Получение данных по пластиковой карте мошенническим путём | RusCreditCard.ru

Получение данных по пластиковой карте мошенническим путём

Получение данных по пластиковой карте мошенническим путём

Самый популярный вид кибермошенничества сегодня — это фишинг (phishing от английского phone – телефон и fhising – рыбалка), его название с юмором и не случайно напоминает английское слово «рыбалка». В ходе фишинга на крючок попадаются доверчивые клиенты, которые сообщают злоумышленникам свои персональные данные и свой секретный PIN- код совершенно добровольно. Занятие фишингом дело непростое, оно требует знания психологии, наличия жизненного опыта, и конечно, подготовленных схем обмана, с помощью которых можно войти в доверие к любому клиенту.
Не все клиенты банков сегодня доверчивы, однако, примерно 7% кардхолдеров добровольно передают свои PIN-коды мошенникам по первой же их просьбе. Простой и часто единственный способ борьбы с фишерами — полная блокировка доступа к счетам в Интернете при появлении жульнических фишинг-рассылок. «Недавно был случай, когда клиенты сразу нескольких крупных банков (в их числе оказались и некоторые клиенты нашего банка) получили фишинговую рассылку, вспоминает Алексей Голенищев, руководитель управления взаимодействия с платежными системами ОАО «Альфа-Банк», наша реакция была мгновенной — мы сразу перекрыли доступ в Интернет-банк, и внесли изменения в технологию аутентификации – этим атака успешно была отбита. Лишний раз подтвердилась моя точка зрения, что наиболее эффективный способ борьбы с фишингом — это разработка и внедрение технологий, не позволяющих пользоваться данными, полученными мошенниками в результате фишинговой атаки».
Фишеры изобретательны и постоянно мимикрируют – для того, чтобы усыпить бдительность и быстрее войти в доверие, сегодня они прямо не просят клиента сообщить свой PIN-код, вместо этого они приглашают посетить сайт банка – для сверки данных или иным причинам. Предлагаемый сайт, безусловно, фальшивый, но его дизайн и адрес в Интернете напоминают адрес и внешний вид официального банковского ресурса. Среди фишеров популярны и востребованы на рынке доменные имена, напоминающие названия корпоративных сайтов ведущих банков страны. К примеру, в руках у киберсквоттеров находятся домены похожие на домен citibank.ru (по этому адресу находится официальный сайт ЗАО КБ «Ситибанк»). Киберсквоттер с адресом почты rudomain@inbox.ru (зарегистрировавший уже на себя не менее 1389 доменов), имеет в своем личном реестре sitybank.ru (данные на 27 августа 2008). Другой мультивладелец доменов (всего у него 2076 штук), скрывающий свое имя под olegdiak@poishi.com , зарегистрировал на себя «домен с опечаткой» — citbank.ru – на него может попасть добросовестный кардхолдер, небрежно набрав адрес банка в окне браузера и т.п. До поры до времени все эти лже-имена не используются, но будучи приведенными в действие, мгновенно позволят собрать неплохой «урожай» — для рентабельности улова фишеров достаточно получить карточные счета двух-трех состоятельных клиентов, спутавших домен родного банка или набравшего его с ошибкой. Зарегистрировавшись на фальшивом сайте, клиент мгновенно превращается в легкую и беззащитную добычу — в руках фишеров оказываются все его персональные данные. Непосредственно деньги со счетов клиента обналичит другой преступник — дроп.
Недавно на одном из форумов один из кардеров доверительно поделился совершенно новым способом фишинга, который он еще ни разу не использовал, однако, не сомневается, что его способ сработает. Суть его в следующем. Как первый шаг аферы клиенту банка переводят на его счет небольшую сумму. После этого раздается звонок клиенту (якобы из банка) с извинениями и этого клиента просят вернуть ошибочно переведенные средства. Предлагаются два пути: либо заехать в ближайший офис банка, либо воспользоваться он-лайн банкингом и сделать денежный перевод, не выходя из дома. Как предполагает разоткровенничавшийся киберпреступник, клиент, если это окажется образованный мужчина, чаще всего выберет второй вариант. Не надо пояснять, что после выполнения этой транзакции, владелец карты останется с пустым счетом.
Преступники постоянно изобретают новые и новые способы обмана. Необычные («неэлектронные») схемы фишинга популярны последние два года в Турции — здесь под видом небольших сервисных предприятий владельцу карты предлагают помощь – быстро снять деньги с его банковской карты прямо в ларьке — где он, возможно, покупает сигареты или напитки. При его согласии, ничего не подозревающему кардхолдеру немедленно предлагается фальшивый pin-pad (эту клавиатуру на корде все неоднократно видели в банках), в который клиент загружает свои персональные данные — как в некий «передвижной» банкомат. Наличные по запрашиваемой транзакции владельцу счета чаще потом не предлагают — сославшись на сбой. Или же отдают – чтобы избежать подозрений в мошенничестве. Но все это уже и не столь важно — в течение ближайших двух часов деньги со счета клиента снимают в настоящем банкомате по копии реальной карты («белому» пластику). Доказать впоследствии владельцу счета, что он стал жертвой мошенников, практически невозможно.

