Как взломать кредитную карту

Учёные показали, как взломать банковскую карту за шесть секунд

Исследователи кибербезопасности из Университета Ньюкасла показали, как можно взломать кредитную карту за 6 секунд, даже не зная её реквизитов.

Авторы использовали метод, который называется Distributed Guessing Attack (Атака с помощью распределенного перебора). Этот вид атаки использует две уязвимости, которые сами по себе не являются слишком серьезными, но при использовании в комплексе представляют серьезный риск. Во-первых, платёжные системы не суммируют неудачные попытки ввода данных с разных сайтов. Так как каждый сайт предоставляет 10−20 попыток для ввода данных, хакеры могут использовать фактически неограниченное количество попыток. Во-вторых, сайты позволяют пробовать различные варианты в полях, предназначенных для данных карты, так что информацию можно собрать, как паззл, используя каждое следующее поле для подбора следующей комбинации цифр.

«Большинство хакеров в качестве отправной точки будут использовать действительный номер карты. Но даже без него можно относительно легко подбирать варианты и вводить их через многочисленные веб-сайты для проверки. Следующий шаг — дата истечения срока действия. Банки обычно выпускают карты, которые действительны в течение 60 месяцев, так что угадать дату занимает не более 60 попыток. Ваш последний барьер — CVV-код, который теоретически известен только держателю карты. Но, полагаю, что угадать это трёхзначное число можно менее чем за 1000 попыток. Введите их на более чем 1000 сайтов — и варианты будут проверены в течение нескольких секунд», — рассказал автор исследования аспирант Мохаммед Али.

Он утверждает, что успешно проверил этот метод на платёжной системе Visa. Представитель Visa, однако, заявил, что исследование не учитывает «нескольких уровней защиты от мошенничества, которые существуют в платежной системе».

Система MasterCard, по словам Али, оказалась более надёжной: она смогла обнаружить атаку с помощью перебора менее чем за 10 попыток, даже если запросы были распределены по нескольким сайтам.

Авторы подозревают, что именно этот способ использовали мошенники, ограбившие в прошлом месяце 9000 клиентов Tesco Bank. Общий ущерб составил 2,5 миллионов фунтов стерлингов.

Чтобы защититься от мошенничества, учёные рекомендуют использовать для онлайн-платежей только одну карту с минимальным балансом и пополнять его непосредственно перед оплатой. «Единственный безотказный способ избежать взлома — держать свои деньги под матрасом, но я бы не рекомендовал так делать», — добавил соавтор исследования доктор Мартин Эммс.

Пока холода еще хранят ваши сбережения, расскажем владельцам кредитных карточек о некоторых наиболее распространенных в мире способах нелегального «облегчения» личных счетов.

Начнем с того, что еще раз напомним каждому владельцу кредитки, что пин-код надо хранить в целости и сохранности, номер никогда и никому не давать и не показывать, а сам «пластик» беречь, как зеницу ока.

А теперь поговорим о самых распространенных способах мошенничества с картами. Как выясняется, даже простое снятие наличных денег в банкомате может закончиться плачевно.

Существуют по крайней мере семь уловок, с помощью которых аферисты в одночасье могут оставить вас с одним «пластиком» в кармане.

Зачастую мошенники используют устройства, которые, будучи установлены на банкомате, помогают им получить сведения о карточке. Это могут быть установленные на клавиатуры специальные «насадки», которые внешне повторяют оригинальные кнопки. В таком случае владелец карты снимает деньги со счета без всяких проблем, но при этом поддельная клавиатура запоминает все нажатые клавиши — естественно, в том числе и пин-код. Совет: внимательно изучите клавиатуру незнакомого банкомата, прежде чем снять деньги со счета.

