Человек с терминалом, или Снова про бесконтактные платежи
Содержание статьи
Человек с терминалом, или Снова про бесконтактные платежи
Может ли злоумышленник украсть данные карты или деньги, незаметно используя бесконтактные NFC-платежи?
Тема безопасности бесконтактных платежей, основанных на технологии NFC, продолжает будоражить общественность. Исследователи во всем мире пробуют эту технологию «на прочность», проверяя, не слишком ли мы все беспечны, таская карточки в карманах рюкзаков и сумочек. Что можно потерять — только данные карточки или, быть может, и деньги тоже, невзирая на все меры безопасности?
Тема-то потенциально серьезная. Мои коллеги по работе уже писали об этом не так давно. Изменилось ли что-то за полгода?
Незаметное считывание
Опыты показали, что стандартные приборы для бесконтактной оплаты: телефоны, PoS-терминалы и тому подобное — действительно работают только на ОЧЕНЬ маленьком расстоянии. Получается, что злоумышленники, конечно, могут извлечь какие-то данные вашей карты, но шанс маленький. К тому же требуются довольно недвусмысленные действия, которые можно заметить со стороны. Считыватель, спрятанный в кармане куртки, тут не поможет…
Преступники научились похищать деньги с карт при помощи смартфонов с поддержкой NFC или самодельных терминалов: https://t.co/mniTlYdWu6
— Kaspersky Lab (@Kaspersky_ru) January 26, 2016
…При условии, что он стандартный. Из не слишком дорогого набора деталей исследователям удалось собрать комплект, позволявший «подслушивать» транзакции и считывать данные карты на расстоянии до 45 см. Набор, правда, включал в себя рюкзак и тележку из супермаркета, в котором, собственно, и проводился опыт. В общем, с нестандартным считывателем шанс получить данные карты сильно возрастает, но требуется крупногабаритное оборудование.
Несколько интереснее выглядело заражение троянцем Android-телефона с NFC-модулем. В варианте «храню телефон и деньги у сердца» картина вырисовывалась не слишком приятная: считать карты в таком случае гораздо легче, а главное — никто и не заметит. При желании злоумышленники могли бы установить связь с другим телефоном через сотовый канал связи и, пользуясь таким своеобразным «удлинителем», даже купить что-то на сумму менее тысячи рублей — в пределах ограничения «беспиновой» мини-транзакции. Очень хлопотный и неудобный способ, но вроде как реалистичный.
Пока Apple Pay воюет за место под ритейловым солнцем, в Чили взломали платежную систему на базе NFC: http://t.co/RypZavxCnD
— Kaspersky Lab (@Kaspersky_ru) October 31, 2014
Однако за прошедшее с момента публикации исследования время мне так и не удалось обнаружить ни одного подтвержденного случая успешного «удаленного» покушения на NFC-карты.
Данные…
Многочисленные исследования показали, что хакеру с его супермощным считывателем проще всего частично получить данные карты: номер и дату истечения срока действия плюс некоторую информацию о нескольких последних транзакциях. Маловато для чего-то серьезного? В целом скорее да. Однако исследователи из Which?, например, смогли обнаружить магазин, где полученных данных хватило, чтобы совершить покупку, заметно превышающую лимит «мини-транзакции», не требующей PIN.
Несколько более сложный путь данные карты могут проделать, попав в базу данных торговцев-кардеров, чтобы потом, в не вполне обозримом будущем, возможно, стать частью некой теневой операции. С вышеупомянутым набором данных вероятность неприятностей по этой схеме несколько меньше, но ничего хорошего этот сценарий точно не обещает.
Безопасны ли бесконтактные платежи и можно ли украсть деньги с соответствующих карточек: https://t.co/7o4giKbQle pic.twitter.com/wVJdxpqD00
— Kaspersky Lab (@Kaspersky_ru) August 18, 2015
Простейший вариант — вам звонит по телефону некая девушка «из банка» и с целью проверки/расследования инцидента/по другой очень убедительной причине просит вас назвать дополнительные данные карты, достраивая существующий набор до более полного. Понятно, что на самом деле барышня не из банка, потому что настоящие представители банков никогда так не делают.
