Как хакеры крадут деньги с банковских карт

Еще по теме: Как с помощью BlackBox взламывают банкоматы

Все спо­собы мошен­ничес­тва с бан­ков­ски­ми кар­тами мож­но раз­делить на две катего­рии. Пер­вая — мас­совые и хорошо извес­тные. Вто­рую час­то называ­ют «белыми китами»: это инци­ден­ты, которые слу­чают­ся раз в 5–10 лет, закан­чива­ются катас­тро­фой для ата­куемых и мно­гомил­лион­ными при­быля­ми для ата­кующих и поэто­му прив­лека­ют к себе очень мно­го вни­мания со сто­роны прес­сы и регуля­торов. В любом слу­чае основной кри­терий успе­ха у кар­деров и им подоб­ных жуликов — мас­совость и прос­тота.

Если мошен­ничес­кую схе­му лег­ко вос­про­извести тысячи раз — это залог финан­совой победы над бан­ков­ской сис­темой и гря­дущей популяр­ности выб­ранно­го метода.

Самые распространенные способы кражи денег карт

Нач­нем с атак, с которы­ми пла­теж­ным сис­темам и бан­кам при­ходит­ся иметь дело регуляр­но.

Платежи без 3-D Secure

Пер­вое мес­то по рас­простра­нен­ности сре­ди мошен­ничес­ких схем занима­ют пла­тежи в интерне­те — они совер­шают­ся по схе­ме card-not-present. В свя­зи с их мас­совостью пла­теж­ные гиган­ты изоб­рели допол­нитель­ный динами­чес­кий фак­тор – код 3-D Secure.

Что такое 3-D Secure

3-D Secure — схе­ма допол­нитель­ной авто­риза­ции онлай­новых пла­тежей, исполь­зующая три сущ­ности‑домена (отсю­да и наз­вание 3-Domain Secure): домен интернет‑магази­на при­нима­ет дан­ные об опла­те и пере­адре­совы­вает поль­зовате­ля на домен пла­теж­ной сис­темы, где вво­дит­ся одно­разо­вый код. Далее резуль­тат отправ­ляет­ся на тре­тий домен бан­ка‑эквай­ера, он све­ряет этот код и отправ­ляет зап­рос, который под­твержда­ет или опро­вер­гает тран­закцию обратно по цепоч­ке интернет‑магази­ну.

3-D Secure отлично помога­ет от мас­совых мошен­ничес­ких схем. Одна­ко часть магази­нов, в том чис­ле круп­ных, таких как «Ама­зон», до сих пор не готова работать с 3-D Secure, который, по их мне­нию, умень­шает кон­версию. А меж­дународ­ные пла­теж­ные сис­темы и не нас­таивают! Луч­ше тра­тить боль­ше — это их девиз. Текущие пра­вила пла­тежей гла­сят, что, если кар­та под­держи­вает 3-D Secure, а магазин эту тех­нологию не под­держи­вает, в слу­чае опро­тес­тования пла­тежа финан­совые рис­ки лежат на магази­не. Если 3-D Secure не под­держи­вает кар­та — на бан­ке‑эми­тен­те. Поэто­му по все­му миру голод­ные мошен­ники ищут магази­ны, которые не тре­буют 3-D Secure.

Иног­да это мож­но вос­при­нимать бук­валь­но: в 2018 году в Великоб­ритании выяви­ли одну из мошен­ничес­ких схем. Зло­умыш­ленни­ки опуб­ликова­ли в соци­аль­ных сетях объ­явле­ния о пятиде­сятип­роцен­тной скид­ке на дос­тавку пиц­цы одно­го круп­ного брен­да. Этот бренд не исполь­зовал при опла­те 3-D Secure, и пла­тежи выпол­нялись по куп­ленным на раз­личных мар­кетах укра­ден­ным кар­там. Это давало зло­умыш­ленни­кам выруч­ку в 50% от сум­мы каж­дой про­дан­ной пиц­цы. Схе­ма про­рабо­тала нес­коль­ко месяцев, преж­де чем ее прик­рыли.

Атака клонов

Вто­рой по популяр­ности вид мошен­ничес­тва — соз­дание кло­на маг­нитной полосы кар­ты. Он до сих пор оста­ется одним из самых рас­простра­нен­ных методов атак на опе­рации с физичес­кой кар­той (так называ­емые card-present transactions). Как вы зна­ете, маг­нитную полосу чрез­вычай­но прос­то кло­ниро­вать.

