«Карта, я тебя знаю». Что такое скимминг и как с ним бороться

На экране высвечивается сообщение: с карты списаны или сняты деньги. Вы хватаетесь за портмоне, предположив, что «пластик» потерян или украден — но нет, всё на месте. О том, кто тратит ваши деньги и как вору удалось до них добраться — читайте в материале.

Физически карта и правда похищена. Вернее, украдена её нематериальная суть: данные и пароли. Сценарии разные — мы уже рассказывали о фишинге и вишинге, когда жертва добровольно отдаёт сведения о карте (а они буквально на вес золота) в руки мошенников. Но сейчас речь пойдёт о другой технологии, не менее распространённой — о скимминге.

В России скимминг практически изжит — ещё в 2019 году зампред правления Сбербанка Станислав Кузнецов заявил: «Фактически в нашей стране почти сведён данный вид мошенничества к нулю». Год спустя замдиректора департамента ЦБ РФ по информационной безопасности Артём Сычёв отмечал в беседе с журналистами, что в России «вообще исчез» такой тип махинаций, как скимминг. «Есть факты, которые мы фиксируем, когда люди говорят, что с их карт что-то списали в банкомате — это 100% использование карты за рубежом. На территории Российской Федерации такое не работает», — сказал Сычёв.

Так и есть, однако не стоит забывать, что в мире распространены банкоматы и платёжные терминалы, которые считывают именно информацию с магнитной полосы — а значит, на них можно установить накладку и похитить данные карты. Скорее всего, когда мошенники попытаются снять деньги, ваш банк заблокирует подозрительную операцию, но шанс на успех у злоумышленников есть, хоть и небольшой. Не стоит его увеличивать своими руками — помните, что осторожность и осмотрительность никогда не вредят.

Как мошенники это делают?

Для воровства денег используется специальная накладка поверх картоприёмника (того самого отверстия в банкомате, куда мы, клиенты, вставляем карту). Она позволяет злоумышленникам считывать информацию с нашего «пластика». А для того, чтобы узнать пин-код, устанавливают или фальш-клавиатуру на банкомат, или миниатюрную камеру, направленную на панель ввода.

Наверняка вы обращали внимание на то, что банкоматы разных моделей и разных банков имеют картоприёмники весьма причудливых форм. Это сделано не для красоты, а чтобы затруднить установку скимминговой накладки. Использование уникальных картоприёмников не позволяет создать универсальные считыватели и вынуждает злоумышленников изготавливать индивидуальные накладки для каждого банка и типа банкоматов, что требует дополнительных затрат.

Но считыватель не обязательно располагается на банкомате. Бывали случаи, когда он устанавливался на двери, ведущей в помещение с банкоматом. Под видом устройства, предназначенного для открывания двери в ночное время.

Со вторым компонентом — фальш-клавиатурой — всё просто: её накладывают поверх настоящей клавиатуры банкомата и фиксируют все нажатия.

Из-за того, что многие современные банкоматы имеют нестандартные клавиатуры и специальные приспособления, затрудняющие установку фальш-панели, злоумышленники часто заменяют её на миниатюрную камеру, расположенную либо на самом банкомате, либо в одном с ним помещении. Именно из-за возможности наличия скрытых камер следует прикрывать рукой клавиатуру банкомата, даже если рядом с вами никого нет.

Установка скимминговых накладок на банкомат занимает считанные секунды. Срок их жизни — как правило, пара часов, максимум день-два. Потом они снимаются, перезаряжаются и переносятся на новый банкомат. За это время накладки успевают обработать несколько сотен банковских карт, данные которых сохраняются в специальную базу.

Бывали случаи, когда банкомат заражался вредоносной программой, делавшей из него один большой скиммер. Но если вы имеете дело с банкоматами крупных банков, шансы встретить такое модифицированное устройство стремятся к нулю.

Могут ли украсть карту другим способом?

Да, через POS-терминал — устройство для обработки безналичных платежей. Встретить их можно в магазинах и киосках, кафе и ресторанах, гостиницах. Везде, где товар или услугу можно оплатить банковской картой. Они могут быть стационарными или портативными, но суть их работы не меняется. Такие терминалы взаимодействуют с вашей картой точно так же, как банкомат.

Иногда POS-терминал может быть перепрошит или заменён на модифицированный. В таком случае он приобретает дополнительный функционал, который может быть использован для создания копий прошедших через него банковских карт. При этом владелец заведения может не знать об этом, в отличие от его недобросовестных сотрудников.

Вы наверняка не раз сталкивались с ситуацией, когда, желая оплатить картой ужин в ресторане, давали её официанту. Он уходил с картой и вскоре возвращался с терминалом для оплаты. Делать так (вам, а не официанту) нельзя. Во-первых, отдавая карту в руки незнакомому человеку, вы даёте ему возможность записать её номер и реквизиты. Их будет достаточно для совершения некоторых типов онлайн-платежей (тех, где не требуется ввод кода из сообщения). Во-вторых, пока карта вне вашего поля зрения, сотрудник при помощи специального устройства может скопировать данные её магнитной полосы. А потом подсмотреть или заснять на миниатюрную видеокамеру вводимый вами пин-код.