Другое устройство — то, что англичане еще называют lebanese loops. Это пластиковые конверты, размер которых немного больше размера карточки, — их закладывают в щель банкомата. Хозяин кредитки пытается снять деньги, но банкомат не может прочитать данные с магнитной полосы. К тому же из-за конструкции конверта вернуть карту не получается. В это время подходит злоумышленник и говорит, что буквально день назад с ним «случилось то же самое». Чтобы вернуть карту, надо просто ввести пин-код и нажать два раза на Cancel. Владелец карточки пробует, и, конечно же, ничего не получается. Он решает, что карточка осталась в банкомате, и уходит, чтобы связаться с банком. Мошенник же спокойно достает кредитку вместе с конвертом при помощи нехитрых подручных средств. Пин-код он уже знает — владелец (теперь уже бывший) «пластика» сам его ввел в присутствии афериста. Вору остается только снять деньги со счета.

Технически сложно, но можно перехватить данные, которые банкомат отправляет в банк, дабы удостовериться в наличии запрашиваемой суммы денег на счету. Для этого мошенникам надо подключиться к соответствующему кабелю и считать необходимые данные. Учитывая, что в Интернете соответствующие инструкции легко обнаружить в свободном доступе, а технический прогресс не стоит на месте, можно утверждать: такой вариант будет встречаться все чаще.

Читайте также:  Драйвер для клавиатуры a4tech bloody b314

Для того чтобы узнать пин-код, некоторые аферисты оставляют неподалеку миниатюрную видеокамеру. Сами же они в это время находятся в ближайшем автомобиле с ноутбуком, на экране которого видны вводимые владельцем карты цифры. Вводя пин-код, прикрывайте клавиатуру свободной рукой.

Дорогостоящий, но верный на все сто способ. Бывают случаи, когда мошенники ставят в людном месте свой собственный «банкомат». Он, правда, почему-то не работает и, естественно, никаких денег не выдает. Зато успешно считывает с карточки все необходимые данные. А потом выясняется, что вы вчера уже сняли все деньги со счета и почему-то не хотите этого вспомнить!

В свое время мошенники из ОАЭ устанавливали в отверстия для кредиток специальные устройства, которые запоминали все данные о вставленной в банкомат карте. Злоумышленникам оставалось только подсмотреть пин-код либо вышеописанными способами первым и четвертым, либо банально подглядывая из-за плеча. Ну, понравилось местному аборигену ваше кольцо, или ваши часы, или что-то там еще.

Бороться с ним нельзя. Можно лишь смириться. Здесь уже ничто не зависит от вашей внимательности, осторожности или предусмотрительности. Бывает, что в сговор с мошенниками вступают те люди, которым добраться до ваших кредиток и так очень просто: служащие банков, например. Это случается очень редко, но от таких случаев не застрахован никто.

Но страдают не только владельцы карточек. Страдают и крупные фирмы, магазины, банки. Причем здесь убытки уже исчисляются сотнями тысяч долларов. А иногда миллионами.

Специалисты из правоохранительных органов многих стран мира считают, что преступления, совершенные с использованием пластиковых платежных средств, можно отнести к одним из наиболее опасных экономических преступлений. Причем совершаются они не только в компьютерной банковской системе, но и через Интернет.

По некоторым данным, на сегодняшний день насчитывается около 30 видов незаконных операций с карточками через Всемирную паутину. Наиболее распространенные из них — оплата несуществующими картами, создание фальшивых виртуальных магазинов, электронное воровство, фальшивая оплата в игорных заведениях.

Появился даже специальный термин — кардинг. Это незаконное использование банковских карточек для покупки товаров или услуг через Интернет. Занимаясь кардингом, можно либо получить информацию о реальной карте, либо сгенерировать все эти данные, но так, что все системы будут принимать фальшивку за реальную. Интересующиеся могут свободно найти ссылки на сайты, которые открыто торгуют ворованными кредитками. Стандартная цена за карточку — от 40 центов до 5 долларов. Большинство продавцов находится в бывшем СССР, покупатели, напротив, концентрируются на Дальнем Востоке, жертвы — в основном граждане США и Европы. По заявлению ФБР, Украина и Россия уже снискали себе репутацию стран, в которых живут самые квалифицированные хакеры.

