Принципи та методи захисту від скімерів для банківських карт

Принципи та методи захисту від скімерів для банківських карт

Кіберзлочинці використовують різні методи крадіжки даних платіжної картки під час транзакції. У цій статті розглянуті найбільш типові способи, а також заходи захисту, щоб ви не виявилися жертвою махінацій подібного роду.

Автор: Lucian Constantin

Що являє собою скіммер платіжної картки

У сфері безпеки під скиммером мається на увазі будь-який апаратний пристрій для крадіжки інформації, збереженої на платіжних картах, коли покупець здійснює транзакцію в банкоматі, на заправній станції або в платіжному терміналі. Проте нещодавно значення цього терміна було розширено, і під скиммером стало розумітися будь-який шкідливий додаток або код, спрямований на крадіжку інформації про платіжні картки, в тому числі під час покупок в інтернет-магазинах.

Незалежно від типу скімера (апаратного або програмного) зловмисники мають схожі цілі, а конкретно – обман покупця, коли отримана інформація використовується для клонування фізичних платіжних карток або вчинення підроблених транзакцій в інтернеті.

Як працюють скіммінговие пристрої

Фізичні скімери проектуються під певні моделі банкоматів, каси самообслуговування та інші платіжні термінали таким чином, щоб утруднити виявлення. Скіммінговие пристрої бувають різних форм, розмірів і мають кілька компонентів.

У кожному скімері завжди присутній компонент для зчитування карт, що складається з невеликої мікросхеми, яка живиться від батареї. Зазвичай скіммер знаходиться всередині пластикової чи металевої оболонки, що імітує справжній кард-рідер цільового банкомату або іншого пристрою. Цей компонент дозволяє шахраю скопіювати інформацію, закодовану на магнітній смузі карти, без блокування реальної транзакції, що здійснюється користувачем.

Другий компонент скімера – невелика камера, прикріплена до банкомату або підроблена клавіатура для вводу пін-коду, що знаходиться поверх цієї клавіатури. Як неважко здогадатися, мета цього компонента – крадіжка пін-коду, який разом з даними, збереженими на магнітній смузі, використовується для клонування карти і виконання неправомірних транзакцій в країнах, де подібного роду злочини широко поширені.

Однак оскільки в багатьох країнах стали використовуватися картки з чіпами, зловмисники також адаптували свої технології і стали виготовляти більш складні скімери. Деякі скіммінговие пристрої настільки тонкі, що можуть вставлятися усередину слоти карт-рідера. По-іншому ці пристрої називаються deep insert скімерами або скімерами глибокого проникнення. Пристрої, звані «шиммерами» вставляються в слот кард-рідера і спроектовані для зчитування даних з чіпів на картах. Однак слід зазначити, що ця технологія застосовується лише там, де некоректно реалізований стандарт EMV (Europay + MasterCard + VISA).

Скімери також можуть встановлюватися повністю всередині банкоматів, як правило, технічними фахівцями з нечистоплотними помислами або за допомогою свердління або пробивання дірок оболонці банкомату і заклеюванням цих отворів стікерами, що виглядають як частина загальної конструкції. У звіті компанії Visa наведені зображення різних типів фізичних скімерів, знайдених в банкоматах по всьому світу, а також модифіковані касові термінали, що продаються на чорному ринку, які також можуть використовуватися для крадіжки інформації з карти.

Як захиститися від скімерів для платіжних карт

Внаслідок великої різноманітності скимминговых пристроїв універсального способу, як не стати жертвою зловмисників, не існує. Рекомендації такі:

  • Уникайте банкоматів, встановлених поза будівель або розташованих в місцях з поганим освітленням. Для установки скімерів зловмисники вибирають банкомати в малолюдних місцях, що знаходяться поза банків або магазинів і не під наглядом великої кількості камер. Крім того, як правило, скімери встановлюються у вихідні, коли навколо найменше цікавих очей. Тому намагайтеся знімати готівку у вихідні тільки в разі крайньої необхідності.

  • Перед вставкою карти поворушіть або потягніть кард-рідер і клавіатуру для набору пін-коду і переконайтеся, що ці компоненти не від’єднуються і не зсуваються. Як правило, зловмисники використовують низькоякісний клей для прикріплення скімера, оскільки згодом це пристрій має бути вилучено. На цьому відео показано, як професіонал у сфері кібербезпеки виявляє скіммер, прикріплений до банкомату на одній з вулиць у Відні.

  • Звертайте увагу на дивні ознаки: отвори, шматки пластику або металу, які виглядають не до місця, компоненти, колір яких не збігається з іншою частиною банкомату і стікери, наклеєні нерівно. Якщо в банкоматі присутні пломби для службових замків, перевірте, чи немає в цих місцях пошкоджень.

  • При наборі пін-коду закривайте клавіатуру руками, щоб набрані цифри не змогли потрапити на відео шкідливої камери. Цей метод не допоможе у випадку накладної клавіатури, але в цілому зменшить ймовірність крадіжки пін-коду.

  • Якщо на вашій картці є чіп, завжди використовуйте кард-рідери терміналів з підтримкою чіпів, замість «прокатування» магнітної смуги.

  • Відстежуйте рахунку на предмет неправомірних транзакцій. Якщо у вашій карті передбачені повідомлення через додаток або СМС після кожної транзакції, користуйтеся цими функціями.

  • Якщо дозволяє функціонал, встановіть ліміт зняття готівки під час однієї транзакції або протягом однієї доби.

  • Використовуйте дебетову карту, прикріплену до рахунку, де знаходиться невелика кількість грошових коштів, і поповнюйте цей рахунок по мірі необхідності, замість використання карти, прикріпленої до основного рахунку, де знаходяться всі ваші гроші.

