Алексей Бабенко, старший аудитор компании «Информзащита» Алексей Бабенко, старший аудитор компании «Информзащита»

Преимущества безналичных средств очевидны — удобство расчетов, простота конвертации в валюту и безопасность владения. Но с исчезновение необходимости в хранении больших сумм наличных, тем самым существенно снижая риски кражи наличных средств, использование платежных карт несет в себе новые виды угроз — компрометацию данных карт, также ведущую к прямым финансовым потерям.

Типы операций с платежными картами

Все операции, проводимые с международными платежными картами можно условно разделить на две группы:

– с предъявлением платежной карты. К данной группе относятся оплата товаров  и услуг, с использованием платежных терминалов (POS), проведение операций с банкоматом (снятие денег, просмотр остатка, проведение платежей);

– без предъявления карты. В данную группу входят все платежи, совершаемые в интернет-магазинах и при других видах электронной коммерции.

Принципиально эти две группы платежей различаются между собой набором данных, который используется для авторизации платежа. В первом случае это данные магнитной полосы (чипа) платежной карты и в некоторых случаях пин-код. Во втором – номер платежной карты (PAN), имя владельца, срок действия и дополнительно значение проверки подлинности (CVC2/CVV2 или пр. – в зависимости от типа платежной системы).

Стоит заметить, что существуют еще виды платежей с авторизацией через телефон/почту и снятие отпечатков (слипов) с эмбоссированных карт, для последующего списания необходимой суммы. Но данные операции для России достаточно редкое явление, поэтому эти виды платежей рассматриваться не будут.

Мошенничества с платежными картами

Схемы и приемы мошеннических операций, направленных на компрометацию данных, разнятся не только по типу операций, производимых с картой, но и по месту хищения данных. Если рассмотреть всю цепочку движения данных, то условно можно выделить следующие основные звенья: владелец карты, сервис приема карты, обработчик операции (экваер, эмитент), платежная система. Наиболее масштабной  является компрометация самих платежных систем или банков-экваеров/эмитентов — самые большие потоки данные проходят именно через эти звенья. Поэтому в этих организациях предъявляются повышенные требования к информационной безопасности как со стороны бизнеса, так и со стороны самих платежных систем в виде стандарта PCI DSS, то есть к защите данных платежных карт подходят с большой долей ответственности.

Наиболее же уязвимым звеном на данный момент остается сам держатель карты и тот сервис, который непосредственно взаимодействует с ним, будь то банкомат, платежный терминал или интернет-магазин.

Мошенничества с неполученной картой

Вероятно в том случае, когда банк передает платежную карту не лично в руки клиенту, а производит пересылку карты по почте с последующей активацией, например по телефону. Злоумышленнику достаточно похитить карту из почтового ящика владельца, а далее успешно пройти активацию – часто это обычная сверка данных паспорта. В случае, если это кредитная карта, владелец может даже и не догадываться, что кто-то уже потратил весь доступный лимит вместо него. В качестве меры противодействия данному методу мошенничества банки применяют более надежный способ аутентификации пользователя – например, личный визит в банк со своим паспортом.

Мошенничества с потерянной картой

Другая ситуация: владелец сам теряет свою карту. В данном случае риск потери денег напрямую зависит от самого владельца и его действий. Если рядом с картой (или на самой карте) есть записанный пин-код, или после обнаружения потери карта сразу не заблокирована, то у нашедшего есть все возможности снять деньги наличными или совершить покупки, используя чужую карту. В данном случае защитные меры банков бессильны, и вся ответственность лежит на плечах владельца платежной карты.

Мошенничества при оплате через терминал

При оплате картой товаров или услуг применяется несколько схем мошенничества. Во-первых, это оплата на большую сумму или двойное проведение транзакции, и если первое определяется сразу по чеку, то второе может так и остаться незамеченным, особенно при небольших суммах. Как средство противодействия в этом случае очень действенной оказывается sms- рассылка, оповещающая об изменениях со счетом владельца. Второй способ мошенничества заключается в копировании данных с магнитной полосы карты до или после проведения оплаты. Обычно этот вид мошенничества проходит там, где терминалы намеренно спрятаны от глаз владельца карты и можно незаметно считать карту еще на одном устройстве. Отдельно стоит отметить вид мошенничества в различных развлекательных заведениях, когда официанты напрямую спрашивают владельца пин-код для проведения оплаты по карте. В данном случае опять же ответственность лежит на владельце: либо доверить свои деньги потенциальному злоумышленнику, либо самому дойти до платежного терминала и произвести оплату картой.

