Какие устаревшие технологии всё ещё уязвимы для кардинга?

[Mutt]

Кардинг — это вид мошенничества, при котором злоумышленники используют украденные данные банковских карт для совершения несанкционированных транзакций, покупок или вывода средств. Устаревшие технологии, такие как магнитные полосы, протокол SS7 и терминалы без поддержки EMV, остаются уязвимыми для кардинга из-за их слабой защиты от современных методов атак. Ниже представлен подробный образовательный анализ этих технологий, их уязвимостей в контексте кардинга, примеров атак, а также мер, которые банки и платёжные системы принимают для устранения рисков.

1. Магнитные полосы​

Что такое магнитные полосы?​

Магнитные полосы — это технология, используемая на банковских картах с 1960-х годов. Они содержат статические данные, такие как:

• Номер карты (PAN — Primary Account Number);
• Срок действия карты;
• Имя владельца (в некоторых случаях);
• Код сервиса и CVV1 (не путать с CVV2, который указан на обратной стороне карты).

Эти данные записаны в магнитном формате на трёх дорожках (Track 1, Track 2, Track 3) и считываются устройствами, такими как банкоматы или POS-терминалы.

Уязвимости магнитных полос в контексте кардинга​

1. Лёгкость копирования (скимминг):
   • Скиммеры — это небольшие устройства, которые устанавливаются на банкоматы, POS-терминалы или даже ручные считыватели в магазинах. Они считывают данные магнитной полосы, которые затем записываются на поддельную карту (так называемый «клон»).
   • Пример: Злоумышленник устанавливает скиммер на банкомат, который внешне выглядит как часть устройства. Пользователь вставляет карту, данные считываются, а PIN-код может быть перехвачен через накладную клавиатуру или скрытую камеру.
2. Отсутствие шифрования:
   • Данные на магнитной полосе не защищены шифрованием. Если злоумышленник получает доступ к этим данным (например, через скиммер или компрометацию терминала), он может использовать их без дополнительных препятствий.
   • Пример: В 2013 году хакеры атаковали сеть магазинов Target в США, заразив POS-терминалы вредоносным ПО, которое собирало данные магнитных полос. Это привело к утечке данных 40 миллионов карт.
3. Офлайн-транзакции:
   • В некоторых странах или устаревших системах терминалы могут принимать данные магнитной полосы без онлайн-проверки, что позволяет использовать клонированные карты для покупок.
   • Пример: В развивающихся странах мошенники могут использовать клонированные карты в магазинах, где терминалы не проверяют подлинность карты через онлайн-аутентификацию.
4. Социальная инженерия:
   • Злоумышленники могут использовать украденные данные магнитной полосы в комбинации с социальной инженерией, например, выдавая себя за сотрудника банка, чтобы получить PIN-код или CVV2.

Как кардеры эксплуатируют магнитные полосы?​

• Скимминг в реальном мире: Установка скиммеров на банкоматы, заправки или в небольших магазинах, где контроль за устройствами слабый.
• Кардинг в даркнете: Украденные данные магнитной полосы (так называемые «дампы») продаются в даркнете. Покупатели записывают их на поддельные карты и используют для покупок.
• Физические покупки: Мошенники используют клонированные карты в местах, где не требуется PIN-код или подпись, например, в магазинах с низким уровнем проверки.
• Онлайн-кардинг: Если данные карты включают CVV2 (например, полученный через фишинг), они могут использоваться для онлайн-покупок, где не требуется 3D-Secure.

Как банки устраняют риски?​

1. Переход на EMV (чипы):
   • Карты с чипами (EMV — Europay, Mastercard, Visa) используют динамическую аутентификацию. Чип генерирует уникальный криптографический код для каждой транзакции, что делает клонирование бесполезным.
   • Пример: В Европе после массового внедрения EMV в 2000-х годах уровень скимминга резко снизился.
2. Ограничение транзакций по магнитной полосе:
   • Банки отключают возможность использования магнитной полосы в странах, где EMV широко распространён. Например, в ЕС транзакции по магнитной полосе часто блокируются.
   • В некоторых случаях магнитная полоса используется только как резервный вариант (fallback) для терминалов, не поддерживающих чипы.
3. Антискимминговые меры:
   • Установка антискимминговых устройств на банкоматы, которые обнаруживают посторонние устройства.
   • Регулярные проверки банкоматов и терминалов сотрудниками банков.
   • Пример: В 2020-х годах банки в США начали использовать датчики вибрации на банкоматах для выявления скиммеров.
4. Мониторинг и аналитика:
   • Системы машинного обучения анализируют транзакции в реальном времени, выявляя подозрительные операции (например, покупки в другой стране или крупные суммы).
   • Пример: Если карта используется в Таиланде, а её владелец ранее совершал покупки только в России, банк может временно заблокировать карту и запросить подтверждение.
5. Образование клиентов:
   • Банки информируют пользователей о том, как распознавать скиммеры (например, проверять банкомат на наличие подозрительных насадок) и избегать использования карт в небезопасных местах.

