У киберпреступников есть несколько способов украсть данные платежной карты во время транзакции. Вот наиболее типичные способы, которыми они это делают, и как можно не стать жертвой.
Что такое скиммер для кредитных карт?
В индустрии безопасности скиммером традиционно называют любое аппаратное устройство, предназначенное для кражи информации, хранящейся на платежных картах, когда потребители выполняют транзакции в банкоматах, заправочных станциях и других платежных терминалах. Совсем недавно использование этого термина было расширено и теперь включает вредоносное программное обеспечение или код, который достигает той же цели на веб-сайтах электронной коммерции, ориентируясь на данные платежных карт, вводимые во время покупок в Интернете.
Будь то аппаратное или программное обеспечение, скиммеры - это инструменты, позволяющие мошенничество. Собранные ими данные используются либо для клонирования физических платежных карт, либо для совершения мошеннических транзакций без предъявления карты в Интернете.
Как работают устройства для снятия карт
Физические скиммеры предназначены для использования с конкретными моделями банкоматов, автоматов самообслуживания или других платежных терминалов, поэтому пользователи их трудно обнаружить. Из-за этого они бывают разных форм и размеров и состоят из нескольких компонентов.
Всегда есть компонент для чтения карт, который состоит из небольшой интегральной схемы, питаемой от батареек. Обычно он заключен в пластиковый или металлический корпус, который имитирует реальный картридер целевого банкомата или другого устройства и надевается на него. Этот компонент позволяет злоумышленникам получить копию информации, закодированной на магнитной полосе карты, не блокируя реальную транзакцию, которую пытается выполнить пользователь.
Второй компонент - это обычно небольшая камера, прикрепленная к банкомату, или поддельная клавиатура с PIN-кодом, которая закрывает настоящий. Целью этого компонента является кража ПИН-кода пользователя, который вместе с данными, украденными с магнитной полосы, может позволить преступникам клонировать карту и выполнять несанкционированные транзакции в странах, где транзакции на основе считывания все еще широко используются.
Однако по мере того, как многие страны мира перешли на карты с чипами, преступники тоже адаптировались, и теперь существуют более сложные варианты скиммеров. Некоторые скимминговые устройства достаточно тонкие, чтобы их можно было вставить в слот для чтения карт - это известно как «глубокая вставка». Устройства, называемые «мерцаниями», вставляются в слот для чтения карт и предназначены для считывания данных с чипов карт с чипом, хотя это эффективно только против неправильных реализаций стандартов Europy, Mastercard и Visa (EMV).
Скиммеры также могут быть установлены полностью внутри банкоматов, как правило, коррумпированными специалистами или путем сверления или вырезания отверстий в крышке банкомата и наклеивания на них наклеек, которые, как представляется, являются частью предполагаемого дизайна. В отчете Visa представлены изображения нескольких типов физических скиммеров, установленных в банкоматах по всему миру, а также модифицированных автономных торговых терминалов (POS), продаваемых на подпольном рынке, которые можно использовать для кражи данных карт.
Как избежать скиммеров кредитных карт
Из-за большого разнообразия скимминговых устройств не существует единственного способа, позволяющего потребителям не стать жертвой. Рекомендации включают:
Программные скиммеры
Программные скиммеры нацелены на программный компонент платежных систем и платформ, будь то операционная система POS-терминалов или страница оформления заказа на веб-сайте электронной коммерции. Любое программное обеспечение, обрабатывающее незашифрованные данные платежных карт, может стать целью вредоносного ПО для сбора данных.
Вредоносные программы для POS-терминалов, также известные как вредоносные программы для очистки оперативной памяти, использовались для совершения самых крупных в истории краж данных кредитных карт, включая взломы Target и Home Depot в 2013 и 2014 годах, в результате которых были скомпрометированы десятки миллионов карт.
К POS-терминалам прикреплены специализированные периферийные устройства, такие как устройства чтения карт, но в остальном они не сильно отличаются от других компьютеров. Многие используют Windows и запускают приложения типа кассовых аппаратов, которые регистрируют транзакции.
