Способы кражи данных кредитных карт и атаки на POS-системы (устройства приема платежей)
Корпорация Symantec опубликовала исследование, посвященное атакам на POS-системы (Point of Sale) с целью кражи данных кредитных карт.
Данные, которые хранятся на магнитной ленте карты (Track 2), дают возможность злоумышленникам клонировать карты и пользоваться ими в обычных магазинах и даже снимать деньги через банкомат, а стоимость данных одной карты в Интернете может достигать $100.
Кражи данных в крупных сетях розничной торговли при помощи дополнительного устройства, устанавливающегося на POS-систему, или вредоносной программы, считывающей данные Track 2 из памяти кассы, позволяют злоумышленникам собрать данные миллионов кредитных карт.
Существует множество способов кражи данных кредитных карт по Интернету, однако самым привлекательным объектом атаки являются так называемые POS-системы — устройства приема платежей, в том числе и с помощью кредитных карт, установленные в магазинах и других точках розничной продажи.
По приблизительным оценкам, около 60% всех покупок, совершаемых в точках розничной продажи, оплачиваются при помощи кредитных или дебетовых карт.
Крупные точки розничной продажи могут обрабатывать тысячи таких транзакций в день, поэтому POS-системы попали под прицел злоумышленников, стремящихся заполучить большие объемы данных кредитных карточек.
Существует множество различных интернет-форумов, где открыто, в различных форматах продаются данные кредитных и дебетовых карт.
Самый распространенный из них — CVV2, когда продавец предоставляет номер карты вместе с кодом CVV2, который, как правило, напечатан на оборотной стороне карты. Этих данных достаточно для осуществления по карте онлайн-покупок.
Однако некоторые продавцы предлагают и более прибыльный формат — Track 2. Этим термином обозначаются данные, хранящиеся на магнитной ленте карты. Эти данные являются более ценными, так как дают возможность злоумышленникам клонировать карты и пользоваться ими в обычных магазинах, а при наличии пин-кода — даже снимать деньги через банкомат.
Ценность такой информации отражается в ее стоимости в Интернете, и разброс цен здесь велик: цена одной карты в формате CVV2 находится в диапазоне от 5 центов до 10 долларов, а стоимость данных Track2 может достигать $100 за одну карту.
Каким же образом злоумышленники получают эти данные?
Одним из самых распространенных способов является скимминг (от англ. skim — снимать сливки), когда на POS-систему устанавливается дополнительное устройство, считывающее данные Track2.
Однако этот метод требует физического доступа к устройству и дорогого оборудования, что делает реализацию такой схемы в крупных масштабах затруднительной.
Чтобы обойти эти трудности, злоумышленники обратились к программным решениям в виде вредоносного кода для POS-систем. Атакуя главные сети розничной торговли, за одну кампанию злоумышленники могут собрать данные миллионов кредитных карт.
Вредоносный код для POS-систем работает за счет использования бреши в системе обработки данных кредитных карт: хотя при запросе на авторизацию данные отправляются в зашифрованном виде, они совершенно открыты в сам момент обработки платежа, т. е. в тот момент, когда вы проводите карточкой по терминалу при оплате покупки.
Первый раз злоумышленники воспользовались этой уязвимостью в 2005 году, когда в результате кампании, проведенной хакером по имени Альберт Гонсалес, были украдены данные 170 миллионов кредитных карт.
С того времени рынок вредоносных программ, считывающих данные Track2 из памяти POS-систем, только вырос.
Большинство электронных кассовых систем основано на ОС Windows, что делает простым создание для них вредоносных программ. Такие программы работают по схеме memory scraping (букв. «соскребывание памяти»), сканируя память POS-системы на предмет данных, по структуре напоминающих Track2-данные.
Когда карточкой проводят по терминалу, программа находит эти данные и сохраняет их в памяти системы, чтобы позже злоумышленник мог осуществить к ней доступ.
Самый известный вирус подобного типа — программа под названием BlackPOS, и она продается на форумах для киберпреступников. Антивирусные продукты Symantec определяют этот вредоносный код как Infostealer.Reedum.B.
Вооружившись вредоносной программой, хакер должен решить следующую задачу — установить эту программу на POS-систему.
POS-системы, как правило, не имеют прямого доступа в Интернет, однако тем или иным способом подключены к корпоративной сети. Так что первым делом злоумышленники пытаются взломать ее. Это можно сделать путем внедрения SQL-кода или найдя подключенное к сети внешнее устройство, на котором все еще стоит стандартный заводской пароль.
Получив доступ к сети, злоумышленники при помощи различных инструментов взлома пытаются получить доступ к сегменту сети, отвечающему за работу POS-систем. После установки вредоносного кода хакеры предпринимают ряд шагов, направленных на заметание следов.
Такие шаги могут включать в себя очистку log-файлов или манипуляции с системой безопасности таким образом, чтобы злоумышленники могли и дальше незаметно осуществлять перехват.
К сожалению, в ближайшем будущем такие кражи, скорее всего, продолжатся.
Краденые данные кредитных карт имеют ограниченный срок годности: банки, так же как и наблюдательные владельцы карт, быстро замечают подозрительные транзакции и блокируют карту. Это значит, что киберпреступникам необходим постоянный источник «свежих» кредиток.
