Сетевые мошенники и кардеры изобретают все новые и новые способы похищать деньги со счетов клиентов банков. В этой статье я расскажу о методах, которые преступники используют для обхода системы безопасности банковских карт.
Все способы мошенничества с банковскими картами можно разделить на две категории. Первая — массовые и хорошо известные. Вторую часто называют «белыми китами»: это инциденты, которые случаются раз в 5–10 лет, заканчиваются катастрофой для атакуемых и многомиллионными прибылями для атакующих и поэтому привлекают к себе очень много внимания со стороны прессы и регуляторов. В любом случае основной критерий успеха у кардеров и им подобных жуликов — массовость и простота. Если мошенническую схему легко воспроизвести тысячи раз — это залог финансовой победы над банковской системой и грядущей популярности выбранного метода.
Начнем с атак, с которыми платежным системам и банкам приходится иметь дело регулярно.
Платежи без 3-D Secure
Первое место по распространенности среди мошеннических схем занимают платежи в интернете — они совершаются по схеме card-not-present. В связи с их массовостью платежные гиганты изобрели дополнительный динамический фактор – код 3-D Secure.
Что такое 3-D Secure 3-D Secure — схема дополнительной авторизации онлайновых платежей, использующая три сущности‑домена (отсюда и название 3-Domain Secure): домен интернет‑магазина принимает данные об оплате и переадресовывает пользователя на домен платежной системы, где вводится одноразовый код. Далее результат отправляется на третий домен банка‑эквайера, он сверяет этот код и отправляет запрос, который подтверждает или опровергает транзакцию обратно по цепочке интернет‑магазину.
3-D Secure отлично помогает от массовых мошеннических схем. Однако часть магазинов, в том числе крупных, таких как «Амазон», до сих пор не готова работать с 3-D Secure, который, по их мнению, уменьшает конверсию. А международные платежные системы и не настаивают! Лучше тратить больше — это их девиз. Текущие правила платежей гласят, что, если карта поддерживает 3-D Secure, а магазин эту технологию не поддерживает, в случае опротестования платежа финансовые риски лежат на магазине. Если 3-D Secure не поддерживает карта — на банке‑эмитенте. Поэтому по всему миру голодные мошенники ищут магазины, которые не требуют 3-D Secure.
Иногда это можно воспринимать буквально: в 2018 году в Великобритании выявили одну из мошеннических схем. Злоумышленники опубликовали в социальных сетях объявления о пятидесятипроцентной скидке на доставку пиццы одного крупного бренда. Этот бренд не использовал при оплате 3-D Secure, и платежи выполнялись по купленным на различных маркетах украденным картам. Это давало злоумышленникам выручку в 50% от суммы каждой проданной пиццы. Схема проработала несколько месяцев, прежде чем ее прикрыли.
Атака клонов
Второй по популярности вид мошенничества — создание клона магнитной полосы карты. Он до сих пор остается одним из самых распространенных методов атак на операции с физической картой (так называемые card-present transactions). Как ты знаешь, магнитную полосу чрезвычайно просто клонировать.
К отдельным видам киберпреступлений стоит отнести использование специализированного вредоносного ПО. Атака должна быть легко повторяема и хорошо масштабируема. Именно поэтому злоумышленники заражают устройства, на которых используются тысячи карт каждый день, — операторские машины в крупных супермаркетах.
INFO Так как вся инфраструктура, использующая платежный терминал (POS, Point-of-Sale), называется POS system, то и разновидность этих вредоносов носит название POS malware, несмотря на то что сами POS они заражать не в состоянии. Вместо этого атаке подвергается сама операторская машина — кассовый аппарат (cash register).
В 2013 году американская сеть магазинов Target подверглась крупнейшей атаке. В ней преступники использовали еще не особенно популярную тогда схему «компрометация цепочки поставки». После заражения одного из подрядчиков злоумышленникам удалось проникнуть в сеть супермаркетов, скомпрометировать весь домен Windows и проникнуть в операционную систему непосредственно на кассах. На этих системах запускались так называемые RAM-scraping-трояны, которые сканировали память в поисках паттернов треков магнитной полосы. Когда треки обнаруживались, троян пересылал их на установленный во внутренней сети C&C-сервер, который дальше уже отправлял эту информацию во внешнюю сеть.
