можно ли взломать карту по чеку
Нет времени объяснять, блокируй карту! Четыре способа снять ваши деньги без подтверждения по СМС
Треть россиян в возрасте до 25 лет постоянно пользуются бесконтактными платежами, а 2% граждан страны вообще отказались от наличных, свидетельствуют данные «Левада-центра». Картой удобно расплачиваться в продуктовых и в транспорте, ее можно привязать к медиасервисам и такси, запланировать платежи по коммуналке. Но есть и оборотная сторона медали. О ней 66.RU рассказал Артем Трофимов, специалист по безопасности карт в банке для предпринимателей «Точка».
Как могут украсть деньги?
В банковской сфере есть понятие «скомпрометированная карта». Это карта, полный номер которой, код CVV2 или CVC2 и другие данные стали общедоступны или попали в руки мошенников. Этих данных может быть достаточно, чтобы банк предоставил доступ к вашим деньгам. Узнать о том, что карта скомпрометирована, практически невозможно, пока ею не воспользовались без вашего ведома.
Как это может произойти? Если мошенник знает номер карты и CVV2 или CVC2, он способен совершать операции в интернет-сервисах, которые не поддерживают или намеренно не используют технологию 3D-Secure. Проще говоря, не отправляют вам одноразовый пароль, чтобы подтвердить, что покупку оплачивает именно владелец карты, а не кто-то другой.
Проверять ли личность покупателя с помощью 3D-Secure или нет, решает онлайн-продавец, а не банк, выпустивший карту. Некоторые компании осознанно проводят часть операций без этой технологии, чтобы упростить покупки для клиентов.
Интернет-магазин AliExpress сознательно отказался от 3D-Secure. Первые несколько операций там будут подтверждаться одноразовым кодом. Когда в магазине убедятся, что учетная запись не мошенническая, вам позволят совершать сделки без 3D-Secure, чтобы покупатель не делал лишних движений и не передумал после того, как ему придет СМС с паролем для подтверждения операции. Таким образом, в AliExpress самостоятельно решают, когда использовать 3D-Secure, а когда нет.
AliExpress — лишь пример того, как можно оплачивать покупки без 3D-Secure, а не место, где реально воруют. Через него практически не крадут деньги.
Агрегаторы Uber и «Яндекс.Такси» тоже не используют 3D-Secure. Мы в «Точке» не видим всплеска мошенничества в Uber, по-моему, это разовые случаи в других банках. Схема, с помощью которой мошенники выводят деньги через сервис, может быть такой. Воры привязывают украденные реквизиты — номер карты и код к ней — к профилю пассажира. Затем создают виртуальный профиль таксиста и «оплачивают» его услуги украденной картой, то есть имитируют поездки, а потом получают возмещение реальными деньгами.
Мошенники крадут деньги у клиентов банков через Uber. Под угрозой счета даже тех, кто не пользуется такси
Примеры с «Хабр»:
Мошенники хотят получить деньги с карты, а не расплачиваться за услуги с помощью украденных данных. Тем более, Booking.com и Airbnb потребуют для такой оплаты документ, удостоверяющий личность. Поэтому найти того, кто жил за чужой счет, не составит труда.
Как защитить данные?
Бережно относиться к реквизитам карт и стараться не компрометировать их. Во-первых, пользуйтесь бесконтактной оплатой через Apple Pay, Google Pay, Samsung Pay и другие сервисы. Они меняют реквизиты пластиковой карты на виртуальные — токен. Токены помогают уберечь реквизиты от третьих лиц. Даже если информацию токена узнают, она будет бесполезна, потому что в каждой транзакции используются зашифрованные динамические данные. Не за горами использование таких же токенов и при оплатах в интернете по технологии EMV® Secure Remote Commerce.
Если вы подозреваете, что карта скомпрометирована, сразу блокируйте ее с помощью звонка или письма в банк. После этого никто не сможет потратить деньги со счета, даже зная пин-код, CVV2 и другие данные.
Что делать, если деньги украли?
Срочно сообщите об этом банку. Тогда вы с большой вероятностью сможете опротестовать мошеннические операции, особенно когда 3D-Secure не использовался. Это плюс карт по сравнению с наличными, которые воры вам вряд ли вернут.
