Статьи

Кардеры атакуют: кто и как крадет данные с пластиковых карт

Евгений Лебеденко / 27.07.2010 / 11:04

Давно прошли те времена, когда деньги, заточенные в кованые сундуки, были сродни объектам недвижимости и поход на рынок с парой десятков золотых дублонов выливался в поднятие и переноску тяжестей. Трансформировавшись из металлической наличности в наличность бумажную, деньги решили не топтаться на месте и превратились в безналичность, запрятавшись в глубинах компьютерной памяти банков. Теперь процесс купли-продажи — это не передача из рук в руки звонкой монеты, а указание совершить денежный перевод с электронного счета покупателя на электронный счет продавца. Процесс этот именуется транзакция. Транзакция состоит из нескольких последовательных этапов и считается выполненной только после успешного завершения последнего этапа. Кочуют транзакции между банками по специальным финансовым сетям, таким как SWIFT, BACS, CHAPS.

Чтобы транзакция началась, банк — держатель счета покупателя — должен получить от него четкое указание, сколько денег снимать со счета и на какой счет их переводить. И, как в случае работы с любым видом денег, перед выполнением транзакции банк должен удостовериться, что ее затеял именно владелец счета, а не какой-то мошенник. Эту проверку можно выполнять разными способами, но для ускорения расчетов, их автоматизации и, главное, унификации процесса проверки в 30-х годах прошлого столетия были введены первые карточки (Cards) — ключи, несущие уникальную информацию о владельце и его счете.

История финансового рынка знала разный вид карточек — например, картонные и даже металлические. Но в 50-х годах ХХ века модный пластик вытеснил все остальные материалы, и у карточек появилось нарицательное название Plastic Cards или даже просто Plastic.

Одна из первых карточек была не пластиковой, а металлической и использовалась на заправках в США

 

Вначале карты Dinner’s Club были изготовлены из картона

 

Пластиковая карта — унифицированный кусочек пластика, хранящихся в бумажниках миллионов людей

Вопреки сложившемуся стереотипу, «на карточке» деньги не хранятся. Карточка по сути своей является аналогом ключа к банковской ячейке. Только к ячейке электронной. Значит вместо денег она хранит нечто более ценное — уникальную информацию о том, как добраться до счета «где деньги лежат».

Похитив идентификационную информацию с пластиковой карты, злоумышленник может выдать себя за хозяина карты и по плечи погрузить руки в его электронную наличность. Что же за информацию несет на себе кусочек пластика? Как выполняются транзакции и где их слабые места? К каким методам прибегают карточные шулера современности? Наш материал именно об этом.

Анатомия пластиковой карты

Ключ от квартиры, где деньги лежат, несет на себе уникальные бороздки, которые однозначно проворачивают ячейку замка. Их уникальность и обеспечивает защищенность (естественно, относительную) жилища. Пластиковая карта является ключом от виртуального сейфа ее владельца и значит как минимум должна нести на себе идентификационные данные о владельце и о его номере счета. Рассмотрим абстрактную пластиковую карту мистера Джона Доу (John Doe), в русской интерпретации — товарища Анонима.

Фамилия и инициалы Джона, а также номер карты рельефно оттискиваются на фасаде карты. Дополнительно идентификационная информация располагается на обороте, там, где пролегает магнитная лента.

Каждая карта содержит информацию, необходимую и достаточную для доступа к счету его владельца

На полосе под ней господин Доу расписывается, подтверждая свои права на карту. На этой же полосе располагается уникальный номер карты — вожделенная мечта карточных мошенников.

Номер карты — это нечто большее, чем просто номер счета ее владельца.

В зависимости от издателя карты (это может быть любая организация в сфере обработки платежей, а не только банк) номер карты может иметь от 13 до 16 цифр, кодирующих не только счет владельца, но и область применения карты и даже ее издателя. Первая цифра номера карты является идентификатором отрасли ее применения (MII — Major Industry Identifier) и показывает, в каких кругах вращается эта карта. Номеров MII не так уж и много. Все они представлены в таблице ниже.

Значение MII

Отрасль применения

0

Значение зарезервировано Международной организацией по стандартизации (ISO)

1

Авиалинии

2

Авиалинии и будущие направления этой отрасли

3

Путешествия, развлечения, банковская и финансовая деятельность

4

Банковская и финансовая деятельность

5

Банковская и финансовая деятельность

6

Коммерция, банковская и финансовая деятельность

7

Топливо и будущие направления этой отрасли

8

Здоровье, телекоммуникации и будущие направления этих отраслей

9

Зарезервировано для национальных стандартов

Значение MII вместе со следующими пятью цифрами номера карты определяют ее издателя. Например, компания VISA присвоила себе MII = 4 и любые комбинации пяти последующих чисел.