2. Протокол SS7​

Что такое SS7?​

Signaling System 7 (SS7) — это протокол, разработанный в 1970-х годах для управления звонками и сообщениями в телекоммуникационных сетях. Он используется операторами связи для маршрутизации звонков, передачи SMS и обмена метаданными между сетями.

Уязвимости SS7 в контексте кардинга​

1. Перехват SMS для двухфакторной аутентификации (2FA):
   • SS7 не имеет встроенного шифрования или строгой аутентификации, что позволяет злоумышленникам с доступом к сети перехватывать SMS. Это особенно опасно, если банк использует SMS для отправки одноразовых паролей (OTP) для входа в онлайн-банк или подтверждения транзакций.
   • Пример: В 2017 году хакеры в Германии использовали уязвимости SS7 для перехвата SMS с OTP, что позволило им получить доступ к банковским счетам жертв и вывести средства.
2. Доступ к метаданным:
   • Через SS7 злоумышленники могут получить информацию о местоположении абонента, его звонках или сообщениях, что может быть использовано для социальной инженерии или планирования атак.
   • Пример: Зная, что жертва находится в определённом месте, мошенники могут позвонить, представляясь сотрудником банка, и запросить данные карты.
3. Подмена номера:
   • Злоумышленники могут подделать идентификатор вызывающего абонента (Caller ID) через SS7, чтобы выдать себя за банк или другую доверенную организацию.
4. Доступ к SS7:
   • Доступ к SS7-сетям возможен через коррумпированных сотрудников телеком-операторов, уязвимые точки в сети или нелегальные сервисы в даркнете, предоставляющие доступ к SS7 за плату.

Как кардеры эксплуатируют SS7?​

• Перехват OTP для онлайн-банкинга: Кардеры используют украденные данные карты (например, через фишинг или скимминг) и перехватывают SMS с OTP для входа в банковский аккаунт жертвы.
• Социальная инженерия: Используя метаданные из SS7, мошенники могут создавать убедительные сценарии, чтобы выманить у жертвы дополнительные данные (например, CVV2 или PIN-код).
• Комбинированные атаки: SS7 может использоваться в связке с другими методами, такими как фишинг или вредоносное ПО, для получения полного доступа к аккаунту жертвы.

Как банки и операторы устраняют риски?​

1. Альтернативы SMS-2FA:
   • Банки переходят на более безопасные методы двухфакторной аутентификации, такие как push-уведомления в банковских приложениях, биометрия (отпечатки пальцев, распознавание лица) или аппаратные токены.
   • Пример: Приложения вроде Google Authenticator или банковские приложения генерируют OTP локально, что исключает зависимость от SMS.
2. Улучшение безопасности SS7:
   • Телеком-операторы внедряют фильтры для блокировки подозрительных запросов в SS7-сети. Например, GSMA (Глобальная ассоциация мобильной связи) разработала рекомендации по защите SS7.
   • Мониторинг трафика для выявления аномалий, таких как запросы из неавторизованных источников.
3. Шифрование и токенизация:
   • Банки используют токенизацию для защиты данных карты при онлайн-транзакциях, что снижает ценность перехваченных данных.
   • Пример: Сервисы Apple Pay или Google Pay заменяют номер карты уникальным токеном, который бесполезен без дополнительной аутентификации.
4. Сотрудничество с операторами связи:
   • Банки и телеком-компании работают вместе для модернизации сетей и внедрения более безопасных протоколов, таких как Diameter (преемник SS7), хотя он также имеет уязвимости.
5. Образование клиентов:
   • Банки информируют пользователей о рисках SMS-2FA и рекомендуют использовать более безопасные методы аутентификации.

3. Терминалы без EMV​

Что такое терминалы без EMV?​

POS-терминалы без поддержки EMV (чиповых карт) полагаются на считывание магнитной полосы. Такие терминалы распространены в небольших магазинах, развивающихся странах или устаревших системах.

Уязвимости терминалов без EMV в контексте кардинга​

1. Зависимость от магнитной полосы:
   • Терминалы без EMV не могут обрабатывать чиповые карты, вынуждая пользователей использовать магнитную полосу, которая уязвима для скимминга.
   • Пример: В небольших магазинах в Юго-Восточной Азии старые терминалы могут принимать только магнитные полосы, что делает их мишенью для кардеров.
2. Отсутствие динамической аутентификации:
   • EMV-терминалы генерируют уникальный код для каждой транзакции, что делает украденные данные бесполезными. Терминалы без EMV этого не делают, позволяя использовать клонированные карты.
3. Слабая проверка:
   • Некоторые старые терминалы не требуют PIN-кода или подписи, что упрощает использование украденных карт.
   • Пример: В США до 2015 года многие терминалы принимали карты без PIN-кода, что способствовало росту кардинга.
4. Компрометация терминалов:
   • Злоумышленники могут заразить терминалы без EMV вредоносным ПО, которое собирает данные магнитных полос.
   • Пример: Атака на сеть магазинов Home Depot в 2014 году привела к утечке данных 56 миллионов карт из-за устаревших терминалов.