К отдель­ным видам кибер­прес­тупле­ний сто­ит отнести исполь­зование спе­циали­зиро­ван­ного вре­донос­ного ПО. Ата­ка дол­жна быть лег­ко пов­торя­ема и хорошо мас­шта­биру­ема. Имен­но поэто­му зло­умыш­ленни­ки заража­ют устрой­ства, на которых исполь­зуют­ся тысячи карт каж­дый день, — опе­ратор­ские машины в круп­ных супер­марке­тах.

В 2013 году аме­рикан­ская сеть магази­нов Target под­вер­глась круп­ней­шей ата­ке. В ней прес­тупни­ки исполь­зовали еще не осо­бен­но популяр­ную тог­да схе­му «ком­про­мета­ция цепоч­ки пос­тавки». Пос­ле зараже­ния одно­го из под­рядчи­ков зло­умыш­ленни­кам уда­лось про­ник­нуть в сеть супер­марке­тов, ском­про­мети­ровать весь домен Windows и про­ник­нуть в опе­раци­онную сис­тему непос­редс­твен­но на кас­сах. На этих сис­темах запус­кались так называ­емые RAM-scraping-тро­яны, которые ска­ниро­вали память в поис­ках пат­тернов тре­ков маг­нитной полосы. Ког­да тре­ки обна­ружи­вались, тро­ян пересы­лал их на уста­нов­ленный во внут­ренней сети C&C-сер­вер, который даль­ше уже отправ­лял эту информа­цию во внеш­нюю сеть.

По­чему же кло­ниро­ван­ные маг­нитные кар­ты до сих пор так популяр­ны, нес­мотря на то что прак­тичес­ки все они сей­час осна­щены чипом? Все про­ще прос­того: во мно­гих аме­рикан­ских магази­нах до сих пор мож­но рас­пла­тить­ся кар­той, осна­щен­ной чипом, прос­то про­ведя тран­закцию с исполь­зовани­ем маг­нитной полосы. В пос­ледние 5–10 лет это, как ни стран­но, самый отста­лый рынок, из‑за которо­го маг­нитная полоса до сих пор при­сутс­тву­ет на бан­ков­ских кар­тах.

Ес­ли же пла­теж­ный тер­минал вдруг отка­жет­ся при­нимать маг­нитную полосу сра­зу, есть схе­ма, работа­ющая в обе­их Аме­риках и Евро­пе, — technical fallback. Эта тех­ника зак­люча­ется в том, что зло­умыш­ленник триж­ды встав­ляет в бан­комат или тер­минал кар­ту с несущес­тву­ющим чипом и пос­ле треть­ей неус­пешной попыт­ки чте­ния тер­минал точ­но пред­ложит про­вес­ти опе­рацию по маг­нитной полосе.

В любом из этих слу­чаев ответс­твен­ность по пра­вилам лежит на магази­не, выпол­нившем такую высоко­рис­ковую опе­рацию. Тем более пла­теж­ные сис­темы, такие как MasterCard, что­бы избе­жать имид­жевых рис­ков, рекомен­дуют откло­нять тран­закции, при­шед­шие в режиме technical fallback. Никому не хочет­ся выяс­нять, была ли на самом деле у кли­ента укра­дена кар­та, или он прос­то захотел не тра­тить день­ги и объ­явить о мошен­ничес­кой опе­рации. Еще мень­ше хочет­ся объ­яснять разоз­ленным кли­ентам, почему по их кар­там купили телеви­зоры за тысячи дол­ларов и в сот­нях километ­ров от их реаль­ного мес­тополо­жения.

А что в России?

В Рос­сии тер­миналы не дол­жны при­нимать к опла­те маг­нитную полосу, если кар­та осна­щена чипом. И даже technical fallback дол­жен быть под зап­ретом. Одна­ко есть неп­рият­ные исклю­чения. На под­поль­ных форумах недав­но обсужда­ли, что сеть «Ашан» име­ет тер­миналы, при­нима­ющие опе­рации по technical fallback. В любом слу­чае, даже если хакеры не могут исполь­зовать рус­ские кар­ты в Рос­сии, им ник­то не меша­ет про­давать эти дан­ные дру­гим хакерам в Евро­пе или Аме­рике для даль­нейшей монети­зации.