Даже если оспорить покупку или перевод не выйдет, есть возможность заморозить ваши деньги на счетах мошенников, чтобы впоследствии вернуть их по требованию правоохранителей.
Редакция 66.RU благодарит банк для предпринимателей «Точка» за помощь в подготовке материала.
Мошенница пытается выманить код из смс для «подключения услуги»
Мы постоянно твердим, что код из смс никому говорить нельзя. Тем приятнее видеть, как это знание спасает деньги.
Вот несколько признаков, что звонок от мошенников:
Чтобы не слушать разговор — вот что там произошло
Читателю на мобильный поступил входящий звонок с неизвестного городского номера. Девушка представилась сотрудницей известного банка, обратилась по имени и отчеству и предложила рассказать про специальные предложения от банка.
Сначала она предложила бесплатно увеличить кредитный лимит по карте — читатель отказался. Сразу поступило второе предложение: подключить бесплатную услугу, которая уменьшает ставку по кредитной карте, если не погасить задолженность в беспроцентный период. На это предложение читатель согласился, и сотрудница начала «подключение» услуги.
После этого банк отправил на телефон клиента смс с кодом. Мошенница представила все так, будто это код для подключения услуги: она попросила сообщить этот код и произнести слово «подключить». Конечно, не ей, это небезопасно. Система переключит разговор на робота. Он-то уж точно не станет использовать полученную информацию во вред клиенту.
В результате мошенникам удалось выманить номер паспорта, но код из смс читатель не сообщил — это и спасло его деньги.
Как мошенники завоевали доверие
Во время разговора мошенники убедили читателя, что звонят из банка, и расположили его к общению. Вот как им это удалось.
Обратились по имени и отчеству. Мошенники в начале разговора обратились к нашему читателю по имени и отчеству и, по его словам, этим завоевали его доверие. Кроме того, они знали последние четыре цифры номера карты, которые упомянули в специальном предложении. У читателя создалось впечатление, что такая информация может быть только у банка — а значит, звонит настоящий сотрудник.
Но чтобы узнать эти данные о владельце карты, достаточно номера телефона. В 2019 году Банк России запустил систему быстрых платежей, СБП, которая позволяет переводить деньги между разными банками по номеру телефона. Перед отправкой платежа система подскажет имя получателя — для проверки, чтобы деньги ушли по адресу.
Но не всем можно перевести деньги через СБП. Чтобы выполнить перевод, оба банка — отправителя и получателя средств — должны подключиться к системе, а оба клиента должны разрешить перевод через систему в интернет-банке или мобильном приложении. Когда клиент банка подключил свой счет к СБП, узнать его имя по номеру телефона может любой пользователь системы, даже если их счета открыты в разных банках.
В приложении Тинькофф-банка при переводе по номеру телефона видны имя и первая буква фамилии. Видны счета и в других банках
Мошенница знала последние четыре цифры номера карты. Узнать номер карты сложнее, чем имя и отчество, но тоже возможно. Некоторые банки при переводе своему клиенту по номеру телефона сообщают больше информации. Например, при переводе по номеру телефона внутри Сбера приложение кроме имени покажет еще и часть номера карты. Полный номер таким способом узнать не получится, но последние четыре цифры приложение показывает.
Скорее всего, мошенники перебором номеров нашли данные читателя. Они не были нацелены на конкретного человека и собирали базу для обзвона из тех номеров, для каких смогут узнать данные владельца. Получив имя и отчество, мошенники звонят по этому номеру телефона от имени банка, в котором нашелся счет.
Есть и другие варианты. Возможно, мошенники воспользовались одной из нелегальных баз данных. Или у них есть свой человек в банке.
Иногда через приложение банка можно также узнать номер счета другого клиента по его номеру мобильного. В любом случае, если звонящий знает ваше имя и какие-то личные данные, это не гарантия, что вам звонит сотрудник банка.
Сбер по номеру телефона для своих клиентов показывает имя, отчество, первую букву фамилии и часть номера карты
Услугу для снижения ставки, на которую согласился наш читатель, назвали частью премиального пакета. Клиент может подумать, что такие пакеты предлагают только лучшим, — так мошенники усыпляют бдительность и отключают логику. При слове «бесплатно» бдительность отключается еще быстрее.
