Как взламывать банковские карты

Учёные показали, как взломать банковскую карту за шесть секунд

Исследователи кибербезопасности из Университета Ньюкасла показали, как можно взломать кредитную карту за 6 секунд, даже не зная её реквизитов.

Авторы использовали метод, который называется Distributed Guessing Attack (Атака с помощью распределенного перебора). Этот вид атаки использует две уязвимости, которые сами по себе не являются слишком серьезными, но при использовании в комплексе представляют серьезный риск. Во-первых, платёжные системы не суммируют неудачные попытки ввода данных с разных сайтов. Так как каждый сайт предоставляет 10−20 попыток для ввода данных, хакеры могут использовать фактически неограниченное количество попыток. Во-вторых, сайты позволяют пробовать различные варианты в полях, предназначенных для данных карты, так что информацию можно собрать, как паззл, используя каждое следующее поле для подбора следующей комбинации цифр.

«Большинство хакеров в качестве отправной точки будут использовать действительный номер карты. Но даже без него можно относительно легко подбирать варианты и вводить их через многочисленные веб-сайты для проверки. Следующий шаг — дата истечения срока действия. Банки обычно выпускают карты, которые действительны в течение 60 месяцев, так что угадать дату занимает не более 60 попыток. Ваш последний барьер — CVV-код, который теоретически известен только держателю карты. Но, полагаю, что угадать это трёхзначное число можно менее чем за 1000 попыток. Введите их на более чем 1000 сайтов — и варианты будут проверены в течение нескольких секунд», — рассказал автор исследования аспирант Мохаммед Али.

Он утверждает, что успешно проверил этот метод на платёжной системе Visa. Представитель Visa, однако, заявил, что исследование не учитывает «нескольких уровней защиты от мошенничества, которые существуют в платежной системе».

Система MasterCard, по словам Али, оказалась более надёжной: она смогла обнаружить атаку с помощью перебора менее чем за 10 попыток, даже если запросы были распределены по нескольким сайтам.

Авторы подозревают, что именно этот способ использовали мошенники, ограбившие в прошлом месяце 9000 клиентов Tesco Bank. Общий ущерб составил 2,5 миллионов фунтов стерлингов.

Чтобы защититься от мошенничества, учёные рекомендуют использовать для онлайн-платежей только одну карту с минимальным балансом и пополнять его непосредственно перед оплатой. «Единственный безотказный способ избежать взлома — держать свои деньги под матрасом, но я бы не рекомендовал так делать», — добавил соавтор исследования доктор Мартин Эммс.

Системы защиты банковских карт постоянно обновляются, что не мешает мошенникам придумывать новые способы взломов. За прошлый год мошенники нанесли ущерб россиянам на $1 млрд, при этом обычные пользователи карт продолжают вестись на старые уловки, главной из которых является обычный фишинг. «Газета.Ru» выяснила, как на самом деле защищены банковские карты, как действуют злоумышленники и какими методами пользуются правоохранительные органы при борьбе с киберпреступлениями.

«Черный ход» к миллиону

Регулярные сообщения о «совершенно новом виде» взлома банковских карт обычно сопровождаются обязательным упоминанием «миллионов людей», которые могут навсегда потерять все свои деньги. Из-за этого борьба между мошенниками и создателями систем банковской защиты выглядит особенно остро.

По данным отдела «К» МВД, в 2015 году хакеры нанесли ущерб российским банкам и платежным системам на сотни миллионов рублей. По словам руководителя пресс-службы отдела Александра Вураско, за год удалось предотвратить кражи на 1,5 млрд руб. При этом, согласно информации первого зампреда Сбербанка Льва Хасиса, киберпреступники в 2015 году нанесли России ущерб примерно на $1 млрд.

По данным отчета ЦБ за 2015 год, среди преступлений с банковскими картами абсолютное лидерство держат операции с картами, данные которых были скомпрометированы.

За прошлый год доля утерянных или украденных платежных карт, используемых для совершения несанкционированных операций, не превышает 10% от общего числа карт.

В свою очередь, доля карт, реквизиты которых использовались при осуществлении несанкционированных операций, в 2015 году выросла и составила 84% от общего числа карт, с использованием которых осуществлялись несанкционированные операции в интернете и с помощью мобильных устройств (CNP-транзакции).