Виртуальные базары устроены почти как настоящие биржи, цены колеблются в зависимости от спроса. Располагаются же они на взломанных страницах и поэтому недолговечны — большинство таких страниц живут лишь пару дней. Эксперты сходятся во мнении, что центром мирового кардинга является Санкт-Петербург, где кредитки уходят с прилавка партиями по 500−5000 штук по цене 1 доллар за штуку.

Добываются же кредитные карты путем взлома крупных финансовых фирм. Например, в 2003 году после отказа платить хакерам деньги за молчание известная финансовая фирма CD Universe призналась в утере базы данных из 300 000 карт. Одна только Англия потеряла на кардинге в 2003 году 411 миллионов фунтов. В 2005 году эта цифра выросла до миллиарда. Поэтому на борьбу с киберпреступностью были ассигнованы 25 миллионов фунтов.

Кстати, в России в начале 90-х годов одним из первых пострадал Внешэкономбанк. Путем простейшего взлома компьютерной сети отечественные хакеры «облегчили» его сейфы на 130 тысяч долларов.

Всего же «электронные шерлоки холмсы» разделяют 9 основных видов киберпреступлений.

1. Операции с поддельными картами.

2. Операции с украденными/утерянными картами.

3. Многократная оплата услуг и товаров.

4. Мошенничество с почтовыми/телефонными заказами.

5. Многократное снятие со счета.

6. Мошенничество с использованием подложных слипов.

7. Мошенническое использование банкоматов при выдаче наличных денег.

8. Подключение электронного записывающего устройства к POS-терминалу/банкомату (Skimming).

9. Другие виды мошенничества.

Читайте также:  Батарея в ванной комнате фото

Расскажем только о некоторых, наиболее часто встречающихся.

Операции с поддельными картами

На этот вид мошенничества приходится самая большая доля потерь платежной системы.

Механизм мошенничества может быть различным: мошенник получает в банке обычную карточку в законном порядке, вносит на специальный карточный счет минимально необходимую сумму. Затем он добывает необходимую информацию о держателе пластиковой карточки этой же компании, но с более солидным счетом, и вносит полученные таким образом новые данные в свою карточку. Для реализации такого способа мошенничества преступник должен добыть информацию о кодовых номерах, фамилии, имени, отчестве владельца карточки, об образце подписи и т.д.

Осуществить такую подделку можно по-разному:

— изменив информацию, имеющуюся на магнитном носителе;

— изменив информацию, эмбоссированную (выдавленную) на лицевой стороне;

— проделав и то, и другое;

— подделав подпись законного держателя карточки.

При подделке подписи используется несколько вариантов, но при этом учитывается то, что стереть образец подписи нельзя, так как при попытке это сделать в поле подписи проступит слово VOID — «недействительна». Поэтому ее часто просто закрашивают белой краской.

Один из самых опасных приемов подделки пластиковых карточек — производство полностью фальшивых карточек. Наибольшее распространение метод полного копирования получил в некоторых странах Юго-Восточной Азии. Такой способ чаще всего используется организованными преступными группами, в которые, как правило, входят работники ресторанов и иных сервисных заведений. Последние используются для сбора информации о кредитных карточках, которые попадают им в руки при оплате ресторанных и иных услуг.

Кредитная информация, используемая при изготовлении поддельных кредитных карточек, может собираться в различных странах мира. Наиболее часто используются данные из Канады, Соединенных Штатов Америки, стран Европы, а также из азиатского региона.

Операции с украденными или утерянными картами

Мошенническое использование украденных кредитных карточек остается наиболее распространенным преступлением. Методы противодействия кражам и мошенническому использованию пластиковых карточек совершенствуются годами, однако в настоящее время компании предпочитают выпускать недорогие карточки с целью уменьшения суммы возможных убытков от их незаконного использования. Когда суммы убытков резко возрастают, компании предпринимают усилия по введению новых мер безопасности.

