Крадіжки даних в великих мережах роздрібної торгівлі за допомогою додаткового пристрою, що встановлюється на POS-систему, або шкідливої програми, що зчитує дані Track 2 з пам'яті каси, дозволяють зловмисникам зібрати дані мільйонів кредитних карт.
Існує безліч способів крадіжки даних кредитних карт через Інтернет, однак найпривабливішим об'єктом атаки є так звані POS-системи - пристрої прийому платежів, в тому числі і за допомогою кредитних карт, встановлені в магазинах та інших точках роздрібного продажу.
За приблизними оцінками, близько 60% всіх покупок, що здійснюються в точках роздрібного продажу, оплачуються за допомогою кредитних або дебетових карт.
Великі точки роздрібного продажу можуть обробляти тисячі таких транзакцій в день, тому POS-системи потрапили під приціл зловмисників, які прагнуть отримати великі обсяги даних кредитних карток.
Існує безліч різних інтернет-форумів, де відкрито, в різних форматах продаються дані кредитних і дебетових карт.
Найпоширеніший з них - CVV2, коли продавець надає номер карти разом з кодом CVV2, який, як правило, надрукований на зворотному боці картки. Цих даних достатньо для здійснення по карті онлайн-покупок.
Однак деякі продавці пропонують і більш прибутковий формат - Track 2. Цим терміном позначаються дані, що зберігаються на магнітній стрічці карти. Ці дані є більш цінними, так як дають можливість зловмисникам клонувати карти і користуватися ними в звичайних магазинах, а при наявності пін-коду - навіть знімати гроші через банкомат.
Цінність такої інформації відбивається в її вартості в Інтернеті, і розкид цін тут великий: ціна однієї карти в форматі CVV2 знаходиться в діапазоні від 5 центів до 10 доларів, а вартість даних Track2 може досягати $ 100 за одну карту.
Яким же чином зловмисники отримують ці дані?
Одним з найпоширеніших способів є скімінг (від англ. Skim - знімати вершки), коли на POS-систему встановлюється додатковий пристрій, що зчитує дані Track2.
Однак цей метод вимагає фізичного доступу до пристрою і дорогого обладнання, що робить реалізацію такої схеми в великих масштабах скрутною.
Щоб обійти ці труднощі, зловмисники звернулися до програмних рішень у вигляді шкідливого коду для POS-систем. Атакуючи головні мережі роздрібної торгівлі, за одну кампанію зловмисники можуть зібрати дані мільйонів кредитних карт.
З того часу ринок шкідливих програм, що зчитують дані Track2 з пам'яті POS-систем, тільки виріс.
Більшість електронних касових систем засновано на ОС Windows, що робить простим створення для них шкідливих програм. Такі програми працюють за схемою memory scraping (букв. «Соскребиваніе пам'яті»), скануючи пам'ять POS-системи на предмет даних, за структурою нагадують Track2-дані.
Коли карткою проводять по терміналу, програма знаходить ці дані і зберігає їх в пам'яті системи, щоб пізніше зловмисник міг здійснити до неї доступ.
Найвідоміший вірус подібного типу - програма під назвою BlackPOS, і вона продається на форумах для кіберзлочинців. Антивірусні продукти Symantec визначають цей шкідливий код як Infostealer.Reedum.B.
Озброївшись шкідливою програмою, хакер повинен вирішити наступне завдання - встановити цю програму на POS-систему.
POS-системи, як правило, не мають прямого доступу в Інтернет, однак той чи інший спосіб підключені до корпоративної мережі. Так що в першу чергу зловмисники намагаються зламати її. Це можна зробити шляхом впровадження SQL-коду або знайшовши підключений до мережі зовнішній пристрій, на якому все ще стоїть стандартний заводський пароль.
Отримавши доступ до мережі, зловмисники за допомогою різних інструментів злому намагаються отримати доступ до сегменту мережі, який відповідає за роботу POS-систем. Після установки шкідливого коду хакери роблять ряд кроків, спрямованих на замітання слідів.
Такі кроки можуть включати в себе очищення log-файлів або маніпуляції з системою безпеки таким чином, щоб зловмисники могли і далі непомітно здійснювати перехоплення.