Также постоянно снижается доля количества несанкционированных операций, которые совершаются с использованием банкоматов и пунктов выдачи наличных. Половина из всех преступлений с банковскими картами связана с несанкционированными CNP-транзакциями. Суммарно таким способом было похищено более 560 млн руб. за год.

С момента появления пластиковых карт компании, выпускающие их, пытаются найти идеальный способ защиты. Это должно быть нечто не вызывающее дискомфорта у обладателя карты и надежно защищающее его от кражи.

При этом пластиковые карты уже стали привычными для множества людей, из-за чего вопрос сохранности средств на них стоит особенно остро.

Эволюция систем защиты

В первых популярных банковских картах вся информация хранилась на магнитной полосе, причем бóльшая ее часть никак не была зашифрована, включая номер счета, наименование банка-эмитента и данные о параметрах доступного кредитного лимита. На этой же полосе хранился и PIN-код карты, с помощью которого владелец карты мог авторизоваться в банковских сервисах и обналичивать средства, но уже в зашифрованном виде.

Стоит отметить, что по задумке создателей этой системы защиты владельцу не нужен PIN-код для совершения покупок — достаточно лишь провести картой через считыватель. Это должно было сделать использование карты удобным для владельца, но породило способ взлома, который на протяжении десятков лет позволяет мошенникам оставаться на плаву.

Читайте также:  Как быстро штрафы попадают в базу

Большинство современных банков уже отказались от таких типов карт, но они, пусть и в малых количествах, продолжают быть в ходу.

Для кражи средств с такой карты необходимо лишь украсть данные с магнитной полосы.

В подобных кражах злоумышленники используют специальное устройство — скиммер, чтобы полностью скопировать данные с банковской карты, после чего сделать ее полную копию. После этого мошенник обычно старается как можно быстрее завладеть деньгами — совершает ряд дорогостоящих покупок и продает товары за наличные.

В настоящее время в банковских картах используется более современная система защиты — чип. Он, в отличие от магнитной полосы, вшит в пластиковую карту и хранит практически всю информацию о владельце в зашифрованном виде. Исключением является номер карты, несколько последних операций и другая информация, которую определяют банк-эмитент и платежная система. При этом данные о покупателе не передаются напрямую через терминал — вместо этого отправляется специально сгенерированный код, который проверяется в базе данных банка.

Однако и эта защита не является абсолютно безопасной. К примеру, во Франции группа хакеров смогла похитить более $680 тыс., обойдя подобную систему защиты. Специалистам из École Normale Supérieure (Высшая нормальная школа) пришлось провести целое исследование, чтобы выяснить, как хакерам удалось осуществить кражу.

Оказалось, что мошенники встроили дополнительный самодельный чип в украденную карту, что позволило избежать процедуры ввода PIN-кода.

Благодаря дополнительному чипу злоумышленники смогли реализовать атаку man-in-the-middle, при которой хакеры перехватывали запрос PIN-кода и отвечали, что он верен, каким бы код ни был. Даже то, что из-за дополнительного чипа карта стала толще, не мешало хакерам ею пользоваться. Однако баг, позволяющий выполнить подобную атаку, уже исправлен в большинстве стран мира.

Несмотря на высокий уровень защиты, владельцу карты с чипом постоянно требуется вводить PIN-код даже для самых малозначительных покупок. Для решения этой проблемы была создана система бесконтактных платежей, когда для совершения покупки достаточно поднести карту к считывающему аппарату.

Кроме того, вся информация о клиенте банка хранится в базе самого банка, а не на карте. Таким образом мошенник никак не сможет получить доступ к информации, даже если украл карту или смартфон, с которого теперь также стало возможно совершать платежи. Вместе с этим для бесконтактных платежей был создан специальный способ передачи данных, который исключает возможность перехвата информации.

Для совершения небольших покупок, до тысячи рублей, теперь не требуется вводить PIN-код, что и пугает большинство пользователей.

Данный способ оплаты не распространен в России, и далеко не у каждого есть карта, которая может совершать бесконтактные платежи, а смартфоны для совершения платежей так и вовсе почти нигде не принимаются. По этой причине многие были напуганы историей, которая была растиражирована в начале 2016 года, когда в московской подземке был замечен мужчина с включенным считывателем карт.

