Учёные показали, как взломать банковскую карту за шесть секунд
Исследователи кибербезопасности из Университета Ньюкасла показали, как можно взломать кредитную карту за 6 секунд, даже не зная её реквизитов.
Авторы использовали метод, который называется Distributed Guessing Attack (Атака с помощью распределенного перебора). Этот вид атаки использует две уязвимости, которые сами по себе не являются слишком серьезными, но при использовании в комплексе представляют серьезный риск. Во-первых, платёжные системы не суммируют неудачные попытки ввода данных с разных сайтов. Так как каждый сайт предоставляет 10-20 попыток для ввода данных, хакеры могут использовать фактически неограниченное количество попыток. Во-вторых, сайты позволяют пробовать различные варианты в полях, предназначенных для данных карты, так что информацию можно собрать, как паззл, используя каждое следующее поле для подбора следующей комбинации цифр.
«Большинство хакеров в качестве отправной точки будут использовать действительный номер карты. Но даже без него можно относительно легко подбирать варианты и вводить их через многочисленные веб-сайты для проверки. Следующий шаг — дата истечения срока действия. Банки обычно выпускают карты, которые действительны в течение 60 месяцев, так что угадать дату занимает не более 60 попыток. Ваш последний барьер — CVV-код, который теоретически известен только держателю карты. Но, полагаю, что угадать это трёхзначное число можно менее чем за 1000 попыток. Введите их на более чем 1000 сайтов — и варианты будут проверены в течение нескольких секунд», — рассказал автор исследования аспирант Мохаммед Али.
Он утверждает, что успешно проверил этот метод на платёжной системе Visa. Представитель Visa, однако, заявил, что исследование не учитывает «нескольких уровней защиты от мошенничества, которые существуют в платежной системе».
Система MasterCard, по словам Али, оказалась более надёжной: она смогла обнаружить атаку с помощью перебора менее чем за 10 попыток, даже если запросы были распределены по нескольким сайтам.
Авторы подозревают, что именно этот способ использовали мошенники, ограбившие в прошлом месяце 9000 клиентов Tesco Bank. Общий ущерб составил 2,5 миллионов фунтов стерлингов.
Чтобы защититься от мошенничества, учёные рекомендуют использовать для онлайн-платежей только одну карту с минимальным балансом и пополнять его непосредственно перед оплатой. «Единственный безотказный способ избежать взлома — держать свои деньги под матрасом, но я бы не рекомендовал так делать», — добавил соавтор исследования доктор Мартин Эммс.
Пока холода еще хранят ваши сбережения, расскажем владельцам кредитных карточек о некоторых наиболее распространенных в мире способах нелегального "облегчения" личных счетов.
Начнем с того, что еще раз напомним каждому владельцу кредитки, что пин-код надо хранить в целости и сохранности, номер никогда и никому не давать и не показывать, а сам "пластик" беречь, как зеницу ока.
А теперь поговорим о самых распространенных способах мошенничества с картами. Как выясняется, даже простое снятие наличных денег в банкомате может закончиться плачевно.
Существуют по крайней мере семь уловок, с помощью которых аферисты в одночасье могут оставить вас с одним "пластиком" в кармане.
Зачастую мошенники используют устройства, которые, будучи установлены на банкомате, помогают им получить сведения о карточке. Это могут быть установленные на клавиатуры специальные "насадки", которые внешне повторяют оригинальные кнопки. В таком случае владелец карты снимает деньги со счета без всяких проблем, но при этом поддельная клавиатура запоминает все нажатые клавиши – естественно, в том числе и пин-код. Совет: внимательно изучите клавиатуру незнакомого банкомата, прежде чем снять деньги со счета.
Другое устройство – то, что англичане еще называют lebanese loops. Это пластиковые конверты, размер которых немного больше размера карточки, – их закладывают в щель банкомата. Хозяин кредитки пытается снять деньги, но банкомат не может прочитать данные с магнитной полосы. К тому же из-за конструкции конверта вернуть карту не получается. В это время подходит злоумышленник и говорит, что буквально день назад с ним "случилось то же самое". Чтобы вернуть карту, надо просто ввести пин-код и нажать два раза на Cancel. Владелец карточки пробует, и, конечно же, ничего не получается. Он решает, что карточка осталась в банкомате, и уходит, чтобы связаться с банком. Мошенник же спокойно достает кредитку вместе с конвертом при помощи нехитрых подручных средств. Пин-код он уже знает – владелец (теперь уже бывший) "пластика" сам его ввел в присутствии афериста. Вору остается только снять деньги со счета.