Хакеры получают доступ к таким системам через украденные учетные данные или с помощью уязвимостей и развертывания на них вредоносных программ, которые сканируют их память на наличие шаблонов, соответствующих информации о платежных картах - отсюда и название RAM scraping. Данные карты, за исключением PIN-кода, обычно не шифруются при передаче от устройства чтения карт приложению, работающему локально, поэтому их можно легко скопировать после идентификации в памяти.
Веб-скиммеры карт
В последние годы поставщики торговых точек начали внедрять и развертывать двухточечное шифрование (P2PE) для защиты соединения между устройством чтения карт и процессором платежей, поэтому многие преступники переключили свое внимание на другое слабое место: процесс оформления заказа. на сайтах электронной коммерции.
Эти новые веб-атаки с использованием скимминга предполагают, что хакеры внедряют вредоносный код JavaScript в сайты онлайн-покупок с целью сбора информации о карте, когда пользователи вводят ее на страницах оформления заказа. Как и в случае с системами POS, это нацелено на шаг в цепочке транзакций, где данные не защищены, прежде чем они будут отправлены обработчику платежей через зашифрованный канал или до того, как они будут зашифрованы и сохранены в базе данных сайта.
На сегодняшний день просмотр веб-страниц затронул сотни тысяч веб-сайтов, включая такие известные бренды, как British Airways, Macy's, NewEgg и Ticketmaster.
Как защититься от программных скиммеров платежных карт
Потребители не могут напрямую предотвратить такие компромиссы, потому что они не контролируют уязвимое программное обеспечение, будь то программное обеспечение в POS-терминалах или код, присутствующий на веб-сайтах электронной коммерции. Продавцы и их поставщики технологий несут ответственность за обеспечение безопасных покупок, но потребители могут предпринять некоторые действия, чтобы снизить риск раскрытия их собственных карт или ограничить влияние, если компромисс все же произойдет:
Что такое скиммер для кредитных карт?
В индустрии безопасности скиммером традиционно называют любое аппаратное устройство, предназначенное для кражи информации, хранящейся на платежных картах, когда потребители выполняют транзакции в банкоматах, заправочных станциях и других платежных терминалах. Совсем недавно использование этого термина было расширено и теперь включает вредоносное программное обеспечение или код, который достигает той же цели на веб-сайтах электронной коммерции, ориентируясь на данные платежных карт, вводимые во время покупок в Интернете.
Будь то аппаратное или программное обеспечение, скиммеры - это инструменты, позволяющие мошенничество. Собранные ими данные используются либо для клонирования физических платежных карт, либо для совершения мошеннических транзакций без предъявления карты в Интернете.
Как работают устройства для снятия карт
Физические скиммеры предназначены для использования с конкретными моделями банкоматов, автоматов самообслуживания или других платежных терминалов, поэтому пользователи их трудно обнаружить. Из-за этого они бывают разных форм и размеров и состоят из нескольких компонентов.
Всегда есть компонент для чтения карт, который состоит из небольшой интегральной схемы, питаемой от батареек. Обычно он заключен в пластиковый или металлический корпус, который имитирует реальный картридер целевого банкомата или другого устройства и надевается на него. Этот компонент позволяет злоумышленникам получить копию информации, закодированной на магнитной полосе карты, не блокируя реальную транзакцию, которую пытается выполнить пользователь.
Второй компонент - это обычно небольшая камера, прикрепленная к банкомату, или поддельная клавиатура с PIN-кодом, которая закрывает настоящий. Целью этого компонента является кража ПИН-кода пользователя, который вместе с данными, украденными с магнитной полосы, может позволить преступникам клонировать карту и выполнять несанкционированные транзакции в странах, где транзакции на основе считывания все еще широко используются.
Однако по мере того, как многие страны мира перешли на карты с чипами, преступники тоже адаптировались, и теперь существуют более сложные варианты скиммеров. Некоторые скимминговые устройства достаточно тонкие, чтобы их можно было вставить в слот для чтения карт - это известно как «глубокая вставка». Устройства, называемые «мерцаниями», вставляются в слот для чтения карт и предназначены для считывания данных с чипов карт с чипом, хотя это эффективно только против неправильных реализаций стандартов Europy, Mastercard и Visa (EMV).