В таком случае, даже если злоумышленнику удалось приложить считыватель к карте и снять средства, транзакцию можно без проблем отследить и вернуть деньги. В случае с «самопальными» терминалами все так же сложно, так как устройство должно иметь криптографические ключи, полученные у банка-эквайера и платежной системы, которые выдаются по договору с банком-эквайером. Поэтому и такую кражу можно будет отследить и мошенник будет задержан.

Максимум что можно сделать с подобной картой — считать по NFC ту самую информацию, которая хранится в незашифрованном виде на чипе. До недавнего времени многие полагали, что эта информация не позволит украсть деньги со счета владельца карты, однако эксперты из Which опровергли эту информацию.

Им удалось декодировать номера десятка карт, а также дату окончания срока их действия. Несмотря на то что во многих интернет-магазинах требуется CVV-код, исследователи все же нашли магазин без необходимости его ввода и смогли продемонстрировать покупку по чужой карте без каких-либо дополнительных усилий. Так, они смогли приобрести телевизор стоимостью £3 тыс. (более 260 тыс. руб.).

Троян только для россиян

Российские способы взлома

«Газете.Ru» удалось пообщаться с сотрудником МВД и выяснить, какие из способов кражи средств представляют наибольшую угрозу в России. Он рассказал, что злоумышленники не пытаются «заигрывать» с новыми системами защиты и используют старые, проверенные и бюджетные способы мошенничества.

«Кражи средств с карт с бесконтактной оплатой у нас не было ни одной, разве что были случаи скимминга, но и это происходило всего два раза», — рассказал источник в МВД.

Главной целью злоумышленников в России, по его словам, является приложение мобильного банка. Злоумышленники пытаются получить к нему доступ с помощью вирусов на Android- и Windows-смартфоны, а также социальной инженерии, то есть фишинга, и других способов обмана.

Причем, как рассказал собеседник, вирусы распространяются не только через сайты с программами для смартфонов. Также имеют место случаи, когда пользователь загружал себе фотографии и другой медиаконтент, после скачивания которого предлагалось установить программу с вирусом. Пользователи относятся к этому без должной осторожности и сами предоставляют доступ к данным на смартфоне.

Читайте также:  Как восстановить гугл на планшете

Вас тоже взломали

Злоумышленники также с особой легкостью получают доступ к мобильному банку благодаря тому, что жертва сама по телефону называет все необходимые данные. К примеру, мошенник размещает объявление на сайте продаж, после чего ему звонят люди, и в диалоге под различными предлогами злоумышленнику удается получить логин и пароль от мобильного банка.

При этом проблем с поиском виновных людей, по данным источника, практически нет. Самая главная сложность — доказать их причастность.

Собеседник рассказал, что большинство случаев связано исключительно с тем, что люди пренебрегают простейшими правилами безопасности данных. Давно известные всем способы получения конфиденциальных данных все еще остаются актуальными в России, так как люди сами часто отдают эту информацию злоумышленникам.

Для того чтобы обезопасить себя при использовании пластиковых карт с магнитной полосой, стоит проверять банкомат, который используется для снятия наличных и авторизации в системе. В случае с картами с чипом и бесконтактной оплатой стоит беречь карту и PIN-код от посторонних глаз, а при утере карты нужно незамедлительно ее заблокировать. Что касается смартфонов, то здесь способы защиты не менее традиционны — необходимо лишь установить антивирус и следить за тем, какой именно софт будет установлен на устройство.

Пока холода еще хранят ваши сбережения, расскажем владельцам кредитных карточек о некоторых наиболее распространенных в мире способах нелегального «облегчения» личных счетов.

Начнем с того, что еще раз напомним каждому владельцу кредитки, что пин-код надо хранить в целости и сохранности, номер никогда и никому не давать и не показывать, а сам «пластик» беречь, как зеницу ока.

А теперь поговорим о самых распространенных способах мошенничества с картами. Как выясняется, даже простое снятие наличных денег в банкомате может закончиться плачевно.

Существуют по крайней мере семь уловок, с помощью которых аферисты в одночасье могут оставить вас с одним «пластиком» в кармане.

Зачастую мошенники используют устройства, которые, будучи установлены на банкомате, помогают им получить сведения о карточке. Это могут быть установленные на клавиатуры специальные «насадки», которые внешне повторяют оригинальные кнопки. В таком случае владелец карты снимает деньги со счета без всяких проблем, но при этом поддельная клавиатура запоминает все нажатые клавиши — естественно, в том числе и пин-код. Совет: внимательно изучите клавиатуру незнакомого банкомата, прежде чем снять деньги со счета.