…или деньги?
Обычных людей больше всего пугает то, что с их карты могут в теории снять деньги, используя функцию «мини-транзакции», когда для списания денег не нужно вводить PIN-код. Считать, конечно, можно — были бы терминал, способный проводить бесконтактные транзакции, и возможность подобраться с ним поближе к карте.
Но тут мы вплотную подходим к тем мерам безопасности, которые даже старше портативных терминалов. Каждый кассовый аппарат с давних времен регистрировался — как минимум в налоговой инспекции. С появлением системы электронных платежей каждый терминал (если это независимый терминал, а не PoS-система) регистрируется при заключении договора с банком-эквайером.
Паспорт и прочие подтверждения сущности/личности фирмы/продавца — обязательны. Без этого денежные взаимоотношения между покупателем и торговцем (по сути, эквивалентные безналичному обмену между банком торговца, банком-эквайером и банком, выдавшим карту покупателю) просто невозможны.
Любая мошенническая транзакция, будучи опротестованной, может быть отслежена до терминала, с которого она была инициирована, и его владельца. Соответственно, опротестованная транзакция отменяется, деньги возвращаются, а владельцем терминала начинают плотно интересоваться компетентные органы.
Тут, однако, начинается серая зона.
Что, если…
- Хозяин карты недостаточно внимательно читал пункт договора, в котором написано, что те самые мини-транзакции «до 1000 руб.» опротестованию не подлежат? (Ни разу сам не видел, но, говорят, бывает.)
- Время опротестования мини-транзакций заметно меньше, чем у более крупных платежей, а клиент вовремя не заметил SMS от банка?
- Терминал зарегистрирован на поддельную фирму, записанную на чужие данные? Кража паспортов — не такое уж редкое явление, особенно с учетом того, что биометрические документы пока еще распространены отнюдь не повсеместно.
Отличная статья на РБК про то, как вернуть украденные с банковской карты деньги: http://t.co/kdbGGC9txg pic.twitter.com/xV5oUUVBfd
— Kaspersky Lab (@Kaspersky_ru) June 10, 2015
При желании можно придумать еще обстоятельства, чаще всего связанные с тем, что кто-то недостаточно тщательно выполняет свою часть действий, обеспечивающих безопасность платежа. Будьте внимательны к тому, с кем именно вы имеете дело, и всегда досконально выясняйте, каковы условия, на которые вы подписываетесь.
Что касается фирм, зарегистрированных на чужое имя, то, мне кажется, подобного рода мошенничество организуется ради гораздо более серьезных операций, нежели попытка увести с чужих карт несколько десятков тысяч рублей, которые попросту не окупят криминальные вложения.
Пять уроков, которые стоит извлечь из взлома кредитной карты: http://t.co/I3SUisoZgR Рекомендуется всем, кто пользуется "пластиком".
— Kaspersky Lab (@Kaspersky_ru) November 12, 2014
Ах да, есть еще вариант с незадачливым курьером, потерявшим терминал. Но он не для преступников: вывести деньги со счета фирмы, на которую зарегистрирован терминал, можно только, например, взломав электронный банк. И зачем тогда, спрашивается, вообще красть терминал?
Что делать-то?
Да и надо ли вообще что-то делать? Каждый решает сам. Просто помните, что эксперимент, требующий рюкзака и тележки из супермаркета, завтра может стать реальностью.
Мошенничество с банковскими картами
Несмотря на то, что банки уверяют своих клиентов в надёжности и безопасности использования пластиковых карт, мошенники находят новые способы незаконного списания средств. По данным ЦБ РФ за 2018 год злоумышленники вывели с карточных счетов 1,3 миллиарда рублей, что в 1,5 раза превышает аналогичный показатель за предыдущий период. В данной публикации собраны распространённые схемы мошенничества с банковскими картами, зная которые, можно предотвратить хищение средств со своего счёта.
