По данным Федерального резервного банка США, убытки от данной преступной деятельности уже достигли $1 млрд. в год. Правда, клиенты российских банков вряд ли могут в полной мере ощутить это на себе: от кардеров в основном страдают зарубежные банки. С другой стороны, большинство профессионалов этого «бизнеса» - россияне.

Необутая Россия

Разумеется, в России деньги с карточек воруют тоже. Например, весной 2003 года в Москве была задержана группа студентов, похитивших с пластиковых счетов граждан более $700 тыс. Снимали так: в гнездо приема карточки банкомата вставляли устройство, считывающее магнитную полосу карт, а в верхней части банкомата устанавливалась миниатюрная камера, снимавшая, как законный держатель карты (кардхолдер) набирает на клавиатуре банкомата PIN-code.

Есть и другие очень простые способы нажиться с помощью карточек. У тех же кардеров через интернет покупается фальшивый российский паспорт ($200-300), который от настоящего банковскому специалисту не отличить. На этот паспорт открывается настоящая карта Visa Classic или Mastercard Mass. С нею вы едете, например, в Австрию, предварительно приобретя фальшивые водительские права ($100) – этого документа достаточно для предъявления кассирам, – и спокойно покупаете товары по подлимитным операциям (когда со счета может списываться сумма больше той, что на нем находится) на тысячи долларов в день. Этим можно заниматься две недели, ни о чем не беспокоясь. Нужно только выбирать торговые точки с импринтером – считывающим устройством, которое, в отличие от POS-терминала, не имеет онлайновой связи с процессингом.

Бывает, что мошенники расплачиваются в магазинах с помощью поддельных карт – иногда по сговору с кассиром, или создают фальшивые интернет-магазины, в которые посредством ворованных номеров карт идут платежи.

Однако в России объем потерь от кардинга относительно невелик. Причин несколько, например, жесткий контроль со стороны российских эквайринговых компаний которые осуществляют процессинг платежей в пунктах приема карт и работают эффективнее западных.

- Мы обслуживаем около 70% всех трансакций по карточкам в России и у нас фродовых операций (мошенничество) не более 0,06%, - говорит Лев Аршанский, руководитель службы безопасности компании «Объединенные кредитные карты». - Это очень низкий уровень по сравнению с мировым. Западным структурам иногда дешевле списать сумму, чем вести расследование, мы же разбираемся в любом случае, невзирая на сумму. Кроме того, каждый кассир материально заинтересован в выявлении и даже задержании мошенника.

Другая причина – в России карточками в интернет почти никто не расплачивается, а именно на интернет-платежи приходится львиная доля мировых потерь от кардинга, который составляет около $1 млрд. Наконец, самое главное – карточки клиентов российских банков, кардеров просто не интересуют, с западными картами работать выгоднее и проще.                                                      

Карточная мануфактура

О бизнесе кардера ходит много историй. Например, считается, что значительная часть номеров карт попадает к кардерам через  порносайты. Однако сами кардеры уверяют, что эта информация недостоверна. Во-первых, прибыль от посещения платного порносайта достаточно велика, нет смысла воровать. Во-вторых, если речь идет о среднем сайте, реальная отдача будет небольшой – пять-шесть номеров с каждой тысячи посещений. Порносайты для получения номеров карт используют в основном новички.

Говорят также, что часто в сговор с мошенниками вступают кассиры учреждений, где принимаются для расчета кредитные карты, сотрудники онлайновых магазинов и процессинговых компаний. Например, в конце прошлого года в этом был уличен начальник службы безопасности Union Card, а Абрам Абдала, 32-летний официант из Бруклина, снял нескольких миллионов долларов со счетов топ-менеджеров крупных компаний.

Но это скорее исключение, нежели правило. Ворующий карты, таким образом, является, по сути, камикадзе – его обнаруживают практически всегда и очень быстро.

Кардеры - профессионалы действуют с большим размахом и более безопасно для самих себя, залог – четкая специализация.

- Одни взламывают интернет-магазины, процессинговые и биллинговые компании с целью получения доступа к базам данных – то есть к номерам кредитных карт и информации, записанной на магнитной полосе, так называемым дампам - это хакеры, - говорит Сергей Кренов, эксперт службы безопасности ЗАО «Сотовая связь Мегафон». - Номера кредитных карт используются для покупок через интернет – на этом специализируются уже другие. Они либо просто "обналичивают" карты через подставные онлайновые магазины – то есть контактируют с третьим видом мошенников, либо совершают покупки в интернет-магазинах, обеспечивая схемы по приему дорогих, но компактных вещей, удобных для пересылки. Приемом товара и его пересылкой занимаются «дропы», это четвертая разновидность участников кардерских операций. Еще несколько видов мошенников занимаются "пластиком". Одни, используя дампы, изготавливают фальшивые аналоги настоящих карт для операций в офф-лайн. Другие у них эти карты покупают и рискуют ими расплатиться.