Другое устройство — то, что англичане еще называют lebanese loops. Это пластиковые конверты, размер которых немного больше размера карточки, — их закладывают в щель банкомата. Хозяин кредитки пытается снять деньги, но банкомат не может прочитать данные с магнитной полосы. К тому же из-за конструкции конверта вернуть карту не получается. В это время подходит злоумышленник и говорит, что буквально день назад с ним «случилось то же самое». Чтобы вернуть карту, надо просто ввести пин-код и нажать два раза на Cancel. Владелец карточки пробует, и, конечно же, ничего не получается. Он решает, что карточка осталась в банкомате, и уходит, чтобы связаться с банком. Мошенник же спокойно достает кредитку вместе с конвертом при помощи нехитрых подручных средств. Пин-код он уже знает — владелец (теперь уже бывший) «пластика» сам его ввел в присутствии афериста. Вору остается только снять деньги со счета.

Технически сложно, но можно перехватить данные, которые банкомат отправляет в банк, дабы удостовериться в наличии запрашиваемой суммы денег на счету. Для этого мошенникам надо подключиться к соответствующему кабелю и считать необходимые данные. Учитывая, что в Интернете соответствующие инструкции легко обнаружить в свободном доступе, а технический прогресс не стоит на месте, можно утверждать: такой вариант будет встречаться все чаще.

Для того чтобы узнать пин-код, некоторые аферисты оставляют неподалеку миниатюрную видеокамеру. Сами же они в это время находятся в ближайшем автомобиле с ноутбуком, на экране которого видны вводимые владельцем карты цифры. Вводя пин-код, прикрывайте клавиатуру свободной рукой.

Дорогостоящий, но верный на все сто способ. Бывают случаи, когда мошенники ставят в людном месте свой собственный «банкомат». Он, правда, почему-то не работает и, естественно, никаких денег не выдает. Зато успешно считывает с карточки все необходимые данные. А потом выясняется, что вы вчера уже сняли все деньги со счета и почему-то не хотите этого вспомнить!

В свое время мошенники из ОАЭ устанавливали в отверстия для кредиток специальные устройства, которые запоминали все данные о вставленной в банкомат карте. Злоумышленникам оставалось только подсмотреть пин-код либо вышеописанными способами первым и четвертым, либо банально подглядывая из-за плеча. Ну, понравилось местному аборигену ваше кольцо, или ваши часы, или что-то там еще.

Бороться с ним нельзя. Можно лишь смириться. Здесь уже ничто не зависит от вашей внимательности, осторожности или предусмотрительности. Бывает, что в сговор с мошенниками вступают те люди, которым добраться до ваших кредиток и так очень просто: служащие банков, например. Это случается очень редко, но от таких случаев не застрахован никто.

Но страдают не только владельцы карточек. Страдают и крупные фирмы, магазины, банки. Причем здесь убытки уже исчисляются сотнями тысяч долларов. А иногда миллионами.

Читайте также:  Вычисление ip по скайпу

Специалисты из правоохранительных органов многих стран мира считают, что преступления, совершенные с использованием пластиковых платежных средств, можно отнести к одним из наиболее опасных экономических преступлений. Причем совершаются они не только в компьютерной банковской системе, но и через Интернет.

По некоторым данным, на сегодняшний день насчитывается около 30 видов незаконных операций с карточками через Всемирную паутину. Наиболее распространенные из них — оплата несуществующими картами, создание фальшивых виртуальных магазинов, электронное воровство, фальшивая оплата в игорных заведениях.

Появился даже специальный термин — кардинг. Это незаконное использование банковских карточек для покупки товаров или услуг через Интернет. Занимаясь кардингом, можно либо получить информацию о реальной карте, либо сгенерировать все эти данные, но так, что все системы будут принимать фальшивку за реальную. Интересующиеся могут свободно найти ссылки на сайты, которые открыто торгуют ворованными кредитками. Стандартная цена за карточку — от 40 центов до 5 долларов. Большинство продавцов находится в бывшем СССР, покупатели, напротив, концентрируются на Дальнем Востоке, жертвы — в основном граждане США и Европы. По заявлению ФБР, Украина и Россия уже снискали себе репутацию стран, в которых живут самые квалифицированные хакеры.

