Полная подделка банковской платежной карты (кредитная карта с магнитной полосой): методы противодействия

Pin-Code_keybord

Аннотация к статье

  Данная статья была написана на основе технологий 2003-2008 годов. Тогда система СМС информирования и разовых индивидуальных кодов для совершения операций только набирала обороты. Вместе с тем, только начинали внедряться в широкий оборот  банковские платежные карты (БПК) с установленным микрочипом вместо магнитной полосы. Сложилась уникальная ситуация, когда для обслуживания населения использовалось три вида банкоматов и POS- терминалов:

  1. Банкоматы и POS-терминалы, принимающие только магнитные БПК.
  2. Банкоматы и POS-терминалы, принимающие только БПК с микрочипом.
  3. Банкоматы и POS-терминалы — комбинированные, которые используются и в настоящее время.

Следует отметить, что мобильные технологии также не совершенны. Очень часто преступники выслеживают туристов с целью похитить не только бумажник с банковскими картами, но и смартфон. Используя программно-аппаратные средства, они получают доступ к смартфону, а значит, способны произвести все необходимые операции с БПК по переводу и обналичиванию денежных средств. При этом жертва не может заблокировать карту, так как часто  не помнит телефон банка эмитента и дополнительную информацию по своей карте (кодовое слово), так как вся информация часто хранится в смартфоне. Некоторые хранят в смартфоне и PIN код.

Таким образом, направление по биометрической защите БПК остается актуальным.

В данной статье раскрываются основные принципы хищения денежных средств. Конечно, скиммеры  магнитной полосы уже отжили свой век, но появляются скиммеры, способные считывать и чипованные карты. Важно понимать основные принципы осуществления краж с БПК. В практическом применении с точки зрения безопасности необходимо постоянно проверять кассиров, барменов, официантов на предмет посторонних электронных устройств, способных считать информацию с БПК, так как это может привести к массовым кражам денежных средств в вашем магазине, ресторане или баре.




СТАТЬЯ

  В связи с растущей популярностью магнитных БПК число преступлений, совершаемых с их использованием, будет только увеличиваться. По оценкам Центробанка, на 1 июля 2005 г. было выпущено 42,5 млн. пластиковых карт, что в 1,5 раза больше, чем приходилось на середину 2004 г. Сегмент кредитных карт относительно невелик: 4,2% на июль 2005 г., однако его темпы роста заметно увеличились: прирост за год составил 82%, при 50% по дебетовым картам[1]. Большая часть выпущенных карт – это карты с магнитной полосой. Соответственно, все большее число наших граждан могут стать жертвами мошеннических операций. При этом не стоит забывать, что этой технологии уже свыше 30 лет. При современном уровне технической грамотности преступников БПК уже не могут защищать нас столь же эффективно, как раньше. В то же время правоохранительные органы нашей страны испытывают некоторые сложности в деле раскрытия и расследования преступлений в этой сфере. БПК справедливо сравнивают с ключом от сейфа. По своей сути БПК – электронный ключ к банковскому счету, на котором лежат денежные средства.

Прежде всего, необходимо ознакомиться с устройством магнитной банковской платежной карты.

Как следует из приведенной исторической справки, практически все БПК появились в США, поэтому большая часть теперь уже международных стандартов также была разработана в США. Так, ANSI X4.13[2] определяет все физические характеристики карты. Согласно этим стандартам, магнитная БПК представляет собой пластину, чаще всего изготовленную из поливинилхлорида (разновидность пластмасс, устойчивых к механическим и термическим воздействиям). Такая БПК имеет следующие параметры:

  • ширина – 85,595 ± 0,125 мм;
  • высота – 53,975 ± 0,055 мм;
  • толщина – 0,76 + 0,08 мм;
  • радиус окружности в углах – 3,18 мм[3].

Магнитные БПК всех вышеперечисленных международных платежных систем на лицевой стороне (аверс) всегда имеют следующие обязательные элементы:

  • идентификационный номер БПК: строка с этим номером располагается на уровне около 20 мм от нижнего края карты. Длина строки не превышает 19 символов. Количество используемых знакомест стандартом не определяется и зависит от требований прикладной задачи. Данная информация эмбоссируется на поверхность карты;
  • имя и фамилия ее держателя (на корпоративной карте под именем держателя эмбоссировано название компании);
  • срок действия карты.

Для зон «имя, фамилия» и «дата окончания срока действия карты» предусмотрено место для 4 строк по 27 символов. Зона располагается ниже строки идентификационного номера.

