что такое скимминг сбербанк
Сбербанк: социальная инженерия сменила скимминг в качестве наиболее популярной уловки мошенников
Еще недавно, «на границе 2012 года», основной проблемой для Сбербанка, связанной со злоумышленниками, был скимминг. Однако в последнее время лидирующие позиции заняла социальная инженерия. Об этом рассказал управляющий директор — начальник управления противодействия кибермошенничеству Сбербанка России Евгений Жилин на IX Международном ПЛАС-форуме.
По словам Жилина, если в 2012 году доля скимминга среди кибермошеннических атак на Сбербанк и его клиентов составляла 81%, а социнженерии — 11%, то в 2017 году — 1% и 76% соответственно.
Скимминг — вид мошенничества, который представляет из себя установление различных накладок на банкомат, призванных скопировать данные банковской карты держателя и узнать его ПИН-код, чтобы впоследствии сделать дубликат карты и снять со счета клиента деньги.
Метод обмана с помощью социальной инженерии направлен на использование психологических уловок в отношении клиентов банков. Жилин привел два примера обмана с помощью социнженерии. Первый — когда жертва размещает на сайте объявлений сообщение о продаже какого-либо товара, злоумышленник звонит продавцу с просьбой предоставить данные карты и СМС-пароль для совершения предоплаты. Второй пример — когда жертве поступает СМС-сообщение от мошенника якобы о том, что ее банковская карта заблокирована. Жертва перезванивает по указанному в СМС телефону и по сути сама переводит деньги мошенникам, выполняя их «инструкции для разблокировки».
Скимминг, кардинг, шимминг и другие: “социальные инженеры” обманывают клиентов банков по всей России. Смотрим, как обстоят дела у нас в регионе
По данным издания “Коммерсант”, с начала 2019 года в “Сбербанк” поступило 2,5 миллиона жалоб на звонки мошенников, представляющихся сотрудниками службы безопасности банка. И это только те, кто сообщил о произошедшем. Количество таких преступлений по сравнению с 2015 годом выросло в 15 (!) раз.
Сейчас кредитные организации совершенствуют свои системы защиты, которые позволили в разы уменьшить количество таких видов мошенничеств, как скимминг, кардинг, шимминг и др. Поэтому мошенники стали использовать самое уязвимое звено между банком и человека, а именно – последнего. Метод социальной инженерии, получивший широкое распространение в 2017 году, сейчас стал самым популярным среди мошенников. Начальник управления противодействия кибермошенничеству Сбербанка Сергей Велигодский в своем интервью изданию “РГ” отмечает, что “у мошенников появились даже профессиональные консультанты, которые анализируют сценарии борьбы банка с социальной инженерией, что позволяет им быстро менять схемы“.
Расскажем, как обстоит ситуация в нашем регионе.
В двух филиалах банков, расположенных в Ульяновске (“Невский” и “Тимер”), нашей редакции прокомментировали, что за год в отношении их клиентов не было зарегистрировано ни одного факта мошенничества, в том числе, с использованием “метода социальной инженерии”. Однако как пояснил нам источник в ульяновском филиале банка “АК-Барс”, такие звонки поступают клиентам всех банков, включая крупные и мелкие кредитные организации. В региональном отделении ПАО “Сбербанк” нам рассказали, что такие факты есть, однако их регистрация не ведется. В связи с этим статистику сотрудники банка предоставить не смогли.
