Данные моей украденной кредитной карты были использованы за 4500 миль отсюда. Я пытался выяснить, как это произошло.
Когда репортер по кибербезопасности Дэнни Палмер обнаружил, что его карта, очевидно, использовалась на другом континенте, он решил узнать больше.февральский четверг я расслаблялся и смотрел телевизор, когда мой вечер был прерван звонком текстового сообщения от моего банка.
«Вскоре вы получите SMS с подтверждением недавней активности по вашей карте».
Я был озадачен. Никаких странных или неожиданных покупок в тот день я точно не совершил, так о чем же речь? Примерно через 30 секунд я получил ответ во втором текстовом сообщении.
В нем говорилось, что данные моей кредитной карты были использованы менее минуты назад при попытке совершить платеж на сумму 108 фунтов стерлингов в магазине с незнакомым именем.
Быстрый поиск в Интернете показал, что это супермаркет в городе Парамарибо, Суринам — небольшой стране на северо-восточном побережье Южной Америки, граничащей с Бразилией, Гайаной и Французской Гвианой. Это довольно далеко от моего дома в Лондоне, поэтому я был почти уверен, что не заходил в этот магазин, чтобы что-нибудь купить в течение последних 60 секунд.
В уведомлении меня просили подтвердить транзакцию, ответив «Да» или «Нет». Мне пришло в голову, что, возможно, это был двойной или тройной блеф и что, ответив на неожиданное текстовое сообщение, я совершу большую ошибку. На всякий случай я решил позвонить в банк.
Они подтвердили, что да, кто-то пытался использовать данные моей карты за 4500 миль от Лондона, но попытка платежа была заблокирована как подозрительная, поэтому деньги не были украдены.
Я аннулировал свою карту и заказал новую в качестве рекомендуемой меры предосторожности, поскольку мои данные были у кого-то другого. Но как репортеру мне было интересно, как это произошло?
Как получилось, что мои банковские данные каким-то образом были украдены, переданы кому-то на другом конце света и почти успешно использованы в небольшом розничном торговце в Суринаме?
Кредитные карты — это решение и часть проблемы
Дебетовые и кредитные карты являются частью повседневной жизни, о которой мы не думаем, но не так давно они показались бы странной концепцией тем, кто использует физическую валюту для покупок. Первая кредитная карта Великобритании была выпущена в 1966 году, а первая дебетовая карта появилась в Великобритании только в 1987 году.Сейчас в Великобритании насчитывается более 51 миллиона держателей дебетовых карт, что составляет 96% взрослого населения, в то время как более 32 миллионов взрослых в Великобритании имеют кредитные карты. По данным торговой ассоциации UK Finance, общие расходы по кредитным и дебетовым картам в 2018 году составили более 800 миллиардов фунтов стерлингов, при этом в течение года было совершено более 20 миллиардов транзакций.
Популярность использования карточных платежей, чему способствуют онлайн-покупки и возможность совершать бесконтактные платежи в магазинах, настолько возросла, что они обогнали наличные как наиболее распространенную форму оплаты в Великобритании, и количество карточных платежей продолжает расти.
Мы также гораздо чаще используем их в Интернете. Это облегчает нам всем покупку всевозможных товаров и услуг, но это также означает, что, если у мошенников есть данные, они могут использовать вашу учетную запись, даже если физическая карта находится в безопасности в вашем кармане, потому что при покупках через Интернет для этого требуется только ввод номера кредитной карты, наличие карты не обязательно.
К сожалению, правда заключается в том, что кардеры-мошенники имеют доступ ко многим номерам кредитных карт благодаря почти постоянным волнам утечек данных со стороны больших и малых компаний.
Так как же кардеры получают доступ ко всем этим данным, как они ими торгуют и насколько велика эта незаконная теневая экономика?
«Это действительно интересный вопрос, потому что на него нет четкого ответа. Это звучит очень по-рамсфельдски, но есть просто неизвестные неизвестные», - говорит Трой Хант, создатель книги «Меня наказали?», веб-сайт, который позволяет людям проверить, не были ли взломаны их адрес электронной почты, пароль или другие личные данные.
