Кардеры — так называют похитителей банковских карт. Если вы расплачиваетесь в банкомате, терминале или интернет-банкинге, то есть вероятность, что данные вашей карты уже в руках злоумышленников. Редакция SecureNews собрала мнения экспертов о проблеме кардинга. Мы разобрались в преступных схемах, а также выяснили, каким образом банки и владельцы пластиковых карт могут противостоять кардерам.
Как кардеры обворовывают людей
Дмитрий Тирский, менеджер по развитию кибербезопасности в финансовых и торговых организациях департамента ИБ ГК Softline
Дмитрий Тирский, менеджер по развитию кибербезопасности в финансовых и торговых организациях департамента ИБ ГК Softline:
«Злоумышленники могут получать данные карты несколькими путями.
Во-первых, при контакте с картой, то есть визуально снимая с неё информацию. Чаще всего это происходит по неосторожности держателя карты. Например, вы оставили карту в открытом доступе (на столе в кафе), или вертите ее в руках, стоя перед кассой. Злоумышленник за это время успевает переписать все необходимые данные и может спокойно осуществлять онлайн-платежи с вашего счета.
Во-вторых, через установку скимминговых устройств (устройств записи изображения) непосредственно на сам банкомат. Вы вставляете карту в слот банкомата, она попадает в скиммер, с неё считываются данные и PIN-код.
В-третьих, мошенник может получить доступ к данным карты в самом банке, с привлечением сотрудников банка (внутренний фрод). Система работы с пластиковыми картами построена так, чтобы данные карты не хранились в открытом доступе. Но существуют пути компрометации самого пользователя недобросовестными сотрудниками.
Один из самых распространённых способов — получение доступа к данным карты при осуществлении онлайн-платежей. Например, через создание поддельных интернет-страниц банков, взлом сайта интернет-магазина или даже через создание поддельных интернет-магазинов. Сюда же стоит отнести путь подмены данных финансовой транзакции (например, изменение счета получателя), то есть происходит не кража данных карты как таковая, а кража непосредственно денежных средств.
И напоследок нельзя забывать про использование методов социальной инженерии. Всем известные SMS с просьбой прислать данные карты для якобы её перевыпуска или замены».
Павел Щербаков, руководитель отдела по противодействию мошенничеству процессингового центра Payture
Павел Щербаков, руководитель отдела по противодействию мошенничеству процессингового центра Payture:
«Махинации с банкоматами и поддельными картами уходят в прошлое. Сегодня наиболее распространены мошеннические сайты, выдающие себя за сервисы p2p-переводов (с карты на карту) или реальных продавцов, а также онлайн-покупки по краденым данным карт. С их помощью обычно покупают легко монетизируемые товары — бытовую технику и электронику, брендовую одежду и аксессуары, парфюмерию, а также игровую валюту в онлайн-играх. Также высокорисковой сферой является eTravel из-за высокого среднего чека.
Платежный шлюз стоит первым в цепочке взаимодействия с клиентом по оплате — мы предоставляем мерчанту платежную страницу, анализируем поведение пользователя и его платежные данные. Поэтому так важно развивать собственную антифрод-систему, которая среагирует на мошенническую активность, заблокирует или отправит на дополнительную проверку подозрительные транзакции.
Payture как процессинговая компания имеет опыт общения по поводу мошеннических схем с банками, в том числе зарубежными. Когда мы замечаем пул краденых карт одного эмитента в потоке транзакций, мы стараемся предупредить об этом коллег из банка, чтобы они оперативно заблокировали БИН и разобрались с утечкой внутри системы. Но банки не всегда реагируют на эти обращения. В случае с банком Canadian Imperial сообщения были проигнорированы, несмотря на масштаб утечки в тысячу карт — и это только по нашему шлюзу. Схожую картину можно наблюдать и по другим банкам западных стран, в которых культура финансовой и информационной безопасности формировалась намного раньше, чем в России, и, видимо, так и осталось в эпохе гегемонии American Express.
Этот кейс показывает, что наиболее эффективной и порой на удивление простой мошеннической схемой является взлом базы платежных данных. Менее талантливые мошенники могут честно купить эти данные у профессионалов. Кстати, по мнению Роскомнадзора, специализированные сайты по продаже краденых данных, в отличие от Рутрекера, не представляют никакой угрозы и находятся в открытом доступе в РФ».