Скорее всего, в арсенале мошенников есть и другие «услуги», которые они предлагают в зависимости от ответов жертвы. Главное, чтобы разговор продолжился.
Для сообщения кода из смс переключают на «автоматизированную систему». По версии мошенницы, это нужно для безопасности: людям сообщать этот код нельзя, а роботам — пожалуйста. Конечно, это бред: перевод звонка на «робота» легко сымитировать, клиент никак такое не проверит. Мошенник продолжает слушать жертву, заходит с помощью кода в ее интернет-банк и крадет деньги.
Самозащита от мошенников
Что еще настораживает в разговоре
Читатель не почувствовал подвоха в начале разговора и спохватился только на последнем этапе — когда мошенники попросили код из смс. Это главный признак, по которому можно определить мошенников. Номер телефона тоже не так важен: сотрудники банка могут звонить с разных номеров, а мошенники научились подменять номера.
Но в разговоре нашлось еще несколько подозрительных признаков.
Посторонний шум. Сотрудники банков обзванивают клиентов с рабочих мест в офисе или из колцентра. Обычно при таких разговорах не слышно постороннего шума или чужой речи. Мошеннические колцентры часто выдает шум или голос соседнего оператора: банк вряд ли организует работу колцентра так, что клиент через телефон сможет услышать информацию о другом клиенте.
В случае с читателем мне показалось, что «сотрудница банка» звонила из детского сада: на фоне громкий детский голос и крики. Во время пандемии многие работодатели разрешили сотрудникам работать из дома, но банки обычно выдвигают требования к рабочему месту, особенно для общения с клиентами. Например, большинство операторов Тинькофф-банка и до пандемии всегда работали из дома, но по требованиям им нужна гарнитура с микрофоном и тишина в комнате.
Неграмотная речь собеседника. Сотрудников колцентра в банке учат правильно произносить слова, а руководители проверяют их работу по записям звонков. Банк вряд ли оставит на работе оператора, который неграмотно общается.
В записи разговора с читателем «сотрудница банка» говорила неуверенно: очень торопилась, часто оговаривалась и не знала, как отвечать на вопросы, поэтому придумывала ответы на ходу. А чего стоят «кредитные средства» с ударением на последний слог!
Запрос персональных данных. Когда сотрудник банка звонит клиенту, он уже знает его персональные данные, ему не нужно спрашивать. Кодовое слово, полное имя и номер паспорта могут спросить для идентификации, только если звонит сам клиент. А для подключения услуги или смены тарифа обычно хватает устного согласия.
Если не уверены, что разговариваете с сотрудником банка, попросите его добавочный номер и перезвоните по номеру банка, указанному на карте. Если связаться через добавочный невозможно, уточните информацию у оператора и примите решение позднее, а для подключения услуги перезвоните в банк.
Что делать, если сообщили код мошенникам
У героя этой статьи все кончилось хорошо: он не сообщил код из смс. Вместо этого он завершил звонок и перезвонил в банк по номеру с карты. Специалист проверил последние операции по карте и убедился, что мошенники не смогли получить доступ к деньгам.
Если сталкивались с другими разводами, пишите. Прищуримся.
Человек с терминалом, или Снова про бесконтактные платежи
Может ли злоумышленник украсть данные карты или деньги, незаметно используя бесконтактные NFC-платежи?
Тема безопасности бесконтактных платежей, основанных на технологии NFC, продолжает будоражить общественность. Исследователи во всем мире пробуют эту технологию «на прочность», проверяя, не слишком ли мы все беспечны, таская карточки в карманах рюкзаков и сумочек. Что можно потерять — только данные карточки или, быть может, и деньги тоже, невзирая на все меры безопасности?
Тема-то потенциально серьезная. Мои коллеги по работе уже писали об этом не так давно. Изменилось ли что-то за полгода?
