Open in app

Sign in

Write

Sign in

Как злоумышленники крадут данные ваших кредитных карт

Nikita Artemov
6 min readApr 3, 2021

#hackandsecurity

Также читайте меня тут: Telegram и Вконтакте

ДИСКЛЕЙМЕР: Статья написана чисто в образовательных целях для повышения знаний в области информационной безопасности.

Как-то раз один мой знакомый был проездом в Амстердаме и ему понадобилось снять наличные. Он дошел до ближайшего банкомата, снял 100 евро и пошел по своим делам. Через пару дней, когда ему нужно было уезжать, он решил купить билет, но оказалось, что денег на карте нет. Мой знакомый позвонил в банк, где ему сказали что он недавно снял все деньги с карты. Естественно он этого не делал, но деньги каким-то образом ушли к третьим лицам.

Если вы еще не поняли, вся проблема кроется в банкомате, с которого снимал наличные мой знакомый. Подобные мошеннические действия называются “кардингом”.

“Кардинг “— это сфера мошенничества, в которой производятся различные манипуляции с кредитными картами или ее реквизитами. Кардинг включает в себя огромное количество разных направлений, уловок и методов. Почти все они сводятся к тому, чтобы завладеть данными вашей карты и узнать пин код.

В этой статье мы рассмотрим некоторые популярные приемы кардинга и поговорим о том, как можно повысить свою безопасность в этом направлении.

Популярные приемы “угона данных” с вашей карты

Начать стоит с того, что кардинг в России и СНГ на сегодняшний день переживает не самые лучшие времена. Системы безопасности в банках и банкоматах улучшаются, поэтому порог входа для злоумышленников сильно уменьшается. Такая же история происходит и с хакингом, но в нем больше возможностей и направлений. А вот в Европе кардинг процветает. Сегодня там работают те схемы, которые в России уже не актуальны лет 5 как. Причем, большинство кардеров в Европе — это как раз выходцы из России и СНГ.

При всем при этом, периодически мне попадаются новости по России о различных кардерских инцидентах. “Тема еще живет”. В этой связи, поговорим о разных методах, которые кардеры используют чаще всего.

Фишинг

Самый банальный способ получить данные вашей карты — это типовая фишинговая рассылка. Чаще всего, данная атака осуществляется в массовом варианте, а не в целевом. При таком подходе злоумышленники, обычно, зарабатывают больше денег.

Технически атака выглядит максимально просто. Вам приходит письмо на почту с любым содержанием. Например: “вы выиграли приз, пройдите по ссылке и заполните необходимые поля, чтобы мы перевели вам деньги”.

Конечно, это все шутки, но логика максимально простая.

“Скимминг”

Это технический прием кардинга, когда кража данных карты человека осуществляется с помощью специального считывающего устройства — “скиммера”.

Скиммер — это устройство, которое визуально выглядит точно так же, как заводская деталь банкомата (картоприемник). На теневых форумах такие устройства стоят в среднем от 6 000 до 10 000 $

Вот несколько примеров:

Суть метода очень проста: злоумышленник заранее меняет родной картоприемник на скиммер. После того, как жертва вставляет карту, устройство считывает магнитную полосу, тем самым злоумышленник получает дамп (некий цифровой слепок). В дампе хранится полная информация по вашей карте: имя держателя, номер карты, срок окончания срока ее действия, CVV и CVC-код. Этой информации хватит, чтобы подделать вашу карту и в дальнейшем расплачиваться с нее.

Остается вопрос: как узнать пин код? В случае со скиммингом, злоумышленники применяют два основных метода: установка скрытой видеокамеры рядом с панелью ввода (обычно она будет тоже замаскирована под заводскую часть банкомата) или установка специальной накладной клавиатуры поверх заводской.

Такая клавиатура работает по принципу классического “кейлоггера”, то-есть записывает все вводы пользователей и сохраняет их либо на встроенной флешке, либо пересылает данные сразу в облако.

Чаще всего скимминг можно встретить в Азиатских странах (особенно в Тайланде), Турции, Египте, Европе и России / странах СНГ.