Еще по теме: Как взламывали Сбербанк

Офлайновые транзакции по чипу и атаки на аутентификацию

По пра­вилам сов­ремен­ных пла­теж­ных сис­тем 99,9% опе­раций по кар­там дол­жны совер­шать­ся онлайн — с под­твержде­нием крип­тограм­мы на сто­роне бан­ка‑эми­тен­та. Исклю­чения — это мет­ро, опла­ты в самоле­тах и на кру­изных лай­нерах. То есть там, где интернет дос­тупен с перебо­ями либо нет воз­можнос­ти подол­гу ждать отве­та от бан­ка‑эми­тен­та, как, нап­ример, у тур­никетов мет­ро.

Да и ког­да соз­давались про­токо­лы EMV, мно­жес­тво пла­теж­ных сис­тем работа­ло в офлай­не по так называ­емым Floor limit — опе­рации выше этих лимитов дол­жны были под­тверждать­ся онлайн, а ниже — про­ходи­ли в локаль­ном режиме, то есть под­твержда­лись самим тер­миналом. Еще 5–10 лет назад количес­тво таких тер­миналов, осо­бен­но в стра­нах Латин­ской и Север­ной Аме­рики было дос­таточ­но велико, что­бы мас­сово пытать­ся ата­ковать недос­татки офлай­новой аутен­тифика­ции карт.

Белые киты

Имен­но для защиты от мас­сового и прос­того мошен­ничес­тва ког­да‑то были изоб­ретены кар­ты с чипом и под­твержде­ние тран­закций с помощью кода 3-D Secure. Эти методы защиты не иде­аль­ны, у них были свои проб­лемы, о которых экспер­ты пре­дуп­режда­ли с самого начала. Одна­ко такие кар­ты до сих пор не уда­ется мас­сово взла­мывать, а ког­да ата­ка получа­ется, она боль­ше похожа на блиц­криг — все про­исхо­дит в счи­таные дни или часы. Неболь­шая груп­па зло­умыш­ленни­ков получа­ет мак­симум при­были и исче­зает с горизон­та. Имен­но поэто­му каж­дый слу­чай или новая схе­ма вызыва­ют у экспер­тов боль­шой инте­рес.

Та­кие слу­чаи мы будем называть белыми китами. Это инци­ден­ты, которые слу­чают­ся раз в 5–10 лет, закан­чива­ются катас­тро­фой для ата­куемых бан­ков и мно­гоми­лион­ными при­быля­ми для ата­кующих и поэто­му прив­лека­ют к себе очень мно­го вни­мания со сто­роны прес­сы и регуля­торов. Я рас­ска­жу о нес­коль­ких видах подоб­ных атак, что­бы наг­лядно про­иллюс­три­ровать фун­дамен­таль­ные недос­татки тех­нологий кар­точных пла­тежей.

Распределенные атаки на подбор карточных реквизитов

Та­кие ата­ки час­то называ­ют BIN Master attack или distributed guessing attack. Эти наз­вания они получи­ли бла­года­ря самому гром­кому слу­чаю, который про­изо­шел в 2016 году. Тог­да англий­ский банк Tesco под­вер­гся рас­пре­делен­ной ата­ке такого мас­шта­ба, что им приш­лось вык­лючить кар­точные пла­тежи на 48 часов. За нес­коль­ко дней зло­умыш­ленни­кам уда­лось украсть 22 мил­лиона фун­тов с 20 тысяч карт.

Как уже упо­мина­лось, эти дан­ные лег­ко могут исполь­зовать­ся для опла­ты в интернет‑магази­нах, не осна­щен­ных 3-D Secure. Одна­ко тут есть нюанс: в 2018 году регуля­тор оштра­фовал банк на 16 мил­лионов фун­тов за ата­ку 2016 год, — ско­рее все­го, это ука­зыва­ет на то, что сами кар­ты не были осна­щены 3-D Secure.

Как хакеры подбирают полные реквизиты карт?

Пред­положим, у нас есть одна кар­та — наша. Ее номер сос­тоит из нес­коль­ких час­тей. Пер­вые шесть цифр называ­ются BIN — bank identification number. Один и тот же BIN при этом может при­над­лежать более чем одно­му бан­ку, кро­ме того, у бан­ка может быть нес­коль­ко BIN Range. Одна­ко это глав­ная отправ­ная точ­ка, от которой и пош­ло наз­вание ата­ки. Пос­ледняя циф­ра так­же вычис­ляет­ся по ал­горит­му кон­троль­ной сум­мы «Луна».