Надо добавить, что, несмотря на простоту описанных методов, используют их не так часто. Данный вид мошенничества очень быстро раскрывается, как только обнаруживается взаимосвязь между скомпрометированными картами и местом их обслуживания.

Банкоматные мошенничества

«Банкоматные»мошенничества держат пальму первенства, несмотря на постоянную кропотливую работу производителей банкоматов по усовершенствованию моделей и повышению уровня безопасности. Одним из самых популярных способов компрометации данных на банкомате является использование скиммера — устройства считывающего данные с магнитной полосы карты в момент ее захвата в картоприемнике. В паре со скиммером используется накладка на клавиатурный блок банкомата, либо скрытая камера, записывающая действия пользователей с целью компрометации пин-кода.

Современные модели скиммеров производятся под конкретный тип банкомата с использованием аналогичных материалов, и достаточно сложно отличимы от основного корпуса. Особенно забавными выглядят скиммеры, замаскированные под антискимминговые насадки, используемые для защиты банкоматов. Клавиатурные накладки, как правило, выглядят более заметно, за исключением случаев, когда накладка закрывает целиком всю нижнюю панель банкомата. Более изящным решением является встраивание миниатюрной камеры, реагирующей на движение. Такие камеры обычно встраиваются в верхнюю панель банкомата (часто используется дополнительная накладка), либо в какие-либо внешние предметы, расположенные на банкомате, например в лоток с рекламными материалами. По виду передачи данных скиммеры делятся на устройства с он-лайн-передачей и с внутренней памятью. В первом случае используется модуль беспроводной связи, передающий данные на скрытый неподалеку мобильный телефон, либо GSM-модем, напрямую осуществляющий отправку злоумышленнику. Устройства с внутренней памятью осуществляют запись в собственную память и периодически очищаются злоумышленником. Использование скиммеров в России еще не обрело большой массовости, но данный вид мошенничества уже активно используется преступниками. Банки, в свою очередь, внедряют дополнительные технологии для защиты своих клиентов, такие как антискиминнговые накладки (просто не дающие осуществить установку скиммера или производящие захват карты в режиме, в котором скиммер не способен считать данную с магнитной полосы), размещение защитных наклеек на легитимных частях банкомата, вывод предупреждения на экране банкомата, а также изображения легитимного внешнего вида банкомата, размещение камер видеонаблюдения для контроля над действиями с банкоматом, а главное переход на чиповые (EMV) карты технологически не подверженные проблеме простого съема данных.

Более продвинутой версией скимминга является установка фальшивого банкомата осуществляющего считывание данных карт, но в конце авторизации выводящего сообщение об ошибке. Данная схема уже появилась на территории России, и ее распространенность тормозится только высокой ценой самого банкомата.

Еще одним распространением идеи считывания карты является – фармминг, устройство, выполняющее те же действия по считыванию магнитной полосы карты, но в отличие от скиммера, обладающие миниатюрными размерами и размещаемое непосредственно в щели банкомата, поэтому его сложно обнаруживаемое при внешнем осмотре.

Зачастую злоумышленники взамен дорогостоящих технических решений выбирают более простые приемы. Например, прием под названием «ливанская петля». Суть мошенничества проста — в картоприемник помещается что-либо, препятствующее захвату карты, например, кусок фотопленки. Клиент, вставив карту в щель банкомата, не получает от него никакой реакции. В этот момент в дело вмешивается мошенник, советуя попытаться еще раз ввести свой пин-код, а после нескольких попыток предлагает владельцу лично обратиться за помощью в отделение банка. После ухода владельца карта извлекается, а имеющиеся средства сразу обналичиваются, так что хозяин карты просто не успевает провести блокировку карты. В данном случае вопрос сохранности средств опять же всецело ложится на владельца карты – пин-код должен быть известен только ему, и именно его задача обеспечить сохранность данных.

