Кражи с банковских карт с помощью RFID и виртуальные карты

Loading

Анатолий Белов, Екатерина Аликина

   

Хакеры научились красть деньги с карт “по воздуху”


  • В 2015 г. мошенники украли до 2 млн руб. с банковских карт россиян при помощи новой технологии, которая позволяет “вытягивать” деньги с карточек, оснащенных системой бесконтактной оплаты товаров. Такие данные приводит компания Zecurion.

 

Специалисты различных компаний, специализирующихся на IT-безопасности и принявших участие в опросе, утверждают, что мошенники научились воровать деньги с карт с помощью специальных усовершенствованных RFID-ридеров вроде тех, которые используются на кассах магазинов для оплаты товаров.

Технологии бесконтактной оплаты товаров разработаны американскими платежными системами Visa (PayWave) и MasterCard (PayPass) для ускорения и упрощения безналичной оплаты покупок. Карты с технологией PayPass выпускает 43 крупных российских банка, карты c PayWave — 16.

Технологии PayPass и PayWave применяются на картах с чипом и магнитной полосой. При расчетах такой картой не нужно вводить PIN-код, а также ставить подпись на чеке, если сумма покупки небольшая (до 1 тыс. руб.). По оценкам Zecurion, карты с бесконтактной технологией оплаты есть у 2 млн россиян. Заявлено, что в России больше 30 тыс. точек приема PayPass: предприятия транспорта, торговли, сферы услуг.

PayPass и PayWave начали распространять в России в 2008 г., но до сих пор широкого распространения они не получили: небольшое количество банков, эмитирующих такие карты, объясняется сложностью и дороговизной этой технологии, да и сама карта стоит дороже обычных на 50–100% (в зависимости от дизайна и типа карты).

Суть схемы похожа на перехват сигналов электрозамков угонщиками автомобилей. Как сообщили в Zecurion, средства с карт PayPass и PayWave списываются мошенниками с помощью самодельных считывателей, способных сканировать банковские карты с чипами RFID.

“Хакерский ридер очень похож на легальное устройство, но он отличается более продвинутой функциональностью, — рассказал “Известиям” руководитель аналитического центра Zecurion Владимир Ульянов. — Злоумышленнику достаточно приблизить на 5–20 см такое устройство к карте с чипом RFID, как вся необходимая информация будет считана”.

В переполненном транспорте, на рынке, в магазине сделать это нетрудно. Человек может даже не заметить этого. Полученные данные мошенники записывают/передают на карты-клоны — для дальнейших операций, которые влекут за собой хищения средств с подлинных банковских карт.

Но замдиректора департамента аудита защищенности компании Digital Security Глеб Чербов успокаивает: защититься от мошеннической атаки не так сложно.

“Существуют кошельки, которые защищают карту от считывания (RFID blocking wallet), появились карты, которые кладутся в кошельки рядом с собственными — по цене около 500 рублей, — говорит Чербов. — Также пользователям новых карт можно посоветовать придерживаться давно известных рекомендаций относительно того, чтобы быть внимательными с SMS-информированием и соблюдать другие известные правила при проведении транзакций”.

 

Первый зампредседателя правления Сбербанка Лев Хасис заявил 9 декабря журналистам, что по итогам 2015 г. потери России от киберпреступности составили $1 млрд.

“Это моя личная оценка — около 70 млрд рублей. Это общие потери государства, бизнеса и граждан от действий киберпреступности. Предпосылок для уменьшения этого ущерба не вижу”

— сказал Хасис.

По словам главного антивирусного эксперта “Лаборатории Касперского” Александра Гостева, эта цифра “похожа на правду”.

“По нашим данным, потери России от киберпреступности составляют около $700 млн”

— сказал он. Гостев отметил, что в эту сумму не вошел ущерб от действий кибергруппировки Carbanak. От ее действий пострадали более 100 банков во всем мире, в том числе в России, а ущерб для всего мира оценивается в $100 млрд.

По мнению гендиректора “Лаборатории Касперского” Евгения Касперского, несколько лет назад ущерб от киберпреступности в мире составлял $100 млрд.

“На долю России можно записать около 2%. С тех пор ситуация, скорее всего, только ухудшилась”

— сказал Касперский.


Справка

  • RFID или Radio Frequency IDentification (радиочастотная идентификация) — это метод удаленного хранения и получения информации путем передачи радиосигналов с помощью устройств, называемых RFID-метками.

Краткое описание технологии RFID читайте на сайте SNEG в материале “RFID-технология(раздел “Наука и образование”, категория “Техника и технологии”).

 


 

Защита от хакера: как работают виртуальные карты

 



Фото: Юрий Смитюк/ТАСС

 


  • Похищение денег с банковских карт становится все более распространенной проблемой. Чтобы не компрометировать счета, банки стали предлагать виртуальные карты. Как они работают и стоит ли ими пользоваться?

 

Нашествие мошенников

4 февраля 2016 года глава управления «К» по борьбе c преступлениями в сфере компьютерной безопасности МВД России Алексей Мошков сообщил о задержании преступной группы, которая попытались украсть 1,5 млрд руб. практически из всех банков России. Для вывода средств со счетов была создана и зарегистрирована собственная платежная система.

По данным компании Group-IB (занимается расследованием киберпреступлений), количество мошеннических операций в интернете в прошлом году выросло в 3 раза.

Согласно исследованию, выпущенному в 2015 году, ежедневно хакеры похищают у физлиц 153 тыс. руб. В 2016 году ситуация станет еще хуже, предсказывает компания Digital Security.

Украденные деньги банки возвращают очень неохотно. Обычно в компрометации карты кредитные организации винят клиентов. Поэтому о сохранности денег лучше заботиться самостоятельно.

Сделать это можно, используя отдельную карту для оплаты в интернете, советует руководитель разработки карточных продуктов группы Бинбанка Никита Игнатенко. Главное условие — у карты должен быть отдельный счет.

«На карту, которая будет использоваться для расчетов, можно с легкостью переводить необходимые средства, к примеру, со своей зарплатной карты через интернет-банк»

— говорит Игнатенко. Самый простой способ — завести виртуальную карту.


Как работает

Виртуальная карта — это фактически набор цифр. Она не имеет физического носителя. Пользователю просто выдаются 16-значный номер карты, срок ее действия и коды безопасности CVV2 или CVC2 (на пластиковых картах они обычно написаны сзади).

Из 15 крупнейших розничных банков виртуальные карты выпускают 8. Райффайзенбанк планирует запустить такие карты, рассказывает начальник отдела развития электронного бизнеса Райффайзенбанка Наталия Масарская.

Обычно такие карты действуют всего несколько месяцев.

«Банки, как правило, предлагают короткий период действия таких карт, потому что она имеет высокую вероятность компрометации»

— поясняет Масарская.

Хотя некоторые банки выпускают такие карты на год или больше. Например, так поступают Сбербанк и Газпромбанк.

Чтобы выпустить виртуальную карту, нужно быть клиентом банка. Как правило, кредитные организации требуют, чтобы у гражданина был открыт дебетовый счет. В более редких случаях, как, например, в МКБ, достаточно открыть депозит или оформить кредит.

Виртуальные карты можно выпустить через банкомат, в интернет или мобильном банке. Если гражданин решает оформить карту через банкомат, то получает бумажный чек, где указаны все необходимые данные: имя клиента, срок действия, номер карты, код безопасности и доступный остаток.

Если оформление проходит через интернет-офис, то те же самые данные выводятся на экран в электронном виде. Далее процесс оплаты происходит также, как и по обычной карте, но только в тех сервисах, которые не требуют предъявление пластика.

Часть банков предлагают своим клиентам выпустить карточку бесплатно, среди них — Промсвязьбанк, МКБ и «Русский стандарт». У остальных стоимость обслуживания варьируется от 30 руб. (в Россельхозбанке) до 85 руб. (в Газпромбанке).

По виртуальной карте часто предусматривается лимит. В некоторых кредитных организациях лимит устанавливается самим банком, в некоторых — это может регулировать сам клиент. Например, в Промсвязьбанке по виртуальной карте устанавливается лимит 300 тыс. руб. в месяц, в «Русском стандарте» — 100 тыс. руб., в Альфа-банке — $1 тыс.


Стоит ли пользоваться

К сожалению, от атак хакеров, направленных на системы самого банка, такая карта не защитит, комментирует замруководителя лаборатории по компьютерной криминалистике Group-IB Сергей Никитин.

От вирусов и троянов она также бессильна. «К сожалению, от такого вида мошенничества виртуальная карточка защитить не сможет, — говорит Никитин. — Если вы заражены, то чем бы вы ни пользовались, карта будет компрометирована».

Зато она защищает от мошенничества с самой картой и ее реквизитами. Для виртуальной карты нельзя создать дубликат, нельзя сфотографировать или записать ее данные.

«Для покупок в проверенных интернет-магазинах, с хорошей репутацией и 3D-secure, можно пользоваться обычной картой, рекомендует начальник управления депозитных и расчетных продуктов Банка Хоум Кредит Надежда Куликова. — Если же вы сомневаетесь в репутации сайта, где планируете покупку, то лучше воспользоваться виртуальной картой».

Можно выпускать ее чуть ли не на каждую покупку — небольшая стоимость виртуальной карты позволяет это сделать, считает Масарская.


Виртуальные карты в различных банках

Банк  /  Лимит  /  Стоимость обслуживания  /  Максимальный срок действия, мес.    

        Московский кредитный банк  /  Нет  /  Бесплатно  /  72    

        Россельхозбанк  /  Нет  /  30 руб. за выпуск  /  24    

        Сбербанк  /  Нет  /  60 руб. в год  /  36    

        Газпромбанк  /  Нет  /  85 руб. в год  /  24    

        Банк Москвы  /  Нет  /  60 руб.  /  6    

        Альфа-банк  /  $1 тыс.  /  49 руб. за выпуск  /  2    

        «Русский стандарт»  /  100 тыс. руб.  /  Бесплатно  /  72    

        Промсвязьбанк  /  300 тыс. руб. в месяц  /  Бесплатно  /  3


 

Loading

Общая оценка материала: 4.9
Оценка незарегистрированных пользователей:
[Total: 1 Average: 5]