Виды мошенничества с банковскими картами
Обмануть или взломать банковскую систему безопасности достаточно сложно, поэтому преступники стараются любыми способами выманить информацию о карте у самого держателя. Для достижения своей цели они используют все доступные ресурсы — телефон, интернет-сайты, онлайн-банк, мобильный банк и прочие каналы.
По телефону
Данный вид мошенничества имеет множество вариаций, которые объединяет то, что владельцу карты звонят с незнакомого номера и под любым предлогом просят сообщить её реквизиты. В большинстве случаев злоумышленники используют следующие схемы:
- Выигрыш в лотерею. Преступник представляется менеджером известной компании и сообщает, что клиент стал победителем розыгрыша. Для получения вознаграждения необходимо срочно выслать реквизиты своей банковской карты.
- Звонок из службы безопасности банка. Фальшивый «сотрудник» извещает клиента о том, что его карту пытались взломать и просит уточнить данные для исправления ситуации.
Телефонные мошенники всегда говорят уверенно, имеют хорошо поставленный голос, а на любой вопрос клиента имеют заранее подготовленный ответ.
Через СМС
Эта схема имеет много общего с предыдущим способом. Разница заключается в том, что ложная информация приходит в тексте СМС-сообщения. Рассылка осуществляется с незнакомого номера, но мошенники подписываются известной компанией.
Распространённый пример подобных фейковых сообщений: «Ваша карта заблокирована. Перезвоните по номеру +7926ХХХХХХХ. Ваш Сбербанк.» Если клиент не реагирует, то преступники могут прислать повторное СМС с угрозой взыскания штрафа или комиссии. Перезвонившего просят сообщить данные карты, провести манипуляции в банкомате или интернет-банке.
Через мобильный банк
Услуга «Мобильный банк» позволяет совершать операции с помощью СМС-команд. Чтобы перевести средства другому клиенту, достаточно отправить сообщение на короткий номер банка с того телефона, который привязан к карте. Мошенники используют данную опцию в следующих случаях:
- Телефон был утерян владельцем. До момента блокировки SIM-карты любой человек может списать деньги с карточки с помощью СМС-команд, перечень которых размещён на сайте любого банка.
- Клиент отказался от услуг конкретного сотового оператора и не отключил мобильный банк. В этом случае номер телефона попадёт в руки нового абонента, который может оказаться мошенником и списывать деньги посредством СМС-команд.
Благодаря использованию мобильного банка злоумышленник также легко вычислит, в какой организации владелец телефона открыл карту.
Мошенничество с переводом денег на карту
Преступники не всегда преследуют цель узнать реквизиты карты. Самый простой способ незаконного обогащения — это убедить клиента в том, что он должен перевести деньги самостоятельно. Злоумышленники предлагают приобрести товары по выгодной цене и требуют перечисления аванса или всей суммы.
Некоторые мошенники выступают в роли фиктивных компаний, которые предлагают удалённую работу в интернете с хорошим заработком. Соискателю необходимо лишь подтвердить серьёзность своих намерений и перевести определённую сумму на счёт или карту работодателя.
Распространённой схемой аферистов также является «помощь родным». Данный способ чаще всего применяется в отношении пожилых людей, которым звонят и сообщают о том, что их близкие попали в беду. Мошенники представляются сотрудниками правоохранительных органов или медицинскими работниками. Они настоятельно требуют перевести деньги, угрожая необратимыми последствиями для жизни и здоровья близких.
Через банкомат
В этом случае для хищения средств преступники используют такие способы, как:
- Скимминг. На банкомат устанавливается специальное оборудование, которое представляет собой накладку на клавиатуру и скиммер (вставляется в картоприёмник и позволяет считать данные магнитной полосы). С помощью полученных сведений мошенники изготавливают дубликат карточки и снимают с неё все средства.
