Принципы работы и методы защиты от скиммеров для банковских карт

Принципы работы и методы защиты от скиммеров для банковских карт

Добавлено в закладки: 0

Что представляет собой скиммер платежной карты

В сфере безопасности под скиммером подразумевается любое аппаратное устройство для кражи информации, хранимой на платежных картах, когда покупатель совершает транзакцию в банкомате, на заправочной станции или в платежном терминале. Однако недавно значение этого термина было расширено, и под скиммером стало подразумеваться любое вредоносное приложение или код, направленный на кражу информации о платежных картах, в том числе во время покупок в интернет-магазинах.

Вне зависимости от типа скиммера (аппаратного или программного) злоумышленники преследуют схожие цели, а конкретно – обман покупателя, когда полученная информация используется для клонирования физических платежных карт или совершения поддельных транзакций в интернете.

Как работают скимминговые устройства

Физические скиммеры проектируются под определенные модели банкоматов, кассы самообслуживания и другие платежные терминалы таким образом, чтобы затруднить обнаружение. Скимминговые устройства бывают разных форм, размеров и имеют несколько компонентов.

В каждом скиммере всегда присутствует компонент для считывания карт, состоящий из небольшой микросхемы, которая запитывается от батареи. Обычно скиммер находится внутри пластиковой или металлической оболочки, имитирующей настоящий кард-ридер целевого банкомата или другого устройства. Этот компонент позволяет мошеннику скопировать информацию, закодированную на магнитной полосе карты, без блокирования реальной транзакции, совершаемой пользователем.

Второй компонент скиммера – небольшая камера, прикрепленная к банкомату или поддельная клавиатура для ввода пин-кода, находящаяся поверх настоящей клавиатуры. Как нетрудно догадаться, цель этого компонента – кража пин-кода, который вместе с данными, хранимыми на магнитной полосе, используется для клонирования карты и выполнения неправомерных транзакций в странах, где подобного рода преступления широко распространены.

Однако поскольку во многих странах стали использоваться карты с чипами, злоумышленники также адаптировали свои технологии и стали изготавливать более сложные скиммеры. Некоторые скимминговые устройства настолько тонкие, что могут вставляться внутрь слота карт-ридера. По-другому эти устройства называются deep insert скиммерами или скиммерами глубокого проникновения. Устройства, называемые «шиммерами» вставляются в слот кард-ридера и спроектированы для считывания данных с чипов на картах. Однако следует отметить, что эта технология применима только там, где некорректно реализован стандарт EMV (Europay + MasterCard + VISA).

Скиммеры также могут устанавливаться полностью внутри банкоматов, как правило, техническими специалистами с нечистоплотными помыслами или посредством сверления или проделывания дырок оболочке банкомата и заклеиванием этих отверстий стикерами, выглядящие как часть общей конструкции. В отчете компании Visa приведены изображения различных типов физических скиммеров, найденных в банкоматах по всему миру, а также модифицированные кассовые терминалы, продаваемые на черном рынке, которые также могут использоваться для кражи информации с карты.

Как защититься от скиммеров для платежных карт

Вследствие большого разнообразия скимминговых устройств универсального способа, как не стать жертвой злоумышленников, не существует. Рекомендации следующие:

  • Избегайте банкоматов, установленных вне зданий или расположенных в местах с плохим освещением. Для установки скиммеров злоумышленники выбирают банкоматы в малолюдных местах, находящиеся вне банков или магазинов и не под присмотром большого количества камер. Кроме того, как правило, скиммеры устанавливаются в выходные, когда вокруг меньше всего любопытствующих глаз. Поэтому старайтесь снимать наличные в выходные только в случае крайней необходимости.
  • Перед вставкой карты пошевелите или потяните кард-ридер и клавиатуру для набора пин-кода и убедитесь, что эти компоненты не отсоединяются и не сдвигаются. Как правило, злоумышленники используют низкокачественный клей для прикрепления скиммера, поскольку впоследствии это устройство должно быть извлечено. На этом видео показано, как профессионал в сфере кибербезопасности обнаруживает скиммер, прикрепленный к банкомату на одной из улиц в Вене.
  • Обращайте внимание на странные признаки: отверстия, куски пластики или металла, которые выглядят не к месту, компоненты, цвет которых не совпадает с остальной частью банкомата и стикеры, наклеенные неровно. Если в банкомате присутствуют пломбы для служебных замков, проверьте, нет ли в этих местах повреждений.
  • При наборе пин-кода закрывайте клавиатуру руками, чтобы набранные цифры не смогли попасть на видео вредоносной камеры. Этот метод не поможет в случае накладной клавиатуры, но в целом сократит вероятность кражи пин-кода.
  • Если на вашей карте есть чип, всегда используйте кард-ридеры терминалов с поддержкой чипов, вместо «прокатывания» магнитной полосы.
  • Отслеживайте счета на предмет неправомерных транзакций. Если в вашей карте предусмотрены уведомления через приложение или СМС после каждой транзакции, пользуйтесь этими функциями.
  • Если позволяет функционал, установите лимит снятия наличных во время одной транзакции или в течение одних суток.
  • Используйте дебетовую карту, прикрепленную к счету, где находится небольшое количество денежных средств, и пополняйте этот счет по мере необходимости, вместо использования карты, прикрепленной к основному счету, где находятся все ваши деньги.
Читайте также:   Белый дом: у европейской молодежи коронавирусное заболевание проходит тяжело

Программные скиммеры

Программные скиммеры нацелены на программные компоненты платежных систем и платформ, будь то операционная система платежного терминала или страница оплаты интернет-магазина. Любое приложение, обрабатывающее незашифрованную информацию о платежной карте, может стать целью вредоноса, заточенного под скимминг.

