Открыть сервис

Глобальный струппинг

Глобальный струппинг — это мошенническая схема в сфере финансовых и банковских операций, основанная на массовом сборе, анализе и использовании данных платежных карт (в первую очередь — их полных реквизитов) для совершения несанкционированных транзакций. Термин происходит от англ. global («глобальный», «всемирный») и scraping («соскабливание», «сбор данных»), что отражает суть процесса — автоматизированный сбор информации с множества источников по всему миру. В отличие от традиционного скимминга (физического копирования данных с магнитной полосы карты), глобальный струппинг использует цифровые каналы и уязвимости в системах электронной коммерции и платежных шлюзов.

История возникновения

Феномен глобального струппинга начал активно развиваться во второй половине 2010-х годов, когда объёмы онлайн-торговли и число транзакций по банковским картам резко выросли. Ранние прототипы схемы существовали ещё в 2010–2012 годах, когда злоумышленники вручную проверяли украденные базы данных карт на сайтах с низким уровнем защиты. Однако с появлением специализированных программных ботов и API-интерфейсов для автоматизации платежей процесс стал массовым.

Ключевым толчком к развитию глобального струппинга послужили крупные утечки данных из банков, платёжных систем и интернет-магазинов. Например, в 2017–2018 годах были скомпрометированы данные десятков миллионов карт в результате взломов систем обработки платежей (в частности, в США и странах Европы). Эти данные стали «сырьём» для струппинга. Схема получила широкое распространение в странах с высоким уровнем проникновения цифровых платежей, включая Россию, где, по данным Центрального банка, в 2019–2021 годах фиксировался рост числа мошеннических операций с использованием методов, характерных для струппинга.

Механизм работы

Глобальный струппинг состоит из нескольких последовательных этапов, каждый из которых автоматизирован с помощью специализированного программного обеспечения.

Сбор данных (Scraping)

На первом этапе злоумышленники получают массивы данных о банковских картах. Источниками служат:

  • Утечки баз данных — из банков, платёжных агрегаторов, интернет-магазинов, сервисов бронирования.
  • Фишинговые сайты — поддельные страницы, имитирующие легитимные сервисы, где жертва сама вводит реквизиты.
  • Вредоносное ПО — трояны, перехватывающие данные при вводе на реальных сайтах (например, через клавиатурные шпионы).
  • Чёрные рынки (даркнет) — покупка готовых баз данных карт (так называемых «dumpов»), включающих номер карты, срок действия, CVV/CVC-код и иногда имя держателя.

Валидация (Checking)

Собранные данные не всегда являются актуальными или действующими. Для их проверки используется автоматизированная система, которая отправляет микроплатежи (суммы в несколько рублей или центов) на сайты с низким порогом безопасности. Если транзакция проходит успешно, карта считается «живой» и пригодной для дальнейшего использования. Этот этап часто называют «кардинг-чекингом» (carding checking). Валидация может проводиться через десятки тысяч тестовых запросов в минуту.

Использование (Fraud)

После валидации «живые» карты используются для совершения мошеннических покупок или переводов. Типичные сценарии:

  • Покупка цифровых товаров — коды активации, подписки, виртуальная валюта, криптовалюта, которые легко обналичить.
  • Покупка физических товаров — с пересылкой на подставные адреса или адреса «дропов» (подставных лиц).
  • Переводы на электронные кошельки — с последующим выводом средств.
  • Оплата услугмобильная связь, интернет, коммунальные платежи (часто в странах с низким уровнем контроля).

Методы противодействия

Борьба с глобальным струппингом ведётся на нескольких уровнях: технологическом, организационном и правовом.

Технологические меры

  • 3D Secure (3DS 2.0) — протокол аутентификации, требующий дополнительного подтверждения операции (например, через SMS или push-уведомление). Версия 2.0 позволяет анализировать поведенческие факторы и риск-контекст, снижая вероятность успешного струппинга.
  • CAPTCHA и поведенческий анализ — внедрение на сайтах проверок на ботов (reCAPTCHA, hCaptcha) и анализ движений мыши, скорости ввода данных, времени между действиями.
  • Лимиты на количество попыток — ограничение числа проверок карт с одного IP-адреса или устройства.
  • Мониторинг аномалий — системы фрод-мониторинга (fraud monitoring) банков и платёжных шлюзов, выявляющие массовые однотипные микроплатежи или нехарактерные для держателя карты транзакции.
  • Токенизация — замена реальных реквизитов карты на уникальный токен, который действует только для конкретного продавца или сессии.

Организационные меры

  • Обучение персонала — повышение осведомлённости сотрудников банков, магазинов и платёжных сервисов о признаках струппинга.
  • Обмен данными — создание отраслевых баз данных (например, в России — система «Антифрод» Банка России), где банки и платёжные агрегаторы обмениваются информацией о подозрительных операциях.
  • Аудит безопасности — регулярная проверка платёжных шлюзов и API на уязвимости.

Правовое регулирование

В России борьба с глобальным струппингом регулируется:

  • Федеральным законом «О национальной платёжной системе» (161-ФЗ), который обязывает банки возмещать клиентам средства, украденные без их согласия, если клиент своевременно уведомил о мошенничестве.
  • Уголовным кодексом РФ — статьи 158 (кража) и 159.3 (мошенничество с использованием электронных средств платежа) предусматривают ответственность за неправомерное использование данных карт.
  • Указаниями Банка России — например, по обязательному применению 3D Secure для интернет-транзакций.

На международном уровне действуют стандарты PCI DSS (Payment Card Industry Data Security Standard), которые устанавливают требования к защите данных держателей карт для всех участников платёжной экосистемы.

Масштабы и статистика

Точные данные о масштабах глобального струппинга отсутствуют из-за латентности преступлений, однако косвенные показатели позволяют оценить его влияние. По данным Банка России, в 2023 году объём мошеннических операций с использованием банковских карт в РФ составил около 15,8 млрд рублей, причём значительная доля приходилась на онлайн-транзакции. По оценкам международных экспертов (например, отчёты компании LexisNexis Risk Solutions), доля струппинга в общем объёме карточного мошенничества в мире может достигать 30–40%.

Наиболее уязвимыми секторами являются:

  • Электронная коммерция — интернет-магазины с низким порогом безопасности (например, продавцы цифровых товаров).
  • Сервисы по подписке — стриминговые платформы, облачные хранилища.
  • Платёжные агрегаторы — сервисы, обрабатывающие платежи для множества мелких продавцов.

Примеры и инциденты

Одним из наиболее резонансных случаев, связанных с глобальным струппингом, стала атака на платёжную систему одного из крупных российских банков в 2020 году. Злоумышленники использовали уязвимость в API интернет-эквайринга, чтобы в течение нескольких часов провести валидацию более 50 тысяч карт, украденных из баз данных зарубежных магазинов. Ущерб от последующих несанкционированных транзакций превысил 200 млн рублей.

Другой пример — массовая атака на сервисы бронирования отелей в 2021 году, когда через автоматизированные боты были проверены и использованы данные карт клиентов из России, стран Европы и Азии. Инцидент привёл к ужесточению требований к аутентификации в системах онлайн-бронирования.

Критика и сложности

Глобальный струппинг критикуется не только как форма мошенничества, но и как явление, подрывающее доверие к цифровым платежам. Основные проблемы:

  • Сложность выявления — массовые микроплатежи могут быть ошибочно приняты системами за легитимную активность (например, тестовые списания).
  • Низкая ответственность платёжных агрегаторов — некоторые сервисы недостаточно проверяют продавцов, что позволяет мошенникам зарегистрировать подставные магазины для валидации карт.
  • Международный характер — схемы часто используют юрисдикции с низким уровнем правоприменения, что затрудняет расследование и привлечение к ответственности.

См. также

  • Кардинг
  • Скимминг
  • Фишинг
  • Фрод-мониторинг
  • 3D Secure

Источники

  • Банк России. Обзор мошеннических операций с использованием банковских карт за 2023 год.
  • LexisNexis Risk Solutions. Global Fraud and Identity Report, 2023.
  • Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платёжной системе».
  • PCI Security Standards Council. PCI DSS v4.0.
  • Уголовный кодекс Российской Федерации (статьи 158, 159.3).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →