Авторы: Вертузаев М.С.,Кондратьев Я.Ю., Пугачев С.Е., Юрченко А.М.Электронные платежи с использованием банковских платежных карт различных видов представляют собой достаточно гибкий и универсальный механизм расчетов в цепочке "Банк1-Клиент-Банк2" и межбанковских расчетов типа "Банк1 - ... - БанкN". Однако универсальность этих платежных инструментов делает их особенно притягательным объектом для мошенничества. В свою очередь применение высоких технологий в различных областях финансовой деятельности, в частности при использовании пластиковых карточек (ПК), отнюдь не исключает возможность различного рода злоупотреблений. Появление пластиковых платежных средств (ППС) в системе безналичных расчетов неизбежно породило альтернативные способы правонарушений. Мошенничества становятся все более изощренными, а защита все более хитроумной, и так до бесконечности. Не стоит недооценивать масштабы данного явления: поскольку полноценный рынок ПК у нас в Украине еще не сложился (но совершенно очевидно, что все идет к тому), то, говоря об аномалиях этого рынка, целесообразно использовать не только украинский криминальный опыт, но и международную практику [1].
В международном масштабе результаты мошенничества с ПК весьма впечатляют: только в США совершены мошенничества в карточной системе на 1 млрд. американских долларов. В том числе по результатам 1993 г. МаstеrCаrd International потеряла из-за подделок самих карточек 113 млн. американских долларов, не говоря о прочих злоупотреблениях. Аналогичный показатель Visa International составил 160 млн. долларов (См.: Ревизор.- 1994, 8 декабря). Таким образом, ежегодная статья убытков, как нами было отмечено выше, связанных со злоупотреблениями, составляет внушительную сумму, хотя и относительно небольшую по сравнению с общим оборотом.
В нашей стране эта проблема особо актуальна, так как уровень мошенничества в Украине только в кредитной сфере банковской деятельности в 4-5 раз превышает среднемировой (наибольшее число приходится, естественно, на Киев - 83%).
Систему финансово-правовой безопасности банков и их клиентов по нашему мнению можно разделить на 12 основных видов преступлений.
Для удобства характеристики отдельных способов мошенничества целесообразно рассмотреть их, исходя из классификации по субъектам, при этом каждый из этих способов требует отдельной характеристики.
Операции с поддельными картами.
На этот вид мошенничества приходится самая большая доля потерь платежной системы (ПС). Ввиду высокой технической и технологической защищенности реальных ПК, самодельные ПК в последнее время используются редко и их можно определить с помощью простейшей диагностики. Как правило, для подделки используют похищенные заготовки ПК, на которые наносятся реквизиты банка и клиента. Будучи технически высоко оснащенными, преступники могут даже наносить информацию на магнитную полосу ПК или копировать ее, т.е. выполнять подделки на высоком уровне.
Исполнителями подобных акций являются, как правило, организованные преступные группировки, иногда вступающие в сговор с сотрудниками банков-эмитентов, имеющими доступ к информации о счетах клиентов, процедуре проведения транзакций. Отдавая должное международному преступному сообществу, надо отметить, что поддельные ПК в Украине появились практически одновременно с началом развития этого сектора банковского рынка.
Мошенничество с поддельными ПК характеризуется частичной или полной подделкой ПК. Под измененными подлинными ПК подразумеваются ПК, изготовленные на имеющих соответствующее разрешение фабриках, но содержащие информацию о держателе карточки, отличную от той, которая содержалась в первоначально выпущенной ПК. Частичная подделка ПК совершается на основе использования подлинной ПК.
Механизм мошенничества может быть различным: мошенник получает в банке обычную ПК в законном порядке, вносит на специальный карточный счет (СКС) минимально необходимую сумму. После этого (или до этого) он добывает необходимую информацию о держателе ПК этой же компании, но с более солидным счетом, и вносит полученные таким образом новые данные в свою ПК. Для реализации такого способа мошенничества преступник должен добыть информацию о кодовых номерах, фамилии, имени, отчестве владельца ПК, об образце подписи и т.д.
Осуществить такую подделку можно по-разному:
изменив информацию, имеющуюся на магнитном носителе;
изменив информацию, эмбоссированную (выдавленную) на лицевой стороне;
проделав и то, и другое;
подделав подпись законного держателя карточки.
При подделке подписи используется несколько вариантов, но при этом учитывается то, что стереть образец подписи нельзя, так как при попытке это сделать в поле подписи проступит слово VOID - "недействительна". Поэтому ее часто просто закрашивают белой краской. Бывает, что поле подписи вообще меняют на новое с использованием клеящейся полоски бумаги.
Нанести добытую извне информацию о владельце на магнитную полосу и раньше, в техническом плане, не являлось большой проблемой. Данные просто вводились по принципу магнитофонной записи в соответствующем формате. Когда же эмитенты стали защищаться с помощью кодирования записи, родился скимминг - тщательное и полное копирование всего содержимого магнитных трэков (дорожек).
Голограммы и эмблемы, сделанные по технологии дифракционной решетки - не слишком эффективная защита, так как во время рутинной процедуры идентификации на них обычно обращают меньше внимания, чем на подпись и прочие персональные реквизиты. Изменение эмбоссированной на лицевой стороне информации осуществляется разными путями.
