В связи с миграцией банковской эмиссии на микропроцессорные карты CNP-фрод становится объектом повышенного интереса со стороны криминальных структур. Как и прогнозировали эксперты, в странах, мигрировавших на чип, отмечается резкий рост мошенничества по транзакциям ЭК. Так в Великобритании в 2005 г. скорость годового роста CNP-фрода составила 21 %, а в абсолютном выражении на этот вид мошенничества пришлось 183,2 млн фунтов стерлингов, что почти в 2 раза превысило потери банков от поддельных карт и более чем в 2 раза — потери от использования украденных (потерянных) карт. В 2006 г. тенденция продолжилась, и CNP-фрод вырос на 16 % по сравнению с 2005 г. На него в 2006 г. уже приходилась половина всех потерь английских банков по карточным операциям! По данным APACS за первую половину 2007 г. рост CNP-фрода составил 44 % в сравнении с аналогичным периодом 2006 г., достигнув размера 137 млн фунтов стерлингов за шесть месяцев.
Кража персональных данных (ID theft). Кража персональных данных клиентов с целью их использования в карточных мошенничествах бывает следующих видов: мошеннические аппликации, перехват счета, Phishing, утечка информации из процессинговых центров (главным образом торговых предприятий), перехват данных при их передаче по сетям. Другими словами, при использовании этого вида мошенничества кража данных, достаточных для осуществления карточного фрода, производится без непосредственного использования карты (данные крадутся не с карты, как в случае скимминга).
Мошеннические аппликации (fraudulent applications): мошенник использует чужое удостоверение личности (найденное/украденное/подделанное) для подачи заявления на получение кредитной банковской карты с указанием адреса, по которому карта может быть легко и безопасно получена.
Перехват счета (account takeover): мошенник получает данные о реквизитах карты/счета, например, из оказавшихся в его распоряжении банковских стейтментов держателя карты, далее звонит в банк и сообщает об изменении своего адреса, а чуть позже запрашивает новую карту с доставкой ее по «новому» адресу.
Phishing и вирусные атаки (с целью получения персональных данных клиентов): злоумышленники по электронной почте рассылают держателям кредитных карт запросы якобы от банков с просьбой подтвердить или обновить персональную информацию клиентов, связанную с картами.
Кража данных в процессинговых центрах онлайновых магазинов в Интернете. Самый громкий скандал произошел в начале 2007 г., когда стало известно о крупнейшем в мире похищении клиентской базы данных. В результате утечки конфиденциальной информации более 45 млн человек, воспользовавшихся пластиковыми картами при оплате покупок в более чем 2,5 тыс. магазинах компании TJX, расположенных в США и Великобритании, могут стать жертвами мошенников.
Самое интересное в «похищении века» заключается в том, что оно было совершено еще летом 2005 г., но в течение полутора лет хакерская атака оставалась незамеченной экспертами компании. Утечка вскрылась только в конце прошлого 2006 г., и в декабре 2006 г. TJX уведомила американские власти о том, что украдена информация по 45,7 млн кредитных карт, использованных в магазинах компании между 31 декабря 2002 г. и 23 ноября 2003 г. В распоряжении мошенников оказались также анкетные данные 455 тыс. клиентов, возвративших купленные товары.
Не исключено, что хакеры похитили информацию и по транзакциям, совершенным позже. Быть уверенными в своей защите могут только клиенты, совершавшие покупки после 18 декабря 2005 г., когда компьютерная сеть TJX была проверена специалистами General Dynamics и IBM, которые и раскрыли факт похищения. Полиция считает, что хакеры перепродали информацию другим мошенникам. Известны случаи массового мошенничества по картам, информация по которым была украдена в TJX. Известно также, что американские банки к середине 2007 г. перевыпустили более 200 тыс. карт для своих клиентов в связи с инцидентом, связанным с TJX.
Утечка информации через недобросовестных сотрудников процессинговых центров и банков. По статистике источником 20 % всех финансовых потерь банка являются нечестные сотрудники, 10 % — обиженные сотрудники, 55 % — халатность персонала, только 9 % — внешние атаки.
Перехват данных при их передаче (беспроводные соединения, подключение мошенников к выделенным линиям связи). Этот способ кражи персональных данных является сегодня достаточно редким, поскольку его эффективность невысока (высокая стоимость кражи данных одного клиента).
