Офтоп
Никита Лихачёв

Разбор полётов: Как крадут наши карты

Что такое кардинг, как устроен бизнес по продаже ворованных кредиток и как избежать потери денег самому

Два дня назад известный репортёр и специалист по кибербезопасности Брайан Кребс сообщил о масштабной утечке из национальной сети китайских забегаловок P. F. Chang's в США: по его оценке, тысячи кредитных карт были выставлены на продажу на чёрном рынке.

TJournal разобрался, откуда берутся краденые карточки в интернете, как злоумышленники получают к ним доступ и что нужно сделать, чтобы максимально обезопасить себя от потери денег.

Минутка истории: как хакеры заставили P. F. Chang's перейти на дореволюционные технологии

9 июня на сайте подпольного магазина rescator[dot]so появилась свежая партия краденых карт, рассказал в своём блоге Брайан Кребс. Связавшись с несколькими банками, начавшими реагировать на утечку данных, он выяснил, что все карты, которые удалось проверить, использовались в сети китайских бистро P. F. Chang's в промежуток между началом марта 2014 года и 19 мая.

Спустя двое суток представители P. F. Chang's подтвердили кражу карт, вызванную кибератакой на рестораны сети. Компания начала расследование произошедшего, а пока что вместо привычных электронных терминалов P. F. Chang's будет использовать старые считыватели кредитных карт, работающих на дайлап-интернете, а также сохранять бумажные чеки от платежей по картам.

Как именно это повысит безопасность, компания не сообщила, однако ясно, что удалённо украсть (а затем перепродать) большой объём бумажных чеков гораздо сложнее, чем взломать тысячи карт через одно современное устройство.

В начале марта стало известно о краже данных 282 тысяч банковских карт, которыми расплачивались в сети салонов красоты Sally Beauty. Когда компанию спросили о произошедшем, её представители сообщили, что хотя проникновение в сеть компании было зафиксировано, ни сотрудники безопасности Sally Beauty, ни сторонние эксперты не смогли найти следов кражи данных.

Чтобы опредилить точку, в которой и было проведено преступление, банки производят «контрольную закупку» карт — обычно несколько десятков штук. Проверяя их по своей базе, они вычисляют так называемый CPP, common point of purchase — магазин, в котором расплачивались всеми картами из партии.

Однако мастшаб этой операции не идёт ни в какое сравнение со взломом сети супермаркетов Target, произошедшей в ноябре 2013 года. Тогда были украдены данные 110 миллионов покупателей, которые позднее появились на сайте уже упомянутого магазина, rescator[dot]so. По некоторым данным, 70 миллионов из карт были взломаны при помощи вируса «Kaptoxa», созданного российским подростком, однако в разговоре с TJournal он опровергал своё участие.

Несмотря на существующую угрозу безопасности остальных своих клиентов, Target не отказался от использования электронных систем обработки платежей с кредиток: в масштабе гигантской сети супермаркетов это было бы равносильно переводу всех грузовиков с товарами на лошадиные повозки.

Кратко об устройстве бизнеса кражи данных карт

Мошенничество с угоном данных карт называется кардингом. Иногда злоумышленники ограничиваются несколькими частными кражами, но серьёзную угрозу представляют масштабные спланированные операции, в результате которых оказываются скомпрометированными не десятки и сотни, а тысячи и миллионы пластиковых карт. Такие партии пластика тяжело воспроизвести в виде копий и опасно обналичивать, поэтому добывшие их взломщики сбывают их другим преступникам, по пути выручая крупную сумму денег.

Существуют сотни подпольных интернет-магазинов, продающих карты. Один из самых известных — McDumpals (да, магазин косит под сеть фастфудов, играя на ассоциации со скоростью обслуживания), о котором недавно рассказывал Кребс. Стремясь обеспечить собственную безопасность, магазин пускает не всех, а только по вступительному взносу в 100 долларов. Как и остальные платежи, вступительный взнос можно заплатить только в биткоинах.

Например, на скриншоте магазин McDumpals продаёт 1245 карт за 10,5 тысяч долларов. MA-CT означает код штатов: Массачуссетс и Коннектикут.

Несмотря на то, что большинство дамп-шопов используют множественных поставщиков краденых карт, они не занимаются повторной перепродажей данных. После того, как карту продают покупателю, она исчезает из магазина, и если кто-то попробует перепродать её повторно, он будет удалён из цепочки и внесён в чёрный список.