Буквы и цифры, эмбоссированные в плоскости ПК, мошенники могут срезать, и с помощью клея заменять на другие. Таким образом, на ПК появляются совершенно новые номер и фамилия [2].
Как уже отмечалось, есть много путей получения новых данных для внесения в ПК (они берутся из контрактов между фирмами, со счетов, с листов копировальной бумаги, получаются от служащих и т.д.). При этом в качестве инструментов обычно используются лезвие, скальпель, увеличитель с лампочкой. Способ довольно грубый, поскольку при внимательном осмотре ПК под углом к свету, обычно можно заметить следы клея и старого номера.
К тому же буквы и цифры могут быть наклеены неровно, что также можно заметить. Наличие инструментов, используемых при совершении данного способа мошенничества, следует иметь в виду при производстве обыска у лиц, подозреваемых в мошенничестве с ПК.
Другим приемом частичной подделки является "выглаживание" пластмассы. За рубежом такой способ называют "работа утюгом", у нас - термопеределка. Он практикуется с начала 80-х годов и порожден способностью материала из которого изготавливаются ПК, становиться упругим при воздействии тепла. Перед проглаживанием краска с выпуклых букв соскабливается. Для нагревания используют самые разные средства: утюг, свечу, горячую воду, микроволновую печь и т.д.
После разогрева ПК вручную или с помощью гидравлического пресса выравнивают. Мошенник перед тепловой обработкой или прессовкой должен удалить краску с выпуклостей. Для этого он может воспользоваться обычными чистящими средствами, содержащими пемзу, продающимися в хозяйственных магазинах. Если старая краска удалена не полностью, то в дальнейшем станут видны контуры настоящего шрифта. Для реализации такого способа необходим еще один пресс - настольный, машина с набором букв и цифр. Некоторые из них изготовлены таким образом, что новые цифры и буквы можно вдавливать поверх старых.
Следует отметить, что если ПК подвергли тепловой обработке, то скорее всего на поверхности останутся волнообразные следы. Явным признаком подделки также служит наличие вмятин на шрифте, смещение букв и цифр и т.п. Полностью подделанными являются ПК, у которых подделана и пластмасса и печать.
Один из самых опасных приемов подделки ПК - производство полностью фальшивых ПК. Наибольшее распространение метод полного копирования получил в некоторых странах Юго-Восточной Азии. Такой способ чаще всего используется организованными преступными группами, в которые, как правило, входят работники ресторанов и иных сервисных заведений (мерчантов). Последние используются для сбора информации о кредитных ПК, которые попадают им в руки при оплате ресторанных и иных услуг, как это уже упоминалось выше, когда ПК на некоторое время исчезает из поля зрения клиента. А когда возвращается, у преступников на руках остается ее "брат-близнец".
К этому же способу относится и метод "чистого пластика" (WРС). Подделка ПК - дорогостоящая технология, так как степеней внешней защиты у настоящих ПК (рисунки тонкими линиями, гильошированный слой, голограммы, фотографии, ультрафиолетовые картинки) с каждым годом становится все больше. WРС представляет собой использование куска чистой пластмассы в форме обычной ПК, на который наносятся действительные данные (номер реального счета, срок действия, фамилия и т.д.).
Далее ПК используется мерчантом, действующим вместе с преступной группой. Мерчант совершает фиктивный оборот, отправляет эмитенту ПК счета для оплаты, а прибыль делит со своими соучастниками.
С помощью "белых" карточек, заполучив PIN-код, можно совершать хищения, снимая наличные деньги через банкоматы, которые подпись не сличают, фото и другие атрибуты ПК не проверяют.
Кредитная информация, используемая при изготовлении поддельных кредитных ПК, может собираться в различных странах мира. Наиболее часто используются данные из Канады, США, стран Европы, а также из азиатского региона. Преступные группы, работающие в разных регионах, обмениваются такой информацией между собой.
Операции с украденными/утерянными картами.
Мошенническое использование украденных кредитных ПК остается наиболее распространенным преступлением. Методы противодействия кражам и мошенническому использованию ПК совершенствуются годами, однако в настоящее время компании предпочитают выпускать недорогие ПК с целью уменьшения суммы возможных убытков от их незаконного использования. Когда суммы убытков резко возрастают, компании предпринимают срочные усилия по введению новых мер безопасности.
Службы безопасности зарубежных компаний сетуют на недостаточное внимание со стороны полиции к этому виду преступлений. В свою очередь полиция часто считает, что ее просто используют с целью взымания долгов.
Нанести крупный ущерб по украденной ПК можно лишь в том случае, если мошенник знает PIN-код клиента. Тогда становится возможным снятие крупной суммы с СКС клиента через сеть электронных кассиров - банкоматов до того, как банк-эмитент украденной ПК успеет поставить ее в электронный "стоп-лист" (список недействительных ПК).
Для указанного способа характерно завладение ППС в результате похищения его у держателей путем кражи из квартиры, на транспорте или в других местах, а также в результате потери владельцем ПК после ее приобретения в банке и подписания.
