Алексей Дубовязов.
Комментарии, 29 апреля 2013 года
Теперь украсть банковскую карточку можно вообще не прикасаясь к ней
Хакеры приняли на вооружение бесконтактные способы воровства
карточек
Скимминг – один из наиболее популярных способов
мошенничества с кредитными картами и воровства персональных данных. По
данным ФБР только в Соединенных Штатах скимминг обходится честным
держателям платежных карт в $8,5 млрд. Но если раньше суть мошенничества
сосредотачивалась вокруг банкоматов, то теперь хакеры приняли на
вооружение бесконтактные способы воровства — дистанционные, негласные и
неотвратимые.
Старая добрая накладка на банкомат
Много ли пользователей знают, как должен выглядеть
«нормальный» банкомат? Если вы увидите, что банкомат, которым вы часто
пользуетесь, поменялся или как-то внешне изменился, придадите ли вы
этому серьезное значение? Этим и пользуются мошенники, эксплуатирующие
один из самых старых и популярных способов выуживания данных о платежных
картах. Считывающая накладка выглядит как «родная» часть банкомата,
позволяет получить наличность, отдает карточку владельцу, но параллельно
копирует её и отправляет копию данных «хозяевам».
Считыватель под одеждой официанта
Вы передаете свою платежную карточку официанту в
ресторане для оплаты счета. На пути к «официальному» POS-терминалу
ресторана официант-мошенник проводит вашей карточкой сквозь портативный
надеваемый считыватель. Затем он проводит официальную оплату счета и
выдает вам чек из POS-терминала, усыпляя тем самым вашу бдительность. Но
к тому моменту, когда вы будете выходить из ресторана, цифровой дубликат
вашей карточки уже будет загружен в подпольный «процессинговый центр»,
где у хакеров есть обширный выбор дальнейших действий. К примеру, можно
отпечатать дубликат «пластика», неотличимый от настоящего, перепродать
ваши личные данные или потратить средства на всевозможные онлайн-платежи,
отследить которые крайне затруднительно.
Ваши данные крадет смартфон
Иногда технологии проявляют свою темную сторону —
облегчая жизнь не только пользователям, но и хакерам. Особенно если
новая технология достаточно «сыра», и её безопасность еще не отработана
должным образом. Тут можно вспомнить ранние модели «умных чехлов» для
смартфонов со считывателем платежных карт под управлением JavaScript.
К примеру, у курьера службы доставки на смартфоне к которому подключен
официальный считыватель карт, также установлена специальная прошивка и
«правильные» приложения, создающее несанкционированную копию данных
карточки в момент официальной оплаты. Если злоумышленники настроили все
корректно, «правильное» приложение мгновенно отправляет цифровой слепок
карты на хакерский сервер, а дальше — как в сценарии с официантом.
Подумай дважды перед тем, как нажать дважды
Есть и менее мудреные способы. К примеру, тот же
курьер-злоумышленник с мобильным POS-терминалом и более простым
приложением. За первый проход карточки информация успешно считывается и
сохраняется, но на экран терминала выдается отвлекающее сообщение в духе
«ошибка чтения карты» или «ошибка связи с банком». Покупатель в
большинстве случаев сам попросит попробовать еще раз. И — о, чудо —
второй раз платеж проходит, через официальный процессинг, с выдачей
чека. Но информация с карточки к тому времени уже в руках мошенников.
Курьер уходит с дежурной улыбкой на устах, а покупатель даже не
догадывается о том, что в действительности произошло.
Бесконтактный грабеж
Наиболее новый и изощренный способ основан на
использовании телефона с возможностями NFC и особого приложения,
имитирующего платежный терминал. Суть действия способа очень наглядно
продемонстрировали канадские журналисты из CBC. Особая угроза этого
способа мошенничества заключается в том, что жертва практически
беззащитна. Если в предыдущих способах в ходе расследования жертва может
показать следователю о том, что в такое-то время приходил курьер с
POS-терминалом, который не сработал с первого раза, то в данном случае
локализовать мошеннические действия практически нереально.
Мы обратились в компанию Visa с просьбой пояснить
механизм такого мошенничества и порекомендовать способы защиты от него,
но комментария так и не дождались.
Как уберечься:
Перед тем как воспользоваться карточкой в незнакомом
месте осмотритесь вокруг и убедитесь что никто не «дышит вам в
затылок» а вы сами не являетесь объектом пристального внимания со
стороны посторонних.
Никогда не позволяйте, чтобы карточкой проводили
через POS-терминал вне вашего поля зрения. Не отдавайте карточку для
оплаты официанту. Требуйте, чтобы терминал принесли к вам, или сами
сходите к нему.
Во время ввода PIN-кода прикрывайте клавиатуру
ладонью — этот, казалось бы, примитивный способ убережет вас от
шпионских камер.
Подумайте о приобретении экранированного чехла для
платежный карт, который предотвращает любое бесконтактное
считывание. Да, это дополнительные затраты и дополнительное
неудобство, но оно может однажды спасти ваши сбережения.
При любом использовании материалов сайта
или их части в сети Интернет обязательна активная незакрытая для
индексирования гиперссылка на
www.aferizm.ru.
При воспроизведении материалов сайта в печатных изданиях
обязательно указание на источник заимствования: Aferizm.ru.