Человек с терминалом, или Снова про бесконтактные платежи

Может ли злоумышленник украсть данные карты или деньги, незаметно используя бесконтактные NFC-платежи?

Тема безопасности бесконтактных платежей, основанных на технологии NFC, продолжает будоражить общественность. Исследователи во всем мире пробуют эту технологию «на прочность», проверяя, не слишком ли мы все беспечны, таская карточки в карманах рюкзаков и сумочек. Что можно потерять — только данные карточки или, быть может, и деньги тоже, невзирая на все меры безопасности?

Тема-то потенциально серьезная. Мои коллеги по работе уже писали об этом не так давно. Изменилось ли что-то за полгода?

Незаметное считывание

Опыты показали, что стандартные приборы для бесконтактной оплаты: телефоны, PoS-терминалы и тому подобное — действительно работают только на ОЧЕНЬ маленьком расстоянии. Получается, что злоумышленники, конечно, могут извлечь какие-то данные вашей карты, но шанс маленький. К тому же требуются довольно недвусмысленные действия, которые можно заметить со стороны. Считыватель, спрятанный в кармане куртки, тут не поможет…

Преступники научились похищать деньги с карт при помощи смартфонов с поддержкой NFC или самодельных терминалов: https://t.co/mniTlYdWu6

— Kaspersky Lab (@Kaspersky_ru) January 26, 2016

…При условии, что он стандартный. Из не слишком дорогого набора деталей исследователям удалось собрать комплект, позволявший «подслушивать» транзакции и считывать данные карты на расстоянии до 45 см. Набор, правда, включал в себя рюкзак и тележку из супермаркета, в котором, собственно, и проводился опыт. В общем, с нестандартным считывателем шанс получить данные карты сильно возрастает, но требуется крупногабаритное оборудование.

Несколько интереснее выглядело заражение троянцем Android-телефона с NFC-модулем. В варианте «храню телефон и деньги у сердца» картина вырисовывалась не слишком приятная: считать карты в таком случае гораздо легче, а главное — никто и не заметит. При желании злоумышленники могли бы установить связь с другим телефоном через сотовый канал связи и, пользуясь таким своеобразным «удлинителем», даже купить что-то на сумму менее тысячи рублей — в пределах ограничения «беспиновой» мини-транзакции. Очень хлопотный и неудобный способ, но вроде как реалистичный.

Пока Apple Pay воюет за место под ритейловым солнцем, в Чили взломали платежную систему на базе NFC: http://t.co/RypZavxCnD

— Kaspersky Lab (@Kaspersky_ru) October 31, 2014

Однако за прошедшее с момента публикации исследования время мне так и не удалось обнаружить ни одного подтвержденного случая успешного «удаленного» покушения на NFC-карты.

Данные…

Многочисленные исследования показали, что хакеру с его супермощным считывателем проще всего частично получить данные карты: номер и дату истечения срока действия плюс некоторую информацию о нескольких последних транзакциях. Маловато для чего-то серьезного? В целом скорее да. Однако исследователи из Which?, например, смогли обнаружить магазин, где полученных данных хватило, чтобы совершить покупку, заметно превышающую лимит «мини-транзакции», не требующей PIN.

Несколько более сложный путь данные карты могут проделать, попав в базу данных торговцев-кардеров, чтобы потом, в не вполне обозримом будущем, возможно, стать частью некой теневой операции. С вышеупомянутым набором данных вероятность неприятностей по этой схеме несколько меньше, но ничего хорошего этот сценарий точно не обещает.

Безопасны ли бесконтактные платежи и можно ли украсть деньги с соответствующих карточек: https://t.co/7o4giKbQle pic.twitter.com/wVJdxpqD00

— Kaspersky Lab (@Kaspersky_ru) August 18, 2015

Простейший вариант — вам звонит по телефону некая девушка «из банка» и с целью проверки/расследования инцидента/по другой очень убедительной причине просит вас назвать дополнительные данные карты, достраивая существующий набор до более полного. Понятно, что на самом деле барышня не из банка, потому что настоящие представители банков никогда так не делают.

…или деньги?

Обычных людей больше всего пугает то, что с их карты могут в теории снять деньги, используя функцию «мини-транзакции», когда для списания денег не нужно вводить PIN-код. Считать, конечно, можно — были бы терминал, способный проводить бесконтактные транзакции, и возможность подобраться с ним поближе к карте.

Но тут мы вплотную подходим к тем мерам безопасности, которые даже старше портативных терминалов. Каждый кассовый аппарат с давних времен регистрировался — как минимум в налоговой инспекции. С появлением системы электронных платежей каждый терминал (если это независимый терминал, а не PoS-система) регистрируется при заключении договора с банком-эквайером.

