Мошенники придумали новый способ кражи денег с банковских карт

В ИБ-блоге компании Sucuri появилась информация о новом способе мошенничества с банковскими картами. К сотрудникам бренда обратился владелец веб-сайта, чей ресурс неожиданно оказался в черном списке антивируса. Как оказалось, он был заражен программой-скиммером, нацеленным на кражу денежных средств с карт пользователей.

Оказалось, что скиммер был связан с доменом google-analytîcs[.]com, который относится к интернационализованным доменным именам — как можно заметить, в адресе есть буква национального алфавита. Заменяя одну букву на другую, злоумышленник обманом завлекает пользователя на поддельный сайт, отличающийся от оригинала на один символ. Кроме того, «google» в адресе наталкивает юзера на мысль, что это надежный сайт, и усыпляет его бдительность.

Когда пользователь заходит на фейковый сайт, скиммер незаметно для владельца карты похищает передаваемые им данные, отправляя их оператору-злоумышленнику.

Мошенничество в интернете в сегменте CNP-операций [операций без присутствия карты — «Газета.Ru»] осталось единственной массовой схемой хищения денег с банковских карт, рассказывает начальник отдела по противодействию мошенничеству Центра прикладных систем безопасности компании «Инфосистемы Джет» Алексей Сизов.

«Количество сайтов-двойников, случаев инъекций опасного кода на web-ресурсы имеет лавинный рост. Механизмы противодействия таким атакам существуют, но далеко не все ресурсы обеспечивают контроль за инъекциями, особенно когда они проводятся на устройстве клиента. Далеко не все сайты-клоны обнаруживаются и блокируются оперативно», — пояснил эксперт.

Киберпреступники могут взламывать сайты, злоупотребляя уязвимостями сайта, используя атаки «грубой силой» или же утечку учетных данных, чтобы внедрить вредоносный код. В данном случае они использовали JavaScript — с его помощью захватываются данные платежа, введенные на сайт, рассказал «Газете.Ru» ИБ-евангелист компании Avast Луис Корронс.

Подобные методы особенно страшны для пользователей, у которых на устройстве, которое они используют для доступа к сайту, не установлен антивирус.

«Сайт не кажется подозрительным, он выглядит как обычный, надежный сайт, которому пользователи доверяют. Поэтому как правило люди спокойно вводят свои данные. Антивирусные программы могут предупредить пользователей о вредоносном содержимом сайта и заблокировать к нему доступ», — сообщил Корронс.

Еще один пугающий аспект в этом случае заключается в том, что киберпреступники, стоящие за этой атакой, очень хорошо подготовились.

«Они провели обширные исследования, нацелившись на более чем 50 платежных шлюзов. Платежные шлюзы — сервисы, которые авторизуют транзакции, что-то вроде «Яндекс.Кассы». Кроме этого, хакеры тщательно ищут на сайтах номера кредитных карт, номера CVV, даты окончания срока действия и другие платежные реквизиты», — рассказал собеседник «Газеты.Ru».

Основной мотивацией киберпреступников является финансовая выгода. В прошлом киберпреступники устанавливали скиммеры физических карт на банкоматах для кражи информации карты, но это требовало много времени и подвергало их существенному риску, при этом целевых жертв было достаточно мало.

В случае кибермошенничества, преступники могут совершать подобные атаки, не выходя из дома, просто внедряя код в веб-сайты. Такой способ предоставит им гораздо более широкий круг потенциальных жертв.

«Однако использовать украденные данные кредитной карты не так просто, поэтому киберпреступники, скорее всего, будут продавать данные в даркнете для дальнейшего использования другими преступниками», — заключил эксперт.

В начале июля Центробанк РФ рассказал о новом способе, с помощью которого мошенникам удается красть деньги из банкоматов. Это происходит при отмене транзакций, когда клиент переводит деньги другому лицу, а потом, когда на экране появляется предупреждение о взимаемой комиссии за операцию, отменяет операцию. В итоге у него на счете разблокируется замороженная сумма и уходит на счет сообщнику.