Man
Professional
- Messages
- 2,963
- Reaction score
- 486
- Points
- 83
Введение
Пандемия COVID-19 оказала огромное влияние на то, как мы взаимодействуем с людьми. Больше всего она изменила работу сферы услуг. Пабам, кафе и ресторанам пришлось адаптироваться к новым правилам, внедряя новые каналы взаимодействия с клиентами.
Можете ли вы вспомнить, когда вы в последний раз были в пабе? Возможно, нет! До введения всех местных ограничений покупка еды или напитка происходила примерно так: просите у бармена напиток, бармен пробивает ваш заказ на кассе или терминале, вы платите наличными или картой и уходите с напитком в руке.
С введением новых местных ограничений такого рода взаимодействие становится все менее частым. Теперь, когда вы идете в паб, предпочтение отдается обедам на свежем воздухе, а заказы принимаются по-другому, и все больше пабов и ресторанов вводят бесконтактный заказ. Просто отсканируйте QR-код по прибытии, запишите номер вашего стола и сделайте заказ онлайн или в мобильном приложении. Все это означает, что вам никогда не придется вставать со своего стола и получить свой первый напиток в течение 5 минут.
Этот новый способ заказа и оплаты привлек наше внимание. В частности, во многих из этих реализаций отсутствует верификация 3D Secure. В Великобритании и Европе теперь обязательно использовать только безопасные формы оплаты. Это, в результате, предоставило ряд новых возможностей для мошенничества, которые мы рассмотрим подробнее.
Безопасные платежи
В 2019 году вступил в силу новый набор правил платежей, называемый Директивой о платежных услугах (PSD2), в которой излагается ряд важных шагов, которые необходимо предпринять эмитентам, эквайерам и поставщикам платежных услуг. Эта директива затрагивает все транзакции, совершаемые в Европе и Великобритании.
Одно из существенных изменений, внесенных PSD2, заключается в том, что все платежи должны осуществляться только безопасным способом. Для физических карт это означает, что магнитная полоса не может быть использована; возможны только чиповые или бесконтактные транзакции.
Для онлайн-платежей это означает, что все торговцы должны подтверждать транзакции одноразовым кодом 3D-Secure. В результате некоторые европейские и британские банки планируют в ближайшем будущем ограничить платежи на сайтах, которые не поддерживают 3D-Secure.
Теперь все предприятия, работающие в Европе и Великобритании, должны соблюдать требования PSD2, что делает мир платежей гораздо более безопасным. Для пабов и ресторанов, которые внедряют новые платежные процессы, это в некотором роде новый мир. Возможно, именно поэтому кажется, что торговцы даже не знают, что им нужно соблюдать требования PSD2, и почему 3DS не внедрен повсеместно.
К сожалению, этот конкретный набор обстоятельств позволяет мошенникам эксплуатировать незрелых торговцев. Далее мы рассмотрим, как злоумышленники могут угадывать коды безопасности карт (CSC) через эти рестораны и пабы и как они могут извлекать деньги из украденных данных карт.
1. Угадывание кодов CSC
CSC — это трехзначный код, написанный на обратной стороне вашей карты. Банки используют его для аутентификации карты. Кроме того, если интернет-магазин не поддерживает 3D-Secure, это единственный механизм безопасности, который защищает вашу карту от незаконных онлайн-платежей, совершенных кем-то другим.
Атака с угадыванием CSC также известна как «атака BIN master». Эта атака возможна, если ваш банк не защищает вашу карту от подсчета CSC, а поставщик услуг онлайн-платежей не защищает платежный поток от скорости. Если эти условия присутствуют, то можно угадать CSC за 999 попыток. Эта атака может иметь разрушительные последствия, как показал банк Tesco в 2016 году. Пострадали тысячи клиентов, а банк потерял 2,5 млн фунтов стерлингов и позже был оштрафован еще на 16 млн фунтов стерлингов финансовыми органами Великобритании.
