Главная
  • 20 июня 2014
  • 0
  • 839
  • Автор:

Показать

Минутка истории: как хакеры заставили P. F. Chang’s перейти на дореволюционные технологии

9 июня на сайте подпольного магазина rescator[dot]so появилась свежая партия краденых карт, рассказал в своём блоге Брайан Кребс. Связавшись с несколькими банками, начавшими реагировать на утечку данных, он выяснил, что все карты, которые удалось проверить, использовались в сети китайских бистро P. F. Chang’s в промежуток между началом марта 2014 года и 19 мая.

Спустя двое суток представители P. F. Chang’s подтвердили кражу карт, вызванную кибератакой на рестораны сети. Компания начала расследование произошедшего, а пока что вместо привычных электронных терминалов P. F. Chang’s будет использовать старые считыватели кредитных карт, работающих на дайлап-интернете, а также сохранять бумажные чеки от платежей по картам.

Как именно это повысит безопасность, компания не сообщила, однако ясно, что удалённо украсть (а затем перепродать) большой объём бумажных чеков гораздо сложнее, чем взломать тысячи карт через одно современное устройство.

Показать

В начале марта стало известно о краже данных 282 тысяч банковских карт, которыми расплачивались в сети салонов красоты Sally Beauty. Когда компанию спросили о произошедшем, её представители сообщили, что хотя проникновение в сеть компании было зафиксировано, ни сотрудники безопасности Sally Beauty, ни сторонние эксперты не смогли найти следов кражи данных.

Чтобы опредилить точку, в которой и было проведено преступление, банки производят "контрольную закупку" карт — обычно несколько десятков штук. Проверяя их по своей базе, они вычисляют так называемый CPP, common point of purchase — магазин, в котором расплачивались всеми картами из партии.

Однако мастшаб этой операции не идёт ни в какое сравнение со взломом сети супермаркетов Target, произошедшей в ноябре 2013 года. Тогда были украдены данные 110 миллионов покупателей, которые позднее появились на сайте уже упомянутого магазина, rescator[dot]so. По некоторым данным, 70 миллионов из карт были взломаны при помощи вируса "Kaptoxa", созданного российским подростком, однако в разговоре с TJournal он опровергал своё участие.

Несмотря на существующую угрозу безопасности остальных своих клиентов, Target не отказался от использования электронных систем обработки платежей с кредиток: в масштабе гигантской сети супермаркетов это было бы равносильно переводу всех грузовиков с товарами на лошадиные повозки.

Кратко об устройстве бизнеса кражи данных карт

Мошенничество с угоном данных карт называется кардингом. Иногда злоумышленники ограничиваются несколькими частными кражами, но серьёзную угрозу представляют масштабные спланированные операции, в результате которых оказываются скомпрометированными не десятки и сотни, а тысячи и миллионы пластиковых карт. Такие партии пластика тяжело воспроизвести в виде копий и опасно обналичивать, поэтому добывшие их взломщики сбывают их другим преступникам, по пути выручая крупную сумму денег.

Существуют сотни подпольных интернет-магазинов, продающих карты. Один из самых известных — McDumpals (да, магазин косит под сеть фастфудов, играя на ассоциации со скоростью обслуживания), о котором недавно рассказывал Кребс. Стремясь обеспечить собственную безопасность, магазин пускает не всех, а только по вступительному взносу в 100 долларов. Как и остальные платежи, вступительный взнос можно заплатить только в биткоинах.

Например, на скриншоте магазин McDumpals продаёт 1245 карт за 10,5 тысяч долларов. MA-CT означает код штатов: Массачуссетс и Коннектикут.

Показать

Несмотря на то, что большинство дамп-шопов используют множественных поставщиков краденых карт, они не занимаются повторной перепродажей данных. После того, как карту продают покупателю, она исчезает из магазина, и если кто-то попробует перепродать её повторно, он будет удалён из цепочки и внесён в чёрный список.

Иногда магазины продают карты пачками свыше тысячи штук. Всё, что покупатель знает об этих картах — место, откуда они происходят, и их "свежесть": чем свежее, тем больше вероятность, что карты окажутся рабочими (а не будут сломаны, потеряны или перевыпущены).

Главная характеристика продаваемых партий — процент валидности. Например, если продавец заявляет, что этот показатель поставляет 50 процентов, это означает, что каждая вторая карта из партии не сработает в банкомате и полностью бесполезна. Чем свежее карта, тем меньше шанс, что банки уже успели отреагировать на кражу партии их карт и заблокировать их.

Карты, украденные в ходе атаки на Target, продавались несколькими последовательными партиями, каждая из которых постепенно дешевела из-за падающего процента валидности. Как видно из графика, даже спустя два месяца после "слива" базы карт свыше половины из них были работоспособными — по крайней мере, так их рекламировали продавцы.

Показать

Сохранившийся высокий процент валидных карт — вина и самих банков, не пожелавших перевыпускать карты: по словам Кребса, выпуск одной карты стоит от 3 до 5 долларов, а взлом ещё и неудачно выпал на время рожденственских праздников, когда все клиенты активно пользуются кредитками и не готовы ждать, пока их перевыпустят.

Первые партии, имевшие максимальный рейтинг, продавались частями по миллиону штук от 20 до 100 долларов за карту, рассказывал Брайан Кребс, однако впоследствии цена упала вплоть до 8 долларов. Высокие цены на краденые карты были связаны также и с тем, что rescator[dot]so продавал так называемые дампы — данные с магнитных полос, позволяющие воспроизводить копии кредиток.