Меня обманули? в настоящее время содержит данные о почти 10 миллиардах скомпрометированных учетных записей с более чем 450 веб-сайтов и дампы данных, которые были опубликованы хакерами – но это почти наверняка лишь поверхностная часть информации, которая была украдена на протяжении многих лет, потому что существует гораздо больше утечек данных, где данные не были публично опубликованы хакерами.
«Мы знаем, что существует огромное количество инцидентов, которые попали в заголовки газет, но которых нет в системе», — говорит Хант.
В небольших компаниях также происходит гораздо больше нарушений, которые могут даже не попасть в заголовки газет, но все же могут привести к краже личных данных тысяч людей.
Компании должны быть более осторожными с вашими данными
Кардеры могут украсть данные несколькими способами.Классическим примером этого является вредоносное ПО для торговых точек (PoS). Это вредоносное программное обеспечение, которое банды устанавливают на PoS-терминалы, которые магазины, рестораны, бары и другие магазины розничной торговли используют для приема платежей по картам. Это ключевая часть почти любой розничный бизнес.
И именно потому, что они являются частью мебели, многие из этих систем настолько уязвимы, потому что организации забывают, что это компьютерные системы, которые могут содержать уязвимости и нуждаться в обновлении. Предприятия могут годами не осознавать, что платежная информация клиентов копируется и крадется каждый раз, когда совершается транзакция.
Вредоносное ПО можно установить на PoS-терминалы физически, но такие системы также могут быть скомпрометированы в самой корпоративной сети в результате хакерской кампании.
Атака может начаться с фишингового электронного письма, направленного на неосторожных сотрудников, или с более технического подхода, нацеленного на удаленные порты сети, выходящие в Интернет, как способа попасть в сеть и перейти по сети к устройству PoS для установки вредоносного ПО.
Это возможно, поскольку большинство PoS-систем работают на модифицированной версии Windows, а это означает, что компьютер может быть уязвим для атак, как и другие устройства Windows. И хотя большинство систем Windows в сети должны регулярно получать обновления безопасности, чтобы гарантировать, что они не станут жертвами атак, о PoS-терминале слишком легко забыть.
Так было с розничным продавцом Dixons Carphone, у которого в период с июля 2017 года по апрель 2018 года вредоносное ПО PoS было установлено на более чем 5000 терминалах , а хакеры получили доступ к данным карт более пяти миллионов клиентов.
В отчете Управления комиссара по информации указываются «систематические сбои» в том, как ритейлер защищает личные данные и управляет безопасностью своих сетей, включая неспособность исправить системы от известных уязвимостей.
Есть ожидания, что более крупные предприятия будут, по большей части, выделять средства на ИТ-безопасность и модернизировать сеть, когда это необходимо, но для небольших предприятий этот подход может быть не таким простым – тем не менее, они тоже будут атакованы хакерами, особенно если они рассматриваются как легкая мишень.
«Изменения трудны для всех, особенно для малого бизнеса. Если этот терминал для кредитных карт работает, хотите ли вы потратить сотни долларов на обновление до новой системы, которую вам нужно научиться использовать? Предприятия просто хотят, чтобы им платили как обычно», — говорит Кевин Ли, архитектор цифрового доверия и безопасности в Sift, компании по предотвращению мошенничества с платежами.
Вот почему вредоносное ПО PoS остается таким распространенным – и, возможно, именно поэтому данные моей карты были украдены. Но это далеко не единственный способ, которым это могло произойти.
Еще один распространенный способ кражи карточной информации – непосредственно из банкоматов. Хотя на банкоматы можно удаленно установить вредоносное ПО (в конце концов, это в основном просто ПК с Windows, причем зачастую со старыми версиями Windows), физическое вмешательство в устройства предоставляет злоумышленникам еще более простой способ украсть банковские реквизиты.
В ходе этих скимминговых атак злоумышленники размещают свои собственные компоненты для считывания карт поверх реального устройства, что позволяет им не только видеть данные карты, содержащиеся на магнитной полосе, но и видеть PIN-код, предоставляя им все данные, которые они могут получить. необходимо совершать платежи и снимать средства — или собирать эту информацию для ее продажи.