ПК похищается у хозяина обычно вместе с документами, бумажником и прочими вещами. Событие это чаще всего не остается незамеченным. Следует обращение к банку-эмитенту о блокировании счета, что дает возможность задержать преступника или предотвратить хищение, если только похититель ПК не бросится сразу делать покупки, не вызвав при этом своим поведением подозрений со стороны кассира и идеально подделав подпись, или если похититель не воспользуется ею в регионе, не заявленном в "стоп-листе". Отметим, что речь идет о стандартных ПК с магнитной полосой, а не о чиповых карточках. Таким образом, преступники используют ПК, как правило, в то время, пока "стоп-лист" еще не поступил мерчантам, а кроме того пользуются халатностью обслуживающего персонала, не сверяющего со "стоп-листами", предъявленные им ПК.
В случае похищения ПК при пересылке ее по почте, особенность мошенничества заключается в том, что владелец не знает об утрате ПК, не догадывается, что ПК у него похищена. Предотвратить хищение при этом способе мошенничества очень сложно. Такой способ у нас в Украине пока не имеет распространения. Дело в том, что в США, например, при перемене места жительства, держатель кредитной ПК может письменно обратиться к компании-эмитенту с запросом на получение копии ПК по новому адресу.
Злоумышленник подделывает уведомление о переезде владельца банковского счета, и ПК отсылают ему прямо в руки - по почте. Дальнейшая судьба похищенной таким способом ПК может быть различной. Ею может воспользоваться сам похититель, или он может перепродать ее другому злоумышленнику. Это еще один из способов проникновения похищенных кредитных ПК на территорию страны.
Почтовые ящики в жилых домах - также излюбленная цель охотников за чужими кредитными ПК. Преступники нередко осведомлены о времени доставки новых кредитных ПК. Следуя за почтальоном, вор ждет пока тот опустит почту в почтовый ящик и уйдет, после чего забирает содержимое. Следователи называют этот тип кражи "медленный прохожий".
Из-за существенных потерь от почтовых краж многие организации, выпускающие карточки, пользуются для доставки заказными письмами. Как дополнительная мера предосторожности может использоваться предварительное уведомление о предстоящей доставке ПК. Иногда вместе с предварительным уведомлением используется система, получившая название "двойное датирование". В этом случае ПК начинает действовать через месяц или более после даты отправки. В случае неполучения ПК, этого отрезка времени достаточно для сообщения о пропаже и внесения ПК в список предупреждений. Некоторые организации, выпускающие ПК, требуют от получателя обязательного подтверждения о том, что ПК ему доставлена [3].
Если член преступной группы имеет возможность внедриться в почтовую организацию, то он получает уникальные возможности для кражи пересылаемых ПК, которые потом передает сообщникам. Таким образом, совершенствование способов доставки корреспонденции в сочетании с повышенными мерами охраны почты способствуют уменьшению краж ПК.
По оценкам международных экспертов, самая мощная мафия, специализирующаяся на пластиковом бизнесе, состоит из выходцев из Нигерии. В этой стране, по данным Интерпола, существуют не менее пяти крупных центров по подготовке профессиональных мошенников. После обучения способам мошенничества "выпускников" этих школ отправляют в страны Европы. Здесь их встречают, устраивают на работу, как правило, уборщиками в крупные фирмы. Задача вполне определенная - сбор информации о конкретном человеке, обладающем солидным состоянием.
Мошенников интересует все: образцы его подписи, банковские счета, фотографии, переписка. Работают по такому клиенту не в одиночку. Собрав за 2-3 месяца интересующую информацию, преступники выбирают банк, кредитной ПК, которой не обладает клиент, и пишут его руководству письмо от имени намеченной жертвы с просьбой выдать ПК. Финансисты, получив подобное заявление, после короткой проверки (само имя клиента говорит о многом) со спокойной душой высылают кредитную ПК на его адрес. Однако она туда не доходит: еще по пути ее перехватывает выходец из Нигерии, осевший на почте специально для этой цели. Теперь остается подделать подпись жертвы на кредитной ПК и интенсивно начать ее использовать. За месяц, как правило, такая мошенническая группа успевает заработать на карточке от 300 до 500 тысяч долларов США.
В 1996 г. в Москве были задержаны два гражданина Нигерии - "выпускники школы" по обучению подделке и мошенническому использованию кредитных ПК, с поддельными карточками Visa. Сейчас они отбывают трехлетний срок по ст. 147, ч. 1 УК РФ [4, C.28].
Во всем мире использование ПК, выданной на чужое имя, жестко преследуется законом. То же самое сейчас наблюдается и в России. Однако в неприятные истории, связанные с ПК, часто попадают солидные люди из-за элементарной безграмотности, которую умело используют мошенники [5, С.5]. Например, иностранец, приехавший в Россию, делает долги, а когда приходит время расплачиваться по счетам, сообщает своему кредитору о необходимости отъезда домой. Из-за отсутствия наличных денег следует предложение в качестве компенсации принять кредитору ПК должника. При этом сообщается, что на СКС должника числится не менее 10 тысяч долларов. Кредитор-предприниматель направляется в банк с просьбой обслужить его, предъявив ПК должника, на что получает справедливый отказ. Более того, "подаренная" ПК работниками банка изымается. И лишь тогда кредитору становится понятным, что накануне зарубежный должник уже заявил в банк-эмитент, выдавшей ПК, об ее утере.
