О современных тенденциях в области карточного мошенничества, миграции ATM-фрода из Западной Европу в Восточную, распространенных методах онлайн-мошенничества в мире и России, а также о слабых и сильных сторонах систем обеспечения безопасности транзакций, используемых сегодня банками, в своем интервью журналу «ПЛАС» рассказывает Алексей Голенищев, директор Дирекции мониторинга электронного бизнеса Альфа-Банка.
ПЛАС:Вначале хотелось бы коснуться такой по-прежнему очень актуальной сегодня темы, как банкоматное мошенничество. Если говорить о ATM-фроде в Европе в целом и в России в частности, какие тенденции вы считаете здесь наиболее значимыми?
А. Голенищев: Банкоматное мошенничество сегодня по-прежнему остается достаточно значимым видом преступлений в сфере высоких технологий в Европе. Сейчас наблюдается ярко выраженная тенденция к миграции ATM-фрода из региона Западной Европы в Восточную Европу. В частности, такие страны Западной Европы как Великобритания, Германия, Испания и Франция отмечают значительный спад банкоматного мошенничества – как в абсолютных цифрах, так и в плане уменьшения его доли в общем количестве мошеннических операций по картам. При этом мы наблюдаем практически симметричный по цифрам всплеск этого вида мошенничества в Восточной Европе: прежде всего в Болгарии, на Украине и в России.
Сложившаяся ситуация обусловлена тем, что страны Западной Европы сегодня практически завершили EMV-миграцию как в части эмиссии чиповых карт, так и инфраструктуры их обслуживания, включая банкоматные сети. В связи с этим использование поддельных карт с магнитной полосой, на которой записаны реквизиты скомпрометированных чиповых карт, на данном рынке становится для мошенников менее эффективным, чем это было ранее, а чаще – практически невозможным.
Поэтому сегодня рынки США, Латинской Америки, Восточной Европы и ряда стран Азиатско-Тихоокеанского региона, таких, например, как Таиланд, становятся более интересными для банкоматных мошенников – как в качестве источника реквизитов карт, скомпрометированных путем скимминга, так и в качестве плацдарма для использования так называемого белого пластика. Хотя Западная Европа, несомненно, все еще остается популярной у мошенников как место компрометации карт, поскольку с точки зрения транзакционной активности и средних размеров остатков на картсчетах клиентов этот регион весьма интересен преступникам, и там по-прежнему выявляются достаточно частые случаи установки скимминговых устройств на банкоматы.
Тем не менее по сравнению с CNP-фродом (транзакции электронной коммерции, мобильной коммерции и т. д., – т.е. операции, при проведении которых карта физически не присутствует в месте совершения транзакции), доля скимминга/ банкоматного мошенничества в Западной Европе в общем количестве преступлений такого рода невысока. Как правило, мошенники предпочитают использовать для снятия наличных в банкоматах поддельные карты с реквизитами реальных карт, скомпрометированных в Западной Европе, в других регионах – там, где чиповые технологии еще отстают по уровню внедрения.
Особенно это характерно для стран, где не действует программа переноса ответственности по мошенническим операциям Chip Liability Shift (например, для США). Так, если наличные деньги по поддельной карте, чья магнитная полоса была скопирована с чиповой карты, были сняты в банкомате в США, то банк-эмитент, который затратил немало средств на миграцию своей эмиссионной программы на чип, не сможет «опротестовать» такую операцию и понесет потери от мошенничества.
ПЛАС:Какие методы противодействия банкоматному мошенничеству на сегодняшний день видятся наиболее эффективными?
А. Голенищев: На самом деле эффективных способов противодействия не так уж и много. Базовым подходом должен, конечно же, стать полный переход на чиповые технологии как карточных программ, так и эквайринговой инфраструктуры, с последующим запретом на проведение транзакций по магнитной полосе и в дальнейшем с отказом от технологии гибридных карт, – когда на карте присутствует как чип, так и магнитная полоса. Иными словами, карта должна стать исключительно чиповой.
К сожалению, слабыми звеньями EMVмиграции по-прежнему остаются такие страны, как США, а также ряд стран АТР. Америка до сих пор играет «по своим правилам». По данным международных платежных систем, США перейдут на полный Chip Compliance и присоединятся к программе Chip Liability Shift лишь в 2015г. Поэтому сегодня, к сожалению, тенденция такова, что если какой-либо банк и перейдет полностью на чиповые технологии в 2012–2013гг., то магнитная полоса выпущенной им чиповой карты все равно может быть где-либо скомпрометирована, и если ее реквизиты «уедут», например, в США или в Таиланд, и там будет использована поддельная карта с этими реквизитами, то банк-эмитент понесет потери, несмотря на сделанные им инвестиции в EMV-миграцию.
Следующий большой блок мер противодействия включает в себя комплекс как сравнительно недорогих, так и более затратных решений, сводящихся к оснащению банкоматов всевозможными антискимминговыми устройствами. Здесь два больших направления: оснащение банкоматов пассивными и активными антискимминговыми устройствами.
И первое из них, уже успевшее стать традиционным, – установка различных накладок на область картоприемника, предназначенных физически препятствовать установке скиммингового оборудования. Но по моему мнению, как и по мнению многих моих коллег, такой метод уже доказал свою малую эффективность и в некоторых случаях приносит больше вреда, чем пользы. Здесь сказываются несколько факторов, в частности, огромное разнообразие антискимминговых устройств и резко возросшее качество производства преступниками скиммингового оборудования, достигающее промышленного уровня (в некоторых случаях, в плане качества изготовления и дизайна, скимминговые накладки выглядят не хуже антискимминговых). В результате не только клиенты, но зачастую даже не все специалисты банка могут отличить антискимминговое устройство от скиммингового и наоборот. Тем более что во всем мире не такой уж широкий спектр производителей банкоматов, и если говорить об аппаратах тройки лидеров, то сегодня уже буквально на каждую их антискимминговую накладку преступниками разработана своя скимминговая, внешне точно копирующая ее дизайн.
ПЛАС:В таком случае, что вы можете сказать о практике применения активных антискимминговых устройств?
А. Голенищев: Современные активные антискимминговые решения – это устройства внутреннего размещения, расположенные, как правило, рядом с областью картоприемника банкомата. Они генерируют электромагнитное излучение, направленное непосредственно на область щели картоприемника. И в случае установки скиммингового модуля такими устройствами создаются сильные электромагнитные помехи, препятствующие корректному копированию данных магнитной полосы. Данное решение значительно дороже пассивных антискимминговых устройств, его стоимость достигает уровня 1000–2000 евро за установку одного такого устройства, но, к сожалению, это тоже не панацея… Так, в ряде банков уже были отмечены случаи, когда эти устройства по каким-то причинам не срабатывали. Несмотря на то, что эти отказы не носили системного характера, нельзя забывать, что даже один случай здесь – очень неприятный сюрприз для банка, ставящий под сомнение эффективность подхода в целом. Таким образом, как показывает практика, достаточно высокие инвестиции в подобный метод защиты не гарантируют банку полной безопасности своей банкоматной сети и тем более не являются поводом сэкономить на регулярном осмотре своих АТМ специально обученными сотрудниками. Следующий весьма неприятный тренд в банкоматном фроде, от которого на сегодняшний момент не защищают ни активные, ни пассивные средства антискимминговой защиты, это установка скиммеров на эдвантеры (специализированные устройства со считывателем магнитной полосы банковской карты, используемые на автоматических дверных замках) самых различных дизайнов – в банковских павильонах, банковских зонах самообслуживания 24х7 и т.п. Как правило, в ночное время суток доступ в них осуществляется путем «прокатывания» банковской карты через эдвантер (такие устройства устанавливались для защиты от вандалов и повышения личной безопасности клиента при совершении операции в ночное время суток). На сегодняшний день зафиксировано уже множество случаев размещения на эдвантерах (либо вместо них) скимминговых устройств, которые копируют данные магнитной полосы при использовании клиентом банковской карты для получения доступа в помещение. Такие устройства синхронизируются либо с устанавливаемыми преступниками устройствами для компрометации ПИН-кода, например, мини-видеокамерами, либо с мошеннической накладкой на клавиатуру, а затем ПИН-код вместе с данными полосы используются для производства «белого» пластика. От такого вида мошенничества защититься крайне трудно: эдвантеры не отличаются широким ассортиментом, фактически однотипны, программное обеспечение к ним можно бесплатно скачать в Интернете. Уже были зарегистрированы случаи похищения эдвантеров (в том числе и в Москве), после чего в штатное устройство преступники вставляли магнитную головку и электронную начинку для копирования данных банковских карт, используемых при открытии дверей. Воруют эдвантеры и для того, чтобы изготовить в их дизайне скимминговый вариант. Как и в случае со скимминговым оборудованием, устанавливаемым на банкомат, зачастую такие устройства смотрятся даже эстетичнее, чем оригинал, хотя и сделаны вручную. Выход здесь я вижу только один – полностью отказаться от использования эдвантеров в банковских павильонах (например, ограничиться только кнопкой «разблокировки») – так как на деле от вандалов они не защищают, а риски скимминга многократно увеличивают.
ПЛАС: В последнее время эксперты говорят, что настало время ради защиты от скимминга вообще отказаться в банкоматах от каких-либо выступающих деталей, фрагментов дизайна и т. п. – фронтальная панель у современного банкомата должна быть совершенно плоской. Ваше мнение по этому поводу?

