Регулярные сообщения о «совершенно новом виде» взлома банковских карт обычно сопровождаются обязательным упоминанием «миллионов людей», которые могут навсегда потерять все свои деньги. Из-за этого борьба между мошенниками и создателями систем банковской защиты выглядит особенно остро.
По данным отдела «К» МВД, в 2015 году хакеры нанесли ущерб российским банкам и платежным системам на сотни миллионов рублей. По словам руководителя пресс-службы отдела Александра Вураско, за год удалось предотвратить кражи на 1,5 млрд руб. При этом, согласно информации первого зампреда Сбербанка Льва Хасиса, киберпреступники в 2015 году нанесли России ущерб примерно на $1 млрд.
По данным отчета ЦБ за 2015 год, среди преступлений с банковскими картами абсолютное лидерство держат операции с картами, данные которых были скомпрометированы.
За прошлый год доля утерянных или украденных платежных карт, используемых для совершения несанкционированных операций, не превышает 10% от общего числа карт.
В свою очередь, доля карт, реквизиты которых использовались при осуществлении несанкционированных операций, в 2015 году выросла и составила 84% от общего числа карт, с использованием которых осуществлялись несанкционированные операции в интернете и с помощью мобильных устройств (CNP-транзакции).
Также постоянно снижается доля количества несанкционированных операций, которые совершаются с использованием банкоматов и пунктов выдачи наличных. Половина из всех преступлений с банковскими картами связана с несанкционированными CNP-транзакциями. Суммарно таким способом было похищено более 560 млн руб. за год.
С момента появления пластиковых карт компании, выпускающие их, пытаются найти идеальный способ защиты. Это должно быть нечто не вызывающее дискомфорта у обладателя карты и надежно защищающее его от кражи.
При этом пластиковые карты уже стали привычными для множества людей, из-за чего вопрос сохранности средств на них стоит особенно остро.
Эволюция систем защиты
В первых популярных банковских картах вся информация хранилась на магнитной полосе, причем бóльшая ее часть никак не была зашифрована, включая номер счета, наименование банка-эмитента и данные о параметрах доступного кредитного лимита. На этой же полосе хранился и PIN-код карты, с помощью которого владелец карты мог авторизоваться в банковских сервисах и обналичивать средства, но уже в зашифрованном виде.
Стоит отметить, что по задумке создателей этой системы защиты владельцу не нужен PIN-код для совершения покупок — достаточно лишь провести картой через считыватель. Это должно было сделать использование карты удобным для владельца, но породило способ взлома, который на протяжении десятков лет позволяет мошенникам оставаться на плаву.
Большинство современных банков уже отказались от таких типов карт, но они, пусть и в малых количествах, продолжают быть в ходу.
Для кражи средств с такой карты необходимо лишь украсть данные с магнитной полосы.
В подобных кражах злоумышленники используют специальное устройство — скиммер, чтобы полностью скопировать данные с банковской карты, после чего сделать ее полную копию. После этого мошенник обычно старается как можно быстрее завладеть деньгами — совершает ряд дорогостоящих покупок и продает товары за наличные.
В настоящее время в банковских картах используется более современная система защиты — чип. Он, в отличие от магнитной полосы, вшит в пластиковую карту и хранит практически всю информацию о владельце в зашифрованном виде. Исключением является номер карты, несколько последних операций и другая информация, которую определяют банк-эмитент и платежная система. При этом данные о покупателе не передаются напрямую через терминал — вместо этого отправляется специально сгенерированный код, который проверяется в базе данных банка.
Однако и эта защита не является абсолютно безопасной. К примеру, во Франции группа хакеров смогла похитить более $680 тыс., обойдя подобную систему защиты. Специалистам из École Normale Supérieure (Высшая нормальная школа) пришлось провести целое исследование, чтобы выяснить, как хакерам удалось осуществить кражу.
Оказалось, что мошенники встроили дополнительный самодельный чип в украденную карту, что позволило избежать процедуры ввода PIN-кода.
Благодаря дополнительному чипу злоумышленники смогли реализовать атаку man-in-the-middle, при которой хакеры перехватывали запрос PIN-кода и отвечали, что он верен, каким бы код ни был. Даже то, что из-за дополнительного чипа карта стала толще, не мешало хакерам ею пользоваться. Однако баг, позволяющий выполнить подобную атаку, уже исправлен в большинстве стран мира.