Компании, выпускающие ПК, обычно имеют круглосуточно работающую службу для сообщений об утере ПК. При получении сообщения СКС клиента блокируется и всякое дальнейшее использование его ПК вызовет проведение расследования. Иногда необычное количество транзакций может вызвать сработку компьютерной системы сигнализации еще до того, как будет известно о краже ПК. Проведенные нами исследования показывают, что сообщения об утере ПК могут поступать в компанию даже через 3-4 дня после ее исчезновения, а в случае использования поддельной ПК, мошенничество может обнаружиться даже через 30-40 дней [6].
Компании регулярно издают бюллетени с перечнем номеров ПК, подлежащих изьятию и рассылают мерчантам так называемые списки предупреждений. В некоторых торговых заведениях стоит специальная аппаратура (point of sale) - компьютерные терминалы, которые позволяют проверить состояние СКС клиента перед тем, как сделка будет совершена. Однако возможность рассматриваемого способа мошенничества связана с тем, что правоохранительные органы и мерчанты технически пока еще очень слабо оснащены, и нет единой картотеки похищенных кредитных ПК, а также не всегда своевременно поступают в торговые организации "стоп-листы".
Преступники проявляют большую изобретательность и дерзость в попытках использовать систему расчетов кредитными ПК в своих личных целях. Однако, кража ее у законного владельца остается наиболее распространенным способом завладения ПК. Это может быть сделано как одиночкой, так и организованной группой в результате карманной кражи, выхватывания кошелька, разбойного нападения или кражи сумки, оставленной в автомобиле. Ежемесячно из незаконного оборота только в России изымается около 200 ПК. Если в 1991 г. в СССР потери по всем операциям с международными кредитными ПК составляли 5% от объема операций, то в 1994 г. - всего 0,3%. Этот показатель лучше, чем, скажем, итальянский. Но проблем отнюдь не стало меньше [7].
Наиболее трудный случай для расследования - наличие сговора у продавцов между собой или между продавцом и покупателем. Например, два продавца могут сотрудничать, обмениваясь утерянными или украденными ПК для проведения фиктивных транзакций. Продавец может также оформить продажу вещи мошеннику, которая на самом деле остается у него, а сумма, оплаченная финансовым учреждением, делится между ними по договоренности. Кассиру обычно предлагают 10-20% от каждой операции, причем наличными деньгами.
Иногда кассиры вступают в преступный сговор с мошенниками из-за кажущейся безнаказанности криминальной сделки. Ведь единственный финансовый документ, подтверждающий операцию с кредитной ПК, - слип, на котором после обычной прокатки и остаются реквизиты ПК.
Однако определить "на глаз", считаны они были с настоящей ПК или же просто с куска пластика с набитыми данными, практически невозможно. Этим и пользуются мошенники.
Есть еще одна разновидность мошенничества, которая подразумевает наличие непорядочного продавца или другого лица, располагающего номером телефона для проведения проверки ПК. Звонок позволяет выяснить, числится ли ПК в списке похищенных или нет. Если нет, недобросовестный продавец может провести фиктивную сделку на крупную сумму через свое заведение. Если ПК числится украденной, он может осуществить несколько транзакций, не выходящих за пределы установленного ему лимита.
Преступники располагают многочисленными способами использования украденных ПК. Организованные преступные группы платят от 100 до 500 долларов США за украденную ПК, в зависимости от того подписана она или нет, как давно украдена, находится ли она в списках украденных, как долго она использовалась законным владельцем, вычерпан ли лимит, есть ли дополнительные документы, удостоверяющие личность.
В большинстве преступных организаций вор продает украденную ПК "поставщику", который обладает необходимым количеством соучастников для ее использования. Члены группировки делают покупки с помощью украденной ПК согласно списка, заготовленного "поставщиком", следя за тем, чтобы стоимость покупки не выходила за пределы лимита, установленного для данного продавца. Приобретенные товары затем пересылается торговцу краденным для реализации. Лицо, непосредственно совершающее мошеннические действия с ПК, обычно получает около 40% дохода, или ему позволяется использовать ПК для собственных покупок, прежде чем он вернет ПК "поставщику".
В СССР такие преступления впервые появились в конце 80-х годов. Одним из пионеров в области этого нелегального бизнеса стал некто Василий Жук, бывший бармен гостиницы "Космос". Женившись в США, он начал интенсивно курсировать между двумя странами, привозя в Советский Союз похищенные в США кредитные ПК. Расчет строился на том, что украденные ПК не фиксировались в региональных "стоп-листах", выпускаемых на территории СССР. А поэтому, прокатывая их в импринтерах на долимитные суммы (операции, которые не подлежат углубленной проверке), мошенник медленно, но верно укреплял свое материальное положение. Всего он похитил из иностранных банков около 60000 долларов США [7].
В другом случае, при задержании компьютерного хакера у него был обнаружен код для доступа к информации о номерах карточек "Visa AeroGold". В распоряжении хакера находилось 315 действующих номеров кредитных ПК, полученные им с помощью компьютера, без использования традиционных способов хищения. На некоторых подпольных BBS (доска электронных объявлений) в компьютерных сетях можно встретить рекомендации о способах совершения мошенничества с использованием кредитных ПК.
3. Многократная оплата услуг и товаров на суммы, не превышающие "floor limit" и не требующие проведения авторизации.
Для проведения расчетов преступнику необходимо лишь подделать подпись клиента. Однако при данной схеме становится недоступен самый привлекательный объект злоупотреблений - наличные деньги. К этой категории можно отнести преступления с ПК, похищенными во время их пересылки банком-эмитентом своим клиентам по почте.
