7.2.3. Атаки на держателей карт
Одним из объектов атак злоумышленников является держатель карты. Изучение судебной практики по уголовным делам показывает, что самыми многочисленными случаями противоправных действий в области платежных карт являются дела по фактам хищения денежных средств с использованием похищенных карт и ПИН-кода. ПИН-код может быть получен различными способами: похищен вместе с картой, подсмотрен, получен от держателя в результате угроз или даже пыток. Известны случаи, когда держатели карт, работающие вахтовым методом в районах Крайнего Севера, просили банки блокировать их карты на время своего проезда с места работы домой, так как такие рейсы встречали криминальные элементы с целью получения денежных средств. ПИН-код держателя может быть подсмотрен при использовании карты в банкомате или торговом предприятии. Особенно опасно вводить ПИН-код в торгово-сервисных предприятиях, так как при его введении нормальной является ситуация, что в кассу стоит очередь и за спиной держателя находится человек, который видит, как вводится ПИН-код. Помимо этого, недобросовестный владелец или сотрудник магазина может оборудовать место установки ПОС или кассового терминала скрытой системой видеонаблюдения. Подглядывание ПИН-кода может быть особенно опасно, если банк-эмитент предоставляет держателям карт возможность изменить ПИН-код и держатель установил одинаковый ПИН-код ко всем своим картам (чтобы легче запомнить). В этом случае компрометация такого ПИН-кода может привести к хищению денежных средств со всех карт. Иногда держатели карт сталкиваются с так называемым дружественным мошенничеством: член семьи, близкий друг, коллега по работе и т. п. берет карту втайне от законного владельца и, зная ПИН-код, получает деньги в банкомате. На банкоматах также могут устанавливаться различные ловушки, предназначенные либо для захвата карты, либо для захвата наличных денежных средств. При захвате карты обычно злоумышленник «помогает» держателю с целью узнать еще и ПИН-код. Такой «доброжелатель» может похитить у держателя карту и без каких-либо устройств, а просто отвлекая держателя в момент, когда карта выходит из банкомата.
В последнее время большое распространение получил обман держателей карт с использованием средств мобильной связи. Обычно клиент получает на телефон SMS-сообщение, что по какой-то причине его карта заблокирована, дополнительную информацию можно получить по указанному телефону. Характерной особенностью таких сообщений является отсутствие в них реквизитов карт, хотя банки всегда указывают последние цифры номера карты держателя. Так как у одного держателя может быть несколько карт и карты могут быть разных банков, в сообщении необходимо явно указать, о какой карте идет речь. Но мошенники не знают номера карты, а зачастую и банка-эмитента. Банк можно угадать, например Сбербанк — крупнейший эмитент. В остальном расчет злоумышленников строится на методах социальной инженерии. При звонке держателя (номер телефона, конечно же, не совпадает с контактными телефонами банка, указанными на оборотной стороне карты) держатель должен пройти процедуру идентификации, при этом разглашается номер карты и другая критичная информация (срок действия, кодовое слово, последняя легитимная операция). После этого может быть несколько вариантов действий мошенников. Используя полученную конфиденциальную информацию, они могут перезвонить в банк-эмитент и, выдав себя за держателя, либо изменить какие-либо данные, например номер мобильного телефона, либо получить какие-то дополнительные сведения. Другой вариант действий — держателю сообщают, что по его карте прошли какие-то операции, например оплата нескольких мобильных телефонов, «банк» (мошенники) посчитал их подозрительными и просит держателя подтвердить их легитимность. Так как держатель никаких операций не совершал, то просит их отменить. Для этого мошенники просят держателя пройти к банкомату и выполнить операции отмены оплаты мобильных телефонов. На самом деле держатель, инструктируемый «злодеями», не отменяет операции, а своими собственными руками осуществляет перечисление денежных средств на чужие телефоны. Указанная схема используется и при незаконных интернет-операциях, когда банк для их подтверждения высылает держателю одноразовые пароли с использованием SMS. В этом случае в качестве легенды по отмене несанкционированных операций у держателя запрашивают данные коды и, получив их, проводят интернет-операции.