Войти
, ,
22.01.2016
Артемий Земляника

Мошенники научились воровать деньги с карт с помощью смартфонов

Количество просмотров: 2843

Вернуться к списку статей

В России появился новый вид мошенничества — кража денег с карт россиян, оснащенных технологиями бесконтактной оплаты товаров (карта прикладывается к PoS-терминалу, сумма покупки списывается с «пластика»). По данным компании Zecurion, мошенники увели с карт россиян с помощью своих самодельных терминалов (RFID-ридеров) 2 млн рублей в 2015 году. Опрошенные компании, специализирующиеся на IT-безопасности, отметили, что мошенники научились воровать с карт с помощью смартфонов, оснащенных чипами NFC (NFC — разновидность RFID).

bd054d42.jpg

Технологии бесконтактной оплаты товаров разработаны американскими платежными системами Visa (PayWave) и Mastercard (PayPass) для ускорения и упрощения безналичной оплаты покупок. Карты с технологией PayPass выпускает 43 крупных российских банка, карты c PayWave — 16. Технологии PayPass и PayWave применяются на картах с чипом и магнитной полосой. При расчетах такой картой не нужно вводить PIN-код, а также ставить подпись на чеке, если сумма покупки небольшая (до 1 тыс. рублей). По оценкам Zecurion, карты с бесконтактной технологией оплаты есть у 2 млн россиян. Заявлено, что в России больше 30 тыс. точек приема PayPass: предприятия транспорта, торговли, сферы услуг.

Visa и Mastercard на своих сайтах, посвященных PayPass и PayWave, предусмотрели правила безопасности, но они не отличаются от тех, что выработаны для классических банковских карт (PIN-код должен быть неочевидным; его не следует писать на обратной стороне «пластика»; карта всегда должна быть в поле зрения, а телефоны для связи с банком — под рукой). PayPass и PayWave начали распространять в России в 2008 году, но до сих пор широкого распространения не получили: небольшое количество банков, эмитирующих такие карты, объясняется сложностью и дороговизной этой технологии, да и сама карта стоит дороже обычных на 50–100% (в зависимости от дизайна и типа карты).

Суть схемы похожа на перехват сигналов электрозамков угонщиками автомобилей. Как сообщили в Zecurion, средства с карт PayPass и PayWave списываются мошенниками с помощью самодельных считывателей, способных сканировать банковские карты с чипами RFID (см. фото). По большому счету это аналоги легальных бесконтактных PoS-терминалов: RFID-ридеров, посылающие электромагнитные сигналы.

5b8a987ae141.jpg

— Хакерский ридер очень похож на легальное устройство, но он отличается более продвинутой функциональностью, — рассказал «Известиям» руководитель аналитического центра Zecurion Владимир Ульянов. — Злоумышленнику достаточно приблизить на 5–20 см такое устройство к карте с чипом RFID, как вся необходимая информация будет считана.

В переполненном транспорте, на рынке, в магазине сделать это нетрудно. Человек может даже не заметить «воровства». Полученные данные мошенники записывают/передают на карты-клоны — для дальнейших операций (влекут хищения средств с подлинных банковских карт).

Стоимость легального считывателя для PayPass и и PayWave — от 20 тыс. рублей. Но надо понимать, что хакерам для считывателя нужно немного, а компоненты не очень сложно заказать. Стоимость RFID-ридеров, которыми пользуются хакеры для воровства денег с банковских карт россиян, составляет $100, — их хакеры изготавливают самостоятельно. Самый примитивный считыватель состоит из специального контроллера, антенны для приема сигнала и интерфейса для подключения к компьютеру и программного обеспечения на самом компьютере.

Как указывает замдиректора департамента аудита защищенности компании Digital Security Глеб Чербов, мошенникам достаточно бесконтактно получить номер карты и дату окончания срока ее обслуживания.

— Этих данных уже достаточно для проведения трансакций через подставные интернет-площадки или изготовления дубликата магнитной полосы карты, также достаточного для списания средств, — поясняет Чербов. — Из доступной «по воздуху» информации для злоумышленников также представляет интерес и история операций по карте, включающая в себя точные суммы и даты списаний. Располагая этими данными, несложно составить примерный профиль владельца и предположить текущий остаток по счету. У мошенников есть и более дешевые способы кражи данных с бесконтактных карт — обычный смартфон с поддержкой NFC. Им можно с расстояния в несколько сантиметров воровать данные банковских клиентов.

Но Чербов успокаивает, что защититься от мошеннической атаки не так сложно.

— Существуют кошельки, которые защищают карту от считывания (RFID blocking wallet), появились карты, которые кладутся в кошельки рядом с собственными — по цене около 500 рублей, — говорит Чербов. — Также пользователям новых карт можно посоветовать придерживаться давно известных рекомендаций относительно того, чтобы быть внимательными с SMS-информированием и соблюдать другие известные правила при проведении трансакций.

cb798912fd22.jpg

По словам замруководителя блока операционного и IT-сопровождения Бинбанка Игоря Новожилова, бесконтактное мошенничество пришло из Европы.

