Современному карманнику не нужно даже прикасаться к своим жертвам, ведь он может использовать недорогие и доступные технологии и устройства для чтения информации с кредитных карт на расстоянии. Девушка-хакер Кристина Пейдж смогла доказать и показать возможности применения новых технологий в воровском деле во время своей презентации на конференции хакеров Shmoocon, которая совсем недавно прошла в Вашингтоне.
При помощи компактного устройства — картридера Vivotech RFID (использует технологию радиочастотной идентификации и стоит всего 50 долларов), она смогла получить данные кредитных карт сразу нескольких добровольцев, которые согласились постоять рядом с ней на сцене всего несколько минут. Затем, на глазах у притихшей публики, с использованием еще одного инструмента, стоимость которого не превышает трехсот долларов, она записала данные на пустые карты. Но это еще не все, Кристина продемонстрировала возможности небольшого приложения для iPhone, также позволяющего считывать данные кредиток — и «облегчила» баланс одного из зрителей на 15 долларов! Правда, немедленно выплатила компенсацию наличными. Опасения, что хакеры будут воровать персональные данные или банковскую информацию кредитных карт, возникали и ранее.
Производители кошельков и бумажников, обложек для паспортов и кредитных карт всячески укрепляли и оснащали свою продукцию тонкими листами из нержавеющей стали или алюминиевой фольгой, чтобы блокировать их содержимое от нежелательных радиосигналов и возможности несанкционированного снятия информации. Сервисы, связанные с возможностью бесконтактных платежей, растут, они востребованы как покупателями, так и поставщиками товаров и услуг, очень скоро кредитные карты с поддержкой RFID станут использоваться повсеместно (можно легко определить, имеет ли ваша кредитная карта RFID- возможности — по специальному значку). Например, в Канаде кредитки Visa payWave и MasterCard PayPass c поддержкой RFID уже значительно облегчают и ускоряют оплату через специальные терминалы в тысячах торговых центров по всей стране, в том числе ими можно оплачивать аттракционы в парках развлечений и обеды в Макдональдс.
При оплате через такие терминалы есть одно существенное ограничение — они не могут принимать платежи на сумму больше 50 долларов. И это еще не полный перечень средств защиты. MasterCard использует особую технологию шифрования, а Visa внедряет специальные чипы для предотвращения краж в системах бесконтактных платежей, как уверяют веб-сайты этих уважаемых компаний. Сокращается «рабочее» расстояние между картой и терминалом, карта должна быть в непосредственной близости от считывающей машины для успешной транзакции, и Visa добавляет к этому, что «только безопасные и сертифицированные устройства, которые находятся в ведении уполномоченных торговцев», могут обрабатывать эти карты.
Но с хорошим оборудованием в руках хакера кражу такой информации, как номера кредитных карт, сроки их действия и коды транзакций, очень легко совершить, просто потолкавшись на людной улице или постояв минутку в ожидании нужного сигнала светофора, сказал еще один участник хакерской конференции 3ric (произносится как Эрик) Йохансон. Но потребителям, по словам Йохансона, не стоит слишком беспокоиться по этому поводу — по крайней мере пока. Преступники всегда выбирают самый простой и безопасный способ, чтобы украсть информацию о кредитной карте, на данный момент это хищение через специальные веб-сайты, «не выходя из собственного дома», добавил он.
К концу 2012 года все канадские паспорта будут оснащены RFID-чипами. Но информация через RFID станет доступна только после проверки штрих-кода на второй странице паспорта, то есть паспорт должен быть открыт для того, чтобы получить данные. Новые американские паспорта уже используют эту технологию.
Банковские карты есть в кошельке практически каждого взрослого человека. Это вполне объяснимо, ведь они удобны в пользовании, просты в оформлении и открывают целый ряд возможностей.
И все бы хорошо, но в вопросе безопасности современные карты далеко не идеальны.
Мошенники придумали и активно применяют на практике восемь популярных способов воровства денег со счетов.
В интернете можно найти массу информации о возможностях скимминговых устройств, с помощью которых мошенники получают все необходимые данные о карте.
Некоторые злоумышленники идут дальше и устанавливают так называемые поддельные банкоматы, в которых все необходимые устройства уже вмонтированы. Такие изделия представляют собой полую коробку с вмонтированным в ней скиммером. Пользователь вставляет карту в кардридер и видит сообщение о невозможности проведения операции с деньгами (предлог может быть различным). Он, конечно, забирает карту и идет искать следующий банкомат. На самом же деле все данные с карты уже считаны мошенниками. Остается ими воспользоваться в корыстных целях.
Кража – самый банальный способ заполучить чужую карту, но по статистике именно он является одним из самых популярных. Чтобы украсть карту другого человека злоумышленнику не нужно обладать какими-либо необычными знаниями. Нужно просто уметь воровать.
Грамотные мошенники воруют карту уже после того, как был подсмотрен ПИН-код (сделать это просто при помощи обычной слежки за человеком). Особо расторопные злодеи умудряются подключить видеокамеру возле банкомата и таким способом узнать секретные четыре цифры.
