Хакеры научились воровать карточки “по воздуху”

Скимминг — один из наиболее популярных способов мошенничества с кредитными картами и воровства персональных данных. По данным ФБР только в Соединенных Штатах скимминг обходится честным держателям платежных карт в $8,5 млрд. Но если раньше суть мошенничества сосредотачивалась вокруг банкоматов, то теперь хакеры приняли на вооружение бесконтактные способы воровства — дистанционные, негласные и неотвратимые.

Старая добрая накладка на банкомат

Много ли пользователей знают, как должен выглядеть “нормальный” банкомат? Если вы увидите, что банкомат, которым вы часто пользуетесь, поменялся или как-то внешне изменился, придадите ли вы этому серьезное значение? Этим и пользуются мошенники, эксплуатирующие один из самых старых и популярных способов выуживания данных о платежных картах. Считывающая накладка выглядит как “родная” часть банкомата, позволяет получить наличность, отдает карточку владельцу, но параллельно копирует её и отправляет копию данных “хозяевам”.

Считыватель под одеждой официанта

Вы передаете свою платежную карточку официанту в ресторане для оплаты счета. На пути к “официальному” POS-терминалу ресторана официант-мошенник проводит вашей карточкой сквозь портативный надеваемый считыватель. Затем он проводит официальную оплату счета и выдает вам чек из POS-терминала, усыпляя тем самым вашу бдительность. Но к тому моменту, когда вы будете выходить из ресторана, цифровой дубликат вашей карточки уже будет загружен в подпольный “процессинговый центр”, где у хакеров есть обширный выбор дальнейших действий. К примеру, можно отпечатать дубликат “пластика”, неотличимый от настоящего, перепродать ваши личные данные или потратить средства на всевозможные онлайн-платежи, отследить которые крайне затруднительно.

Ваши данные крадет смартфон

Иногда технологии проявляют свою темную сторону — облегчая жизнь не только пользователям, но и хакерам. Особенно если новая технология достаточно “сыра”, и её безопасность еще не отработана должным образом. Тут можно вспомнить ранние модели “умных чехлов” для смартфонов со считывателем платежных карт под управлением Javascript. К примеру, у курьера службы доставки на смартфоне к которому подключен официальный считыватель карт, также установлена специальная прошивка и “правильные” приложения, создающее несанкционированную копию данных карточки в момент официальной оплаты. Если злоумышленники настроили все корректно, “правильное” приложение мгновенно отправляет цифровой слепок карты на хакерский сервер, а дальше — как в сценарии с официантом.

Подумай дважды перед тем, как нажать дважды

Есть и менее мудреные способы. К примеру, тот же курьер-злоумышленник с мобильным POS-терминалом и более простым приложением. За первый проход карточки информация успешно считывается и сохраняется, но на экран терминала выдается отвлекающее сообщение в духе “ошибка чтения карты” или “ошибка связи с банком”. Покупатель в большинстве случаев сам попросит попробовать еще раз. И — о, чудо — второй раз платеж проходит, через официальный процессинг, с выдачей чека. Но информация с карточки к тому времени уже в руках мошенников. Курьер уходит с дежурной улыбкой на устах, а покупатель даже не догадывается о том, что в действительности произошло.

Бесконтактный грабеж

Наиболее новый и изощренный способ основан на использовании телефона с возможностями NFC и особого приложения, имитирующего платежный терминал. Суть действия способа очень наглядно продемонстрировали канадские журналисты из CBC. Особая угроза этого способа мошенничества заключается в том, что жертва практически беззащитна. Если в предыдущих способах в ходе расследования жертва может показать следователю о том, что в такое-то время приходил курьер с POS-терминалом, который не сработал с первого раза, то в данном случае локализовать мошеннические действия практически нереально.

Мы обратились в компанию Visa с просьбой пояснить механизм такого мошенничества и порекомендовать способы защиты от него, но комментария так и не дождались.

Как уберечься:

• Перед тем как воспользоваться карточкой в незнакомом месте осмотритесь вокруг и убедитесь что никто не “дышит вам в затылок” а вы сами не являетесь объектом пристального внимания со стороны посторонних.

• Никогда не позволяйте, чтобы карточкой проводили через POS-терминал вне вашего поля зрения. Не отдавайте карточку для оплаты официанту. Требуйте, чтобы терминал принесли к вам, или сами сходите к нему.

• Во время ввода PIN-кода прикрывайте клавиатуру ладонью — этот, казалось бы, примитивный способ убережет вас от шпионских камер.

• Подумайте о приобретении экранированного чехла для платежныx карт, который предотвращает любое бесконтактное считывание. Да, это дополнительные затраты и дополнительное неудобство, но оно может однажды спасти ваши сбережения.

Алексей ДУБОВЯЗОВ