Програмні скімери

Програмні скімери націлені на програмні компоненти платіжних систем і платформ, будь то операційна система платіжного терміналу або оплати сторінка інтернет-магазину. Будь-який додаток, яке обробляє незашифрованную інформацію про платіжну картку, може стати метою вредоноса, заточеного під скіммінг.

Шкідливий, заточені під платіжні термінали, використовувалися для вчинення найбільших крадіжок даних про кредитних картах, включаючи зломи в 2013 і 2014 роках компаній Target і Home Depot. В результати були скомпрометовані десятки мільйонів карт.

У POS терміналів є спеціальні периферійні пристрої, наприклад, для зчитування карт, але в іншому відмінностей від звичайних комп’ютерів практично немає. У багатьох випадках термінали працюють на базі Windows у зв’язці з касовим додатком, що фіксує всі транзакції.

Хакери отримують доступ до подібних систем, використовуючи вкрадені облікові записи або експлуатуючи уразливості, а потім встановлюють шкідливі програми для сканування пам’яті на предмет патернів, що збігаються з інформацією про платіжні картки. Звідси і назва цих шкідників «RAM scraping». Інформація про картку (за винятком пін-коду) зазвичай не шифрується при локальній передачі від кард-рідера в додаток. Відповідно, не становить особливої праці скопіювати ці дані з пам’яті.

Веб-скімери

В останні роки виробники платіжних терміналів стали впроваджувати межконцевое шифрування (P2PE) для посилення безпеки з’єднання між кард-рідером і платіжним процесором, внаслідок чого багато зловмисники переключили увагу на інше слабка ланка: схему оплати в інтернет-магазинах і на інших сайтах, пов’язаних з електронною комерцією.

У нових сценаріїв атак, пов’язаних з веб-скіммінгом, використовуються ін’єкції шкідливого JavaScript-коду сторінки інтернет-магазинів з метою перехоплення інформації про карту, коли користувач здійснює оплату. Як і у випадку з POS-терміналами, незахищені дані перехоплюється під час транзакції перед відсиланням платіжного процесора через зашифрований канал або перед шифруванням і додаванням в базу даних сайту.

Веб-скіммінгу вже зазнали сотні тисяч сайтів, включаючи широко відомі бренди: British Airways, macy’s, NewEgg і Ticketmaster.

Як захиститися від програмних скімерів

Ви, як користувач, навряд чи зможете щось зробити, щоб запобігти компрометирование подібного роду, оскільки у вас немає контролю над додатком у платіжному терміналі або кодом на сторінках інтернет-магазину. Тут відповідальність за безпечність покупок повністю лежить на продавців і розробників технології, використовуваної на сайті, створеному з метою електронної комерції. Однак ви, як покупець, можете вжити додаткові заходи для зниження ризику крадіжки карток або знизити вплив наслідків, якщо компрометирование відбудеться:

  • Відстежуйте виписки своїх рахунків і включіть повідомлення від кожної транзакції, якщо дозволяє функціонал. Чим швидше ви виявите «ліві» транзакції і поміняєте карту, тим краще.

  • Якщо можливо, використовуйте зовнішню авторизацію (outofband authorization) під час онлайн-транзакцій. Остання редакція директиви платіжних сервісів (PSD2) в Європі зобов’язує банки супроводжувати онлайн-транзакції разом з двофакторної аутентифікації через мобільні додатки, а також інші методи. Строк скарги за новими правилами розширився, але багато європейські банки вже впровадили цей механізм безпеки. Цілком ймовірно фінансові інститути в США та інших країнах також запровадять авторизацію зовнішньої транзакції в майбутньому або, як мінімум, будуть пропонувати цю функцію в якості додаткової опції.

  • Під час онлайн-шопінгу використовуйте номери віртуальних карт, якщо таку можливість надає банк, або платіть з мобільного телефону. Сервіси на кшталт Google Pay і Apple Pay використовують токенизацию. При використанні цієї технології відбувається заміна цього номера картки на тимчасовій номер, який передається в мерчант. У цьому випадку витоку номера вашої картки не відбудеться.

  • Намагайтеся оплачувати покупки за допомогою альтернативних платіжних систем, як, наприклад, PayPal, коли не потрібно вводити інформацію про картку на сторінці замовлення сайту, де ви здійснюєте покупки. Ви також можете здійснювати покупки на сайтах, де перед введенням інформації про карту відбувається перенаправлення на сторонній платіжний процесор, замість обробки цих даних самим магазином.

  • Оскільки при веб-скіммінгу використовується шкідливий JavaScript-код, програми безпеки кінцевих вузлів, інспектуючих веб-трафік усередині браузера, технічно можуть виявити подібні атаки. Однак веб-шкідливий часто піддаються обфускации і зловмисники безупинно вносять зміни у свої розробки. Хоча антивірус з останніми оновленнями може допомогти, але не в змозі детектувати всі атаки, пов’язані з веб-скіммінгом.

  • Хоча деякі великі компанії і бренди стають жертвами веб-скіммінгу, за статистикою частіше компрометированию піддаються невеликі онлайн-мерчанты із-за відсутності коштів на дорогі рішення у сфері безпеки на стороні сервера і аудити коду. З точки зору покупця під час покупок у великих магазинах ризик компрометирования нижче.

Джерело

Поділитися
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
Реклама

85

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Схожі записи

Почніть набирати текст зверху та натисніть "Enter" для пошуку. Натисніть ESC для відміни.

Повернутись вверх