Если глянуть внимательно на номер карты мистера Джона Доу, то становится понятно, что его банк (судя по названию «Your Bank») работает в сфере платежной системы MasterCard.

Последующие девять (для 16-значных номеров) цифр номера карты — тот самый номер счета ее владельца. У Джона Доу он равен 1 (000000001). Ох, темнит этот Аноним! Судя по крутому номеру счета, он является как минимум вице-президентом банка «Your Bank».

Последняя по расположению цифра является далеко не последней по важности. Она называется контрольной цифрой и вычисляется на основе предшествующих цифр номера карты. Ее цель — обеспечение проверки валидности номера карты, которое выполняет компьютер, обрабатывающий транзакцию. Алгоритм вычисления контрольной цифры называется Luhn и относится к классу алгоритмов расчета контрольной суммы числа.

Алгоритм Luhn назван так в честь сотрудника компании IBM Ганса Питера Луна (Hans Peter Luhn), который и предложил использовать его для валидации номеров карт в 1960 году (Патент США № 2950048, Computer for Verifying Numbers).

Вот его принцип.

1. В первой строке записывается номер карты.

2. Во второй строке каждая цифра номера, кроме последней, умножается на 2.

3. В третьей строке из получившихся чисел, которые больше десяти, вычитается 9. Числа же меньше десяти остаются без изменения.

4. Все полученные числа складываются между собой, включая последнее число номера карты.

5. Если полученная в результате сумма кратна десяти, то номер карты считается валидным.

Контрольная цифра не предназначена для защиты от мошенничества (алгоритм Luhn весьма прост и общеизвестен). Она обеспечивает возможность компьютерам, проводящим транзакцию, убедиться, что номер карты не исказился во время передачи по каналу связи.

Последнее, что можно увидеть на обороте карты, — это некое трехзначное (иногда четырехзначное) число. В разных платежных системах оно называется по-разному. У VISA — это CVV (Card Verification Value), у Master Card — CVC (Card Validation Code).

Число это было введено сравнительно недавно и предназначено для борьбы с мошенниками. Оно дополняет номер карты при выполнении транзакции. Если номер карты может быть сгенерирован с помощью специальных программ, то подделать комбинацию из номера и CVV (CVC) — значительно сложнее.

Итак, пластиковая карта, которая лежит в вашем бумажнике, — это не сейф с деньгами, а ключ от него. Имя владельца, его подпись, номер карты и дополнительные атрибуты в виде CVV/CVC и есть те самые уникальные «бороздки», позволяющие добраться до денег на счете.

Транзакция. Особенности оплаты по карточке

Что происходит, когда некто решает сделать покупку и расплатиться за нее деньгами со счета, открываемого пластиковой картой?

Первое, что нужно уяснить: счета покупателя и продавца в общем случае находятся в разных банках.

Процесс проведения транзакции при покупке в реальном магазине требует согласованного взаимодействия ряда финансовых организаций

Банк, открывший счет для покупателя и выдавший ему в качестве ключа пластиковую карту, называется банк-эмитент. Владелец карты может следить за своим счетом, опустошать и пополнять его.

Банк, в котором держит счет продавец, называется банк-эквайер.

Поскольку покупатель (с пластиковой картой) и продавец в ходе акта купли-продажи не обмениваются наличными, денежные отношения появляются между банком-эмитентом и банком-эквайером. Последний должен со стопроцентной гарантией убедиться, что деньги со счета покупателя перекочуют на счет продавца.

Банк-эмитент должен открыть или не открывать виртуальную дверь сейфа с деньгами покупателя, чтобы взять оттуда нужную сумму. Именно для этих целей и используются атрибуты, нанесенные на карту и рассмотренные выше.

Поскольку покупателей много и они хранят деньги в разных банках-эмитентах, за пересылку сведений с карты и данных о продавце и товаре отвечает некое третье лицо — процессинговый центр. Это может быть отдельная организация со своими филиалами в разных городах или отдел одного из банков, взявшего на себя эту роль. Именно через процессинговый центр проходят все транзакции между всеми банками эмитентами и эквайерами.