Другой способ «электронной» кражи персональных данных — использование специальных программ-шпионов (spyware). Такие программы умеют читать, записывать и удалять файлы на персональном компьютере клиента, изменять компьютерные настройки, в том числе отвечающие за сетевой доступ к компьютеру, тем самым, открывая хакерам доступ к содержащейся в нем информации. Программы-шпионы могут переформатировать компьютерный диск, сканировать изменения в файлах, следить за набираемыми на клавиатуре данными с целью кражи паролей. Во время сетевых сессий компьютера эти программы передают собранную ими информацию интересующейся ею стороне.
Формы существования программ-шпионов многообразны. Это и небольшие дополнительные программки (adware), используемые поставщиками в своем программном обеспечении в маркетинговых целях (для этого создаются целые сети adware networks), и троянские кони, и интернетовские cookies и т. п.
Мошенничества со стороны обслуживания карт
Приведем основные виды мошенничества второй группы (со стороны обслуживания карт):
• повторный ввод операции (multiple imprints, electronic data capture fraud, включая PAN Key Entry — транзакции);
• изменение содержимого слипов (altered sales drafts);
• перехват счета магазина (account takeover);
• использование отчетности легально существующего торгового предприятия (laundering);
• мошенничества в банкоматах.
Повторение слипов и (или) изменение содержимого слипов. Недобросовестные сотрудники торгового предприятия делают на импринтере более одного отпечатка карты (multiple imprints), используя их в дальнейшем для генерации новых платежных документов, или изменяют значения размера транзакции уже после того, как клиент подписал слип (altered sales drafts).
Electronic Data Capture Fraud. То же, что и повторение слипов, только с использованием электронных POS-терминалов. Особенно распространен способ PAN key entry, при котором в авторизационном запросе к эмитенту информация магнитной дорожки карты не предоставляется (представлены только номер карты, срок ее действия и, возможно, значение CVV2/CVC2).
Перехват счета. «Перехват» счета магазина (Merchant Account Takeover). Мошенники имеют все необходимые данные магазина (название, имена руководства, идентификатор торгового предприятия и т. п.) и, возможно, торговые слипы. Далее следует письмо (звонок) в банк, извещающее об изменении расчетного счета магазина. В результате возмещения по операциям, выполненным в реальном торговом предприятии, попадают на счета мошенников. По данным Visa средние потери банка от подобного мошенничества составляют примерно 100 тыс. долл.
Использование отчетности легально существующего торгового предприятия (laundering). В этом случае магазин A некоторой платежной системы предоставляет возможность магазину B, не имеющему договора с каким-либо банком на прием карт этой платежной системы, обычно за определенную комиссию, принимать карты данной платежной системы. При этом если B — мошенник, то A по прошествии некоторого времени остается один на один с отказами от платежей, пришедшими по операциям, якобы совершенным магазином B. По данным Visa потери магазина A в среднем составляют около 500 тыс. долл.
Мошенничества в банкоматах. До сих пор речь шла о мошенничестве в торговых предприятиях. В последнее время стало появляться все больше сообщений о случаях мошенничества с использованием банкоматов. Операции через банкоматы характеризуются повышенной безопасностью, поскольку авторизация таких операций осуществляется эмитентом в онлайновом режиме с обязательной проверкой персонального идентификатора (PIN-кода) держателя карты. Факт повышенной безопасности операций через банкоматы подтверждается и статистикой — объем мошенничеств через банкоматы на порядок ниже аналогичного показателя для торговли.
И все-таки последние сообщения платежных систем говорят о том, что мошенники постепенно подбираются и к банкоматам. В 2004 г. потери только банков Великобритании от мошенничества, связанного главным образом со скиммингом в банкоматах, составили 75 млн фунтов стерлингов (около 15 % всего карточного мошенничества в стране). Правда, в 2005 г. и 2006 г. уровень банкоматного мошенничества в Великобритании снижался, достигнув в 2006 г. отметки в 61,9 млн фунтов стерлингов. Но и этот уровень примерно в 1.5 раза выше уровня 2003 г., т. е. говорить о том, что проблема с банкоматным фродом стабилизировалась, преждевременно.