Съем денег в банкомате с использованием «белого» пластика — копии реальной банковской карты. Видно, что для удобства на карте крупно надписан ее PIN-код.


КОГДА ШОПИНГ НЕ В РАДОСТЬ…
Получить персональные данные клиента можно мошенническим путем под видом посещения Интернет-магазина — таких магазинов из Польши и других стран сегодня довольно много. Все они предлагают особо дешевые товары — якобы при распродаже — конфискованные, без гарантии и проч. Последний «писк» сезона в этом виде мошенничества — сайт, продающий дешевые авиабилеты. Ясно, что основная цель создания такого магазина – заставить клиента зарегистрироваться и оплатить покупку – тем самым предоставить преступникам все свои персональные данные. Вероятность скомпрометировать карту и потерять деньги в таком «агентстве продаж» приближается к 100% . Не надо объяснять, что ни в коем случае не следует пользоваться банковскими картами в подозрительных случаях. В Интернете вообще, как советуют эксперты, лучше не использовать банковские карты. Если карты все же используются, лучше пользоваться теми, с которых особенно и нечего снять, а пополнять их по мере надобности.
Компрометация карт происходит и в реальных торгово-сервисных предприятиях — ТСП – магазинах, кафе, ресторанах, принимающих к оплате банковские карты. Часто используется метод двойной прокатки – когда по одной и той же карте оплачивают два товара (или услуги), при этом суммы транзакций обязательно выбираются разные (преступники знают, что системы мониторинга фрода автоматически блокируют две одинаковые транзакции — так часто ошибаются кассиры в супермаркетах, прокатывая одну и ту же карту дважды без злого умысла). Двойная прокатка — весьма частое преступление в туристических зонах – в этих зонах бывают много гостей, покупающих в течение дня сувениры, делающих мелкие покупки, о многих из которых забывают, не помнят места и т.д. Часто случаи воровства не замечают потом в длинных списках собственных платежей, выдаваемых для контроля банком-эмитентом впоследствии. Кроме всего прочего, после двойной прокатки данные владельцев карт могут быть скомпрометированы. Эксперты рекомендуют, всем тем, кто побывал этим летом в странах Балтии, в Украине, Болгарии, Румынии, Польше, Андорре, Албании, а также в Индонезии, Малайзии, Таиланде, Бразилии, Аргентине, Перу, Чили, странах Ближнего Востока и пользовался там банковской картой, карту перевыпустить.

ТЬЮНИНГ ДЛЯ БАНКОМАТА
Современные мошенники виртуозно научились определять PIN-код подсматривая из-за плеча при его вводе, или улавливая очертания клавиш в зеркальных отражениях витрин. Иcпользуются также незаметные накладки на клавиатуру банкомата, совпадающие с ним по цвету и дизайну (на жаргоне skimming – «снятие сливок»). Современные скимминг-накладки дополнительно оборудуются SIM-картой с источником питания – для последующей пересылки информации на любой мобильный телефон. «Всегда визуально проверяйте АТМ на предмет наличия накладок, подозрительных внешних атрибутов не совпадающих по цвету или дизайном с передней панелью банкомата — советует руководитель службы информационной безопасности КБ «Союзный» Михаил Левашов , и главное – при наборе PIN-кода обязательно прикрывайте клавиатуру рукой». Эти рекомендации касаются ввода любой персональной информации – даже счетов ЖКХ или номера мобильного телефона.