Если вы хотите узнать об этом подробнее, исследователи из Ньюкаслского университета описали, как эта атака с использованием распределенного угадывания не только возможна, но и осуществима.
2. Монетизация украденных карт
Для карт с угаданным CSC злоумышленники могут использовать эту информацию для совершения мошеннических покупок. Еще лучше, поскольку некоторые торговцы не внедрили 3D-Secure, злоумышленник может использовать этих торговцев для извлечения средств из украденных карт. До момента, когда будет сделан запрос на возврат платежа, пострадавшие торговцы не будут знать об этой атаке.
Насколько можно эксплуатировать эту лазейку? Довольно часто. Мошенничества, которые используют эту лазейку, документируются в прессе. Мошенники открывают специальный «сайт скидок» или страницу в Instagram и начинают предлагать пиццу по сниженной цене. Они используют данные украденной карты для оплаты пиццы на затронутом сайте, который не поддерживает 3D-Secure. А после этого мошенники вводят адрес клиента Instagram и получают возврат примерно в размере 50%. Таким образом мошенники отмывают деньги и монетизируют украденные карты.
Заключение
Рынок платежей без предъявления карты наводнили новые клиенты, которым пришлось адаптироваться к постпандемической реальности и попытаться управлять своими клиентами с помощью предоставленных им платежных инструментов. Торговцы стремятся оптимизировать клиентский опыт и максимально использовать уже сокращенное количество клиентов. Многие не понимают, что новые технологии несут с собой новые поверхности для атак. Тот факт, что сфера услуг изо всех сил пытается внедрить 3DS, является вершиной айсберга гораздо более масштабной проблемы; регулирование не гарантирует внедрение.
Эта игра в кошки-мышки длится 50 лет. Платежная индустрия пытается управлять безопасностью платежей, но в некоторых областях внедрение занимает гораздо больше времени, чем в других.
Да, Европа и Великобритания намного опережают США и их архаичные формы платежей. Но светлое новое будущее, обещанное PSD2, пока еще не наступило. До тех пор будет много места для злоумышленников.
Желаем вам безопасного месяца!
Источник
Пандемия COVID-19 оказала огромное влияние на то, как мы взаимодействуем с людьми. Больше всего она изменила работу сферы услуг. Пабам, кафе и ресторанам пришлось адаптироваться к новым правилам, внедряя новые каналы взаимодействия с клиентами.
Можете ли вы вспомнить, когда вы в последний раз были в пабе? Возможно, нет! До введения всех местных ограничений покупка еды или напитка происходила примерно так: просите у бармена напиток, бармен пробивает ваш заказ на кассе или терминале, вы платите наличными или картой и уходите с напитком в руке.
С введением новых местных ограничений такого рода взаимодействие становится все менее частым. Теперь, когда вы идете в паб, предпочтение отдается обедам на свежем воздухе, а заказы принимаются по-другому, и все больше пабов и ресторанов вводят бесконтактный заказ. Просто отсканируйте QR-код по прибытии, запишите номер вашего стола и сделайте заказ онлайн или в мобильном приложении. Все это означает, что вам никогда не придется вставать со своего стола и получить свой первый напиток в течение 5 минут.
Этот новый способ заказа и оплаты привлек наше внимание. В частности, во многих из этих реализаций отсутствует верификация 3D Secure. В Великобритании и Европе теперь обязательно использовать только безопасные формы оплаты. Это, в результате, предоставило ряд новых возможностей для мошенничества, которые мы рассмотрим подробнее.
Безопасные платежи
В 2019 году вступил в силу новый набор правил платежей, называемый Директивой о платежных услугах (PSD2), в которой излагается ряд важных шагов, которые необходимо предпринять эмитентам, эквайерам и поставщикам платежных услуг. Эта директива затрагивает все транзакции, совершаемые в Европе и Великобритании.
Одно из существенных изменений, внесенных PSD2, заключается в том, что все платежи должны осуществляться только безопасным способом. Для физических карт это означает, что магнитная полоса не может быть использована; возможны только чиповые или бесконтактные транзакции.
