Збитки українських банків від незаконних дій з платіжними картками у 2017 році несподівано зменшилися у порівнянні з попереднім.
Упродовж минулого року українські банки зафіксували 77,6 тис. випадків шахрайства з картками (у 2016 році їх було 95 тис.). Загальну суму збитку Національний банк України оцінив в 163,7 млн грн. Зниження активності карткових шахраїв можна пояснити досить успішною боротьбою банків з технологічними методами шахрайства, дуже популярними років 5 тому, такими як скімінг, кеш-трепінг тощо, а також активним поширенням більш сучасних і захищених технологій, що передбачають використання карток з чіпом, безконтактних технологій зчитування й мобільних банківських додатків для смартфонів та інших гаджетів. Схоже, шахраї взяли невелику паузу для адаптації, але розслаблюватися банкам та їхнім клієнтам не варто…
Зменшення кількості шахрайських розкрадань коштів з карткових рахунків українців особливо вражає на тлі майже лавиноподібного зростання популярності їх використання в останні роки. Частка безготівкових розрахунків в Україні з використанням платіжних карт у першому півріччі 2018 року, за даними НБУ, зросла до 44,1%. Це на 5,8 відсоткового пункта більше у порівнянні з результатами першого півріччя 2017 року (38,3%). Загальна кількість операцій з використанням платіжних карток, емітованих українськими банками, за результатами шести місяців 2018 року становила 1 835,0 млн шт., а їх обсяг - 1 298,5 млрд грн. Ці показники порівняно з першим півріччям 2017 року зросли на 28,2 і 41,0% відповідно.
На тлі загального зниження крадіжок з карток останніми роками в Україні істотно зросла кількість шахрайських операцій з картковими рахунками, проведених через Інтернет, зазначають фахівці НБУ. Пояснюють такий тренд перенесення фокуса уваги шахраїв з технологічних методів шахрайства, що перестали бути для них рентабельними, на психологічні методи так званого соціального інжинірингу - комплексу методів управління діями людини з використанням особливостей людської психіки.
Найпростіший, але ефективний метод "соціального інжинірингу" у мережі - створення фальшивих інтернет-магазинів. Потенційну жертву заманюють великими знижками на дорогий товар і вимагають внести передоплату, під час здійснення якої крадуть дані карти. Широко використовують і фальшиві сайти, призначені для переведення грошей з карти на карту, поповнення рахунку мобільних телефонів тощо. При цьому шахраї щедро платять за контекстну рекламу і піднімають фальшивий сайт у топ рейтингу пошуку, а також організовують фальшиві позитивні відгуки. Довірливі користувачі зазвичай вважають, що ці два чинники є достатньою гарантією популярності й безпеки сайту, і масово потрапляють на гачок.
Фішинг телефоном
Як і раніше, популярний серед карткових шахраїв фішинг (від англійського fishing - риболовля). Він містить у собі величезний перелік прийомів, спрямованих на отримання шахраями конфіденційних даних клієнтів, зокрема інформації про їхні карткові рахунки.
Найпопулярніший, уже класичний, сценарій телефонного фішингу має приблизно такий вигляд: на телефон жертви приходить повідомлення, що карта заблокована і для її розблокування пропонується зателефонувати за зазначеним номером телефону. Звичайно жертва не встигає отямитися й майже відразу передзвонює, а на іншому кінці дроту - зловмисники, які відрекомендовуються співробітниками банку й діловим тоном змушують повідомити інформацію про карту або підійти до банкомата нібито для розблокування карти. Людина заскочена зненацька, а досвідчені шахраї вміють цим користуватися настільки успішно, що власники карток слухняно виконують усі інструкції, зокрема вводять у банкоматі під диктування цифрові комбінації і записують код підтвердження операції, що приходить їм на телефон. Українці виявляють просто чудеса довірливості, дозволяючи шахраям спустошувати не тільки власні рахунки, але й кредитні ліміти.
Ще один поширений сценарій фішингу розігрується на основі покупок за оголошенням. Шахрай (граючи роль "покупця") домовляється з продавцем про покупку і просить назвати номер карти, аби переказати гроші. Далі він кладе слухавку, і жертві передзвонює вже другий шахрай (у ролі "співробітника банку"), який заявляє, що платіж неможливо зробити без додаткових даних (зазвичай вимагають термін дії карти, ПІН-код, CVV-код і, знову ж таки, код підтвердження операції, що приходить власникові у процесі розмови). Тільки-но жертва розкриває інформацію, зловмисники дістають доступ до рахунку.