Как используют украденные карты

Дампы — это данные, которые при помощи вредоносного кода, встроенного в скиммеры в банкоматах и мобильных терминалах оплаты, извлекаются из непосредственно магнитной полосы. Получив эти данные, кардеры могут создать реплику оригинальной карты, чтобы использовать её для покупок в больших супермаркетах.

В обычном же случае покупатель имеет только данные, годящиеся для покупок в интернете. Хотя сегодня в сети можно купить всё что угодно, от пиццы до оружия и наркотиков, использовать краденые кредитки для крупных покупок в интернете не так удобно, как превратить всю сумму в наличные в удобном тебе банкомате. По крайней мере, бумажные деньги отследить гораздо сложнее.

Кардеры предпочитают покупать карточки, прежние владельцы которых жили неподалёку или в том же городе. Это связано с системой безопасности: если банк видит, что при помощи карты некто пытается совершить платёж из места, откуда владелец ранее не производил покупок, он помечает операцию как подозрительную. Тогда в дело вмешивается служба безопасности: обычно транзакция блокируется до тех пор, пока владелец лично её не подтвердит.

На моей памяти таких случаев было два: однажды, когда я только завёл свою первую карту, мне нужно было произвести относительно крупный перевод денег. Через десять секунд после нажатия кнопки "Отправить" раздался звонок из СБ, где меня попросили подтвердить свою личность и намерение передать другому лицу необычную сумму денег. Второй случай случился в Уфе: мой друг-иностранец попытался расплатиться картой зарубежного банка в российском банкомате. К его сожалению и величайшему дискомфорту, банкомат "съел" карту в целях безопасности, посчитав, что она была украдена или подделана.

Как крадут карты и как защитить себя

Поскольку от одного номера карты и кода подтвержения (CVV или CVC2) толку мало, кардеры стараются получить дампы, для чего нужен физический доступ к карте. Получить его они могут двумя путями: установив скиммер в банкомат или взломав мобильный терминал, при помощи которого карты принимают к оплате, например, в ресторанах и барах. Если в последнем случае хакерам потребуется сотрудничество сообщника в лице официанта или кассира, то в случае скиммера всё проще и распространённее.

Скиммер (от "skim" — снимать сливки) — специальное считывающее устройство, работающее прослойкой между картой и банкоматом. Оно присоединяется к лотку приёма карт в банкомате и пропускает карты сквозь себя, считывая с них информацию специальной головкой. Иногда считыватель дополняет мобильная камера, записывающая PIN, вводимый пользователем на клавиатуре, или специальная накладная клавиатура, запоминающая введённую последовательность.

Показать

Один из примеров внешнего вида скиммеров

Скиммер и камеру обычно маскируют под цвета банкомата, на который их устанавливают, или даже под рекламные материалы, чтобы возникало ещё меньше подозрений. Они работают от батареек, но чаще всего не передают информацию по сети: злоумышленнику предстоит снять их с банкомата и подключить к компьютеру, чтобы заполучить собранные данные.

Обычно скиммеры выглядят чужеродно и слегка выпирают над поверхностью корпуса банкомата, однако их можно спутать с антискимминговыми устройствами. Есть и более незаметные варианты — шиммеры — которые представляют собой считывающую полоску толщиной 0,1-0,2 миллиметра, устанавливаемой внутрь отверстия для приёма карты.

Инкассаторы каждый раз проверяют банкоматы на наличие скимминговых устройств, поэтому обычно их стараются помещать на устройства в людных местах — там, где за короткое время между двумя инкассациями удастся считать наибольшее количество карт: например, на вокзалах и в торговых центрах. Банки тоже не сидят на месте: устанавливают специальные антискиммеры, усложняющие насадку и использование считывателей.

Показать

Антискиммер

Приведём несколько советов по тому, как снизить риск угона пластиковой карты.

1. Пользоваться проверенными банкоматами вашего банка в офисе банка — там, где он охраняется и за его безопасностью следит несколько камер.

2. Внимательно осматривать банкомат перед тем, как воспользоваться им. Если внешний вид устройства для приёма карт вызывает подозрения (например, он выпирает, не зафиксирован, другого цвета или материала), клавиатура выглядит непривычно, а рядом находится лоток с рекламными материалами, куда может быть встроена камера, лучше не пользоваться банкоматом.

3. При наборе PIN лучше прикрывать клавиатуру рукой сверху, страхуясь от возможных камер или подсматривающего злоумышленника. Некоторые банкоматы оснащены специальными шторками.

4. По возможности выпускать не обычную карту, а смарт-карту с электронным чипом. Её обслуживание обходится дороже, но безопасность выше: её сложнее подделать, а для всех операций необходимо введение PIN-кода (в отличие от обычных карт, где может хватить росписи владельца). Однако не все банкоматы поддерживают использование чипов: в этом случае они проходят через магнитную полосу.

5. Банальный, но действенно: не показывайте свою карту посторонним. Подсмотреть вводимый PIN может улыбающийся официант.

В случае, если вы всё-таки воспользовались подозрительным банкоматом, и теперь вас мучают сомнения, не нарвались ли вы на скиммер, позвоните в банк и заблокируйте карту, а затем перевыпустите с новыми данными. Несмотря на то, что некоторые мошенники могут мгновенно получить данные вашей карты в случае беспроводного подключения к скиммеру (один из читателей "Хабрахабра" описывал такой случай), массовые взломы обычно осуществляются много позже. Оперативным перевыпуском карты можно избежать потери денег.

Источник: tjournal.ru

comments powered by HyperComments

Поделитесь страницей в социальных сетях, что бы рассказать вашим друзьям:
1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (Пока оценок нет)
Загрузка...
Похожие статьи
Коментарии