Взломщики

Взлом карточных баз данных является основой кардинга, именно взломщики обеспечивают "сырьем" этот криминальный бизнес. Однако случаи, когда взлом был обнаружен, можно пересчитать по пальцам. Самый известный произошел в конце 1999 года, когда хакер, известный под кличкой Максус, украл из базы данных покупателей крупного американского виртуального торгового центра CD Universe информацию о номерах 300 тыс. кредиток. Известным этот случай стал по той простой причине, что Максус, вместо того чтобы продавать номера субподрядчикам по кардерскому бизнесу, попросил CD Universe выплатить ему $100 тыс. отступных. Компания отказалась, после чего информация о номерах карточек 25 тыс. ее клиентов была вывешена в интернете в свободном доступе. Если бы Максус не известил CD Universe о взломе, скорее всего, о нем бы узнали еще не скоро.

В большинстве случаев владельцы баз данных пластиковых карт осознают, что к ним кто-то подключился, далеко не сразу, некоторые об этом не знают до сих пор. То есть они понимают, что что-то не так, но найти источник утечки порой просто не в состоянии. Кстати, по данным ФБР, настоящее имя Максуса – Максим Иванов. Львиная доля хакеров, снабжающих мировой кардинг качественным "сырьем", являются бывшими гражданами СССР.

Жан Франсуа де Жак, директор департамента пластиковых карт московского филиала банка «Credit Leone»: «Мы изучаем фрод уже почти три года и естественно, я общаюсь с кардерами. Основными мировыми поставщиками карт для кардинга в интернете и дампов для записи их на поддельные карты действительно являются русские. Крупнейшие потребители этого товара – американцы сами заявляют, что русский товар – лучший по качеству, цене и ассортименту».

На мировом рынке работают пять российских хакерских групп, каждая ежедневно продает дампов на $2-4 тыс. – дамп может стоить $30-100. Сведений для операций в интернете продается на порядок больше, но они значительно дешевле – номер карты с полной биллинговой информацией (имя владельца и его адрес, на который банк отсылает выписки по трансакциям) стоит $2-4, в итоге в денежном выражении получается примерно столько же, сколько и от дампов. Вот и считайте – только по продаже первичной информации ежедневный оборот составляет около $30 тыс., или порядка $10 млн. в год.

Номер карты и биллинговая информация позволяют кардерам подменять адрес доставки товаров, купленных в интернет-магазине. Подноготная любого американца – номер социального страхования, адрес проживания и проч. – стоит всего $5. Имея на руках такие данные, поменять адрес, привязанный к карточке, можно с помощью обычного телефонного звонка – достаточно произнести (либо набрать на телефоне в тоновом режиме) номер карты социального страхования либо "секретный пароль". В качестве пароля американцы, как правило, используют девичью фамилию матери. Узнать ее также не составляет проблемы – в интернете эти сведения покупаются у тех, кто взламывает базы данных по родильным домам.

Примерно по той же схеме можно подменить информацию по так называемому дампу с первой дорожкой – то есть с полной информацией о кардхолдере. Этот дамп стоит уже не $100, а  $250 – с ним можно снимать деньги с банкомата (потратившись дополнительно на "пластик"), правда, встречается подобный товар крайне редко. Самые дорогие дампы – с информацией о количестве денег на счете, их продают за 15-20% от суммы средств на счете, но не дешевле $500.

Работаем мы с ночи до утра

Если в деле взлома баз данных кредитных карт русские – вне конкуренции, то в сфере изготовления "пластика" конкуренция существует, и весьма серьезная. Помимо России карты в больших объемах изготавливают в Юго-Восточной Азии, Прибалтике и на Украине. При этом используется промышленное оборудование, и выявить подделку подчас не могут даже в банках.

Вот как работают воротилы преступного бизнеса: В среднем выпускается по 500 карт в месяц, и продаются оптом по $80. Одна карточка стоит $180. Это без стоимости дампа, потому что дамп клиент присылает сам. Себестоимость – $1,5-3 за штуку. Весь комплекс – офсетная печать, голограммы, аппарат для эмбоссирования (выдавливание имени и номера) стоит порядка $1 млн. Но естественно, его не покупают, а используют производственные мощности магазинов дисконтных карт.