Незаметное считывание
Опыты показали, что стандартные приборы для бесконтактной оплаты: телефоны, PoS-терминалы и тому подобное — действительно работают только на ОЧЕНЬ маленьком расстоянии. Получается, что злоумышленники, конечно, могут извлечь какие-то данные вашей карты, но шанс маленький. К тому же требуются довольно недвусмысленные действия, которые можно заметить со стороны. Считыватель, спрятанный в кармане куртки, тут не поможет…
Преступники научились похищать деньги с карт при помощи смартфонов с поддержкой NFC или самодельных терминалов: https://t.co/mniTlYdWu6
…При условии, что он стандартный. Из не слишком дорогого набора деталей исследователям удалось собрать комплект, позволявший «подслушивать» транзакции и считывать данные карты на расстоянии до 45 см. Набор, правда, включал в себя рюкзак и тележку из супермаркета, в котором, собственно, и проводился опыт. В общем, с нестандартным считывателем шанс получить данные карты сильно возрастает, но требуется крупногабаритное оборудование.
Несколько интереснее выглядело заражение троянцем Android-телефона с NFC-модулем. В варианте «храню телефон и деньги у сердца» картина вырисовывалась не слишком приятная: считать карты в таком случае гораздо легче, а главное — никто и не заметит. При желании злоумышленники могли бы установить связь с другим телефоном через сотовый канал связи и, пользуясь таким своеобразным «удлинителем», даже купить что-то на сумму менее тысячи рублей — в пределах ограничения «беспиновой» мини-транзакции. Очень хлопотный и неудобный способ, но вроде как реалистичный.
Пока Apple Pay воюет за место под ритейловым солнцем, в Чили взломали платежную систему на базе NFC: http://t.co/RypZavxCnD
Однако за прошедшее с момента публикации исследования время мне так и не удалось обнаружить ни одного подтвержденного случая успешного «удаленного» покушения на NFC-карты.
Данные…
Многочисленные исследования показали, что хакеру с его супермощным считывателем проще всего частично получить данные карты: номер и дату истечения срока действия плюс некоторую информацию о нескольких последних транзакциях. Маловато для чего-то серьезного? В целом скорее да. Однако исследователи из Which?, например, смогли обнаружить магазин, где полученных данных хватило, чтобы совершить покупку, заметно превышающую лимит «мини-транзакции», не требующей PIN.
Несколько более сложный путь данные карты могут проделать, попав в базу данных торговцев-кардеров, чтобы потом, в не вполне обозримом будущем, возможно, стать частью некой теневой операции. С вышеупомянутым набором данных вероятность неприятностей по этой схеме несколько меньше, но ничего хорошего этот сценарий точно не обещает.
Безопасны ли бесконтактные платежи и можно ли украсть деньги с соответствующих карточек: https://t.co/7o4giKbQle pic.twitter.com/wVJdxpqD00
Простейший вариант — вам звонит по телефону некая девушка «из банка» и с целью проверки/расследования инцидента/по другой очень убедительной причине просит вас назвать дополнительные данные карты, достраивая существующий набор до более полного. Понятно, что на самом деле барышня не из банка, потому что настоящие представители банков никогда так не делают.
…или деньги?
Обычных людей больше всего пугает то, что с их карты могут в теории снять деньги, используя функцию «мини-транзакции», когда для списания денег не нужно вводить PIN-код. Считать, конечно, можно — были бы терминал, способный проводить бесконтактные транзакции, и возможность подобраться с ним поближе к карте.
Но тут мы вплотную подходим к тем мерам безопасности, которые даже старше портативных терминалов. Каждый кассовый аппарат с давних времен регистрировался — как минимум в налоговой инспекции. С появлением системы электронных платежей каждый терминал (если это независимый терминал, а не PoS-система) регистрируется при заключении договора с банком-эквайером.
Паспорт и прочие подтверждения сущности/личности фирмы/продавца — обязательны. Без этого денежные взаимоотношения между покупателем и торговцем (по сути, эквивалентные безналичному обмену между банком торговца, банком-эквайером и банком, выдавшим карту покупателю) просто невозможны.
Любая мошенническая транзакция, будучи опротестованной, может быть отслежена до терминала, с которого она была инициирована, и его владельца. Соответственно, опротестованная транзакция отменяется, деньги возвращаются, а владельцем терминала начинают плотно интересоваться компетентные органы.
Тут, однако, начинается серая зона.