- Траппинг. Относительно новый вид мошенничества с банковскими картами, который заключается в том, что преступники вставляют в картридер кусок пластика с прорезью в центре. Клиент вводит карточку в банкомат, она попадает в прорезь и остаётся в устройстве. После этого подходит злоумышленник, якобы тоже побывавший в такой ситуации, и советует ввести ПИН-код. Когда это не помогает, клиент уходит, а преступник извлекает карточку с помощью заранее подготовленных инструментов.
Мошенники, объединённые в организованные преступные группы, действуют более масштабно и создают целые поддельные банкоматы.
Мошенничество на Авито
Данная процедура проводится следующим образом:
- Мошенник звонит автору объявления о продаже чего-либо и представляется заинтересованным покупателем.
- Продавец сообщает злоумышленнику номер своей карты для перевода средств в счёт оплаты товара.
- Фиктивный покупатель входит в интернет-банк по номеру карточки и списывает деньги со всех счетов. Для доступа требуется одноразовый СМС-пароль, который мошенник с помощью различных уловок выманивает у продавца.
Последний этап может отличаться в зависимости от цели преступника. Некоторые хотят узнать конфиденциальные реквизиты карты, другие — просят провести определённые манипуляции через банкомат якобы для подтверждения платежа. В банкомате клиент под руководством мошенника подключает к своей карте посторонний номер телефона, после чего злоумышленник получает доступ к личному кабинету и мобильному банку.
Махинации с банковскими картами через интернет
Такой вид мошенничества называется фишинг. Аферисты создают поддельный сайт популярного интернет-магазина или онлайн-банка, который внешне похож на оригинал, а его URL-адрес отличается от подлинного одним символом. Для оплаты покупки или входа в систему пользователь вводит на фиктивной странице конфиденциальные данные, которые попадают в руки злоумышленников.
Ссылки на фишинговый сайт под видом акций и спецпредложений мошенники отправляют клиентам на электронную почту, в онлайн-мессенджеры или социальные сети.
Кража банковской карты
Некоторые преступники не хотят использовать изощрённые способы мошенничества, а предпочитают просто украсть карточку. Одни злоумышленники делают это открыто, угрожая жизни и здоровью владельца, другие — дежурят возле банкоматов и забирают потерянные карты.
В большинстве случаев устройство возвращает пластик с задержкой. Клиент не дожидается и уходит или, получив наличные, вовсе забывает о карте. После этого мошенник может беспрепятственно её забрать и использовать в своих целях.
Другие способы
Помимо описанного выше, третьи лица воруют деньги с карт при помощи вирусного программного обеспечения. Вредоносная программа под видом полезного приложения устанавливается на компьютер, планшет или смартфон клиента. Её основное предназначение — украсть данные карты или перенаправить пользователя на фишинговый сайт.
Другой популярный вид мошенничества — сговор с сотрудниками банка или предприятий торговли. Кассир может зафиксировать данные карты (например, провести её через скиммер) и передать их посторонним лицам.
Как мошенники снимают деньги с банковской карты?
Способ незаконного вывода средств с карты зависит от того, какой информацией завладел злоумышленник. Основные варианты получения выгоды следующие:
- Если карта считана через скиммер, то жулики изготавливают её дубликат. ПИН-код вычисляется благодаря использованию накладки на банкомат или скрытой камеры на устройстве.
- Зная только номер карточки, преступники проводят процедуру регистрации в онлайн-банке. Остаётся только обманным путём узнать у владельца одноразовый пароль. После входа в систему аферисты переводят на свои счета средства не только с карт, но и со всех вкладов клиента.
- Если мошенник знает реквизиты карты (номер, срок действия и код безопасности), то её можно использовать для оплаты в интернет-магазинах, которые не требуют СМС-подтверждения (например, AliExpress — о том, безопасно ли производить оплату на этой торговой площадке, можно узнать в соответствующем материале).
Одним из способов списания средств также выступает опция «Мобильный банк».