Покупатель вынужден демонстрировать свою карточку при покупке, чтобы продавец мог снять с нее сведения. Для съема сведений с карты могут использоваться:

  • импринтер — специальный прибор, отпечатывающий рельефные данные с карты на бумажный чек. К этим данным относятся фамилия и инициалы владельца и номер карты. Остальные данные (включая подпись владельца карты) вносятся на чек вручную. Бумажные чеки, сделанные с помощью импринтера, называют слипами (от slip — скользить, прокатывать). Они являются документальным подтверждением совершения сделки.

Бумажный чек (slip) содержит полную информацию о карте и ее владельце. Слип — полноценный платежный документ

  • POS-терминал (от англ. Point of Sale — торговая точка). Безбумажный вариант совершения сделки. Устройство, которое считывает сведения о владельце карты и ее номер с магнитной ленты. Вместо подписи владелец карты вводит в POS-терминал известный только ему PIN-код карты, подтверждая факт сделки.

И в первом и во втором случае сведения с пластиковой карты — совместно с идентификаторами продавца, товара, его стоимости и валюты сделки — отправляются в процессинговый центр в виде запроса на авторизацию. Слипы отправляют по факсу, реже надиктовываются по телефону. Сведения с POS-терминала передаются по компьютерной банковской сети.

Получив эти сведения, процессинговый центр фиксирует транзакцию и передает сведения о карте и ее владельце в банк-эмитент. В качестве дополнительного способа защиты указывается дата, до которой карта считается действительной (Expire Date). Банк-эмитент проверяет эти сведения, фактически пытаясь открыть виртуальную ячейку со счетом владельца. Если все верно и данные подошли, счет открывается, банк-эмитент возвращает процессинговому центру число — номер авторизации. Это число является разрешением на проведение сделки. В противном случае возвращается запрет на сделку, частенько обыгрываемый в голливудских фильмах («Извините, счет на вашей карточке заморожен» и демонстративное разрезание карты ножницами).

Выдав номер авторизации, банк-эмитент пересылает нужную сумму на счет продавца в банке-эквайере. Для этого он использует идентификатор продавца из запроса на авторизацию.

А как же работают интернет-магазины, не имеющие возможности физического контакта с картой? Вкратце: примерно так же.

При совершении покупки в интернет-магазине покупатель вводит данные о карте на защищенной странице специального сервера авторизации

Покупатель, выбрав в интернет-магазине товар и разместив его в корзине, переходит к страничке оплаты. Если в качестве варианта оплаты покупатель выбрал пластиковую карту, то сервер интернет-магазина перенаправляет его на страницу специального сервера авторизации (работа, естественно, ведется по зашифрованному каналу, с помощью протокола https). Именно на этом сервере покупатель вводит сведения о карте. И именно при таком способе оплаты важную роль играет дата Expire Date и номер CVV/CVC. Как видно, интернет-магазин даже не представляет, какая карта у его покупателя. Эти данные обходят магазин стороной. Интернет-магазин, в свою очередь, передает на сервер авторизации сведения о себе и покупаемом товаре.

Совместно с данными о карте эти сведения составляют запрос авторизации, который и передается сервером авторизации в процессинговый центр. Дальнейшие действия по получению номера авторизации или отказа в обслуживании транзакции ничем не отличаются от действий выполнения транзакции с настоящим магазином. Кстати, выдача наличных банкоматом ничем не отличается от покупки товара. В качестве магазина выступает банкомат, а в качестве «товара» — наличные.

Как видно, процесс покупки товаров с помощью пластиковых карт довольно прост. Связано это с желанием продавцов продавать как можно больше и быстрее. Именно на этом желании и играют многочисленные «карточные шулеры», которые умело находят и используют лазейки в рассмотренных выше процессах проведения транзакции.

Фишинг, трэшинг, скимминг и другие виды кардерства

Поскольку пластиковая карта — это ключ от сейфа, находится масса желающих завладеть им. При этом воровать карту — неправильный ход. Владелец может ее хватиться и, позвонив в банк-эмитент, заблокировать. Как и в случае настоящего ключа, правильнее всего сделать его слепок, то есть снять информацию, хранящуюся на карте. А вот потом с дублем карты можно совершать подлости. Люди, которые вступили на скользкую дорожку карточных афер, видят в своих снах поток транзакций, которые выполняются ими, но с данными чужих карт.

Воровство данных с карт, конечно, не такое ювелирное, как «щипачество», но также требует отличной подготовки, сноровки, опыта и везения.

Карточные воры в своей среде называют друг друга кардерами. Своих жертв они называют холдерами (от англ. cardholder — владелец карты). Кардеры обычно одиночки или действуют в малочисленных мобильных группах.

Если глянуть на схемы выполнения транзакций в обычных и интернет-магазинах, можно легко понять, где пасутся кардеры. Узкими местами проведения транзакций являются чеки-слипы, POS-терминалы (кстати, банкомат — это POS-терминал с сейфом), ну и каналы интернета, используемые интернет-магазинами.

Среди кардеров-одиночек есть низшие касты, копающиеся в мусоре, и IT-cпециалисты, занимающиеся хакерством

Исходя из специфики этих каналов утечки данных о картах, кардеры специализируются на следующих видах воровства:

  • Трэшинг (trashing). По-русски — копание в мусоре. Трэшеры обитают возле мусорных контейнеров крупных торговых точек или организаций, работающих с финансами людей (например, страховых компаний, медицинских учреждений). Они рассчитывают на человеческую беспечность, заставляющую людей выбрасывать (предварительно не измельчив) чеки-слипы или же бухгалтерскую документацию, содержащую сведения о картах. Многие трэшеры не пользуются своими находками, а перепродают их более рисковым кардерам.

  • Скимминг (skimming) — самый адреналиновый вид кардерства. Кардеры, занимающиеся скиммингом, должны быть весьма хладнокровны, артистичны и ловки, как престидижитаторы. Название мошенничества происходит от названия прибора для считывания данных о карте с ее магнитной полосы или встроенного чипа — скиммера (skimmer). Самым наглым способом скимминга является установка скиммера прямо на банкомат. Жертва вставляет карту в приемник банкомата, не подозревая, что перед ним стоит хорошо замаскированный скиммер, «прокатывающий» данные карты и передающий их по беспроводному каналу или (более дешевый вариант) записывающий их во внутреннюю флэш-память.

    Скиммер — очень простое устройство, которое легко закамуфлировать под слот банкомата

Если кардер, промышляющий скиммингом, не лишен артистизма и имеет подельника, он может «прокатать» карту через ручной скиммер. Сцена — человек вставляет карту в приемник банкомата и слышит: «Вы обронили 5000 рублей». Он наклоняется, чтобы поднять их, за это время кардер успевает извлечь карту, передать ее подельнику со скиммером, получить обратно и вручить владельцу со словами: «Вот, банкомат ее выплюнул». Дальше остается только подсмотреть PIN-код. Съем PIN-кода — тоже искусство. В ход идут замаскированные видеокамеры, следящие за клавиатурой банкомата, или даже муляжи клавиатуры, накладываемые поверх настоящей.

- Фишинг (fishing). К ловле рыбы этот вид кардерства не относится, да и использующие его кардеры больше похожи на хакеров. Идея фишинга проста — сделать так, чтобы в момент перенаправления интернет-магазином владельца карты на страницу сервера авторизации тот попал на похожую как две капли воды страницу, но принадлежащую кардеру. Жертва, ничего не подозревая, вводит данные о карте в поля формы. Эти данные пересылаются кардеру и только потом отправляются на настоящий сервер авторизации. Сейчас заниматься фишингом становится все труднее, ведь почти все современные браузеры имеют антифишинговую защиту. Расчет делается на человеческую беспечность. Проверка на фишинг увеличивает время загрузки страниц, и многие ее просто отключают. Если же афера с фишингом не проходит, кардер-хакер пробует внедрение программ троянов-кейлогеров, которые фиксируют нажатия клавиш при совершении транзакции и отсылают их злоумышленнику.

Последний вид кардерства сродни работе психотерапевта, поскольку использует методы социальной инженерии (Social Engineering). «Социальные инженеры» умудряются заставить владельца карты самого продиктовать ее данные. Такой мошенник притворяется сотрудником банка, налоговым инспектором или полицейским и спрашивает данные вашей карты по телефону. Жертва, привыкшая доверять официальным лицам, безропотно выдает сведения о карте, не подозревая, что через несколько минут ее счет будет основательно подчищен. Особый вид социальной инженерии — использование коррупционных механизмов. При этом кардеры, пообещав поделиться прибылью, зачастую берут в подельники продавцов магазинов, бухгалтеров, официантов — короче, людей, имеющих доступ к чужим картам или данным о них.

Как же кардеры распоряжаются добытой информацией? При наличии PIN-кода кардер бежит к банкоматам и за несколько транзакций опустошает счет владельца карты. Если же PIN-кода нет, остается только покупать товары и потом сбывать их нечестным путем. Ловят кардеров именно на этом этапе. Впрочем, сбыт краденого в любой воровской деятельности — самая опасная часть операции.

