За май 2007 года в мире было зарегистрировано более 23,5 тысяч сообщений о фактах фишинга, то есть выуживания личной информации о владельцах пластиковых карт. Классическим примером фишинга стали электронные письма со ссылками на лжесайт банка, где картхолдеру под различными предлогами предлагается ввести конфиденциальные данные. Всего в мире было обнаружено 37,5 тысяч подобных сайтов, при этом большинство из них располагалось в США (32,41%), а в России – только 7,41% от общего числа. Такие данные обнародовала международная ассоциация IT-компаний по борьбе с фишингом – Anti-Phishing Working Group.
Заполнить анкету на «банковском» сайте – все равно, что отдать свой кошелек в руки жулика, ведь иногда для оплаты с картсчета не требуется предъявления пластиковой карты. Зная номер карты, ее код CVC2 или CVV2 (три цифры кода безопасности на обороте), срок действия, мошенник может совершать покупки в интернет-магазине или оплачивать некоторые другие услуги, к примеру, междугородние разговоры. По словам начальника управления взаимодействия с платежными системами «Альфа-банка» Алексея Голенищева, зная номер карты, паспортные данные и прочее, мошенники могут попробовать через банковские сервис-центры сменить логины-пароли доступа, но для этого им необходимы знание технологий конкретного банка и особенностей конкретного пластикового продукта.
Первый случай фишинга с незаконным использованием банковского бренда был зарегистрирован в России в 2004 году: мошенники рассылали от имени «Ситибанка» письма по электронной почте с сообщением, что на счет клиента поступило две тысячи долларов. Чтобы получить деньги, предлагалось по ссылке пройти на сайт и заполнить анкету. Весной этого года от имени «Райффайзенбанка Австрия» было разослано сообщение, предлагающее обновить личные данные на лжесайте банка под предлогом модернизации системы безопасности.
К сожалению, взломщики пластиковых карт орудуют не только в Интернете, но и в реальной жизни. В начале 2007 года в Уральском регионе была задержана банда мошенников, промышлявших взломом кредиток. Преступная группировка из семи человек завербовала нескольких сотрудников почтовых отделений в Тюмени, Кургане и Омске, благодаря чему перехватывала заказные письма с конфиденциальной информацией о заключении договоров на кредитное обслуживание по картам, которые банк адресовал своим клиентам. Ряд банковских менеджеров, вовлеченных в деятельность преступной группы, вносили в клиентскую базу ложные данные о личности заемщиков, после чего мошенники от их имени вступали в финансовые отношения с банком. Выдавая себя за клиентов банка, преступники получали от операторов секретные коды доступа для активации кредитных карт, а затем снимали с их помощью наличные денежные средства с банковских счетов через уличные банкоматы. По эпизодам преступной деятельности участников группировки возбуждено в общей сложности 30 уголовных дел. Общая сумма похищенного составила почти 10 миллионов рублей. Потерпевшими признаны около 200 жителей трех регионов Урала и Сибири.
Взломать можно не только кредитную карту, которую щедрый банк высылает клиентам обычным письмом, но и дебетовую, если ее владелец не соблюдает элементарных требований безопасности.
«Нельзя передавать карту или сообщать ПИН-код посторонним лицам; все операции должны совершаться в присутствии клиента в торгово-сервисной точке, – рекомендует начальник отдела банковских карт Челябинского отделения Сбербанка России Евгений Вековшинин. – Нужно установить «особый режим» обслуживания карты, определив список стран, в которых разрешено её использование, при этом во всех остальных странах действие карты будет ограничено. Чтобы контролировать расходы, удобно и целесообразно подключить услугу «мобильный банк», которая даёт возможность получать оперативную информацию об операциях по карте и контролировать списания в реальном времени: оплатив покупку с помощью карты, клиент сразу же получает SMS-сообщение на свой мобильный телефон, в сообщении он видит сумму, списанную со счета карты. В случае утраты карты, клиент с помощью «мобильного банка» имеет возможность немедленно заблокировать карту, отправив SMS-сообщение».