В случае похищения карточки при пересылке ее по почте особенность мошенничества заключается в том, что владелец не знает об утрате карточки. Предотвратить хищение при этом способе мошенничества очень сложно.

Преступники располагают многочисленными способами использования украденных карточек. Организованные преступные группы платят от 100 до 500 долларов США за украденную карточку в зависимости от того, подписана она или нет, как давно украдена, находится ли она в списках украденных, как долго она использовалась законным владельцем, вычерпан ли лимит, есть ли дополнительные документы, удостоверяющие личность.

Здоровеньки булым, гарнiй
хлопец. Если ты часто себя спрашиваешь :" Ну че
за хрень, да где же эти кардеры берут номера
кредиток. %=( Значит, эта статья для тебя!

Способ 1. Этот способ
основан на уязвимости в OnLine магазинах. Наверно
многим хочется поиметь чужие кредитки, владельцы
которых пользуются ими в он-лайн шопах. Ну что
ж. у вас есть такая возможность! Для этого вам не
придётся ухищряться, делая свой порносервер и
что-либо ломать. Достаточно просто зайти
какой-нибудь известный поисковик (я бы
посоветовал тебе www.altavista.com
или www.yahoo.com, но можешь
пользоваться и другим) и ввести пару волшебных
слов. Какие именно?! Хмм. давайте посмотрим =).
Многие админы оставляют открытыми такие
директории:

/orders
/Order
/Orders
/order
/config
/Admin_files
/mall_log_files
/PDG_Cart
PDG_Cart/order.log
PDG_Cart/shopper.conf
/pw
/store/customers
/store/temp_customers
/WebShop
/webshop
/WebShop/templates
/WebShop/logs

В директориях подобного рода содержатся файлы
типа:

orders.txt
order.txt
import.txt
checks.txt
order_log
order.log
orders.log
orders_log
log_order
log_orders
temp_order
temp_orders
order_temp
orders_temp
quikstore.cfg
quikstore.cgi
order_log_v12.dat
also order_log.dat
web_store.cgi
storemgr.pw
admin.pw
cc.txt
ck.log
shopper.conf
Так же нужно смотреть *.cfg, *.pw и *.olf файлы

Хех. вроде бы и всё, что нужно знать =). Ложишь
пальцы на клаву и нервно стучишь в поисковую
строку нечто на подобие «Index of /orders.log» и жмёшь
ENTER. Что дальше?! А дальше вам стоит просто
терпение и перебор нужных ссылок. а потом
проверка полученых кредиток =). Вот так вот плохие
люди (ака редиски =) имеют ваши креды.

Способ 2. Делаем
порносайт :)))! Да-да именно порносайт. Идея в чем ?
Много раз ты видел в сети кучу сайтов, которые
предоставляют тебе доступ в каталог с порнушкой
после того как ты заплатишь N-ую сумму по
кредитке. Тебе влом делать такую пагу? Но ради
сотен кредиток тебе стоит этим заняться, тем
более что пага будет левая, те не надо заливать
туды тысячи картинок. Делаем крутую начальную
страницу, желательно на флеше и без фреймов(так
юзеры любят:)), и страницу для бесплатного
доступа(free trial), залив туда штук десяток крутейших
качественных фоток, которые не нужно брать с
таких известных и крупных сайтов как www.sex.com, www.porno.com, етц., потом
заделываем регистрацию для получения от
ламеров/юзеров номеров их кредиток и инфы,
которая необходима для того чтобы эти бабки с
креды слить. Всосал фишку? Все просто как
задница. И делов то на 2 часа ! При этом слезно
обещаешь юзверю, что пароль для доступа ты
пришлешь через 2 часа, и вот тебе еще и мыло,
которое ты можешь продать в большом количестве.
Двойная выгода. Ясен перец, что пароль ты не
пришлешь, но зато пришлешь уведомление о том, что
сайт временно не работает:))!

