Старый способ хищения денег с карт вновь актуален

   На финансовый рынок вернулась старая мошенническая схема с подбором номера и срока действия банковской карты. Проверив через тестовый платеж реальность карты в обычном интернет-магазине, мошенники оперативно выводят с нее средства мелкими суммами через фальшивые сайты. По словам экспертов, второму рождению схемы способствовало появление виртуальных карт с малым сроком действия, что сокращает время перебора вариантов. Еще одним фактором стал бум интернет-торговли на фоне пандемии: для улучшения клиентского пути магазины стали упрощать проверку карт.
   Как рассказали "Ъ" в ряде банков, в последние два месяца они наблюдают на рынке схему мошенничества, которая, казалось, давно канула в прошлое: подбор номера карты и срока ее действия для вывода средств через фальшивые интернет-магазины. Начались проблемы у "трех крупных московских банков", но уже широко распространились, утверждает один из собеседников "Ъ".
   В "Лаборатории Касперского" пояснили, как работают злоумышленники. "Например, зная номер карты и фамилию владельца, они стремятся вычислить CVV и срок ее действия",- говорит главный эксперт компании Сергей Голованов. Для этого может использоваться следующий путь: открываются сайты большого количества интернет-магазинов, куда вводят доступную информацию и пробуют совершить покупку. Для этого на каждом из них перебором вводят CVV от 000 до 999: как только прошла оплата, значит, номер верный.  "Магазины, которые при этом используются, мошенническими не являются",- уточняет господин Голованов.
   Исходная сумма списания всегда небольшая, чтобы не привлекать внимания владельца карты и банка. А уже после "авторизации" карты средства с нее списываются небольшими суммами через мошеннические интернет-магазины, которые "выдают" плательщику несуществующий товар, поясняют собеседники "Ъ". Банкиры уверяют, что такие магазины и карты довольно быстро блокируются банками, в том числе из-за большого числа однотипных операций. Но при этом несложно открыть новые.
   Подобные схемы были распространены пять-десять лет назад, но затем, по словам ведущего эксперта направления "Информационная безопасность" ИТ-компании КРОК Александра Черныхова, их использование сошло на нет из-за внедрения банками специализированных систем отслеживания и противодействия мошенничеству.
   Одной из причин оживления этого вида мошенничества эксперты называют вывод крупными банками нового типа продуктов - виртуальных карт. "Сроки действия таких карт зачастую ограничены несколькими месяцами, что несколько снижает количество попыток, которые должен сделать злоумышленник, чтобы подобрать реальную дату истечения карты",- поясняет Александр Черныхов. В Сбербанке говорили, что более 10% новых открываемых карт приходится на карты без пластика, в ВТБ - более 15%, а к 2023 году банк планирует увеличить их долю до 40% (см. "Ъ" от 17 марта).
   Другой причиной возвращения схемы стал существенный рост интернет-торговли в условиях пандемии. В некоторых интернет-магазинах номера карты и срока ее действия достаточно для проведения платежа. Для сокращения времени и большего удобства клиента интернет-магазины отключают функцию проверки CVV/CVC-кодов и 3D-Secure. Как пояснил технический директор RuSIEM Антон Фишман, некоторые платежи, например регулярно повторяющиеся, никогда не предполагают передачи CVC/CVV-кодов: "Международные платежные системы не требуют проверки этих данных, а эквайер на своей стороне их хранить не имеет права, только передавать".
   Также, отметил один из экспертов по информбезопасности, всплеск мошенничества может быть связан с появлением на рынке новых баз данных: "Когда мошенники покупают базы данных, они совершают пробные покупки для того, чтобы проверить, действует ли до сих пор карта".
   В Банке России подтвердили, что схема с подбором номера и срока действия карты "периодически используется". Но, утверждают в регуляторе, "поскольку производить подбор сложно и малоэффективно, широкого распространения она не получила". В ЦБ пояснили, что, если операция без согласия клиента происходит без использования технологии двухфакторной аутентификации 3D-Secure, ответственность лежит на стороне банка-эквайера или владельце точки оплаты.

Источник: Коммерсант https://www.kommersant.ru/doc/4839170