Средства защиты банковских транзакций уже не являются препятствием для хакеров

Lepshin — Mon, 27 Feb 2017 22:39:33 +0000

Аналитическое агентство Gartner опубликовало доклад, в котором заявило о том, что одноразовые пароли и аутентификация пользователей по телефону, считающиеся самыми надежными методами защиты банковских операций через Интернет, более не способны предотвратить мошенничество.

Автор отчета, Авива Литан, утверждает, что для кражи логинов пользователей и опустошения банковских счетов киберпреступники используют все более изощренные методы.

К примеру, банковские трояны способны красть одноразовые пароли и незамедлительно снимать деньги, а также перехватывать соединение в момент проведения транзакции и подменять получателя и сумму без ведома банка или владельца счета. В случае, если банк использует телефонную систему подтверждения переводов, мошенники перенаправляют звонки из банковских учреждений на собственные телефоны.

По мнению эксперта, финансовым организациям необходимо в срочном порядке вводить дополнительные уровни защиты. В частности, Авива Литан предлагает начать широкомасштабное развертывание компьютерных систем поведенческого анализа, создающих модели обычного поведения клиентов. Такие системы способны выявить аномалии при работе со счетами и распознать деятельность автоматизированных программ.

Эксперт приводит пример европейского банка, уже использующего такую защиту. С ее помощью служба безопасности этого финансового учреждения смогла распознать активность банковского трояна, поскольку тот проводил транзакции гораздо быстрее, чем это мог сделать человек.

Дополнительным стимулом к введению подобных мер могут также послужить отчеты Центра жалоб на преступления в Интернете – это подразделение ФБР еженедельно докладывает о нескольких новых уголовных делах, возбужденных по факту заявлений о кибермошенничестве.

Уголовное право

воровство

банковские операции

кибермошенничество

Кардинг

Lepshin — Sun, 26 Feb 2017 22:38:01 +0000

Кардинг - высокоинтеллектуальный «гоп-стоп». Методика отъема денег у пользователей раскрашенного пластика. Эпичный обман в глобальных масштабах. На просторах интернета широко шагает рука об руку с «хакингом» и «фишингом». Преследуется по закону.

Причины популярности темы

Устаревшие технологии, поскольку снять информацию с карты можно было еще в 80-х годах прошлого века головкой от магнитофона Маяк-232, что уж говорить о нынешнем веке гаджетов.
Неискушенность картхолдеров, то есть всего населения, сующего карты куда попало.
Полное безразличие обслуживающего персонала, в первую очередь продавцов магазинов.

Ликбез

Итак ты стал счастливым держателем банковской карты. На руки выдали красивый или не очень кусок пластика и хитрый конверт - считается, что на просвет содержимое рассмотреть нельзя, с бумажкой, на которой 4 цифры. Эти 4 цифры называются «ПИН-код» и всегда нужны для получения денег в банкомате, а также, для некоторых типов карт, для осуществления покупок в магазинах. На карте есть номер и магнитная полоса, на которой тот же номер и еще кое-что. С обратной стороны - место для подписи и CVV-код, который используется при оплате, например, в интернет-магазинах. Всё чаще на картах имеется в наличии чип.

Карту можно использовать так:

Снять деньги в банкомате. Этот сложный механизм прочитает магнитную полосу попросит ПИН-код и выдаст хрустящие бумажки. Отсюда вывод простой как дважды два формулы: трек + ПИН = деньги
Зайти в магазин и что-нибудь купить. В 99% случаев ПИН не требуется, но карту прокатают в железке и данные трека проверят. На чеке попросят поставить подпись, которую правильный кассир сравнит с подписью на карте. Отсюда вывод: Трек + пластик, похожий на настоящий = товар.
Зайти на прон-сайт, ввести номер карты, возможно спросят ещё что-то, и пользоваться, пока денежки утекают со счета. Отсюда вывод: Номер карты + данные о владельце = некий профит в сети.

Ниже рассмотрим эти волшебные формулы обогащения более подробно.

Трек + ПИН = деньги

Скиммер маскируется под антискиммер

Как работает

Есть несколько методов, которые позволяют получить трек и ПИН карты в одном флаконе. Наиболее известные:

Фальшивый банкомат. На помойке покупается списанная железка, отмывается и заливается нехитрый софт, который умеет показывать на экране три фразы: «Вставьте карту», «Введите ПИН-код», «Извините, банкомат временно не работает». Картхолдер пожимает плечами и идет искать работающий банкомат.
Ливанская петля. В горло честного банкомата вставляется петелька забавной формы, вырезанная из фотопленки. Картхолдер вставляет карту, и… И ничего, карта ни туда и ни сюда, банкомат пишет какую-то хрень. Тут, ВНЕЗАПНО, появляется приветливый абориген, который на ломаном языке объясняет, что да, банкомат как-то странно работает, он с этим сталкивался, и готов помочь. В процессе помощи (в освобождении счета от денег) абориген просит ввести ПИН-код. После чего пожимает плечами, мол, не получилось. Картхолдер уходит звонить в свой банк. Абориген дергает за «веревочку», получает карту, ПИН ему уже известен. Обман по такому типу распространен во всяких курортных городах, откуда и получил название. Без сообщника в банке, который должен закрыть глаза на алерты по сбою ридера, слабо реализуется.
Скимминг на банкоматах. На горло ридера вешается немудренный гаджет, который читает карты при их вставлении. ПИНы снимаются или накладкой на клавиатуру, или установленной неподалеку камерой. Сейчас наиболее распространенный способ, настолько распространенный, что банки на заставках банкоматов рисуют правильный вид ридера и клавиатуры, с предупреждением - если банкомат выглядит не так, то карту не вставлять, и звонить по указанному номеру.

Полученные треки пишутся на болванки. Так как вставляться они будут в железку, которой красивые рисунки не нужны, часто используются белые болванки. Отсюда термин «белый пластик». Белый пластик, это голубая мечта кардера, квинтэссенция кардинга, философский камень, щелчком пальцев обращающийся в золото.

Техника безопасности

Никогда и никому не сообщать ПИН-код карты.
Обращать внимание на ридер и клавиатуру, как написано на заставках банкоматов.
ПИН-код вводить так, чтобы исключить подглядывание, в том числе камерами наблюдения.
Не пользоваться неизвестными банкоматами в подворотнях.
Не хранить записанный ПИН-код вместе с картой.

Что делать, если обманули

Если в карманах осталась мелочь на бутылку водки – купить и выпить. Но перед этим позвонить в свой банк и сообщить о том, что транзакция не ваша, сбегать в полицию, а после этого с заявлением - в офис банка. Сотрудники банка подскажут, что и как делать.

Уголовное право

кардинг

воровство

- Чтобы стать кардером нужна кувалда и ноут. Кувалдой ломаешь банкомат и забираешь деньги. - А зачем ноут? - Какой же ты кардер без ноута?

Анекдот

Адвокат Павел Лепшин - воровство

Средства защиты банковских транзакций уже не являются препятствием для хакеров

Кардинг