Иногда магазины продают карты пачками свыше тысячи штук. Всё, что покупатель знает об этих картах — место, откуда они происходят, и их «свежесть»: чем свежее, тем больше вероятность, что карты окажутся рабочими (а не будут сломаны, потеряны или перевыпущены).

Главная характеристика продаваемых партий — процент валидности. Например, если продавец заявляет, что этот показатель поставляет 50 процентов, это означает, что каждая вторая карта из партии не сработает в банкомате и полностью бесполезна. Чем свежее карта, тем меньше шанс, что банки уже успели отреагировать на кражу партии их карт и заблокировать их.

Карты, украденные в ходе атаки на Target, продавались несколькими последовательными партиями, каждая из которых постепенно дешевела из-за падающего процента валидности. Как видно из графика, даже спустя два месяца после «слива» базы карт свыше половины из них были работоспособными — по крайней мере, так их рекламировали продавцы.

Сохранившийся высокий процент валидных карт — вина и самих банков, не пожелавших перевыпускать карты: по словам Кребса, выпуск одной карты стоит от 3 до 5 долларов, а взлом ещё и неудачно выпал на время рожденственских праздников, когда все клиенты активно пользуются кредитками и не готовы ждать, пока их перевыпустят.

Похожая ситуация произошла в России в апреле из-за уязвимости Heartbleed. Когда неизвестные опубликовали информацию об утечке данных 200 тысяч российских карт, якобы вызванной багом на сайте РЖД, ответственный за процессинг банк ВТБ не поспешил перевыпускать их, заявив, что утечки не было. В то же время мобильный банк «Рокетбанк» перевыпустил карты для своих клиентов, благо их было всего 30 штук. Спустя три недели банки всё-таки стали блокировать карты, а ВТБ отчитался постфактум, что ещё на начальном этапе заблокировал карты с «повышенным риском». Подробности истории.

Первые партии, имевшие максимальный рейтинг, продавались частями по миллиону штук от 20 до 100 долларов за карту, рассказывал Брайан Кребс, однако впоследствии цена упала вплоть до 8 долларов. Высокие цены на краденые карты были связаны также и с тем, что rescator[dot]so продавал так называемые дампы — данные с магнитных полос, позволяющие воспроизводить копии кредиток.

Как используют украденные карты

Дампы — это данные, которые при помощи вредоносного кода, встроенного в скиммеры в банкоматах и мобильных терминалах оплаты, извлекаются из непосредственно магнитной полосы. Получив эти данные, кардеры могут создать реплику оригинальной карты, чтобы использовать её для покупок в больших супермаркетах.

В обычном же случае покупатель имеет только данные, годящиеся для покупок в интернете. Хотя сегодня в сети можно купить всё что угодно, от пиццы до оружия и наркотиков, использовать краденые кредитки для крупных покупок в интернете не так удобно, как превратить всю сумму в наличные в удобном тебе банкомате. По крайней мере, бумажные деньги отследить гораздо сложнее.

Кардеры предпочитают покупать карточки, прежние владельцы которых жили неподалёку или в том же городе. Это связано с системой безопасности: если банк видит, что при помощи карты некто пытается совершить платёж из места, откуда владелец ранее не производил покупок, он помечает операцию как подозрительную. Тогда в дело вмешивается служба безопасности: обычно транзакция блокируется до тех пор, пока владелец лично её не подтвердит.

На моей памяти таких случаев было два: однажды, когда я только завёл свою первую карту, мне нужно было произвести относительно крупный перевод денег. Через десять секунд после нажатия кнопки «Отправить» раздался звонок из СБ, где меня попросили подтвердить свою личность и намерение передать другому лицу необычную сумму денег. Второй случай случился в Уфе: мой друг-иностранец попытался расплатиться картой зарубежного банка в российском банкомате. К его сожалению и величайшему дискомфорту, банкомат «съел» карту в целях безопасности, посчитав, что она была украдена или подделана.

Как крадут карты и как защитить себя

Поскольку от одного номера карты и кода подтвержения (CVV или CVC2) толку мало, кардеры стараются получить дампы, для чего нужен физический доступ к карте. Получить его они могут двумя путями: установив скиммер в банкомат или взломав мобильный терминал, при помощи которого карты принимают к оплате, например, в ресторанах и барах. Если в последнем случае хакерам потребуется сотрудничество сообщника в лице официанта или кассира, то в случае скиммера всё проще и распространённее.