Что, если…
Отличная статья на РБК про то, как вернуть украденные с банковской карты деньги: http://t.co/kdbGGC9txg pic.twitter.com/xV5oUUVBfd
При желании можно придумать еще обстоятельства, чаще всего связанные с тем, что кто-то недостаточно тщательно выполняет свою часть действий, обеспечивающих безопасность платежа. Будьте внимательны к тому, с кем именно вы имеете дело, и всегда досконально выясняйте, каковы условия, на которые вы подписываетесь.
Что касается фирм, зарегистрированных на чужое имя, то, мне кажется, подобного рода мошенничество организуется ради гораздо более серьезных операций, нежели попытка увести с чужих карт несколько десятков тысяч рублей, которые попросту не окупят криминальные вложения.
Пять уроков, которые стоит извлечь из взлома кредитной карты: http://t.co/I3SUisoZgR Рекомендуется всем, кто пользуется «пластиком».
Ах да, есть еще вариант с незадачливым курьером, потерявшим терминал. Но он не для преступников: вывести деньги со счета фирмы, на которую зарегистрирован терминал, можно только, например, взломав электронный банк. И зачем тогда, спрашивается, вообще красть терминал?
Что делать-то?
Да и надо ли вообще что-то делать? Каждый решает сам. Просто помните, что эксперимент, требующий рюкзака и тележки из супермаркета, завтра может стать реальностью.
Вот что я решил для себя:
Мошенники научились красть деньги с банковских карт в обход защитного кода из СМС
Мошенники, ворующие деньги со счетов и банковских карт россиян, научились красть финансы, обходя главный защитный барьер банков — код, посылаемый клиентам в СМС при оформлении любой операции. Их жертвы узнают об украденных средствах только после того, как решают проверить свой баланс.
Мошенники научились красть деньги с банковских карт в обход защитного кода из СМС
Одной из жертв новой мошеннической схемы стала жительница Москвы Марина Зайцева. Злоумышленники взломали её приложение «Сбербанк онлайн» и она обратилась в службу безопасности с требованием заблокировать все свои счета.
Сотрудники банка отчитались о закрытии карты, но всего через несколько минут женщина получила уведомление об оплате её картой заказа на сайте «Беру.ру» на сумму в 51 тысячу 990 рублей. При этом код для подтверждения оплаты она не получала.
Повторно обратившись в службу безопасности москвичка выяснила, что её карта не была заблокирована и деньги действительно были списаны. Обращение в сервис «Беру.ру» также не помогло Марине. Ей посоветовали обратиться в полицию. Работница «Беру» пыталась отменить заказы, сделанные с карты пострадавшей, но этого ей сделать не удалось.
«Она просит вдруг неожиданно меня подождать и через пять минут сообщает, что она ошиблась! И она не видит эти заказы, которые она видела только пять минут назад и, более того, начала их отменять!», — цитирует Зайцеву канал «360tv».
Схожая история произошла с 69-летним пенсионером Евгением, в «Сбербанк онлайн» которого преступники попали с нового номера телефона. Они добавили свой номер в список отправки уведомлений об операциях по кредитной карте мужчины, отключив отправку сообщений хозяину кредитки.
Он не сообщал никому данные своей банковской карты, используя её только для оплаты парковки. Тем не менее Евгений уверен, что хакеры взломали его приложение с помощью номера карты, поскольку они свободно продаются в даркнете, а определить срок её годности и CVV-код современные мошенники могут без особого труда.
Преступники попытались списать с кредитной карты пенсионера 88 тысяч рублей, но им удалось вывести только часть этой суммы — помешал ежедневный лимит. А сам Евгений никаких уведомлений не получал и узнал о произошедшем только через несколько дней.
«Сейчас счета заблокированы, я ничего не могу сделать. А там же большие проценты капают за пользование кредитными деньгами. А проценты, как я понимаю, они сейчас с удовольствием в свой карман считают», — сказал он в интервью «360tv».
Пресс-служба Сбербанка никак не прокомментировала эту информацию.
Близкие контакты. Как хакеры крадут деньги с банковских карт
Содержание статьи
О том, как работают сами системы безопасности карт, ты можешь узнать из предыдущей статьи.
Все способы мошенничества с банковскими картами можно разделить на две категории. Первая — массовые и хорошо известные. Вторую часто называют «белыми китами»: это инциденты, которые случаются раз в 5–10 лет, заканчиваются катастрофой для атакуемых и многомиллионными прибылями для атакующих и поэтому привлекают к себе очень много внимания со стороны прессы и регуляторов. В любом случае основной критерий успеха у кардеров и им подобных жуликов — массовость и простота. Если мошенническую схему легко воспроизвести тысячи раз — это залог финансовой победы над банковской системой и грядущей популярности выбранного метода.
Самые распространенные типы мошенничества
Начнем с атак, с которыми платежным системам и банкам приходится иметь дело регулярно.
Платежи без 3-D Secure
Первое место по распространенности среди мошеннических схем занимают платежи в интернете — они совершаются по схеме card-not-present. В связи с их массовостью платежные гиганты изобрели дополнительный динамический фактор – код 3-D Secure.
Что такое 3-D Secure
3-D Secure — схема дополнительной авторизации онлайновых платежей, использующая три сущности‑домена (отсюда и название 3-Domain Secure): домен интернет‑магазина принимает данные об оплате и переадресовывает пользователя на домен платежной системы, где вводится одноразовый код. Далее результат отправляется на третий домен банка‑эквайера, он сверяет этот код и отправляет запрос, который подтверждает или опровергает транзакцию обратно по цепочке интернет‑магазину.
3-D Secure отлично помогает от массовых мошеннических схем. Однако часть магазинов, в том числе крупных, таких как «Амазон», до сих пор не готова работать с 3-D Secure, который, по их мнению, уменьшает конверсию. А международные платежные системы и не настаивают! Лучше тратить больше — это их девиз. Текущие правила платежей гласят, что, если карта поддерживает 3-D Secure, а магазин эту технологию не поддерживает, в случае опротестования платежа финансовые риски лежат на магазине. Если 3-D Secure не поддерживает карта — на банке‑эмитенте. Поэтому по всему миру голодные мошенники ищут магазины, которые не требуют 3-D Secure.
Иногда это можно воспринимать буквально: в 2018 году в Великобритании выявили одну из мошеннических схем. Злоумышленники опубликовали в социальных сетях объявления о пятидесятипроцентной скидке на доставку пиццы одного крупного бренда. Этот бренд не использовал при оплате 3-D Secure, и платежи выполнялись по купленным на различных маркетах украденным картам. Это давало злоумышленникам выручку в 50% от суммы каждой проданной пиццы. Схема проработала несколько месяцев, прежде чем ее прикрыли.
Атака клонов
Второй по популярности вид мошенничества — создание клона магнитной полосы карты. Он до сих пор остается одним из самых распространенных методов атак на операции с физической картой (так называемые card-present transactions). Как ты знаешь, магнитную полосу чрезвычайно просто клонировать.
К отдельным видам киберпреступлений стоит отнести использование специализированного вредоносного ПО. Атака должна быть легко повторяема и хорошо масштабируема. Именно поэтому злоумышленники заражают устройства, на которых используются тысячи карт каждый день, — операторские машины в крупных супермаркетах.
Так как вся инфраструктура, использующая платежный терминал (POS, Point-of-Sale), называется POS system, то и разновидность этих вредоносов носит название POS malware, несмотря на то что сами POS они заражать не в состоянии. Вместо этого атаке подвергается сама операторская машина — кассовый аппарат (cash register).
В 2013 году американская сеть магазинов Target подверглась крупнейшей атаке. В ней преступники использовали еще не особенно популярную тогда схему «компрометация цепочки поставки». После заражения одного из подрядчиков злоумышленникам удалось проникнуть в сеть супермаркетов, скомпрометировать весь домен Windows и проникнуть в операционную систему непосредственно на кассах. На этих системах запускались так называемые RAM-scraping-трояны, которые сканировали память в поисках паттернов треков магнитной полосы. Когда треки обнаруживались, троян пересылал их на установленный во внутренней сети C&C-сервер, который дальше уже отправлял эту информацию во внешнюю сеть.
Для создания копии магнитной банковской карты потребуется несколько секунд и специальный ридер, купить который можно на Amazon. Далее злоумышленники создают клон и идут с ним в магазины в Америке или Европе. Дампы банковских карт свободно продаются и покупаются на многочисленных хакерских форумах.
