ДЕМОКРАТИЧНА УКРАЇНА КРИМІНАЛ
ЯК ЗАХИСТИТИСЬ ВІД КАРДЕРІВ
Історія питання
У 1994 році, коли Україну захопила хвиля шахрайств із використанням фальшивих авізо, тодішній голова Національного банку Віктор Ющенко запевняв: можливості для зловживань криються в тому, що міжбанківські розрахунки провадяться у поштово-телеграфному режимі, а ось коли банки перейдуть на систему електронних платежів, тоді все буде інакше.

Невдовзі банки почали працювати в електронній системі, але шахрайств у цій сфері не поменшало.
З одного боку, міжбанківські платежі справді стали безпечнішими, що підтвердилось на практиці. Так, коли у жовтні 1998 року один із клерків Вінницького відділення НБУ «пробрався» до закритої комп'ютерної мережі й самовільно переказав 80 мільйонів гривень з рахунків банку на рахунки фіктивних фірм, програма захисту зреагувала блискавично: некоректний платіж було виявлено наприкінці операційного дня, а викрадену суму заарештовано і повернуто. А зловмисник разом зі спільниками, котрі мали намір зняти ці гроші за підробленими документами — заарештовані ГУБОЗ МВС.
Та, з іншого боку, коли мільйони наших співгромадян мають пластикові платіжні банківські картки, у шахраїв з'явилась нова можливість для зловживань, і нині найпоширенішим інтелектуальним злочином усе впевненіше стає саме підроблення карток і незаконне отримання коду власника. Цей вид шахрайства скорочено називається кардерством. Таким шляхом зловмисники викрадають гроші, що знаходяться на особистих рахунках клієнтів, рух по яких відстежити вкрай важко. Але втрати несуть банки, бо видаючи людині кредитну картку, вони беруть на себе відповідальність за зберігання її грошей.
За приблизними підрахунками спеціалістів, кардери щороку завдають шкоди світовій економіці на суму не менш як сто мільярдів доларів США, і ця цифра з кожним роком зростає. Найбільше страждають, звичайно, Північна Америка і Західна Європа, але Україна теж не стоїть осторонь. Хоча виконавчий директор Національного банку України з питань платіжних систем Віктор Кравець сказав, що не володіє інформацією про збитки, заподіяні нашій країні цим видом злочинів, але відомо, що впродовж останніх років у нас було викрито кілька організованих злочинних груп кардерів.
Найбільші з них — одеське угруповання, що займалося викраденням грошей «Сіті-банку», і міжнародна злочинна організація «Кардерпланета», кримінальну справу якої розглядає Солом'янський районний суд Києва. Про діяльність останньої докладно розповідалось в одному з минулих номерів нашої газети. Нагадаємо, що за даними МВС, члени цієї організації протягом 2002—2004 років виготовили 1333 картки, які надалі використали у 23 країнах світу, викравши, таким чином, 3,6 мільйона доларів, що належали міжнародним платіжним системам «Віза», «Мастер-кард» і «Американ-експрес».
До вироку суду поки рано судити про ступінь вини підсудних, однак деякі висновки щодо технології кардерства і способів боротьби з ним можна зробити вже зараз.