— Сложно предсказать потенциальный объем хищений, но с ним однозначно можно бороться, — уверен Новожилов. — Считывающее устройство должно быть поднесено практически вплотную к карте. Эта особенность уже обеспечивает определенный уровень защиты. Сложно представить, как кто-то допустит, чтобы по его карманам водили сканером. А если в кошельке две и более бесконтактных карты, то это только усложняет задачу считывания. Также можно менять порог суммы оплаты для ввода PIN-кода. Сама технология разрабатывалась для быстрых покупок на маленькие суммы, например оплата городского транспорта, прессы в ларьке и т.п.

Оригинал: Известия

Вернуться к списку статей
04.09.2012
Почему пароли как никогда слабы, а взломщики – сильны

Количество просмотров: 4458

Искусство взлома паролей в течение последних 5 лет продвинулось в развитии дальше, чем за несколько предыдущие десятилетий вместе взятых. В то же время, опасность практики повторного использования паролей выросла. В результате уровень безопасности, обеспечиваемый стандартным паролем, в 2012 году стал как никогда низким.

06.09.2012
Спамеров и интернет-преступников можно с легкостью вычислить при помощи нового алгоритма

Количество просмотров: 2548

Швейцарские ученые разработали алгоритм, с помощью которого можно определить вероятный источник онлайн-атак, используя данные всего лишь 10% сетевых соединений.

19.02.2014
Главные двигатели рынка информационной безопасности 2013/2014

Количество просмотров: 2855

Интернет-портал PC Week/RE провёл опрос среди читателей и экспертов отрасли. В центре внимания — российский рынок информационной безопасности 2013 года и его ближайшие изменения. В нашей статье мы представляем главные перспективы и проблемы отрасли.

21.08.2013
Приказ ФСТЭК № 17: комментарии экспертов

Количество просмотров: 5605

Февраль 2013 года был отмечен выпуском сразу двух Приказов ФСТЭК, оба из которых непосредственно касались защиты информации и безопасности персональных данных.Приказом ФСТЭК России от 11 февраля 2013 года № 17 были утверждены требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. IT-блогосфера буквально взорвалась от комментариев касательно этого законодательного акта. Рассмотрим самые на наш взгляд важные и полезные посты, которые помогут разобраться в Приказе, действие положений которого вступит в силу с 1 сентября 2013 года.

14.05.2012
Я бы в хакеры пошел, пусть меня научат!

Количество просмотров: 4902

Создание вирусов, организация DDoS-атак, переполнение буфера – все это будоражит ваше воображение? Но при этом присоединиться к компьютерным гениям, нарушающим информационную безопасность, не позволяют моральные убеждения? Мы знаем, как направить профессиональные знания и креативное мышление в нужное русло.

22.03.2013
Secret Disk: обзор возможностей

Количество просмотров: 3458

Потерять электронные данные легко. Они могут быть скопированы через бесплатные беспроводные сети, при ремонте в сервисном центре, в офисе или общественных местах. Вы даже не узнаете о манипуляциях… Антивирусы? Не помогут. Они не  защищают от физической кражи информации. Что будем делать?

09.06.2015 12:08:00
98% компаний подвергаются атакам киберпреступников

Количество просмотров: 2587

Управляющий директор «Лаборатории Касперского» в России, странах Закавказья и Средней Азии Сергей Земков об основных тенденциях и перспективах развития рынка информбезопасности

18.04.2017 11:57:00
Банк России предложил создать online-базу доверенностей на основе блокчейна

Количество просмотров: 951

Защититься от мошенников, снимающих средства с чужих счетов с помощью поддельных документов, финансовым организациям поможет блокчейн. Банк России направил Минэкономразвития и Минкомсвязи предложение о создании централизованной online-базы нотариально заверенных доверенностей на основе блокчейна.

18.07.2017 09:40:38
Google постепенно отказывается от двухэтапной аутентификации через SMS

Количество просмотров: 1047

Google постепенно отказывается от двухэтапной аутентификации через SMS. Начиная с этой недели, компания Google будет предлагать пользователям более надежный способ двухэтапной аутентификации.

07.05.2013
Аэрофлот vs ВТБ — на войне все средства хороши!

Количество просмотров: 2701

Врублевский Павел Олегович, владелец платежной системы «Chronopay», обеспечивающей 45 % платежей по банковским картам в российском интернете, оказался подозреваемым № 1 в судебных разборках между ВТБ-24 и ОАО «Аэрофлот». Напомним, что летом 2010 года система онлайн-покупки билетов авиакомпании была недоступна из-за хакерской атаки.

22.09.2012
Хакеры дают мастер-класс по обеспечению информационной безопасности

Количество просмотров: 3074

Пользователи зачастую сами создают условия для несанкционированного доступа к своим личным данным. И виной тому банальная лень и глупость, так считают хакеры, решившие поделиться своими знаниями и опытом, стоящие, так сказать, по другую сторону баррикад.

09.06.2015 11:26:00
Безопасность банковских приложений

Количество просмотров: 2311

Согласно отчету State of Mobile App Security, банковские приложения больше всех подвержены хакерским атакам и чаще всего имеют незащищенный код. Удивительно, но факт. Это создает почву для самых разных видов мошенничества – от подмены приложения прямо в магазине до перехвата данных пользователя.

09.06.2015 12:08:00
98% компаний подвергаются атакам киберпреступников

Количество просмотров: 2587

Управляющий директор «Лаборатории Касперского» в России, странах Закавказья и Средней Азии Сергей Земков об основных тенденциях и перспективах развития рынка информбезопасности

Возврат к списку