Технически сложно, но можно перехватить данные, которые банкомат отправляет в банк, дабы удостовериться в наличии запрашиваемой суммы денег на счету. Для этого мошенникам надо подключиться к соответствующему кабелю и считать необходимые данные. Учитывая, что в Интернете соответствующие инструкции легко обнаружить в свободном доступе, а технический прогресс не стоит на месте, можно утверждать: такой вариант будет встречаться все чаще.
Для того чтобы узнать пин-код, некоторые аферисты оставляют неподалеку миниатюрную видеокамеру. Сами же они в это время находятся в ближайшем автомобиле с ноутбуком, на экране которого видны вводимые владельцем карты цифры. Вводя пин-код, прикрывайте клавиатуру свободной рукой.
Дорогостоящий, но верный на все сто способ. Бывают случаи, когда мошенники ставят в людном месте свой собственный "банкомат". Он, правда, почему-то не работает и, естественно, никаких денег не выдает. Зато успешно считывает с карточки все необходимые данные. А потом выясняется, что вы вчера уже сняли все деньги со счета и почему-то не хотите этого вспомнить!
В свое время мошенники из ОАЭ устанавливали в отверстия для кредиток специальные устройства, которые запоминали все данные о вставленной в банкомат карте. Злоумышленникам оставалось только подсмотреть пин-код либо вышеописанными способами первым и четвертым, либо банально подглядывая из-за плеча. Ну, понравилось местному аборигену ваше кольцо, или ваши часы, или что-то там еще.
Бороться с ним нельзя. Можно лишь смириться. Здесь уже ничто не зависит от вашей внимательности, осторожности или предусмотрительности. Бывает, что в сговор с мошенниками вступают те люди, которым добраться до ваших кредиток и так очень просто: служащие банков, например. Это случается очень редко, но от таких случаев не застрахован никто.
Но страдают не только владельцы карточек. Страдают и крупные фирмы, магазины, банки. Причем здесь убытки уже исчисляются сотнями тысяч долларов. А иногда миллионами.
Специалисты из правоохранительных органов многих стран мира считают, что преступления, совершенные с использованием пластиковых платежных средств, можно отнести к одним из наиболее опасных экономических преступлений. Причем совершаются они не только в компьютерной банковской системе, но и через Интернет.
По некоторым данным, на сегодняшний день насчитывается около 30 видов незаконных операций с карточками через Всемирную паутину. Наиболее распространенные из них – оплата несуществующими картами, создание фальшивых виртуальных магазинов, электронное воровство, фальшивая оплата в игорных заведениях.
Появился даже специальный термин – кардинг. Это незаконное использование банковских карточек для покупки товаров или услуг через Интернет. Занимаясь кардингом, можно либо получить информацию о реальной карте, либо сгенерировать все эти данные, но так, что все системы будут принимать фальшивку за реальную. Интересующиеся могут свободно найти ссылки на сайты, которые открыто торгуют ворованными кредитками. Стандартная цена за карточку – от 40 центов до 5 долларов. Большинство продавцов находится в бывшем СССР, покупатели, напротив, концентрируются на Дальнем Востоке, жертвы – в основном граждане США и Европы. По заявлению ФБР, Украина и Россия уже снискали себе репутацию стран, в которых живут самые квалифицированные хакеры.
Виртуальные базары устроены почти как настоящие биржи, цены колеблются в зависимости от спроса. Располагаются же они на взломанных страницах и поэтому недолговечны – большинство таких страниц живут лишь пару дней. Эксперты сходятся во мнении, что центром мирового кардинга является Санкт-Петербург, где кредитки уходят с прилавка партиями по 500-5000 штук по цене 1 доллар за штуку.
Добываются же кредитные карты путем взлома крупных финансовых фирм. Например, в 2003 году после отказа платить хакерам деньги за молчание известная финансовая фирма CD Universe призналась в утере базы данных из 300 000 карт. Одна только Англия потеряла на кардинге в 2003 году 411 миллионов фунтов. В 2005 году эта цифра выросла до миллиарда. Поэтому на борьбу с киберпреступностью были ассигнованы 25 миллионов фунтов.
Кстати, в России в начале 90-х годов одним из первых пострадал Внешэкономбанк. Путем простейшего взлома компьютерной сети отечественные хакеры "облегчили" его сейфы на 130 тысяч долларов.
Всего же "электронные шерлоки холмсы" разделяют 9 основных видов киберпреступлений.
1. Операции с поддельными картами.
2. Операции с украденными/утерянными картами.
