Поддельные карты (Counterfeit cards, CNTF) или фальсифицированные карты
Поддельной называется карта, которая имеет внешние признаки действительной и легально выпущенной, однако печать, эмбоссирование, персонализация и кодирование карты были произведены с нарушением установленных платежной системой правил и не были санкционированы эмитентом.
При этом либо печать карты была санкционирована эмитентом, но эмбоссирование или кодирование были произведены без его ведома; либо карта была выпущена с соблюдением всех необходимых правил, но впоследствии была переделана или в ее дизайне были произведены изменения, за исключением изменения подписи держателя или поля (панели) для подписи. Также поддельной считается карта, если на ней присутствуют признаки несоответствия стандартам платежной системы, логотип которой размещен на карте, не соответствуют или отсутствуют защитные признаки. Поддельная карта может быть изготовлена путем физического изменения подлинной или копирования, имитации подлинной.Поддельная карта, переделанная из подлинной,— это утерянная/украденная/перехваченная карта с измененными платежными реквизитами и/или перекодированной магнитной полосой.
Первые попытки переделки карт проводились путем срезания эмбоссированных цифр номера карты и переклеивания их местами. Также практиковался метод заглаживания эмбоссированных символов на карте горячим утюгом для выдавливания поверх нового номера карты. Такие подделки определить визуально несложно, поэтому они прокатывались импринтером в торговых организациях в сговоре с продавцом. Для получения действительных номеров карт предпринимались многочисленные, и не всегда безуспешные, попытки подбора программными средствами номера карты и срока действия карты с последующей попыткой проведения операции оплаты через интернет-магазины. Этому риску подвергаются в основном эмитенты, установившие правило последовательной генерации номеров карт.
С повсеместным распространением электронных POS-терминалов мошенники переориентировались на перекодирование магнитной полосы, как наиболее технически простой и дешевый способ подделки.
Перекодируют полосу чаще на подлинной карте — такая карта не вызывает подозрений при обслуживании в торговой сети. Однако хорошо обученный кассир обязан обратить внимание на несоответствие платежных реквизитов на самой карте и на бумажном чеке, где распечатываются данные с магнитной полосы.Полностью поддельная карта имитирует подлинную платежными реквизитами, дизайном, названием банка-эмитента, защитными признаками платежной системы, кодированием магнитной полосы. Встречаются высококачественные подделки, изготовленные на профессиональном типографском оборудовании и персонализированные промышленными эмбоссерами. Это результат деятельности организованных преступных групп, работающих с международным размахом. Для небанковских специалистов, не имеющих доступа к BIN-Member tables (справочник соответствия БИНов названиям банков), выявить такую подделку весьма проблематично.
У кустарно подделанных карт не так много шансов быть принятыми в торгово-сервисной сети и практически нет шансов снять по ним наличные в офисах банков, где и кассиры более профессионально обучены и требуется удостоверение личности. Тем не менее подделки эволюционировали благодаря удешевлению и доступности микропроцессорной техники: мошенники стали использовать карты с магнитной полосой преимущественно для перекодирования информации на ней, т.е. нанесения данных, считанных с легальных карт. Мошенничество, связанное с копированием магнитной полосы карты (часто в совокупности с перехватом ПИН-кода), называется «скимминг» (skimming). Это явление получило в последние годы всемирное распространение, а в некоторых странах Восточной Европы и Юго-Восточной Азии приобрело глобальные масштабы. Мошенничество заключается в том, что магнитная полоса карты копируется с помощью накладки на слот кардридера банкомата (рис.1.1).
ПИН-код копируется накладной клавиатурой (рис.1.2) или записывается миниатюрной видеокамерой.
Злоумышленники используют данные с магнитной полосы для изготовления клона карты и с ее помощью обналичивают деньги. Распознать эти накладки для неспециалиста затруднительно: внешне они имитируют штатные устройства. Скимминг может произойти и в торгово-сервисном предприятии, где кассир или официант в сговоре с преступниками незаметно прокатывает карту через считывающее магнитную полосу мобильное устройство. ПИН-код в этом случае подсматривается «из-за плеча» при обслуживании карты с чипом по процедуре Chipamp;amp;PIN.
Доступ злоумышленников к данным магнитной полосы и ПИН-коду упростил им задачу получения наличных — часто мошенниками для этого используется так называемый «белый пластик».
Это заготовки карт с кодированной магнитной полосой, но без каких-либо элементов дизайна. Чтобы «белый пластик» не бросался в глаза случайным прохожим или сотрудникам службы безопасности банка, которые будут просматривать записи с камеры банкомата, на карту наклеивают цветные стикеры, или пластик окрашивают любым доступным способом.Были отмечены нетривиальные случаи использования для скимминга «доработанных» мошенниками POS-терминалов, перехвата информации посредством врезки в коммуникационные каналы связи, взлома баз данных ТСП или банковских процессингов.
Чаще всего держатель карты не замечает, где и когда он стал жертвой скимминга, а обнаруживает уже совершенные по его карте мошеннические транзакции. Ответственность за такого рода операции ложится на банк-эмитент.
Мероприятия по противодействию мошенничеству:
•обучение держателей мерам безопасного обслуживания карт (соблюдение мер, направленных на сохранение конфиденциальности платежных реквизитов карты и ПИН-кода);
•миграция на EMV карты и использование правила Chipamp;amp;PIN (перенос рисков финансовой ответственности на эквайрера за проведение им операции с чтением только магнитной полосы карты);
•случайная генерация номеров карт;
•проверка CVV (CVC), CVV2 (CVC2) при авторизации, сверка срока действия карты в авторизационном запросе с параметром в базе данных процессинга;
•использование фрод-мониторинга авторизационного трафика с возможностью автоматически блокировать карту;
•использование услуги смс-информирования о проведенных авторизациях;
•установка лимитов снятия наличных денежных средств в банкоматах на ежедневной и ежемесячной основе;
•обучение сотрудников ТСП выявлению поддельных карт. Периодические тренинги и практикумы с аттестацией. Вознаграждение со стороны банка-эквайрера сотрудников ТСП за задержанную поддельную карту.