Как хакеры крадут деньги с банковских карт

Как хакеры крадут деньги с банковских карт

Се­тевые мошен­ники и кар­деры изоб­рета­ют все новые и новые спо­собы похищать день­ги со сче­тов кли­ентов бан­ков. В этой статье я рас­ска­жу о методах, которые прес­тупни­ки исполь­зуют для обхо­да сис­темы безопас­ности бан­ков­ских карт.

Еще по теме: Как с помощью BlackBox взламывают банкоматы

Все спо­собы мошен­ничес­тва с бан­ков­ски­ми кар­тами мож­но раз­делить на две катего­рии. Пер­вая — мас­совые и хорошо извес­тные. Вто­рую час­то называ­ют «белыми китами»: это инци­ден­ты, которые слу­чают­ся раз в 5–10 лет, закан­чива­ются катас­тро­фой для ата­куемых и мно­гомил­лион­ными при­быля­ми для ата­кующих и поэто­му прив­лека­ют к себе очень мно­го вни­мания со сто­роны прес­сы и регуля­торов. В любом слу­чае основной кри­терий успе­ха у кар­деров и им подоб­ных жуликов — мас­совость и прос­тота.

Если мошен­ничес­кую схе­му лег­ко вос­про­извести тысячи раз — это залог финан­совой победы над бан­ков­ской сис­темой и гря­дущей популяр­ности выб­ранно­го метода.

Самые распространенные способы кражи денег карт

Нач­нем с атак, с которы­ми пла­теж­ным сис­темам и бан­кам при­ходит­ся иметь дело регуляр­но.

Платежи без 3-D Secure

Пер­вое мес­то по рас­простра­нен­ности сре­ди мошен­ничес­ких схем занима­ют пла­тежи в интерне­те — они совер­шают­ся по схе­ме card-not-present. В свя­зи с их мас­совостью пла­теж­ные гиган­ты изоб­рели допол­нитель­ный динами­чес­кий фак­тор – код 3-D Secure.

Что такое 3-D Secure

3-D Secure — схе­ма допол­нитель­ной авто­риза­ции онлай­новых пла­тежей, исполь­зующая три сущ­ности‑домена (отсю­да и наз­вание 3-Domain Secure): домен интернет‑магази­на при­нима­ет дан­ные об опла­те и пере­адре­совы­вает поль­зовате­ля на домен пла­теж­ной сис­темы, где вво­дит­ся одно­разо­вый код. Далее резуль­тат отправ­ляет­ся на тре­тий домен бан­ка‑эквай­ера, он све­ряет этот код и отправ­ляет зап­рос, который под­твержда­ет или опро­вер­гает тран­закцию обратно по цепоч­ке интернет‑магази­ну.

3-D Secure отлично помога­ет от мас­совых мошен­ничес­ких схем. Одна­ко часть магази­нов, в том чис­ле круп­ных, таких как «Ама­зон», до сих пор не готова работать с 3-D Secure, который, по их мне­нию, умень­шает кон­версию. А меж­дународ­ные пла­теж­ные сис­темы и не нас­таивают! Луч­ше тра­тить боль­ше — это их девиз. Текущие пра­вила пла­тежей гла­сят, что, если кар­та под­держи­вает 3-D Secure, а магазин эту тех­нологию не под­держи­вает, в слу­чае опро­тес­тования пла­тежа финан­совые рис­ки лежат на магази­не. Если 3-D Secure не под­держи­вает кар­та — на бан­ке‑эми­тен­те. Поэто­му по все­му миру голод­ные мошен­ники ищут магази­ны, которые не тре­буют 3-D Secure.

Иног­да это мож­но вос­при­нимать бук­валь­но: в 2018 году в Великоб­ритании выяви­ли одну из мошен­ничес­ких схем. Зло­умыш­ленни­ки опуб­ликова­ли в соци­аль­ных сетях объ­явле­ния о пятиде­сятип­роцен­тной скид­ке на дос­тавку пиц­цы одно­го круп­ного брен­да. Этот бренд не исполь­зовал при опла­те 3-D Secure, и пла­тежи выпол­нялись по куп­ленным на раз­личных мар­кетах укра­ден­ным кар­там. Это давало зло­умыш­ленни­кам выруч­ку в 50% от сум­мы каж­дой про­дан­ной пиц­цы. Схе­ма про­рабо­тала нес­коль­ко месяцев, преж­де чем ее прик­рыли.