В региональном УМВД новости о фактах мошенничеств публикуются фактически ежедневно. Местным жителям звонят, якобы, сотрудники банка и обманным способом получают от них персональную информацию. К примеру, в октябре всего за двое суток мошенникам удалось списать со счетов ульяновцев более 2,5 млн рублей. В каждом релизе правоохранительных органов также публикуется предостерегающая информация, которая, судя по увеличению количества преступлений, доводится не до всех:
“Уважаемые ульяновцы! Будьте бдительны! Не сообщайте незнакомым людям сведения, касающиеся вашей банковской карты: Ф.И.О, срок действия карты, трехзначный код безопасности и код из смс, пришедший на телефон. Чтобы проверить поступившую информацию о блокировании карты, о попытке несанкционированного списания средств, необходимо позвонить в клиентскую службу поддержки банка, номер которой указан на обратной стороне карты. Помните, что ни одна организация, включая банк, не вправе требовать данные вашей карты. Обратите внимание, что в случае возникновения проблем с вашими накоплениями, вас пригласят в отделение банка, держателем карты которого вы являетесь, а не станут решать вопросы по телефону. Если вы все – таки стали жертвой мошенничества независимо от суммы ущерба обязательно сообщите об этом в органы внутренних дел”
По данным пресс-службы ведомства, с начала декабря зарегистрировано 13 фактов мошенничества с использованием “метода социальной инженерии” в отношении местных жителей. Сумма ущерба составила более 1 млн 200 тысяч рублей. В ведомстве также уточняют, что злоумышленники для звонков используют ip-телефонию, сервера которых отследить достаточно сложно. Подробную статистику за год в УМВД обещали предоставить к 16 декабря. Ее мы опубликуем отдельно.
Считать и украсть: как работает скимминг банковских карт
Скимминг (от английского «to skim» — бегло прочитывать, скользить) — вид мошенничества с банковскими картами, который представляет собой считывание информации с их магнитной полосы с помощью специального технического устройства или скиммера. Мошенники также пытаются узнать пин-код жертвы. Получив данные карты, ее можно скопировать и вывести все деньги. РБК Тренды разбирались, как работает эта технология и какие меры нужно принимать, чтобы защитить себя от данного вида мошенничества.
Для считывания данных применяют скиммеры — специальные устройства, которые крепятся непосредственно к банкомату, а также к любому принимающему слоту картоприемника. Мошенники могут устанавливать переносные считыватели магнитной полосы в гостиницах, кафе и ресторанах, в магазинах.
Скимминговое устройство обычно включает в себя считывающую магнитную головку, преобразователь, который переводит информацию в цифровой код, а также накопитель, записывающий цифровой код на носитель данных.
Скиммеры, как правило, изготовлены в виде специальной накладки на кардридер и питаются от миниатюрных батареек.
Скиммеры бывают двух видов. Одни накапливают информацию о разных пользователях, а другие сразу передают данные о картах мошенникам при помощи радиоканала или через встроенную сим-карту по сетям сотовой связи.
В «Лаборатории Касперского» сообщают, что количество скимминговых атак сокращается. Согласно информации Европейской ассоциации безопасных транзакций (EAST) число таких инцидентов снизилось с 1 496 в апреле 2020 года до 321 в октябре того же года.
На активность мошенников повлияла пандемия, отмечают эксперты.
Виды скимминга
Скимминг делится на два типа: с использованием карты или ее дубликата и без.
Физический скимминг применяется в банкоматах и платежных терминалах. Платежный скимминг становится возможным тогда, когда продавец, официант или любой другой человек просит у покупателя или клиента карту. В этот момент он проводит ее через считывающее устройство, которое находится рядом с платежным терминалом и вне зоны видимости.
Онлайн-скимминг работает с использованием вредоносного программного обеспечения. Банкоматы при операциях с картами могут осуществлять передачу данных магнитной полосы в открытом виде. Если сетевое соединение между банкоматом и процессингом не защищено шифрованием, то мошенники могут «прослушивать» трафик через специальные накладки. Они также могут воспользоваться социальной инженерией, чтобы проникнуть на компьютеры сотрудников банков и получить информацию об операциях банкоматов. Наконец, злоумышленники внедряют код JavaScript на серверы интернет-магазинов, где хранятся данные держателей карт. Если при совершении покупок отсутствует двухфакторная аутентификация по SMS, то мошенникам достаточно знать CVV-код карты.
Наиболее продвинутым видом онлайн-скимминга является практика микротранзакций. Организация может попросить владельца карты совершить пробный платеж для подтверждения бронирования, чтобы проверить карту. При этом держатель карты вводит на сайте (который может быть двойником популярного сервиса) данные своего пластика, в том числе и CVV-код.
Устройства для скимминга
При скимминге используются различные считыватели данных карт. Все зависит от типа банкомата или картридера.
Считыватель магнитной ленты. Он состоит из небольшой интегральной схемы, питаемой от батареек. Обычно считыватель заключен в пластиковый или металлический корпус, который имитирует и надевается на реальный картридер целевого банкомата или другого устройства. Этот компонент позволяет злоумышленникам получить информацию, закодированной на магнитной полосе карты, не блокируя реальную транзакцию.
Скрытая видеокамера. Устанавливается на банкомате или поблизости, часто ее маскируют под рекламные материалы. Позволяет считать пин-код пользователя при вводе.
Накладная клавиатура. Служит той же цели, что и видеокамера. Представляет собой накладку на реальную клавиатуру банкомата и записывает пин-код при вводе.
По мере того как многие страны перешли на карты с чипом, преступники тоже адаптировались, и начали появляться более сложные варианты скиммеров. Некоторые скимминговые устройства достаточно тонкие, чтобы их можно было вставить в слот для чтения карт.
Скиммеры также могут быть полностью помещены внутри банкоматов, как правило, коррумпированными специалистами, либо путем сверления или вырезания отверстий в крышке банкомата.
Наибольшую опасность для пользователя представляют собой незнакомые и уличные банкоматы, особенно те, которые располагаются в неосвещенных зонах — на них проще установить считывающие устройства. Лучше использовать банкоматы, где установлены накладки антискимминга или джиттеры. Картоприемник с джиттером заставляет карту слегка вибрировать, что не позволяет мошенникам корректно записать информацию.
Самыми безопасными являются банкоматы, расположенные непосредственно в отделениях банков. Такие устройства регулярно проверяет служба безопасности.
Что происходит с данными
Магнитная полоса карты хранит такую информацию как номер пластика, дату окончания действия карты, имя владельца, сервисный код (чтобы банкомат/терминал понимал, какие функции есть у карты) и код верификации (аналогичный CVV). Располагая этой информацией, мошенник изготавливает дубликат пластика и получает доступ к карточному счету. При этом он может снять деньги в любой точке мира до того момента, пока владелец счета не обратится в свой банк для блокировки карты. При отсутствии двухфакторной аутентификации преступники могут еще и совершать покупки в интернет-магазинах.
Главной опасностью скимминга является несовершенство законодательной базы по защите средств, похищенных из-за утечки информации. Владельцу карты будет сложно доказать в суде, что он на самом деле не снимал деньги со счета.
Банки начали выпускать чип-карты, что повысило безопасность потребителей. Исследователь безопасности Брайан Кребс объясняет: «Хотя данные, которые обычно хранятся на магнитной полосе карты, копируются и на картах с чипом, но этот чип содержит дополнительные компоненты безопасности, которых нет на магнитной полосе». Это означает, что воры не могут дублировать чип EMV, но способны использовать данные для клонирования магнитной полосы или для других типов мошенничества.
В «Лаборатории Касперского» подтверждают, что чип-карты можно взломать только в особых условиях и при наличии дорогостоящего оборудования.
Тем не менее, мошенники тоже приспособились к новым условиям и начали использовать устройства, которые устанавливаются внутрь считывателей карт банкоматов. Такой вид мошенничества называют «шиммингом». «Шим» представляет собой тонкую гибкую плату, которая выполняет те же функции, что и скиммер.
Как не стать жертвой скимминга
Чтобы не лишиться денег, необходимо придерживаться нескольких простых правил:
В качестве дополнительной опции безопасности можно также установить одно из приложений «Сканер скиммера», которые проверяют передачу по Bluetooth для обнаружения таких устройств.
Как защититься от скимминга
Что нужно знать, чтобы не стать жертвой мошенников
Бывает так: вы оказались в незнакомом месте без денег. Видите в переулке банкомат. Снимаете наличные. Спустя несколько недель приходит смс: некто в Кейптауне тоже снимает деньги с вашей карты.
