологию некоторых процессинговых центров, при которой неверные попытки набора ПИН-кодом сбрасываются, если в один день не превышен общий порог количества неверных попыток, то подобрать значение ПИН-кода очень легко.
18. Миниатюрные видеокамеры. Развитие электронных технологий привело к появлению на рынке недорогих миниатюрных видеокамер, которые могут работать от автономных источников электроэнергии несколько часов и передавать видеосигнал по радиоканалу (стоимость такой камеры в Москве менее 2 тыс. руб.). Устанавливая её незаметно и маскируя под какое-либо устройство, злоумышленник может дистанционно получать информацию о вводимых держателями ПИН-кодах.
Цель установки скиммеров, накладных клавиатур и мини видеокамер — считать закодированную на магнитной полосе информацию и персональный код держателя банковской карты. Похищенная таким способом информация может быть нанесена на другие карты и использована вместе с соответствующими персональными идентификационными номерами для получения денег в банкоматах. Зачастую это происходит уже не в тех странах, где была получена информация о подлинных картах и персональных кодах пользователя.
28 февраля 2000 г. в Брюсселе был задержан российский компьютерщик, подделывавший банковские магнитные карточки. Мошенник сконструировал миниатюрный сканнер, считывающий информацию с банковских магнитных карточек. Сканнер вставлялся в банкомат. Ничего не подозревающий очередной клиент набирал код доступа к своему счету, получал некую сумму и уходил. Затем следивший за ним на расстоянии мошенник извлекал устройство из банкомата и переписывал информацию на чистую пластиковую карту. Он также использовал миниатюрную видеокамеру, которая размещалась рядом с банкоматом — с помощью нее можно было снять набор пароля карточки.
Аналогичные устройства были зафиксированы правоохранительными органами в Канаде, Соединенных Штатах Америки, Бразилии, Японии, Малайзии. По данным Европейской группы по безопасности банкоматов в Европе в 2005 г. отмечено 3143 случаев скимминга на банкоматах, потери составили 52,3 млн долл.
В декабре 2002 г. была произведена установка скрытых видеокамер на банкомат в г. Москве.
22 апреля 2003 г. московским правоохранительным органам удалось задержать группу мошенников, похитивших с банковских счетов граждан более 700 тыс. долл. через банкоматы. Специальное устройство вставлялось в устройство приема карточки банкомата. В момент, когда держатель снимал деньги, устройство считывало параметры его карты. Кроме того, мошенники изготовили миниатюрную видеокамеру, которая позволяла им увидеть ПИН-код.