Виртуальные базары устроены почти как настоящие биржи, цены колеблются в зависимости от спроса. Располагаются же они на взломанных страницах и поэтому недолговечны — большинство таких страниц живут лишь пару дней. Эксперты сходятся во мнении, что центром мирового кардинга является Санкт-Петербург, где кредитки уходят с прилавка партиями по 500−5000 штук по цене 1 доллар за штуку.

Добываются же кредитные карты путем взлома крупных финансовых фирм. Например, в 2003 году после отказа платить хакерам деньги за молчание известная финансовая фирма CD Universe призналась в утере базы данных из 300 000 карт. Одна только Англия потеряла на кардинге в 2003 году 411 миллионов фунтов. В 2005 году эта цифра выросла до миллиарда. Поэтому на борьбу с киберпреступностью были ассигнованы 25 миллионов фунтов.

Кстати, в России в начале 90-х годов одним из первых пострадал Внешэкономбанк. Путем простейшего взлома компьютерной сети отечественные хакеры «облегчили» его сейфы на 130 тысяч долларов.

Всего же «электронные шерлоки холмсы» разделяют 9 основных видов киберпреступлений.

1. Операции с поддельными картами.

2. Операции с украденными/утерянными картами.

3. Многократная оплата услуг и товаров.

4. Мошенничество с почтовыми/телефонными заказами.

5. Многократное снятие со счета.

6. Мошенничество с использованием подложных слипов.

7. Мошенническое использование банкоматов при выдаче наличных денег.

8. Подключение электронного записывающего устройства к POS-терминалу/банкомату (Skimming).

9. Другие виды мошенничества.

Расскажем только о некоторых, наиболее часто встречающихся.

Операции с поддельными картами

На этот вид мошенничества приходится самая большая доля потерь платежной системы.

Механизм мошенничества может быть различным: мошенник получает в банке обычную карточку в законном порядке, вносит на специальный карточный счет минимально необходимую сумму. Затем он добывает необходимую информацию о держателе пластиковой карточки этой же компании, но с более солидным счетом, и вносит полученные таким образом новые данные в свою карточку. Для реализации такого способа мошенничества преступник должен добыть информацию о кодовых номерах, фамилии, имени, отчестве владельца карточки, об образце подписи и т.д.

Осуществить такую подделку можно по-разному:

— изменив информацию, имеющуюся на магнитном носителе;

— изменив информацию, эмбоссированную (выдавленную) на лицевой стороне;

— проделав и то, и другое;

— подделав подпись законного держателя карточки.

При подделке подписи используется несколько вариантов, но при этом учитывается то, что стереть образец подписи нельзя, так как при попытке это сделать в поле подписи проступит слово VOID — «недействительна». Поэтому ее часто просто закрашивают белой краской.

Один из самых опасных приемов подделки пластиковых карточек — производство полностью фальшивых карточек. Наибольшее распространение метод полного копирования получил в некоторых странах Юго-Восточной Азии. Такой способ чаще всего используется организованными преступными группами, в которые, как правило, входят работники ресторанов и иных сервисных заведений. Последние используются для сбора информации о кредитных карточках, которые попадают им в руки при оплате ресторанных и иных услуг.

Кредитная информация, используемая при изготовлении поддельных кредитных карточек, может собираться в различных странах мира. Наиболее часто используются данные из Канады, Соединенных Штатов Америки, стран Европы, а также из азиатского региона.

Операции с украденными или утерянными картами

Мошенническое использование украденных кредитных карточек остается наиболее распространенным преступлением. Методы противодействия кражам и мошенническому использованию пластиковых карточек совершенствуются годами, однако в настоящее время компании предпочитают выпускать недорогие карточки с целью уменьшения суммы возможных убытков от их незаконного использования. Когда суммы убытков резко возрастают, компании предпринимают усилия по введению новых мер безопасности.

В случае похищения карточки при пересылке ее по почте особенность мошенничества заключается в том, что владелец не знает об утрате карточки. Предотвратить хищение при этом способе мошенничества очень сложно.

Преступники располагают многочисленными способами использования украденных карточек. Организованные преступные группы платят от 100 до 500 долларов США за украденную карточку в зависимости от того, подписана она или нет, как давно украдена, находится ли она в списках украденных, как долго она использовалась законным владельцем, вычерпан ли лимит, есть ли дополнительные документы, удостоверяющие личность.