Конечно, такой сотрудник сильно рискует. Если полиция проанализирует данные транзакций, то быстро обнаружит, что все карты жертв прошли через один терминал в одном заведении. Однако желающие испытать судьбу всё равно находятся.

Что происходит с картами жертв скимминга

Вариантов два: либо организаторы преступного бизнеса сами займутся изготовлением копий карт и хищением денег, либо продадут свою базу на чёрном рынке. Второй вариант более распространён. Сохранённые вместе с пин-кодами данные карты называются дампами. Они широко продаются в даркнете целыми массивами.

Приобретённые дампы записываются на банковские карты без опознавательных знаков (так называемый «белый пластик»). После чего вместе с пин-кодами передаются «дропам» — людям, специально нанятым для обналичивания денежных средств за процент от выведенной суммы. Они и будут ходить от банкомата к банкомату, раз за разом опустошая ваш счёт.

Сложность расследования скимминга заключается в том, что такие преступления совершаются участниками хорошо организованных преступных сообществ. В них существует чёткое разделение ролей, а участники зачастую даже не знакомы друг с другом и могут действовать на территории нескольких государств.

Момент компрометации карты совершенно незаметен для жертвы, а факты снятия цифровой копии карты и её неправомерного использования разнесены во времени вплоть до нескольких месяцев. Поэтому вы, скорее всего, никогда не узнаете, где и каким образом злоумышленники «считали» вашу карту. Исключения составляют случаи, когда полиции или службе безопасности банка удаётся обнаружить на банкомате скимминговую накладку или выяснить, каким банкоматом или POS-терминалом пользовались все потерпевшие.

Что делать, если вы стали жертвой скиммеров

1. Первое, что необходимо сделать, если с вашей карты без вашего ведома сняли деньги — обратиться в свой банк и сообщить о несанкционированной операции. Это позволит предотвратить дополнительные списания, а в ряде случаев и вернуть деньги.
2. Потом следует пойти в полицию и написать заявление. Только так есть шансы поймать мошенников.

Как защититься от скимминга

Это вполне реально.

1. Возьмите за правило внимательно осмотреть банкомат перед тем, как вставить в него карту. На банкомате не должно быть никаких неплотно прилегающих частей, проводов, следов скотча. Попробуйте поддеть ногтем клавиатуру, пошатать рукой картоприёмник. Не бойтесь, банкомат вы не сломаете, а вот накладки, если они есть, обнаружите сразу.
2. Если вдруг вы нашли на банкомате скимминговую накладку, ни в коем случае не снимайте её. Если банкомат стоит в отделении банка, обратитесь к сотрудникам. Если их нет поблизости, позвоните на горячую линию банка. Это очень важно, так как позволит службе безопасности банка вместе с полицией устроить засаду и задержать установщиков скиммингового устройства, когда они придут снимать накладки.
3. Если вы обнаружили накладку после того, как вставили в банкомат карту, надо заблокировать и перевыпустить её. Тем самым вы сможете обезопасить свой счёт. Ведь в большинстве современных скимминговых устройств данные карт сразу передаются на принадлежащий злоумышленникам удалённый сервер.
4. Закрывайте ладонью клавиатуру в процессе ввода пин-кода. Это не только защитит вас от посторонних глаз, но и собьёт с толку установленную злоумышленниками камеру.
5. Не используйте банковскую карту, чтобы открыть дверь в помещение с банкоматом. Подобный электронный замок отреагирует на любую карту. Поэтому вы можете использовать, например, бонусную карту какого-нибудь магазина.
6. Не давайте свою карту в руки сотрудникам сферы обслуживания. Попросите их принести терминал или пройдите к нему сами.
7. Не используйте банкоматы неизвестных вам банков в России и за её пределами. Встретить фейковый банкомат можно в любой стране. Особенно популярен скимминг в Юго-Восточной Азии — так что, отправляясь на отдых, заранее позаботьтесь о наличных деньгах.
8. Обнаружили несанкционированное списание? Немедленно оповещайте банк и блокируйте карту. Злоумышленники часто выводят деньги небольшими партиями, а своевременное блокирование карты позволит вам не допустить опустошения счёта.

Чипы и гибридные карты против скимминга

К счастью, прогресс не стоит на месте. Во всём мире на смену картам с магнитной полосой приходят карты с чипом или гибридные, сочетающие в себе как магнитную полосу, так и электронный чип. Да и банкоматов, которые считывают именно чип, а не магнитную полосу, становится всё больше в мире.

С точки зрения безопасности карта с чипом куда совершеннее традиционной банковской карты. Хотя существуют примеры устройств, предназначенных для перехвата сигнала чипованных карт, сделать копию подобной карты практически невозможно. Подобные разработки единичны и плохо совместимы с современными банкоматами.

Врагом скимминга является и распространение бесконтактных способов оплаты. Вопреки расхожему мнению, бесконтактные платежи — один из самых безопасных способов. Особенно если вы платите со своего смартфона, использующего дополнительные методы авторизации.