Принципы работы и методы защиты от скиммеров для банковских карт.
Кибермошенники используют различные методы кражи данных о платежной карте во время транзакции. В этой статье рассмотрены наиболее типичные способы, а также меры защиты, чтобы вы не оказались жертвой махинаций подобного рода.
Что представляет собой скиммер платежной карты?
В сфере безопасности под скиммером подразумевается любое аппаратное устройство для кражи информации, хранимой на платежных картах, когда покупатель совершает транзакцию в банкомате, на заправочной станции или в платежном терминале. Однако недавно значение этого термина было расширено, и под скиммером стало подразумеваться любое вредоносное приложение или код, направленный на кражу информации о платежных картах, в том числе во время покупок в интернет-магазинах.
Вне зависимости от типа скиммера (аппаратного или программного) злоумышленники преследуют схожие цели, а конкретно – обман покупателя, когда полученная информация используется для клонирования физических платежных карт или совершения поддельных транзакций в интернете.
Как работают скимминговые устройства?
Физические скиммеры проектируются под определенные модели банкоматов, кассы самообслуживания и другие платежные терминалы таким образом, чтобы затруднить обнаружение. Скимминговые устройства бывают разных форм, размеров и имеют несколько компонентов.
В каждом скиммере всегда присутствует компонент для считывания карт, состоящий из небольшой микросхемы, которая запитывается от батареи. Обычно скиммер находится внутри пластиковой или металлической оболочки, имитирующей настоящий кард-ридер целевого банкомата или другого устройства. Этот компонент позволяет мошеннику скопировать информацию, закодированную на магнитной полосе карты, без блокирования реальной транзакции, совершаемой пользователем.
Второй компонент скиммера – небольшая камера, прикрепленная к банкомату или поддельная клавиатура для ввода пин-кода, находящаяся поверх настоящей клавиатуры. Как нетрудно догадаться, цель этого компонента – кража пин-кода, который вместе с данными, хранимыми на магнитной полосе, используется для клонирования карты и выполнения неправомерных транзакций в странах, где подобного рода преступления широко распространены.
Однако поскольку во многих странах стали использоваться карты с чипами, злоумышленники также адаптировали свои технологии и стали изготавливать более сложные скиммеры. Некоторые скимминговые устройства настолько тонкие, что могут вставляться внутрь слота карт-ридера. По-другому эти устройства называются deep insert скиммерами или скиммерами глубокого проникновения. Устройства, называемые «шиммерами» вставляются в слот кард-ридера и спроектированы для считывания данных с чипов на картах. Однако следует отметить, что эта технология применима только там, где некорректно реализован стандарт EMV (Europay + MasterCard + VISA).
Скиммеры также могут устанавливаться полностью внутри банкоматов, как правило, техническими специалистами с нечистоплотными помыслами или посредством сверления или проделывания дырок оболочке банкомата и заклеиванием этих отверстий стикерами, выглядящие как часть общей конструкции. В отчете компании Visa приведены изображения различных типов физических скиммеров, найденных в банкоматах по всему миру, а также модифицированные кассовые терминалы, продаваемые на черном рынке, которые также могут использоваться для кражи информации с карты.
Как защититься от скиммеров для платежных карт?
Вследствие большого разнообразия скимминговых устройств универсального способа, как не стать жертвой злоумышленников, не существует. Рекомендации следующие:
- Избегайте банкоматов, установленных вне зданий или расположенных в местах с плохим освещением. Для установки скиммеров злоумышленники выбирают банкоматы в малолюдных местах, находящиеся вне банков или магазинов и не под присмотром большого количества камер. Кроме того, как правило, скиммеры устанавливаются в выходные, когда вокруг меньше всего любопытствующих глаз. Поэтому старайтесь снимать наличные в выходные только в случае крайней необходимости.
- Перед вставкой карты пошевелите или потяните кард-ридер и клавиатуру для набора пин-кода и убедитесь, что эти компоненты не отсоединяются и не сдвигаются. Как правило, злоумышленники используют низкокачественный клей для прикрепления скиммера, поскольку впоследствии это устройство должно быть извлечено. На этом видео показано, как профессионал в сфере кибербезопасности обнаруживает скиммер, прикрепленный к банкомату на одной из улиц в Вене.
- Обращайте внимание на странные признаки: отверстия, куски пластики или металла, которые выглядят не к месту, компоненты, цвет которых не совпадает с остальной частью банкомата и стикеры, наклеенные неровно. Если в банкомате присутствуют пломбы для служебных замков, проверьте, нет ли в этих местах повреждений.
- При наборе пин-кода закрывайте клавиатуру руками, чтобы набранные цифры не смогли попасть на видео вредоносной камеры. Этот метод не поможет в случае накладной клавиатуры, но в целом сократит вероятность кражи пин-кода.
- Если на вашей карте есть чип, всегда используйте кард-ридеры терминалов с поддержкой чипов, вместо «прокатывания» магнитной полосы.
- Отслеживайте счета на предмет неправомерных транзакций. Если в вашей карте предусмотрены уведомления через приложение или СМС после каждой транзакции, пользуйтесь этими функциями.
- Если позволяет функционал, установите лимит снятия наличных во время одной транзакции или в течение одних суток.
- Используйте дебетовую карту, прикрепленную к счету, где находится небольшое количество денежных средств, и пополняйте этот счет по мере необходимости, вместо использования карты, прикрепленной к основному счету, где находятся все ваши деньги.
Программные скиммеры
Программные скиммеры нацелены на программные компоненты платежных систем и платформ, будь то операционная система платежного терминала или страница оплаты интернет-магазина. Любое приложение, обрабатывающее незашифрованную информацию о платежной карте, может стать целью вредоноса, заточенного под скимминг.
Вредоносы, заточенные под платежные терминалы, использовались для совершения крупнейших краж данных о кредитных картах, включая взломы в 2013 и 2014 годах компаний Target и Home Depot. В результаты были скомпрометированы десятки миллионов карт.
У POS терминалов есть специальные периферийные устройства, например, для считывания карт, но в остальном отличий от обычных компьютеров практически нет. Во многих случаях терминалы работают на базе Windows в связке с кассовым приложением, фиксирующего все транзакции.
Хакеры получают доступ к подобным системам, используя украденные учетные записи или эксплуатируя уязвимости, а затем устанавливают вредоносные программы для сканирования памяти на предмет паттернов, совпадающих с информацией о платежных картах. Отсюда и название этих вредоносов «RAM scraping». Информация о карте (за исключением пин-кода) обычно не шифруется при локальной передаче от кард-ридера в приложение. Соответственно, не составляет особого труда скопировать эти данные из памяти.
Веб-скиммеры
В последние годы производители платежных терминалов стали внедрять межконцевое шифрование (P2PE) для усиления безопасности соединения между кард-ридером и платежным процессором, вследствие чего многие злоумышленники переключили внимание на другое слабое звено: схему оплаты в интернет-магазинах и на других сайтах, связанных с электронной коммерцией.
В новых сценариях атак, связанных с веб-скиммингом, используются инъекции вредоносного JavaScript-кода в страницы интернет-магазинов с целью перехвата информации о карте, когда пользователь совершает оплату. Как и в случае с POS терминалами, незащищенные данные перехватывается во время транзакции перед отсылкой платежному процессору через зашифрованный канал или перед шифрованием и добавлением в базу данных сайта.
Веб-скиммингу уже подверглись сотни тысяч сайтов, включая широко известные бренды: British Airways, Macy's, NewEgg и Ticketmaster.
Как защититься от программных скиммеров?
Вы, как пользователь, вряд ли сможете что-то сделать, чтобы предотвратить компрометирование подобного рода, поскольку у вас нет контроля над приложением в платежном терминале или кодом на страницах интернет-магазина. Здесь ответственность за безопасность покупок полностью лежит на продавцах и разработчиках технологии, используемой на сайте, созданному с целью электронной коммерции. Однако вы, как покупатель, можете предпринять дополнительные меры для снижения риска кражи карт или снизить влияние последствий, если компрометирование произойдет:
- Отслеживайте выписки своих счетов и включите уведомления от каждой транзакции, если позволяет функционал. Чем быстрее вы обнаружите «левые» транзакции и поменяете карту, тем лучше.
- Если возможно, используйте внешнюю авторизацию (out-of-band authorization) во время онлайн-транзакций. Последняя редакция директивы платежных сервисов (PSD2) в Европе обязывает банки сопровождать онлайн-транзакции вместе с двухфакторной аутентификации через мобильные приложения, а также другие методы. Срок жалобы по новым правилам расширился, но многие европейские банки уже внедрили этот механизм безопасности. Вполне вероятно финансовые институты в США и других странах также внедрят авторизацию внешней транзакции в будущем или, как минимум, будут предлагать эту функцию в качестве дополнительной опции.
- Во время онлайн-шоппинга используйте номера виртуальных карт, если такую возможность предоставляет банк, или платите с мобильного телефона. Сервисы навроде Google Pay и Apple Pay используют токенизацию. При использовании этой технологии происходит замена настоящего номера карты на временной номер, передаваемый в мерчант. В этом случае утечки номера вашей карты не произойдет.
- Старайтесь оплачивать покупки при помощи альтернативных платежных систем, как, например, PayPal, когда не требуется вводить информацию о карте на странице заказа сайта, где вы совершаете покупки. Вы также можете совершать покупки на сайтах, где перед вводом информации о карте происходит перенаправление на сторонний платежный процессор, вместо обработки этих данных самим магазином.
- Поскольку при веб-скимминге используется вредоносный JavaScript-код, программы безопасности конечных узлов, инспектирующих веб-трафик внутри браузера, технически могут обнаружить подобные атаки. Однако веб-вредоносы часто подвергаются обфускации и злоумышленники непрерывно вносят изменения в свои разработки. Хотя антивирус с последними обновлениями может помочь, но не в состоянии детектировать все атаки, связанные с веб-скиммингом.
- Хотя некоторые крупные компании и бренды становятся жертвами веб-скимминга, по статистике чаще компрометированию подвергаются небольшие онлайн-мерчанты из-за отсутствия средств на дорогие решения в сфере безопасности на стороне сервера и аудиты кода. С точки зрения покупателя во время покупок в крупных магазинах риск компрометирования ниже.