«Вполне возможно, что вы использовали свою карту в банкомате, и какой-то скиммер прочел вашу карту, и кто-то придумал, как клонировать вашу карту, и продал ее через Интернет. Это вполне возможно — ваша карта могла не участвовать в взлом вообще, но лишь поверхностный», — говорит Ли-Энн Галлоуэй, руководитель отдела исследований коммерческой безопасности в Cyber R&D Lab.
«В обращении все еще находится большое количество скиммеров. Они по-прежнему довольно популярны, потому что работают».
Ваши данные могут оказаться на подпольном рынке
В некоторых случаях преступники будут использовать украденные данные карты для себя, просто используя данные либо для клонирования карты, либо для совершения покупок в Интернете. Но привязка покупок, сделанных по украденной карте, непосредственно к их собственной личности, скорее всего, приведет к тому, что их рано или поздно поймают.Вот почему продажа данных украденных карт через Интернет является менее рискованным вариантом для мошенников, которым предстоит продать большое количество данных кредитных карт. А поскольку крупномасштабные утечки данных настолько распространены, подпольные рынки киберпреступников, специализирующиеся на торговле украденной информацией, чрезвычайно загружены.
«Кардеры просто ищут способ монетизировать полученные данные, и зачастую это намного сложнее, чем люди думают. Если вы хорошо умеете писать вредоносные программы, но не знаете, что делать с данными кредитной карты, вот почему вам следует обратиться к подполью», — говорит Лив Роули, аналитик по разведке угроз в Blueliv. «Иногда после утечек больших данных становится ясно, что их передают», — говорит она.
Одновременно существуют десятки различных карточных магазинов, где преступники пытаются обменять украденные данные, оставаясь при этом вне поля зрения закона. Некоторые остаются в бизнесе в течение длительного времени, а другие закрываются – либо правоохранительными органами, либо самими операторами, чтобы их не поймали. Одним из крупнейших и наиболее успешных является Joker's Stash, который часто используется как способ одновременной продажи миллионов данных кредитных карт и другой личной информации.
Этот конкретный форум также связан с Fin7, плодовитой хакерской группой, которая на протяжении многих лет украла данные о миллионах кредитных карт у розничных продавцов, ресторанов, казино и других организаций. Если за утечкой данных стоит Fin7, подробности часто выставляются на продажу в Joker's Stash.
Ранее в этом году власти США напрямую связали Fin7 с Joker's Stash, среди других карточных форумов, в обвинительном заключении после ареста граждан Украины, обвиненных в членстве в хакерской группе.
Тем не менее, не похоже, что кража моих данных была связана с каким-либо из этих нарушений – по крайней мере, с теми, которые стали достоянием общественности – так каковы другие варианты, если они были украдены в результате утечки данных?
Существуют небольшие кардинг форумы, куда пользователи приходят, чтобы продать украденные ими данные, и потенциальные покупатели могут покупать столько или меньше карт, сколько им хочется – иногда данные об одной украденной карте могут стоить меньше доллара.
Во многих случаях процесс полностью автоматизирован, и пользователи могут определить, кому можно доверять, по отзывам, оставленным предыдущими покупателями – как и в любой другой одноранговой онлайн-среде розничной торговли.
«На самом деле вам не нужно ни с кем взаимодействовать, вы просто идете туда, ищете то, что ищете, и просто покупаете это. Это удобно для киберпреступников, потому что это безболезненный процесс», — говорит Роули. Вместо этого боль, конечно, ощущают жертвы.
Две секунды, которые имеют решающее значение
Возможно, данные моей карты прошли через несколько разных рук, прежде чем оказались в Южной Америке, но почему именно это была заправочная станция или небольшой магазин, где, похоже, попытались получить копию карты? использовал?Печать карточек — относительно простой процесс для преступников, и физические инструменты, необходимые для этого, на самом деле не являются незаконными. В конце концов, пластиковые удостоверения личности существуют на многих рабочих местах, и их необходимо распечатать, а также можно купить и использовать эмбоссер для нанесения на карты рельефных банковских реквизитов и личной информации, чтобы они выглядели как настоящие.