Эмбоссирование информации предназначено для визуального чтения и оптического распознавания, а также получения отпечатков методом контактного копирования (т.е. с использованием импринтеров). Термопечать используется для нанесения информации вместо тиснения на картах. Положение печатных символов не стандартизировано.

  • логотип платежной системы, который позволяет владельцу карты ориентироваться в каких банках, банкоматах и POS-терминалах производится обслуживание его карты;
  • голограмма (исключение составляют карты “Diners Club” и “American Express”, на которых голограмма размещена на обратной стороне карты). На магнитных БПК, используемых в России, как правило, голограмма захватывает 4 последних цифры идентификационного номера для повышения уровня защиты карты. Цель нанесения голограммы – сделать внешний вид карты более привлекательным и защитить ее от подделки. Впервые голограмму применили в системе “MasterСard” в 1985 г.

Кроме вышеперечисленных обязательных элементов, на аверсе БПК может по усмотрению организации-эмитента содержаться специальный элемент, видимый только в ультрафиолетовых лучах (cм. рис. 2, аверс).

На оборотной стороне (реверсе) БПК содержатся следующие необходимые элементы:

  • Магнитная полоса в соответствии со стандартами ISO 7811, ANSI X16 «впаивается» примерно на 5,5 мм от верхнего края карты и может содержать от 2-х -до 3-х дорожек. Ширина полосы зависит от числа дорожек и составляет примерно 6,4 мм для 2-х дорожек на полосу и 10,3 мм для 3-х дорожек на полосу. На дорожках может содержаться следующая информация:
    • 1-я дорожка – кодируется 210 бит на дюйм (2,5 см) с использованием 6-битового кодирования 64-символьного набора чисел, буквенных знаков любого регистра и дополнительных специальных символов. На дорожку помещается 79 символов, включая управляющие символы (стартовый, стоповый, разделитель поля), что позволяет техническому оборудованию без ошибок воспринимать информацию. На нее записываются следующие данные: идентификационный номер карты, код страны, фамилия и имя, срок окончания действия и дискреционная информация[4]. В прошлом 1-я дорожка предназначалась для авиакомпаний, однако в дальнейшем получила широкое применение в банкоматах (ATM[5]), для персонализации своих настроек под клиента. С ее использованием происходит выбор языка общения, использование дополнительных настроек и функций банкомата;
    • 2-я дорожка кодируется 75 битами на дюйм, использует 4-битовое кодирование 10-символьного набора чисел. Число символов, размещаемых на дорожке, не должно превышать 40, включая управляющие символы. На нее записываются следующие данные: идентификационный номер карты, срок окончания действия, дискреционная информация, сервис-код. Сервис-код – это код из двух цифр, определяющий допустимый для данной карты тип операций, например: 03 – только операции, выполняемые банкоматом; 20 – операции, которые требуют авторизации у эмитента, а также является ли данная карта кредитной или дебетовой. В поле для дискреционной информации иногда может храниться, зашифрованный алгоритмом DES PIN-код карты, который используется банкоматами, работающими в режиме «off-line»;
    • 3-я дорожка. Запись информации на эту дорожку регламентируется стандартом ANSI X1, который, в отличие от ANSI X4.16, предусматривает 107 знаков вместо 105. На нее также может записываться PIN-код карты в том случае, если его нет на 2-й дорожке. Кроме этого, на 3-ю дорожку могут быть записаны некоторые другие коды, например PVV[6] или CVC[7] – коды, позволяющие проверить PIN-код автономным устройством, выполняющим операцию. Здесь же может быть отражена информация о состоянии счета владельца карты. В отличие от первых двух дорожек, третья дорожка предназначена не только для чтения, но и для записи информации;
  • панель для подписи карты (карта является недействительной, если на ней отсутствует подпись держателя). Панель изготовлена из специального материала, который реагирует на прямое механическое воздействие, и его защитный слой, представленный в виде надписей той платежной ассоциации, которой карта принадлежит, начинает истираться. Это – способ защиты подписи владельца от подделки;
  • В соответствии с отечественными стандартами и предписаниями ЦБ по эмиссии банковских карт на территории Российской Федерации от организаций эмитентов БПК требуется отображение собственной контактной информации.

Кроме необходимых элементов, реверсная сторона карты может содержать фотографию и штриховой код. Торговые или сервисные сети на обороте часто помещают информацию о местонахождении торговых (сервисных) точек. Иногда на реверс помещают рекламные тексты
(см. рис. 2, реверс).