Как кардеры эксплуатируют терминалы без EMV?​

• Использование клонированных карт: Кардеры покупают дампы в даркнете и используют их на терминалах без EMV для покупок.
• Тестирование карт: Мошенники тестируют украденные данные на старых терминалах, чтобы проверить их валидность перед использованием в онлайн-магазинах.
• Атаки на торговцев: Злоумышленники специально выбирают магазины с устаревшими терминалами, где проверки минимальны.

Как банки и платёжные системы устраняют риски?​

1. Модернизация терминалов:
   • Платёжные системы (Visa, Mastercard) устанавливают сроки обязательного перехода на EMV-терминалы. Например, в США после 2015 года торговцы, не внедрившие EMV, несут ответственность за мошеннические транзакции.
   • Пример: В Европе к 2010 году большинство терминалов перешли на EMV, что резко сократило скимминг.
2. Финансовые стимулы:
   • Банки и платёжные системы предлагают субсидии или льготные условия для торговцев, обновляющих терминалы.
3. Ограничение транзакций:
   • Банки могут блокировать транзакции на терминалах без EMV в регионах с высоким риском мошенничества.
   • Пример: Некоторые банки автоматически отклоняют транзакции в странах, где EMV не внедрён широко.
4. Стандарты PCI DSS:
   • Торговцы обязаны соблюдать стандарты безопасности PCI DSS, которые включают защиту данных карты и регулярное обновление оборудования.
5. Образование торговцев:
   • Платёжные системы проводят кампании, информируя торговцев о рисках старых терминалов и преимуществах EMV.

Общие меры против кардинга​

1. Токенизация:
   • Сервисы, такие как Apple Pay, Google Pay и Samsung Pay, заменяют данные карты уникальными токенами, которые бесполезны при перехвате.
   • Пример: Даже если данные карты украдены, токен не может быть использован без аутентификации устройства.
2. Многофакторная аутентификация (MFA):
   • Банки внедряют биометрию, push-уведомления и аппаратные токены для повышения безопасности.
   • Пример: Сбербанк в России использует биометрическую аутентификацию в своём приложении.
3. Системы обнаружения мошенничества:
   • Алгоритмы машинного обучения анализируют транзакции в реальном времени, выявляя аномалии, такие как необычные географические локации или суммы.
   • Пример: Если карта внезапно используется в другой стране, банк может отправить запрос на подтверждение через приложение.
4. 3D-Secure:
   • Протоколы, такие как Verified by Visa или Mastercard SecureCode, требуют дополнительной аутентификации для онлайн-транзакций, что снижает риск использования украденных данных.
5. Образование клиентов:
   • Банки обучают пользователей избегать подозрительных банкоматов, проверять терминалы на наличие скиммеров и использовать безопасные методы 2FA.

Примеры реальных атак​

1. Target (2013):
   • Злоумышленники заразили POS-терминалы вредоносным ПО, которое собирало данные магнитных полос. Утечка затронула 40 миллионов карт, а убытки составили сотни миллионов долларов.
2. Атака через SS7 (2017):
   • В Германии хакеры использовали SS7 для перехвата SMS с OTP, получив доступ к банковским счетам жертв. Это показало уязвимость SMS-2FA.
3. Скимминг в туристических зонах:
   • В популярных туристических местах, таких как Таиланд или Мексика, скиммеры часто устанавливаются на банкоматы, где туристы используют карты с магнитной полосой.

Заключение​

Устаревшие технологии, такие как магнитные полосы, протокол SS7 и терминалы без EMV, остаются лёгкой мишенью для кардеров из-за отсутствия шифрования, динамической аутентификации и современных стандартов безопасности. Кардеры эксплуатируют эти уязвимости через скимминг, перехват SMS, социальную инженерию и использование клонированных карт. Банки и платёжные системы активно устраняют эти риски, внедряя EMV, токенизацию, MFA и системы мониторинга, но полное искоренение уязвимостей требует времени, особенно в регионах с устаревшей инфраструктурой. Для пользователей важно быть бдительными, избегать подозрительных терминалов и использовать современные методы аутентификации.

Если вы хотите углубиться в конкретный аспект (например, технические детали SS7 или примеры атак), напишите, и я предоставлю дополнительную информацию!