Атака клонов

Вто­рой по популяр­ности вид мошен­ничес­тва — соз­дание кло­на маг­нитной полосы кар­ты. Он до сих пор оста­ется одним из самых рас­простра­нен­ных методов атак на опе­рации с физичес­кой кар­той (так называ­емые card-present transactions). Как вы зна­ете, маг­нитную полосу чрез­вычай­но прос­то кло­ниро­вать.

К отдель­ным видам кибер­прес­тупле­ний сто­ит отнести исполь­зование спе­циали­зиро­ван­ного вре­донос­ного ПО. Ата­ка дол­жна быть лег­ко пов­торя­ема и хорошо мас­шта­биру­ема. Имен­но поэто­му зло­умыш­ленни­ки заража­ют устрой­ства, на которых исполь­зуют­ся тысячи карт каж­дый день, — опе­ратор­ские машины в круп­ных супер­марке­тах.

Так как вся инфраструк­тура, исполь­зующая пла­теж­ный тер­минал (POS, Point-of-Sale), называ­ется POS system, то и раз­новид­ность этих вре­доно­сов носит наз­вание POS malware, нес­мотря на то что сами POS они заражать не в сос­тоянии. Вмес­то это­го ата­ке под­верга­ется сама опе­ратор­ская машина — кас­совый аппа­рат (cash register).

В 2013 году аме­рикан­ская сеть магази­нов Target под­вер­глась круп­ней­шей ата­ке. В ней прес­тупни­ки исполь­зовали еще не осо­бен­но популяр­ную тог­да схе­му «ком­про­мета­ция цепоч­ки пос­тавки». Пос­ле зараже­ния одно­го из под­рядчи­ков зло­умыш­ленни­кам уда­лось про­ник­нуть в сеть супер­марке­тов, ском­про­мети­ровать весь домен Windows и про­ник­нуть в опе­раци­онную сис­тему непос­редс­твен­но на кас­сах. На этих сис­темах запус­кались так называ­емые RAM-scraping-тро­яны, которые ска­ниро­вали память в поис­ках пат­тернов тре­ков маг­нитной полосы. Ког­да тре­ки обна­ружи­вались, тро­ян пересы­лал их на уста­нов­ленный во внут­ренней сети C&C-сер­вер, который даль­ше уже отправ­лял эту информа­цию во внеш­нюю сеть.

Для соз­дания копии маг­нитной бан­ков­ской кар­ты пот­ребу­ется нес­коль­ко секунд и спе­циаль­ный ридер, купить который мож­но на Amazon. Далее зло­умыш­ленни­ки соз­дают клон и идут с ним в магази­ны в Аме­рике или Евро­пе. Дам­пы бан­ков­ских карт сво­бод­но про­дают­ся и покупа­ются на мно­гочис­ленных хакер­ских форумах.

По­чему же кло­ниро­ван­ные маг­нитные кар­ты до сих пор так популяр­ны, нес­мотря на то что прак­тичес­ки все они сей­час осна­щены чипом? Все про­ще прос­того: во мно­гих аме­рикан­ских магази­нах до сих пор мож­но рас­пла­тить­ся кар­той, осна­щен­ной чипом, прос­то про­ведя тран­закцию с исполь­зовани­ем маг­нитной полосы. В пос­ледние 5–10 лет это, как ни стран­но, самый отста­лый рынок, из‑за которо­го маг­нитная полоса до сих пор при­сутс­тву­ет на бан­ков­ских кар­тах.