Рисунок № 1

credit_card

Аверс и реверс магнитной банковской платежной карты международной платежной ассоциации “MasterCard”

Получив представление о строении типичной магнитной БПК, теперь мы можем рассмотреть технологию ее подделки. В данной публикации рассматривается только принципиальная схема действий мошенников, некоторые ключевые операции (не имеющие значения для понимания технологии, но необходимые для  ее практического воплощения). Для подделки пластиковой карты и получения ее PIN-кода могут быть использованы следующие устройства.

Эмбоссер (рис. 2).

embosser

Это устройство позволяет наносить надписи на пластиковую основу банковской карты. Некоторые эмбоссеры могут не только наносить на пластиковую основу банковской карты выпуклые надписи, но и выжигать их или наносить вогнутые надписи.

Пластиковая заготовка помещается в устройство и с клавиатуры или механического колеса (в зависимости от модели устройства) вводятся нужные символы с последующей активацией механизма нанесения знаков на поверхность карты.

Тайпер (рис.3).

typer

Это устройство позволяет «впаивать» магнитную – или любую другую – пленку (с логотипом банка) на пластиковую заготовку банковской карты. Для этого карта помещается в устройство, затем выбирается тип «впаиваемой» пленки и производится ее установка на магнитную БПК.

Скиммер (рис.4).

skimmer

При помощи этого устройства при физическом контакте магнитной полосы со считывающим элементом устройства информация с нее считывается и далее может сохраняться либо передаваться на ЭВМ для дальнейшей обработки специальным программным обеспечением. Некоторые скиммеры могут быть оснащены PIN-клавиатурой. PIN-код вводится непосредственно владельцем банковской карты для прохождения процедуры идентификации владельца карты. Эта информация вместе с той, что получена с магнитной полосы, передается в ЭВМ или хранится на самом устройстве (в зависимости от конструктивных особенностей).

Энкодер (рис.6)

enkoder

Это устройство позволяет записать полученную при помощи скиммера информацию с ЭВМ на пластиковую банковскую карту при физическом контакте магнитной полосы со считывающим элементом устройства.

Часто функции показанных выше устройств совмещаются в одном технологически сложном оборудовании.

Процесс полной подделки пластиковой карты состоит из трех основных операций:

  • получение полной информации о банковской пластиковой карте;
  • физическое создание поддельной банковской карты;
  • запись информации на магнитную ленту карты.

В мошеннических целях данное оборудование может быть замаскировано под POS-терминалы или системы.

Приведем основные определения оборудования, под которое преступники часто маскируют вышеперечисленные устройства.

POS-системы – это аппаратные комплексы для автоматизации работы кассиров на базе фискальных регистраторов. Обычно в состав POS-системы входит системный блок ПК, фискальный регистратор (ФР), POS-монитор кассира, денежный ящик, программируемая клавиатура, кардридер (card reader) и дисплей покупателя. Эти модули, интегрированные вместе, представляют собой рабочее место кассира.

POS-терминал имеет ряд отличий от POS-системы, которые состоят в том, что модуль фискальной памяти у POS-системы находится в печатающем устройстве, а именно, в фискальном регистраторе. У POS-терминала модуль фискальной памяти находится внутри корпуса компьютерного блока. С этим связана еще одна особенность применения POS-систем и POS-терминалов.
POS-терминалы могут продаваться только с определенными специализированными кассовыми программами, которые вместе с POS-терминалом внесены в Государственный реестр контрольно-кассовых машин (ККМ). Для POS-систем не требуется сертификация программного обеспечения, т.к. все необходимое для фискального учета программное обеспечение (ПО) записано во внутренней памяти печатающего устройства – фискального регистратора. Центр КТ поможет правильно выбрать модель электронных весов для автоматизации торговли, автоматизации склада, автоматизации магазина и т.п. Отличительная особенность этих устройств – их конструктивная защищенность от несанкционированного съема информации (см. рис. 7, 8).

Рисунок 7. Оконечный POS-модуль с PIN- клавиатурой»

pin-code-clava

Рисунок 8. POS-терминал.

pos-terminal

Смоделируем криминальные ситуации, при которых преступники могут подделать пластиковую банковскую карту и затем получить по ней денежные средства.

 Обычная процедура оплаты пластиковой банковской картой.

Покупатель магазина или иного заведения, использующего при расчетах банковские пластиковые карты, подходит к POS-терминалу для оплаты товаров или услуг.

Ему предлагают провести карту через устройство чтения магнитных банковских пластиковых карт с PIN-клавиатурой (это касается всех карт системы “Visa Electron”), а потом предлагают самостоятельно ввести PIN-код через PIN-клавиатуру, которая физически защищена невысокой пластмассовой рамкой, а вводимые цифры через несколько секунд превращаются в звездочки. После этой операции кассир выдает покупателю чек, а покупатель получает товар или оплаченные услуги.

