16 октября 2018 13:03

Безопасность пластика

Рост технологичности безналичных расчетов вынуждает мошенников отступить и менять методы.

Безопасность пластика

Убытки украинских банков от незаконных действий с платежными карточками в 2017 году неожиданно уменьшились по сравнению с предыдущим. 

В течение прошлого года украинские банки зафиксировали 77,6 тыс. случаев мошенничества с карточками (в 2016 году их было 95 тыс.). Общую сумму ущерба Национальный банк Украины оценил в 163,7 млн грн. Снижение активности карточных мошенников можно объяснить достаточно успешной борьбой банков с технологическими методами мошенничества, очень популярными лет 5 назад, такими как скимминг, кэш-треппинг и т.д., а также активным распространением более современных и защищенных технологий, предусматривающих использование карточек с чипом, бесконтактных технологий считывания и мобильных банковских приложений для смартфонов и прочих гаджетов. Похоже, мошенники взяли небольшую паузу для адаптации, но расслабляться банкам и их клиентам не стоит…

Уменьшение количества мошеннических хищений средств с карточных счетов украинцев особенно впечатляет на фоне почти лавинообразного роста популярности их использования в последние годы. Доля безналичных расчетов в Украине с использованием платежных карт в первом полугодии 2018 года, по данным НБУ, выросла до 44,1%. Это на 5,8 процентных пункта больше по сравнению с результатами первого полугодия 2017 года (38,3%). Общее количество операций с использованием платежных карточек, эмитированных украинскими банками, по результатам шести месяцев 2018 года составляло 1 835,0 млн шт., а их объем — 1 298,5 млрд грн. Эти показатели по сравнению с первым полугодием 2017 года выросли на 28,2 и 41,0% соответственно.

На фоне общего снижения воровства с карточек в последние годы, в Украине существенно выросло количество мошеннических операций с карточными счетами, проводимых через Интернет, отмечают специалисты НБУ. Объясняют такой тренд сменой фокуса внимания мошенников от технологических методов мошенничества, переставших быть для них рентабельными, на психологические методы так называемого "социального инжиниринга" — комплекса методов управления действиями человека с использованием особенностей человеческой психики. 

Самый простой, но эффективный метод "социального инжиниринга" в сети — создание фальшивых интернет-магазинов. Потенциальную жертву заманивают большими скидками на дорогой товар, и требуют внести предоплату, при осуществлении которой воруют данные карты. Широко используют и обманные сайты, предназначенные для перевода денег с карты на карту, пополнения счета мобильных телефонов и т.п. При этом мошенники щедро платят за контекстную рекламу и поднимают фальшивый сайт в топ рейтинга поиска, а также организуют фальшивые позитивные отзывы. Доверчивые пользователи, как правило, считают, что эти два фактора служат достаточной гарантией популярности и безопасности сайта, и массово попадаются на крючок.

Фишинг по телефону

По-прежнему популярен среди карточных мошенников фишинг (от английского fishing — рыбалка). Он включает в себя огромный перечень приемов, направленных на получение мошенниками конфиденциальных данных клиентов, в том числе информации об их карточных счетах. 

Самый популярный и ставший уже классическим сценарий телефонного фишинга выглядит примерно так: на телефон жертвы приходит сообщение, что карта заблокирована и для ее разблокировки предлагается позвонить по указанному номеру телефона. Как правило, жертва не успевает опомниться и почти сразу перезванивает, а на другом конце провода — злоумышленники, которые представляются сотрудниками банка и деловым тоном вынуждают сообщить информацию о карте, либо подойти к банкомату якобы для разблокировки карты. Ситуация застает людей врасплох, а опытные мошенники умеют этим пользоваться настолько успешно, что владельцы карточек послушно выполняют все инструкции, в том числе вводят в банкомате под диктовку цифровые комбинации и зачитывают код подтверждения операции, приходящий им на телефон. Украинцы проявляют просто чудеса доверчивости, позволяя мошенникам опустошать не только собственные счета, но и кредитные лимиты. 

Еще один распространенный сценарий фишинга разыгрывается на основе покупок по объявлению. Мошенник (играя роль "покупателя") договаривается с продавцом о покупке и просит назвать номер карты, чтобы перевести деньги. Далее он кладет трубку, и жертве перезванивает уже второй мошенник (в роли "сотрудника банка"), который заявляет, что платеж невозможно совершить без дополнительных данных (обычно требуют срок действия карты, ПИН-код, CVV-код и, опять-таки, код подтверждения операции, приходящий владельцу в процессе разговора). Как только жертва раскрывает информацию, злоумышленники получают доступ к счету.

