Системи захисту банківських карт постійно оновлюються, що не заважає шахраям придумувати нові способи зломів. За минулий рік шахраї завдали шкоди росіянам на $ 1 млрд, при цьому звичайні користувачі карт продовжують вестися на старі прийоми, головною з яких є звичайний фішинг. «Газета.Ru» з’ясувала, як насправді захищені банківські карти, як діють зловмисники і якими методами користуються правоохоронні органи при боротьбі з кіберзлочинами.
Регулярні повідомлення про «абсолютно новому вигляді» злому банківських карт зазвичай супроводжуються обов’язковим згадуванням «мільйонів людей», які можуть назавжди втратити всі свої гроші. Через це боротьба між шахраями і творцями систем банківського захисту виглядає особливо гостро.
За даними відділу «К» МВС, у 2015 році хакери завдали шкоди українським банкам і платіжним системам на сотні мільйонів гривень. За словами керівника прес-служби відділу Олександра Вураско, за рік вдалося запобігти крадіжкам на 1,5 млрд руб. При цьому, згідно з інформацією першого заступника голови Ощадбанку Льва Хасіс, кіберзлочинці в 2015 році завдали Росії збитків приблизно на $ 1 млрд.
За даними звіту ЦБ за 2015 рік, серед злочинів з банківськими картами абсолютне лідерство тримають операції з картами, дані яких були скомпрометовані.
За минулий рік частка загублених або вкрадених платіжних карт, що використовуються для здійснення несанкціонованих операцій, не перевищує 10% від загального числа карт.
У свою чергу, частка карт, реквізити яких використовувалися при здійсненні несанкціонованих операцій, в 2015 році зросла і склала 84% від загального числа карт, з використанням яких здійснювалися несанкціоновані операції в інтернеті і за допомогою мобільних пристроїв (CNP-транзакції).
Також постійно знижується частка кількості несанкціонованих операцій, які здійснюються з використанням банкоматів і пунктів видачі готівки. Половина з усіх злочинів з банківськими картами пов’язана з несанкціонованими CNP-транзакціями. Сумарно таким способом було викрадено понад 560 млн руб. за рік.
З моменту появи пластикових карт компанії, що випускають їх, намагаються знайти ідеальний спосіб захисту. Це має бути щось, що не викликає дискомфорту у володаря карти і надійно захищає його від крадіжки.
При цьому пластикові карти вже стали звичними для багатьох людей, через що питання збереження засобів на них варто особливо гостро.
Еволюція систем захисту
У перших популярних банківських картах вся інформація зберігалася на магнітній смузі, причому більша її частина ніяк була зашифрована, включаючи номер рахунку, найменування банку-емітента і дані про параметри доступного кредитного ліміту. На цій же смузі зберігався і PIN-код карти, за допомогою якого власник карти міг авторизуватися в банківських сервісах і знімати готівку, але вже в зашифрованому вигляді.
Варто відзначити, що за задумом творців цієї системи захисту власникові не потрібен PIN-код для здійснення покупок – досить лише провести картою через зчитувач. Це повинно було зробити використання карти зручним для власника, але породило спосіб злому, який протягом десятків років дозволяє шахраям залишатися на плаву.
Більшість сучасних банків уже відмовилися від таких типів карт, але вони, нехай і в малих кількостях, продовжують бути в ходу.
Для крадіжки засобів з такої карти необхідно лише вкрасти дані з магнітної смуги.
У подібні крадіжки зловмисники використовують спеціальний пристрій – скіммер, щоб повністю скопіювати дані з банківської карти, після чого зробити її повну копію. Після цього шахрай зазвичай намагається якомога швидше заволодіти грошима – здійснює ряд дорогих покупок і продає товари за готівкові.
В даний час в банківських картах використовується більш сучасна система захисту – чіп. Він, на відміну від магнітної смуги, вшитий в пластикову карту і зберігає практично всю інформацію про власника в зашифрованому вигляді. Винятком є номер карти, кілька останніх операцій і інша інформація, яку визначають банк-емітент і платіжна система. При цьому дані про покупця не передаються безпосередньо через термінал – замість цього відправляється спеціально згенерований код, який перевіряється в базі даних банку.
Однак і цей захист не є абсолютно безпечною. Наприклад, у Франції група хакерів змогла викрасти понад $ 680 тис., Обійшовши подібну систему захисту. Фахівцям з Ecole Normale Superieure (Вища нормальна школа) довелося провести ціле дослідження, щоб з’ясувати, як хакерам вдалося здійснити крадіжку.
Виявилося, що шахраї вбудували додатковий саморобний чіп в вкрадену карту, що дозволило уникнути процедури введення PIN-коду.
Завдяки додатковому чіпу зловмисники змогли реалізувати атаку man-in-the-middle, при якій хакери перехоплювали запит PIN-коду і відповідали, що він вірний, яким би код не був. Навіть те, що з-за додаткового чіпа карта стала товщі, не заважало хакерам нею користуватися. Однак баг, що дозволяє виконати подібну атаку, вже виправлений в більшості країн світу.