Читайте также:  Бесплатные конструкторы приложений для андроид

И запомни фишку, не загибай цен,
а креды проверяй для того чтобы знать, что юзер
довольно половозрелое существо (то бишь
совершеннолетний), так многие делают ! Надеюсь ты
все уяснил? И запомни : НЕ ЖАДНИЧАЙ ! Если будут
какие-либо вопросы, пиши: webmaster@zlob.org,
постараюсь ответить!

Способ 3. С помощью 2
способа ты получишь минимум кред. Порносайт плох
тем, что вряд ли вам удастся создать что-то такое,
на что народ бы валом попёр, т.к. то, что можно было
придумать новаторское в этой области, давно
придумано, да и народу, который на порносайты за
деньги валит, сравнительно немного. и ламерков
(юзеров, программеров, хакеров, системных
администраторов — подчеркнуть нужное), которые
пытаются денег нагрести, полно, а после
публикации в «Хакере» количество оных, я
думаю, увеличится ещё раз в 5−10 раз =)))).
Чтобы выделиться на общем фоне, надо прибегать
к-чёрт-знает-каким-напрягам, да и вообще подумай:
надо ли тебе это.

Есть идея получше: открыть свой
е-магазин =))))))))), без всяких шуток!=).
Итак, фишка заключается в том, что можно
предложить народу любые продукты (только не
варенье и не тампаксы =)))), по ценам ниже рыночных
=). Как это сделать? Да очень просто: мы только
предлагаем, но ничего не продаём. Чувствую, что
окончательно тебя запутал =). Давайте приведу
пример: создаём сайт по продаже
супер-пупер-мега-дрюпер-компов по цене в 400
вечнозеленых =)(ну, ест-но, покупка по кредам, и
тэдэ, и тэпэ), после некой рекламы про
супер-низкие цены к нам приходит человек, и, видя
данную картину, естественно желает прикупить
парочку данных компов. Далее, он покупает их по
креде, которая и приходит к нам на е-маил, а через
дня два ему посылается письмецо с содержанием:
Компания супермега компы Inc. крупно извиняется,
но не может выполнить данную услугу в данный
момент, или что-то в этом духе. И вот у вас креда в
руках, творите что хотите, но особенно не
зарывайтесь=).
Так же можно продавать буржуям продукты питания,
так как там, где солнце светит наглой мордой,
покупки через интернет делают в основном
домохозяйки.

Способ 4. Можно найти в Интернете список
работающих кредиток. Где? Ну, например, на
каком-нибудь сайте хакерской группы(на www.zlob.org кредиток нет — прим.
автора:)). Вроде, на www.carder.org
хотят сделать такой раздел.

Способ 5. В больших супермаркетах
принимают к оплате кредитные карты. После того,
как покупатель прошел через кассу у него на руках
остается чек и «Слип». Так вот многие люди
просто выкидывают его в урну. Стоит поошиваться
около мусорки и у тебя на руках остается почти
настоящая кредитка. Кстати подходят только
карточки Visa, MasterCard и AmericanExpress(aka Amex). (это обычно
пишется на слипе.)

Способ 6. Попросить у друга-официанта
незаметно переписать номер кредитки и
дать/продать тебе.

Способ 7. Взломать какой-нибудь web-shop и
скоприовать файл или лог с кредиками. Способ
имеет большой недостаток. Необходимо быть крутым
хакером, а этим наделены немногие.

Способ 8. Купить кредитку в банке (как
сам понимаешь, отпадает в связи с тематикой
данной статьи 🙁 )

Ну все, если ты знаешь еще какие-нибудь способы,
пиши мне на мэйлбокс.

Примечание: только не надо меня бомбить письмами
с просьбой дать реальных номеров кредитных карт,
все равно не дам, да и не знаю я что такое кредитки
и вообще я боюсь компьютеров:))

З.Ы. Спасибо ХыР-у за помощь в написании статьи!