Вредоносы, заточенные под платежные терминалы, использовались для совершения крупнейших краж данных о кредитных картах, включая взломы в 2013 и 2014 годах компаний Target и Home Depot. В результаты были скомпрометированы десятки миллионов карт.

У POS терминалов есть специальные периферийные устройства, например, для считывания карт, но в остальном отличий от обычных компьютеров практически нет. Во многих случаях терминалы работают на базе Windows в связке с кассовым приложением, фиксирующего все транзакции.

Хакеры получают доступ к подобным системам, используя украденные учетные записи или эксплуатируя уязвимости, а затем устанавливают вредоносные программы для сканирования памяти на предмет паттернов, совпадающих с информацией о платежных картах. Отсюда и название этих вредоносов «RAM scraping». Информация о карте (за исключением пин-кода) обычно не шифруется при локальной передаче от кард-ридера в приложение. Соответственно, не составляет особого труда скопировать эти данные из памяти.

Веб-скиммеры

В последние годы производители платежных терминалов стали внедрять межконцевое шифрование (P2PE) для усиления безопасности соединения между кард-ридером и платежным процессором, вследствие чего многие злоумышленники переключили внимание на другое слабое звено: схему оплаты в интернет-магазинах и на других сайтах, связанных с электронной коммерцией.

В новых сценариях атак, связанных с веб-скиммингом, используются инъекции вредоносного JavaScript-кода в страницы интернет-магазинов с целью перехвата информации о карте, когда пользователь совершает оплату. Как и в случае с POS терминалами, незащищенные данные перехватывается во время транзакции перед отсылкой платежному процессору через зашифрованный канал или перед шифрованием и добавлением в базу данных сайта.

Читайте также:   Госпереворот перенести нельзя

Веб-скиммингу уже подверглись сотни тысяч сайтов, включая широко известные бренды: British Airways, Macy’s, NewEgg и Ticketmaster.

Как защититься от программных скиммеров

Вы, как пользователь, вряд ли сможете что-то сделать, чтобы предотвратить компрометирование подобного рода, поскольку у вас нет контроля над приложением в платежном терминале или кодом на страницах интернет-магазина. Здесь ответственность за безопасность покупок полностью лежит на продавцах и разработчиках технологии, используемой на сайте, созданному с целью электронной коммерции. Однако вы, как покупатель, можете предпринять дополнительные меры для снижения риска кражи карт или снизить влияние последствий, если компрометирование произойдет:

  • Отслеживайте выписки своих счетов и включите уведомления от каждой транзакции, если позволяет функционал. Чем быстрее вы обнаружите «левые» транзакции и поменяете карту, тем лучше.
  • Если возможно, используйте внешнюю авторизацию (out-of-band authorization) во время онлайн-транзакций. Последняя редакция директивы платежных сервисов (PSD2) в Европе обязывает банки сопровождать онлайн-транзакции вместе с двухфакторной аутентификации через мобильные приложения, а также другие методы. Срок жалобы по новым правилам расширился, но многие европейские банки уже внедрили этот механизм безопасности. Вполне вероятно финансовые институты в США и других странах также внедрят авторизацию внешней транзакции в будущем или, как минимум, будут предлагать эту функцию в качестве дополнительной опции.
  • Во время онлайн-шоппинга используйте номера виртуальных карт, если такую возможность предоставляет банк, или платите с мобильного телефона. Сервисы навроде Google Pay и Apple Pay используют токенизацию. При использовании этой технологии происходит замена настоящего номера карты на временной номер, передаваемый в мерчант. В этом случае утечки номера вашей карты не произойдет.
  • Старайтесь оплачивать покупки при помощи альтернативных платежных систем, как, например, PayPal, когда не требуется вводить информацию о карте на странице заказа сайта, где вы совершаете покупки. Вы также можете совершать покупки на сайтах, где перед вводом информации о карте происходит перенаправление на сторонний платежный процессор, вместо обработки этих данных самим магазином.
  • Поскольку при веб-скимминге используется вредоносный JavaScript-код, программы безопасности конечных узлов, инспектирующих веб-трафик внутри браузера, технически могут обнаружить подобные атаки. Однако веб-вредоносы часто подвергаются обфускации и злоумышленники непрерывно вносят изменения в свои разработки. Хотя антивирус с последними обновлениями может помочь, но не в состоянии детектировать все атаки, связанные с веб-скиммингом.
  • Хотя некоторые крупные компании и бренды становятся жертвами веб-скимминга, по статистике чаще компрометированию подвергаются небольшие онлайн-мерчанты из-за отсутствия средств на дорогие решения в сфере безопасности на стороне сервера и аудиты кода. С точки зрения покупателя во время покупок в крупных магазинах риск компрометирования ниже.

Автор: Lucian Constantin

Источник

Автор публикации

не в сети 5 часов

Андрей Маргулис

Принципы работы и методы защиты от скиммеров для банковских карт 414
С организацией DDoS атак завязал.
Выкладываю новости технологий и интересные статьи с темной стороны интернета.
flagТунис.
29 лет
День рождения: 14 Мая 1991
Комментарии: 522Публикации: 1312Регистрация: 12-12-2015

Другие записи этого автора:

РЭНБИ
Добавить комментарий
Войти с помощью: 
Хроники коронавируса COVID-19
Авторизация
*
*
Войти с помощью: 
Регистрация
*
*
*
Ваш день рождения * :
Число, месяц и год:
Отображать дату:
Войти с помощью: 
Генерация пароля