Платежные сервисы за последние годы стали удобнее и безопаснее, но злоумышленникам по-прежнему удается воровать деньги с карт по всему миру. Какие способы кражи наиболее распространены и как им противостоять?
Копирование карт
Когда карты хранили информацию только на магнитной полосе, мошенники довольно легко могли изготовить точную копию карты и расплачиваться ею в магазинах и банкоматах. Сначала данные считывались при помощи специального устройства — скиммера: накладки на банкомат или терминал в магазине. В дополнение к нему использовались камера или специальная накладка на клавиатуру терминала, чтобы узнать пин-код карты. Получив дамп с карты и пин-код, злоумышленники записывали данные на чистую карту и отправлялись с ней в банкомат или магазин.
Подобная технология до сих пор работоспособна в некоторых частях света, но появление карт с чипом сильно понизило ее эффективность: карту с чипом так просто не скопировать. Поэтому преступники стали заражать платежные терминалы вредоносным кодом, который одновременно с оплатой легитимной покупки копирует часть данных с карты. В дальнейшем мошенники отправляют хитро сформированные запросы на оплату, используя эту информацию. По сути, они отправляют только те данные, что раньше были записаны на магнитной полосе, но маркируют операцию как проводимую по чипу. Это возможно там, где банки недостаточно детально сверяют различные параметры транзакции и неверно реализуют протоколы EMV, которым должны подчиняться все действия по картам с чипом.
В банках, где подобных недочетов нет, злоумышленники используют еще более сложный трюк. Пока жертва проводит легитимный платеж, зараженный терминал запрашивает у вставленной карты формирование еще одной, мошеннической транзакции. Таким образом, сама карта не копируется, но лишние деньги с нее все равно списываются.
Как защититься: стараться использовать бесконтактную оплату при помощи телефона. Уровень ее защиты выше. Если все же пришлось вставлять карту в терминал, внимательно проверять панель ввода пин-кода на предмет подозрительных модификаций. Панель нужно плотно прикрывать рукой, кошельком или иным предметом при вводе. Если терминал внезапно не принимает бесконтактную оплату, или на его экране возникают непривычные сообщения, или пин-код требуется ввести повторно, это повод насторожиться и принять дополнительные защитные меры. Можно, например, сразу проверить выписку по счету или установить низкий лимит расходования средств по карте.
Железный кошелек
В продаже имеются кошельки с «защитой RFID», чтобы карты в кошельке нельзя было прочитать дистанционно, например в общественном транспорте. Ничего плохого в такой защите нет, она реально работает, но подобный сценарий атаки на практике почти не применяется. «По-быстрому» с карты можно считать только базовые данные, обычно не позволяющие провести платеж. Зато можно легко узнать последние места и суммы бесконтактной оплаты!
Воровство данных в Интернете
Здесь целью мошенников будут данные карты, которые позволяют расплатиться в интернет-магазинах. Обычно это номер карты, срок действия и код верификации (CVV/CVC), но в зависимости от страны также могут понадобиться имя владельца, его почтовый индекс или номер паспорта. Чтобы собрать эти данные, есть как минимум три эффективных способа.
- Выманить их у жертвы, организовав фальшивый интернет-магазин, фишинговую копию настоящего интернет-магазина или сбор денег на благотворительность.
- Перехватить информацию, заразив вредоносным кодом либо веб-страницу настоящего интернет-магазина (веб-скиммеры), либо компьютер/смартфон жертвы (банковские трояны).
- Взломать настоящий интернет-магазин и похитить сохраненную информацию о платежных картах клиентов. Отметим, что магазины не должны хранить полную информацию о картах, но иногда это правило, к сожалению, нарушается.
В целом этот способ воровства, хоть и старый, не сдает позиций — по нашему анализу, за 2022 год число атак с кражей банковских данных почти удвоилось.
Как защититься: во-первых, заведите виртуальную карту для платежей в Интернете. Если это не слишком сложно и дорого, выпускайте новую виртуальную карту и блокируйте старую хотя бы раз в год. Во-вторых, установите по карте для платежей в Интернете невысокий лимит или просто храните на ней очень небольшую сумму денег. В-третьих, убедитесь, что банк всегда требует подтверждать интернет-платежи с помощью одноразового кода (например, 3-D Secure). В-четвертых, внимательно проверяйте платежные формы и адреса сайтов, на которых вы вводите финансовую информацию. Чтобы меньше волноваться об этой проблеме, пользуйтесь средствами кибербезопасности, которые умеют особо тщательно защищать платежи в сети.
Банальная кража карт и телефонов
Это, конечно, самый заметный и грубый способ кражи, но он по-прежнему распространен. Продвинутые злоумышленники могут использовать карты для онлайн-оплаты, найдя интернет-магазин, не требующий вводить дополнительных кодов верификации. Более простой, но не менее действенный способ — применить ворованную карту для бесконтактной оплаты, не требующей ввода пин-кода. Этим способом можно оплатить только небольшую сумму, а в некоторых странах после трех или пяти таких платежей карта заблокируется, но, например, в Великобритании потери жертвы от такого примитивного способа воровства легко достигнут 500 фунтов (пять раз по 100 фунтов). Телефон, даже заблокированный, и сам по себе представляет ценность для воров, но если на нем настроен Google Pay, то возможна и оплата с заблокированного телефона в рамках разрешенного лимита платежей, что нанесет жертве дополнительный ущерб.
Исследователи безопасности показали, что, если даже карта заблокировалась после трехкратного неверного ввода пин-кода, ею иногда возможно расплатиться бесконтактно. Атакующий также может обменяться данными с заблокированным телефоном и в дальнейшем использовать модифицированные записи этого обмена для однократного проведения своих мошеннических платежей. К счастью, обе атаки были обнаружены этичными исследователями, поэтому мошенники этими способами (пока!) не пользуются.
Как защититься: лучше всего установить относительно небольшие лимиты расходования средств на карты повседневного использования. Если банк допускает такую возможность, можно отдельно установить невысокий лимит для бесконтактных платежей. Разумеется, нужно убедиться, что вы быстро сможете повысить лимит, если возникнет такая потребность. В качестве альтернативы можно выпустить виртуальную карту с низкими лимитами и привязать бесконтактные платежи к ней. Если платежное приложение можно настроить так, чтобы оно разрешало платежи лишь с разблокированного телефона, сделайте это.
В заключение отметим, что во многих странах появляются правила, по которым жертвам частично или полностью компенсируют ущерб от мошенничества. Чтобы воспользоваться этим, рекомендуем внимательно относиться к любым платежам с карты, установить максимально быстрый способ оповещения об операциях (push или SMS) и при появлении любых подозрительных транзакций обратиться в банк как можно скорее.