Объединенные кардеры

Кардеры-одиночки — реальная беда платежных систем. Также как и вода, которая по капле пробивает в скале брешь, сотни тысяч кардеров с переменным успехом, но серьезно опустошают счета владельцев карт. По сведениям Ассоциации региональных банков России, за 2009 год со счетов россиян кардерами было украдено более 1 миллиарда рублей! И это в России, где пластиковые карты используются сравнительно недавно.

Однако самый большой урон платежным системам наносят не «одинокие волки», а организованные преступные группировки, промышляющие на ниве кардерства. Кроме финансового урона, такие группировки ставят под удар репутацию платежных систем: люди зачастую отказываются пользоваться их услугами.

И если операция одного кардера может разорить одного или нескольких человек, то группировки в мгновение ока опустошают счета миллионов вкладчиков. Сложность борьбы с организованными кардерами заключается в распределенном характере их деятельности. У кард-группировщиков есть четкое разделение функций. При этом большинство веток системы устроены так, что в случае локального провала остальные части системы не вскрываются, что позволяет ей функционировать в штатном режиме.

В основе организованного кардерства лежит крупная утечка данных о картах и их владельцах. Чаще всего утечки происходят оттуда, где этих сведений «ну просто завались!»: например, из процессинговых центров или даже из банков-эмитентов. Утечка может быть плановой или случайной и быть организована техническими (хакеры, ботнеты) или социально-инженерными и даже коррупционными методами.

В преступной группировке кардеров имеются и свои генералы, и свои рядовые

В любом случае в руки кардеров попадают гигабайты бесценной информации. Ее можно использовать по назначению или неплохо нажиться, продав другим кардерам. Обычно владеет такой информацией кардер «Доктор зло», называемый Supplier — поставщик. Он чаще всего ведет вполне легальный образ жизни.

Полученные в ходе утечки данные о картах не применяются бездумно и оголтело. Они порциями передаются команде под названием Account Washers (отмывальщики учетных записей). Эти ребята без шума и пыли собирают полные сведения о владельцах карт, пользуясь разными законными путями. Цель — знать о холдерах все, включая то, где они находятся в данный момент. Получив эти сведения, отмывальщики передают их в руки Account Preparers — подготавливающим учетные записи. Команда эта работает тихо и незаконно. Она изготавливает поддельные документы на имя владельцев карточек, подглядывает за вводимыми в банкоматы PIN-кодами... короче, создает почву для практически легального проведения транзакций. Чтобы счетами жертв можно было пользоваться многократно и без вызывания подозрений, в группировке трудится бригада Account Maintainers (формирователи учетной записи). Они планируют, сколько нужно снять со счета и (даже!) положить на него, чтобы кредитная линия банка всегда была открыта и владелец-жертва не заподозрил, что его «доят».

Только после всего этого подготовительного этапа поддельные карты, документы, даты совершения транзакций, их суммы и даже места проведения передаются в так называемые ячейки (Cells) — армию рядовых кардеров. Ячейки делятся на Foot Soldiers — «топтыжек», которые кочуют между указанными им банкоматами и снимают нужные суммы с нужных счетов в нужный момент времени, и Shoppers — покупателей, виртуозно исполняющих роли владельцев карт, вплоть до имитации внешности и использования поддельных документов.

Результаты работы таких группировок потрясают. Например, группа «товарищей», пойманная в США в ходе операции Plastic Pipe Line, одномоментно «окучила» счета жертв на 12 миллионов вечнозеленых.

Бдительность — наша сестра

Кардеры, фишеры, скиммеры… неужели все так плохо? На самом деле — нет. Приведем несколько простых, но полезных советов.

Совершая любую операцию с пластиковой картой, будь это банальное получение налички в банкомате или же крупная покупка в интернет-магазине, стоит сто раз проверить все окрестности, прежде чем демонстрировать данные вашей карточки. Для компьютерных платежей неплохо бы включить антифишинг и выгнать с жесткого диска троянов. Ну и, конечно же, не «клевать» на предложения скачать всякого рода программ платежных агентов.

Лучше всего использовать банкоматы, находящиеся в помещении банка, стараться при этом прикрывать клавиатуру ладонью, дабы PIN-код никому не попался на глаза. То же касается и работы с POS-терминалами. Естественно, вступать в контакт с кем-то и отвлекаться при проведении транзакции крайне нежелательно. Стоит помнить, что здоровой заряд паранойи способен уберечь ваши электронные деньги лучше, чем ложная скромность и истинная безалаберность.

blog comments powered by Disqus
Обратная связь
Имя
E-mail
Сообщение:

Отправить