Вирусы

К методам "социальной инженерии" условно относят и специальные компьютерные вирусы — банковские троянцы. Это программы-шпионы с узкой специализацией, ворующие данные банковских карт и приложений, работающих с этими картами. Практически они открывают прямой доступ злоумышленникам к чужим счетам.

Разновидностей банковских троянцев великое множество, и довольно часто они сочетают в себе много разнообразных функций. Например, многие из них умеют перекрывать интерфейс банковского приложения своим — так, что жертве кажется, будто она вводит данные в банковское приложение, а на самом деле отдает их вирусу. Также довольно часто мобильные банковские троянцы перехватывают СМС из банков с кодами подтверждения или информацией о списании средств.

А троянец Faketoken, например, орудовал поддельными окнами самых разных приложений, которые объединяло то, что все они могли запросить данные пластиковой карточки, включая CVV-код с обратной стороны карты, для вполне законных целей. Затем программа перехватывала СМС от банка и пересылала всю украденную информацию своим хозяевам, чтобы те могли совершать транзакции от имени владельца пластика.

Бесконтактные карты

Значительное влияние на состояние рынка карточных услуг, а также на безопасность безналичных расчетов пластиком оказало достаточно быстрое распространение карт с чипом и бесконтактных технологий их использования. 

Эксперты банковского рынка заявили о новом уровне безопасности денежных средств при использовании бесконтактных карт по сравнению с классическим пластиком. Бесконтактные карты реально имеют многоуровневую защиту и используют технологии, справляться с которыми компьютерные хакеры пока не научились. Однако у рядовых пользователей данных карточек уже даже сама простота расчетов порой вызывает законную настороженность. Самый очевидный риск кроется в простоте проведения транзакции и отсутствии необходимости дополнительной идентификации при проведении платежа на небольшую сумму. В нашей стране ПИН-код необходимо вводить при платежах свыше 100 грн через систему PayPass (от MasterCard) и при платежах свыше 500 грн при использовании PayWave от Visa. Если карта будет украдена или утеряна, злоумышленник легко может оплатить товары в любом магазине, не имея никакой информации о карте и ее хозяине. По крайней мере, до тех пор, пока владелец не обнаружит пропажу и не заблокирует карточный счет. Достаточно много также возникает споров о защищенности информации на бесконтактных карточках. Но обо всем по порядку. 

Бесконтактные карты возникли благодаря разработке технологии RFID (Radio Frequency IDentification, "радиочастотная идентификация") — способа автоматической идентификации объектов, при котором посредством радиосигналов считываются или записываются данные, хранящиеся в так называемых транспондерах, или RFID-метках. Система обычно состоит из считывателя и RFID-меток, которые, в свою очередь, интегрируют в себе чип и антенну для приема-передачи сигнала. Когда антенна попадает в поле считывателя, генерируется электрический ток, питающий чип. Дальность действия считывателя зависит от его типа и может составлять от нескольких сантиметров до 30 метров (считыватели дальней идентификации). 

Бесконтактные банковские карты используют для передачи данных технологию NFC (Near field communication, "связь ближнего поля") — разновидность технологии RFID, разработанную специально для безналичных денежных расчетов. NFC работает на дистанции не более 10 сантиметров на частоте 13,56 МГц. Сегодня большинство платежных терминалов оснащены приемником NFC, и расплачиваться через них можно как при помощи карты с чипом NFC, так и при помощи смартфона, оснащенного данной технологией. 

Дальность передачи данных через NFC служит своеобразным первым барьером защиты. Для установления связи карту необходимо практически вплотную поднести к считывателю, что, по идее, делает невозможным перехват информации в момент оплаты и очень усложняет несанкционированное считывание информации с чипа в момент пассивности карты. Впрочем, чисто теоретически считать информацию с карты можно в тесноте общественного транспорта или других местах скопления людей. Кроме того, оказывается, можно сделать нестандартный считыватель, который работает и на большей дистанции. Например, исследователи из британского Университета Суррей продемонстрировали возможность считывания данных по NFC на расстоянии до 80 см. 

Еще одно оригинальное решение проблемы расстояния предложили испанские хакеры Рикардо Родригес и Хосе Вилла. Большинство современных смартфонов оснащены модулем NFC. При этом смартфоны нередко оказываются физически рядом с картой. Родригес и Вилла создали концепт троянца, который превращает смартфон жертвы во нечто вроде ретранслятора NFC-сигнала. 