В мае этого года в Екатеринбурге сотрудники правоохранительных органов поймали с поличным преступную группировку выходцев из Болгарии. Мошенники пытались завладеть конфиденциальными данными держателей банковских карт «СКБ-банка» с целью дальнейшего снятия наличных с их карточных счетов. Заместитель председателя правления «СКБ-банка» Олег Демин рассказал, что технология, которую использовали задержанные, широко известна за рубежом. Для сканирования информации с магнитной полосы карты на банкомате скрытно установлено миниатюрное устройство – скиммер (от англ. skimmer – «сборщик»), а для определения PIN-кода – тонкая накладка на клавиатуру. Полученные преступным путем конфиденциальные данные затем используются для изготовления подложной карты и снятия наличных с карточного счета при помощи выявленного PIN-кода. Подобные эпизоды мошенничества в течение 2007 года неоднократно зафиксированы в Нью-Йорке, Стокгольме, Мадриде и других мировых столицах. В России данный вид преступлений – кардинг – пока малоизвестен. В Екатеринбурге правоохранительные органы столкнулись с таким изощренным мошенничеством впервые, однако сумели успешно ему противостоять.
«Держатели банковских карт от мошеннических действий кардеров в Екатеринбурге пострадать не успели – преступников задержали с «поличным» на месте, – комментирует события Олег Демин. – Однако в целях безопасности хранения денежных средств наших клиентов банковские карты, которые могли попасть в зону действия мошенников, были перевыпущены».
Перестраховка никогда не помешает, но, по словам начальника службы безопасности челябинского филиала банка «Северная казна» Игоря Цирюльника, случаются и курьезные случаи: клиенты банка обращаются с заявлениями о пропаже средств со счета карты, а потом оказывается, что это недоразумение: кто-то из близких, знающих информацию о ПИН-коде и имеющих доступ к карте, обналичил средства и просто еще не успел об этом сказать.
На днях на одном из специализированных финансовых порталов была опубликована информация, что сразу несколько банков, в том числе «Альфа-банк», Банк Москвы и «Промсвязьбанк», предупредили через интернет-сайты своих клиентов о телефонных мошенниках, которые начали охоту за реквизитами пластиковых карт частных лиц. Мошенники при помощи автоответчика оповещали жертв о якобы существующей задолженности перед банком по потребительскому или карточному кредиту. Когда же растерянный человек связывался с «оператором», у него пытались выудить номера любых имеющихся у него банковских карт под предлогом проверки: «Вдруг по ним злоумышленники также взяли кредит». Начальник процессингового центра Банка Москвы Вячеслав Межов советует клиентам при малейших подозрениях прекратить общение с оператором и сделать контрольный звонок в банк по общедоступным телефонам, помещенным на официальном сайте организации или непосредственно на пластиковой карте. Также владельцам карт банкиры настоятельно рекомендуют подключать sms-оповещение и пользоваться интернет-банкингом, чтобы немедленно узнавать, какие операции и где были проведены по карте.
«Если же вы по неосторожности все-таки сообщили посторонним свои данные, следует сразу оповестить об этом банк, заблокировать, а затем перевыпустить карту, – советует Вячеслав Межов. – Лучше заплатить за перевыпуск, чем потерять все средства».
По словам начальника оперативно-розыскной части отдела по борьбе с экономическими преступлениями при УВД Челябинска Андрея Солопова, мошенничества в сфере IT-технологий еще не докатились до Южного Урала, в Челябинске пока не зарегистрировано ни одного случая. А вот другие виды правонарушений в банковской сфере распространены: за первое полугодие 2007 года было выявлено более 300 преступлений по статье 159 УК РФ «Мошенничество».
По словам Андрея Солопова, в 70% случаев мошенничества в банковской сфере происходят с участием служащих финансовых структур, которые получают «откат» в размере 15-50%. Причем бывают случаи участия в сговоре не только рядовых служащих, но и менеджеров. Данный вид нарушения законодательства очень сложно доказуем, так как привлечь к ответственности служащего банка возможно только при наличии заявления от самой финансовой структуры. По словам Андрея Солопова, банки дорожат репутацией и предпочитают не выносить сор из избы: в Челябинске было всего два случая, когда финансовая организация «сдавала» проворовавшегося сотрудника.
Если в суде и удается доказать преступление, то мошенники несут незначительное наказание – в большинстве случаев условный срок. Попасть в тюрьму грозит лишь совершившим преступления в особо крупных размерах, участникам организованной группы или работникам финансовых структур, использовавших служебное положение в корыстных целях. Максимально суровое наказание – 10 лет лишения свободы, но, как правило, по решению суда срок не превышает четыре года. Альтернативой заключения под стражу может стать административное взыскание – штраф от 300 тыс. до 1 млн. рублей. Гражданским кодексом предусмотрена компенсация ущерба лицам, обманутым мошенником, но добиться ее получения крайне сложно: как правило, мошенники редко владеют финансами или недвижимостью, все имущество записано на родственников или подставных лиц.