«Вы киберпреступник, и вы купили эти данные, а это просто необработанные цифры. Вы берете эти данные, берете пластиковую карту и распечатываете правильную банковскую информацию, вы всплываете буквы имени и цифр, которые должен быть там», — объясняет Роули. «Затем вы записываете информацию на магнитную полосу, и это должно сработать», — добавляет она.
Для кардеров идеальным местом для проверки работоспособности этих карт (и украденных ими банковских реквизитов) являются небольшие магазины розничной торговли, поскольку они часто не имеют сложных систем безопасности.
«Заправочные станции — отличное место для проверки номеров кредитных карт, потому что вам не придется иметь дело с заправщиком — вы вставляете карту, и если она работает, вы получаете бесплатный бак бензина и продолжаете движение. Если нет Если это работает на заправочной станции, это зеленый свет для совершения более крупных сделок», — говорит Кевин Ли.
Невозможно узнать, что пытался купить человек, использующий мои данные, но вполне вероятно, что если бы транзакция состоялась, они попытались бы выдоить с моего банковского счета гораздо больше, чем 108 фунтов стерлингов. К счастью, попытка использования моей карты была почти сразу обнаружена и пресечена банком.
«У нас есть две секунды, чтобы принять решение. В первые две секунды мы бы решили отклонить это предложение», — говорит Пол Дэвис, директор по борьбе с розничным мошенничеством в британском Lloyds Bank.
Lloyds Banking Group имеет 12 различных систем для анализа транзакций на предмет необычных платежей и работает с внешними компаниями и Visa для проверки огромного количества платежей, которые совершаются каждый день. Этим системам необходимо найти баланс между обнаружением потенциально подозрительной активности и при этом не препятствовать регулярным транзакциям.
«Мошенническая система будет проверять такие вещи, как то, кому вы пытаетесь заплатить, сколько вы им платите, совершали ли вы когда-либо подобный платеж раньше», - объясняет Дэвис, указывая на то, как неожиданное место моего платежа было попытка использовать мою карту, вероятно, сыграла роль в том, что она была признана потенциально подозрительной.
«Я не знаю, сколько наших клиентов совершают транзакции в Суринаме – возможно, их немного – так что это скорее сигнал тревоги», — говорит он.
Местоположение в сочетании с продавцом, история других транзакций там (и являются ли они мошенническими или нет) и выплачиваемая сумма — все это помогает банку принять решение. И в данном случае он правильно решил, что транзакция была мошеннической – но эти решения нужно принимать быстро и не блокируя подлинные попытки покупок.
«Чем больше у нас данных, тем лучше эта система и тем больше вероятность, что мы остановим еще больше мошенничества и прервем меньше реальных дел», — говорит Дэвис.
В некоторых случаях легче обнаружить попытки мошенничества, например, если преступники делают множество запросов одновременно, используя последовательные номера карт, что указывает на то, что они продвигаются вниз по списку. В этом случае попытки транзакций по номерам карт, которые еще не проверены, могут быть превентивно заблокированы.
«Если есть торговец, которого мы никогда раньше не видели, и внезапно мы получаем 10 000 платежей с почти последовательными номерами или с шаблоном, они выделяются как подозрительные. Мы блокируем эти платежи еще до того, как они попадают в систему обнаружения мошенничества. двигатель», — объясняет Дэвис.
Киберпреступникам в прошлом удавалось избежать наказания за подобные уловки – именно это привело к тому, что в ноябре 2016 года злоумышленникам удалось украсть более 2 миллионов фунтов стерлингов у 9000 клиентов Tesco Bank – но достижения в области обнаружения мошенничества означают, что у них больше возможностей. быть легко заблокированным.
В некоторых случаях компании могут даже не осознавать, что их взломали.
«О нарушениях не всегда сообщается. По нашему опыту, количество продавцов, которые потенциально имели нарушение, но еще не заметили его, намного выше», — говорит Дэвис. «Данные многих карточек людей торгуются через Интернет, и поэтому для обеспечения безопасности систем мы полагаемся на системы, которые мы используем в банках».