Скиммер (от «skim» — снимать сливки) — специальное считывающее устройство, работающее прослойкой между картой и банкоматом. Оно присоединяется к лотку приёма карт в банкомате и пропускает карты сквозь себя, считывая с них информацию специальной головкой. Иногда считыватель дополняет мобильная камера, записывающая PIN, вводимый пользователем на клавиатуре, или специальная накладная клавиатура, запоминающая введённую последовательность.

Один из примеров внешнего вида скиммеров

Скиммер и камеру обычно маскируют под цвета банкомата, на который их устанавливают, или даже под рекламные материалы, чтобы возникало ещё меньше подозрений. Они работают от батареек, но чаще всего не передают информацию по сети: злоумышленнику предстоит снять их с банкомата и подключить к компьютеру, чтобы заполучить собранные данные.

Обычно скиммеры выглядят чужеродно и слегка выпирают над поверхностью корпуса банкомата, однако их можно спутать с антискимминговыми устройствами. Есть и более незаметные варианты — шиммеры — которые представляют собой считывающую полоску толщиной 0,1-0,2 миллиметра, устанавливаемой внутрь отверстия для приёма карты.

Инкассаторы каждый раз проверяют банкоматы на наличие скимминговых устройств, поэтому обычно их стараются помещать на устройства в людных местах — там, где за короткое время между двумя инкассациями удастся считать наибольшее количество карт: например, на вокзалах и в торговых центрах. Банки тоже не сидят на месте: устанавливают специальные антискиммеры, усложняющие насадку и использование считывателей.

Антискиммер

Приведём несколько советов по тому, как снизить риск угона пластиковой карты.

1. Пользоваться проверенными банкоматами вашего банка в офисе банка — там, где он охраняется и за его безопасностью следит несколько камер.

2. Внимательно осматривать банкомат перед тем, как воспользоваться им. Если внешний вид устройства для приёма карт вызывает подозрения (например, он выпирает, не зафиксирован, другого цвета или материала), клавиатура выглядит непривычно, а рядом находится лоток с рекламными материалами, куда может быть встроена камера, лучше не пользоваться банкоматом.

3. При наборе PIN лучше прикрывать клавиатуру рукой сверху, страхуясь от возможных камер или подсматривающего злоумышленника. Некоторые банкоматы оснащены специальными шторками.

4. По возможности выпускать не обычную карту, а смарт-карту с электронным чипом. Её обслуживание обходится дороже, но безопасность выше: её сложнее подделать, а для всех операций необходимо введение PIN-кода (в отличие от обычных карт, где может хватить росписи владельца). Однако не все банкоматы поддерживают использование чипов: в этом случае они проходят через магнитную полосу.

5. На снятие денег с карты в некоторых банках можно устанавливать лимит — например, не более 20 тысяч рублей в сутки. Иные карты можно выпускать уже с предельным лимитом: например, можно создать виртуальную карту для платежей в интернете, по которой можно заплатить не больше 10 тысяч рублей. В случае её угона злоумышленники не смогут украсть всю сумму денег.

6. Банальный, но действенно: не показывайте свою карту посторонним. Подсмотреть вводимый PIN может улыбающийся официант.

В случае, если вы всё-таки воспользовались подозрительным банкоматом, и теперь вас мучают сомнения, не нарвались ли вы на скиммер, позвоните в банк и заблокируйте карту, а затем перевыпустите с новыми данными. Несмотря на то, что некоторые мошенники могут мгновенно получить данные вашей карты в случае беспроводного подключения к скиммеру (один из читателей «Хабрахабра» описывал такой случай), массовые взломы обычно осуществляются много позже. Оперативным перевыпуском карты можно избежать потери денег.

И не выкладывайте фото вашей кредитки в Инстаграм,
Никита Лихачёв,
TJournal

# #безопасность #банкоматы #кредитные_карты #атака_на_Target #Разбор_полётов #Брайан_Кребс #P_F_Chang_s #Target #банковские_карты #пластиковые_карты #скиммеры #шиммеры #пластиковые_карты_с_чипом #McDumpals #кардеры #кардинг #rescator_dot_so