Хорошая новость состоит в том, что в будущем продавцы усвоят урок и предпримут шаги по предотвращению подобного рода атак. Также изменится и технология оплаты.
В США сейчас идет активное внедрение карт типа Chip and Pin. Данная технология «карт с чипами» существует и функционирует в Европе и России, однако в США она только внедряется. Такие карты намного труднее клонировать, что делает их менее привлекательной добычей для злоумышленников.
Кроме того, набирают популярность новые модели оплаты: распространение метода оплаты при помощи устройств, поддерживающих технологию NFC, может привести к тому, что наши смартфоны заменят нам кредитные карты.
Нет никакого сомнения в том, что злоумышленники среагируют на эти изменения и будут адаптироваться.
Однако, по мере того как новые технологии набирают популярность, а компании, занимающиеся безопасностью, продолжают следить за активностью злоумышленников, осуществление крупномасштабных атак на POS-системы будет становиться все более трудным и определенно менее прибыльным делом.
Какие ещё способы отъема денег практикуют киберзлоумышленники?
На днях «Лаборатория Касперского» подготовила обзор наиболее распространенных уловок киберзлоумышленников, которые они применяют для кражи денег пользователей.
По данным компании, в России в результате вредоносной атаки пользователь в среднем теряет около 76 долларов США, при этом лишь в 28% случаев ему удается полностью или частично вернуть утраченные средства.
Кража данных от систем онлайн-банкинга является одним из самых распространенных способов мошенничества.
Для того, чтобы вредоносное ПО проникло на компьютер или смартфон, пользователю необязательно просматривать ресурсы с нежелательным контентом, иногда достаточно кликнуть по баннеру, ведущему на вредоносный сайт.
Сначала злоумышленники определят тип системы безопасности банка пользователя, найдут в ней уязвимости и дадут команду на обновление вредоносной программе для кражи денег именно из банка пользователя.
Например, вредоносное ПО определило, что для авторизации транзакций используются распечатанные на бумаге одноразовые пароли, полученные в банке. При попытке подтвердить операцию пользователь, «благодаря» этой программе, получает сообщение о якобы устаревшем пароле, и каждый следующий пароль тоже оказывается «устаревшим».
На самом деле, вредоносное ПО собирает эти одноразовые пароли, дающие полный доступ к системе онлайн-банкинга жертвы.
Еще один способ лишить пользователя денежных средств — украсть данные кредитной карты. Как только вредоносная программа замечает, что пользователь ввел 16 цифр подряд, она тут же начинает собирать дополнительную информацию. Сначала злоумышленники получают номер карты, а затем и все остальное: имя, фамилию, трехзначный код, срок действия.
По той же схеме действуют зловреды, ворующие реквизиты от онлайн-кошельков: как только программа понимает, что вы ввели номер кошелька, она начинает собирать всю остальную информацию для осуществления транзакции.
Иногда мошенники действуют по другой схеме: при копировании номера кошелька получателя платежа в буфер обмена (например, через Сtrl+C) они подменяют номер кошелька, и средства уходят не по назначению.
Программы-вымогатели также активно используются злоумышленниками для получения денег. Подобное вредоносное ПО может зашифровать файлы на компьютере или заблокировать доступ к нему, установив на экране картинку-блокер, после чего мошенники требуют от пользователя выкуп за дешифровку или разблокировку системы.
При таком сценарии для того чтобы вновь воспользоваться компьютером, жертве придется отправить SMS на короткий номер, перевести деньги на мобильный счет преступников, либо, например, расплатиться биткоинами. Однако даже оплата выкупа не гарантирует восстановление доступа и дешифрование данных.
Подобный вид мошенничества весьма распространен, о чем свидетельствуют данные KSN: во втором полугодии 2013 года продукты «Лаборатории Касперского» выявили и заблокировали более 4 миллионов троянцев-вымогателей на компьютерах пользователей.
SMS-мошенничество также остается одним из самых популярных способов кражи денег. Пользователи отправляют сообщения на короткие номера, чтобы скачать фильм или ПО, узнать о новой диете, прочитать гороскоп и т.д.
Зачастую они не только не получают запрашиваемый контент и напрасно тратят средства, но также, не подозревая об этом, оформляют подписку на какой-либо сервис, организованный мошенниками. Такие подписки в дальнейшем будут снимать деньги со счета на регулярной основе. Жертва, как правило, не догадывается о существовании подписки довольно долгое время, так как сумма списания может быть небольшая.
«Несмотря на то что мошенники придумывают все более изощренные способы кражи денег, пользователи, зная об уловках злоумышленников, могли бы избежать финансовых потерь, проявляя элементарную осторожность.
Помимо установки и обновления защиты класса Internet Security на компьютере и телефоне, очень часто достаточно не скачивать приложения из неофициальных источников, перепроверять номера счетов, на которые идет отправка средств, да и при малейшем подозрении связываться с банком или сотовым оператором», — говорит Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского».
По материалам: anti-malware.ru
См. также:
- Информационная безопасность: бизнес и платежные данные крайне низко защищены
- Symantec, Eset и PandaLabs: Прогнозы на развитие вирусной активности и информационной безопасности в 2014 году
Оставить комментарий