Что такое скимминг, кардинг и как с ним бороться

Не предвиденное списание с карты.

На экране высвечивается сообщение: с карты списаны или сняты деньги. Вы хватаетесь за портмоне, предположив, что «пластик» потерян или украден но нет, всё на месте. О том, кто тратит ваши деньги и как вору удалось до них добраться читайте в материале.

Фактически карта и правда похищена. Вернее, украдена её информационная составляющая:

данные номер самой карты

пароли

CVC-код.

Сценарий — когда жертва добровольно отдаёт сведения о карте (а они буквально на вес золота) в руки мошенников, сейчас это называется «социальная инженерия». Но сейчас речь пойдёт о другой технологии, не менее распространённой о скимминге — на англ. skimming

skimming-card

Скимминг, кардинг…

Частным случаем кардинга является скимминг (от англ. skim  — снимать сливки), при котором используется скиммер — инструмент злоумышленника для считывания, например, магнитной дорожки платежной карты. При осуществлении данной мошеннической операции используется комплекс скимминговых устройств.

Скимминг технология кражи данных банковской карты для последующего изготовления её копии. Классический скимминг подразумевает физическое взаимодействие устройства злоумышленников с картой жертвы. То есть вы должны вставить её в скомпрометированный банкомат или платёжный терминал.

Заявление зампреда Сбербанка по поводу кардинга, скимминга

В России скимминг практически изжит ещё в 2019 году зампред правления Сбербанка Станислав Кузнецов заявил: «Фактически в нашей стране почти сведён данный вид мошенничества к нулю». Год спустя замдиректора департамента ЦБ РФ по информационной безопасности Артём Сычёв отмечал в беседе с журналистами, что в России «вообще исчез» такой тип махинаций, как скимминг. «Есть факты, которые мы фиксируем, когда люди говорят, что с их карт что-то списали в банкомате это 100% использование карты за рубежом. На территории Российской Федерации такое не работает», сказал Сычёв.

Так и есть, однако не стоит забывать, что в мире распространены банкоматы и платёжные терминалы, которые считывают именно информацию с магнитной полосы а значит, на них можно установить накладку и похитить данные карты. Скорее всего, когда мошенники попытаются снять деньги, ваш банк заблокирует подозрительную операцию, но шанс на успех у злоумышленников есть, хоть и небольшой. Не стоит его увеличивать своими руками помните, что осторожность и осмотрительность никогда не вредят.

Как мошенники крадут информацию о карте?

Скимминг с помощью накладки на картоприемник


Для воровства денег используется специальная накладка поверх картоприёмника (того самого отверстия в банкомате, куда мы, клиенты, вставляем карту). Она позволяет злоумышленникам считывать информацию с нашего «пластика». А для того, чтобы узнать пин-код, устанавливают или фальш-клавиатуру на банкомат, или миниатюрную камеру, направленную на панель ввода.

Главная задача считывателя получить данные магнитной полосы карты и передать их на сервер мошенников. Считывание происходит в момент прохождения карты через накладку, наклеенную на картоприёмник банкомата.

Наверняка вы обращали внимание на то, что банкоматы разных моделей и разных банков имеют картоприёмники весьма причудливых форм. Это сделано не для красоты, а чтобы затруднить установку скимминговой накладки. Использование уникальных картоприёмников не позволяет создать универсальные считыватели и вынуждает злоумышленников изготавливать индивидуальные накладки для каждого банка и типа банкоматов, что требует дополнительных затрат.

Считыватель на входной двери в помещение банкомата

Но считыватель не обязательно располагается на банкомате. Бывали случаи, когда он устанавливался на двери, ведущей в помещение с банкоматом. Под видом устройства, предназначенного для открывания двери в ночное время.

Фиктивная клавиатура

Со вторым компонентом фальш-клавиатурой всё просто: её накладывают поверх настоящей клавиатуры банкомата и фиксируют все нажатия.