Для онлайн-платежей это означает, что все торговцы должны подтверждать транзакции одноразовым кодом 3D-Secure. В результате некоторые европейские и британские банки планируют в ближайшем будущем ограничить платежи на сайтах, которые не поддерживают 3D-Secure.
Теперь все предприятия, работающие в Европе и Великобритании, должны соблюдать требования PSD2, что делает мир платежей гораздо более безопасным. Для пабов и ресторанов, которые внедряют новые платежные процессы, это в некотором роде новый мир. Возможно, именно поэтому кажется, что торговцы даже не знают, что им нужно соблюдать требования PSD2, и почему 3DS не внедрен повсеместно.
К сожалению, этот конкретный набор обстоятельств позволяет мошенникам эксплуатировать незрелых торговцев. Далее мы рассмотрим, как злоумышленники могут угадывать коды безопасности карт (CSC) через эти рестораны и пабы и как они могут извлекать деньги из украденных данных карт.
1. Угадывание кодов CSC
CSC — это трехзначный код, написанный на обратной стороне вашей карты. Банки используют его для аутентификации карты. Кроме того, если интернет-магазин не поддерживает 3D-Secure, это единственный механизм безопасности, который защищает вашу карту от незаконных онлайн-платежей, совершенных кем-то другим.
Атака с угадыванием CSC также известна как «атака BIN master». Эта атака возможна, если ваш банк не защищает вашу карту от подсчета CSC, а поставщик услуг онлайн-платежей не защищает платежный поток от скорости. Если эти условия присутствуют, то можно угадать CSC за 999 попыток. Эта атака может иметь разрушительные последствия, как показал банк Tesco в 2016 году. Пострадали тысячи клиентов, а банк потерял 2,5 млн фунтов стерлингов и позже был оштрафован еще на 16 млн фунтов стерлингов финансовыми органами Великобритании.
Если вы хотите узнать об этом подробнее, исследователи из Ньюкаслского университета описали, как эта атака с использованием распределенного угадывания не только возможна, но и осуществима.
2. Монетизация украденных карт
Для карт с угаданным CSC злоумышленники могут использовать эту информацию для совершения мошеннических покупок. Еще лучше, поскольку некоторые торговцы не внедрили 3D-Secure, злоумышленник может использовать этих торговцев для извлечения средств из украденных карт. До момента, когда будет сделан запрос на возврат платежа, пострадавшие торговцы не будут знать об этой атаке.
Насколько можно эксплуатировать эту лазейку? Довольно часто. Мошенничества, которые используют эту лазейку, документируются в прессе. Мошенники открывают специальный «сайт скидок» или страницу в Instagram и начинают предлагать пиццу по сниженной цене. Они используют данные украденной карты для оплаты пиццы на затронутом сайте, который не поддерживает 3D-Secure. А после этого мошенники вводят адрес клиента Instagram и получают возврат примерно в размере 50%. Таким образом мошенники отмывают деньги и монетизируют украденные карты.
Заключение
Рынок платежей без предъявления карты наводнили новые клиенты, которым пришлось адаптироваться к постпандемической реальности и попытаться управлять своими клиентами с помощью предоставленных им платежных инструментов. Торговцы стремятся оптимизировать клиентский опыт и максимально использовать уже сокращенное количество клиентов. Многие не понимают, что новые технологии несут с собой новые поверхности для атак. Тот факт, что сфера услуг изо всех сил пытается внедрить 3DS, является вершиной айсберга гораздо более масштабной проблемы; регулирование не гарантирует внедрение.
Эта игра в кошки-мышки длится 50 лет. Платежная индустрия пытается управлять безопасностью платежей, но в некоторых областях внедрение занимает гораздо больше времени, чем в других.
Да, Европа и Великобритания намного опережают США и их архаичные формы платежей. Но светлое новое будущее, обещанное PSD2, пока еще не наступило. До тех пор будет много места для злоумышленников.
Желаем вам безопасного месяца!
Источник