Распространение за рубежом имеет также совершение хищения путем мошенничества по кредитным ПК банков, установивших значительный лимит предельной суммы операции, осуществляемой без авторизации. Мошенники используют предельный лимит суммы неоднократно в течение одного дня в различных сервисных и торговых точках. Так, например, некоторые солидные лондонские банки устанавливают предельный лимит в 200 фунтов и неоднократное использование такой суммы принесет мошеннику значительную сумму.
Для того, чтобы определить неиспользованную часть кредита на ПК, преступники прибегают к простому методу. Они звонят по телефону в регистрационный центр компании и просят разрешить транзакцию, к примеру на 3000 долларов США. В случае отказа они уменьшают сумму до того предела, пока не получат согласие. Через некоторое время они звонят снова и просят отменить транзакцию. Благодаря этому у них на данной ПК получается сумма уже заранее разрешенная к выплате. Получить номера действующих ПК несложно. Для этого используют сведения полученные через персонал гостиниц, ресторанов, с помощью неосторожно выкинутых счетов, агентств по прокату машин и т.д.
Разновидностью данного способа совершения мошенничества с ПК может стать использование ПК в преступных целях самим держателем, который, проделав крупные операции по ПК (чаще всего с банкоматом), может заявить, что ПК была похищена. В таких случаях могут использоваться и сообщники, чтобы избежать возможности опознания.
4. Мошенничество с почтовыми/телефонными заказами.
Этот вид преступлений появился в связи с развитием сервиса доставки товаров и услуг по почтовому или телефонному заказу клиента. Зная номер кредитной ПК своей жертвы, преступник может указать ее в бланке заказа и, получив заказ на адрес временного места жительства, скрыться. Подобным способом обычно добываются дорогостоящие предметы, такие как компьютерное оборудование, электронное оборудование и т.п. Указанный вид мошенничества в области телемаркетинга обычно называется "inbound". Номера ПК можно узнать у персонала магазинов и ресторанов, из компьютерных бюллетеней и т.д.
Мошенническое использование номеров кредитных ПК включает широкий набор способов, таких как мошенничество при помощи системы телемаркетинга и телекоммуникации. Поскольку для того, чтобы сделать заказ по почте или по телефону, не требуется предъявлять ПК, a нужно лишь сообщить ее номер, число вариантов способов мошенничества бесконечно и день ото дня растет. Злоупотребления в области телемаркетинга относятся к неавторизованным сделкам, совершенным телемаркетерами - мошенниками, а также преступниками, имеющими дело с настоящими телемаркетерами и предприятиями, принимающими заказы по почте.
В совершении мошенничеств в области телемаркетинга типа "outbound" принимают участие мошенники-телемаркетеры. Эти преступники различными способами узнают подлинные номера ПК и используют их при выписке мошеннических счетов за заказы, оплата по которым зачисляется на банковский счет телемаркетера ежедневно. Поскольку большинство банков установили для счетов за заказы такой же режим, как и для наличных денег, телемаркетер имеет возможность немедленно переводить эти средства на другой счет или просто ежедневно снимать деньги со счета. Когда преступление раскрыто, телемаркетер-мошенник обычно исчезает вместе с деньгами.
Новой разновидностью такого вида мошенничества является использование компьютерной сети Internet для электронной системы заказов на различные товары. Однако уже сегодня насчитывается около 30 видов незаконных операций с ПК через Internet:
оплата несуществующими ПК;
создание фальшивых виртуальных магазинов;
"электронное" воровство;
фальшивые оплаты в игорных заведениях и т.д. [8, С.67].
Многократное снятие со счета.
Данные преступления, как правило, совершаются работниками торговых и сервисных точек, принимающих платежи от клиентов за товары и услуги по кредитным ПК, и осуществляются путем оформления нескольких платежных чеков по одному факту оплаты. На основании предъявленных чеков на счет предприятия поступает больше денег, нежели стоимость проданного товара или оказанной услуги. Однако после совершения ряда сделок преступник вынужден закрыть или покинуть предприятие.
Указанный способ характеризуется участием в мошеннических действиях обслуживающего персонала таких сервисных точек как рестораны, кафе, бары, мотели и т.п. Работники таких предприятий, пользуясь невнимательностью клиента, или умышленно отвлекая его, производят несколько дополнительных оттисков ПК (слипов), которые затем используют для присвоения материальных ценностей и денег.
Ключевым моментом в этом способе является то, что в отличие от магазина, где при расчете действия с ПК происходят на глазах владельца, в ресторане официанты уносят ее на некоторое время, а после возвращают вместе со счетом. При этом держатель ПК не догадывается, что предъявленный ему в качестве счета или вместе с ним слип (оттиск с карточки) - только один из нескольких, сделанных ловким кассиром или официантом. От других оттисков его отличает лишь присутствие даты. В течение следующих нескольких дней наличные деньги, полученные с других клиентов, кассир, поделившись с официантом, может присваивать, а счета с реквизитами держателя ПК благополучно приобщать к отчетности и направлять для оплаты фирме-эмитенту (банку или платежной системе). При этом руководство заведения вполне может оставаться в неведении мошенничества. Для избежания подобных действий пользователям ПК рекомендуется внимательнее относится к документам, подписываемым при совершении сделок даже на незначительные суммы.
Мошенничество с использованием поддельных документов, а также украденных (утерянных) документов законных владельцев.
Характерным в данном способе является то, что лицо, получив незаконным путем кредитную ПК принадлежащую, например, иностранному гражданину выдает себя за этого иностранца - держателя кредитной ПК, предъявляя при этом подложный паспорт или иной документ на имя владельца кредитной ПК.
Документы могут быть подделаны полностью или частично. В этом случае мошенник тренируется в подделке подписи, после чего в предприятиях по торговле на валюту приобретает тот или иной товар, за который расплачивается имеющейся у него кредитной ПК и расписывается за держателя кредитной ПК в счетах, или использует ПК в других сервисных точках.
Разновидностью указанного способа мошенничества являются операции с ПК, выданными на чужие имена. Например, в "Инкомбанк" обратился гражданин с законной просьбой - выдать ему международную карточку Visa. При этом открыл в банке счет и положил на него 1000 долларов США. Разумеется, предъявил при этом паспорт, но украденный, в который аккуратно был вставлен лист с фотографией мошенника. Получив ПК, он сразу же вылетел в Европу, где всего за неделю присвоил по ней 50000 долларов США, совершая операции на долимитные суммы - по 100-200 долларов. Счет в итоге пришел на имя истинного владельца паспорта, который тут же отказался от, якобы, сделанных им покупок [9].
Использование вымышленных сведений (ненастоящего имени, неверного адреса) при получении ПК - весьма распространенный способ незаконного получения кредитной ПК. Преступники очень ценят ПК полученные этим путем, так как они, в отличие от украденных не требуют подделки подписи и не рискуют быть помещенными в списки предупреждений. Преступные группы получают таким путем большое количество ПК, которые затем используют для оплаты за товары, полученные ими ранее, что дает более длительный период времени до обнаружения мошенничества.
Серьезный финансовый урон в 1995 г. понес Московский банк Сбербанка России. По ПКVisa, эмитированных Кредобанком, преступники, начиная с августа 1994 г., похитили 150000 долларов США (70000 долларов в одном отделении банка и 80000 долларов - в другом). При этом часть денег была получена в виде дорожных чеков. Приступая к операции, мошенники положили на СКС в Кредобанке 1000 долларов США, а сами ПК были получены ими по поддельным паспортам. При сделках платежной системой использовалась голосовая телефонная авторизация. Мошенники примерно 6-7 раз снимали в барах по 100 долларов США, проверяя (изучая) систему авторизации. Затем использовали перехват звонка авторизации (отсоединяли на линии) и давали ложный код подтверждения. Мошенники до сих пор не найдены. После этого случая Сбербанк России отказался от голосовой авторизации [7].
Наличие некоторого периода времени между осуществлением транзакции и обнаружением факта мошенничества существенно препятствует успешному расследованию. Преступник к тому времени имеет возможность скрыться, изменить или раскодировать поддельную кредитную ПК, и на момент расследования пользоваться другим подлинным номером. Настоящий владелец ПК и продавец обычно не несут ответственность в случае мошеннических действий, убыток как правило ложится на компанию, выпускающую карточки или может быть разделен согласно договоренности между выпустившими и реализовавшими карточку финансовыми учреждениями, в соответствии с существующими между ними соглашениями.
Мошенничество с использованием подложных слипов.
Указанный способ получил значительное распространение при соучастии кассиров магазинов. Суть этого способа сводится к использованию заведомо подложных слипов, изготовленных путем применения поддельных клише, или при помощи наборных печатных форм, с использованием сведений с подлинных ПК. В этом случае ПК чаще всего используется без ведома ее законного держателя, который после выявления указанного факта не признает зафиксированные расходы.
Кассир получает от соучастников преступления заранее изготовленный слип, прокатанный в одну сторону (т.е. имеющий сведения о номере ПК, имени ее держателя и сроке действия) и дооформляет этот слип, прокатывая его в другую сторону, т.е. проставляются данные о сервисной точке, через которую слип оформляется. После того как в кассу поступила оплата за какой-либо товар наличными средствами, в подложном слипе указывается в качестве оплаты та сумма, которая была получена наличными. Слип приобщается к отчету, деньги изымаются и присваиваются мошенниками.
Получение авторизации от международной платежной системы по STIP (Stand In Processing) при сбоях либо отсутствии связи.
Данный способ мошенничества в Украине пока не имел места, так как авторизация держателей карточек осуществляется посредством процессингового центра [10]. Cуть указанного способа мошенничества заключается в преднамеренном выводе из строя системы связи между торговой точкой и авторизационным центром с целью невозможности в момент сделки осуществить авторизацию.
Создание и использование фиктивных предприятий обслуживания по ПК.
Указанный способ мошенничества является весьма распространенным и способен нанести большой экономический урон участникам платежной системы. Иногда используются тщательно подготовленные схемы, в осуществлении которых задействовано много человек и несколько телефонных номеров. Преступная группа снимает помещение, где устанавливает несколько телефонов, что дает возможность создать видимость солидной организации. Когда один из членов организации намеревается получить ПК и указывает свой рабочий телефон, его сообщники всегда по телефону подтвердят его информацию. К сожалению подобных фактов мошенничества на основе использования пластиковой платежной системы в Украине чрезвычайно много, о чем подробно описано в ряде специальных изданий [1,11].