Паспорт и прочие подтверждения сущности/личности фирмы/продавца — обязательны. Без этого денежные взаимоотношения между покупателем и торговцем (по сути, эквивалентные безналичному обмену между банком торговца, банком-эквайером и банком, выдавшим карту покупателю) просто невозможны.

Любая мошенническая транзакция, будучи опротестованной, может быть отслежена до терминала, с которого она была инициирована, и его владельца. Соответственно, опротестованная транзакция отменяется, деньги возвращаются, а владельцем терминала начинают плотно интересоваться компетентные органы.
Тут, однако, начинается серая зона.

Что, если…

• Хозяин карты недостаточно внимательно читал пункт договора, в котором написано, что те самые мини-транзакции «до 1000 руб.» опротестованию не подлежат? (Ни разу сам не видел, но, говорят, бывает.)
• Время опротестования мини-транзакций заметно меньше, чем у более крупных платежей, а клиент вовремя не заметил SMS от банка?
• Терминал зарегистрирован на поддельную фирму, записанную на чужие данные? Кража паспортов — не такое уж редкое явление, особенно с учетом того, что биометрические документы пока еще распространены отнюдь не повсеместно.

Отличная статья на РБК про то, как вернуть украденные с банковской карты деньги: http://t.co/kdbGGC9txg pic.twitter.com/xV5oUUVBfd

— Kaspersky Lab (@Kaspersky_ru) June 10, 2015

При желании можно придумать еще обстоятельства, чаще всего связанные с тем, что кто-то недостаточно тщательно выполняет свою часть действий, обеспечивающих безопасность платежа. Будьте внимательны к тому, с кем именно вы имеете дело, и всегда досконально выясняйте, каковы условия, на которые вы подписываетесь.

Что касается фирм, зарегистрированных на чужое имя, то, мне кажется, подобного рода мошенничество организуется ради гораздо более серьезных операций, нежели попытка увести с чужих карт несколько десятков тысяч рублей, которые попросту не окупят криминальные вложения.

Пять уроков, которые стоит извлечь из взлома кредитной карты: http://t.co/I3SUisoZgR Рекомендуется всем, кто пользуется "пластиком".

— Kaspersky Lab (@Kaspersky_ru) November 12, 2014

Ах да, есть еще вариант с незадачливым курьером, потерявшим терминал. Но он не для преступников: вывести деньги со счета фирмы, на которую зарегистрирован терминал, можно только, например, взломав электронный банк. И зачем тогда, спрашивается, вообще красть терминал?

Что делать-то?

Да и надо ли вообще что-то делать? Каждый решает сам. Просто помните, что эксперимент, требующий рюкзака и тележки из супермаркета, завтра может стать реальностью.

Мошенничество с банковскими картами

Несмотря на то, что банки уверяют своих клиентов в надёжности и безопасности использования пластиковых карт, мошенники находят новые способы незаконного списания средств. По данным ЦБ РФ за 2018 год злоумышленники вывели с карточных счетов 1,3 миллиарда рублей, что в 1,5 раза превышает аналогичный показатель за предыдущий период. В данной публикации собраны распространённые схемы мошенничества с банковскими картами, зная которые, можно предотвратить хищение средств со своего счёта.

Виды мошенничества с банковскими картами

Обмануть или взломать банковскую систему безопасности достаточно сложно, поэтому преступники стараются любыми способами выманить информацию о карте у самого держателя. Для достижения своей цели они используют все доступные ресурсы — телефон, интернет-сайты, онлайн-банк, мобильный банк и прочие каналы.

По телефону

Данный вид мошенничества имеет множество вариаций, которые объединяет то, что владельцу карты звонят с незнакомого номера и под любым предлогом просят сообщить её реквизиты. В большинстве случаев злоумышленники используют следующие схемы:

1. Выигрыш в лотерею. Преступник представляется менеджером известной компании и сообщает, что клиент стал победителем розыгрыша. Для получения вознаграждения необходимо срочно выслать реквизиты своей банковской карты.
2. Звонок из службы безопасности банка. Фальшивый «сотрудник» извещает клиента о том, что его карту пытались взломать и просит уточнить данные для исправления ситуации.

Телефонные мошенники всегда говорят уверенно, имеют хорошо поставленный голос, а на любой вопрос клиента имеют заранее подготовленный ответ.

Через СМС

Эта схема имеет много общего с предыдущим способом. Разница заключается в том, что ложная информация приходит в тексте СМС-сообщения. Рассылка осуществляется с незнакомого номера, но мошенники подписываются известной компанией.

Распространённый пример подобных фейковых сообщений: «Ваша карта заблокирована. Перезвоните по номеру +7926ХХХХХХХ. Ваш Сбербанк.» Если клиент не реагирует, то преступники могут прислать повторное СМС с угрозой взыскания штрафа или комиссии. Перезвонившего просят сообщить данные карты, провести манипуляции в банкомате или интернет-банке.

Через мобильный банк

Услуга «Мобильный банк» позволяет совершать операции с помощью СМС-команд. Чтобы перевести средства другому клиенту, достаточно отправить сообщение на короткий номер банка с того телефона, который привязан к карте. Мошенники используют данную опцию в следующих случаях:

1. Телефон был утерян владельцем. До момента блокировки SIM-карты любой человек может списать деньги с карточки с помощью СМС-команд, перечень которых размещён на сайте любого банка.
2. Клиент отказался от услуг конкретного сотового оператора и не отключил мобильный банк. В этом случае номер телефона попадёт в руки нового абонента, который может оказаться мошенником и списывать деньги посредством СМС-команд.

Благодаря использованию мобильного банка злоумышленник также легко вычислит, в какой организации владелец телефона открыл карту.

Мошенничество с переводом денег на карту

Преступники не всегда преследуют цель узнать реквизиты карты. Самый простой способ незаконного обогащения — это убедить клиента в том, что он должен перевести деньги самостоятельно. Злоумышленники предлагают приобрести товары по выгодной цене и требуют перечисления аванса или всей суммы.

Некоторые мошенники выступают в роли фиктивных компаний, которые предлагают удалённую работу в интернете с хорошим заработком. Соискателю необходимо лишь подтвердить серьёзность своих намерений и перевести определённую сумму на счёт или карту работодателя.

Распространённой схемой аферистов также является «помощь родным». Данный способ чаще всего применяется в отношении пожилых людей, которым звонят и сообщают о том, что их близкие попали в беду. Мошенники представляются сотрудниками правоохранительных органов или медицинскими работниками. Они настоятельно требуют перевести деньги, угрожая необратимыми последствиями для жизни и здоровья близких.

Через банкомат

В этом случае для хищения средств преступники используют такие способы, как:

1. Скимминг. На банкомат устанавливается специальное оборудование, которое представляет собой накладку на клавиатуру и скиммер (вставляется в картоприёмник и позволяет считать данные магнитной полосы). С помощью полученных сведений мошенники изготавливают дубликат карточки и снимают с неё все средства.
2. Траппинг. Относительно новый вид мошенничества с банковскими картами, который заключается в том, что преступники вставляют в картридер кусок пластика с прорезью в центре. Клиент вводит карточку в банкомат, она попадает в прорезь и остаётся в устройстве. После этого подходит злоумышленник, якобы тоже побывавший в такой ситуации, и советует ввести ПИН-код. Когда это не помогает, клиент уходит, а преступник извлекает карточку с помощью заранее подготовленных инструментов.

Мошенники, объединённые в организованные преступные группы, действуют более масштабно и создают целые поддельные банкоматы.

Мошенничество на Авито

Данная процедура проводится следующим образом:

1. Мошенник звонит автору объявления о продаже чего-либо и представляется заинтересованным покупателем.
2. Продавец сообщает злоумышленнику номер своей карты для перевода средств в счёт оплаты товара.
3. Фиктивный покупатель входит в интернет-банк по номеру карточки и списывает деньги со всех счетов. Для доступа требуется одноразовый СМС-пароль, который мошенник с помощью различных уловок выманивает у продавца.

Последний этап может отличаться в зависимости от цели преступника. Некоторые хотят узнать конфиденциальные реквизиты карты, другие — просят провести определённые манипуляции через банкомат якобы для подтверждения платежа. В банкомате клиент под руководством мошенника подключает к своей карте посторонний номер телефона, после чего злоумышленник получает доступ к личному кабинету и мобильному банку.

Махинации с банковскими картами через интернет

Такой вид мошенничества называется фишинг. Аферисты создают поддельный сайт популярного интернет-магазина или онлайн-банка, который внешне похож на оригинал, а его URL-адрес отличается от подлинного одним символом. Для оплаты покупки или входа в систему пользователь вводит на фиктивной странице конфиденциальные данные, которые попадают в руки злоумышленников.

Ссылки на фишинговый сайт под видом акций и спецпредложений мошенники отправляют клиентам на электронную почту, в онлайн-мессенджеры или социальные сети.

Кража банковской карты

Некоторые преступники не хотят использовать изощрённые способы мошенничества, а предпочитают просто украсть карточку. Одни злоумышленники делают это открыто, угрожая жизни и здоровью владельца, другие — дежурят возле банкоматов и забирают потерянные карты.

В большинстве случаев устройство возвращает пластик с задержкой. Клиент не дожидается и уходит или, получив наличные, вовсе забывает о карте. После этого мошенник может беспрепятственно её забрать и использовать в своих целях.

