Глобальный струппинг
Глобальный струппинг — это мошенническая схема в сфере финансовых и банковских операций, основанная на массовом сборе, анализе и использовании данных платежных карт (в первую очередь — их полных реквизитов) для совершения несанкционированных транзакций. Термин происходит от англ. global («глобальный», «всемирный») и scraping («соскабливание», «сбор данных»), что отражает суть процесса — автоматизированный сбор информации с множества источников по всему миру. В отличие от традиционного скимминга (физического копирования данных с магнитной полосы карты), глобальный струппинг использует цифровые каналы и уязвимости в системах электронной коммерции и платежных шлюзов.
История возникновения
Феномен глобального струппинга начал активно развиваться во второй половине 2010-х годов, когда объёмы онлайн-торговли и число транзакций по банковским картам резко выросли. Ранние прототипы схемы существовали ещё в 2010–2012 годах, когда злоумышленники вручную проверяли украденные базы данных карт на сайтах с низким уровнем защиты. Однако с появлением специализированных программных ботов и API-интерфейсов для автоматизации платежей процесс стал массовым.
Ключевым толчком к развитию глобального струппинга послужили крупные утечки данных из банков, платёжных систем и интернет-магазинов. Например, в 2017–2018 годах были скомпрометированы данные десятков миллионов карт в результате взломов систем обработки платежей (в частности, в США и странах Европы). Эти данные стали «сырьём» для струппинга. Схема получила широкое распространение в странах с высоким уровнем проникновения цифровых платежей, включая Россию, где, по данным Центрального банка, в 2019–2021 годах фиксировался рост числа мошеннических операций с использованием методов, характерных для струппинга.
Механизм работы
Глобальный струппинг состоит из нескольких последовательных этапов, каждый из которых автоматизирован с помощью специализированного программного обеспечения.
Сбор данных (Scraping)
На первом этапе злоумышленники получают массивы данных о банковских картах. Источниками служат:
- Утечки баз данных — из банков, платёжных агрегаторов, интернет-магазинов, сервисов бронирования.
- Фишинговые сайты — поддельные страницы, имитирующие легитимные сервисы, где жертва сама вводит реквизиты.
- Вредоносное ПО — трояны, перехватывающие данные при вводе на реальных сайтах (например, через клавиатурные шпионы).
- Чёрные рынки (даркнет) — покупка готовых баз данных карт (так называемых «dumpов»), включающих номер карты, срок действия, CVV/CVC-код и иногда имя держателя.
Валидация (Checking)
Собранные данные не всегда являются актуальными или действующими. Для их проверки используется автоматизированная система, которая отправляет микроплатежи (суммы в несколько рублей или центов) на сайты с низким порогом безопасности. Если транзакция проходит успешно, карта считается «живой» и пригодной для дальнейшего использования. Этот этап часто называют «кардинг-чекингом» (carding checking). Валидация может проводиться через десятки тысяч тестовых запросов в минуту.
Использование (Fraud)
После валидации «живые» карты используются для совершения мошеннических покупок или переводов. Типичные сценарии:
- Покупка цифровых товаров — коды активации, подписки, виртуальная валюта, криптовалюта, которые легко обналичить.
- Покупка физических товаров — с пересылкой на подставные адреса или адреса «дропов» (подставных лиц).
- Переводы на электронные кошельки — с последующим выводом средств.
- Оплата услуг — мобильная связь, интернет, коммунальные платежи (часто в странах с низким уровнем контроля).
Методы противодействия
Борьба с глобальным струппингом ведётся на нескольких уровнях: технологическом, организационном и правовом.
Технологические меры
- 3D Secure (3DS 2.0) — протокол аутентификации, требующий дополнительного подтверждения операции (например, через SMS или push-уведомление). Версия 2.0 позволяет анализировать поведенческие факторы и риск-контекст, снижая вероятность успешного струппинга.
- CAPTCHA и поведенческий анализ — внедрение на сайтах проверок на ботов (reCAPTCHA, hCaptcha) и анализ движений мыши, скорости ввода данных, времени между действиями.
- Лимиты на количество попыток — ограничение числа проверок карт с одного IP-адреса или устройства.
- Мониторинг аномалий — системы фрод-мониторинга (fraud monitoring) банков и платёжных шлюзов, выявляющие массовые однотипные микроплатежи или нехарактерные для держателя карты транзакции.
- Токенизация — замена реальных реквизитов карты на уникальный токен, который действует только для конкретного продавца или сессии.
Организационные меры
- Обучение персонала — повышение осведомлённости сотрудников банков, магазинов и платёжных сервисов о признаках струппинга.
- Обмен данными — создание отраслевых баз данных (например, в России — система «Антифрод» Банка России), где банки и платёжные агрегаторы обмениваются информацией о подозрительных операциях.
- Аудит безопасности — регулярная проверка платёжных шлюзов и API на уязвимости.
Правовое регулирование
В России борьба с глобальным струппингом регулируется:
- Федеральным законом «О национальной платёжной системе» (161-ФЗ), который обязывает банки возмещать клиентам средства, украденные без их согласия, если клиент своевременно уведомил о мошенничестве.
- Уголовным кодексом РФ — статьи 158 (кража) и 159.3 (мошенничество с использованием электронных средств платежа) предусматривают ответственность за неправомерное использование данных карт.
- Указаниями Банка России — например, по обязательному применению 3D Secure для интернет-транзакций.
На международном уровне действуют стандарты PCI DSS (Payment Card Industry Data Security Standard), которые устанавливают требования к защите данных держателей карт для всех участников платёжной экосистемы.
Масштабы и статистика
Точные данные о масштабах глобального струппинга отсутствуют из-за латентности преступлений, однако косвенные показатели позволяют оценить его влияние. По данным Банка России, в 2023 году объём мошеннических операций с использованием банковских карт в РФ составил около 15,8 млрд рублей, причём значительная доля приходилась на онлайн-транзакции. По оценкам международных экспертов (например, отчёты компании LexisNexis Risk Solutions), доля струппинга в общем объёме карточного мошенничества в мире может достигать 30–40%.
Наиболее уязвимыми секторами являются:
- Электронная коммерция — интернет-магазины с низким порогом безопасности (например, продавцы цифровых товаров).
- Сервисы по подписке — стриминговые платформы, облачные хранилища.
- Платёжные агрегаторы — сервисы, обрабатывающие платежи для множества мелких продавцов.
Примеры и инциденты
Одним из наиболее резонансных случаев, связанных с глобальным струппингом, стала атака на платёжную систему одного из крупных российских банков в 2020 году. Злоумышленники использовали уязвимость в API интернет-эквайринга, чтобы в течение нескольких часов провести валидацию более 50 тысяч карт, украденных из баз данных зарубежных магазинов. Ущерб от последующих несанкционированных транзакций превысил 200 млн рублей.
Другой пример — массовая атака на сервисы бронирования отелей в 2021 году, когда через автоматизированные боты были проверены и использованы данные карт клиентов из России, стран Европы и Азии. Инцидент привёл к ужесточению требований к аутентификации в системах онлайн-бронирования.
Критика и сложности
Глобальный струппинг критикуется не только как форма мошенничества, но и как явление, подрывающее доверие к цифровым платежам. Основные проблемы:
- Сложность выявления — массовые микроплатежи могут быть ошибочно приняты системами за легитимную активность (например, тестовые списания).
- Низкая ответственность платёжных агрегаторов — некоторые сервисы недостаточно проверяют продавцов, что позволяет мошенникам зарегистрировать подставные магазины для валидации карт.
- Международный характер — схемы часто используют юрисдикции с низким уровнем правоприменения, что затрудняет расследование и привлечение к ответственности.
См. также
- Кардинг
- Скимминг
- Фишинг
- Фрод-мониторинг
- 3D Secure
Источники
- Банк России. Обзор мошеннических операций с использованием банковских карт за 2023 год.
- LexisNexis Risk Solutions. Global Fraud and Identity Report, 2023.
- Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платёжной системе».
- PCI Security Standards Council. PCI DSS v4.0.
- Уголовный кодекс Российской Федерации (статьи 158, 159.3).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →