«Кабриолеты» и «лимузины» в мобильных NFC платежах. Или что нужно знать о без...
Юрий Божор_Открытие
1.
2.
3. Отсутствие необходимости личного присутствия владельца средств для
осуществления платежа или передачи денег другому лицу
Использование технических средств для осуществления платежных
операций в автоматическом режиме
Движение денежных средств на основе единых принципов и правил
коммуникации и платежей
Пробелы и неточности в правилах платёжных систем, недочеты в
законодательстве о платежах и услугах связи
Отсутствие единой системы мониторинга мошеннических транзакций и
противодействия хищениям электронных денег
4.
5. Несколько участников группы имеют высшее образование и обладают
навыками в области ИТ
Для хищения используются компьютеры, мобильные телефоны,
современные средства коммуникации.
Организация строится по распределённому принципу, в связи с чем
практически невозможно вычислить всех участников группы
Задания передаются через анонимные сетевые сервисы или по СМС,
деньги переводятся на карты преступников через цепочку посредников
Как правило, преступление совершается в несколько этапов, реализация
которых зачастую осуществляется участниками группы в различных странах
Существует значительное число каналов незаконной торговли похищенной
финансовой информацией и обмена сведениями о действиях служб
безопасности банков и правоохранительных органов.
6.
7. Мошенники используют широковещательные рассылки, зачастую от
имени Банка России, SMS-сообщений следующего содержания:
Ваша карта заблокирована, информация по телефону (903) 11111111
По Вашей карте запланирован платёж на сумму 9895 рублей. Для
отмены позвоните по телефону (903) 11111111
Вам поступил платёж на сумму 5768 фунтов стерлингов. Подтвердите
получение, иначе платеж будет возвращён отправителю. Телефон для
справок (903) 11111111
Поздравляем! Вы выиграли компьютер! Информация (800) 11111111
Цель сообщения - инициировать звонок держателя карты мошенникам. Во время
звонка клиента убеждают подойти к банкомату и выполнить ряд процедур.
В результате клиент сам переводит денежные средства на карту или счет
мобильного телефона мошенников, после чего мошенники обналичивают
полученные средства.
8. Мошенники используют правило платёжных систем, согласно которому перед
оплатой по карте бензина на автоматической АЗС производится онлайн-
авторизация на сумму в 1 ед. местной валюты. Полная сумма платежа
направляется в банк эмитент посредством финансовой транзакции, которая
передаётся в банк - эмитент через несколько дней после совершения операции.
Схема мошенничества
1. Мошенники оформляют карты на подставных лиц
2. Карточный счет пополняется на сумму 500 - 1000 рублей
3. На автоматической заправке сообщник мошенника, одетый в форму компании,
предлагает заправить автомобиль со скидкой за наличный расчёт, получает
наличные деньги от водителя, заправляет автомобиль и рассчитывается картой.
4. С карты списывает сумма в одну единицу национальной валюты.
5. Операция повторяется до исчерпания суммы пополнения карточного счета.
6. Через 2-3 дня основная сумма списания приходит в банк - эмитент, по карте
образуется технический овердрафт, карта перестаёт работать.
7. Мошенники берут следующую карту из оформленных и продолжают операции
9. Схема мошенничества:
1. Внедрение на компьютер жертвы вредоносной троянской программы
2. Получение информации о персональных данных, номерах счетов и карт.
3. Внедрение на мобильный телефон жертвы программы перехвата сообщений
либо получение дубликата SIM карты в офисе оператора по поддельной
нотариальной доверенности.
4. Мониторинг финансовых потоков жертвы, выбор момента совершения
преступления
5. Блокировка мобильного телефона либо перехват сообщений.
6. Хищение средств и перевод их на банковские счета, карты, счета мобильных
телефонов или электронные кошельки, контролируемые мошенниками
7. Снятие наличных денежных средств либо покупка товаров и услуг для
последующей перепродажи.
10. Установка на банкомат или входную группу зоны расположения
банкоматов электронного устройства для копирования данных магнитной
полосы карты, получения сведений о ПИН коде и сохранения их в памяти
устройства для дальнейшего использования мошенниками либо передача
мошенникам по радиоканалу в режиме online.
Изготовление поддельной карты с магнитной полосой, аналогичной полосе
оригинальной карты.
Использование поддельной карты и ПИН кода для проведения операций
снятия наличных денежных средств или покупок легкореализуемых
товаров в магазинах (электроника, телефоны, заправка, дорогая
парфюмерия, фишки казино и др.)
11.
12. Этапы хищения
Поиск уязвимости в банковском ПО или процедурах , компрометация
компьютера клиента Банка, получение от клиента данных карты и паролей
при проведении интернет-платежей.
Изъятие электронных денежных средств.