При вводе персональной информации во всех случаях обязательно прикрывайте рукой виртуальную клавиатуру.

Если PIN-код удается успешно подсмотреть, то карту впоследствии похищают, копируют или же имитируют ее «застревание» в картридере с помощью вставленной полоски изоленты (так называемая «ливанская петля»). Клиент, попробовав вытащить карту, уходит раздосадованным, после него карту легко вытаскивают тонкими щипцами. Многие скиммеры действуют более изощренно — вместо куска изоленты, устанавливают внешние накладки на кардридер, позволяющие считать информацию с карты в момент ввода. Несмотря на экзотичность подобного рода мошенничеств, они используются достаточно широко, а стать обладателем комплекта для скимминга весьма просто — достаточно набрать в Яндексе слово «скимминг» и тут же получить с десяток адресов, по которым можно недорого купить необходимые приспособления. Отметим, что банкоматы, расположенные вне офисов банков наиболее подвержены атакам скиммеров, а банковские камеры наблюдения за преступниками легко выводятся из строя баллончиком с краской (для высоко расположенных камер) или просто куском жвачки.
При обналичивании карт в АТМ преступники-дропы работают как правило, в паре – один предварительно заклеивает объективы камер и уходит, другой — непосредственно снимает деньги по скомпрометированной карте. За сценой издалека наблюдают другие члены банды — их задача «откупить» дропа при попадании в руки милиции. При использовании многоступенчатой схемы обналичивания разрушается причинно-следственная связь между действиями отдельно взятых преступников — доказать преступный умысел становится гораздо труднее.
К сожалению, такая сложная схема часто становится излишней — дежурные сотрудники МВД, часто не знают основ работы платежных систем, и плохо представляют — за что собственно приходится задерживать злоумышленника. Увы. Крупнейшая известная афера прошла в 2006 году: «под удар скиммеров попал банк из первой десятки, — вспоминает начальник управления ИБ АКБ «РосЕвроБанк» Юрий Лысенко. Мошенники установили устройства для снятия информации с пластиковых карт на нескольких банкоматах. После регистрации многочисленных сомнительных транзакций банк был вынужден заблокировать карты клиентов, ввести мониторинг счетов и затем перевыпустить несколько тысяч карт, сам ущерб оценивался несколькими миллионами рубелей. В России это был один из первых столь массовых перевыпусков пластиковых карт, отмечает эксперт. С преступниками, конечно, борются — многие современные банкоматы имеют специальную скругленную форму считывателя карт – это затрудняет монтаж считывающих «губок» скиммера, устройство джеттер (jetter) обеспечивает неравномерность движения карты в считывателе, также устанавливается дополнительный датчик против траппинга (ливанской петли). Специальные зеркала, встроенные в банкомат, позволяют клиенту видеть обстановку за спиной и затрудняют действия преступников. Кроме того, на заставках-экранах многие банки сегодня вместо своих логотипов выставляют картинку – то, как реально должен выглядеть банкомат, не подвергшийся тьюнингу злоумышленников. Всякий раз внимательно изучайте эти картинки — перед тем как снять деньги.
СПАСУТ ЛИ МИР БЕСКОНТАКТНЫЕ ТЕХНОЛОГИИ?
На смену традиционному пластику уже приходят технологии мобильных платежей и методы «внеофисного» обслуживания (brunchless banking). Клиент банка становится более свободным, он больше уже не привязан к терминалам, свои средства у него всегда под рукой, а с помощью мобильного телефона он удобно управляет банковскими счетами. Подсмотреть PIN-код мобильного клиента и потом его использовать становится крайне сложно. Телефоны имеют массу средств аутентификации позволяющие определить, что платеж сделал именно владелец счета. Это, во-первых, камера, которая может сделать и передать его фото, во-вторых, встроенные сканеры отпечатков пальца, имеющиеся в моделях 3G телефонов, и, наконец, сама SIM-карта мобильного аппарата, которая также может использоваться для идентификации и аутентификации владельца.