Практически все клиенты проживают в США. Россияне тоже покупают – если едут за границу. За рубежом контроль не такой серьезный, так что моральный аспект для них не важен.

Кто в итоге страдает от их карт на Западе? Да практически никто, всё оплачивают страховые компании. В России же убытки могут повесить на кассира в магазине – случается такое сплошь и рядом. Чисто технически вычислить их очень сложно. Никто не знает реального имени и местонахождения кардера, заказы и платежи принимаются только через интернет, готовые карточки высылают по почте.

Щит и меч

В магазинах используют не только искусно изготовленные дубликаты, но и настоящие карты. Один – вытаскивает карту, второй – быстро, буквально за 10 минут делает пластиковое удостоверение личности на имя владельца карты, третий – срочно отправляется с нею и удостоверением по магазинам, а четвертый идет за человеком, у которого карту украли. Его цель – ни на секунду не упускать клиента из вида, чтобы зафиксировать момент, когда он обнаружит пропажу. В этом случае идет звонок тому, кто ходит по магазинам, и карта скидывается». В самый «плохой» с точки зрения подобного «бизнеса» день, удается освоить шесть-семь карт. Ежедневный доход составляет около $10-15 тыс.

Пока этот метод активно используется в Европе – таких групп только в Праге около десяти, все русскоязычные. Но дело идет к тому, что скоро они появятся и в России.

Между прочим, эти мошенники никогда не используют карты, на которых есть фотография кардхолдера, – лишний риск им ни к чему, их просто выкидывают.

Также следует ожидать появления в России бутафорских банкоматов – по стопам США, где эта афера очень популярна. Такой переносной аппарат не подключен ни к одной из платежных систем, просто собирает дампы и PIN-code карт, но денег естественно не выдает. Подобную технику можно купить у европейских "специалистов" за $3,5 тыс. Один кардер-технарь сообщил мне, что недавно ему поступил заказ на дистанционное перепрограммирование банкоматов – выдаваемая сумма будет увеличиваться в десять раз, уверяет, что задача вполне выполнимая.                

В общем, складывается впечатление, что управы на кардеров нет, и не будет.  Сергей Новиков, заместитель директора компании «Корпоративные финансовые системы»: «Антифродовые системы постоянно совершенствуются, но и кардеры не стоят на месте. Суть кредитной карты в ее нынешнем виде такова, что абсолютной защиты по операциям с ней добиться невозможно без существенного усложнения правил ее использования».

На это платежные системы вряд ли пойдут, поскольку американцы – а США являются самым большим рынком пластиковых карт – в своей жизни привыкли пользоваться картами в торговой сети без введения PINa, а просто подписывать чек. Кстати, платежные системы прямо запрещают торговым точкам требовать введения PIN-code.

По большому счету карточное мошенничество мало трогает зарубежных кардхолдеров, поскольку по правилам тех же платежных систем все риски берут на себя банки-эмитенты. У нас, к сожалению, другая ситуация и по мнению экспертов, российские банковские служащие противостоять кардингу не способны. Уже сейчас можно было бы существенно снизить риски по тому же эквайрингу интернет-магазинов. А банки просто отказываются их обслуживать, между тем гигантские обороты зарубежных кардхолдеров вполне могли бы пройти через российскую банковскую систему.

Андрей Бутин, заместитель председателя правления «МосНарБанк»: «Причина – полное непонимание большинством банковских специалистов, как контролировать риски при работе на этом рынке. На самом деле, если нет доверия к интернет-магазину, можно просто каждый день проверять трансакции, хотя бы 10-30%».

Зарубежные эмитенты отвечают на такие запросы очень охотно и оперативно – в течение пары дней.

Служащие банков брезгуют даже ходить на кардерские форумы, где могли бы существенно поднять свой профессиональный уровень. Противника нужно знать в лицо. Кардеры, кстати, изучают действия банкиров с большим энтузиазмом. В конце мая в России открылось первое Национальное кредитное бюро, в которое вошли десять крупнейших банков. В рамках проекта они обмениваются информацией, создавая базу данных по клиентам с хорошей и плохой кредитной историей. Кардеры, по их собственным словам, ждут этого с нетерпением. Централизованная база кредитных историй им пригодится.