Через NFC можно украсть не "саму транзакцию" (она достаточно надежно защищена шифрованием одноразовым кодом), а информацию о банковской карте. Стандарт EMV допускает хранение в памяти чипа карты данных в незашифрованном виде. К таким данным могут относиться номер карты, срок ее действия, несколько последних совершенных операций и т.д. (какая именно информация и как хранится в чипе, определяют платежная система и банк-эмитент). Эти данные можно считать даже с помощью обычного смартфона, установив на него вполне легальное приложение (например, Banking card reader NFC). До сих пор считалось, что эта открытая информация не ставит под угрозу безопасность карты. Ведь для онлайновой транзакции обычно требуется еще CVV-код карты. Однако в реальности, к сожалению, сегодня уже многие интернет-магазины перестали требовать его для покупки. 

Хотя сама технология бесконтактных платежей действительно закрыта хорошей многофакторной защитой, это совсем не значит, что с ней ваши деньги находятся в полной безопасности. Слишком многое зависит от добросовестности настроек конкретных банков и магазинов. Причем продавцы у нас достаточно часто пренебрегают безопасностью платежа. 

Смартфон как средство платежа

Еще один способ защиты от NFC-мошенничества — вместо пластика использовать мобильное программное приложение, привязанное к счету карты. Безопасность такого способа оплаты поддерживает технология HCE. С ее помощью мобильное устройство с поддержкой бесконтактных платежей передает данные о платежной операции через канал, защищенный при помощи шифрования. Данные, необходимые для бесконтактного платежа, хранятся в памяти смартфона или планшета. Такая модель значительно снижает вероятность симуляции NFC-платежа и перехвата данных злоумышленниками. Если пользователь не разблокировал смартфон и не активировал мобильное приложение, к которому привязана карта, атака с использованием ретрансляции невозможна. 

Однако стоит учитывать, что сами носители NFC также могут быть уязвимы. Смартфоны и планшеты не защищены от уязвимостей в коде операционной системы, поэтому целью хакеров может стать и само мобильное приложение для осуществления бесконтактных платежей. Не гарантируют на 100% безопасность и принимающие устройства: POS-терминалы, банкоматы. Они также могут быть заражены вирусами. 

Все перечисленные угрозы касаются не только самых популярных карточных NFC-технологий PayWave и PayPass от платежных систем Visa и MasterCard, но и систем, выпущенных на рынок мобильными операторами, таких как Vodafone Pay и "Смарт-гроші" ("Киевстар"), а также программных решений Apple Pay и Google Pay (G Pay), получивших в последнее время широкое распространение. 

Неожиданные выводы

Стоит констатировать, что в извечной войне с карточными мошенниками временный перевес ныне на стороне банков и их клиентов.

Главным оружием борьбы с карточными мошенниками банкиры считают ликвидацию безграмотности пользователей банковских карт и мобильных приложений. Именно просветительская миссия финансовых специалистов (на фоне, правда, развития компьютерных технологий) позволила достигнуть нынешних успехов. Банкиры не устают напоминать, что пользователи платежных карт должны быть осмотрительны и не разглашать личную информацию и реквизиты платежных карт (срок действия, код CVС2/CVV2, ПИН-код), а также пароль для входа в веб-банкинг, одноразовые пароли для проведения платежей и т. д. (представители банков никогда не спрашивают эту информацию). Обо всем этом можно было бы уже не напоминать, если бы украинские пользователи более активно использовали карты и хорошо знали их возможности. Стандартные заблуждения среднестатистического отечественного владельца карты: "чем меньше пользоваться картой, тем меньше шансов стать жертвой мошенников" и "надо снять деньги с карты как можно скорее, лучше — в день получки". Миллионы банковских клиентов, кстати, так и поступают. На самом деле все совсем наоборот. Даже если банковская карта лежит под матрасом, с нее все равно можно снять деньги. Например, выведать данные пластика через электронную почту, ложные сайты или "неожиданный звонок из банка". Даже если на карте совсем нет денег, злоумышленник может снять средства на сумму вашего кредитного лимита. Большинство мошеннических приемов с картами основаны как раз на незнании их владельцами принципов функционирования карточных счетов и, как следствие, их неуверенности и растерянности при общении с мошенниками. Поэтому, как ни странно это для многих звучит, действовать нужно по принципу: "Чем активнее пользоваться картой, тем меньше шансов стать жертвой аферистов".

Автор
Зеркало Недели
Источник
НОВОСТИ / Финансы