На жаль, в найближчому майбутньому такі крадіжки, швидше за все, продовжаться.
Крадені дані кредитних карт мають обмежений термін придатності: банки, так само як і наглядові власники карт, швидко помічають підозрілі транзакції і блокують карту. Це означає, що кіберзлочинцям необхідний постійне джерело «свіжих» кредиток.
Гарна новина полягає в тому, що в майбутньому продавці засвоять урок і зроблять кроки щодо запобігання подібного роду атак. Також зміниться і технологія оплати.
У США зараз йде активне впровадження карт типу Chip and Pin. Дана технологія «карт з чіпами» існує і функціонує в Європі і Росії, проте в США вона тільки впроваджується. Такі карти набагато важче клонувати, що робить їх менш привабливою здобиччю для зловмисників.
Немає ніякого сумніву в тому, що зловмисники зреагують на ці зміни і будуть адаптуватися.
Однак, у міру того як нові технології набирають популярність, а компанії, що займаються безпекою, продовжують стежити за активністю зловмисників, здійснення великомасштабних атак на POS-системи буде ставати все більш важким і виразно менш прибутковою справою.
Які ще способи відбирання грошей практикують кіберзлоумишленнікі?
Днями «Лабораторія Касперського» підготувала огляд найбільш поширених прийомів кіберзлоумишленніков, які вони застосовують для крадіжки грошей користувачів.
За даними компанії, в Росії в результаті шкідливої атаки користувач в середньому втрачає близько 76 доларів США, при цьому лише в 28% випадків йому вдається повністю або частково повернути втрачені кошти.
Крадіжка даних від систем онлайн-банкінгу є одним з найпоширеніших способів шахрайства.
Спочатку зловмисники визначать тип системи безпеки банку користувача, знайдуть в ній уразливості і дадуть команду на оновлення шкідливу програму для крадіжки грошей саме з банку користувача.
Насправді, шкідливе ПЗ збирає ці одноразові паролі, що дають повний доступ до системи онлайн-банкінгу жертви.
Ще один спосіб позбавити користувача грошових коштів - вкрасти дані кредитної картки. Як тільки шкідлива програма зауважує, що користувач ввів 16 цифр поспіль, вона тут же починає збирати додаткову інформацію. Спочатку зловмисники отримують номер карти, а потім і все інше: ім'я, прізвище, тризначний код, термін дії.
За тією ж схемою діють зловредів, які крадуть реквізити від онлайн-гаманців: як тільки програма розуміє, що ви ввели номер гаманця, вона починає збирати всю іншу інформацію для здійснення транзакції.
Іноді шахраї діють за іншою схемою: при копіюванні номера гаманця одержувача платежу в буфер обміну (наприклад, через Сtrl + C) вони підміняють номер гаманця, і кошти йдуть не за призначенням.
Програми-вимагачі також активно використовуються зловмисниками для отримання грошей. Подібне шкідливе ПО може зашифрувати файли на комп'ютері або заблокувати доступ до нього, встановивши на екрані картинку-блокер, після чого шахраї вимагають від користувача викуп за дешифрування або розблокування системи.
При такому сценарії для того щоб знову скористатися комп'ютером, жертві доведеться відправити SMS на короткий номер, перевести гроші на мобільний рахунок злочинців, або, наприклад, розплатитися біткоіни. Однак навіть оплата викупу не гарантує відновлення доступу і дешифрування даних.
SMS-шахрайство також залишається одним з найпопулярніших способів крадіжки грошей. Користувачі відправляють повідомлення на короткі номери, щоб скачати фільм або ПО, дізнатися про нову дієті, прочитати гороскоп і т.д.
Найчастіше вони не тільки не отримують запитуваний контент і марно витрачають кошти, але також, не підозрюючи про це, оформляють підписку на який-небудь сервіс, організований шахраями. Такі підписки надалі будуть знімати гроші з рахунку на регулярній основі. Жертва, як правило, не здогадується про існування підписки досить довгий час, так як сума списання може бути невелика.
«Не дивлячись на те що шахраї вигадують все більш витончені способи крадіжки грошей, користувачі, знаючи про хитрощах зловмисників, могли б уникнути фінансових втрат, проявляючи елементарну обережність.