Как банки борются с кардерами
Яков Гродзенский, руководитель направления информационной безопасности компании «Системный софт»
Яков Гродзенский, руководитель направления информационной безопасности компании «Системный софт»:
«Для борьбы с кардерами банки используют современные антифрод-решения, а также применяют современные средства защиты инфраструктуры. Так как большинство угроз давно известно, то и способы защиты хорошо проработаны: финансовым организациям не приходится искать уникальные решения или придумывать новые подходы. Например, в PCI DSS (Payment Card Industry Data Security Standard – стандарт безопасности данных индустрии платёжных карт) проведен практически полный перечень мероприятий организационно-технического характера. При этом, надо понимать, что стандарты корректируются медленнее, чем появляются новые угрозы, поэтому важно отслеживать сообщения о новых видах угроз и своевременно предпринимать превентивные меры. Например, нужно постоянно учиться защищаться от целевых атак, в том числе путем защиты привилегированных учетных записей, а также повышать осведомленность сотрудников в вопросах информационной безопасности, что для банков особенно актуально».
Алексей Коняев, старший консультант SAS Россия/СНГ по решениям для обеспечения безопасности и противодействия мошенничеству
Алексей Коняев, старший консультант SAS Россия/СНГ по решениям для обеспечения безопасности и противодействия мошенничеству:
«В первую очередь банки должны задумываться о защите данных, а в современных условиях успешно справиться с этой задачей можно лишь с помощью комплекса мер и инструментов. Необходимо повышать грамотность сотрудников в вопросах кибербезопасности; внедрять высокотехнологичные системы для защиты данных от несанкционированного доступа и выявления признаков готовящейся или даже уже проведенной атаки (если мы говорим о уязвимостях «нулевого дня»), а также комплексные антифрод-системы, которые, применяя сложные современные аналитические подходы, способны определить, что транзакцию совершает вовсе не клиент банка.
Почему так? Почему классические, казалось бы, проверенные годами подходы по обеспечению безопасности внутреннего контура организаций и платежных инструментов клиентов больше не работают? Все потому, что современные преступники очень хорошо ознакомлены с банковскими бизнес-процессами и все чаще имеют хороший бэкграунд в области ИТ или даже представляют собой настоящие таланты, энергия которых, к сожалению, не была направлена в нужное русло. В этой связи, методы совершения преступлений, применяемые злоумышленниками, отличаются безупречной подготовкой к целевой атаке и особенной изощренностью с точки зрения применяемых механизмов как для совершения преступления, так и сокрытия следов своего присутствия. Такие действия практически невозможно выявить стандартными средствами в ручном режиме. Поэтому реальность такова, что таким действиям можно противопоставить только адекватные инструменты, основанные на сложных математических алгоритмах машинного обучения или, как сейчас модно говорить, искусственного интеллекта.
Таким образом, система обеспечения информационной безопасности должна быть комплексной, чтобы охватить большую часть критичных информационных систем организации; должна быть универсальной, чтобы уметь работать с различными типами данных; должна быть производительной, чтобы обрабатывать огромные потоки информации и, наконец, такая система должна быть самообучаемой, чтобы выявлять не только известные, но и новые типы кибермошенничества. Но если говорить о картах, то многое зависит не только от банка, но и от самих пользователей – при готовности организации к совершению против нее мошеннических действий можно успешно им противостоять. Как ни крути, даже самая совершенная система не поможет, если пользователь не соблюдает правил «гигиены» использования платежных инструментов – например, вводит данные карты через общественный WI-FI в ненадежном месте, сообщает данные карты по телефону незнакомому человеку или бесконтрольно отдает свою карту в руки постороннего человека, пусть бы даже и официанта или кассира и пр. Обязательное требование – проверять, где используются данные карты – если это сайт, то это должен быть доверенный ресурс, обмен данными с которым происходит в защищенном режиме; если это магазин или ресторан, то необходимо видеть, кто и что делает с вашей картой, когда вы расплачиваетесь ей. Также банкам в обязательном порядке необходимо предложить своим клиентам возможность гибкого управления настройками своих карт: установить лимиты на снятие наличных, на проведение операций в определенных странах или каналах, на определенные типы операций. Так, например, если клиент никогда не оплачивает с помощью своей карты свои покупки в интернете, то по умолчанию такая услуга должна быть заблокирована с предоставлением удобного способа по ее включению – через интернет-банк, мобильный банк, колл-центр, банкомат или даже с помощью sms-банкинга.
Другими словами, безопасность наших средств, в первую очередь, находится в наших руках и первое, что необходимо сделать банкам с точки зрения противодействия мошенникам – это понятно довести до своих клиентов информацию о возможных рисках использования данного инструмента и мерах противодействия им».
Алексей Колычев, коммерческий директор платежного сервиса Wallet One
Алексей Колычев, коммерческий директор платежного сервиса Wallet One:
«Для повышения безопасности, банки должны отслеживать устройства, с которых пользователи производят вход в ДБО (дистанционное банковское обслуживание). Что касается самих пользователей, им нужно быть внимательнее и выбирать проверенные интернет-магазины. Никогда и никому не сообщать одноразовые пароли. А также обращать внимание на платежную страницу (страница ввода карточных данных), которая обязательно должна иметь сертификат. Еще один способ удостовериться, что пользователь не перечисляет деньги мошенникам, внимательно прочитать sms с паролем, а также удостовериться, что страница ввода пароля является настоящей, а наименование услуги/товара соответствует выбранной покупке».
Как не стать жертвой кардеров
Анастасия Мухачёва, риск-директор проекта «Совесть»
Анастасия Мухачёва, риск-директор проекта «Совесть»:
«Самое главное — никому и никогда не сообщайте подробную информацию о карте. Пин-код, кодовое слово, CVV (или CVC2), код 3D-Secure и полученные от банка одноразовые пароли должны знать только вы. Даже если вам якобы звонит представитель банка или вы получаете SMS или имейл о блокировке карты, никому не сообщайте эти данные.
Если вы часто оплачиваете заказы в онлайн-магазинах, создайте виртуальную карту и делайте покупки только с её помощью. Многие банки «выпускают» виртуалку бесплатно.
Снимайте и вносите деньги только в проверенных банкоматах. Лучше всего в отделениях банков и охраняемых торговых центрах. При вводе пин-кода в банкоматах прикрывайте клавиатуру рукой.
Не забывайте время от времени менять пин-код. Мало кто это делает, но этот простой ход повышает вашу безопасность.
Подпишитесь на sms-уведомления. Это позволит вам быть в курсе всех операций по карте. Если этот вариант вам не нравится (сегодня такая опция чаще всего не бесплатна), заведите привычку ежедневно просматривать выписку в личном кабинете или приложении.
Если ваш банк предлагает такую возможность, установите лимиты на операции, связанные с оплатой и переводами. Сделать это можно самостоятельно (в личном кабинете или приложении) или через колл-центр.
Если вы не можете найти карту, немедленно обратитесь в колл-центр (нужный номер всегда можно найти на сайте банка) с просьбой временно — возможно, вы просто забыли её дома — заблокировать карту. Желательно, для экономии времени, сохранить контактный номер банка в телефоне сразу после получения карты.
Старайтесь не входить в личный кабинет или приложение через общедоступный Wi-Fi.
Если вы храните информацию о карте в смартфоне или планшете, не читайте сообщения, пришедшие с неизвестных номеров, и ни в коем случае не открывайте ссылки в них.
И не облегчайте жизнь мошенникам — не храните пин-код вместе с картой».
Алексей Сизов, руководитель направления противодействия мошенничеству Центра информационной безопасности компании «Инфосистемы Джет»
Алексей Сизов, руководитель направления противодействия мошенничеству Центра информационной безопасности компании «Инфосистемы Джет»:
«Знать, что карта – это почти то же самое, что и деньги, а значит обращаться с ней нужно настолько же бережно, сколько и с наличными: не оставлять без присмотра, не разглашать информацию по реквизитам, остаткам, паролям и PIN кодам... В общем, не доверять никому. В дополнение использовать те банковские сервисы, которые позволят снизить риски компрометации: не держать все деньги на одном счете, использовать лимиты снятия наличных и операций покупок, быть бдительными при звонках с небанковских номеров (sms с них), использовать проверенные банкоматы, лучше те, которые установлены в отделениях банка. В общем, относиться к этому небольшому кусочку пластика как денежным знакам Банка России».