Самые распространённые схемы мошенничества в 2021 году
В связи с развитием новых технологий меняются и виды краж с банковских карт. В 2021 году с фактами мошенничества всё чаще сталкиваются владельцы пластика с опцией бесконтактных платежей.
Для проведения оплаты по такой карте достаточно приложить её к терминалу. Ввод ПИН-кода не требуется если сумма не превышает 1 000 рублей. При этом количество расходных транзакций не ограничено.
Чтобы получить деньги, мошеннику даже не понадобится воровать карту у клиента. Если в общественном транспорте поднести устройство к сумке или карману владельца, то средства спишутся. Для этих целей мошенники изготавливают самодельные переносные считыватели или используют банковские терминалы, оформленные по фиктивным документам.
Также в текущем году злоумышленники продолжают активно использовать фишинг в социальных сетях и онлайн-мессенджерах. Наибольшую выгоду мошенникам приносят махинации через Авито, с помощью которых они получают доступ в онлайн-банк.
Куда обращаться в случае хищения средств?
После выявления факта незаконного списания денег с карты необходимо срочно её заблокировать и обратиться в ближайшее отделение банка-эмитента. Дальнейшая процедура включает следующие этапы:
- Клиент пишет заявление о несогласии с конкретной расходной операцией.
- Банк проводит служебное расследование по факту хищения средств.
- В установленные сроки (до 30 дней) владелец карточки уведомляется о решении.
Банк может вернуть деньги только в том случае, если пользователь не нарушал правила безопасности, то есть добровольно не сообщал конфиденциальную информацию третьим лицам.
Независимо от решения эмитента, владелец карточки имеет право обратиться в правоохранительные органы и написать заявление о краже денег.
Советы специалистов по защите своей карты
Чтобы обезопасить себя от действий мошенников, необходимо придерживаться следующих рекомендаций:
- не сообщать конфиденциальные данные карты третьим лицам (срок, CVV-код и ПИН-код);
- подключить услугу СМС-уведомлений для контроля за счётом;
- ПИН-код хранить отдельно от карточки и прикрывать рукой клавиатуру банкомата или терминала в момент его ввода;
- установить расходные лимиты в интернет-банке или мобильном приложении;
- никогда никому не сообщать код из СМС для подтверждения операции, которую клиент не совершал (сотрудники банка не вправе запрашивать данную информацию);
- немедленно блокировать карту в случае утраты, кражи или захвата её банкоматом, а также при утере телефона с привязанным номером.
Ежедневно злоумышленники изобретают новые способы хищения средств с банковских карт, поэтому невозможно предугадать все сценарии развития событий. Однако при соблюдении указанных элементарных мер безопасности любой пользователь сможет предотвратить нанесение ущерба от действий мошенников.
Близкие контакты. Как хакеры крадут деньги с банковских карт
О том, как работают сами системы безопасности карт, ты можешь узнать из предыдущей статьи.
Все способы мошенничества с банковскими картами можно разделить на две категории. Первая — массовые и хорошо известные. Вторую часто называют «белыми китами»: это инциденты, которые случаются раз в 5–10 лет, заканчиваются катастрофой для атакуемых и многомиллионными прибылями для атакующих и поэтому привлекают к себе очень много внимания со стороны прессы и регуляторов. В любом случае основной критерий успеха у кардеров и им подобных жуликов — массовость и простота. Если мошенническую схему легко воспроизвести тысячи раз — это залог финансовой победы над банковской системой и грядущей популярности выбранного метода.
Самые распространенные типы мошенничества
Начнем с атак, с которыми платежным системам и банкам приходится иметь дело регулярно.
Платежи без 3-D Secure
Первое место по распространенности среди мошеннических схем занимают платежи в интернете — они совершаются по схеме card-not-present. В связи с их массовостью платежные гиганты изобрели дополнительный динамический фактор – код 3-D Secure.