Віруси
До методів "соціальної інженерії" умовно відносять і спеціальні комп'ютерні віруси - банківські троянці. Це програми-шпигуни з вузькою спеціалізацією, що крадуть дані банківських карт і додатків, які працюють із цими картами. Практично вони відкривають прямий доступ зловмисникам до чужих рахунків.
Різновидів банківських троянців безліч, і досить часто вони поєднують у собі багато різноманітних функцій. Наприклад, багато з них уміють перекривати інтерфейс банківського додатка своїм - так, що жертві здається, начебто вона вводить дані у банківський додаток, а насправді віддає їх вірусу. Також досить часто мобільні банківські троянці перехоплюють СМС із банків з кодами підтвердження або інформацією про списання коштів.
А троянець Faketoken, наприклад, орудував підробленими вікнами різних додатків, які об'єднувало те, що всі вони могли запитати дані пластикової картки, зокрема й CVV-код зі зворотного боку карти, для цілком законних цілей. Потім програма перехоплювала СМС від банку й пересилала всю вкрадену інформацію своїм господарям, аби ті могли робити транзакції від імені власника пластику.
Безконтактні карти
Значний вплив на стан ринку карткових послуг, а також на безпеку безготівкових розрахунків пластиком мало досить швидке поширення карт із чипом та безконтактних технологій їх використання.
Експерти банківського ринку заявили про новий рівень безпеки коштів при використанні безконтактних карт у порівнянні з класичним пластиком. Безконтактні карти реально мають багаторівневий захист і використовують технології, упоратися з якими комп'ютерні хакери поки що не навчилися. Однак у пересічних користувачів таких карток уже навіть сама простота розрахунків часом викликає законну сторожкість. Найбільш очевидний ризик криється в простоті проведення транзакції і відсутності необхідності додаткової ідентифікації під час проведення платежу на невелику суму. У нашій країні ПІН-код необхідно вводити при платежах понад 100 грн через систему Paypass (від Mastercard) і при платежах понад 500 грн при використанні Paywave від Visa. Якщо карту буде вкрадено або загублено, зловмисник легко може оплатити товари в будь-якому магазині, не маючи ніякої інформації про карту та її власника. Принаймні доти, поки власник не виявить пропажу й не заблокує картковий рахунок. Досить багато також виникає суперечок щодо захищеності інформації на безконтактних картках. Але про все по черзі.
Безконтактні карти виникли завдяки розробці технології RFID (Radio Frequency Identification, "радіочастотна ідентифікація") - способу автоматичної ідентифікації об'єктів, при якому за допомогою радіосигналів зчитуються або записуються дані, які зберігаються в так званих транспондерах, або RFID-мітках. Система зазвичай складається зі зчитувача та RFID-міток, які, у свою чергу, інтегрують у собі чип і антену для приймання-передачі сигналу. Коли антена потрапляє в поле зчитувача, генерується електричний струм, що живить чип. Дальність дії зчитувача залежить від його типу і може становити від кількох сантиметрів до 30 метрів (зчитувачі далекої ідентифікації).
Безконтактні банківські карти використовують для передачі даних технологію NFC (Near field communication, "зв'язок близького поля") - різновид технології RFID, розроблену спеціально для безготівкових грошових розрахунків. NFC працює на дистанції не більш ніж 10 сантиметрів на частоті 13,56 Мгц. Сьогодні більшість платіжних терміналів оснащені приймачем NFC, і розплачуватися через них можна як за допомогою карти з чипом NFC, так і за допомогою смартфона, оснащеного цією технологією.
Дальність передачі даних через NFC служить своєрідним першим бар'єром захисту. Для встановлення зв'язку карту необхідно практично впритул піднести до зчитувача, що, за ідеєю, унеможливлює перехоплення інформації в момент оплати й дуже ускладнює несанкціоноване зчитування інформації з чипа в момент пасивності карти. Втім, суто теоретично зчитати інформацію з карти можна в тисняві громадського транспорту або інших місцях скупчення людей. Крім того, виявляється, можна зробити нестандартний зчитувач, який працює і на більшій дистанції. Наприклад, дослідники з британського Університету Суррей продемонстрували можливість зчитування даних за NFC на відстані до 80 см.
Ще одне оригінальне розв'язання проблеми відстані запропонували іспанські хакери Рікардо Родрігес і Хосе Вілла. Більшість сучасних смартфонів оснащені модулем NFC. При цьому смартфони нерідко опиняються фізично поруч з картою. Родрігес і Вілла створили концепт троянця, який перетворює смартфон жертви на щось подібне до ретранслятора NFC-сигналу.
