1 Июля, 2015

Требуйте «чипованную» карту

InfoWatch
Намедни Банк России разродился замечательным документом о мошенничестве с пластиковыми картами и ДБО. Аналитики банка прямо говорят о недостаточной защищенности локальной сети кредитных организаций, о нарушении требований к обеспечению защиты информации, об уязвимостях процесса переводов в платежных системах.

Примерно о том же мы предупреждали еще два года назад, выпуская свое исследование об утечках кредитных карт . Мы делали акцент на недостаточном внимании банков к защите данных путем применения организационных мер. Попросту говоря, это когда средства защиты закуплены и внедрены, но рядовые операторы либо по ошибке, либо по злому умыслу нарушают элементарные правила обращения с платежными данными.

По данным отчета Банка России, впрочем, дела обстоят не так плохо, как хотелось быкажется. В 2014 году злоумышленники похитили у держателей пластиковых карт 1,5 млрд рублей. Большая часть мошенничеств (68%) осуществлялась посредством интернета и мобильных устройств – завладев данными чужих карт, злодеи покупали товары в интернет-магазинах, переводили деньги на сторонние счета.



Тема карточного мошенничества, столь популярная в последнее время, оказалась несколько перегретой. Общее количество украденных карт (и реквизитов карт) – 70 тыс. – 0,057% от числа карт, по которым совершались операции в 2014 году. Это радостная новость (если вы не оказались в числе этих 70 тыс.). В среднем, владельцы каждой карты потеряли по 5,7 тыс. рублей. Наиболее активно мошенники «работали» в Москве и центральном округе, наименее активны хакеры Северо-Кавказского федерального округа и Крыма.

Объем денежных средств, который преступникам удалось обналичить по чужим картам в банкоматах, снизился. Это, во многом, связано с распространением карт с микропроцессором. Теперь даже имея на руках реквизиты пластиковой карты, злоумышленникам сложнее изготовить ее физическую копию (белый пластик). Вообще поддельные карты хакеры изготавливали лишь в каждом пятом случае. Потому тем, кто еще пользуется картой без чипа, мы настоятельно рекомендуем ее поменять на карту с микропроцессором. Банки обязаны выпускать такие карты с 1 июля 2015 года.

Эксперты сетуют, что в отчете отсутствует информация о самих инцидентах, ставших причиной финансовых потерь. Кто воровал, как воровал, что нарушил и как наказан? Без этого сложно понять, что же делать с этими цифрами. Надеемся, в следующих версиях отчета мы увидим также распределение по вектору атаки – какой ущерб нанесли держателям карт и коммерческим компаниям внешние хакеры, каковы потери от действий или ошибок собственного персонала.

Последний штрих - ранее киберкриминалисты из Group-IB заявляли , что потери от карточного мошенничества составляют более 100 млрд рублей (в пересчете на нынешний курс). Заметное расхождение гендиректор Group-IB объяснил так: «Банки могут предоставлять в ЦБ данные не о всех случаях мошенничества, чтобы не раскрывать информацию о клиентах. Также банки не всегда сообщают об инцидентах, когда деньги были украдены, но их удалось вернуть. Мы считаем каждый случай, когда деньги ушли со счета, инцидентом и учитываем его в статистике».