Другие способы

Помимо описанного выше, третьи лица воруют деньги с карт при помощи вирусного программного обеспечения. Вредоносная программа под видом полезного приложения устанавливается на компьютер, планшет или смартфон клиента. Её основное предназначение — украсть данные карты или перенаправить пользователя на фишинговый сайт.

Другой популярный вид мошенничества — сговор с сотрудниками банка или предприятий торговли. Кассир может зафиксировать данные карты (например, провести её через скиммер) и передать их посторонним лицам.

Как мошенники снимают деньги с банковской карты?

Способ незаконного вывода средств с карты зависит от того, какой информацией завладел злоумышленник. Основные варианты получения выгоды следующие:

1. Если карта считана через скиммер, то жулики изготавливают её дубликат. ПИН-код вычисляется благодаря использованию накладки на банкомат или скрытой камеры на устройстве.
2. Зная только номер карточки, преступники проводят процедуру регистрации в онлайн-банке. Остаётся только обманным путём узнать у владельца одноразовый пароль. После входа в систему аферисты переводят на свои счета средства не только с карт, но и со всех вкладов клиента.
3. Если мошенник знает реквизиты карты (номер, срок действия и код безопасности), то её можно использовать для оплаты в интернет-магазинах, которые не требуют СМС-подтверждения (например, AliExpress — о том, безопасно ли производить оплату на этой торговой площадке, можно узнать в соответствующем материале).

Одним из способов списания средств также выступает опция «Мобильный банк».

Самые распространённые схемы мошенничества в 2021 году

В связи с развитием новых технологий меняются и виды краж с банковских карт. В 2021 году с фактами мошенничества всё чаще сталкиваются владельцы пластика с опцией бесконтактных платежей.

Для проведения оплаты по такой карте достаточно приложить её к терминалу. Ввод ПИН-кода не требуется если сумма не превышает 1 000 рублей. При этом количество расходных транзакций не ограничено.

Чтобы получить деньги, мошеннику даже не понадобится воровать карту у клиента. Если в общественном транспорте поднести устройство к сумке или карману владельца, то средства спишутся. Для этих целей мошенники изготавливают самодельные переносные считыватели или используют банковские терминалы, оформленные по фиктивным документам.

Также в текущем году злоумышленники продолжают активно использовать фишинг в социальных сетях и онлайн-мессенджерах. Наибольшую выгоду мошенникам приносят махинации через Авито, с помощью которых они получают доступ в онлайн-банк.

Куда обращаться в случае хищения средств?

После выявления факта незаконного списания денег с карты необходимо срочно её заблокировать и обратиться в ближайшее отделение банка-эмитента. Дальнейшая процедура включает следующие этапы:

1. Клиент пишет заявление о несогласии с конкретной расходной операцией.
2. Банк проводит служебное расследование по факту хищения средств.
3. В установленные сроки (до 30 дней) владелец карточки уведомляется о решении.

Банк может вернуть деньги только в том случае, если пользователь не нарушал правила безопасности, то есть добровольно не сообщал конфиденциальную информацию третьим лицам.

Независимо от решения эмитента, владелец карточки имеет право обратиться в правоохранительные органы и написать заявление о краже денег.

Советы специалистов по защите своей карты

Чтобы обезопасить себя от действий мошенников, необходимо придерживаться следующих рекомендаций:

• не сообщать конфиденциальные данные карты третьим лицам (срок, CVV-код и ПИН-код);
• подключить услугу СМС-уведомлений для контроля за счётом;
• ПИН-код хранить отдельно от карточки и прикрывать рукой клавиатуру банкомата или терминала в момент его ввода;
• установить расходные лимиты в интернет-банке или мобильном приложении;
• никогда никому не сообщать код из СМС для подтверждения операции, которую клиент не совершал (сотрудники банка не вправе запрашивать данную информацию);
• немедленно блокировать карту в случае утраты, кражи или захвата её банкоматом, а также при утере телефона с привязанным номером.

Ежедневно злоумышленники изобретают новые способы хищения средств с банковских карт, поэтому невозможно предугадать все сценарии развития событий. Однако при соблюдении указанных элементарных мер безопасности любой пользователь сможет предотвратить нанесение ущерба от действий мошенников.

Близкие контакты. Как хакеры крадут деньги с банковских карт

О том, как работа­ют сами сис­темы безопас­ности карт, ты можешь узнать из пре­дыду­щей статьи.

Все спо­собы мошен­ничес­тва с бан­ков­ски­ми кар­тами мож­но раз­делить на две катего­рии. Пер­вая — мас­совые и хорошо извес­тные. Вто­рую час­то называ­ют «белыми китами»: это инци­ден­ты, которые слу­чают­ся раз в 5–10 лет, закан­чива­ются катас­тро­фой для ата­куемых и мно­гомил­лион­ными при­быля­ми для ата­кующих и поэто­му прив­лека­ют к себе очень мно­го вни­мания со сто­роны прес­сы и регуля­торов. В любом слу­чае основной кри­терий успе­ха у кар­деров и им подоб­ных жуликов — мас­совость и прос­тота. Если мошен­ничес­кую схе­му лег­ко вос­про­извести тысячи раз — это залог финан­совой победы над бан­ков­ской сис­темой и гря­дущей популяр­ности выб­ранно­го метода.

Самые распространенные типы мошенничества

Нач­нем с атак, с которы­ми пла­теж­ным сис­темам и бан­кам при­ходит­ся иметь дело регуляр­но.

Платежи без 3-D Secure

Пер­вое мес­то по рас­простра­нен­ности сре­ди мошен­ничес­ких схем занима­ют пла­тежи в интерне­те — они совер­шают­ся по схе­ме card-not-present. В свя­зи с их мас­совостью пла­теж­ные гиган­ты изоб­рели допол­нитель­ный динами­чес­кий фак­тор – код 3-D Secure.

Что такое 3-D Secure

3-D Secure — схе­ма допол­нитель­ной авто­риза­ции онлай­новых пла­тежей, исполь­зующая три сущ­ности‑домена (отсю­да и наз­вание 3-Domain Secure): домен интернет‑магази­на при­нима­ет дан­ные об опла­те и пере­адре­совы­вает поль­зовате­ля на домен пла­теж­ной сис­темы, где вво­дит­ся одно­разо­вый код. Далее резуль­тат отправ­ляет­ся на тре­тий домен бан­ка‑эквай­ера, он све­ряет этот код и отправ­ляет зап­рос, который под­твержда­ет или опро­вер­гает тран­закцию обратно по цепоч­ке интернет‑магази­ну.

3-D Secure отлично помога­ет от мас­совых мошен­ничес­ких схем. Одна­ко часть магази­нов, в том чис­ле круп­ных, таких как «Ама­зон», до сих пор не готова работать с 3-D Secure, который, по их мне­нию, умень­шает кон­версию. А меж­дународ­ные пла­теж­ные сис­темы и не нас­таивают! Луч­ше тра­тить боль­ше — это их девиз. Текущие пра­вила пла­тежей гла­сят, что, если кар­та под­держи­вает 3-D Secure, а магазин эту тех­нологию не под­держи­вает, в слу­чае опро­тес­тования пла­тежа финан­совые рис­ки лежат на магази­не. Если 3-D Secure не под­держи­вает кар­та — на бан­ке‑эми­тен­те. Поэто­му по все­му миру голод­ные мошен­ники ищут магази­ны, которые не тре­буют 3-D Secure.

Иног­да это мож­но вос­при­нимать бук­валь­но: в 2018 году в Великоб­ритании выяви­ли одну из мошен­ничес­ких схем. Зло­умыш­ленни­ки опуб­ликова­ли в соци­аль­ных сетях объ­явле­ния о пятиде­сятип­роцен­тной скид­ке на дос­тавку пиц­цы одно­го круп­ного брен­да. Этот бренд не исполь­зовал при опла­те 3-D Secure, и пла­тежи выпол­нялись по куп­ленным на раз­личных мар­кетах укра­ден­ным кар­там. Это давало зло­умыш­ленни­кам выруч­ку в 50% от сум­мы каж­дой про­дан­ной пиц­цы. Схе­ма про­рабо­тала нес­коль­ко месяцев, преж­де чем ее прик­рыли.

Атака клонов

Вто­рой по популяр­ности вид мошен­ничес­тва — соз­дание кло­на маг­нитной полосы кар­ты. Он до сих пор оста­ется одним из самых рас­простра­нен­ных методов атак на опе­рации с физичес­кой кар­той (так называ­емые card-present transactions). Как ты зна­ешь, маг­нитную полосу чрез­вычай­но прос­то кло­ниро­вать.

К отдель­ным видам кибер­прес­тупле­ний сто­ит отнести исполь­зование спе­циали­зиро­ван­ного вре­донос­ного ПО. Ата­ка дол­жна быть лег­ко пов­торя­ема и хорошо мас­шта­биру­ема. Имен­но поэто­му зло­умыш­ленни­ки заража­ют устрой­ства, на которых исполь­зуют­ся тысячи карт каж­дый день, — опе­ратор­ские машины в круп­ных супер­марке­тах.

Так как вся инфраструк­тура, исполь­зующая пла­теж­ный тер­минал (POS, Point-of-Sale), называ­ется POS system, то и раз­новид­ность этих вре­доно­сов носит наз­вание POS malware, нес­мотря на то что сами POS они заражать не в сос­тоянии. Вмес­то это­го ата­ке под­верга­ется сама опе­ратор­ская машина — кас­совый аппа­рат (cash register).

