Власти США предъявили группе лиц, в том числе одному гражданину РФ - некоему Анатолию Тюканову из Москвы, серию обвинений в кардерстве - незаконной продаже в Интернете краденых номеров банковских карт, социального страхования и удостоверений личности. Аресты произведены в рамках тайной операции, проведенной Секретной службой США, которая не только охраняет первых лиц государства, но и ведет борьбу с финансовыми преступлениями, подделкой денег и т.п. По данным американского министерства юстиции, обвиняемым грозят тюремные заключения на срок от трех до пятнадцати лет. Всего арестовано 28 человек - членов подпольных групп Shadowcrew, Carderplanet и Darkprofits.
Операция подается как большая победа Секретной службы, однако если посмотреть на масштабы кардерства, это капля в море. Как утверждают эксперты в сфере компьютерной безопасности, в этом году около 120 миллионов счетов подвергались риску незаконного списания средств, отмечает MSN.
Такое письмо, пожалуй, не хотелось бы получить никому из владельцев кредитных карт: "Мы уведомляем Вас, что компания Visa сообщила нам о несанкционированном вторжении в сеть." Это реальное письмо, которое было разослано в сентябре банком Washington Mutual bank своим клинтам. Количество разосланных писем неизвестно. Номера кредитных карт были получены хакерами из базы одного из магазинов, принимающих кредитные карты.
Письмо очень сильно напоминает целый ряд подобных сообщений, разосланных ранее в этом году банками, расположенными в разных частях США, после того, как BJ's Wholesale Club допустил утечку довольно большого количества номеров кредитных карт. Компания не сообщила, какая часть от 8 миллионов ее пользователей попала в "группу риска", а информация о них могла оказаться в руках хакеров. Тем не менее, согласно сообщениям новостных источников, десяткам банков пришлось по новой выпускать десятки тысяч новых кредитных карт.
Сообщение вызывает много вопросов. Каким образом подверглись риску номера счетов? Сколько пострадавших? Почему это произошло? Что нужно сделать, чтобы предотвратить подобные случаи в дальнейшем? Случай с BJ был не совсем обычным, потому что был найден конкретный магазин-виновник. В большинстве случаев, пользователи так никогда и не узнают, что же произошло с их персональными данными.
Этого не знает и сам Washington Mutual. Как и конечный пользователь, банк не имеет возможности контролировать партнеров Visa, которые допускают утечку персональной информации, - так утверждает представитель банка Либби Хатчинсон (Libby Hutchinson). Она, также, не представляет масштабов проблемы, заявляя, что угрозе подверглось "большое количество вкладчиков" Washington Mutual.
Насколько типичны проблемы с фродом в области кредитных карт, судить довольно сложно, поскольку все здесь покрыто завесой секретности. Однако, по заявлениям одной из фирм, занимающихся обеспечением безопасности мерчантов, в прошлом году потенциальному риску подвергались около 60 млн. счетов, а в этом году цифра может достичь 120 млн. "Все, с кем я общался, говорят, что эти оценки весьма занижены", - говорит Джулия Фергюсон (Julie Ferguson), совладелец ClearCommerce Corp., компании, продающей программные продукты для борьбы с кражами данных.
Visa, Mastercard и American Express в один голос утверждают, что подобные цифры являются преувеличением. "Мы не публиковали подобных данных, однако я могу сказать, что эти показатели сильно завышены", - говорит Линда Локке (Linda Locke), Mastercard.
Однако Фергюсон утверждает, что только согласно последним отчетам об утечке информации о счетах, опасности подвергались сотни счетов, при этом миллионы попали в "группу риска". О многих случаях утечки информации вообще никогда не сообщалось. "Лично мне известно об опасности, которой подверглось 1 млн. записей около месяца тому назад" - говорит она. "Проблема защиты данных - это масштабная проблема. Мало кто понимает, насколько она серьезна".