Несмотря на высокий уровень защиты, владельцу карты с чипом постоянно требуется вводить PIN-код даже для самых малозначительных покупок. Для решения этой проблемы была создана система бесконтактных платежей, когда для совершения покупки достаточно поднести карту к считывающему аппарату.
Кроме того, вся информация о клиенте банка хранится в базе самого банка, а не на карте. Таким образом мошенник никак не сможет получить доступ к информации, даже если украл карту или смартфон, с которого теперь также стало возможно совершать платежи. Вместе с этим для бесконтактных платежей был создан специальный способ передачи данных, который исключает возможность перехвата информации.
Для совершения небольших покупок, до тысячи рублей, теперь не требуется вводить PIN-код, что и пугает большинство пользователей.
Данный способ оплаты не распространен в России, и далеко не у каждого есть карта, которая может совершать бесконтактные платежи, а смартфоны для совершения платежей так и вовсе почти нигде не принимаются. По этой причине многие были напуганы историей, которая была растиражирована в начале 2016 года, когда в московской подземке был замечен мужчина с включенным считывателем карт.
В таком случае, даже если злоумышленнику удалось приложить считыватель к карте и снять средства, транзакцию можно без проблем отследить и вернуть деньги. В случае с «самопальными» терминалами все так же сложно, так как устройство должно иметь криптографические ключи, полученные у банка-эквайера и платежной системы, которые выдаются по договору с банком-эквайером. Поэтому и такую кражу можно будет отследить и мошенник будет задержан.
Максимум что можно сделать с подобной картой — считать по NFC ту самую информацию, которая хранится в незашифрованном виде на чипе. До недавнего времени многие полагали, что эта информация не позволит украсть деньги со счета владельца карты, однако эксперты из Which опровергли эту информацию.
Им удалось декодировать номера десятка карт, а также дату окончания срока их действия. Несмотря на то что во многих интернет-магазинах требуется CVV-код, исследователи все же нашли магазин без необходимости его ввода и смогли продемонстрировать покупку по чужой карте без каких-либо дополнительных усилий. Так, они смогли приобрести телевизор стоимостью £3 тыс. (более 260 тыс. руб.).
Российские способы взлома
«Газете.Ru» удалось пообщаться с сотрудником МВД и выяснить, какие из способов кражи средств представляют наибольшую угрозу в России. Он рассказал, что злоумышленники не пытаются «заигрывать» с новыми системами защиты и используют старые, проверенные и бюджетные способы мошенничества.
«Кражи средств с карт с бесконтактной оплатой у нас не было ни одной, разве что были случаи скимминга, но и это происходило всего два раза», — рассказал источник в МВД.
Главной целью злоумышленников в России, по его словам, является приложение мобильного банка. Злоумышленники пытаются получить к нему доступ с помощью вирусов на Android- и Windows-смартфоны, а также социальной инженерии, то есть фишинга, и других способов обмана.
Причем, как рассказал собеседник, вирусы распространяются не только через сайты с программами для смартфонов. Также имеют место случаи, когда пользователь загружал себе фотографии и другой медиаконтент, после скачивания которого предлагалось установить программу с вирусом. Пользователи относятся к этому без должной осторожности и сами предоставляют доступ к данным на смартфоне.
Злоумышленники также с особой легкостью получают доступ к мобильному банку благодаря тому, что жертва сама по телефону называет все необходимые данные. К примеру, мошенник размещает объявление на сайте продаж, после чего ему звонят люди, и в диалоге под различными предлогами злоумышленнику удается получить логин и пароль от мобильного банка.
При этом проблем с поиском виновных людей, по данным источника, практически нет. Самая главная сложность — доказать их причастность.
Собеседник рассказал, что большинство случаев связано исключительно с тем, что люди пренебрегают простейшими правилами безопасности данных. Давно известные всем способы получения конфиденциальных данных все еще остаются актуальными в России, так как люди сами часто отдают эту информацию злоумышленникам.
Для того чтобы обезопасить себя при использовании пластиковых карт с магнитной полосой, стоит проверять банкомат, который используется для снятия наличных и авторизации в системе. В случае с картами с чипом и бесконтактной оплатой стоит беречь карту и PIN-код от посторонних глаз, а при утере карты нужно незамедлительно ее заблокировать. Что касается смартфонов, то здесь способы защиты не менее традиционны — необходимо лишь установить антивирус и следить за тем, какой именно софт будет установлен на устройство.