При мошенничестве:

Покупатель подходит к POS-терминалу и оплачивает кассиру (мошеннику) товар или услугу пластиковой банковской картой. Ему предлагают проделать те же операции, что и при обычной оплате услуг, однако оборудование, которое использует мошенник, будет другим, и только внешне схоже с обычным оборудованием POS-терминалов. Мошенники смогут считать и сохранить информацию с магнитной полосы пластиковой банковской карты при помощи скиммера (рис. 3), очень похожего на стандартное устройство чтения пластиковых карт с PIN-клавиатурой.

После того как информация с пластиковой банковской карты будет считана, преступник попросит жертву набрать PIN-код для авторизации на устройстве, конструктивно схожем с PIN-клавиатурой. Этот PIN-код будет сохранен в памяти устройства.

Полученную информацию мошенники в дальнейшем занесут в память ЭВМ при помощи специального программного обеспечения. В дальнейшем она будет использована для создания поддельной пластиковой банковской карты по следующей методике.

  1. Сначала использованием оборудования, изображенного на рис. 1 и 2, будет изготовлена поддельная пластиковая банковская карта. Затем на нее будет нанесена информация с использованием оборудования, изображенного на рис. 4.

Используя такую поддельную пластиковую карту, мошенники могут снять средства со счета жертвы в любом банкомате. С целью конспирации и затруднения расследования этого уголовно наказуемого преступления мошенники могут уехать за границу, где и совершат преступление путем списания денежных средств со счета жертвы с помощью изготовленной ими поддельной банковской карты.

Помимо приведенного способа подделки магнитной БПК, правоохранительным органам в рамках одного из уголовных дел стал известен случай, когда преступниками был разработан комплекс технических устройств для негласного получения необходимой для полной подделки БПК информации. Он состоял из цифровой микровидеокамеры и скиммера, которые искусно камуфлировались под технологические элементы банкомата. При этом микровидеокамера устанавливалась таким образом, что могла фиксировать PIN-коды, набираемые с клавиатуры терминала, а считыватель, выполненный в виде рамки, крепился ко входному отверстию, в которое вставлялась карта для осуществления операции. Таким образом, преступники получали всю необходимую для изготовления поддельной магнитной БПК информацию[1].

В заключение следует отметить, что магнитные БПК нельзя считать идеальным платежным средством, т.к. они имеют множество недостатков:

  • слабая защита от мошенничества;
  • невысокие эксплуатационные характеристики (информацию на магнитной ленте можно повредить электромагнитным излучением или физической деформацией самой ленты, которая возникает при частом использовании карты);
  • отсутствие возможности постоянной записи информации, что затрудняет ее обновление, а значит, делает невозможным постоянное хранение информации о состоянии счета владельца карты, что требует использовать банкоматы в режиме on-line, а это ведет к дополнительным материальным затратам.

Две последние из перечисленных выше проблем можно решить при активном внедрении чиповых БПК. Однако вопрос безопасности остается под сомнением. Следует учесть, что магнитная полоса надежно защищала информацию на БПК около 30 лет, но со временем ее секреты были раскрыты преступниками, и теперь уже вся технология находится в опасности. Использование чиповых БПК способно решить данную проблему, но на определенный, возможно, очень короткий промежуток времени, что не оправдает вложенных в нее средств, т.к. при современном уровне информационных технологий взлом чиповой карты – дело времени.

В этой связи требуется комплексная защита БПК, которая будет не только хранить зашифрованную в чипе информацию, но и надежно идентифицировать владельца карты. Единственным идентификационным средством при использовании БПК в банкомате является PIN-код. Кассиры и контролеры в магазине или банке имеют право потребовать у предъявителя карты паспорт и сличить подпись, фамилию и имя, что повышает уровень безопасности проводимой операции.

В настоящее время ведутся дискуссии о применении PIN-кода для идентификации клиента. Сторонники его применения утверждают, что вскрытие PIN-кода составляет несколько случаев на сотни миллионов транзакций, а противники считают, что PIN-код может работать только в идеальных условиях, если:

  • при передаче БПК от банка клиенту она не попадает в чужие руки;
  • БПК не воруют, не теряют, их нельзя подделать;
  • PIN-код невозможно узнать при доступе к системе другим пользователем;
  • в электронной системе отсутствуют сбои и ошибки;
  • в самом банке нет мошенников.