Как может касаться кража банкомата владельца пластиковой карты? Очень просто. Злоумышленники получают не только деньги с аппарата, но и могут считать информацию обо всех картах, которые проходили через кардридер. Конечно, сегодня воровство банкоматов – крайне редкое явление, но еще совсем недавно этим промышляли многие злоумышленники.
Многие злоумышленники не ограничиваются считыванием данных с одной или нескольких карт. Зачем, если можно получить секретную информацию информацией с тысяч, а то и миллионов кредитных карт. Оказывается, что сделать это можно через POS-системы, которые устанавливаются в крупных торговых точках для приема платежей (с помощью кредиток в том числе).
Кража персональных данных осуществляется посредством установки вредоносной программы или специального дополнительного устройства. Вредоносный код с успехом находит лазейку в защите системы и передает необходимую информацию злоумышленнику.
На улицах города все чаще появляются поддельные банкоматы, которые по внешнему виду ничем не отличаются от настоящих. На самом деле такие устройства представляют собой полую коробку с вмонтированным в ней скиммером. Пользователь вставляет карту в кардридер и видит сообщение о невозможности проведения операции с деньгами (предлог может быть различным). Он, конечно, забирает карту и идет искать следующий банкомат. На самом же деле все данные с карты уже считаны мошенниками. Остается ими воспользоваться в корыстных целях.
Данный метод технически сложно воплотить в жизнь, но умельцы находятся. Злоумышленник подключается непосредственно к кабелю банкомата, через который передаются данные в банк. Сложность заключается в том, что осуществить подключение необходимо без разрыва проводов. Но при желании всю необходимую информацию можно найти в интернете.
Конечно, это не все способы, которыми промышляют злоумышленники. Но если понимать весь уровень ответственности и помнить об опасности, то свои деньги можно уберечь.
Что такое кардинг, как устроен бизнес по продаже ворованных кредиток и как избежать потери денег самому
Два дня назад известный репортёр и специалист по кибербезопасности Брайан Кребс сообщил о масштабной утечке из национальной сети китайских забегаловок P. F. Chang’s в США: по его оценке, тысячи кредитных карт были выставлены на продажу на чёрном рынке.
TJournal разобрался, откуда берутся краденые карточки в интернете, как злоумышленники получают к ним доступ и что нужно сделать, чтобы максимально обезопасить себя от потери денег.
Спустя двое суток представители P. F. Chang’s подтвердили кражу карт, вызванную кибератакой на рестораны сети. Компания начала расследование произошедшего, а пока что вместо привычных электронных терминалов P. F. Chang’s будет использовать старые считыватели кредитных карт, работающих на дайлап-интернете, а также сохранять бумажные чеки от платежей по картам.
Как именно это повысит безопасность, компания не сообщила, однако ясно, что удалённо украсть (а затем перепродать) большой объём бумажных чеков гораздо сложнее, чем взломать тысячи карт через одно современное устройство.
В начале марта стало известно о краже данных 282 тысяч банковских карт, которыми расплачивались в сети салонов красоты Sally Beauty. Когда компанию спросили о произошедшем, её представители сообщили, что хотя проникновение в сеть компании было зафиксировано, ни сотрудники безопасности Sally Beauty, ни сторонние эксперты не смогли найти следов кражи данных.
Несмотря на существующую угрозу безопасности остальных своих клиентов, Target не отказался от использования электронных систем обработки платежей с кредиток: в масштабе гигантской сети супермаркетов это было бы равносильно переводу всех грузовиков с товарами на лошадиные повозки.
Мошенничество с угоном данных карт называется кардингом. Иногда злоумышленники ограничиваются несколькими частными кражами, но серьёзную угрозу представляют масштабные спланированные операции, в результате которых оказываются скомпрометированными не десятки и сотни, а тысячи и миллионы пластиковых карт. Такие партии пластика тяжело воспроизвести в виде копий и опасно обналичивать, поэтому добывшие их взломщики сбывают их другим преступникам, по пути выручая крупную сумму денег.
Существуют сотни подпольных интернет-магазинов, продающих карты. Один из самых известных — McDumpals (да, магазин косит под сеть фастфудов, играя на ассоциации со скоростью обслуживания), о котором недавно рассказывал Кребс. Стремясь обеспечить собственную безопасность, магазин пускает не всех, а только по вступительному взносу в 100 долларов. Как и остальные платежи, вступительный взнос можно заплатить только в биткоинах.
Например, на скриншоте магазин McDumpals продаёт 1245 карт за 10,5 тысяч долларов. MA-CT означает код штатов: Массачуссетс и Коннектикут.
Несмотря на то, что большинство дамп-шопов используют множественных поставщиков краденых карт, они не занимаются повторной перепродажей данных. После того, как карту продают покупателю, она исчезает из магазина, и если кто-то попробует перепродать её повторно, он будет удалён из цепочки и внесён в чёрный список.
Главная характеристика продаваемых партий — процент валидности. Например, если продавец заявляет, что этот показатель поставляет 50 процентов, это означает, что каждая вторая карта из партии не сработает в банкомате и полностью бесполезна. Чем свежее карта, тем меньше шанс, что банки уже успели отреагировать на кражу партии их карт и заблокировать их.