Что такое 3-D Secure
3-D Secure — схема дополнительной авторизации онлайновых платежей, использующая три сущности‑домена (отсюда и название 3-Domain Secure): домен интернет‑магазина принимает данные об оплате и переадресовывает пользователя на домен платежной системы, где вводится одноразовый код. Далее результат отправляется на третий домен банка‑эквайера, он сверяет этот код и отправляет запрос, который подтверждает или опровергает транзакцию обратно по цепочке интернет‑магазину.
3-D Secure отлично помогает от массовых мошеннических схем. Однако часть магазинов, в том числе крупных, таких как «Амазон», до сих пор не готова работать с 3-D Secure, который, по их мнению, уменьшает конверсию. А международные платежные системы и не настаивают! Лучше тратить больше — это их девиз. Текущие правила платежей гласят, что, если карта поддерживает 3-D Secure, а магазин эту технологию не поддерживает, в случае опротестования платежа финансовые риски лежат на магазине. Если 3-D Secure не поддерживает карта — на банке‑эмитенте. Поэтому по всему миру голодные мошенники ищут магазины, которые не требуют 3-D Secure.
Иногда это можно воспринимать буквально: в 2018 году в Великобритании выявили одну из мошеннических схем. Злоумышленники опубликовали в социальных сетях объявления о пятидесятипроцентной скидке на доставку пиццы одного крупного бренда. Этот бренд не использовал при оплате 3-D Secure, и платежи выполнялись по купленным на различных маркетах украденным картам. Это давало злоумышленникам выручку в 50% от суммы каждой проданной пиццы. Схема проработала несколько месяцев, прежде чем ее прикрыли.
Атака клонов
Второй по популярности вид мошенничества — создание клона магнитной полосы карты. Он до сих пор остается одним из самых распространенных методов атак на операции с физической картой (так называемые card-present transactions). Как ты знаешь, магнитную полосу чрезвычайно просто клонировать.
К отдельным видам киберпреступлений стоит отнести использование специализированного вредоносного ПО. Атака должна быть легко повторяема и хорошо масштабируема. Именно поэтому злоумышленники заражают устройства, на которых используются тысячи карт каждый день, — операторские машины в крупных супермаркетах.
Так как вся инфраструктура, использующая платежный терминал (POS, Point-of-Sale), называется POS system, то и разновидность этих вредоносов носит название POS malware, несмотря на то что сами POS они заражать не в состоянии. Вместо этого атаке подвергается сама операторская машина — кассовый аппарат (cash register).
В 2013 году американская сеть магазинов Target подверглась крупнейшей атаке. В ней преступники использовали еще не особенно популярную тогда схему «компрометация цепочки поставки». После заражения одного из подрядчиков злоумышленникам удалось проникнуть в сеть супермаркетов, скомпрометировать весь домен Windows и проникнуть в операционную систему непосредственно на кассах. На этих системах запускались так называемые RAM-scraping-трояны, которые сканировали память в поисках паттернов треков магнитной полосы. Когда треки обнаруживались, троян пересылал их на установленный во внутренней сети C&C-сервер, который дальше уже отправлял эту информацию во внешнюю сеть.
Для создания копии магнитной банковской карты потребуется несколько секунд и специальный ридер, купить который можно на Amazon. Далее злоумышленники создают клон и идут с ним в магазины в Америке или Европе. Дампы банковских карт свободно продаются и покупаются на многочисленных хакерских форумах.
Почему же клонированные магнитные карты до сих пор так популярны, несмотря на то что практически все они сейчас оснащены чипом? Все проще простого: во многих американских магазинах до сих пор можно расплатиться картой, оснащенной чипом, просто проведя транзакцию с использованием магнитной полосы. В последние 5–10 лет это, как ни странно, самый отсталый рынок, из‑за которого магнитная полоса до сих пор присутствует на банковских картах.
Если же платежный терминал вдруг откажется принимать магнитную полосу сразу, есть схема, работающая в обеих Америках и Европе, — technical fallback. Эта техника заключается в том, что злоумышленник трижды вставляет в банкомат или терминал карту с несуществующим чипом и после третьей неуспешной попытки чтения терминал точно предложит провести операцию по магнитной полосе.
В любом из этих случаев ответственность по правилам лежит на магазине, выполнившем такую высокорисковую операцию. Тем более платежные системы, такие как MasterCard, чтобы избежать имиджевых рисков, рекомендуют отклонять транзакции, пришедшие в режиме technical fallback. Никому не хочется выяснять, была ли на самом деле у клиента украдена карта, или он просто захотел не тратить деньги и объявить о мошеннической операции. Еще меньше хочется объяснять разозленным клиентам, почему по их картам купили телевизоры за тысячи долларов и в сотнях километров от их реального местоположения.
А что в России?
В России терминалы не должны принимать к оплате магнитную полосу, если карта оснащена чипом. И даже technical fallback должен быть под запретом. Однако есть неприятные исключения. На подпольных форумах недавно обсуждали, что сеть «Ашан» имеет терминалы, принимающие операции по technical fallback. В любом случае, даже если хакеры не могут использовать русские карты в России, им никто не мешает продавать эти данные другим хакерам в Европе или Америке для дальнейшей монетизации.
Офлайновые транзакции по чипу и атаки на аутентификацию
По правилам современных платежных систем 99,9% операций по картам должны совершаться онлайн — с подтверждением криптограммы на стороне банка‑эмитента. Исключения — это метро, оплаты в самолетах и на круизных лайнерах. То есть там, где интернет доступен с перебоями либо нет возможности подолгу ждать ответа от банка‑эмитента, как, например, у турникетов метро. Да и когда создавались протоколы EMV, множество платежных систем работало в офлайне по так называемым Floor limit — операции выше этих лимитов должны были подтверждаться онлайн, а ниже — проходили в локальном режиме, то есть подтверждались самим терминалом. Еще 5–10 лет назад количество таких терминалов, особенно в странах Латинской и Северной Америки было достаточно велико, чтобы массово пытаться атаковать недостатки офлайновой аутентификации карт.
Белые киты
Именно для защиты от массового и простого мошенничества когда‑то были изобретены карты с чипом и подтверждение транзакций с помощью кода 3-D Secure. Эти методы защиты не идеальны, у них были свои проблемы, о которых эксперты предупреждали с самого начала. Однако такие карты до сих пор не удается массово взламывать, а когда атака получается, она больше похожа на блицкриг — все происходит в считаные дни или часы. Небольшая группа злоумышленников получает максимум прибыли и исчезает с горизонта. Именно поэтому каждый случай или новая схема вызывают у экспертов большой интерес.
Такие случаи мы будем называть белыми китами. Это инциденты, которые случаются раз в 5–10 лет, заканчиваются катастрофой для атакуемых банков и многомилионными прибылями для атакующих и поэтому привлекают к себе очень много внимания со стороны прессы и регуляторов. Я расскажу о нескольких видах подобных атак, чтобы наглядно проиллюстрировать фундаментальные недостатки технологий карточных платежей.
Распределенные атаки на подбор карточных реквизитов
Такие атаки часто называют BIN Master attack или distributed guessing attack. Эти названия они получили благодаря самому громкому случаю, который произошел в 2016 году. Тогда английский банк Tesco подвергся распределенной атаке такого масштаба, что им пришлось выключить карточные платежи на 48 часов. За несколько дней злоумышленникам удалось украсть 22 миллиона фунтов с 20 тысяч карт. Как уже упоминалось, эти данные легко могут использоваться для оплаты в интернет‑магазинах, не оснащенных 3-D Secure. Однако тут есть нюанс: в 2018 году регулятор оштрафовал банк на 16 миллионов фунтов за атаку 2016 года, — скорее всего, это указывает на то, что сами карты не были оснащены 3-D Secure.
Правила, называемые 3-D Secure Liability shift, определяют ответственную сторону в случае мошеннических операций: если банк не оснащает карты 3-D Secure, ответственность за мошенничество лежит на банке. Если карты, оснащенные 3-D Secure, используются, например, в Amazon, где данная технология не применяется, ответственность лежит на интернет-магазине.
Как хакеры подбирают полные реквизиты карт?
Предположим, у нас есть одна карта — наша. Ее номер состоит из нескольких частей. Первые шесть цифр называются BIN — bank identification number. Один и тот же BIN при этом может принадлежать более чем одному банку, кроме того, у банка может быть несколько BIN Range. Однако это главная отправная точка, от которой и пошло название атаки. Последняя цифра также вычисляется по алгоритму контрольной суммы «Луна».
Предположим, наша карта имеет номер 1234 5678 1234 5670. Следующая карта из этого диапазона, согласно алгоритму, будет заканчиваться на 5688, затем 5696 и так далее. Есть ненулевая вероятность того, что карты 5688 и 5696 существуют и активны.
Теперь необходимо выяснить значение поля Expiry Date. Если банк выдает номера карт последовательно, то, значит, следующий клиент банка, которому выпустили карту после тебя, будет обладать номером 5688. Если банк большой и открывает сотни карт каждый день, скорее всего, поле Expiry Date совпадет с таковым на твоей карте либо будет отличаться на один месяц. Для защиты от подобного подбора значений платежные системы рекомендуют внедрять рандомизацию PAN — выдавать их не последовательно, а случайно. Тогда хакерам будет сложнее узнать Expiry Date карты 5688.
Но нерешаемых задач нет. Существует множество банковских сервисов, которые помогают подобрать связку полей PAN / Expiry Date. Среди них — система восстановления пароля или логина мобильного банка, регистрация в системе ДБО, возврат денежных средств в платежном эквайринге.
И наконец, осталось угадать три цифры с обратной стороны карты — CVV2/CVC2. В конце 2014 года, когда исследователи из Университета Ньюкасла впервые провели анализ атаки на банк Tesco, они обнаружили, что 291 из 400 самых популярных онлайновых сервисов дает возможность перебирать поле CVV2. Это неудивительно: ведь деньги не принадлежат владельцам этих сервисов. Сервис — лишь инструмент для атакующего. Значит, у злоумышленников всегда будет достаточно инструментов для перебора реквизитов банковских карт. Например, в 2019 году подобная уязвимость была устранена в платежном модуле Magento CMS для PayPal.
Другая часто применяемая злоумышленниками разновидность этой атаки — это использование подобранных реквизитов для выпуска мобильного кошелька Google Pay или Apple Pay. Ирония заключается в том, что один из самых громких случаев мошенничества был направлен на сами магазины Apple. Дело в том, что множество банков (опять‑таки в Америке) не требуют дополнительной верификации с помощью одноразового кода или звонка в банк при выпуске мобильного кошелька Apple Pay. Это означает, что, зная только номер карты, срок ее действия и код CVV2, можно выпустить полноценную виртуальную карту, с помощью которой уже можно расплачиваться по всему миру, а не только в США.
Существует еще одно средство защиты платежей категории card-not-present. Оно называется address verification system. В этом случае при совершении платежа платежная система сверяет еще и цифры из почтового индекса и адреса, по которому зарегистрирована карта (postcode / billing address). Такой же системой могут быть оснащены платежные терминалы, поддерживающие метод PAN Key Entry (о нем я рассказывал в прошлой статье).
Заключение
По оценкам Positive Technologies, до 50% банков до сих пор не защищает своих клиентов от подбора значений CVV2 и Expiry Date. Именно поэтому трудяги из стран Латинской Америки так активно занимаются поиском по всему миру карт и банков, уязвимых к данным атакам.
О других «белых китах» карточного мошенничества я расскажу в следующий раз.
Источник https://www.kaspersky.ru/blog/nfc-cards-security/11061/
Источник https://mnogo-kreditov.ru/bankovskie-karty/moshennichestvo-s-bankovskimi-kartami.html
Источник https://xakep.ru/2021/02/04/credit-cards-fraud/
Источник