Вы звоните в банк, блокируете карту, но деньги уже сняты. Вернут их или нет — зависит от банка. Придется разбираться и тратить время. Возможно, придется звонить в полицию Кейптауна.
Это называется скиммингом: мошенники крадут данные карты, потом делают дубликат и обналичивают деньги. Опасность кроется прямо здесь:
Чтобы своровать содержимое карты, мошенникам нужно скопировать две вещи: магнитную полосу на карте и пин. Для этого у них в арсенале три устройства.
Скиммер. Это самодельный считыватель магнитной ленты. Мошенники прикрепляют его к картоприемнику банкомата. Иногда скиммер маскируют так хорошо, что распознать его не может даже сотрудник банка.
Скрытые камеры. Мошенники крепят их на банкомат или прячут где-то возле. Миниатюрная камера направлена на клавиатуру банкомата и записывает, как клиенты вводят пин. Отличить камеру непросто, ведь их ставит и служба безопасности банка.
Как спасти деньги, когда кругом враги
Накладная клавиатура. Мошенники устанавливают на банкомат поддельную клавиатуру поверх оригинальной. Поддельная запоминает все, что вы набираете, и передает нажатия на настоящие клавиши. Банкомат реагирует на нажатия как обычно, поэтому подмену заметить сложно. Потом преступники забирают накладку, расшифровывают запись и узнают пин.
Как понять, что банкомат опасен
Перед тем как вставить карту, осмотрите банкомат. Ищите подозрительные признаки.
Накладки на картоприемник. Если на банкомате установлен скиммер, то карта сначала проходит через специальный считыватель, а потом попадает в обычный картоприемник. Посмотрите, нет ли такой накладки на щели, в которую вставляется карта:
Если на банкомате стоит антискимминговая накладка (полупрозрачная штука из пластика), попробуйте качнуть или повернуть ее. Настоящая будет намертво прикреплена к банкомату. Поддельная люфтит, отходит и шатается.
Обычно мошенники монтируют шпионские устройства на несколько часов, потому что боятся проверок инспекторов. Поэтому они используют простые способы крепления: скотч, клей, честное слово.
Зачастую мошенники оставляют следы: щели, клеевые подтеки и сколы. Лучше не использовать банкомат, картоприемник которого выглядит так, будто кто-то ковырял его отверткой или облил клеем.
Фальшпанели и черные точки. Мошенники делают поддельные панели, монтируют в них видеокамеры, а потом незаметно крепят к банкомату: на диспенсер для денег, под козырек или под экран. Есть случаи, когда камеру прятали в стенде для рекламных брошюр того же банка:
Не стесняйтесь изучить поверхность банкомата. Потрогайте панели. Обычно фальшивые держатся плохо. Если что-то шатается, изучите деталь поближе.
Плохой сигнал — если на ровной поверхности встретилось миниатюрное углубление, которое издалека выглядит как черная точка. Присмотритесь: возможно, это глазок видеокамеры.
Выпуклая или отличающаяся по тону клавиатура. У мошенников не всегда есть возможность покрасить фальшивые запчасти в цвет банкомата. Несовпадение по цвету и тону легко заметить.
Чаще всего лжеклавиатуру садят на клей или двусторонний скотч. Поэтому при наборе клавиш ощущается небольшой люфт. Накладка отходит от банкомата:
Если клавиатура отличается по фактуре, выпирает или шатается, попробуйте поддеть ее ногтем. Если банкомат атакован мошенниками, под накладкой вы увидите настоящую клавиатуру.
Если банкомат старый, со сколами и затертыми панелями, а клавиатура выглядит как новая — это тоже плохой знак. Не бывает, чтобы банки меняли клавиатуру отдельно от корпуса банкомата.
Как выбрать банкомат
Со скиммерами можно никогда не столкнуться, если следовать нескольким правилам.
Нет: незнакомые банкоматы. Старайтесь снимать деньги в одном банкомате. Идеально, если вы запомните, как он выглядит (особенно клавиатуру и картоприемник).
Нет: уличные банкоматы. Там мошенникам проще установить считыватель или записать на камеру, как вы набираете пин.
Нет: банкоматы в темных местах. Даже если банкомат находится в помещении, недостаток света — это плохо. Можно не заметить подозрительных деталей. Если выбора нет, включите фонарик на телефоне и осмотрите банкомат.
Да: антискимминговые накладки. Банки воюют с карточными мошенниками. Например, ставят на банкоматы антискиммеры — специальные защитные накладки, которые мешают прикрепить считывающее устройство:
Ирония в том, что сначала антискиммеры были очень похожи на сами скиммеры. Люди запутались, поэтому сегодня антискиммеры делают из прозрачного пластика. Это помогает клиенту увидеть: внутри картоприемника нет сканеров, проводов и плат.
Впрочем, мошенники научились маскировать скиммеры под антискиммеры. Тут поможет тот же рецепт: не стесняться пошевелить картоприемник перед тем, как вводить карту.
Да: банкоматы внутри отделений. Их лучше охраняют и чаще проверяют безопасники банков. К тому же в отделениях всегда много банкоматов: обклеить скиммерами каждый — слишком накладно для мошенников. В то же время преступники иногда специально атакуют именно отделения, ведь людям кажется, что там им ничего не угрожает.
Да: «крылья» для клавиатуры. Такие банкоматы затрудняют установку лжеклавиатур и почти полностью исключают возможность записи ввода пина на скрытую камеру:
Да: банкоматы с джиттерами. Джиттер — это накладка на картоприемник, которая заставляет карту вибрировать при вводе. Если банкомат снабжен джиттером, то, скорее всего, мошенники обойдут его стороной: дрожание не позволит им корректно скопировать магнитную ленту на карте. Без этого вся схема становится бессмысленной.
Правда, с джиттерами есть проблемы. Во-первых, на большинстве банкоматов их нет. Во-вторых, понять, что на банкомате стоит джиттер, нельзя, пока вы не вставите карту. Но можно сначала протестировать незнакомый банкомат с помощью какой-нибудь дисконтной карты. Если она вибрирует при вводе, значит, банкомат безопасный.
Протестировать банкомат — это лишнее действие, но оно может сохранить вам и тысячу рублей, и пять, и пятьдесят. Помните: чтобы данные карты попали к мошенникам, достаточно один раз воспользоваться зараженным банкоматом.
Осторожно: банкомат в офисе или торговом центре. Скиммерам сложнее к ним подобраться. Но есть случаи, когда мошенники подкупали охрану, а те направляли камеры внутреннего наблюдения на банкомат. Потом видеозаписи передавались мошенникам и они подсматривали пины. Всегда прикрывайте клавиатуру рукой.
Осторожно: замки при входе в отделение банка. У многих банков есть отделения с магнитным замком. Войти туда можно с помощью любой карты с магнитной полосой. Иногда мошенники ставят скиммеры прямо на замок. Бороться с этим просто: заходите по дисконтной карте.
Иногда мошенники вешают на внешний замок клавиатуру для ввода пина. Тут тоже просто: если на входе от вас требуют что-то вводить, это точно мошенники — причем отчаянные. Банки никогда не попросят вас ввести пин при входе в отделение.
Осторожно: туристические районы за границей. Когда мы путешествуем, мы не знаем, как выглядят банкоматы зарубежных банков, поэтому обмануть нас проще. Мошенники этим пользуются. Будьте внимательнее, особенно в Азии: азиатское скимминговое кунг-фу не знает равных.
Как защитить деньги
Прикрывайте руку свободной рукой, когда вводите пин. Иногда преступники не ставят камеры и накладные клавиатуры, а просто нанимают людей, которые подсматривают, как вы набираете пин:
Перейдите на чипованную карту. Наличие чипа не обезопасит вас на 100%. Чип действительно сложно скопировать. Но его считывает банкомат, а в России далеко не все банкоматы это умеют. Мошенники знают, где найти банкоматы устаревшего образца и снимают наличные по магнитной полосе. Чипы понижают риск, но не сводят его к нулю.