Сохранившийся высокий процент валидных карт — вина и самих банков, не пожелавших перевыпускать карты: по словам Кребса, выпуск одной карты стоит от 3 до 5 долларов, а взлом ещё и неудачно выпал на время рожденственских праздников, когда все клиенты активно пользуются кредитками и не готовы ждать, пока их перевыпустят.
Первые партии, имевшие максимальный рейтинг, продавались частями по миллиону штук от 20 до 100 долларов за карту, рассказывал Брайан Кребс, однако впоследствии цена упала вплоть до 8 долларов. Высокие цены на краденые карты были связаны также и с тем, что rescator[dot]so продавал так называемые дампы — данные с магнитных полос, позволяющие воспроизводить копии кредиток.
Дампы — это данные, которые при помощи вредоносного кода, встроенного в скиммеры в банкоматах и мобильных терминалах оплаты, извлекаются из непосредственно магнитной полосы. Получив эти данные, кардеры могут создать реплику оригинальной карты, чтобы использовать её для покупок в больших супермаркетах.
В обычном же случае покупатель имеет только данные, годящиеся для покупок в интернете. Хотя сегодня в сети можно купить всё что угодно, от пиццы до оружия и наркотиков, использовать краденые кредитки для крупных покупок в интернете не так удобно, как превратить всю сумму в наличные в удобном тебе банкомате. По крайней мере, бумажные деньги отследить гораздо сложнее.
Кардеры предпочитают покупать карточки, прежние владельцы которых жили неподалёку или в том же городе. Это связано с системой безопасности: если банк видит, что при помощи карты некто пытается совершить платёж из места, откуда владелец ранее не производил покупок, он помечает операцию как подозрительную. Тогда в дело вмешивается служба безопасности: обычно транзакция блокируется до тех пор, пока владелец лично её не подтвердит.
Поскольку от одного номера карты и кода подтвержения (CVV или CVC2) толку мало, кардеры стараются получить дампы, для чего нужен физический доступ к карте. Получить его они могут двумя путями: установив скиммер в банкомат или взломав мобильный терминал, при помощи которого карты принимают к оплате, например, в ресторанах и барах. Если в последнем случае хакерам потребуется сотрудничество сообщника в лице официанта или кассира, то в случае скиммера всё проще и распространённее.
Один из примеров внешнего вида скиммеров
Скиммер и камеру обычно маскируют под цвета банкомата, на который их устанавливают, или даже под рекламные материалы, чтобы возникало ещё меньше подозрений. Они работают от батареек, но чаще всего не передают информацию по сети: злоумышленнику предстоит снять их с банкомата и подключить к компьютеру, чтобы заполучить собранные данные.
Обычно скиммеры выглядят чужеродно и слегка выпирают над поверхностью корпуса банкомата, однако их можно спутать с антискимминговыми устройствами. Есть и более незаметные варианты — шиммеры — которые представляют собой считывающую полоску толщиной 0,1-0,2 миллиметра, устанавливаемой внутрь отверстия для приёма карты.
Инкассаторы каждый раз проверяют банкоматы на наличие скимминговых устройств, поэтому обычно их стараются помещать на устройства в людных местах — там, где за короткое время между двумя инкассациями удастся считать наибольшее количество карт: например, на вокзалах и в торговых центрах. Банки тоже не сидят на месте: устанавливают специальные антискиммеры, усложняющие насадку и использование считывателей.
Антискиммер
Приведём несколько советов по тому, как снизить риск угона пластиковой карты.
1. Пользоваться проверенными банкоматами вашего банка в офисе банка — там, где он охраняется и за его безопасностью следит несколько камер.
2. Внимательно осматривать банкомат перед тем, как воспользоваться им. Если внешний вид устройства для приёма карт вызывает подозрения (например, он выпирает, не зафиксирован, другого цвета или материала), клавиатура выглядит непривычно, а рядом находится лоток с рекламными материалами, куда может быть встроена камера, лучше не пользоваться банкоматом.
3. При наборе PIN лучше прикрывать клавиатуру рукой сверху, страхуясь от возможных камер или подсматривающего злоумышленника. Некоторые банкоматы оснащены специальными шторками.
4. По возможности выпускать не обычную карту, а смарт-карту с электронным чипом. Её обслуживание обходится дороже, но безопасность выше: её сложнее подделать, а для всех операций необходимо введение PIN-кода (в отличие от обычных карт, где может хватить росписи владельца). Однако не все банкоматы поддерживают использование чипов: в этом случае они проходят через магнитную полосу.
5. На снятие денег с карты в некоторых банках можно устанавливать лимит — например, не более 20 тысяч рублей в сутки. Иные карты можно выпускать уже с предельным лимитом: например, можно создать виртуальную карту для платежей в интернете, по которой можно заплатить не больше 10 тысяч рублей. В случае её угона злоумышленники не смогут украсть всю сумму денег.
6. Банальный, но действенно: не показывайте свою карту посторонним. Подсмотреть вводимый PIN может улыбающийся официант.
И не выкладывайте фото вашей кредитки в Инстаграм,
Никита Лихачёв,
TJournal