Скиммеры также могут быть установлены полностью внутри банкоматов, как правило, коррумпированными специалистами или путем сверления или вырезания отверстий в крышке банкомата и наклеивания на них наклеек, которые, как представляется, являются частью предполагаемого дизайна. В отчете Visa представлены изображения нескольких типов физических скиммеров, установленных в банкоматах по всему миру, а также модифицированных автономных торговых терминалов (POS), продаваемых на подпольном рынке, которые можно использовать для кражи данных карт.
Как избежать скиммеров кредитных карт
Из-за большого разнообразия скимминговых устройств не существует единственного способа, позволяющего потребителям не стать жертвой. Рекомендации включают:
- Избегайте использования банкоматов, установленных вне зданий или в плохо освещенных местах. При развертывании скиммеров преступники нацелены на банкоматы, которые не видят большого количества людей, не находятся внутри банков или магазинов и не охвачены многими камерами видеонаблюдения. Они также, как правило, устанавливают скиммеры в выходные дни, когда их меньше видно, поэтому по возможности старайтесь не снимать наличные в банкоматах в выходные дни.
- Прежде чем вставлять карту, покачивайте или потяните за устройство для чтения карт и блокировку ввода PIN-кода, чтобы проверить, оторвались ли они или сдвинулись с места. Преступники обычно используют низкосортный клей для крепления скиммеров, потому что им нужно вернуть их и забрать. В этом видео показано, как специалист по кибербезопасности обнаруживает скиммер, прикрепленный к банкомату на улице в Вене.
- Ищите признаки взлома, такие как необычные отверстия, куски пластика или металла, которые выглядят неуместно, компоненты цвета, не совпадающего с остальной частью банкомата, наклейки, которые не выровнены должным образом. Если на машине есть видимые пломбы для сервисных замков, проверьте, не сломаны ли они.
- Закройте панель для ввода PIN-кода одной рукой при вводе PIN-кода, чтобы предотвратить его запись с какой-либо несанкционированной камеры. Это не поможет в тех случаях, когда есть мошеннический PIN-код, но это хорошая практика.
- Если у вашей карты есть чип, всегда используйте устройство чтения карт POS с чипом вместо того, чтобы считывать карту.
- Следите за выпиской по карте на предмет несанкционированных транзакций. Если ваш банк предлагает уведомления на основе приложений или SMS для каждой транзакции, включите эту функцию.
- Если ваш банк позволяет это, установите ограничение на количество наличных, которое можно снять за одну транзакцию или в течение 24 часов.
- Используйте дебетовую карту, прикрепленную к учетной записи, где вы храните ограниченную сумму денег и можете легко пополнить ее, когда вам понадобится больше , вместо использования карты, прикрепленной к вашей основной учетной записи, на которой есть большая часть или все ваши средства.
Программные скиммеры
Программные скиммеры нацелены на программный компонент платежных систем и платформ, будь то операционная система POS-терминалов или страница оформления заказа на веб-сайте электронной коммерции. Любое программное обеспечение, обрабатывающее незашифрованные данные платежных карт, может стать целью вредоносного ПО для сбора данных.
Вредоносные программы для POS-терминалов, также известные как вредоносные программы для очистки оперативной памяти, использовались для совершения самых крупных в истории краж данных кредитных карт, включая взломы Target и Home Depot в 2013 и 2014 годах, в результате которых были скомпрометированы десятки миллионов карт.
К POS-терминалам прикреплены специализированные периферийные устройства, такие как устройства чтения карт, но в остальном они не сильно отличаются от других компьютеров. Многие используют Windows и запускают приложения типа кассовых аппаратов, которые регистрируют транзакции.
Хакеры получают доступ к таким системам через украденные учетные данные или с помощью уязвимостей и развертывания на них вредоносных программ, которые сканируют их память на наличие шаблонов, соответствующих информации о платежных картах - отсюда и название RAM scraping. Данные карты, за исключением PIN-кода, обычно не шифруются при передаче от устройства чтения карт приложению, работающему локально, поэтому их можно легко скопировать после идентификации в памяти.
Веб-скиммеры карт
В последние годы поставщики торговых точек начали внедрять и развертывать двухточечное шифрование (P2PE) для защиты соединения между устройством чтения карт и процессором платежей, поэтому многие преступники переключили свое внимание на другое слабое место: процесс оформления заказа. на сайтах электронной коммерции.
Эти новые веб-атаки с использованием скимминга предполагают, что хакеры внедряют вредоносный код JavaScript в сайты онлайн-покупок с целью сбора информации о карте, когда пользователи вводят ее на страницах оформления заказа. Как и в случае с системами POS, это нацелено на шаг в цепочке транзакций, где данные не защищены, прежде чем они будут отправлены обработчику платежей через зашифрованный канал или до того, как они будут зашифрованы и сохранены в базе данных сайта.
На сегодняшний день просмотр веб-страниц затронул сотни тысяч веб-сайтов, включая такие известные бренды, как British Airways, Macy's, NewEgg и Ticketmaster.
Как защититься от программных скиммеров платежных карт
Потребители не могут напрямую предотвратить такие компромиссы, потому что они не контролируют уязвимое программное обеспечение, будь то программное обеспечение в POS-терминалах или код, присутствующий на веб-сайтах электронной коммерции. Продавцы и их поставщики технологий несут ответственность за обеспечение безопасных покупок, но потребители могут предпринять некоторые действия, чтобы снизить риск раскрытия их собственных карт или ограничить влияние, если компромисс все же произойдет:
- Следите за выпиской по счету и включайте уведомления о транзакциях, если это предлагает ваш банк. Чем раньше вы обнаружите мошеннические транзакции и сможете заменить свою карту, тем лучше.
- Включите внешнюю авторизацию для онлайн-транзакций, если она доступна. Пересмотренная Директива о платежных услугах (PSD2) в Европе требует, чтобы банки оспаривали транзакции по онлайн-картам с помощью вторичной авторизации через мобильные приложения и другие средства. Срок выполнения нового требования был продлен, но многие европейские банки уже внедрили механизм безопасности. Вероятно, что финансовые учреждения в США и других странах также примут авторизацию транзакций вне диапазона в будущем или, по крайней мере, предложат ее в качестве опции.
- Используйте виртуальные номера карт для покупок в Интернете, если их предлагает ваш банк, или для оплаты с мобильного телефона. Такие сервисы, как Google Pay и Apple Pay, используют токенизацию - механизм, который заменяет реальный номер карты временным номером, который передается продавцу. Это означает, что ваш реальный номер карты никогда не разглашается.
- Платите с помощью альтернативного сервиса онлайн-кошелька, такого как PayPal, который не требует от вас ввода данных своей платежной карты непосредственно на странице оформления заказа на сайте, на котором вы совершаете покупки. Вы также можете делать покупки только на веб-сайтах, которые перенаправляют вас к сторонней платежной системе для ввода данных вашей карты, вместо того, чтобы обрабатывать сбор данных самостоятельно.
- Поскольку просмотр веб-страниц включает вредоносный код JavaScript, программы безопасности конечных точек, которые проверяют веб-трафик внутри браузера, могут технически обнаружить такие атаки. Однако веб-вредоносное ПО часто запутывается, и злоумышленники постоянно его изменяют. Хотя всегда хорошо иметь установленную новейшую антивирусную программу, не ожидайте, что она обнаружит все атаки веб-скимминга.
- Несмотря на то, что некоторые крупные розничные торговцы и бренды стали жертвами веб-скимминга, статистически эти атаки, как правило, больше затрагивают мелких онлайн-торговцев, потому что у них нет ресурсов для инвестирования в дорогостоящие серверные решения безопасности и аудит кода. С точки зрения потребителя риск, вероятно, ниже при совершении покупок на крупных и хорошо зарекомендовавших себя веб-сайтах.