Подключите смс-банк. Подключите смс обо всех операциях по счету, чтобы быстро реагировать на внезапные списания. Это не поможет, если обналичивать будут ночью или если у вас выключен телефон.
Поставьте лимиты. Ограничьте в интернет-банке выдачу наличных. Мошенники не смогут снять всю сумму за один раз.
Сбербанк заявил о победе над скиммингом в России
За последние несколько лет в России одержана практически полная победа над скиммингом, то есть кражами денег со счетов россиян с помощью специальных устройств, устанавливаемых на банкоматах и считывающих информацию с карт клиентов. Об этом заявил, представляя исследование «Threat Zone’19. Иллюзия безопасности», заместитель председателя правления Сбербанка Станислав Кузнецов.
«Буквально несколько лет назад все кредитные организации лихорадило от скимминга. Случаи были массовыми, мы научились с этим бороться, и в нашей стране фактически сведен данный вид мошенничества к нулю», — сказал Кузнецов (цитата по Banki.ru).
Зампред Сбербанка отметил, что сотрудничество банков с правоохранительными органами сделало скимминг практически бессмысленным, так как все, кто все-таки пытается использовать его, попадаются.
Скиммингом называют установку на банкомат специального устройства-скиммера, копирующего всю информацию с магнитной полосы вставленной карты — имя держателя, номер карты, срок окончания ее действия, CVV- и CVC-коды. Одновременно с этим с помощью специальной видеокамеры или накладки на клавиатуру злоумышленники выясняют пин-код карты. После этого они делали копию карты жертвы и либо снимали деньги в том же банкомате, либо расплачивались ей в магазинах.
Несколько лет назад скимминг считался одной из главных угроз для владельцев банковских карт. В отчете Сбербанка за 2012 год отмечалось, что скимминг занимает «наибольший удельный вес в структуре криминальных инцидентов в области высоких технологий». В последующие годы Сбербанк сообщал в своих отчетах о предотвращении тысяч попыток хищения средств с помощью скимминга, задержании злоумышленников и предотвращении потерь на суммы в несколько миллиардов рублей: в 2013 году — на 5,6 млрд, в 2014 году — на 4,7 млрд руб., в 2015 году — на 3,2 млрд руб. Однако затем скимминг перестал упоминаться в отчетах, одной из причин чего стал тотальный перевод клиентов на чиповые карты.
«Атаки такого рода происходили молниеносно, в течение 4–5 минут, когда преступники очень быстро подходили к банкомату, закачивали газовую смесь и приводили в действие подрыв. Банкомат разрушался, и преступники завладевали всеми деньгами, которые находились в банкомате», — рассказал Кузнецов (цитата по «РИА Новости»).
Зампред Сбербанка пояснил, что для борьбы с подрывниками пришлось принять целую программу, реализация которой помогла сократить потери в несколько раз.
«Мы этот тренд точно переломили — переломили не в процентах, а в разы. На сегодняшний день по статистике, которую мы ведем, из 115 попыток подрывов банкоматов Сбербанка на момент с 1 января 2019 года «успешных» таких подрывов было 11, а предотвратили — 104 из 115 подрывов», — заключил Кузнецов.
Долю кибератак эксперты BI.ZONE оценивают всего в 7% от всех покушений на банкоматы. При этом чаще всего использовались в этом случае так называемые BlackBox, то есть устройства, подключаемые к устройству выдачи купюр банкомата и заставляющие банкомат выдать все его содержимое.
Однако наибольшую опасность для владельцев банковских счетов, по словам Кузнецова, представляют атаки с использованием методов социальной инженерии, когда злоумышленники убеждают жертву отдать им свои деньги или поделиться критически важной информацией.
«В прошлом году только от самых громких утечек пострадало более полумиллиарда учетных записей. В России 80% атак на клиентов банков совершается по социотехническим сценариям. В большинстве таких случаев (79%) жертвы сами переводят злоумышленникам деньги, поддавшись на уловки вроде фальшивых объявлений о продаже», — сказал Кузнецов.