2.4 Кардинг

Вопреки сложившемуся стереотипу, пластиковой карте деньги не хранятся. Карточка по сути своей является аналогом ключа к банковской ячейке. Только к ячейке электронной. Значит вместо денег она хранит нечто более ценное — уникальную информацию о том, как добраться до счета «где деньги лежат».

Похитив идентификационную информацию с пластиковой карты, злоумышленник может выдать себя за хозяина карты и начать расхищать денежные средства [26].

По данным отчета 2012 года компании Symantec, разброс оптовых цен на данные кредитных карт составляет от 17 долл. за 10 карт до 300 долл. за 1 тыс. карт. Для кражи этой ценной информации злоумышленники используют все доступные методы – от фишинга и спама до мобильных технологий. По данным Symantec, в 56% случаях фишинг-атак злоумышленники маскировались под банки [24].

Кардинг и его виды

Пластиковая карта — это ключ от сейфа, находится масса желающих завладеть им. При этом воровать карту — неправильный ход. Владелец может ее хватиться и, позвонив в банк-эмитент, заблокировать. Как и в случае настоящего ключа, правильнее всего сделать его слепок, то есть снять информацию, хранящуюся на карте. И потом с дубликатом карты можно совершать похищения денежных средств.

Карточные воры в своей среде называют друг друга кардерами. Своих жертв они называют холдерами (от англ. cardholder — владелец карты). Кардеры обычно одиночки или действуют в малочисленных мобильных группах.

Если посмотреть на схемы выполнения транзакций в обычных и интернет-магазинах, можно легко понять, где находятся кардеры. Узкими местами проведения транзакций являются чеки-слипы(слип - документ (чек), подтверждающий проведение по банковской карте операций), POS-терминалы (кстати, банкомат — это POS-терминал с сейфом), и каналы интернета, используемые интернет-магазинами. На рисунке 3 представлены самые распространенные виды кардинга через которые мошенники осуществляют похищение данных банковских карточек.

Рисунок 3 - Виды кардинга [26]

Исходя из специфики этих каналов утечки данных о картах, кардеры специализируются на следующих видах воровства:

Скимминг

Скимминг (skimming) — самый адреналиновый вид кардерства. Кардеры, занимающиеся скиммингом, должны быть весьма хладнокровны, артистичны и ловки. Название мошенничества происходит от названия прибора для считывания данных о карте с ее магнитной полосы или встроенного чипа — скиммера (skimmer). Самым наглым и опасным способом скимминга является установка скиммера прямо на банкомат. Жертва вставляет карту в приемник банкомата, не подозревая, что перед ним стоит хорошо замаскированный скиммер, «прокатывающий» данные карты и передающий их по беспроводному каналу или (более дешевый вариант) записывающий их во внутреннюю флэш-память. Пример скиммера представлен на рисунке 4[26].

Рисунок 4 - Скиммер, вид спереди и сзади [26]

Тепловизоры помогут скиммерам в чтении пин-кодов

Исследователи в области безопасности обнаружили, что тепловизор, подключенный к компьютеру с соответствующими алгоритмами, может использоваться для автоматизации краж информации о банковских картах непосредственно с банкомата.

В Сан-Франциско на симпозиуме по безопасности Usenix исследователи заявили, что данный метод имеет преимущество над большинством обычных методов скимминга, для которых используются традиционные камеры, чтобы заснять ПИН-код, вводимый пользователями при проведении операций по карте. Клиенты часто, умышленно или случайно, заслоняют обзор камеры своим телом. Поэтому злоумышленникам приходится тратить большое количество времени на просмотр видеозаписей, с целью поиска и регистрации введенных кодов. Тепловидение позволяет сильно ускорить процесс, восстанавливая ПИН-код через некоторое время после того, как он был введен.

Полученные данные основаны на исследовании Майкла Залевски, проведенном в 2005 году. На сегодняшний день Залевски – один из членов команды безопасности Google. Выступавшие на конференции Usenix исследователи, основываясь на технике, представленной Залевски, протестировали 21 человека, которые ввели 27 случайно выбранных ПИН-кодов и выявили, как уровень успешного определения ПИН-кода изменяется в зависимости от типа используемой для ввода клавиатуры или температуры тела человека [27].