В 2013 году аме­рикан­ская сеть магази­нов Target под­вер­глась круп­ней­шей ата­ке. В ней прес­тупни­ки исполь­зовали еще не осо­бен­но популяр­ную тог­да схе­му «ком­про­мета­ция цепоч­ки пос­тавки». Пос­ле зараже­ния одно­го из под­рядчи­ков зло­умыш­ленни­кам уда­лось про­ник­нуть в сеть супер­марке­тов, ском­про­мети­ровать весь домен Windows и про­ник­нуть в опе­раци­онную сис­тему непос­редс­твен­но на кас­сах. На этих сис­темах запус­кались так называ­емые RAM-scraping-тро­яны, которые ска­ниро­вали память в поис­ках пат­тернов тре­ков маг­нитной полосы. Ког­да тре­ки обна­ружи­вались, тро­ян пересы­лал их на уста­нов­ленный во внут­ренней сети C&C-сер­вер, который даль­ше уже отправ­лял эту информа­цию во внеш­нюю сеть.

Для соз­дания копии маг­нитной бан­ков­ской кар­ты пот­ребу­ется нес­коль­ко секунд и спе­циаль­ный ридер, купить который мож­но на Amazon. Далее зло­умыш­ленни­ки соз­дают клон и идут с ним в магази­ны в Аме­рике или Евро­пе. Дам­пы бан­ков­ских карт сво­бод­но про­дают­ся и покупа­ются на мно­гочис­ленных хакер­ских форумах.

По­чему же кло­ниро­ван­ные маг­нитные кар­ты до сих пор так популяр­ны, нес­мотря на то что прак­тичес­ки все они сей­час осна­щены чипом? Все про­ще прос­того: во мно­гих аме­рикан­ских магази­нах до сих пор мож­но рас­пла­тить­ся кар­той, осна­щен­ной чипом, прос­то про­ведя тран­закцию с исполь­зовани­ем маг­нитной полосы. В пос­ледние 5–10 лет это, как ни стран­но, самый отста­лый рынок, из‑за которо­го маг­нитная полоса до сих пор при­сутс­тву­ет на бан­ков­ских кар­тах.

Ес­ли же пла­теж­ный тер­минал вдруг отка­жет­ся при­нимать маг­нитную полосу сра­зу, есть схе­ма, работа­ющая в обе­их Аме­риках и Евро­пе, — technical fallback. Эта тех­ника зак­люча­ется в том, что зло­умыш­ленник триж­ды встав­ляет в бан­комат или тер­минал кар­ту с несущес­тву­ющим чипом и пос­ле треть­ей неус­пешной попыт­ки чте­ния тер­минал точ­но пред­ложит про­вес­ти опе­рацию по маг­нитной полосе.

В любом из этих слу­чаев ответс­твен­ность по пра­вилам лежит на магази­не, выпол­нившем такую высоко­рис­ковую опе­рацию. Тем более пла­теж­ные сис­темы, такие как MasterCard, что­бы избе­жать имид­жевых рис­ков, рекомен­дуют откло­нять тран­закции, при­шед­шие в режиме technical fallback. Никому не хочет­ся выяс­нять, была ли на самом деле у кли­ента укра­дена кар­та, или он прос­то захотел не тра­тить день­ги и объ­явить о мошен­ничес­кой опе­рации. Еще мень­ше хочет­ся объ­яснять разоз­ленным кли­ентам, почему по их кар­там купили телеви­зоры за тысячи дол­ларов и в сот­нях километ­ров от их реаль­ного мес­тополо­жения.

А что в России?

В Рос­сии тер­миналы не дол­жны при­нимать к опла­те маг­нитную полосу, если кар­та осна­щена чипом. И даже technical fallback дол­жен быть под зап­ретом. Одна­ко есть неп­рият­ные исклю­чения. На под­поль­ных форумах недав­но обсужда­ли, что сеть «Ашан» име­ет тер­миналы, при­нима­ющие опе­рации по technical fallback. В любом слу­чае, даже если хакеры не могут исполь­зовать рус­ские кар­ты в Рос­сии, им ник­то не меша­ет про­давать эти дан­ные дру­гим хакерам в Евро­пе или Аме­рике для даль­нейшей монети­зации.