Незважаючи на високий рівень захисту, власнику картки з чіпом постійно потрібно вводити PIN-код навіть для самих малозначних покупок. Для вирішення цієї проблеми була створена система безконтактних платежів, коли для здійснення покупки досить піднести картку до зчитувального апарату.
Крім того, вся інформація про клієнта банку зберігається в базі самого банку, а не на карті. Таким чином шахрай ніяк не зможе отримати доступ до інформації, навіть якщо вкрав карту або смартфон, з якого тепер також стало можливо здійснювати платежі. Разом з цим для безконтактних платежів був створений спеціальний спосіб передачі даних, який виключає можливість перехоплення інформації.
Для здійснення невеликих покупок, до тисячі гривень, тепер не потрібно вводити PIN-код, що і лякає більшість користувачів.
Даний спосіб оплати не поширений в Росії, і далеко не у кожного є карта, яка може здійснювати безконтактні платежі, а смартфони для здійснення платежів так і зовсім майже ніде не приймаються. З цієї причини багато хто був налякані історією, яка була розтиражована на початку 2016 року, коли в московській підземці був помічений чоловік з включеним зчитувачем карт.
У такому випадку, навіть якщо зловмисникові вдалося докласти зчитувач до карти і зняти засоби, транзакцію можна без проблем відстежити і повернути гроші. У випадку з «самопальними» терміналами всі так само складно, так як пристрій повинен мати криптографічні ключі, отримані у банку-еквайра і платіжної системи, які видаються за договором з банком-еквайром. Тому і таку крадіжку можна буде відстежити і шахрай буде затриманий.
Максимум що можна зробити з подібною картою – вважати по NFC ту саму інформацію, яка зберігається в незашифрованому вигляді на чіпі. До недавнього часу багато хто вважав, що ця інформація не дозволить вкрасти гроші з рахунку власника картки, однак експерти з Which спростували цю інформацію.
Їм вдалося декодувати номера десятка карт, а також дату закінчення терміну їх дії. Незважаючи на те що в багатьох інтернет-магазинах потрібно CVV-код, дослідники все ж знайшли магазин без необхідності його введення і змогли продемонструвати покупку по чужій карті без будь-яких додаткових зусиль. Так, вони змогли придбати телевізор вартістю? 3 тис. (Понад 260 тис. Руб.).
Російські способи злому
«Газеті.Ru» вдалося поспілкуватися зі співробітником МВС і з’ясувати, які з способів крадіжки засобів становлять найбільшу загрозу в Росії. Він розповів, що зловмисники не намагаються «загравати» з новими системами захисту і використовують старі, перевірені і бюджетні способи шахрайства.
«Крадіжки засобів з карт з безконтактної оплатою у нас не було жодної, хіба що були випадки скіммінгу, але і це відбувалося всього два рази», – розповіло джерело в МВС.
Головною метою зловмисників в Росії, за його словами, є додаток мобільного банку. Зловмисники намагаються отримати до нього доступ за допомогою вірусів на Android- та Windows-смартфони, а також соціальної інженерії, тобто фішингу, і інших способів обману.
Причому, як розповів співрозмовник, віруси поширюються не тільки через сайти з програмами для смартфонів. Також мають місце випадки, коли користувач завантажував себе фотографії та інший медіаконтент, після скачування якого пропонувалося встановити програму з вірусом. Користувачі ставляться до цього без належної обережності і самі надають доступ до даних на смартфоні.
Зловмисники також з особливою легкістю отримують доступ до мобільного банку завдяки тому, що жертва сама по телефону називає всі необхідні дані. Наприклад, шахрай розміщує оголошення на сайті продажів, після чого йому дзвонять люди, і в діалозі під різними приводами зловмисникові вдається отримати логін і пароль від мобільного банку.
При цьому проблем з пошуком винних людей, за даними джерела, практично немає. Найголовніша складність – довести їх причетність.
Співрозмовник розповів, що більшість випадків пов’язана виключно з тим, що люди нехтують найпростішими правилами безпеки даних. Давно відомі всім способи отримання конфіденційних даних все ще залишаються актуальними в Росії, так як люди самі часто віддають цю інформацію зловмисникам.
Для того щоб убезпечити себе при використанні пластикових карт із магнітною смугою, варто перевіряти банкомат, який використовується для зняття готівки і авторизації в системі. У випадку з картами з чіпом і безконтактної оплатою варто берегти карту і PIN-код від сторонніх очей, а при втраті картки потрібно негайно її заблокувати. Що стосується смартфонів, то тут способи захисту не менше традиційні – необхідно лише встановити антивірус і стежити за тим, який саме софт буде встановлений на пристрій.
+ There are no comments
Add yours