INFO Для создания копии магнитной банковской карты потребуется несколько секунд и специальный ридер, купить который можно на Amazon. Далее злоумышленники создают клон и идут с ним в магазины в Америке или Европе. Дампы банковских карт свободно продаются и покупаются на многочисленных хакерских форумах.
Почему же клонированные магнитные карты до сих пор так популярны, несмотря на то что практически все они сейчас оснащены чипом? Все проще простого: во многих американских магазинах до сих пор можно расплатиться картой, оснащенной чипом, просто проведя транзакцию с использованием магнитной полосы. В последние 5–10 лет это, как ни странно, самый отсталый рынок, из‑за которого магнитная полоса до сих пор присутствует на банковских картах.
Если же платежный терминал вдруг откажется принимать магнитную полосу сразу, есть схема, работающая в обеих Америках и Европе, — technical fallback. Эта техника заключается в том, что злоумышленник трижды вставляет в банкомат или терминал карту с несуществующим чипом и после третьей неуспешной попытки чтения терминал точно предложит провести операцию по магнитной полосе.
В любом из этих случаев ответственность по правилам лежит на магазине, выполнившем такую высокорисковую операцию. Тем более платежные системы, такие как MasterCard, чтобы избежать имиджевых рисков, рекомендуют отклонять транзакции, пришедшие в режиме technical fallback. Никому не хочется выяснять, была ли на самом деле у клиента украдена карта, или он просто захотел не тратить деньги и объявить о мошеннической операции. Еще меньше хочется объяснять разозленным клиентам, почему по их картам купили телевизоры за тысячи долларов и в сотнях километров от их реального местоположения.
А что в России?
В России терминалы не должны принимать к оплате магнитную полосу, если карта оснащена чипом. И даже technical fallback должен быть под запретом. Однако есть неприятные исключения. На подпольных форумах недавно обсуждали, что сеть «Ашан» имеет терминалы, принимающие операции по technical fallback. В любом случае, даже если хакеры не могут использовать русские карты в России, им никто не мешает продавать эти данные другим хакерам в Европе или Америке для дальнейшей монетизации.
Офлайновые транзакции по чипу и атаки на аутентификацию
По правилам современных платежных систем 99,9% операций по картам должны совершаться онлайн — с подтверждением криптограммы на стороне банка‑эмитента. Исключения — это метро, оплаты в самолетах и на круизных лайнерах. То есть там, где интернет доступен с перебоями либо нет возможности подолгу ждать ответа от банка‑эмитента, как, например, у турникетов метро. Да и когда создавались протоколы EMV, множество платежных систем работало в офлайне по так называемым Floor limit — операции выше этих лимитов должны были подтверждаться онлайн, а ниже — проходили в локальном режиме, то есть подтверждались самим терминалом. Еще 5–10 лет назад количество таких терминалов, особенно в странах Латинской и Северной Америки было достаточно велико, чтобы массово пытаться атаковать недостатки офлайновой аутентификации карт.
БЕЛЫЕ КИТЫ
Именно для защиты от массового и простого мошенничества когда‑то были изобретены карты с чипом и подтверждение транзакций с помощью кода 3-D Secure. Эти методы защиты не идеальны, у них были свои проблемы, о которых эксперты предупреждали с самого начала. Однако такие карты до сих пор не удается массово взламывать, а когда атака получается, она больше похожа на блицкриг — все происходит в считаные дни или часы. Небольшая группа злоумышленников получает максимум прибыли и исчезает с горизонта. Именно поэтому каждый случай или новая схема вызывают у экспертов большой интерес.
Такие случаи мы будем называть белыми китами. Это инциденты, которые случаются раз в 5–10 лет, заканчиваются катастрофой для атакуемых банков и многомилионными прибылями для атакующих и поэтому привлекают к себе очень много внимания со стороны прессы и регуляторов. Я расскажу о нескольких видах подобных атак, чтобы наглядно проиллюстрировать фундаментальные недостатки технологий карточных платежей.