Из-за того, что многие современные банкоматы имеют нестандартные клавиатуры и специальные приспособления, затрудняющие установку фальш-панели, злоумышленники часто заменяют её на миниатюрную камеру, расположенную либо на самом банкомате, либо в одном с ним помещении. Именно из-за возможности наличия скрытых камер следует прикрывать рукой клавиатуру банкомата, даже если рядом с вами никого нет.

Установка скимминговых накладок на банкомат занимает считанные секунды. Срок их жизни как правило, пара часов, максимум день-два. Потом они снимаются, перезаряжаются и переносятся на новый банкомат. За это время накладки успевают обработать несколько сотен банковских карт, данные которых сохраняются в специальную базу.

Вредоносное ПО

Бывали случаи, когда банкомат заражался вредоносной программой, делавшей из него один большой скиммер. Но если вы имеете дело с банкоматами крупных банков, шансы встретить такое модифицированное устройство стремятся к нулю. Могут ли украсть карту другим способом?
Да, через POS-терминал устройство для обработки безналичных платежей. Встретить их можно в магазинах и киосках, кафе и ресторанах, гостиницах. Везде, где товар или услугу можно оплатить банковской картой. Они могут быть стационарными или портативными, но суть их работы не меняется. Такие терминалы взаимодействуют с вашей картой точно так же, как банкомат.

Иногда POS-терминал может быть перепрошит или заменён на модифицированный. В таком случае он приобретает дополнительный функционал, который может быть использован для создания копий прошедших через него банковских карт. При этом владелец заведения может не знать об этом, в отличие от его недобросовестных сотрудников.

Потеря контроля над картой

Вы наверняка не раз сталкивались с ситуацией, когда, желая оплатить картой ужин в ресторане, давали её официанту. Он уходил с картой и вскоре возвращался с терминалом для оплаты. Делать так (вам, а не официанту) нельзя. Во-первых, отдавая карту в руки незнакомому человеку, вы даёте ему возможность записать её номер и реквизиты. Их будет достаточно для совершения некоторых типов онлайн-платежей (тех, где не требуется ввод кода из сообщения). Во-вторых, пока карта вне вашего поля зрения, сотрудник при помощи специального устройства может скопировать данные её магнитной полосы. А потом подсмотреть или заснять на миниатюрную видеокамеру вводимый вами пин-код.

Конечно, такой сотрудник сильно рискует. Если полиция проанализирует данные транзакций, то быстро обнаружит, что все карты жертв прошли через один терминал в одном заведении. Однако желающие испытать судьбу всё равно находятся. Что происходит с картами жертв скимминга
Вариантов два: либо организаторы преступного бизнеса сами займутся изготовлением копий карт и хищением денег, либо продадут свою базу на чёрном рынке. Второй вариант более распространён. Сохранённые вместе с пин-кодами данные карты называются дампами. Они широко продаются в даркнете целыми массивами.

Что делают злоумышленники с данными карт

Приобретённые дампы записываются на банковские карты без опознавательных знаков (так называемый «белый пластик»). После чего вместе с пин-кодами передаются «дропам» людям, специально нанятым для обналичивания денежных средств за процент от выведенной суммы. Они и будут ходить от банкомата к банкомату, раз за разом опустошая ваш счёт.

Последствия скимминга — расследование и результативность

Сложность расследования скимминга заключается в том, что такие преступления совершаются участниками хорошо организованных преступных сообществ. В них существует чёткое разделение ролей, а участники зачастую даже не знакомы друг с другом и могут действовать на территории нескольких государств.