Почему же клонированные магнитные карты до сих пор так популярны, несмотря на то что практически все они сейчас оснащены чипом? Все проще простого: во многих американских магазинах до сих пор можно расплатиться картой, оснащенной чипом, просто проведя транзакцию с использованием магнитной полосы. В последние 5–10 лет это, как ни странно, самый отсталый рынок, из‑за которого магнитная полоса до сих пор присутствует на банковских картах.
Если же платежный терминал вдруг откажется принимать магнитную полосу сразу, есть схема, работающая в обеих Америках и Европе, — technical fallback. Эта техника заключается в том, что злоумышленник трижды вставляет в банкомат или терминал карту с несуществующим чипом и после третьей неуспешной попытки чтения терминал точно предложит провести операцию по магнитной полосе.
В любом из этих случаев ответственность по правилам лежит на магазине, выполнившем такую высокорисковую операцию. Тем более платежные системы, такие как MasterCard, чтобы избежать имиджевых рисков, рекомендуют отклонять транзакции, пришедшие в режиме technical fallback. Никому не хочется выяснять, была ли на самом деле у клиента украдена карта, или он просто захотел не тратить деньги и объявить о мошеннической операции. Еще меньше хочется объяснять разозленным клиентам, почему по их картам купили телевизоры за тысячи долларов и в сотнях километров от их реального местоположения.
А что в России?
В России терминалы не должны принимать к оплате магнитную полосу, если карта оснащена чипом. И даже technical fallback должен быть под запретом. Однако есть неприятные исключения. На подпольных форумах недавно обсуждали, что сеть «Ашан» имеет терминалы, принимающие операции по technical fallback. В любом случае, даже если хакеры не могут использовать русские карты в России, им никто не мешает продавать эти данные другим хакерам в Европе или Америке для дальнейшей монетизации.
Офлайновые транзакции по чипу и атаки на аутентификацию
По правилам современных платежных систем 99,9% операций по картам должны совершаться онлайн — с подтверждением криптограммы на стороне банка‑эмитента. Исключения — это метро, оплаты в самолетах и на круизных лайнерах. То есть там, где интернет доступен с перебоями либо нет возможности подолгу ждать ответа от банка‑эмитента, как, например, у турникетов метро. Да и когда создавались протоколы EMV, множество платежных систем работало в офлайне по так называемым Floor limit — операции выше этих лимитов должны были подтверждаться онлайн, а ниже — проходили в локальном режиме, то есть подтверждались самим терминалом. Еще 5–10 лет назад количество таких терминалов, особенно в странах Латинской и Северной Америки было достаточно велико, чтобы массово пытаться атаковать недостатки офлайновой аутентификации карт.
Белые киты
Именно для защиты от массового и простого мошенничества когда‑то были изобретены карты с чипом и подтверждение транзакций с помощью кода 3-D Secure. Эти методы защиты не идеальны, у них были свои проблемы, о которых эксперты предупреждали с самого начала. Однако такие карты до сих пор не удается массово взламывать, а когда атака получается, она больше похожа на блицкриг — все происходит в считаные дни или часы. Небольшая группа злоумышленников получает максимум прибыли и исчезает с горизонта. Именно поэтому каждый случай или новая схема вызывают у экспертов большой интерес.
Такие случаи мы будем называть белыми китами. Это инциденты, которые случаются раз в 5–10 лет, заканчиваются катастрофой для атакуемых банков и многомилионными прибылями для атакующих и поэтому привлекают к себе очень много внимания со стороны прессы и регуляторов. Я расскажу о нескольких видах подобных атак, чтобы наглядно проиллюстрировать фундаментальные недостатки технологий карточных платежей.
Распределенные атаки на подбор карточных реквизитов
Такие атаки часто называют BIN Master attack или distributed guessing attack. Эти названия они получили благодаря самому громкому случаю, который произошел в 2016 году. Тогда английский банк Tesco подвергся распределенной атаке такого масштаба, что им пришлось выключить карточные платежи на 48 часов. За несколько дней злоумышленникам удалось украсть 22 миллиона фунтов с 20 тысяч карт. Как уже упоминалось, эти данные легко могут использоваться для оплаты в интернет‑магазинах, не оснащенных 3-D Secure. Однако тут есть нюанс: в 2018 году регулятор оштрафовал банк на 16 миллионов фунтов за атаку 2016 года, — скорее всего, это указывает на то, что сами карты не были оснащены 3-D Secure.