Распределенные атаки на подбор карточных реквизитов
Такие атаки часто называют BIN Master attack или distributed guessing attack. Эти названия они получили благодаря самому громкому случаю, который произошел в 2016 году. Тогда английский банк Tesco подвергся распределенной атаке такого масштаба, что им пришлось выключить карточные платежи на 48 часов. За несколько дней злоумышленникам удалось украсть 22 миллиона фунтов с 20 тысяч карт. Как уже упоминалось, эти данные легко могут использоваться для оплаты в интернет‑магазинах, не оснащенных 3-D Secure. Однако тут есть нюанс: в 2018 году регулятор оштрафовал банк на 16 миллионов фунтов за атаку 2016 год, — скорее всего, это указывает на то, что сами карты не были оснащены 3-D Secure.
INFO Правила, называемые 3-D Secure Liability shift, определяют ответственную сторону в случае мошеннических операций: если банк не оснащает карты 3-D Secure, ответственность за мошенничество лежит на банке. Если карты, оснащенные 3-D Secure, используются, например, в Amazon, где данная технология не применяется, ответственность лежит на интернет‑магазине.
Как хакеры подбирают полные реквизиты карт?
Предположим, у нас есть одна карта — наша. Ее номер состоит из нескольких частей. Первые шесть цифр называются BIN — bank identification number. Один и тот же BIN при этом может принадлежать более чем одному банку, кроме того, у банка может быть несколько BIN Range. Однако это главная отправная точка, от которой и пошло название атаки. Последняя цифра также вычисляется по алгоритму контрольной суммы «Луна».
Предположим, наша карта имеет номер 1234 5678 1234 5670. Следующая карта из этого диапазона, согласно алгоритму, будет заканчиваться на 5688, затем 5696 и так далее. Существует ненулевая вероятность того, что карты 5688 и 5696 существуют и активны.
Теперь необходимо выяснить значение поля Expiry Date. Если банк выдает номера карт последовательно, то, значит, следующий клиент банка, которому выпустили карту после тебя, будет обладать номером 5688. Если банк большой и открывает сотни карт каждый день, скорее всего, поле Expiry Date совпадет с таковым на твоей карте либо будет отличаться на один месяц. Для защиты от подобного подбора значений платежные системы рекомендуют внедрять рандомизацию PAN — выдавать их не последовательно, а случайно. Тогда хакерам будет сложнее узнать Expiry Date карты 5688.
Но нерешаемых задач нет. Существует множество банковских сервисов, которые помогают подобрать связку полей PAN / Expiry Date. Среди них — система восстановления пароля или логина мобильного банка, регистрация в системе ДБО, возврат денежных средств в платежном эквайринге. И наконец, осталось угадать три цифры с обратной стороны карты — CVV2/CVC2. В конце 2014 года, когда исследователи из Университета Ньюкасла впервые провели анализ атаки на банк Tesco, они обнаружили, что 291 из 400 самых популярных онлайновых сервисов дает возможность перебирать поле CVV2. Это неудивительно: ведь деньги не принадлежат владельцам этих сервисов. Сервис — лишь инструмент для атакующего. Значит, у злоумышленников всегда будет достаточно инструментов для перебора реквизитов банковских карт. Например, в 2019 году подобная уязвимость была устранена в платежном модуле Magento CMS для PayPal.
Другая часто применяемая злоумышленниками разновидность этой атаки — это использование подобранных реквизитов для выпуска мобильного кошелька Google Pay или Apple Pay. Ирония заключается в том, что один из самых громких случаев мошенничества был направлен на сами магазины Apple. Дело в том, что множество банков (опять‑таки в Америке) не требуют дополнительной верификации с помощью одноразового кода или звонка в банк при выпуске мобильного кошелька Apple Pay. Это означает, что, зная только номер карты, срок ее действия и код CVV2, можно выпустить полноценную виртуальную карту, с помощью которой уже можно расплачиваться по всему миру, а не только в США.
Существует еще одно средство защиты платежей категории card-not-present. Оно называется address verification system. В этом случае при совершении платежа платежная система сверяет еще и цифры из почтового индекса и адреса, по которому зарегистрирована карта (postcode / billing address). Такой же системой могут быть оснащены платежные терминалы, поддерживающие метод PAN Key Entry. ЗАКЛЮЧЕНИЕ По оценкам Positive Technologies, до 50% банков до сих пор не защищает своих клиентов от подбора значений CVV2 и Expiry Date. Именно поэтому трудяги из стран Латинской Америки так активно занимаются поиском по всему миру карт и банков, уязвимых к данным атакам.
Тимур Юнусов, xakep.ru
2021 г