Тепловизоры помогут скиммерам в чтении пин-кодов

⇐ ПредыдущаяСтр 4 из 9Следующая ⇒

Исследователи в области безопасности обнаружили, что тепловизор, подключенный к компьютеру с соответствующими алгоритмами, может использоваться для автоматизации краж информации о банковских картах непосредственно с банкомата.

В Сан-Франциско на симпозиуме по безопасности Usenix исследователи заявили, что данный метод имеет преимущество над большинством обычных методов скимминга, для которых используются традиционные камеры, чтобы заснять ПИН-код, вводимый пользователями при проведении операций по карте. Клиенты часто, умышленно или случайно, заслоняют обзор камеры своим телом. Поэтому злоумышленникам приходится тратить большое количество времени на просмотр видеозаписей, с целью поиска и регистрации введенных кодов. Тепловидение позволяет сильно ускорить процесс, восстанавливая ПИН-код через некоторое время после того, как он был введен.

Полученные данные основаны на исследовании Майкла Залевски, проведенном в 2005 году. На сегодняшний день Залевски – один из членов команды безопасности Google. Выступавшие на конференции Usenix исследователи, основываясь на технике, представленной Залевски, протестировали 21 человека, которые ввели 27 случайно выбранных ПИН-кодов и выявили, как уровень успешного определения ПИН-кода изменяется в зависимости от типа используемой для ввода клавиатуры или температуры тела человека [27].

Шимминг – новый вид мошенничества

Мошенники изобретают новые способы красть данные кредитных карт. На смену скиммингу, с которым службы безопасности банков бороться уже более или менее научились, приходит новый вид мошенничества – шимминг. Об этом рассказал специалист Cisco Systems Джейми Хири в блоге Cisco Security Expert [28].

Скимминговые устройства – довольно громоздкие накладки на клавиатуру и кардридер банкомата, поэтому внимательный человек скорее всего сможет распознать такой аппарат. Шимминговая аппаратура имеет толщину всего одну десятую миллиметра, а это в два раза тоньше человеческого волоса. Это устройство заметить снаружи невозможно, введению карты в картридер оно также не мешает, поэтому клиент скорее всего о краже данных не заподозрит.

Случаи шимминга уже зафиксированы в Европе, в России же случаев «нового» мошенничества, по официальным данным, пока не было.

Кроме того, специалисты полагают, что в силу размера и технологических особенностей шим-устройств, стоить они будут достаточно дорого, поэтому в России вряд ли будут широко использоваться.

Защититься от шимминга непросто, потому что его непросто обнаружить. Эксперты дают ценный совет – чтобы не потерять деньги, обзаводитесь чипованными картами. Чипованная карта (от сленгового англ. «chip» - «микросхема») – это банковская карта, снабженная специальным микропроцессором. Скопировать информацию с чипа очень затруднительно, в тоже время банкомат производит авторизацию именно по данным чипа [28].

Найден способ обхода методов авторизации чиповых банковских карт

Исследователи из Кембриджского университета обнаружили фундаментальную уязвимость в протоколе EMV (Europay, MasterCard, Visa), который лежит в основе процесса авторизации дебетовых и кредитных карт, выпущенных по технологии “chip-and-PIN”.

В итоге было создано устройство, способное перехватывать обмен данными между картой и терминалом и посылать терминалу сигнал о том, что процесс авторизации пройден. В ходе испытаний устройства ученым удалось авторизовать чиповые карты шести эмитентов без необходимости ввода правильного PIN. Несмотря на то, что вводить сам четырехзначный PIN все же пришлось, терминал принимал любое сочетание цифр.

По словам авторов работы, для создания такого устройства требуются лишь самые элементарные инженерные навыки и базовые навыки программирования.

Дело в том, что большинство транзакций требует авторизации по PIN. Клиент вводит идентификационный номер в устройство ввода, после чего тот отсылается на карту и сравнивается со значением PIN, хранящимся в ее чипе. Если PIN-коды совпадают, карта отсылает терминалу код подтверждения правильности (0x9000), завершая тем самым процедуру проверки подлинности.

Исследователям удалось создать устройство “man-in-the-middle”, которое считывает данные с карты и в нужное время посылает терминалу код подтверждения 0x9000, причем делает это вне зависимости от того, какой PIN был введен.

Чтобы продемонстрировать работоспособность своей схемы, исследователи вставили подлинную чиповую карту в кард-ридер AlcorMicro, который был соединен с ноутбуком, выполняющим скрипт на языке Python. Сам ноутбук через последовательный порт был присоединен к программируемой плате Spartan-3E StarterKit, используемой для конвертации интерфейсов банковской карты и ПК.

Плата, в свою очередь, была соединена с интерфейсным чипом Maxim 1740, который был связан тонкими проводами с поддельной банковской картой, которую исследователи вставили в терминал.

После того, как карта была вставлена, скрипт на ноутбуке перехватил транзакцию, подавил отправленный терминалом запрос на подтверждение PIN и выдал в ответ код подтверждения 0x9000.

По словам авторов работы, злоумышленники могут пронести аналогичный аппаратно-программный комплекс в рюкзаке, а провода спрятать в рукаве. Это даст им возможность использовать для совершения покупок или перевода денег краденные действительные карты [29]. Подробнее об исследовании уязвимости можно прочитать в опубликованной авторами [30].

Социальная инженерия при фишинге

Идея фишинга проста — сделать так, чтобы в момент перенаправления интернет-магазином владельца карты на страницу сервера авторизации тот попал на похожую страницу, но принадлежащую кардеру. Жертва, ничего не подозревая, вводит данные о карте в поля формы. Эти данные пересылаются кардеру и только потом отправляются на настоящий сервер авторизации. Сейчас заниматься фишингом становится все труднее, ведь почти все современные браузеры имеют антифишинговую защиту. Расчет делается лишь на человеческую беспечность. Проверка на фишинг увеличивает время загрузки страниц, поэтому многие её просто отключают. Если же афера с фишингом не проходит, кардер пробует внедрение программ троянов-кейлогеров, которые фиксируют нажатия клавиш при совершении транзакции и отсылают их злоумышленнику.

Последний вид кардерства похож работе психотерапевта, поскольку использует методы социальной инженерии (Social Engineering). «Социальные инженеры» умудряются заставить владельца карты самого продиктовать ее данные. Такой мошенник притворяется сотрудником банка, налоговым инспектором или полицейским и спрашивает данные вашей карты по телефону. Жертва, привыкшая доверять официальным лицам, безропотно выдает сведения о карте, не подозревая, что через несколько минут ее счет будет основательно подчищен. Особый вид социальной инженерии — использование коррупционных механизмов. При этом кардеры, пообещав поделиться прибылью, зачастую берут в подельники продавцов магазинов, бухгалтеров, официантов — людей, имеющих доступ к чужим картам или данным о них.

Как же кардеры распоряжаются добытой информацией. При наличии PIN-кода кардер бежит к банкоматам и за несколько транзакций опустошает счет владельца карты. Если же PIN-кода нет, остается только покупать товары и потом сбывать их нечестным путем. Ловят кардеров именно на этом этапе [26].

Объединенные кардеры

По сведениям Ассоциации региональных банков России, за 2009 год со счетов россиян кардерами было украдено более 1 миллиарда рублей. И это в России, где пластиковые карты используются сравнительно недавно.

Однако самый большой урон платежным системам наносят не один кардер, а организованные преступные группировки. Кроме финансового урона, такие группировки ставят под удар репутацию платежных систем: люди зачастую отказываются пользоваться их услугами.

И если операция одного кардера может разорить одного или нескольких человек, то группировки опустошают счета миллионов вкладчиков. Сложность борьбы с организованными кардерами заключается в распределенном характере их деятельности. У кард-группировщиков есть четкое разделение функций. При этом большинство веток системы устроены так, что в случае локального провала остальные части системы не вскрываются, что позволяет ей функционировать в штатном режиме[26].

В основе организованного кардерства лежит крупная утечка данных о картах и их владельцах. Чаще всего утечки происходят оттуда, где этих сведений огромное количество например, из процессинговых центров или даже из банков-эмитентов. Утечка может быть плановой или случайной и быть организована техническими (хакеры, ботнеты) или социально-инженерными и даже коррупционными методами. Пример схемы утечки информации представлен на рисунке 5.

Рисунок 5 - Система группы кардеров [26]

В любом случае в руки кардеров попадают гигабайты информации о держателях платежных карт. Информацию можно использовать по назначению или заработать, продав другим кардерам. Обычно владеет такой информацией кардер называемый Supplier — поставщик. Он чаще всего ведет вполне легальный образ жизни.

Полученные в ходе утечки данные о картах не применяются бездумно. Они порциями передаются команде под названием Account Washers (отмывальщики учетных записей). Они собирают полные сведения о владельцах карт, пользуясь разными законными путями. Цель — знать о холдерах все, включая то, где они находятся в данный момент. Получив эти сведения, отмывальщики передают их в руки Account Preparers — подготавливающим учетные записи. Команда эта работает тихо и незаконно. Она изготавливает поддельные документы на имя владельцев карточек, подглядывает заводимыми в банкоматы PIN-кодами, то есть создают почву для практически легального проведения транзакций. Чтобы счетами жертв можно было пользоваться многократно и без вызывания подозрений, в группировке трудится бригада Account Maintainers(формирователи учетной записи). Они планируют, сколько нужно снять со счета и положить на него, чтобы кредитная линия банка всегда была открыта и владелец-жертва не заподозрил, что его обманывают.

Только после всего этого подготовительного этапа поддельные карты, документы, даты совершения транзакций, их суммы и даже места проведения передаются в так называемые ячейки (Cells) — армию рядовых кардеров. Ячейки делятся на Foot Soldiers —кардеры которые кочуют между указанными им банкоматами и снимают нужные суммы с нужных счетов в нужный момент времени, и Shoppers — покупателей, виртуозно исполняющих роли владельцев карт, вплоть до имитации внешности и использования поддельных документов.

Группа кардеров, пойманная в США в ходе операции Plastic Pipe Line, одномоментно сняли со счета жертв на 12 миллионов долларов [26].

⇐ Предыдущая 1 2 345 6 7 8 9 Следующая ⇒