Есть несколько советов по защите от скимминга:

  • Старайтесь пользоваться только теми банкоматами, которые находятся на охраняемой территории: внутри самого банка, в магазинах, где много камер и прочее. В таких местах очень сложно установить скиммер.
  • Всегда проверяйте банкомат на предмет странных конструкций. Та же клавиатура может быть слегка сдвинута в сторону — это должно насторожить.

“Шимминг”

Это более сложная и модернизированная версия скимминга. В данной схеме используется специальное устройство “шим”. Это очень тонкая гибкая плата, которая устанавливается прямо во внутрь картоприемника и точно так же считывает данные карты с магнитной ленты. Никаких громоздких накладок. Можно сказать, что шимминг — это технологическая эволюция скимминга, но такими устройствами пользуются очень редко. Шим очень сложен в производстве, часто делается только “для своих” и его цена больше стандартного скиммера примерно раза в четыре. Чаще всего шимы используют только мошеннические группы, а не одиночки.

Пин код “угоняется” точно так же, как и в предыдущем способе: установка скрытых видеокамер или накладной клавиатуры.

В России шимминг встречается еще довольно редко, в связи с дорогостоящим оборудованием и сложностью установки такого устройства в банкомат.

“Траппинг”

Это самый технически простой способ из всех возможных.
Злоумышленник заранее вставляет в банкомат специальное устройство по типу петли. Жертва вставляет карту и она застревает в приемнике. После этого злоумышленник подходит к жертве и начинает интересоваться, что случилось. Говорит, что у него такое якобы уже случалось и помогло, когда он ввел пин код повторно. Далее жертва вводит пин код повторно, злоумышленник пытается его подсмотреть. Это, естественно, не помогает и жертва часто идет разбираться в банк, оставляя банкомат со своей картой без надзора. После этого злоумышленник быстро вытаскивает петлю с картой и быстренько уходит. Остается только снять деньги в любом месте, так как пин код уже известен.

Этот способ используется чаще всего не в крупных городах и не с самыми новыми банкоматами.

Есть несколько советов по защите от траппинга:

  • Всегда прикрывайте клавиатуру руками. Это затрудняет возможность подсмотреть ваш пин код.
  • При возникновении каких-то проблем с картоприемником, никогда не уходите от банкомата и решайте проблемы по телефону. Звоните в свой банк, объясняйте им проблему.
  • Контролируйте обстановку вокруг банкомата на предмет подозрительных личностей.

Хакинг

Это самый сложный и редкий способ.

Злоумышленник вскрывает крышку банкомата и устанавливает туда какое-либо шпионское ПО, чтобы можно было контролировать “коробку” дистанционно. Основная сложность в том, что на современных банкоматах есть камера и разные датчики (например датчик движения). Обойти эти трудности довольно сложно.

Существуют и другие методы, которые используют кардеры. Мы рассмотрели только самые популярные и рабочие схемы.

Как защититься?

Повторим основные рекомендации:

  • Всегда прикрываем рукой клавиатуру при вводе пин кода;
  • Стоит проверить клавиатуру на предмет того, не стоит ли поверх нее вторая (ложная);
  • Смотрим банкомат на предмет внешних изменений (может что-то торчит, или не работают какие-то кнопки);
  • В случае возникновения проблем, нельзя отходить от банкомата и принимать помощь посторонних, только звонить и просить сотрудников банка подойти лично;
  • В идеале нужно пользоваться банкоматами только в проверенных и хорошо охраняемых местах;
  • Носите свои карточки в специальном зажиме или кошелке, где есть фольгированный слой — это защита от дистанционного снятия средств с помощью ручного терминала. Это актуально, если у вас есть карты с бесконтактной оплатой.

Все эти простые советы могут сильно повысить вашу безопасность.

Всем мира!

Также читайте меня тут: Telegram и Вконтакте

Hacking
Fraud
Security
Finance
Banking

--

--

Nikita Artemov

Written by Nikita Artemov

346 Followers

Corporate security specialist, profiler, OSINT-researcher Website: https://artemov-security.ru Telegram: https://t.me/artemov_security

Help

Status

About

Careers

Blog

Privacy

Terms

Text to speech

Teams