Перевод средств на счета, карты или электронные кошельки,
контролируемые мошенниками
Получение наличных денежных средств или оплата товаров и услуг
похищенными деньгами.
Создав адекватную систему предотвращения мошенничества и лишив преступников
возможности бесконтрольно открывать и использовать банковские счета и
электронные кошельки, можно существенно затруднить для преступников процесс
использования похищенных средств, осуществить оперативную блокировку и
возврат похищенных сумм.
13. Процесс обналичивания средств с использованием банковских карт:
1. Перевод средств со счета юридического лица в пользу «черных» или
«серых» фирм, осуществляющих обналичивание денежных средств.
2. Перевод средств со счета «черной» фирмы на карты,
контролируемые мошенниками
3. Получение наличных денежных средств в банкоматах.
Первый этап преступления проходит под видом обычной экономической
деятельности и вопрос пресечения процессов на данном этапе является
прерогативой налоговых органов. Второй и третий этапы - с использованием
счетов и сервисов одного или нескольких банков, других операторов
электронных денежных средств.
14. Выдавливание «обнальных» организаций из мелких и средних банков, рост
стоимости обналичивания и, как следствие, использование мошенниками
пластиковых карт
Отсутствие единой федеральной базы «обнальщиков» - физических лиц, что
позволяет преступным группировкам открывать карты на одних и тех же
подставных лиц в разных банках
Отсутствие легальной возможности межбанковского обмена информацией об
«обнальных» схемах и персональными данными мошенников
Отсутствие у банка возможности ограничить приём платежей от банка,
который недостаточно борется с «обнальными» фирмами
Отсутствие административной или уголовной ответственности за передачу
банковской карты мошенникам
Наличие анонимных кошельков в различных системах электронных денег, в
частности QIWI, WebMoney и другие. Это позволяет осуществлять много
переводов без идентификации (по 14500 рублей) на одну карту и
впоследствии получать наличные в банкомате
15.
16. Постоянная работа по информированию клиентов о возможных угрозах
Рекомендации звонить исключительно по телефонам, указанным на
платежной карте или сайте Банка.
Лимитирование операций перевода средства на счета мобильных
телефонов по сумме и количеству.
Формирование рисковых правил, оценивающих профиль клиента и,
при несоответствии платежа профилю клиента – приостановка платежа
и контакт с клиентом
Взаимодействие с операторами мобильной связи для блокировки
телефонов мошенников и отмены подобных платежей на их счета.
17. Методы борьбы:
1. Установка только лицензионного ПО и антивирусных программ
на компьютер, с которого осуществляются платежи
2. Установка лимитов и ограничений на платежи через
Интернет-Банк
3. Мониторинг со стороны Банка платежной активности клиентов,
в том числе IP адресов с которых осуществляется вход
приостановка «подозрительных» платежей до подтверждения
клиентом.
4. Мониторинг адресов, с которых осуществляется вход в Интернет
банк, блокировка адресов, с которых осуществляется вход
в несколько учётных записей ИБ.
5. Дополнительный мониторинг крупных платежей (как вариант
обязательное подтверждение по независимому каналу
платежей по новым реквизитам.
18. 1. Использование чиповых карт
2. Лимитирование операций получения наличных в процессинговом центре
банка эмитента
3. Установка на банкоматы устройств, препятствующих установке скиммеров
4. Внедрение на банкоматах системы анализа внешней среды.
5. Регулярный осмотр банкоматов на предмет отсутствия посторонних
устройств.
6. Взаимодействие Банка с правоохранительными органами с целью
преследования мошенников.
7. Информирование клиентов о проблеме, формирование «безопасного»
поведения клиента
8. Анализ профиля клиента, временное блокирование карты и контакт с
клиентом при подозрении на мошенничество
9. Обязательное оперативное SMS информирование клиента об операциях с
его электронными денежными средствами
19. 1. Отказ в авторизации при повторной оплате бензина на
заправочных станциях в течение короткого промежутка времени.
2. Анализ выписки по счёту при осуществлении авторизации на
единицу местной валюты на автоматической заправочной станции и
блокировка карты в случае незначительного остатка на счете.
3. Формирование рисковых правил, анализирующих движения по
счёту и информирующих службу фрод-мониторинга в Банке о
необычной активности клиентов на автоматических заправках
конкретной страны или региона.
20. Наиболее уязвимое место мошеннических схем с использованием
банковских карт - это необходимость использования большого числа
карт, открытых на подставных лиц. Для обеспечения этих операций
мошенники скупают дебетовые карты либо оплачивают группе граждан
получение карт и передачу их мошенникам.
