Кардинг

Вопреки сложившемуся стереотипу, «на карточке» деньги не хранятся. Карточка по сути своей является аналогом ключа к банковской ячейке. Только к ячейке электронной. Значит вместо денег она хранит нечто более ценное — уникальную информацию о том, как добраться до счета «где деньги лежат».

Похитив идентификационную информацию с пластиковой карты, злоумышленник может выдать себя за хозяина карты и по плечи погрузить руки в его электронную наличность.

Фишинг, трэшинг, скимминг и другие виды кардерства

Поскольку пластиковая карта — это ключ от сейфа, находится масса желающих завладеть им. При этом воровать карту — неправильный ход. Владелец может ее хватиться и, позвонив в банк-эмитент, заблокировать. Как и в случае настоящего ключа, правильнее всего сделать его слепок, то есть снять информацию, хранящуюся на карте. А вот потом с дублем карты можно совершать подлости.

Карточные воры в своей среде называют друг друга кардерами. Своих жертв они называют холдерами (от англ. cardholder — владелец карты). Кардеры обычно одиночки или действуют в малочисленных мобильных группах.

Если посмотреть на схемы выполнения транзакций в обычных и интернет-магазинах, можно легко понять, где находятся кардеры. Узкими местами проведения транзакций являются чеки-слипы, POS-терминалы (кстати, банкомат — это POS-терминал с сейфом), ну и каналы интернета, используемые интернет-магазинами. На Рис 3 представлены виды кардинга через которые мошенники осуществляют похищение данных банковских карточек

Рис 3. Виды кардинга [22].

Исходя из специфики этих каналов утечки данных о картах, кардеры специализируются на следующих видах воровства:

Трэшинг

Трэшинг (trashing). По-русски — копание в мусоре. Трэшеры обитают возле мусорных контейнеров крупных торговых точек или организаций, работающих с финансами людей (например, страховых компаний, медицинских учреждений). Они рассчитывают на человеческую беспечность, заставляющую людей выбрасывать (предварительно не измельчив) чеки-слипы или же бухгалтерскую документацию, содержащую сведения о картах. Многие трэшеры не пользуются своими находками, а перепродают их более рисковымкардерам.

Скимминг

• Скимминг (skimming) — самый адреналиновый вид кардерства. Кардеры, занимающиеся скиммингом, должны быть весьма хладнокровны, артистичны и ловки, как престидижитаторы. Название мошенничества происходит от названия прибора для считывания данных о карте с ее магнитной полосы или встроенного чипа — скиммера (skimmer). Самым наглым способом скимминга является установка скиммера прямо на банкомат. Жертва вставляет карту в приемник банкомата, не подозревая, что перед ним стоит хорошо замаскированный скиммер, «прокатывающий» данные карты и передающий их по беспроводному каналу или (более дешевый вариант) записывающий их во внутреннюю флэш-память. Пример скиммера представлен на Рис 4.

Рис.4 – Скиммер, вид спереди и сзади.

сликардер, промышляющий скиммингом, не лишен артистизма и имеет подельника, он может «прокатать» карту через ручной скиммер. Сцена — человек вставляет карту в приемник банкомата и слышит: «Вы обронили 5000 рублей». Он наклоняется, чтобы поднять их, за это время кардер успевает извлечь карту, передать ее подельнику со скиммером, получить обратно и вручить владельцу со словами: «Вот, банкомат ее выплюнул». Дальше остается только подсмотреть PIN-код. Съем PIN-кода — тоже искусство. В ход идут замаскированные видеокамеры, следящие за клавиатурой банкомата, или даже муляжи клавиатуры, накладываемые поверх настоящей.

Фишинг

(fishing). К ловле рыбы этот вид кардерства не относится, да и использующие его кардеры больше похожи на хакеров. Идея фишинга проста — сделать так, чтобы в момент перенаправления интернет-магазином владельца карты на страницу сервера авторизации тот попал на похожую как две капли воды страницу, но принадлежащую кардеру. Жертва, ничего не подозревая, вводит данные о карте в поля формы. Эти данные пересылаются кардеру и только потом отправляются на настоящий сервер авторизации. Сейчас заниматься фишингом становится все труднее, ведь почти все современные браузеры имеют антифишинговую защиту. Расчет делается на человеческую беспечность. Проверка на фишинг увеличивает время загрузки страниц, и многие ее просто отключают. Если же афера с фишингом не проходит, кардер-хакер пробует внедрение программ троянов-кейлогеров, которые фиксируют нажатия клавиш при совершении транзакции и отсылают их злоумышленнику.

Последний вид кардерства сродни работе психотерапевта, поскольку использует методы социальной инженерии (SocialEngineering). «Социальные инженеры» умудряются заставить владельца карты самого продиктовать ее данные. Такой мошенник притворяется сотрудником банка, налоговым инспектором или полицейским и спрашивает данные вашей карты по телефону. Жертва, привыкшая доверять официальным лицам, безропотно выдает сведения о карте, не подозревая, что через несколько минут ее счет будет основательно подчищен. Особый вид социальной инженерии — использование коррупционных механизмов. При этом кардеры, пообещав поделиться прибылью, зачастую берут в подельники продавцов магазинов, бухгалтеров, официантов — людей, имеющих доступ к чужим картам или данным о них.

Как же кардеры распоряжаются добытой информацией. При наличии PIN-кода кардер бежит к банкоматам и за несколько транзакций опустошает счет владельца карты. Если же PIN-кода нет, остается только покупать товары и потом сбывать их нечестным путем. Ловят кардеров именно на этом этапе. Впрочем, сбыт краденого в любой воровской деятельности — самая опасная часть операции.