Что такое скимминг?

Мошенничество стало неотъемлемой частью современного общества, а схемы по обману и краже денежных средств и прочего имущества стали похожи на утопичные мечты фантастов. Например, преступники могут клонировать вашу карту, а вы окажете им в этом непосредственную помощь. В нашем материале – о том, что такое скимминг и как бороться с этим явлением.

 

Оглавление:

 

1. Что такое скимминг и как он работает?
2. Как защититься от скимминга?
3. Судебная практика

 

Что такое скимминг и как он работает?

 

Если вдаваться с этимологию термина «скимминг», то можно найти корни этого заимствования в английском языке. Скимминг (от англ. «skim» -- снимать, скользить) – это способ считывания информации с магнитной ленты банковской карты для последующего её клонирования и/или снятия средств. Обычно данные считываются скиммером – специальным устройством, которое маскируется преступниками под часть банкомата, чтобы доверчивый гражданин ничего не заподозрил.

 

Однако сам по себе скимминг – это достаточно старая схема по обману пользователей банковских карт. Мы уже затрагивали тему цифрового мошенничества. Преступники в этой сфере пользуются на первый взгляд недостижимыми технологиями, однако их цели недалеко ушли от простых мошенников, которые начинали со скимминга. Более того, если вы думаете, что век онлайна уничтожил скимминг, то глубоко заблуждаетесь. Поскольку скимминг – как и многие другие формы мошенничества – сильно эволюционировал, адаптируясь под новые реалии. В статье мы подробно рассмотрим этот аспект.

 

Распространение скимминга принято связывать с непосредственной модой на безналичные средства и популяризацию оплаты банковскими картами (и также бесконтактными способами). Когда-то давно, до развития технологичных мошеннических схем, рядом с банкоматами можно было встретить подозрительных людей, которые полагаясь на свои навыки зрения пытались узнать пин-код от карты. Нередко такие встречи могли закончиться банальным грабежом. Прошло много лет и мошенничество стало более «изящным»: фейковые магнитные ленты, панели набора номера с невидимыми чернилами и даже подставные мониторы банкоматов – всё это стало представлять большую опасность для граждан и ещё большие возможности для мошенников.

 

Например, лицо попыталось снять определённую сумму в банкомате, однако спустя некоторое время получило уведомление, что по его карте произведена операция в другой стране. Что вообще произошло и что делать – вот два главных вопроса в голове жертвы.

 

Для начала стоит разобрать инструменты мошенников, чтобы в полной мере понимать, с чем мы имеем возможность столкнуться буквально каждый день. Как мы уже писали выше, получить доступ к вашей карте преступники могут двумя способами:

 

• Считав данные с магнитной полосы банковской карты. Наиболее опасный способ, так как сама карта содержит кучу данных, которые потом мошенники смогут использовать в своих нуждах. Тут и данные банка-эмитента, и полная информация о лице, и данные по самой карте.
• Считав пин-код. Несколько устаревший, но всё равно действенный метод.

 

Так как скимминг прошёл достаточно длинный эволюционный путь, то и останавливаться только на одной его разновидности было бы неправильно. К слову, всего их у скимминга две: физический и цифровой. Начнём с «классического» варианта: с фальш-деталями банкоматов, принцип действия и установки которых больше напоминает романы Яна Флеминга о Джеймсе Бонде.

 

Рис. 1 Пример того, как выглядит скиммер

 

Как уже упоминалось выше, мошенники стали устанавливать на банкоматы считывающие устройства, позволяющие им воспользоваться картой жертвы либо вообще клонировать её. Вообще подобные методы можно отнести не только к банкоматам, но об этом – далее по тексту. Непосредственно физический скимминг квалифицируется изощрённостью преступников, которые крепят определённые устройства к банкоматам.

 

Так, на первый взгляд обыкновенная панель ввода чисел может оказаться накладной. Она работает достаточно просто: фейковая клавиатура передаёт настоящей ваши нажатия и тем самым вы набираете пин-код, даже не подозревая о том, что кто-то прямо сейчас крадёт его. Расшифровка чисел может производиться, например, проявляемыми ультрафиолетовым светом чернилами. Однако в данном случае преступникам придётся подбирать комбинацию их чисел. Могут использоваться и более продвинутые устройства, такие как запоминающие последовательность. Они уже технически более совершенны и обнаружить их применение для жертвы ещё сложнее.

 

Иногда мошенники крепят скрытые камеры, которые будут записывать и передавать пин-коды сразу нескольких пользователей устройства. Развитие технологий позволило использовать мошенникам миниатюрные камеры, которые можно крепить в самых незаметных для жертв местах.

 

Последними устройствами, которые дали всему направлению имя, являются скиммеры. Принцип работы этих устройств состоит в том, чтобы красть данные с магнитной ленты и перенаправлять их преступникам. Наиболее сложные устройства с точки зрения крепления и реализации. Связано это прежде всего с мерами безопасности, которые предпринимают банки, устанавливая на свои банкоматы всевозможные средства защиты. Например, устанавливаются джиттеры – накладки, которые заставляют карты вибрировать при вводе. Однако их слабость заключается в том, что не всегда возможно понять, на каком банкомате конкретно установлен джиттер – пока не вставишь карту, вибрация не пойдёт.

 

Другими способами обезопасить банкомат от мошенников являлись:

 

• Накладки на клавиатуры. Не позволяют устанавливать фальшивые устройства ввода.
• Антискиммеры – прозрачные накладки на считывающие устройства.

 

Так как банкоматы и непосредственно банки прогрессируют и создают новые средства защиты, постоянно дорабатывая конструкцию устройств ввода, то мошенники также не стоят на месте. Мы уде подробно разбирали цифровое мошенничество – онлайн-скимминг является его неотъемлемой частью.