Офлайновые транзакции по чипу и атаки на аутентификацию

По пра­вилам сов­ремен­ных пла­теж­ных сис­тем 99,9% опе­раций по кар­там дол­жны совер­шать­ся онлайн — с под­твержде­нием крип­тограм­мы на сто­роне бан­ка‑эми­тен­та. Исклю­чения — это мет­ро, опла­ты в самоле­тах и на кру­изных лай­нерах. То есть там, где интернет дос­тупен с перебо­ями либо нет воз­можнос­ти подол­гу ждать отве­та от бан­ка‑эми­тен­та, как, нап­ример, у тур­никетов мет­ро. Да и ког­да соз­давались про­токо­лы EMV, мно­жес­тво пла­теж­ных сис­тем работа­ло в офлай­не по так называ­емым Floor limit — опе­рации выше этих лимитов дол­жны были под­тверждать­ся онлайн, а ниже — про­ходи­ли в локаль­ном режиме, то есть под­твержда­лись самим тер­миналом. Еще 5–10 лет назад количес­тво таких тер­миналов, осо­бен­но в стра­нах Латин­ской и Север­ной Аме­рики было дос­таточ­но велико, что­бы мас­сово пытать­ся ата­ковать недос­татки офлай­новой аутен­тифика­ции карт.

Белые киты

Имен­но для защиты от мас­сового и прос­того мошен­ничес­тва ког­да‑то были изоб­ретены кар­ты с чипом и под­твержде­ние тран­закций с помощью кода 3-D Secure. Эти методы защиты не иде­аль­ны, у них были свои проб­лемы, о которых экспер­ты пре­дуп­режда­ли с самого начала. Одна­ко такие кар­ты до сих пор не уда­ется мас­сово взла­мывать, а ког­да ата­ка получа­ется, она боль­ше похожа на блиц­криг — все про­исхо­дит в счи­таные дни или часы. Неболь­шая груп­па зло­умыш­ленни­ков получа­ет мак­симум при­были и исче­зает с горизон­та. Имен­но поэто­му каж­дый слу­чай или новая схе­ма вызыва­ют у экспер­тов боль­шой инте­рес.

Та­кие слу­чаи мы будем называть белыми китами. Это инци­ден­ты, которые слу­чают­ся раз в 5–10 лет, закан­чива­ются катас­тро­фой для ата­куемых бан­ков и мно­гоми­лион­ными при­быля­ми для ата­кующих и поэто­му прив­лека­ют к себе очень мно­го вни­мания со сто­роны прес­сы и регуля­торов. Я рас­ска­жу о нес­коль­ких видах подоб­ных атак, что­бы наг­лядно про­иллюс­три­ровать фун­дамен­таль­ные недос­татки тех­нологий кар­точных пла­тежей.

Распределенные атаки на подбор карточных реквизитов

Та­кие ата­ки час­то называ­ют BIN Master attack или distributed guessing attack. Эти наз­вания они получи­ли бла­года­ря самому гром­кому слу­чаю, который про­изо­шел в 2016 году. Тог­да англий­ский банк Tesco под­вер­гся рас­пре­делен­ной ата­ке такого мас­шта­ба, что им приш­лось вык­лючить кар­точные пла­тежи на 48 часов. За нес­коль­ко дней зло­умыш­ленни­кам уда­лось украсть 22 мил­лиона фун­тов с 20 тысяч карт. Как уже упо­мина­лось, эти дан­ные лег­ко могут исполь­зовать­ся для опла­ты в интернет‑магази­нах, не осна­щен­ных 3-D Secure. Одна­ко тут есть нюанс: в 2018 году регуля­тор оштра­фовал банк на 16 мил­лионов фун­тов за ата­ку 2016 года, — ско­рее все­го, это ука­зыва­ет на то, что сами кар­ты не были осна­щены 3-D Secure.

Пра­вила, называ­емые 3-D Secure Liability shift, опре­деля­ют ответс­твен­ную сто­рону в слу­чае мошен­ничес­ких опе­раций: если банк не осна­щает кар­ты 3-D Secure, ответс­твен­ность за мошен­ничес­тво лежит на бан­ке. Если кар­ты, осна­щен­ные 3-D Secure, исполь­зуют­ся, нап­ример, в Amazon, где дан­ная тех­нология не при­меня­ется, ответс­твен­ность лежит на интернет-магазине.

Как хакеры подбирают полные реквизиты карт?

Пред­положим, у нас есть одна кар­та — наша. Ее номер сос­тоит из нес­коль­ких час­тей. Пер­вые шесть цифр называ­ются BIN — bank identification number. Один и тот же BIN при этом может при­над­лежать более чем одно­му бан­ку, кро­ме того, у бан­ка может быть нес­коль­ко BIN Range. Одна­ко это глав­ная отправ­ная точ­ка, от которой и пош­ло наз­вание ата­ки. Пос­ледняя циф­ра так­же вычис­ляет­ся по ал­горит­му кон­троль­ной сум­мы «Луна».

