Нашы зарплатныя карткі не вельмі цікавыя хакерам. Карты міжнароднага ўзору — справа іншая.
Начальнік аддзела праграмных і сеткавых экспертыз ДКСЭ Андрэй Малашкевіч кажа, што пры дапамозе гэтых прыстасаванняў злачынцы вывуджваюць усю інфармацыю аб карце літаральна на працягу некалькіх секунд:
— Яны атрымліваюць не толькі нумар і тэрмін прыдатнасці вашай карты, але і ўсю інфармацыю, запісаную на магнітнай паласе. У нагрузку могуць выкарыстоўвацца відэакамеры скрытнай устаноўкі, каб падгледзець ваш пін-код. Гэтая інфармацыя можа перадавацца зламысніку па радыёканале ці захоўвацца на флэш-карце ў самім скімеры.
Злачынцы стараюцца на славу, таму неспецыялісту ўбачыць на банкамаце такія прылады часцяком няпроста. У google можна знайсці фота выяўленых скімераў таўшчынёй з ліст тонкага кардону. Пра бяспеку кліентаў клапоцяцца самі банкі, усталёўваючы на кардрыдар так званыя «дзюбы» — спецыяльныя гумавыя накладкі. Яны не дазваляюць хакерам усталяваць на банкаматы свае прылады.
У зоне рызыкі — банкаматы ў нешматлюдных месцах, бо злачынцам патрэбны час, каб падключыць свае прылады, і гледачы ім непатрэбныя. Таму лепш выкарыстоўваць банкаматы ў метро, на вакзалах, у буйных гандлёвых цэнтрах і гіпермаркетах.
Дарэчы, калі будзе даказана, што грошы былі выкрадзены шляхам устаноўкі на банкамат скімерных прылад, то банкі часта ідуць насустрач кліенту і кампенсуюць страты.
Андрэй Малашкевіч:
— У шэрагу экспертыз па такіх справах мы знаходзілі сфатаграфаваныя карты на камп’ютары ахвяры. Прычым і саму карту, і карту кодаў інтэрнэт-банкінгу. Такія файлы могуць быць выкрадзены з камп’ютара з дапамогай віруса, які можа счытваць усе даныя з клавіятуры, рабіць здымкі экрана, запамінаць паролі...
Нашы зарплатныя карткі не вельмі цікавыя хакерам, бо большасць з іх абарочваюцца толькі ўнутры краіны. Карты міжнароднага ўзору — справа іншая. Яны чыпавыя. Чып — гэта мікрапрацэсар, знешне падобны на SIM-карту для тэлефона. Пластык з мікрапрацэсарам змяшчае ў восемдзесят разоў больш інфармацыі, чым магнітны сабрат.
— Бяспека з’яўляецца адным з галоўных аргументаў на карысць чыпавых прадуктаў, — Андрэй Малашкевіч бярэ ў рукі карткі двух тыпаў, параўноўвае іх. — Справа ў тым, што ўся інфармацыя па рахунку змяшчаецца на магнітнай паласе і на чыпе. У камп’ютарным пластыку гэтыя даныя зашыфраваныя з дапамогай складаных лічбавых кодаў, і простым скімерам іх не счытаць. Акрамя таго, аперацыя па магнітнай паласе мае заўсёды аднолькавыя даныя, якія адпраўляюцца ў банк. А вось транзакцыя па чыпе пацвярджаецца спецыяльным кодам, які заўсёды розны. Таму нават калі ашуканцы змаглi падрабіць чып, ім нічога не свеціць.
Што да плацяжоў праз інтэрнэт, то многія гандлёвыя інтэрнэт-пляцоўкі ўжо ўкаранілі тэхналогію 3D-Secure. Працуе яна вельмі проста. Пасля таго як вы ўведзяце ўсе неабходныя рэквізіты для здзяйснення пакупкі ў інтэрнэт-краме, адбудзецца перанакіраванне на старонку пацвярджэння аперацыі, а на ваш тэлефон прыйдзе СМС-паведамленне з аднаразовым паролем. Прычым пароль сапраўдны на працягу некалькіх хвілін, і калі вы не паспелі яго ўвесці, то па заканчэнні гэтага часу вам будзе неабходна прайсці працэдуру аплаты з самага пачатку.
...Нярэдка ашуканцы выкарыстоўваюць метад сацыяльнай інжынерыі. Узломваюць старонку вашага сябра ў сацсетках і дасылаюць паведамленне ад яго імя: маўляў, трэба тэрмінова пакласці грошы на тэлефон, але я кашалёк дома забыўся, прышлі нумар сваёй банкаўскай карты... І ахвяра сама паведамляе ашуканцу канфідэнцыяльныя даныя — нумар карты, тэрміны дзеяння і CVV/CVС-коды на адвароце карты. Выйсце — выкарыстоўваць двухфактарную аўтарызацыю, якая прадугледжвае, акрамя пароля, увядзенне аднаразовага кода, які высылаецца па СМС.
Андрэй Малашкевіч рэкамендуе выконваць наступныя правілы бяспекі пры рабоце з банкаматамі:
— Старайцеся выкарыстоўваць банкаматы ў аддзяленнях банкаў. Калі прылада выклікае ў вас падазрэнні — не карыстайцеся ёю. Уводзячы пін-код, прыкрывайце клавіятуру рукой, каб схаваць лічбы, якія набіраюцца, ад відэакамер і зламыснікаў. Не давярайце банкаматам, якія маюць нязвыклыя апазнавальныя знакі ці насцярожваючыя пункты ў інструкцыі, напрыклад, калі машына патрабуе ўвесці пін-код двойчы для пацвярджэння транзакцыі.