Данные любой банковской карты можно украсть за 15 минут

19.11.2018

Во всех банкоматах возможна атака с целью перехвата данных платежной карты — выяснили специалисты Positive Technologies. Рассказываем, как действуют злоумышленники, чтобы вы были на стороже.

Долгое время преступники использовали физические накладки на картридер — скиммеры, которые считывали информацию непосредственно с магнитной полосы. На сегодняшний день банки научились защищаться от таких атак и повсеместно устанавливают средства антискимминга. Тем не менее похитить данные карт можно и без использования скиммеров, причем на проведение такой атаки, если иметь доступ в сервисную зону банкомата, преступнику понадобится в среднем 15 минут.

На банковской карте присутствует магнитная полоса, которая содержит информацию, необходимую для проведения операций. На дорожках карты хранятся номер карты, дата окончания срока действия, сервисный код, имя владельца, а также другие значения вроде PIN Verification Value, Card Verification Code и Card Verification Value. Для оплаты с помощью магнитной полосы через платежный терминал или снятия наличных в банкомате устройству необходимо считать дорожку с этой информацией.

Чтобы похитить данные банковской карты, преступнику нужно скопировать информацию, записанную на дорожку. Эти данные можно продать мошенникам или  использовать для изготовления дубликатов карт.

Перехватить данные можно во время их передачи между OC банкомата и картридером. В ходе такой атаки в процесс подключается стороннее устройство, которое перехватывает содержимое дорожек магнитной полосы платежных карт. Но чтение данных из картридера возможно и без использования аппаратного устройства, а через установленную злоумышленником вредоносную программу. По данным Positive Technologies такие атаки возможны в 100% исследованных банкоматов.

«После запрета ЦБ РФ на использование карт только с магнитной полосой уровень мошенничества по картам стал заметно снижаться. Однако за рубежом можно встретить магазины, которые не принимают ни карты с чипом, ни бесконтактную оплату (NFC).

Вспомните, когда последний раз вам приходилось «свайпать» (проводить магнитной полосой) карту где-нибудь в России. Наверняка, это было очень давно. А вот при недавней поездке за рубеж вас точно хотя бы однажды просили «свайпнуть» карту при оплате, отказывались принимать бесконтактный платеж или даже предлагали подписать чек, выдаваемый терминалом, что, согласитесь, у нас большая редкость».

Руководитель группы исследований безопасности банковских систем Ярослав Бабин.

В большинстве случаев злоумышленнику, для того чтобы воспользоваться вашей картой, нужно спровоцировать так называемый технический отказ в обслуживании (technical fallback), когда «по техническим причинам» не удается использовать чип. В этом случае продавец предлагает совершить оплату по старинке, с помощью магнитной полосы. Так что злоумышленнику ничего не стоит украсть описанными в отчете способами данные карты у клиента российского банка (или купить их в дарквебе) и совершить оплату уже где-нибудь за рубежом.

В общем, мы не советуем вам использовать карты с магнитной полосой, а деньги лучше всего снимать в официальных отделениях банка, а не в уличных автоматах, к которым каждый имеет доступ.

Читайте также:

Фото: rawpixel.com