3. Многократная оплата услуг и товаров.
4. Мошенничество с почтовыми/телефонными заказами.
5. Многократное снятие со счета.
6. Мошенничество с использованием подложных слипов.
7. Мошенническое использование банкоматов при выдаче наличных денег.
8. Подключение электронного записывающего устройства к POS-терминалу/банкомату (Skimming).
9. Другие виды мошенничества.
Расскажем только о некоторых, наиболее часто встречающихся.
Операции с поддельными картами
На этот вид мошенничества приходится самая большая доля потерь платежной системы.
Механизм мошенничества может быть различным: мошенник получает в банке обычную карточку в законном порядке, вносит на специальный карточный счет минимально необходимую сумму. Затем он добывает необходимую информацию о держателе пластиковой карточки этой же компании, но с более солидным счетом, и вносит полученные таким образом новые данные в свою карточку. Для реализации такого способа мошенничества преступник должен добыть информацию о кодовых номерах, фамилии, имени, отчестве владельца карточки, об образце подписи и т.д.
Осуществить такую подделку можно по-разному:
– изменив информацию, имеющуюся на магнитном носителе;
– изменив информацию, эмбоссированную (выдавленную) на лицевой стороне;
– проделав и то, и другое;
– подделав подпись законного держателя карточки.
При подделке подписи используется несколько вариантов, но при этом учитывается то, что стереть образец подписи нельзя, так как при попытке это сделать в поле подписи проступит слово VOID – "недействительна". Поэтому ее часто просто закрашивают белой краской.
Один из самых опасных приемов подделки пластиковых карточек – производство полностью фальшивых карточек. Наибольшее распространение метод полного копирования получил в некоторых странах Юго-Восточной Азии. Такой способ чаще всего используется организованными преступными группами, в которые, как правило, входят работники ресторанов и иных сервисных заведений. Последние используются для сбора информации о кредитных карточках, которые попадают им в руки при оплате ресторанных и иных услуг.
Кредитная информация, используемая при изготовлении поддельных кредитных карточек, может собираться в различных странах мира. Наиболее часто используются данные из Канады, Соединенных Штатов Америки, стран Европы, а также из азиатского региона.
Операции с украденными или утерянными картами
Мошенническое использование украденных кредитных карточек остается наиболее распространенным преступлением. Методы противодействия кражам и мошенническому использованию пластиковых карточек совершенствуются годами, однако в настоящее время компании предпочитают выпускать недорогие карточки с целью уменьшения суммы возможных убытков от их незаконного использования. Когда суммы убытков резко возрастают, компании предпринимают усилия по введению новых мер безопасности.
В случае похищения карточки при пересылке ее по почте особенность мошенничества заключается в том, что владелец не знает об утрате карточки. Предотвратить хищение при этом способе мошенничества очень сложно.
Преступники располагают многочисленными способами использования украденных карточек. Организованные преступные группы платят от 100 до 500 долларов США за украденную карточку в зависимости от того, подписана она или нет, как давно украдена, находится ли она в списках украденных, как долго она использовалась законным владельцем, вычерпан ли лимит, есть ли дополнительные документы, удостоверяющие личность.
Как «взломать» карту Visa
Специалисты изучили топ сайтов по версии аналитической компании Alexa и выбрали 400 наиболее популярных из них. Затем они исключили из списка ресурсы с надежной системой защиты, оставив 342 сайта для экспериментов.
На выбранных ресурсах ученые пытались провести оплату с помощью одной и той же банковской карты. Обычно срок действия Visa не превышает пяти лет, так что на формирование запросов с различными комбинациями дат и трехзначных CVV-кодов ушло около 6 секунд.
Результаты эксперимента
Ученые установили, что адресом, привязанным к карте, интересовались далеко не все ресурсы. Ни один из сайтов не проверял подлинности фамилии и имени держателя Visa.
Эксперты уверяют, что хакерам не нужно даже покупать базы данных с номерами карт. Подбор номера осуществляется аналогичным брутфорсом с учетом правил составления номера карты.
Специалисты подчеркивают, что Mastercard не имеют такой уязвимости – система блокирует множественные запросы для одной карты из разных магазинов, а также передает информацию о них. В безопасности и карты с поддержкой технологии 3D Secure, а также карты chip-and-PIN.
303 из 342 сайтов (78% ресурсов) не отреагировали на сообщение об уязвимости и не предприняли мер для защиты от атак. Некоторые ресурсы уже получили обновления, но часто оказывалось, что новая система безопасности работала еще хуже, чем старая.
