3.2. Приклади і методи шахрайства

3.2.1. Афери з картками[4]

Використання вкраденої картки та ПІН-коду, розголошеного її власником (в тому числі випадки, коли ПІН-код зберігається поряд з картою або записується на ній).

«Дружнє шахрайство». Використання картки шляхом вільного доступу членами сім`ї, близькими друзями, колегами по роботі. Також може бути розголошений ПІН-код.

Підглядання ПІН-коду з-за плеча, а потім викрадання карти - найпростіший, але поширений метод.

«Ліванська петля» (трапінг). Спеціальним пристроєм блокується вікно подачі карти так, щоб вона застрягла в банкоматі. Зловмисник попередньо підглядає ПІН-код, або підказує жертві, що треба його ввести, а потім співчуває і рекомендує терміново йти і дзвонити в банк або сервісну службу. Тільки-но власник відходить, злочинець витягує картку, звільняє вікно банкомату і знімає гроші.

Фальшиві банкомати. Спосіб, який нечасто використовується і вимагає технічного обладнання. Шахраї виготовляють фальшиві банкомати, які виглядають як справжні, або переробляють старі і розміщують їх у людних місцях. Такий банкомат приймає картку, вимагає введення ПІН-коду, після чого видає повідомлення про неможливість видачі грошей (нібито через їх відсутність у банкоматі або технічну помилку) і повертає карту. У банкоматі відбувається копіювання даних з картки та ПІН-коду, що дозволяє шахраям потім виготовити дублікат і зняти з його допомогою гроші з рахунку клієнта.

Копіювання магнітної смуги (Skimming (від анлг. skim – знімати, прочитувати)) за допомогою підставних пристроїв зчитування. Такі пристрої встановлюють на банкомат (зчитувач - на картоприймач, додатковою клавіатурою накривають справжню). При користуванні таким банкоматом зчитувач зберігає дані з карток, які вставляються в банкомат, а клавіатура - ПІН-коди. Як і в попередньому випадку, вкрадених даних достатньо для виробництва дубліката картки і зняття грошей з рахунку власника. Власне той же трапінг можна віднести до різновиду скіммінгу. Але суттєвою різницею стає те, що в першому випадку шахрай повинен особисто бути присутнім на місці скоєння своєї акції, щоб очима відстежити або підручними засобами зняти результат від щойно набраного PIN-коду. Скіммінг ж в чистому вигляді не вимагає безпосереднього знаходження шахрая біля банкомату і своїх жертв. Він, як той браконьєр, розставляє свої карткові капкани з тим, щоб через час провести обхід своїх пасток і перевірити, чи попалася якась туди дичина.

Шиммінг (shimming) – це використання пристрою, що зчитує дані, який повністю занурюється в щілину картоприймача. Саме пристосування, щоб поміститися в отворі і не заважати при цьому зануренню туди ж карти, дуже мініатюрне (менше 0,1 мм), від того високотехнологічне, дорого коштує і відповідно менш поширене, ніж класичні скімери. Але якщо вже шахраї ним скористалися, то протиставити йому що-небудь на рівні користувача вкрай складно.

Підроблений ПІН-ПАД (пристрій для вводу ПІН-коду в платіжних терміналах), або додатковий елемент на електронний замок в приміщення з банкоматом, який відкривається за допомогою карти.

Встановлення поруч з банкоматом мініатюрних телекамер для викрадання ПІН-кодів. Така камера може бути замаскована під встановлений поряд чи прикріплений до банкомату або стіні поруч із ним предмет (наприклад рекламу).

Крадіжка пін-коду за допомогою банкомату: з використанням високочутливої інфрачервоної камери. Зловмисник, який стоїть у черзі, робить знімок клавіатури, на якій попередній користувач набирав ПІН-код. Клавіші, до яких торкалися, трохи тепліші, причому остання натиснута клавіша тепліша від передостанньої і т.д. Причому успішність цього методу залежить від типу клавіатури (металеві клавіатури мають більшу теплопровідність, і температура їх клавіш швидко вирівнюється) і від того, чи не набирав клієнт ще якісь комбінації, наприклад, суму. Для уникнення зняття ПІН-коду за тепловим відбитком достатньо після роботи з клавіатурою на короткий час покласти на неї долоню.

Соціальна інженерія: коли шахраї намагаються, щоб особа сама повідомила потрібні дані. Це відбувається різними способами: надсилання на електронну пошту листів ніби від банку, провайдеру, або іншої компанії з проханням або вимогою надати певну інформацію або перейти по певному посиланню. Наприклад: лист в якому банк ніби вимагає задля верифікації повідомити номер свого рахунку, CVV2 код,написання прізвища та імені клієнта латиною, та термін дії картки. Також, з тою ж метою можуть здійснюватися телефонні дзвінки та SMS-повідомлення.

Шаттер (shut – англ. закривати) шахраї можуть здійснювати блокування не тільки карти в картоприймачі банкомату, а й самих грошей. Для цього на шаттер (проріз, через яку відбувається видача грошей) буде наклеєно сторонній пристрій, блокуючий видачу купюр банкоматом власнику картки. Відбувається це за рахунок розміщення липкої стрічки на внутрішній частині пристрою, до якої і пристають купюри. Відповідно, даний чужорідний елемент не дасть банкомату забрати гроші назад (банкомати оснащені функцією втягування назад незатребуваних купюр по закінченні певного часу). У результаті ні користувач, ні банкомат не зможуть забрати гроші. Їх власником стане господар пристосування - шахрай, що з`явиться трохи загодя і зніме накладку з уловом.

Захват SIM-карти . Використовуючи послугу мобільних операторів по відновленню втраченої «сімки», шахраї дзвонять жертві з трьох різних номерів, а потім в офісі оператора називають ці три номери, отримуючи SIM-карту з номером жертви, а потім, знаючи телефонний номер і номер банківської карти, знімають гроші з банкоматів, користуючись послугою «Екстрені гроші» . Але даний трюк застосовується тільки для клієнтів ПриватБанку.