Момент компрометации карты совершенно незаметен для жертвы, а факты снятия цифровой копии карты и её неправомерного использования разнесены во времени вплоть до нескольких месяцев. Поэтому вы, скорее всего, никогда не узнаете, где и каким образом злоумышленники «считали» вашу карту. Исключения составляют случаи, когда полиции или службе безопасности банка удаётся обнаружить на банкомате скимминговую накладку или выяснить, каким банкоматом или POS-терминалом пользовались все потерпевшие. Что делать, если вы стали жертвой скиммеров
Первое, что необходимо сделать, если с вашей карты без вашего ведома сняли деньги обратиться в свой банк и сообщить о несанкционированной операции. Это позволит предотвратить дополнительные списания, а в ряде случаев и вернуть деньги.

Потом следует пойти в полицию и написать заявление. Только так есть шансы поймать мошенников. Как защититься от скимминга
Это вполне реально.

Меры предосторожности — как избежать скимминга

Возьмите за правило внимательно осмотреть банкомат перед тем, как вставить в него карту. На банкомате не должно быть никаких неплотно прилегающих частей, проводов, следов скотча. Попробуйте поддеть ногтем клавиатуру, пошатать рукой картоприёмник. Не бойтесь, банкомат вы не сломаете, а вот накладки, если они есть, обнаружите сразу.

Закрывайте ладонью клавиатуру в процессе ввода пин-кода. Это не только защитит вас от посторонних глаз, но и собьёт с толку установленную злоумышленниками камеру.

Не используйте банковскую карту, чтобы открыть дверь в помещение с банкоматом. Подобный электронный замок отреагирует на любую карту. Поэтому вы можете использовать, например, бонусную карту какого-нибудь магазина.

Не давайте свою карту в руки сотрудникам сферы обслуживания. Попросите их принести терминал или пройдите к нему сами.

Не используйте банкоматы неизвестных вам банков в России и за её пределами. Встретить фейковый банкомат можно в любой стране. Особенно популярен скимминг в Юго-Восточной Азии так что, отправляясь на отдых, заранее позаботьтесь о наличных деньгах.

Если вдруг вы нашли на банкомате скимминговую накладку, ни в коем случае не снимайте её. Если банкомат стоит в отделении банка, обратитесь к сотрудникам. Если их нет поблизости, позвоните на горячую линию банка. Это очень важно, так как позволит службе безопасности банка вместе с полицией устроить засаду и задержать установщиков скиммингового устройства, когда они придут снимать накладки.

Что делать если данные карты похитили

Если вы обнаружили накладку после того, как вставили в банкомат карту, надо заблокировать и перевыпустить её. Тем самым вы сможете обезопасить свой счёт. Ведь в большинстве современных скимминговых устройств данные карт сразу передаются на принадлежащий злоумышленникам удалённый сервер.

Обнаружили несанкционированное списание? Немедленно оповещайте банк и блокируйте карту. Злоумышленники часто выводят деньги небольшими партиями, а своевременное блокирование карты позволит вам не допустить опустошения счёта. Чипы и гибридные карты против скимминга
К счастью, прогресс не стоит на месте. Во всём мире на смену картам с магнитной полосой приходят карты с чипом или гибридные, сочетающие в себе как магнитную полосу, так и электронный чип. Да и банкоматов, которые считывают именно чип, а не магнитную полосу, становится всё больше в мире.

Какие карты безопаснее

С точки зрения безопасности карта с чипом куда совершеннее традиционной банковской карты. Хотя существуют примеры устройств, предназначенных для перехвата сигнала чипованных карт, сделать копию подобной карты практически невозможно. Подобные разработки единичны и плохо совместимы с современными банкоматами.

Безопасные способы оплаты

Врагом скимминга является и распространение бесконтактных способов оплаты. Вопреки расхожему мнению, бесконтактные платежи один из самых безопасных способов. Особенно если вы платите со своего смартфона, использующего дополнительные методы авторизации.

Бесконтактный платёж с использованием смартфона будет безопасным, даже если POS-терминал, которым вы воспользовались, скажем, в кафе, был модифицирован злоумышленниками. Ведь вы не вводите ни данные карты, ни пин-код, а за шифрование и безопасность трансакции отвечает специальный чип, встроенный в ваше мобильное устройство.