Ес­ли же пла­теж­ный тер­минал вдруг отка­жет­ся при­нимать маг­нитную полосу сра­зу, есть схе­ма, работа­ющая в обе­их Аме­риках и Евро­пе, — technical fallback. Эта тех­ника зак­люча­ется в том, что зло­умыш­ленник триж­ды встав­ляет в бан­комат или тер­минал кар­ту с несущес­тву­ющим чипом и пос­ле треть­ей неус­пешной попыт­ки чте­ния тер­минал точ­но пред­ложит про­вес­ти опе­рацию по маг­нитной полосе.

В любом из этих слу­чаев ответс­твен­ность по пра­вилам лежит на магази­не, выпол­нившем такую высоко­рис­ковую опе­рацию. Тем более пла­теж­ные сис­темы, такие как MasterCard, что­бы избе­жать имид­жевых рис­ков, рекомен­дуют откло­нять тран­закции, при­шед­шие в режиме technical fallback. Никому не хочет­ся выяс­нять, была ли на самом деле у кли­ента укра­дена кар­та, или он прос­то захотел не тра­тить день­ги и объ­явить о мошен­ничес­кой опе­рации. Еще мень­ше хочет­ся объ­яснять разоз­ленным кли­ентам, почему по их кар­там купили телеви­зоры за тысячи дол­ларов и в сот­нях километ­ров от их реаль­ного мес­тополо­жения.

А что в России?

В Рос­сии тер­миналы не дол­жны при­нимать к опла­те маг­нитную полосу, если кар­та осна­щена чипом. И даже technical fallback дол­жен быть под зап­ретом. Одна­ко есть неп­рият­ные исклю­чения. На под­поль­ных форумах недав­но обсужда­ли, что сеть «Ашан» име­ет тер­миналы, при­нима­ющие опе­рации по technical fallback. В любом слу­чае, даже если хакеры не могут исполь­зовать рус­ские кар­ты в Рос­сии, им ник­то не меша­ет про­давать эти дан­ные дру­гим хакерам в Евро­пе или Аме­рике для даль­нейшей монети­зации.

Еще по теме: Как взламывали Сбербанк

Офлайновые транзакции по чипу и атаки на аутентификацию

По пра­вилам сов­ремен­ных пла­теж­ных сис­тем 99,9% опе­раций по кар­там дол­жны совер­шать­ся онлайн — с под­твержде­нием крип­тограм­мы на сто­роне бан­ка‑эми­тен­та. Исклю­чения — это мет­ро, опла­ты в самоле­тах и на кру­изных лай­нерах. То есть там, где интернет дос­тупен с перебо­ями либо нет воз­можнос­ти подол­гу ждать отве­та от бан­ка‑эми­тен­та, как, нап­ример, у тур­никетов мет­ро.

Да и ког­да соз­давались про­токо­лы EMV, мно­жес­тво пла­теж­ных сис­тем работа­ло в офлай­не по так называ­емым Floor limit — опе­рации выше этих лимитов дол­жны были под­тверждать­ся онлайн, а ниже — про­ходи­ли в локаль­ном режиме, то есть под­твержда­лись самим тер­миналом. Еще 5–10 лет назад количес­тво таких тер­миналов, осо­бен­но в стра­нах Латин­ской и Север­ной Аме­рики было дос­таточ­но велико, что­бы мас­сово пытать­ся ата­ковать недос­татки офлай­новой аутен­тифика­ции карт.

Белые киты

Имен­но для защиты от мас­сового и прос­того мошен­ничес­тва ког­да‑то были изоб­ретены кар­ты с чипом и под­твержде­ние тран­закций с помощью кода 3-D Secure. Эти методы защиты не иде­аль­ны, у них были свои проб­лемы, о которых экспер­ты пре­дуп­режда­ли с самого начала. Одна­ко такие кар­ты до сих пор не уда­ется мас­сово взла­мывать, а ког­да ата­ка получа­ется, она боль­ше похожа на блиц­криг — все про­исхо­дит в счи­таные дни или часы. Неболь­шая груп­па зло­умыш­ленни­ков получа­ет мак­симум при­были и исче­зает с горизон­та. Имен­но поэто­му каж­дый слу­чай или новая схе­ма вызыва­ют у экспер­тов боль­шой инте­рес.

Та­кие слу­чаи мы будем называть белыми китами. Это инци­ден­ты, которые слу­чают­ся раз в 5–10 лет, закан­чива­ются катас­тро­фой для ата­куемых бан­ков и мно­гоми­лион­ными при­быля­ми для ата­кующих и поэто­му прив­лека­ют к себе очень мно­го вни­мания со сто­роны прес­сы и регуля­торов. Я рас­ска­жу о нес­коль­ких видах подоб­ных атак, что­бы наг­лядно про­иллюс­три­ровать фун­дамен­таль­ные недос­татки тех­нологий кар­точных пла­тежей.

Распределенные атаки на подбор карточных реквизитов

Та­кие ата­ки час­то называ­ют BIN Master attack или distributed guessing attack. Эти наз­вания они получи­ли бла­года­ря самому гром­кому слу­чаю, который про­изо­шел в 2016 году. Тог­да англий­ский банк Tesco под­вер­гся рас­пре­делен­ной ата­ке такого мас­шта­ба, что им приш­лось вык­лючить кар­точные пла­тежи на 48 часов. За нес­коль­ко дней зло­умыш­ленни­кам уда­лось украсть 22 мил­лиона фун­тов с 20 тысяч карт.

Как уже упо­мина­лось, эти дан­ные лег­ко могут исполь­зовать­ся для опла­ты в интернет‑магази­нах, не осна­щен­ных 3-D Secure. Одна­ко тут есть нюанс: в 2018 году регуля­тор оштра­фовал банк на 16 мил­лионов фун­тов за ата­ку 2016 год, — ско­рее все­го, это ука­зыва­ет на то, что сами кар­ты не были осна­щены 3-D Secure.

Пра­вила, называ­емые 3-D Secure Liability shift, опре­деля­ют ответс­твен­ную сто­рону в слу­чае мошен­ничес­ких опе­раций: если банк не осна­щает кар­ты 3-D Secure, ответс­твен­ность за мошен­ничес­тво лежит на бан­ке. Если кар­ты, осна­щен­ные 3-D Secure, исполь­зуют­ся, нап­ример, в Amazon, где дан­ная тех­нология не при­меня­ется, ответс­твен­ность лежит на интернет‑магази­не.

Как хакеры подбирают полные реквизиты карт?

Пред­положим, у нас есть одна кар­та — наша. Ее номер сос­тоит из нес­коль­ких час­тей. Пер­вые шесть цифр называ­ются BIN — bank identification number. Один и тот же BIN при этом может при­над­лежать более чем одно­му бан­ку, кро­ме того, у бан­ка может быть нес­коль­ко BIN Range. Одна­ко это глав­ная отправ­ная точ­ка, от которой и пош­ло наз­вание ата­ки. Пос­ледняя циф­ра так­же вычис­ляет­ся по ал­горит­му кон­троль­ной сум­мы «Луна».

Пред­положим, наша кар­та име­ет номер 1234 5678 1234 5670. Сле­дующая кар­та из это­го диапа­зона, сог­ласно алго­рит­му, будет закан­чивать­ся на 5688, затем 5696 и так далее. Сущес­тву­ет ненуле­вая веро­ятность того, что кар­ты 5688 и 5696 сущес­тву­ют и активны.

Те­перь необ­ходимо выяс­нить зна­чение поля Expiry Date. Если банк выда­ет номера карт пос­ледова­тель­но, то, зна­чит, сле­дующий кли­ент бан­ка, которо­му выпус­тили кар­ту пос­ле вас, будет обла­дать номером 5688. Если банк боль­шой и откры­вает сот­ни карт каж­дый день, ско­рее все­го, поле Expiry Date сов­падет с таковым на вашей кар­те либо будет отли­чать­ся на один месяц.

Для защиты от подоб­ного под­бора зна­чений пла­теж­ные сис­темы рекомен­дуют внед­рять ран­домиза­цию PAN — выдавать их не пос­ледова­тель­но, а слу­чай­но. Тог­да хакерам будет слож­нее узнать Expiry Date кар­ты 5688.

Но нереша­емых задач нет. Сущес­тву­ет мно­жес­тво бан­ков­ских сер­висов, которые помога­ют подоб­рать связ­ку полей PAN / Expiry Date. Сре­ди них — сис­тема вос­ста­нов­ления пароля или логина мобиль­ного бан­ка, регис­тра­ция в сис­теме ДБО, воз­врат денеж­ных средств в пла­теж­ном эквай­рин­ге.

И наконец, оста­лось уга­дать три циф­ры с обратной сто­роны кар­ты — CVV2/CVC2. В кон­це 2014 года, ког­да иссле­дова­тели из Уни­вер­ситета Ньюкас­ла впер­вые про­вели ана­лиз ата­ки на банк Tesco, они обна­ружи­ли, что 291 из 400 самых популяр­ных онлай­новых сер­висов дает воз­можность переби­рать поле CVV2. Это неуди­витель­но: ведь день­ги не при­над­лежат вла­дель­цам этих сер­висов. Сер­вис — лишь инс­тру­мент для ата­кующе­го. Зна­чит, у зло­умыш­ленни­ков всег­да будет дос­таточ­но инс­тру­мен­тов для перебо­ра рек­визитов бан­ков­ских карт. Нап­ример, в 2019 году подоб­ная уяз­вимость была устра­нена в пла­теж­ном модуле Magento CMS для PayPal.

Дру­гая час­то при­меня­емая зло­умыш­ленни­ками раз­новид­ность этой ата­ки — это исполь­зование подоб­ранных рек­визитов для выпус­ка мобиль­ного кошель­ка Google Pay или Apple Pay. Иро­ния зак­люча­ется в том, что один из самых гром­ких слу­чаев мошен­ничес­тва был нап­равлен на сами магази­ны Apple. Дело в том, что мно­жес­тво бан­ков (опять‑таки в Аме­рике) не тре­буют допол­нитель­ной верифи­кации с помощью одно­разо­вого кода или звон­ка в банк при выпус­ке мобиль­ного кошель­ка Apple Pay.

Это озна­чает, что, зная толь­ко номер кар­ты, срок ее дей­ствия и код CVV2, мож­но выпус­тить пол­ноцен­ную вир­туаль­ную кар­ту, с помощью которой уже мож­но рас­пла­чивать­ся по все­му миру, а не толь­ко в США.

Су­щес­тву­ет еще одно средс­тво защиты пла­тежей катего­рии card-not-present. Оно называ­ется address verification system. В этом слу­чае при совер­шении пла­тежа пла­теж­ная сис­тема све­ряет еще и циф­ры из поч­тового индекса и адре­са, по которо­му зарегис­три­рова­на кар­та (postcode / billing address). Такой же сис­темой могут быть осна­щены пла­теж­ные тер­миналы, под­держи­вающие метод PAN Key Entry.

Заключение

По оцен­кам Positive Technologies, до 50% бан­ков до сих пор не защища­ет сво­их кли­ентов от под­бора зна­чений CVV2 и Expiry Date. Имен­но поэто­му тру­дяги из стран Латин­ской Аме­рики так активно занима­ются по­иском по все­му миру карт и бан­ков, уяз­вимых к дан­ным ата­кам.

О дру­гих «белых китах» кар­точно­го мошен­ничес­тва я рас­ска­жу в сле­дующий раз.

Еще по теме: Банковские трояны и защита от них

ВКонтакте
OK
Telegram
WhatsApp
Viber

Один комментарий

  1. Сергей

    Вот хочу спросить
    Допустим мошенникам стали известны
    1. Номер карты
    2. Поле Expiry Date
    3. CVV2
    Как же можно с этими данными выпустить виртуальную карту? Их же недостаточно для авторизации в онлайн банкинге. А, как мне кажется, именно авторизация дает возможность для выпуска виртуальной карты.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *