Из цикла "Городские легенды".

В последнее время через чаты WhatsApp активно «расшаривают» уже весьма старый фейк о том, что если вас пытаются ограбить и требуют снять деньги в банкомате в присутствии преступников, не стоит сопротивляться – просто… наберите ПИН-код в обратной последовательности.

Якобы эта «волшебная» комбинация цифр не только заблокирует выдачу денег в АТМ (причем заблокирует механически, прямо в процессе выдачи!), но и автоматически вызовет полицию прямо к используемому вами банкомату. Только представьте себе – диспенсер отсчитает запрашиваемую сумму, сформированная пачка наличных начнет свое движение к слоту для выдаваемых наличных. А некое устройство внутри банковского терминала определенным волшебным образом физически заблокирует банкноты, подготовленные к выдаче вам, и они «застрянут» в «щели» для выдачи. А невдалеке уже раздается вой спасительной полицейской сирены!..

Прежде чем опровергнуть это настолько же нелепое, насколько безграмотное утверждение, сделаем маленький экскурс в историю происхождения мифа, которая, в отличие от самого фейка, имеет вполне реальное происхождение.

Действительно, в 1994 году американский юрист Джозеф Зингер подал заявку на первый патент, описывающий подобную систему. Зингер предложил считать ввод цифр ПИН-кода в обратной последовательности сигналом тревоги для банка и полиции. Последовательности-палиндромы (вроде 9119), которые, как их не набирай, все равно выглядят одинаково, в ПИН-кодах предполагалось не использовать.

Патенты Зингера были благополучно оформлены, а вот внедрение их забуксовало. Банки и регуляторы приняли затею без всякого восторга. В 2000-е годы власти нескольких американских штатов рассматривали законопроекты, обязывающие банки использовать подобную технику. Именно в этот период и появились в интернете первые «письма счастья» с рецептом реверсивного ПИН-кода. Однако в итоге дело закончилось одними лишь разговорами, до банкоматов изобретение так и не добралось. Противники идеи Зингера выдвинули весьма резонные аргументы, к которым мы еще вернемся.

Так или иначе, мы не будем слишком глубоко вдаваться в причины реанимации старой идеи в виде появления нынешнего фейка, корни которого следует искать скорее в истории происхождения мифов, нежели в платежных технологиях. Объясним лишь, почему ввод ПИН-кода в обратном порядке не спасет вас от грабителя, и как на самом деле работают банковские терминалы самообслуживания, именуемые в профессиональном сообществе банкоматами (разумеется, объясним только для тех немногих, как мы уверены, читателей «компетентных спам-рассылок», которые могут испытывать сомнения по этом поводу).

Начнем с полного текста спам-рассылки: «Если грабитель заставляет вас снять наличные в банкомате, не спорьте и не сопротивляйтесь ему. Все что вам нужно сделать – набрать ПИН-код карты в обратном направлении. Например, если ваш код 1234, то наберите 4321. После этого банкомат отсчитает деньги, но купюры застрянут в щели для выдачи. Банкомат сразу же известит местную полицию о грабеже и сделает фото подозреваемого. Такая функция есть у каждого банкомата». При этом в конце своего чата авторы фейка, как обычно и делается в случаях распространения вирусной информации, убедительно просят поделиться этой информацией со всем списком контактов.

Итак, будем разъяснять все вышеприведенные «парадоксы» по порядку, начав с самого очевидного. Как отметил директор по рискам в сфере безопасности электронных платежей Ассоциации участников МастерКард Николай Дош, набор ПИН-кода в зеркальном порядке (или любом другом кроме правильного) изначально приведет всего лишь к отклонению операции хостом с кодом ответа «неправильный ПИН-код». «Если держатель будет упорствовать в своих экспериментах, то через 3 неправильных набора карта будет заблокирована. Некоторые банки при дальнейших попытках неправильного набора ПИНа дают распоряжение на изъятие карты банкоматом, дабы особо энергичные граждане не мучали процессинг банка в частности и МПС в целом», – подчеркнул Н. Дош. Таким образом, ввод ПИН-кода в обратном порядке принесет держателю карты только одно сомнительное преимущество – и то, если грабители позволят ему сделать это трижды – карта будет заблокирована либо даже захвачена банкоматом. Однако, во-первых, к этому же результату привел бы набор любого другого значения ПИН-кода, кроме истинного, а во-вторых, никакая полиция не приедет, и объяснятся с огорченными грабителями один на один придется самому держателю карты.

Директор дирекции мониторинга электронного бизнеса Альфа-Банка Алексей Голенищев напоминает о банальной истине – сам банкомат не знает, какой ПИН правильный, а какой введен в обратном порядке. «Все данные введенного ПИН-кода в зашифрованном ПИН-блоке передаются на хост банка. Но и тот не хранит (и не может хранить согласно правилам безопасности) в своей памяти цифр ПИНа, а только криптографически сравнивает полученный хэш с расчетным в логике – верно/неверно. Что же касается криптографии с распознаванием «обратного» ввода цифр ПИНа, то ее  нет, и не может быть по определению! А сам банкомат может исполнять только команды с хоста банка. Тем более, он не может «звонить» ни в какую полицию», – прокомментировал А. Голенищев.

Хорошо известный на рынке независимый эксперт по вопросам безопасности Николай Пятиизбянцев добавил, что если бы возможность введения ПИН-кода в обратном порядке и была реализована, то держателю карты необходимо было бы ввести (где-то и когда-то) значение этого обратного ПИНа. Банк, в свою очередь, должен был бы его хранить и реализовать альтернативный сценарий работы банкомата и/или взаимодействия между эквайрером и эмитентом. Однако в реальности такие процедуры нигде не реализованы.

Со своей стороны добавим, что сам пассаж авторов фейка о том, что «после этого банкомат отсчитает деньги, но купюры застрянут в щели для выдачи» заслуживает особого внимания, и уже не профессионалов карточного рынка, но медицинских работников соответствующего профиля – для помещения авторов этого опуса в районный психдиспансер, если не для административного привода в Московский научно-исследовательский институт психиатрии им. В. П. Сербского Минздрава России. Собственно, там же место поверившим в фейк читателям.

Дело в том, что сама операция выдачи наличных считается завершенной только после выдачи банкнот держателю карты – т. е. после того, как он забрал их из слота для выдачи. Если же банкноты были помещены устройством в слот, но так и остались не забранными, устройство через несколько десятков секунд заберет их обратно, и операция будет отменена. То же, о чем говорят авторы фейка – деньги выдаются, он не могут быть забраны ни устройством, ни пользователем, – возможно только после размещения на банкомате специального механического устройства в виде «кармана», блокирующего выданные банкоматом банкноты, доступ к которым станет возможным только после снятия этого самого «кармана». Данный вид мошенничества получил название cash-траппинг и еще недавно широко практиковался преступниками, однако специально размещать такое устройство на банкоматах не станет ни один банк, поскольку это означает, что банкоматы не смогут выдавать деньги клиентам в принципе, производя при этом только мошеннические транзакции. Результатом для банка может стать только уголовное преследование и потеря бизнеса.

Сама идея введения зеркального ПИНа для спасения от грабителей несовершенна, так как в стрессовой ситуации нет никаких гарантий, что держатель карты вспомнит свой ПИН-код – что в обычном, что в обратном порядке.

В свою очередь, скорость реагирования полиции – не только в РФ, но и в любой стране мира – ниже, чем нужно для того чтобы гарантированно помешать преступнику снять деньги и покинуть место преступления – не говоря о расправе над жертвой, посмевшей пойти на хитрость.

Кроме того, банкоматы, если снабдить их функцией вызова полиции, могут быть взломаны извне, и вызвать сбой в работе правоохранительных органов, рассылая им ложные сигналы тревоги. Не говоря уже о том, что клиенты банка могут ошибаться при наборе ПИН-кода, тем самым вызывать полицию на ложные ограбления.

Однако самым важным доводом против зеркального ПИН-кода представляется приведенное нами соображение, что полиция может не успеть на вызов, и грабитель, поняв, что жертва пытается спастись подобным образом, может убить владельца карты и скрыться с места преступления.

В заключение отметим, что реально обезопасить себя от ограбления с выдачей ПИН-кода по принуждению можно гораздо более простыми и действенными мерами. Например, вы можете написать ложное значение ПИН-кода на карте, чтобы грабитель самостоятельно ее заблокировал, трижды введя ложный ПИН-код, будучи уверен в его правильности (это поможет и при краже у вас карты или потери оной). Также можно воспользоваться лимитами на разовое и суточное снятие наличных, что гарантирует (при наличии значительных сумм на карте) то, что они не будет сняты грабителем целиком.