Дроп-сервіс
Найголовнішим елементом платіжної картки є інформація, що міститься на її магнітній смужці, мовою спеціалістів — дампа. Саме там знаходяться відомості про те, хто власник картки й скільки у нього грошей на рахунку.
Ця інформація зберігається за «сімома замками» в банках, що забезпечують роботу міжнародних платіжних систем. Вона відгороджена від стороннього ока десятками захисних комп'ютерних програм із паролями, відомими лише вузькому колу осіб. Однак інформацію у великій кількості викрадають клерки, до чиїх обов'язків входить заносити її до комп'ютерної бази банку. Для них це простіше простого. Навіть не треба нічого за пазуху ховати — досить скопіювати потрібні дані й покласти їх до своєї електронної поштової скриньки.
В одних випадках зловмисникам вдається викрасти лише дампи, в інших разом із дампами — й пін-коди. Якщо кардерам вдається отримати лише дампи, то використати їх вони зможуть лише в установах торгівлі й сервісу, де обслуговують клієнтів за кредитними картками: безплатно зняти номер у готелі чи отоваритися у крамниці. Причому спеціально проінструктований персонал пильно вдивляється на малюнок картки та її текст, і коли щось у ній не сподобається, він має право перевірити документи власника. Тож у цьому разі зловмисникам доведеться виготовити картку точнісінько таку, як і справжня, а цей процес — складний і дорогий. Саме лише обладнання для виготовлення карток коштує майже 30 тисяч доларів.
Та якщо кардерам, окрім дампи, відомий ще й пін-код, у всій цій апаратурі немає потреби — досить на шматок білого пластику наклеїти магнітну смужку і можна сміливо запускати його в банкомат, який, на відміну від живого касира, на малюнок картки не дивиться і в паспорт не заглядає.
Останнім часом програмісти розробили ефективний метод боротьби з крадіжками через підроблені картки. Суть його полягає в тому, що тільки-но з рахунку власника кредитки знімають якусь суму, як на його мобільний телефон про це одразу ж приходить SMS-повідомлення. Оскільки усі вони не розстаються зі своїми «мобілками», то касир крамниці легко може перевірити, хто перед ним — чесний покупець чи шахрай. Якщо клієнт не показує їй телефон із повідомленням,— це привід попросити його показати паспорт, а якщо немає ні того, ні іншого — це вже причина викликати службу безпеки банку. Нехай вона розбирається: якщо порядна людина — вибачаться і відпустять, якщо шахрай — передадуть до міліції.
Такий метод діятиме безвідмовно, якщо, звичайно, не брати до уваги всі технологічні збої, наприклад, якщо SMS-повідомлення йтиме кілька секунд, а не годинами, якщо дівчина-касир буде не ворон лічити, а суворо дотримуватися інструкції, якщо охорона не відпускатиме зловмисника за викуп. Але у випадках, коли шахраям відомий пін-код і вони знімають гроші з банкоматів, цей спосіб, звичайно, безсилий. Яка радість від того, що власник картки швидко отримає повідомлення про те, де, коли і на яку суму з його рахунку викрадено гроші, якщо зловмисникам вистачить лічених хвилин, аби зникнути з місця злочину.
Однак для боротьби з цим видом кардерства винайдено інший спосіб, який, зокрема, був успішно випробуваний в Естонії. Про цей досвід на семінарі, організованому членами робочої групи Кабінету Міністрів України з попередження махінацій з платіжними картками, докладно розповіла представник Української міжбанківської асоціації Лариса Макарова.
Торік у Таллінні почастішали випадки зняття грошей з банкоматів «Ганза-банку» за підробленими картками. Тоді його служба безпеки обладнала прихованими відеокамерами кілька найбільш відвідуваних шахраями банкоматів і, зіставивши час і місце викрадень з даними відеоспостереження, отримала портрети деяких зловмисників. Виставивши засідки біля банкоматів, місцева поліція «сіла на хвіст» деяким із них, проте одразу брати не стала, а вирішила постежити за ними, щоб виявити їхні зв'язки.
Річ у тім, що світовій практиці відомі випадки, коли кардери посилають знімати гроші з банкоматів рядових членів угруповань, котрим мало що відомо про діяльність усієї злочинної організації. Зазвичай це молоді люди — їх ще називають дропами. За свої послуги, котрі називають дроп-сервісом, вони отримують мізерну винагороду, однак у разі затримання завжди можуть вигадати якусь байку. Наприклад, про те, ніби гроші попросив зняти випадковий перехожий, котрий боявся ненароком зустріти біля банкомата свою покинуту коханку. І жоден суд не вбачатиме в його діянні злочинного умислу.
Саме тому естонська поліція провела серію арештів лише наприкінці січня цього року, коли стеження за дропами вивело їх до ватажків. Усього по справі до в'язниці потрапило 17 учасників цієї афери, шкода від якої оцінюється у 510 тисяч євро.
Описаний спосіб боротьби з кардерами — ефективний, однак лише в тому разі, коли діяльність зловмисників обмежена локальними рамками невеликого міста. У випадку ж із «Кардерпланетою», яка розкинула свої щупальці по 23 країнах світу, застосувати його, звичайно, вкрай важко.

Стережися ближнього
НБУ вважає дієвим засобом запровадження нових високозахищених технологій, наприклад, перехід на чип-карти, які значно складніше підробити. З цією точкою зору важко не погодитись, тим більше, що у Франції після повсюдного впровадження чип-карт кількість пов'язаних із ними шахрайств зменшилась утричі. Єдиною проблемою може стати технічне переоснащення величезної кількості банкоматів, однак розумні люди і тут знайшли вихід — придумали дуальні картки, на яких водночас розмістили і магнітні смужки, і чип-модулі. Та все-таки і це — не панацея, адже комп'ютерні системи захисту банків «зламують» ті люди, котрі їх створюють, тобто самі ж програмісти.
Саме тому головне завдання служби безпеки будь-якого банку полягає не в тому, щоб разом з міліцією ловити кардерів по всьому світу після того, як інформація про рахунки клієнтів була вкрадена, а в тому, щоб стежити за своїми ж службовцями і цієї крадіжки не допустити. Робота із секретними документами має бути побудована так, аби кожен клерк мав доступ лише до однобокої й неповної інформації, ніколи не володіючи нею в повному обсязі. Наприклад, один заносить до комп'ютерної бази анкетні дані клієнта, інший — дампи, третій — коди. Тоді «витікання» інформації на одній з ділянок не призведе до катастрофічних наслідків.
Проте, судячи з численних свідчень банківських «сек'юриті», в реальному житті цього принципу дотримують не завжди, і, за бажання, будь-який клерк зможе «покопатися» в чужому комп'ютері, незважаючи ні на жодні паролі. Технічно це зробити так само легко, як і залізти до особистого сейфа свого сусіда, коли той має погану звичку не зачиняти дверей, виходячи з кабінету, чи залишати на робочому столі зв'язку ключів.
У цій ситуації практика управління не вигадала нічого кращого, аніж давньоримський принцип: «розділяй і владарюй». В будь-якій фінансовій установі, а тим більше у банку, між співробітниками треба підтримувати дух суперництва і здорової конкуренції. Кожен службовець має стежити не лише за собою, а й за своїм сусідом, і поспішати доповісти керівництву про кожне порушення режиму секретності. І не так важливо, які мотиви керуватимуть ним: бажання вислужитися, зайняти його місце чи просто досадити: головне, щоб клерки боялися хоч на йоту відступити від інструкції.
Не варто ображатися на такий випробуваний часом засіб як «перевірка на вошивість» — спецслужби ще нескоро спишуть його за непотрібність зі свого арсеналу. Тому, почувши від колеги спокусливу пропозицію поділитися секретами, кожен службовець має хутко бігти з доповіддю до інспектора з режиму. І не тому, що він такий чесний, а тому, що йому стане страшно від однієї думки про те, що це вправно влаштована провокація, результатом якої буде якщо не звільнення, то у всякому разі усунення від роботи із секретними документами з переведенням на нижчу посаду. Нехай це видасться цинічним, але коли стосується питань безпеки, тут не до сентиментів — тому, хто звик підставляти другу щоку, не місце у бізнесі.

Юрій КОТНЮК
також у паперовій версії читайте:

• ГРОШІ ЗА ВИБУХІВКУ

назад »»»