 

Данный вид скимминга отличается от своей физической модели тем, что преступника найти крайне сложно, а вот воровство выходит на совершенно другой уровень. Подобная схема появилась в тот момент, когда популяризовались онлайн-магазины, чем сетевой код ещё не был отточен настолько, чтобы противостоять преступникам. Как работает онлайн-скимминг?

 

По сути, цифровой скимминг может осуществляться через фишинг, внедрение вредоносного кода на страницы либо же через махинации с онлайн-банкингом.

 

Фишинг – наиболее примитивный инструмент, который полагается на социальную инженерию в большей степени, чем на непосредственно технологические ухищрения. Так, например, могут использоваться поддельные сайты известных компаний либо магазинов, паразитирующие на узнаваемости бренда и доверии людей к нему. В ходе обмана пользователю будет предложен какой-либо пользующийся спросом товар. В качестве дополнительного стимула могут указываться спецпредложения по продаже, скидки, акции – всё, что усыпит бдительность покупателя и позволит обвести его вокруг пальца. Дальше уже всё просто: мошенник списывает средства с карты жертвы, не предоставляя ей ничего взамен. Подобная же участь ждёт и тех, кто открывает сомнительные ссылки в почтовых рассылках.

 

Если же говорить о более сложных схемах, то следует упомянуть ухищрения мошенников в Java-Script кодом. Так, в 2015 году было выявлено более четверти миллиона онлайн-магазинов, страницы которых содержали в себе вредоносный js-код. Работал он как вирус – то есть собирал данные по оплате на сайте и отправлял мошенникам. Данный вид скимминга работает с использованием вредоносного кода Java-Script. Шпионский код внедряется на серверы интернет-магазинов, где хранятся данные держателей карт. Согласитесь, очень удобно сохранить на сайте интернет-магазина данные пластика, чтобы не вводить их каждый раз заново. При отсутствии идентификации по SMS мошенникам достаточно знать CVV-код. Кроме того, некоторые держатели банковских карт используют другие способы защиты – VBV и MCSC, которые не всегда сообщают владельцу счета о списании средств сразу после совершения операции.

 

Такое мошенничество относится к более «продвинутым» разновидностям скимминга, чем хищение данных физическим способом. Кроме того, онлайн-скимминг позволяет совершить большее количество операций при минимальных расходах.

 

Как защититься от скимминга?

 

Ситуация с воровством персональных данных и данных карт оплаты привела к тому, что сейчас практически каждый гражданин обязан знать о методах защиты.

 

Так, уберечь себя от скимминговой мафии можно несколькими способами. Для начала – если вести речь о физическом скимминге – будет достаточно банальной внимательности. Поскольку данная категория уже почти вымерла (спасибо тут стоит сказать производителям банкоматов и непосредственно банкам), то и встреча с таким зверем крайне маловероятна. Однако на всякий случай следует держать в уме, что у мошенников не всегда есть средства на качественную подделку той или иной части банкомата. Да и зачем тратиться, если достаточно обокрасть пару пользователей для хорошей прибыли?

 

Сигналом к тому, что банкомат подвергался действиям со стороны преступников, будет являться инородность детали. Обычно это проявляется в несоответствии внешнему виду в сравнении с другими банкоматами: другой цвет детали, люфт крепёжных систем, несоответствие вида или формы. Также поддельная клавиатура либо приёмник карт могут быть сделаны вообще из других материалов, нежели у оригинальных банкоматов.

 

Защитой же от цифрового скимминга может быть внимательность к самому домену, на который пользователь совершает вход. Также существуют определённые хостинги, которые предоставляют чёрный список ресурсов, которые были уличены в мошенничестве с данным пользователей.

 

Судебная практика

 

Ворбьев Сергей Александрович виновен в том, что совершил неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине, системе ЭВМ или их сети, что повлекло копирование, блокирование и модификацию информации, в организованной группе.

 

Преступление совершено при следующих обстоятельствах.

 

Для реализации своего преступного умысла, Сидоров Л. В., находясь в не установленном предварительным следствием месте, создал организованную группу, в состав которой вошли его знакомые Воробьев С. А. и Кобец А. А. в качестве исполнителей, которым Сидоров Л. В. сообщил о своём преступном замысле.

 

С целью достижения своей преступный цели Сидоров Л. В. разработал план совершения хищения денежных средств у операторов сотовой связи путём модификации компьютерной информации и распределил в этом плане роли между собою, Лымаревым А. В. и другими.

 

Реализуя предварительно разработанный преступный план, Сидоров Л. В. поручил Воробьеву С. А. передать Кобецу А. А. комплекс технических средств, способный контролировать и снимать информацию с технических каналов связи, а именно – осуществлять регистрацию телефонных разговоров, передающихся по каналам сотовой связи стандарта GSM, между мобильными устройствами. Кобецу А. А., не знавшему об истинных намерениях Сидорова Л. В., поручил усовершенствовать программное обеспечение для данного комплекса технических средств, при помощи которого этот комплекс смог в автоматическом режиме и на удаленном доступе без ведома абонентов сетей сотовой связи, копировать информацию с их абонентских устройств и с СИМ-карт, которые находились в абонентских устройствах, блокировать деятельность ЭВМ абонентских устройств в зоне действия комплекса и модифицировать информацию в системах ЭВМ операторов сотовой связи путём генерации исходящих телефонных вызовов и смс-сообщений с абонентских устройств (находящихся в зоне действия комплекса) без ведома их абонентов на определенные номера.

 

За скимминг и кражу данных пользователей Воробьёва приговорили к лишению свободы сроком на два года.