Мошенническое использование банкоматов при выдаче наличных денег.
Рассмотрим использование карточек при получении наличных денег из автоматических кассовых машин (ATMs - Automated Teller Machines).
Только в Канаде в эксплуатации находится более 2000 банкоматов и их количество все увеличивается. Некоторые финансовые учреждения выпускают специальные ПК для пользования АТМ, в то время как с некоторыми видами этих машин могут использоваться закодированные банковские ПК типа Visa и MasterCard. В любом случае ПК используется вместе с персональным идентификационным номером (PIN-кодом) для доступа к АТМ.
PIN-код известен только владельцу ПК, которому рекомендуется запоминать свой номер, и ни в коем случае не записывать его на ПК. В противном случае при краже ПК в руки преступника попадает также и личный код, что значительно облегчает совершение преступления.
Главной выгодой от внедрения АТМ является их большая надежность и производительность по сравнению с живым кассиром, что делает их более удобными и безопасными для широкого оказания услуг населению. Несмотря на это, преступники успешно нападают на АТМ, применяя как чисто силовые методы (кража со взломом, полное разрушение и т.д.), так и мошеннические действия. В большинстве случаев используется настоящая ПК и настоящий персональный код, полученные преступниками в результате кражи у законного владельца, или обманным путем от финансового учреждения. Известны случаи, когда мошенники звонят лицу, потерявшему ПК, и представляются инспектором банка. Якобы с целью проверки регистрации ПК, они просят сообщить им персональный идентификационный номер, после чего СКС становится доступным для кражи с помощью АТМ. Довольно часто при этом способе реализуются приемы совершения мошенничества, связанные с использованием банковских служащих с целью получения от них информации о денежных вкладах, о держателях ПК с крупными вкладами за взятку.
Ответственность законного владельца ПК за ущерб, нанесенный в случае неправомерного использования его ПК и личного кода не ограничен, но обычно не превышает 50 долларов США. Финансовые компании обычно подчеркивают то обстоятельство, что их клиенты несут определенную ответственность за сохранность персонального идентификационного номера.
До недавнего времени получение денег через банкомат было одним из наиболее надежных и безопасных способов использования ПК, поскольку наличие PIN-кода, известного только пользователю, гарантирует идентификацию владельца ПК и конфиденциальность доступа клиента к счету. Однако, международная практика уже зафиксировала крупные мошенничества через банкоматы. Так, в Венгрии преступники через банкоматы, расположенные в разных районах Будапешта в течение нескольких минут, используя около 1,5 тысяч поддельных ПК, сняли со счетов около 1,5 млн. форинтов. По данным Интерпола в операции принимало участие до 150 человек [7].
В Англии имел место факт использования мошенниками фальшивого банкомата, который внешне был оформлен, как принадлежащий одной из известных фирм. При обслуживании фальшивый банкомат выдавал правильные сообщения, поэтому не вызывал у держателей карточек сомнений в его подлинности. Пользователи банкоматом оставляли все данные о своем СКС. Затем мошенники, используя полученную информацию, изготавливали фальшивые ПК из белого пластика, наносили подлинную информацию, кодировали магнитную полосу, а затем получали наличные деньги с чужих СКС через действительные банкоматы.
Подключение электронного записывающего устройства к POS-терминалу/банкомату ("Skimming").
Это совсем недавно появившийся вид мошенничества, зафиксированный пока только в Венгрии, ввиду значительной технической сложности. Данный вид мошенничества характеризуется полным копированием всего содержимого магнитной полосы ПК.
Видимо, основным фактором для уменьшения убытков остается ограничение на денежную сумму (несколько сотен долларов), которая может быть выдана из одного автомата держателю ПК в течение дня.
Другой мерой предотвращения кражи являются специальные компьютерные программы, которые управляют АТМ. Вся информация, которой АТМ обменивается с центральным компьютером, шифруется, чтобы предотвратить возможность подключения и перехвата информации [12, C.25-26].
Подозрительно частая выдача денег в течение короткого периода времени или неправильно указанный персональный номер могут привести к "проглатыванию" ПК АТМом.
Другие виды мошенничества. К другим видам мошенничества на наш взгляд можно отнести различные комбинации рассмотренных нами выше способов мошенничества либо вновь появляющиеся и еще неизученные виды мошенничества.
В таблице 1 показана "стандартная" статистика убытков согласно статистическим данным MasterCard за 1994 г. [13, С.53]. Обращаем внимание на то, что классификация видов мошенничества, предложенная нами выше, отличается от стандартной статистической классификации и сформулирована скорее по функциональным признакам.
Если основываться на международной классификации мошенничества по видам правонарушений, то картина представляется следующая [14, С.72]:
мошенничество с утраченными и похищенными ПК составляет 72,2%;
мошенничество с поддельными ПК - 20,5%;
мошенничество с ПК, не полученными законным держателем - 2,8%;
мошенничество с использованием счета - 1,4%;
другие формы мошенничества - 3,1%.
Если проанализировать соотношение мошенничества по сервисным предприятиям [14, С.72], то выясняется, что чаще всего совершается мошенничество через рестораны - 26,4%, отели (мотели) - 25%, магазины - 20,7%, бары - 10,6%, телефонные услуги - 7,4%, т.е. предприятия коммерческой сети, обслуживающие ПК.