Через NFC можна вкрасти не "саму транзакцію" (вона досить надійно захищена шифруванням одноразовим кодом), а інформацію про банківську карту. Стандарт EMV допускає зберігання в пам'яті чипа карти даних у незашифрованому вигляді. До таких даних можуть належати номер карти, термін її дії, кілька останніх виконаних операцій тощо (яка саме інформація і як зберігається в чипі, визначають платіжна система й банк-емітент). Ці дані можна зчитати навіть за допомогою звичайного смартфона, встановивши на нього цілком легальний додаток (наприклад, Banking card reader NFC). Дотепер вважалося, що ця відкрита інформація не ставить під загрозу безпеку карти. Адже для онлайнової транзакції зазвичай потрібен ще CVV-код карти. Однак у реальності, на жаль, сьогодні вже багато інтернет-магазинів перестали вимагати його для покупки.
Хоча сама технологія безконтактних платежів справді закрита хорошим багатофакторним захистом, це зовсім не означає, що з нею ваші гроші перебувають у цілковитій безпеці. Надто багато чого залежить від сумлінності налаштувань конкретних банків і магазинів. Причому продавці у нас досить часто нехтують безпекою платежу.
Смартфон як засіб платежу
Ще один спосіб захисту від NFC-шахрайства - замість пластику використовувати мобільний програмний додаток, прив'язаний до рахунку карти. Безпека такого способу оплати підтримує технологія HCE. З її допомогою мобільне обладнання з підтримкою безконтактних платежів передає дані про платіжну операцію через канал, захищений за допомогою шифрування. Дані, необхідні для безконтактного платежу, зберігаються в пам'яті смартфона або планшета. Така модель значно знижує ймовірність симуляції NFC-платежу й перехоплення даних зловмисниками. Якщо користувач не розблокував смартфон і не активував мобільний додаток, до якого прив'язана карта, атака з використанням ретрансляції неможлива.
Однак варто враховувати, що самі носії NFC також можуть бути вразливі. Смартфони й планшети не захищені від вразливості у коді операційної системи, тому метою хакерів може стати й сам мобільний додаток для здійснення безконтактних платежів. Не гарантує на 100% безпеки й обладнання, що приймає: POS-термінали, банкомати. Вони також можуть бути заражені вірусами.
Усі перелічені загрози стосуються не тільки найбільш популярних карткових NFC-технологій Paywave і Paypass від платіжних систем Visa і Mastercard, але й систем, випущених на ринок мобільними операторами, таких як Vodafone Pay і "Смарт-гроші" ("Київстар"), а також програмних рішень Apple Pay і Google Pay (G Pay), що набули останнім часом значного поширення.
Несподівані висновки
Варто констатувати, що у вічній війні з картковими шахраями тимчасова перевага нині на боці банків та їхніх клієнтів.
Головною зброєю боротьби з картковими шахраями банкіри вважають ліквідацію безграмотності користувачів банківських карт і мобільних додатків. Саме просвітницька місія фінансових фахівців (на тлі, щоправда, розвитку комп'ютерних технологій) дала змогу досягти нинішніх успіхів. Банкіри не стомлюються нагадувати, що користувачі платіжних карт мають бути обачні й не розголошувати особисту інформацію та реквізити платіжних карт (термін дії, код CVС2/CVV2, ПІН-код), а також пароль для входу у веб-банкінг, одноразові паролі для проведення платежів тощо (представники банків ніколи не запитують цю інформацію). Про все це можна було б уже не нагадувати, якби українські користувачі активніше використовували карти й добре знали їхні можливості. Стандартні помилкові думки середньостатистичного вітчизняного власника карти: "чим менше користуватися картою, тим менше шансів стати жертвою шахраїв" і "треба зняти гроші з карти якомога швидше, краще - у день зарплатні". Мільйони банківських клієнтів, до речі, так і роблять. Насправді все зовсім навпаки. Навіть якщо банківська карта лежить під матрацом, з неї все одно можна зняти гроші. Наприклад, вивідати дані пластику через електронну пошту, фальшиві сайти або "несподіваний дзвінок з банку". Навіть якщо на карті зовсім немає грошей, зловмисник може зняти кошти на суму вашого кредитного ліміту. Більшість шахрайських прийомів з картами ґрунтуються саме на незнанні їхніми власниками принципів функціонування карткових рахунків і, як наслідок, їх невпевненості й розгубленості при спілкуванні з шахраями. Тому, хоч як дивно це для багатьох звучить, діяти треба за принципом: "Що активніше користуватися картою, то менше шансів стати жертвою аферистів".