Интернет- платежи

Как мы рассмотрели выше, интернет-платежи отличаются от классического варианта составом данных, на основании которых осуществляется авторизация платежа. Связано это с тем, что в случае дистанционного платежа владельцу карты крайне сложно осуществить считывание и переправку стороне, принимающей платеж, значений с магнитной полосы (чипа). В случае дистанционного платежа используются данные, находящиеся непосредственно на самой платежной карте, что уже несет в себе дополнительные риски. Так, зачастую например, туристические компании, при удаленном бронировании запрашивают копию карты, сделанную с обеих сторон. В данном случае владельцу карты необходимо понимать, что тем самым он открывает прямой доступ к своему кошельку, передавая данные в компанию, где вопросы информационной безопасности и сохранности данных никак не регламентируются. Стоит заметить, что порой для совершения платежа достаточно только номера карты, имя владельца и даты истечения сроков (такая особенность встречается в западных интернет-магазинах), поэтому даже копия лицевой стороны карты, попавшая в руки злоумышленника, несет в себе весьма существенные риски.

Еще одним распространенным методом мошенничества являются фишинговые сайты, представляющие собой точную копию реально существующего и пользующегося доверием сервиса. В данном случае злоумышленник с помощью скрытой ссылки (например, из рекламной рассылки) заманивает жертву на фальшивый сайт, осуществляет запрос данных, копирует их и переправляет на реальный сервис, чтобы скрыть факт кражи данных. Похищенные таким образом данные не сразу используются для совершения нелегитимных покупок, а, как правило, накапливаются и спустя некоторое время одновременно используются. Делается это с целью применения как можно большего количества краденой информации до момента обнаружения мошенничества со стороны служб безопасности банков.

В описанных случаях ответственность за сохранность своих данных несет сам владелец карты. Службы безопасности банков не  в силах оперативно отслеживать и закрывать все фишинговые сайты и тем более каким-либо образом препятствовать добровольной передаче карточных данных третьим лицам. Со стороны банка меры по предотвращению таких инцидентов обычно сводятся к повышению уровня грамотности в области информационной безопасности своих клиентов.

Электронная защита

Также в последнее время все большее количество организаций начинает внедрять технологию дополнительной аутентификации пользователя при платеже (например, 3-d secure от VISA). Технология заключается в том, что для совершения платежа владельцу недостаточно вести данные с карты, но также требуется второй фактор, по альтернативным каналам предоставляемый эмитентом. Таким фактором может быть одноразовый пароль, присланный с помощью sms, напечатанный на карте одноразовых паролей или чековой ленте с помощью банкомата, либо сгенерированный специализированным устройством (криптокалькулятор), либо же специализированное устройство (токен) содержащий в себе аутентифицирующую информацию. Но до тех пор, пока эта технология не внедрена повсеместно, использование ее к значительным результатам не приведет.

Также существуют и другие методы мошенничества в интернете — изготовление поддельных сайтов (обычно интернет-казино, сайты для взрослых, реже интернет-магазины), поддельные письма из банков с просьбой выслать свои карточные реквизиты и прочее. Во всех этих случаях ответственность за сохранность карточных данных лежит напрямую на самом владельце карты. Стоит понимать, что банк никогда не запрашивает полные реквизиты карты (в отдельных случаях банк может запросить номер и имя владельца по телефону, для идентификации владельца). Поддельные сайты часто принимают данные по открытым каналам (используется http, вместо https), существуют в течении короткого промежутка времени и содержат сомнительный контент. Как дополнительную меру защиты банки предлагают в данном случае использование виртуальных карт – набор данных без физической карты с ограниченной суммой на счете, либо лимитом суммы операции, что является достаточно хорошим решением для защиты владельцев от хищения крупных сумм. Также в данном случае полезной функцией является sms- информирование, позволяющее оперативно заблокировать карту при компрометации и первых попытках использования денежных средств.

Подводя итоги, стоит заметить, что, несмотря на большой перечень угроз при использовании платежных карт, их применение все же является более безопасным способом расчетов. Злоумышленников, обладающих грубой физической силой, гораздо больше, чем интеллектуальных мошенников. А в большинстве своем безопасность безналичных платежей зависит не от усердия службы информационной безопасности банка и используемых защитных средств, а от степени доверчивости самих владельцев платежных карт и их грамотности в вопросах информационной безопасности.