Правила, называемые 3-D Secure Liability shift, определяют ответственную сторону в случае мошеннических операций: если банк не оснащает карты 3-D Secure, ответственность за мошенничество лежит на банке. Если карты, оснащенные 3-D Secure, используются, например, в Amazon, где данная технология не применяется, ответственность лежит на интернет-магазине.
Как хакеры подбирают полные реквизиты карт?
Предположим, у нас есть одна карта — наша. Ее номер состоит из нескольких частей. Первые шесть цифр называются BIN — bank identification number. Один и тот же BIN при этом может принадлежать более чем одному банку, кроме того, у банка может быть несколько BIN Range. Однако это главная отправная точка, от которой и пошло название атаки. Последняя цифра также вычисляется по алгоритму контрольной суммы «Луна».
Предположим, наша карта имеет номер 1234 5678 1234 5670. Следующая карта из этого диапазона, согласно алгоритму, будет заканчиваться на 5688, затем 5696 и так далее. Есть ненулевая вероятность того, что карты 5688 и 5696 существуют и активны.
Теперь необходимо выяснить значение поля Expiry Date. Если банк выдает номера карт последовательно, то, значит, следующий клиент банка, которому выпустили карту после тебя, будет обладать номером 5688. Если банк большой и открывает сотни карт каждый день, скорее всего, поле Expiry Date совпадет с таковым на твоей карте либо будет отличаться на один месяц. Для защиты от подобного подбора значений платежные системы рекомендуют внедрять рандомизацию PAN — выдавать их не последовательно, а случайно. Тогда хакерам будет сложнее узнать Expiry Date карты 5688.
Но нерешаемых задач нет. Существует множество банковских сервисов, которые помогают подобрать связку полей PAN / Expiry Date. Среди них — система восстановления пароля или логина мобильного банка, регистрация в системе ДБО, возврат денежных средств в платежном эквайринге.
И наконец, осталось угадать три цифры с обратной стороны карты — CVV2/CVC2. В конце 2014 года, когда исследователи из Университета Ньюкасла впервые провели анализ атаки на банк Tesco, они обнаружили, что 291 из 400 самых популярных онлайновых сервисов дает возможность перебирать поле CVV2. Это неудивительно: ведь деньги не принадлежат владельцам этих сервисов. Сервис — лишь инструмент для атакующего. Значит, у злоумышленников всегда будет достаточно инструментов для перебора реквизитов банковских карт. Например, в 2019 году подобная уязвимость была устранена в платежном модуле Magento CMS для PayPal.
Другая часто применяемая злоумышленниками разновидность этой атаки — это использование подобранных реквизитов для выпуска мобильного кошелька Google Pay или Apple Pay. Ирония заключается в том, что один из самых громких случаев мошенничества был направлен на сами магазины Apple. Дело в том, что множество банков (опять‑таки в Америке) не требуют дополнительной верификации с помощью одноразового кода или звонка в банк при выпуске мобильного кошелька Apple Pay. Это означает, что, зная только номер карты, срок ее действия и код CVV2, можно выпустить полноценную виртуальную карту, с помощью которой уже можно расплачиваться по всему миру, а не только в США.
Существует еще одно средство защиты платежей категории card-not-present. Оно называется address verification system. В этом случае при совершении платежа платежная система сверяет еще и цифры из почтового индекса и адреса, по которому зарегистрирована карта (postcode / billing address). Такой же системой могут быть оснащены платежные терминалы, поддерживающие метод PAN Key Entry (о нем я рассказывал в прошлой статье).
Заключение
По оценкам Positive Technologies, до 50% банков до сих пор не защищает своих клиентов от подбора значений CVV2 и Expiry Date. Именно поэтому трудяги из стран Латинской Америки так активно занимаются поиском по всему миру карт и банков, уязвимых к данным атакам.
О других «белых китах» карточного мошенничества я расскажу в следующий раз.