Як банкаўскія карткі становяцца мечанымі?

Супраць узлому ёсць прыёмы

Паводле розных звестак, пры дапамозе скімінгу зламыснікі штогод крадуць з картачных рахункаў каля аднаго мільярда долараў. Рэспубліканская сістэма электронных плацяжоў даволі бяспечная, таму злачынстваў у гэтай сферы не так шмат. І ўсё ж яны ёсць. У большасці выпадкаў ахвяра сама паведамляе зламысніку канфідэнцыяльныя даныя. Карэспандэнт «Р» даведалася, чаму непажадана карыстацца банкаматамі ў нешматлюдных месцах.

Нашы зарплатныя карткі не вельмі цікавыя хакерам. Карты міжнароднага ўзору — справа іншая.
Фота  yar-credit.su

Злачынцы могуць скрасці інфармацыю з карты праз банкамат, усталяваўшы на яго скімеры. Гэта адмысловыя накладкі на клавіятуру банкамата і на кардрыдар.

Начальнік аддзела праграмных і сеткавых экспертыз ДКСЭ Андрэй Малашкевіч кажа, што пры дапамозе гэтых прыстасаванняў злачынцы вывуджваюць усю інфармацыю аб карце літаральна на працягу некалькіх секунд:

— Яны атрымліваюць не толькі нумар і тэрмін прыдатнасці вашай карты, але і ўсю інфармацыю, запісаную на магнітнай паласе. У нагрузку могуць выкарыстоўвацца відэакамеры скрытнай устаноўкі, каб падгледзець ваш пін-код. Гэтая інфармацыя можа перадавацца зламысніку па радыёканале ці захоўвацца на флэш-карце ў самім скімеры.

Злачынцы стараюцца на славу, таму неспецыялісту ўбачыць на банкамаце такія прылады часцяком няпроста. У google можна знайсці фота выяўленых скімераў таўшчынёй з ліст тонкага кардону. Пра бяспеку кліентаў клапоцяцца самі банкі, усталёўваючы на кардрыдар так званыя «дзюбы» — спецыяльныя гумавыя накладкі. Яны не дазваляюць хакерам усталяваць на банкаматы свае прылады.

У зоне рызыкі — банкаматы ў нешматлюдных месцах, бо злачынцам патрэбны час, каб падключыць свае прылады, і гледачы ім непатрэбныя. Таму лепш выкарыстоўваць банкаматы ў метро, на вакзалах, у буйных гандлёвых цэнтрах і гіпермаркетах.

Дарэчы, калі будзе даказана, што грошы былі выкрадзены шляхам устаноўкі на банкамат скімерных прылад, то банкі часта ідуць насустрач кліенту і кампенсуюць страты.

Андрэй Малашкевіч:

 — У шэрагу экспертыз па такіх справах мы знаходзілі сфатаграфаваныя карты на камп’ютары ахвяры. Прычым і саму карту, і карту кодаў інтэрнэт-банкінгу. Такія файлы могуць быць выкрадзены з камп’ютара з дапамогай віруса, які можа счытваць усе даныя з клавіятуры, рабіць здымкі экрана, запамінаць паролі...

Нашы зарплатныя карткі не вельмі цікавыя хакерам, бо большасць з іх абарочваюцца толькі ўнутры краіны. Карты міжнароднага ўзору — справа іншая. Яны чыпавыя. Чып — гэта мікрапрацэсар, знешне падобны на SIM-карту для тэлефона. Пластык з мікрапрацэсарам змяшчае ў восемдзесят разоў больш інфармацыі, чым магнітны сабрат.

— Бяспека з’яўляецца адным з галоўных аргументаў на карысць чыпавых прадуктаў, — Андрэй Малашкевіч бярэ ў рукі карткі двух тыпаў, параўноўвае іх. — Справа ў тым, што ўся інфармацыя па рахунку змяшчаецца на магнітнай паласе і на чыпе. У камп’ютарным пластыку гэтыя даныя зашыфраваныя з дапамогай складаных лічбавых кодаў, і простым скімерам іх не счытаць. Акрамя таго, аперацыя па магнітнай паласе мае заўсёды аднолькавыя даныя, якія адпраўляюцца ў банк. А вось транзакцыя па чыпе пацвярджаецца спецыяльным кодам, які заўсёды розны. Таму нават калі ашуканцы змаглi падрабіць чып, ім нічога не свеціць.

Што да плацяжоў праз інтэрнэт, то многія гандлёвыя інтэрнэт-пляцоўкі ўжо ўкаранілі тэхналогію 3D-Secure. Працуе яна вельмі проста. Пасля таго як вы ўведзяце ўсе неабходныя рэквізіты для здзяйснення пакупкі ў інтэрнэт-краме, адбудзецца перанакіраванне на старонку пацвярджэння аперацыі, а на ваш тэлефон прыйдзе СМС-паведамленне з аднаразовым паролем. Прычым пароль сапраўдны на працягу некалькіх хвілін, і калі вы не паспелі яго ўвесці, то па заканчэнні гэтага часу вам будзе неабходна прайсці працэдуру аплаты з самага пачатку.

...Нярэдка ашуканцы выкарыстоўваюць метад сацыяльнай інжынерыі. Узломваюць старонку вашага сябра ў сацсетках і дасылаюць паведамленне ад яго імя: маўляў, трэба тэрмінова пакласці грошы на тэлефон, але я кашалёк дома забыўся, прышлі нумар сваёй банкаўскай карты... І ахвяра сама паведамляе ашуканцу канфідэнцыяльныя даныя — нумар карты, тэрміны дзеяння і CVV/CVС-коды на адвароце карты. Выйсце — выкарыстоўваць двухфактарную аўтарызацыю, якая прадугледжвае, акрамя пароля, увядзенне аднаразовага кода, які высылаецца па СМС.

Андрэй Малашкевіч рэкамендуе выконваць наступныя правілы бяспекі пры рабоце з банкаматамі:

— Старайцеся выкарыстоўваць банкаматы ў аддзяленнях банкаў. Калі прылада выклікае ў вас падазрэнні — не карыстайцеся ёю. Уводзячы пін-код, прыкрывайце клавіятуру рукой, каб схаваць лічбы, якія набіраюцца, ад відэакамер і зламыснікаў. Не давярайце банкаматам, якія маюць нязвыклыя апазнавальныя знакі ці насцярожваючыя пункты ў інструкцыі, напрыклад, калі машына патрабуе ўвесці пін-код двойчы для пацвярджэння транзакцыі.


Полная перепечатка текста и фотографий запрещена. Частичное цитирование разрешено при наличии гиперссылки.
Заметили ошибку? Пожалуйста, выделите её и нажмите Ctrl+Enter