Для пресечения данной деятельности крайне желательно создание
федеральной базы лиц, уличённых в участии в мошеннических схемах,
но оптимальное решение – организовать в России Федеральную систему
фрод-мониторинга, с обязательным требованием к банкам направлять
сообщения обо всех случаях мошенничества, в том числе «обнальной»
активности с указанием персональных данных держателей карт и
проверкой всех клиентов при открытии счетов по этой базе на
вовлеченность в схемы обналичивания денежных средств.
21.
22. Совершенствование законодательной базы электронного денежного оборота, в
том числе усиление ответственности за преступления в области высоких
технологий
Формирование единых правил для всех операторов электронных денежных
средств, установление ответственности за бездействие при мошенничестве с
использованием оборудования или программного обеспечения оператора.
Укрепление взаимодействия между службами мониторинга и предотвращения
мошенничества участников рынка
Укрепление технологической базы служб фрод-мониторинга участников рынка
Развитие взаимодействия между банками и правоохранительными органами в
деле пресечения и предотвращения преступлений в области высоких
технологий
Повышение грамотности населения в части безопасного поведения при
использовании электронных денежных средств.
Создание в России федеральной системы мониторинга в области
электронного денежного оборота
23. НЕОБХОДИМО:
СОЗДАТЬ ЕДИНУЮ ФЕДЕРАЛЬНУЮ СЛУЖБУ
ФРОД-МОНИТОРИНГА
Основная цель службы - создание в стране операционной среды по
переводам электронных денежных средств, максимально затрудняющей
мошеннические операции.
На период до завершения формирования данной среды основным
направлением деятельности должна стать подготовка законодательных
предпосылок для создания и взаимодействия аналогичных локальных
систем, объединяющих операторов, в том числе и в рамках банковских
ассоциаций и объединений.
24. 1. Предоставление Банкам и другим операторам, имеющим отношение к
переводам денежных средств, возможности обмена информацией о
предполагаемой причастности клиента к совершению сомнительных операций
с денежными средствами и сведениями о подобных схемах
2. Осуществление оперативной проверки получателя платежа по спискам лиц,
причастных к подозрительным операциям
3. Организация оперативной и аналитической работы с использованием
информации о получателях электронных денежных средств, в целях выявления
мошеннических схем и противодействия их реализации
4. Обеспечение временной блокировки или внесудебного возврата
переведенных денежных средств при несанкционированном переводе
5. Формирование единых требований к участникам денежных переводов в части
обязательных мер по противодействию мошенничеству.
6. Разработка принципов и механизмов финансовой ответственности участников
национальной платежной системы в случае причинения клиенту ущерба по
причине бездействия оператора электронных денежных средств
25.
26. Сообщение сотрудникам:
Уважаемые коллеги,
В последние дни в Банк стали поступать сообщения от различных отправителей с
темами «Договор по заказу номер №2457469», «Задолженность по счету» и т.п. с
вложенным документом:
dogovor_zakaza_n_6014109600_0t 30_09_2014.zip
или
zadolzhennost.zip
(цифры могут отличаться от приведенных!)
Обращаем внимание, что данные сообщения являются мошенническими и
направляются с целью заражения компьютерным вирусом и получения ваших
конфиденциальных данных.
Что необходимо делать если вы получили указанное письмо:
НЕ переходите по ссылкам в нем;
НЕ открывайте вложение в письме;
удалить письмо сочетанием клавиш “shift+delete”.
Сообщите об этом в Департамент информационной безопасности.
27. http://хххххххххххх
УНИКАЛЬНАЯ ВАКАНСИЯ для авантюристов
Не получается заработать на достойную жизнь честным трудом? Действуйте иначе.
Мы приглашаем самостоятельных людей к регулярной работе в одной из самых доходных сфер теневого
финасового оборота. Нам срочно нужны обнальщики.
Задача обнальщика:
1. Вы получаете от нас несколько банковских карт с предполагаемым балансом от 200 до 9000
Евро.
2. Вы обналичиваете доступную сумму в банкоматах.
3. Вы отправляете часть обналиченных денег на указанные реквизиты.
4. Вы оставляете свое вознаграждение - 40% от обналиченной суммы.
Вы сами платите себе зарплату! 2000$ сняли - 800$ это ваш доход.
Никаких пыльных офисов, впаривания ненужной продукции, бессмысленного низкооплачиваемого
труда.
Работа с понятным и прозрачным финансовым результатом. Работа на себя и для себя.
Обязательные требования:
- Пунктуальность и аккуратность в расчетах;
- Умение маскировать и изменять свою внешность (даже осанка и походка имеют значение);
- Умение коммуницировать не с самыми приятными легкими в общении людьми (возможны
неожиданные встречи с полицейскими или сотрудниками ЧОП);
- Возможность разъездов по области или в соседние области и города;
- Холодный рассудок в любой ситуации.