Классификация систем бесконтактных платежей

Классификация систем бесконтактных платежей

Систем бесконтактных платежей сегодня достаточно много, причем часть систем запустили владельцы международных систем MasterCard и VISA – они работают под брендами MasterCard PayPass и VISA PayWave соответственно. Для того, чтобы разобраться в существующих проектах, удобно принять во внимание расстояние, на которых работает система и характерную величину сумм платежей (транзакций) . Ближнее взаимодействие и маленькие суммы транзакций – в этом диапазоне работают новые бесконтактные системы платежей, работающие по технологии NFC (near field communications – радиосвязь ближнего действия, их пока нет в России), а дальнее взаимодействие и произвольные суммы транзакций – платежные системы типа E-CASH, Paypal mobile, CelPay, использующие для своей работы GSM-покрытие и стандартные сотовые телефоны. Пока подобных систем немного, но они уже вытесняют простейшие системы мобильных платежей — такие, как premium-SMS, которые монопольно использовались до недавнего времени.
Системы еще вводятся, но злоумышленники уже разработали для них специфические виды атак, которые являются аналогами атак для банковского пластика. Так, атаки relay attacks (skimming) включают похищение средств владельца бесконтактной карты с помощью стандартного считывателя, к которому преступники получили доступ. Атака pick-pocketing проводится фальшивым считывателем, который находится в руках преступника, причем при приближении к кардхолдеру он считывает информацию с устройства бесконтактного платежа (похищает с карты денежные средства). Существует разработка — удаленная атака eavesdropping которая перехватывает данные бесконтактного диалога «карта-считыватель» на расстояниях до 5 м, а Radio Frequency Analysis позволяет получить информацию о ключах карты. С этими атаками многие из нас, безусловно, еще столкнутся.
Тем не менее, платежные системы нового поколения защищены достаточно серьезно – они не используют передачу по незащищенным каналам никаких персональных данных. Вместо них они передают альтернативные параметры — номера «Интернет-кабинетов пользователей» и другие. Как считает Александр Хорошилов, заместитель генерального директора E-CASH, эффективный способ защиты и состоит в том, чтобы разрабатывать продукты, вообще не передающие по незащищенным линиям связи персональные данные. Отметим, что подобные системы мобильных платежей хорошо известны за рубежом. Среди них продукт-бестселлер «CelPay», который функционирует в странах Южной Африки и в странах ЕЭС, его используют Сitibank, Barclays Bank PLC, Standard Chartered Bank. Когда россияне смогут воспользоваться подобной услугой? — Пока E-CASH (это аналог CelPay) занят подготовкой самых первых соглашений с банками, однако разработчики верят, что за этими технологиями будущее.

ДЕЛО РУК УТОПАЮЩИХ
Как защитить себя и близких и не попасть под преступные атаки злоумышленников? Еще раз перечислим важнейшие рекомендации экспертов.
* При вводе PIN-кода всегда следите, чтобы вводимые цифры не быть видны посторонним лицам, а при расплате банковскими картами в ТСП никогда не теряйте свою карту из виду.
* Для всех своих карт используйте услугу — SMS – информирование на мобильный телефон о прошедшем списании средств с карты.
* Никогда не используйте карты для оплаты в Интернет, если платеж все же необходим, заведите для таких целей отдельную карту и переводите на нее средства по мере необходимости.
* Никогда не пользуйтесь простыми паролями там, где он защищает ваши средства (например, в Интернет-банкинге). Для того, чтобы запомнить сложный набор цифр и букв в пароле удобно использовать известные только Вам ключевые фразы, к примеру, для фразы:
Я первый раз попал в Египет в 99 году
пароль по первым буквам будет иметь вид:
«ЯпрпвЕв99г»,
Смена раскладки клавиатуры c русского на латиницу превратит этот пароль в следующий
ZghgdE99u
и т.п.
* При появлении малейших подозрений о неправомерном списании денег с вашего счета, не колеблясь, немедленно обращайтесь в Банк. До момента уведомления банка-эмитента ответственность полностью лежит на клиенте – поэтому как можно быстрее сообщайте банку о потере своей карты.

Приятных покупок!
(c)dengi.sravni.ru


Опубликовано 13 лет назад

Похожие записи

©2012-2023, ruscreditcard.ru | Mail: ruscreditcard@ya.ru | About site

Yandex.Metrika