В заключении необходимо отметить, что систему финансово-правовой безопасности банков и их клиентов, а также ее развитие невозможно рассматривать без анализа способов совершения преступлений с использованием пластиковых платежных средств.
Котляревський О.І. Шахрайства з використанням пластикових платіжних карток: Збірник наукових праць .- Запоріжжя: Запорізький юридичний інститут, 1998.-№ 1.-C.49.
Вертузаев М.С., Чунис И.Ф., Тарасов А.В., Юрченко А.И.. Контроль подлинности пластиковых платежных средств международного образца // Фізичні методи та засоби контролю середовищ, матеріалів та виробів: Збірник наукових праць.-Київ-Львів: Національна академія наук України, 1999.-С.195-197.
Вертузаев М.С., Котляревский А.И., Юрченко А.М. Способы посягательств на имущество банков и их вкладчиков с использованием кредитных карточек // Безопасность информации.-1997.-№ 1.-С.28-41.
"Карточный" детектив: борьба с мошенничеством в сфере пластиковых карточек в России // Мир карточек, 1997.-№ 17.-С.27-31.
Карточки для наивных американцев // Мир карточек, 1997.-№ 21.-С.5-6.
Юрченко О.М. Зарубіжний досвід попередження шахрайств з використанням пластикових платіжних карток // Інформаційні технології та захист інформації: Збірник наукових праць.-Запоріжжя: Юридичний ін-т, 1998.-Вип.2.-С.41-53.
Кредитные карты как инструмент совершения мошеннических операций и практика борьбы с данными преступлениями // Материалы V международной конференции "Бизнес и безопасность. Мировой опыт" (Москва, 20-21 мая 1998г.).-М.: Ассоциация международного сотрудничества "Безопасность предпринимательства и личности".-С.1-4.
Немчин О.В. Предупреждение и противодействие мошенничеству, корыстным злоупотреблениям при проведении валютных операций // Безпека бізнесу (рекомендації, поради, консультації спеціалістів).-К.: Українська економічна студія, 1998. -С.57-75.
Юрченко О.М. Способи посягань на майно банків та їх вкладників із застосуванням пластикових платіжних засобів // Безпека бізнесу (рекомендації, поради, консультації спеціалістів).-К.: Українська економічна студія, 1998.-С.76-112.
Блинов А. В октябре "Укркарт" планирует завершить создание единого процессингового центра // Финансовая Украина.-1996.-№ 18.
Вертузаєв М.С., Голубєв В.О., Котляревський О.І., Юрченко О.М. Безпека комп'ютерних систем. Комп'ютерна злочинність та її попередження / Під ред. д.ю.н. О.П. Снігерьова. -Запоріжжя: ПВКФ "Павел", 1998.-316с.
Вертузаєв М.С., Хрипко С.Л. Шифрування як засіб захисту інформації // Інформаційні технології та захист інформації: Збірник наукових праць.-Запоріжжя: Юридичний ін-т, 1998.-Вип.2.-С.24-32.
Логинов А.Л., Елхимов Н.С. Общие принципы функционирования международных электронных платежных систем и осуществление мер безопасности при защите от злоупотребления и мошенничества // Защита информации. Конфидент.-1995.-№ 4/2.-С.48-54.
Астапкина С.М., Максимов С.В. Криминальные расчеты: уголовно-правовая охрана инвестиций: Научно-практическое пособие.-М.: Учебно-консультационный центр ЮрИнфоР, 1995.-128с.
Вертузаев М.С., Попов А.Ф. Проблемы совершенствования деятельности органов внутренних дел в предупреждении и расследовании компьютерных преступлений // Правовое, нормативе та метрологічне забезпечення системи захисту інформації в Україні: Матеріали ювілейної науково -технічної конференції (9-11 червня 1998 р., м. Київ).-К.: НТТУ "Київський політехнічний інститут", 1998.-С.156-159.
Если у клиента возникают сомнения в совершенных по карте операциях, ему нужно обращаться в банк. Именно он и будет заниматься выяснением обстоятельств. Но банк сможет помочь, только если клиент подписал чек на одну сумму, а торговая точка списала другую, или если клиент совсем не подписывал чек, а торговая точка деньги все-таки списала. "Поэтому клиент должен внимательно смотреть на сумму, под которой он ставит подпись", - поясняет Сергей Варганов. Отдельная история с заграничными транзакциями. Как говорят банкиры, выяснить обстоятельства утраты средств с карты где-то за рубежом очень трудно. Возникает подозрение, что клиент, находясь в Москве, дал кому-то свою карту и ПИН-код, а потом заявил о мошенничестве. И опротестовать транзакции с использованием ПИН-кода очень проблематично. К банку апеллировать бессмысленно, ведь ответственность за сохранность личных данных лежит не на нем, а на владельце карты. Впрочем, иногда деньги вернуть можно. Как рассказали в Альфа-банке, банк всегда проводит тщательное расследование. И если становится известно, что в каком-либо из банкоматов мошенники проводили копирование магнитных полос и ПИН-кодов с помощью специальных накладок и этим банкоматом в указанный период пользовался пострадавший клиент, банк вернет ему деньги на карту.