Еще один консультант, который обеспечивает безопасность данных по кредитным картам, пожелавший остаться анонимным, сообщил, что ему известно об 11-12 млн. счетов, подвергшихся риску только за один месяц текущего года. "Постоянно случаются крупные происшествия, однако в процессе работы я замечаю и мелкие бреши, которые усугубляют и без того серьезную проблему", - говорит он. "Общеизвестно, что тенденции здесь неутешительные. Думаю, людям пора осознать масштабность проблемы".
С января 2000 г., когда произошла первая связанная с Интернет утечка информации о кредитных картах, репортажи в СМИ о счетах, подвергшихся риску, стали обыденностью и перешли в разряд фонового шума. Банки и ассоциации кредитных карт быстро реагируют на утечки; зачастую, счета закрываются еще до того, как случится фрод. Да и Фергюсон называет утешительным тот факт, что только 1% подвергшихся риску кредитных карт используются для фрода до их закрытия. Исследователь из Gartner Авива Литан (Avivah Litan) подтверждает подобное мнение, добавляя, что согласно последним исследованиям, фактический уровень фрода по кредитным картам за последний год стабилизировался, и даже немного понизился.
Однако когда счета подвергаются риску, это вызывает проблемы для пользователей. Автоматические платежи и их отмена больше не работают, их нужно авторизовать по-новому. Новая карта должна быть активирована. Прибавьте сюда и неприятные мысли: "А что еще они знают обо мне?"
Проблема большая, об этом никто не спорит. В текущем году, Visa и Mastercard вводят новые, более строгие стандарты для своих партнеров (мерчантов) по контролю персональных данных потребителей, которые они хранят у себя. К примеру, стандарты требуют криптования хранимых номеров кредитных карт. В этом случае, даже если данные будут украдены, вор не сможет ими воспользоваться. Обе ассоциации заявляют, что они будут проводить аудиты мерчантов, и налагать штрафы на фирмы, которые не соответствуют требованиям. Mastercard запустил в июне программу Site Data Protection, а программа Visa Cardholder Information Security начала функционировать 30 сентября. American Express и Discover также готовят подобные программы.
Однако настоящая проблема, говорит Фергюсон, состоит в мелких мерчантах, которые хранят данные о пользователях, но при этом не платят за установку достойных защитных систем. Недавнее исследование показало, что девять из десяти мерчантов внедряют защиту "сделай сам", то есть, пытаются защитить персональную информацию собственными силами. Допустим, что Фергюсон заинтересована в убеждении мерчантов воспользоваться услугами сторонних специалистов по безопасности, однако изобилие незащищенных данных не вызывает сомнения. Во многих рассылках по компьютерной безопасности описывалось, как просто найти в Google огромные массивы номеров кредитных карт, расположенные на незащищенных компьютерах, подключенных к сети Интернет.
Литан говорит, что еще одна сторона проблемы, которая зачастую не принимается во внимание, состоит в том, что взломать могут мерчантов, у которых нет торгового вебсайта. Обычная бакалейная лавка, к примеру, может стать причиной утечки данных, потому что обычные розничные продавцы хранят данные на компьютерах, а компьютеры зачастую подключены к Интернет тем или иным способом. Так что старая присказка "Не используй кредитку онлайн и спи спокойно", вряд ли верна.
Аналитики выражают надежду, что новые правила безопасности Visa и Mastercard возымеют должное действие, особенно на фоне того, что финансовые структуры, на которые ложится груз проблемы, выражают все большее нетерпение. Повторная эмиссия кредитной карты может стоить 20$ и более для каждого пользователя - довольно дорогое удовольствие, если учесть, что таких пользователей могут быть тысячи. Sovereign Bank из Филадельфии, к примеру, заявил The Associated Press, что ему пришлось дважды перевыпустить 81 000 карт после проблем с данными BJ, и обошлось это в 1 млн долларов, пишет "Рокфеллер".