Кардинг - мошенничество с кредитными картами далеко не является чем-то необычным
Но киберпреступники могут получить то, что им нужно, чтобы злоупотребить личными данными для совершения мошенничества, не только путем прямой кражи банковской информации. Имена, учетные записи в социальных сетях, адреса, дни рождения и всякая другая информация потенциально доступна и может быть использована для создания ложных профилей или социальной инженерии жертв, чтобы они стали жертвами киберпреступности. Это случалось даже с высокопоставленными политиками.«Часто вы можете собрать из социальных сетей достаточно информации, чтобы войти в их учетные записи или ответить на контрольные вопросы», — говорит Чарити Райт, советник по разведке киберугроз в IntSights.
Информация из украденных учетных записей может быть выставлена на продажу на подпольных форумах, и, если жертва повторно использовала свой пароль электронной почты в других важных учетных записях, это может легко предоставить злоумышленникам возможность завладеть гораздо большим количеством информации, возможно, даже со счетами в онлайн-банках.
Роль Райта заключается в поиске в открытой и подпольной сети информации о генеральных директорах, руководителях и других высокопоставленных лицах, чтобы увидеть, какая информация там находится, и, что крайне важно, помочь остановить ее использование и злоупотребление киберпреступниками. Она также посмотрела, какая информация обо мне имеется, и, возможно, что удивительно, учитывая мою работу, по моему имени найти особо нечего.
«Насколько я могу судить, ваше цифровое присутствие ограничено профессиональными и социальными сетями, и это отлично, учитывая ваш публичный имидж в средствах массовой информации», — сказала она.
Тем не менее, с помощью скимминга, PoS-вредоносного ПО или чего-то еще киберпреступники смогли заполучить мои банковские реквизиты – несмотря на то, что я каждый день пишу о кибербезопасности и знаю, как принять меры предосторожности, чтобы защитить себя.
Однако я, конечно, не единственный человек, которого я знаю, чья банковская информация или другие личные данные были украдены на протяжении многих лет, и я не последний; Многие люди стали жертвами подобного мошенничества, и даже многие исследователи безопасности, с которыми я разговаривал, пытаясь выяснить, что случилось с данными моей карты, в тот или иной момент столкнулись с киберпреступниками.
«Я не думаю, что люди, уличенные в мошенничестве с кредитными картами, позорят себя так сильно; я не думаю, что многие люди почувствуют это сейчас. Это просто одна из тех вещей, которые случаются, и в большинстве случаев это полностью из ваших рук, как вы обнаруживаете сейчас — вы понятия не имеете, где и как это происходит», — говорит Крис Бойд, ведущий аналитик по вредоносному ПО в Malwarebytes.
«А когда вредоносное ПО PoS сможет скрываться в сетях в течение года или более, как вы об этом узнаете?»
Мне повезло, что была замечена попытка использования моего банковского счета; многим не так повезло: преступники использовали данные карты для совершения очень крупных покупок. Бойд оказался жертвой одной из таких схем.
«Вкратце, со мной связались и сказали, что с моей картой произошло мошенничество», — объясняет он. «Обычно вы слышите о небольших суммах претензий, люди узнают данные карты и берут немного тут и там – но это было около 14 000 фунтов стерлингов!»
Как и в моем случае, установить, как именно были украдены данные карты, не удалось, но в данном случае масштаб покупки был необычным.
«Каким-то образом кто-то получил данные моей кредитной карты и обратился к специализированному поставщику вина, организации, которая продает огромное количество вина в магазины, и разместил ошеломляющий заказ на вино на 14 000 фунтов стерлингов», — говорит Бойд.
«Великое винное ограбление», как он его описывает, просто показывает, что даже те, кто глубоко разбирается в вопросах безопасности, могут стать жертвой киберпреступности – и в большинстве случаев они вряд ли узнают, как это произошло.
«Вы понимаете, что существует лишь небольшое количество мест, где вы совершаете регулярные покупки, и еще меньшее количество исключений, поэтому легко выяснить ваши ежедневные перемещения и то, что вы тратите», - объясняет Бойд.
«Но в этом случае вы все равно упираетесь в кирпичную стену, потому что ничего из этого не поможет выяснить, что случилось с вашей информацией», — добавляет он.
Некоторые люди, по-видимому, не стали жертвами мошенничества активно, но все равно кажется, что то, что что-то произойдет, является лишь вопросом времени.
«Для меня, как американца, у меня есть номер социального страхования, и я не сомневаюсь, что мой номер социального страхования находится где-то в темной сети. Это просто вопрос удачи, мои личные данные еще не украли. сейчас, когда мы находимся, очень легко потерять контроль над своими данными», — говорит Лив Роули.
Примите меры предосторожности для обеспечения безопасности и сохранности данных
Может показаться, что кража данных вашей карты неизбежна из-за огромного количества организаций, которые становятся жертвами хакерских атак и кампаний по распространению вредоносного ПО. Тем не менее, можно принять меры предосторожности против мошенничества с кредитными картами.«Не выпускайте свою карту из поля зрения. Держите ее под контролем, потому что, если вы откажетесь от нее, вы не знаете, будут ли ее просматривать или записывать детали», - говорит Пол Дэвис.
Хотя невозможно узнать, станет ли какая-либо организация жертвой утечки данных, в целом людям рекомендуется покупать у надежных поставщиков, поэтому в худшем случае, даже если детали действительно утекут, информация об утечке появится. в конце концов. Это может быть не так, если люди покупают в интернет-магазинах или других магазинах, которые были созданы с целью кражи личных данных.
Однако человек может сделать очень многое, чтобы оставаться в безопасности в Интернете, и в конечном итоге ответственность за предотвращение их пропажи ложится на плечи организаций, которые обрабатывают персональные данные.
Законодательство, такое как Общий регламент по защите данных (GDPR), дает организациям дополнительный стимул обеспечивать безопасность личных данных клиентов и потребителей, поскольку, если компания станет жертвой взлома и будет признано, что она безответственно управляла безопасностью, она может столкнуться с огромными финансовыми потерями - штраф.
British Airways, например, была оштрафована на 183 миллиона фунтов стерлингов после кражи личных данных, включая банковские реквизиты, более чем 500 000 клиентов, причем виной этому были «плохие меры безопасности».
Но даже если ваша личная информация будет украдена большой партией вместе с сотнями тысяч, а может быть, даже миллионами других – и это не ваша вина – все равно трудно не чувствовать, что используется ваш банковский счет или ваш пароль, это личное нападение.
«В большинстве случаев это не личное, как и в случае с такими вещами, как захват учетных записей и подмена учетных данных — вы один из миллиона человек в списке, и это критерий того, почему это произошло, вот и все», — говорит Трой Хант.
И действительно, похоже, что часть моей информации выставлена на продажу: несколько карточек, по крайней мере частично совпадающих с номером моей карты, рекламируются на подпольном форуме по цене 25 долларов, по словам одного исследователя, которого я попросил покопаться.
Никакой информации о моем адресе не было указано, что, по-видимому, предполагает, что мои данные потенциально могут быть украдены с помощью скиммера или вредоносного ПО PoS, а не с помощью интернет-магазина, которому также понадобится мой адрес для отправки товара.
Это все мои обоснованные догадки. Вряд ли я когда-нибудь узнаю, как именно были украдены данные моей карты, как они оказались в Южной Америке и кто пытался ими воспользоваться. Мне, однако, повезло, что банку удалось обнаружить подозрительную активность и заблокировать все происходящее – многим другим повезло меньше.
Но до тех пор, пока существует банковская информация и другие персональные данные, которые киберпреступники могут захватывать, обменивать и использовать, это будет продолжаться. Для жертв, хотя это может расстраивать и даже огорчать, возможно, осознание того, что они не подверглись индивидуальной атаке, может дать некоторое утешение, даже если они тоже никогда не поймут, как это произошло.
(c) https://www.zdnet.com/article/my-st...les-away-i-tried-to-find-out-how-it-happened/