Пред­положим, наша кар­та име­ет номер 1234 5678 1234 5670. Сле­дующая кар­та из это­го диапа­зона, сог­ласно алго­рит­му, будет закан­чивать­ся на 5688, затем 5696 и так далее. Есть ненуле­вая веро­ятность того, что кар­ты 5688 и 5696 сущес­тву­ют и активны.

Те­перь необ­ходимо выяс­нить зна­чение поля Expiry Date. Если банк выда­ет номера карт пос­ледова­тель­но, то, зна­чит, сле­дующий кли­ент бан­ка, которо­му выпус­тили кар­ту пос­ле тебя, будет обла­дать номером 5688. Если банк боль­шой и откры­вает сот­ни карт каж­дый день, ско­рее все­го, поле Expiry Date сов­падет с таковым на тво­ей кар­те либо будет отли­чать­ся на один месяц. Для защиты от подоб­ного под­бора зна­чений пла­теж­ные сис­темы рекомен­дуют внед­рять ран­домиза­цию PAN — выдавать их не пос­ледова­тель­но, а слу­чай­но. Тог­да хакерам будет слож­нее узнать Expiry Date кар­ты 5688.

Но нереша­емых задач нет. Сущес­тву­ет мно­жес­тво бан­ков­ских сер­висов, которые помога­ют подоб­рать связ­ку полей PAN / Expiry Date. Сре­ди них — сис­тема вос­ста­нов­ления пароля или логина мобиль­ного бан­ка, регис­тра­ция в сис­теме ДБО, воз­врат денеж­ных средств в пла­теж­ном эквай­рин­ге.

И наконец, оста­лось уга­дать три циф­ры с обратной сто­роны кар­ты — CVV2/CVC2. В кон­це 2014 года, ког­да иссле­дова­тели из Уни­вер­ситета Ньюкас­ла впер­вые про­вели ана­лиз ата­ки на банк Tesco, они обна­ружи­ли, что 291 из 400 самых популяр­ных онлай­новых сер­висов дает воз­можность переби­рать поле CVV2. Это неуди­витель­но: ведь день­ги не при­над­лежат вла­дель­цам этих сер­висов. Сер­вис — лишь инс­тру­мент для ата­кующе­го. Зна­чит, у зло­умыш­ленни­ков всег­да будет дос­таточ­но инс­тру­мен­тов для перебо­ра рек­визитов бан­ков­ских карт. Нап­ример, в 2019 году подоб­ная уяз­вимость была устра­нена в пла­теж­ном модуле Magento CMS для PayPal.

Дру­гая час­то при­меня­емая зло­умыш­ленни­ками раз­новид­ность этой ата­ки — это исполь­зование подоб­ранных рек­визитов для выпус­ка мобиль­ного кошель­ка Google Pay или Apple Pay. Иро­ния зак­люча­ется в том, что один из самых гром­ких слу­чаев мошен­ничес­тва был нап­равлен на сами магази­ны Apple. Дело в том, что мно­жес­тво бан­ков (опять‑таки в Аме­рике) не тре­буют допол­нитель­ной верифи­кации с помощью одно­разо­вого кода или звон­ка в банк при выпус­ке мобиль­ного кошель­ка Apple Pay. Это озна­чает, что, зная толь­ко номер кар­ты, срок ее дей­ствия и код CVV2, мож­но выпус­тить пол­ноцен­ную вир­туаль­ную кар­ту, с помощью которой уже мож­но рас­пла­чивать­ся по все­му миру, а не толь­ко в США.

Су­щес­тву­ет еще одно средс­тво защиты пла­тежей катего­рии card-not-present. Оно называ­ется address verification system. В этом слу­чае при совер­шении пла­тежа пла­теж­ная сис­тема све­ряет еще и циф­ры из поч­тового индекса и адре­са, по которо­му зарегис­три­рова­на кар­та (postcode / billing address). Такой же сис­темой могут быть осна­щены пла­теж­ные тер­миналы, под­держи­вающие метод PAN Key Entry (о нем я рас­ска­зывал в прош­лой статье).

Заключение

По оцен­кам Positive Technologies, до 50% бан­ков до сих пор не защища­ет сво­их кли­ентов от под­бора зна­чений CVV2 и Expiry Date. Имен­но поэто­му тру­дяги из стран Латин­ской Аме­рики так активно занима­ются по­иском по все­му миру карт и бан­ков, уяз­вимых к дан­ным ата­кам.

О дру­гих «белых китах» кар­точно­го мошен­ничес­тва я рас­ска­жу в сле­дующий раз.

Источник https://www.kaspersky.ru/blog/nfc-cards-security/11061/

Источник https://mnogo-kreditov.ru/bankovskie-karty/moshennichestvo-s-bankovskimi-kartami.html

Источник https://xakep.ru/2021/02/04/credit-cards-fraud/

Источник