Искусство цифровой самозащиты - Дмитрий Александрович Артимович

Кстати, в истории со скиммерами из украденного дампа печатается пластик. С ним злоумышленник идет в магазин затариваться техникой, которую потом продаст. Или попросту идет в банкомат и снимает деньги.

Кардинг услуг

Для обналичивания денег с украденных карт можно использовать схему по покупке хостинга, например, выделенных серверов. Такие серверы продаются на тех же подпольных форумах и обычно стоят в 2 раза дешевле. Такая схема более безопасна и проста: тут не нужны дропы, не нужно пересылать товар. Хотя в последнее время серверы и так сильно подешевели в цене.

Заливы

«Заливом» на сленге называют отмывание украденных денежных средств. В основном для этого используют всё тех же дропов. Работает это так: неизвестный человек предлагает очень выгодную операцию. По его словам, на банковский счет получателя поступит некая, обычно довольно крупная, сумма денег, которую надо снять в банкомате и разделить на две части. Первую часть отправить на другой счет или электронный кошелек, а вторую – оставить себе в качестве вознаграждения. Удержаться от того, чтобы за несколько минут «подзаработать» приличную сумму, крайне сложно, даже если человек понимает, что операция, скорее всего, незаконная.

Трояны-кейлоггеры часто собирают доступы от онлайн-банков. Поэтому деньги могут украсть не только с карт, но и напрямую со счета. Особенно если ваш банк не требует подтверждения операций по СМС или каким-то другим способом.

Раньше среди кардеров эта была целая отмывочная отрасль. Когда деньги со счетов – в основном, граждан западных стран – переводились на счета дропов, а те их снимали и при помощи Western Union уже отправляли дальше мошенникам.

Правила

Пользуйтесь только теми банками, которые уделяют достаточно внимания безопасности: каждый вход или каждый перевод требует дополнительного подтверждения СМС-кодом или кодом со специального устройства, называемого цифровым ключoм (digipass). В таком случае, даже получив ваши логин и пароль, злоумышленник всё равно ничего не сможет сделать.

Банковскиe карты

Я хочу немного рассказать об истории появления банковских карт, чтобы вы поняли, какая разница в защите прав держателя карт между США и Россией. Эту историю я описывал в своей первой книге – «Электронные платежи в интернете».

В США изначально кредитные (именно кредитные) карты распространяли по обычной почте – рассылали в конвертах. В погоне за раздачей как можно большего количества карт банки рассылали карты по телефонным книгам. Иногда доходило до абсурда – кредитную карту мог получить малолетний ребенок или домашний питомец. Естественно, карты крали из почтовых ящиков, иногда даже сами сотрудники почты. Банки несли убытки.

Продолжалось это до 1970 года, пока Конгресс США не издал закон, запрещающий рассылать карты по почте без разрешения держателя. При этом большинство случаев мошенничества включало в себя кражи карт из кошельков и карманов.

В 1970 году был издан закон Title 15 U.S. Code § 1644 – Fraudulent use of credit cards. Закон использовался для обвинения подсудимых в использовании поддельных, переделанных, утерянных, украденных или полученных обманным путем кредитных карт. Но это не уменьшило число случаев мошенничества с картами.

Наконец, в 1974 году Конгресс принимает Fair Credit Billing Act, который впервые узаконил следующее:

• 60-дневный срок, в течение которого держатель карты может оспорить ошибку в платежной выписке;

• если держатель карты обнаружил ошибку, он должен отправить запрос на оспаривание в письменной форме своему эмитенту;

• держатель карты не несет ответственности при использовании потерянной, украденной карты или использовании карты без его разрешения, достаточно просто позвонить в банк. Хотя закон и устанавливает минимальный размер транзакции 50$ при использовании карты (Face-to-Face), Visa и MasterCard это ограничение не используют. А при использовании карты мошенником в онлайне или по телефону держатель карты полностью освобождается от ответственности.

Fair Credit Billing Act считается прародителем chargeback’а[45]. Дальше закон трансформировался в правила Международных платежных систем (МПС), а правила обросли поправками. Сам же законодатель поступил достаточно мудро: раз банки создали МПС и зарабатывают на каждой транзакции и на кредитовании, то и за несовершенства в их системе должны отвечать они сами.

На сайте американской Visa вы можете увидеть Visa Zero Liability, которая гласит, что «вы не будете нести ответственность за неавторизованное использование вашей карты. Вы защищены, если ваша карта потеряна, украдена или используется мошеннически».

В Россию карты (эмиссия) пришли только в 90-е годы, у банков хватало других забот: торговля ценными бумагами, банковский кризис и т. д. Так что продвижением карт как «безопасного способа оплаты» никто не занимался.

27 июня 2011 г. вышел Закон № 161-ФЗ «О национальной платежной системе», который в пункте 11 статьи 9 «Порядок использования электронных средств платежа» дал аж целый 1 день (!) на уведомление банка-эмитента о мошеннической операции.

По правилам МПС вы можете заявить о мошеннической операции в течении 120 дней. По факту pоссийские банки впаривают вам «страховку от мошенничества». Это, по сути, деньги из воздуха, то, что и так заложено в правилах платежных систем. В случае возврата украденных средств деньги возвращаются за счет интернет-магазина – а нам преподносят это как некую платную услугу.

Нередки случаи, когда банки отказываются вернуть украденные деньги. Например, если у вас скопировали карту и сняли деньги в банкомате вашего банка-эмитента. Тут риск и компенсация полностью ложaтся на банк-эмитент. А если сумму украли приличную, эмитент может и не захотеть ее возвращать. И пожаловаться-то вам некому – вы не участник платежной системы (участники – только банки), жалобу от вас не примут. ЦБ также защищает интересы банков.

В своей книге One from Many: VISA and the Rise of Chaordic Organization создатель Visa Ди Хок сожалеет, что так и не смог сделать держателей карт участниками организации Visa наравне с банками.

То, что в США десятилетиями формировалось с помощью законов и правил, развивая карточную отрасль, у нас аккуратно замалчивается и не афишируется.

Наряду с нежеланием заниматься лишней работой банки также практикуют подмену понятий. Например, практически все банки рекламируют держателям карт технологию 3D-Secure, которая, вообще-то, защищает в первую очередь сами банки, а не кардхолдеров. Исторически ведь риски за мошенничество лежат на банке-эквайере, и уже потом банк-эквайер[46] перекладывает chargeback на торговые точки. При оспаривании таких платежей МПС в большинстве случае становятся на сторону держателя карты. Отсюда родился новый тип мошенничества – Friendly Fraud, когда держатель карты сначала покупает, а потом сам же и оспаривает платеж. И именно 3D-Secure защищает эквайера/торговую точку от chargeback’ов: «держатель карты не авторизовал транзакцию». Прошел