Как злоумышленники крадут данные ваших кредитных карт
#hackandsecurity
Также читайте меня тут: Telegram и Вконтакте
ДИСКЛЕЙМЕР: Статья написана чисто в образовательных целях для повышения знаний в области информационной безопасности.
Как-то раз один мой знакомый был проездом в Амстердаме и ему понадобилось снять наличные. Он дошел до ближайшего банкомата, снял 100 евро и пошел по своим делам. Через пару дней, когда ему нужно было уезжать, он решил купить билет, но оказалось, что денег на карте нет. Мой знакомый позвонил в банк, где ему сказали что он недавно снял все деньги с карты. Естественно он этого не делал, но деньги каким-то образом ушли к третьим лицам.
Если вы еще не поняли, вся проблема кроется в банкомате, с которого снимал наличные мой знакомый. Подобные мошеннические действия называются “кардингом”.
“Кардинг “— это сфера мошенничества, в которой производятся различные манипуляции с кредитными картами или ее реквизитами. Кардинг включает в себя огромное количество разных направлений, уловок и методов. Почти все они сводятся к тому, чтобы завладеть данными вашей карты и узнать пин код.
В этой статье мы рассмотрим некоторые популярные приемы кардинга и поговорим о том, как можно повысить свою безопасность в этом направлении.
Популярные приемы “угона данных” с вашей карты
Начать стоит с того, что кардинг в России и СНГ на сегодняшний день переживает не самые лучшие времена. Системы безопасности в банках и банкоматах улучшаются, поэтому порог входа для злоумышленников сильно уменьшается. Такая же история происходит и с хакингом, но в нем больше возможностей и направлений. А вот в Европе кардинг процветает. Сегодня там работают те схемы, которые в России уже не актуальны лет 5 как. Причем, большинство кардеров в Европе — это как раз выходцы из России и СНГ.
При всем при этом, периодически мне попадаются новости по России о различных кардерских инцидентах. “Тема еще живет”. В этой связи, поговорим о разных методах, которые кардеры используют чаще всего.
Фишинг
Самый банальный способ получить данные вашей карты — это типовая фишинговая рассылка. Чаще всего, данная атака осуществляется в массовом варианте, а не в целевом. При таком подходе злоумышленники, обычно, зарабатывают больше денег.
Технически атака выглядит максимально просто. Вам приходит письмо на почту с любым содержанием. Например: “вы выиграли приз, пройдите по ссылке и заполните необходимые поля, чтобы мы перевели вам деньги”.
Конечно, это все шутки, но логика максимально простая.
“Скимминг”
Это технический прием кардинга, когда кража данных карты человека осуществляется с помощью специального считывающего устройства — “скиммера”.
Скиммер — это устройство, которое визуально выглядит точно так же, как заводская деталь банкомата (картоприемник). На теневых форумах такие устройства стоят в среднем от 6 000 до 10 000 $
Вот несколько примеров:
Суть метода очень проста: злоумышленник заранее меняет родной картоприемник на скиммер. После того, как жертва вставляет карту, устройство считывает магнитную полосу, тем самым злоумышленник получает дамп (некий цифровой слепок). В дампе хранится полная информация по вашей карте: имя держателя, номер карты, срок окончания срока ее действия, CVV и CVC-код. Этой информации хватит, чтобы подделать вашу карту и в дальнейшем расплачиваться с нее.
Остается вопрос: как узнать пин код? В случае со скиммингом, злоумышленники применяют два основных метода: установка скрытой видеокамеры рядом с панелью ввода (обычно она будет тоже замаскирована под заводскую часть банкомата) или установка специальной накладной клавиатуры поверх заводской.
Такая клавиатура работает по принципу классического “кейлоггера”, то-есть записывает все вводы пользователей и сохраняет их либо на встроенной флешке, либо пересылает данные сразу в облако.
Чаще всего скимминг можно встретить в Азиатских странах (особенно в Тайланде), Турции, Египте, Европе и России / странах СНГ.
Есть несколько советов по защите от скимминга:
- Старайтесь пользоваться только теми банкоматами, которые находятся на охраняемой территории: внутри самого банка, в магазинах, где много камер и прочее. В таких местах очень сложно установить скиммер.
- Всегда проверяйте банкомат на предмет странных конструкций. Та же клавиатура может быть слегка сдвинута в сторону — это должно насторожить.
“Шимминг”
Это более сложная и модернизированная версия скимминга. В данной схеме используется специальное устройство “шим”. Это очень тонкая гибкая плата, которая устанавливается прямо во внутрь картоприемника и точно так же считывает данные карты с магнитной ленты. Никаких громоздких накладок. Можно сказать, что шимминг — это технологическая эволюция скимминга, но такими устройствами пользуются очень редко. Шим очень сложен в производстве, часто делается только “для своих” и его цена больше стандартного скиммера примерно раза в четыре. Чаще всего шимы используют только мошеннические группы, а не одиночки.
Пин код “угоняется” точно так же, как и в предыдущем способе: установка скрытых видеокамер или накладной клавиатуры.
В России шимминг встречается еще довольно редко, в связи с дорогостоящим оборудованием и сложностью установки такого устройства в банкомат.
“Траппинг”
Это самый технически простой способ из всех возможных.
Злоумышленник заранее вставляет в банкомат специальное устройство по типу петли. Жертва вставляет карту и она застревает в приемнике. После этого злоумышленник подходит к жертве и начинает интересоваться, что случилось. Говорит, что у него такое якобы уже случалось и помогло, когда он ввел пин код повторно. Далее жертва вводит пин код повторно, злоумышленник пытается его подсмотреть. Это, естественно, не помогает и жертва часто идет разбираться в банк, оставляя банкомат со своей картой без надзора. После этого злоумышленник быстро вытаскивает петлю с картой и быстренько уходит. Остается только снять деньги в любом месте, так как пин код уже известен.
Этот способ используется чаще всего не в крупных городах и не с самыми новыми банкоматами.
Есть несколько советов по защите от траппинга:
- Всегда прикрывайте клавиатуру руками. Это затрудняет возможность подсмотреть ваш пин код.
- При возникновении каких-то проблем с картоприемником, никогда не уходите от банкомата и решайте проблемы по телефону. Звоните в свой банк, объясняйте им проблему.
- Контролируйте обстановку вокруг банкомата на предмет подозрительных личностей.
Хакинг
Это самый сложный и редкий способ.
Злоумышленник вскрывает крышку банкомата и устанавливает туда какое-либо шпионское ПО, чтобы можно было контролировать “коробку” дистанционно. Основная сложность в том, что на современных банкоматах есть камера и разные датчики (например датчик движения). Обойти эти трудности довольно сложно.
Существуют и другие методы, которые используют кардеры. Мы рассмотрели только самые популярные и рабочие схемы.
Как защититься?
Повторим основные рекомендации:
- Всегда прикрываем рукой клавиатуру при вводе пин кода;
- Стоит проверить клавиатуру на предмет того, не стоит ли поверх нее вторая (ложная);
- Смотрим банкомат на предмет внешних изменений (может что-то торчит, или не работают какие-то кнопки);
- В случае возникновения проблем, нельзя отходить от банкомата и принимать помощь посторонних, только звонить и просить сотрудников банка подойти лично;
- В идеале нужно пользоваться банкоматами только в проверенных и хорошо охраняемых местах;
- Носите свои карточки в специальном зажиме или кошелке, где есть фольгированный слой — это защита от дистанционного снятия средств с помощью ручного терминала. Это актуально, если у вас есть карты с бесконтактной оплатой.
Все эти простые советы могут сильно повысить вашу безопасность.
Всем мира!