Пред­положим, наша кар­та име­ет номер 1234 5678 1234 5670. Сле­дующая кар­та из это­го диапа­зона, сог­ласно алго­рит­му, будет закан­чивать­ся на 5688, затем 5696 и так далее. Сущес­тву­ет ненуле­вая веро­ятность того, что кар­ты 5688 и 5696 сущес­тву­ют и активны.

Те­перь необ­ходимо выяс­нить зна­чение поля Expiry Date. Если банк выда­ет номера карт пос­ледова­тель­но, то, зна­чит, сле­дующий кли­ент бан­ка, которо­му выпус­тили кар­ту пос­ле вас, будет обла­дать номером 5688. Если банк боль­шой и откры­вает сот­ни карт каж­дый день, ско­рее все­го, поле Expiry Date сов­падет с таковым на вашей кар­те либо будет отли­чать­ся на один месяц.

Для защиты от подоб­ного под­бора зна­чений пла­теж­ные сис­темы рекомен­дуют внед­рять ран­домиза­цию PAN — выдавать их не пос­ледова­тель­но, а слу­чай­но. Тог­да хакерам будет слож­нее узнать Expiry Date кар­ты 5688.

Но нереша­емых задач нет. Сущес­тву­ет мно­жес­тво бан­ков­ских сер­висов, которые помога­ют подоб­рать связ­ку полей PAN / Expiry Date. Сре­ди них — сис­тема вос­ста­нов­ления пароля или логина мобиль­ного бан­ка, регис­тра­ция в сис­теме ДБО, воз­врат денеж­ных средств в пла­теж­ном эквай­рин­ге.

И наконец, оста­лось уга­дать три циф­ры с обратной сто­роны кар­ты — CVV2/CVC2. В кон­це 2014 года, ког­да иссле­дова­тели из Уни­вер­ситета Ньюкас­ла впер­вые про­вели ана­лиз ата­ки на банк Tesco, они обна­ружи­ли, что 291 из 400 самых популяр­ных онлай­новых сер­висов дает воз­можность переби­рать поле CVV2. Это неуди­витель­но: ведь день­ги не при­над­лежат вла­дель­цам этих сер­висов. Сер­вис — лишь инс­тру­мент для ата­кующе­го. Зна­чит, у зло­умыш­ленни­ков всег­да будет дос­таточ­но инс­тру­мен­тов для перебо­ра рек­визитов бан­ков­ских карт. Нап­ример, в 2019 году подоб­ная уяз­вимость была устра­нена в пла­теж­ном модуле Magento CMS для PayPal.

Дру­гая час­то при­меня­емая зло­умыш­ленни­ками раз­новид­ность этой ата­ки — это исполь­зование подоб­ранных рек­визитов для выпус­ка мобиль­ного кошель­ка Google Pay или Apple Pay. Иро­ния зак­люча­ется в том, что один из самых гром­ких слу­чаев мошен­ничес­тва был нап­равлен на сами магази­ны Apple. Дело в том, что мно­жес­тво бан­ков (опять‑таки в Аме­рике) не тре­буют допол­нитель­ной верифи­кации с помощью одно­разо­вого кода или звон­ка в банк при выпус­ке мобиль­ного кошель­ка Apple Pay.

Это озна­чает, что, зная толь­ко номер кар­ты, срок ее дей­ствия и код CVV2, мож­но выпус­тить пол­ноцен­ную вир­туаль­ную кар­ту, с помощью которой уже мож­но рас­пла­чивать­ся по все­му миру, а не толь­ко в США.

Су­щес­тву­ет еще одно средс­тво защиты пла­тежей катего­рии card-not-present. Оно называ­ется address verification system. В этом слу­чае при совер­шении пла­тежа пла­теж­ная сис­тема све­ряет еще и циф­ры из поч­тового индекса и адре­са, по которо­му зарегис­три­рова­на кар­та (postcode / billing address). Такой же сис­темой могут быть осна­щены пла­теж­ные тер­миналы, под­держи­вающие метод PAN Key Entry.

Заключение

По оцен­кам Positive Technologies, до 50% бан­ков до сих пор не защища­ет сво­их кли­ентов от под­бора зна­чений CVV2 и Expiry Date. Имен­но поэто­му тру­дяги из стран Латин­ской Аме­рики так активно занима­ются по­иском по все­му миру карт и бан­ков, уяз­вимых к дан­ным ата­кам.

О дру­гих «белых китах» кар­точно­го мошен­ничес­тва я рас­ска­жу в сле­дующий раз.

Еще по теме: Банковские трояны и защита от них