Как альтернативное решение проблемы, для идентификации личности владельца БПК предлагается использовать его биометрические данные, которые определяются при оформлении БПК в офисе кредитной организации и могут включать в себя форму кисти, отпечатки пальцев, ладони, радужной оболочки глаза, характеристики голоса и т.п. Следует отметить, что в Японии некоторые БПК платежной системы “JCB” позволяют идентифицировать владельца по сетчатке глаза. При этом сохраняется необходимость использования PIN-кода. Технологическая база чиповых карт по своей мощности достаточна для хранения больших объемов информации, что позволяет хранить несколько биометрических параметров[2]. Эта информация также будет храниться и в организации-эмитенте БПК, где при необходимости можно будет провести дополнительный контроль полученных данных, что крайне затруднит возможность мошенничества. Даже если преступники смогут взломать защиту таких БПК, то им необходимо будет добиться сходства всех запрашиваемых параметров, как на самой карте, так и в организации-эмитенте БПК, а это крайне сложно.

Научно-исследовательским учреждениям правоохранительных органов России, в частности системы МВД, следует уделять больше внимания вопросу разработки методических и справочных изданий по расследованию и предотвращению преступлений в этой сфере, и здесь без сотрудничества со специалистами Центрального банка России, иных банков и их служб безопасности не обойтись.

Заглядывая в будущее, можно отметить, что мы стоим на пороге нового технологического витка в использовании смарт-карт в общем и банковских платежных смарт-карт в частности. Ведущие западные компании и научно-исследовательские учреждения сейчас проводят интенсивные научно-исследовательские разработки в следующих сферах:

  • создание эффективных биометрических систем;
  • создание супер-смарт-карт;
  • разработка, внедрение и развитие межсетевых баз данных;
  • создание на основе технологии SQL[3] технологии CQL (Card Query Language) – языка запросов к картам. Исследования в этом направлении ведет, к примеру, Информационный центр Квебекского университета Лавал (Канада). Суть исследования заключается в том, чтобы разработать единые программно-технические средства информационного обмена и рассматривать смарт-карту как полноценную базу данных.

Если свести воедино все вышеперечисленные научно-исследовательские направления, то мы придем к «перекрестку», на котором функции БПК, водительского удостоверения, страхового свидетельства, пропуска и даже паспорта будет выполнять одна единственная супер-смарт-карта.

Такая технология имеет как положительные, так и отрицательные черты, т.к. соответствует духу глобализации. К примеру, при единых стандартах передачи данных проведение как финансовых, так и административных функций упрощается, однако, возникают сложности с соблюдением норм Федерального закона «О защите персональных данных» и охране конституционно гарантированных прав граждан на защиту частной жизни.

При сложившемся положении дел научно-исследовательские центры МВД России могут и должны предвидеть последующие витки научно-технического прогресса и обеспечить правоохранительные органы необходимыми для противостояния вредным аспектам НТП информацией и методиками.




[1] См.: Омельянюк Г., Санин А. Ваша карта бита! Как быть уверенным, что с пластиковой карточки не воруют ваши деньги // Московский бухгалтер. 2004. № 1.

[2] Ярким примером тому может послужить суперсмарткарта фирмы “Toshiba”, используемая в системе “Visa”. В дополнение ко всем возможностям обычной микропроцессорной карты эта карта также имеет небольшой дисплей и вспомогательную клавиатуру для ввода данных. Эта карта способна объединить в себе достоинства кредитной, расчетной и предоплаченной карты, а также выполнять функции часов, календаря, записной книжки. Однако из-за очень высокой стоимости такие карты на данный момент широкого распространения не получили.

[3] SQL (Structured Query Language) – язык структурированных запросов баз данных.

[1] Фотографии оборудования получены из следующего источника:  Подготовка компьютерных специалистов к работе с электронными уликами: Электронный учебный курс Секретной Службы США ««Forward Edge». – 2 CD-диска. 2001.

[1] См.: http://www.cbr.ru/statistics/credit_statistics/

[2] ANSI (American National Standard for Financial Services – Financial Transaction Cards) – Американский Национальный Стандарт Финансовых Организаций для карт по финансовым операциям.

[3] См.: Гинзбург А.И. Пластиковые карты. СПб., 2004.

[4] Дискреционная информация – информация, записываемая по усмотрению пользователя.

[5] ATM – (Automatic Teller Machine) – банкомат.

[6] PVV (Pin Verification Value) – проверочное значение pin-кода.

[7] CVC (Card Verification Code) – код проверки карты.

Если данная статья оказалась для Вас полезной, пожалуйста, ставьте лайки! 🙂

Ваш отзыв

Ваш e-mail не будет опубликован. Обязательные поля помечены *

три + девятнадцать =