2022/05/26 01:34:28

Скимминг (Шимминг)
Skimming (Shimming)

Скиммеры банковских карт – устройства, используемые злоумышленниками для воровства данных банковских карт при пользовании банкоматами и платежными терминалами. Эти устройства выглядят как накладки на кардридер, выполненные в соответствии с дизайном банкомата. Хоть скиммеры и «мимикрируют» под настоящие кардридеры, они достаточно громоздки – будучи внимательными, их сравнительно легко определить и снять с банкомата, что невыгодно для мошенников.

Содержание

Скимминг

Один из самых популярных в Европе и Америке способов хищения денег: только с 2014 по 2015 год объем аппаратного и программного скимминга увеличился в 5,5 раза (по данным FICO Card Alert Service). Однако в России его популярность не настолько велика. Во-первых, в силу меньшего количества банкоматов в нашей стране в целом (в 2015-м в России было зафиксировано 200 тысяч устройств против 425 тысяч в США), а во-вторых, из-за малого числа платежных терминалов, принимающих карты только с магнитной полосой. В большинстве случаев в России используются универсальные терминалы, которые принимают карты с магнитной полосой и карты с чипом. Одна из вероятных причин этого в том, что чиповая карта была признана ЦБ более защищенной, и с 1 июля 2015 года ЦБ обязал банки выпускать расчетные и кредитные карты, оснащенные микропроцессором[1].

Долгое время для совершения краж из банкоматов злоумышленники успешно пользовались физическими накладками. Их эволюцию можно проследить от тонких накладок внутри банкомата, до огромных искусственных панелей, полностью эмулирующих фронтальную панель банкомата. Механика кражи максимально проста: на кардридер банкомата накладывается скиммер, с помощью которого злоумышленник считывает все данные с магнитной полосы. При этом одни скиммеры работают по принципу накопления считанной информации о пользователях, другие же сразу передают информацию о картах мошенникам по радиоканалу (на миниатюрное принимающее устройство или непосредственно на свою принимающую аппаратуру). Кроме этого, к банкомату крепится фальшивая клавиатура, нажимая на которую владелец кредитной карты передает в руки мошенников PIN-код. Еще одно средство получения информации, которым пользуются злоумышленники,─ скрытые видеокамеры, установленные неподалеку от банкомата.

Злоумышленникам далеко не всегда нужно узнавать сам PIN-код карты, так как основной дорожки магнитной банковской карты (Track2) достаточно для создания копии карты, которую часто можно использовать для оплаты в магазинах, POS-терминалах или при онлайн-платежах. Track2 содержит всю информацию о карте: PAN — номер карты, expiration date — срок ее действия, а также зашифрованный PIN-код.

Распространенность таких способов хищений привела к тому, что производители банкоматов и сторонние вендоры стали устанавливать активные или пассивные средства антискимминга, что позволяет эффективно бороться с воровством такого типа. Хотя кое-что антискимминговое оборудование все же пока не научилось определять: например, одну из самых незаметных накладок — ту, что стоит в шине между считывателем карт и компьютером банкомата и сохраняет у себя данные считаных карт.

Еще одной преградой для любителей физического скимминга стало введение уголовной ответственности за кражу данных карт в банкоматах. За незаконные действия преступникам теперь грозят наказания различного типа в зависимости от степени тяжести преступления (от штрафов до лишения свободы). Именно поэтому самые активные хакеры постепенно переходят на новый уровень.Рынок IIoT в РФ: рост или тупик?

Без контакта

Операции с картами в банкоматах зачастую предполагают передачу данных магнитной полосы Track2 в открытом виде. Например, если сетевое соединение между банкоматом и процессингом не защищено шифрованием, то украсть номер карты не представляет большой трудности: накладки, которые прослушивают трафик, передающийся от банкомата в процессинговый центр, организовать гораздо проще, чем вскрывать и модифицировать сам банкомат.

В этом случае, к примеру, не сработают системы видеонаблюдения в банкомате, контроля открытия сервисной зоны и другие средства физической защиты.

Хакеры изобрели вредоносное ПО, способное незаметно снимать данные карточек на протяжении месяцев. И это ненамного сложнее, чем атаки с использованием другого вредоносного ПО, которое, например, «заставляет» банкомат выдать все содержащиеся в нем купюры по специальной команде.

В целом есть определенная зависимость: чем сложнее грабить банкоматы, тем больше злоумышленники склоняются к «долгой игре» (которая сейчас характерна для APT-атак). Злоумышленник ставит перед собой задачу максимально долго оставаться незамеченным и все это время снимать карточные данные в банкоматах, которые в дальнейшем будут использоваться для мошеннических операций. К слову, по статистике, в России на один банкомат в течение квартала приходится более 6000 операций. Если принять каждую операцию за потенциальную возможность «съема» карточных данных, то нехитрые математические действия (умножение на число охваченных банкоматов и время присутствия в сети злоумышленника) позволят спрогнозировать весьма существенный объем скомпрометированных данных.

Используя методики социальной инженерии или другие атаки на периметр банка, хакеры запросто проникают в банковскую сеть: по нашей статистике, в среднем до трети сотрудников открывают письма с вложениями, способными заразить их компьютеры, и это при том, что для успешности атаки достаточно открыть одно-единственное письмо. В 47% случаев периметр организации можно преодолеть, используя уязвимости веб-приложений.

После проникновения во внутреннюю сеть банка злоумышленникам остается получить доступ к определенной подсети банковского процессинга, где находятся данные всей сети банкоматов. Там же можно узнать, какие из банкоматов могут быть не защищены от критических уязвимостей или работают без межсетевого экрана. Это позволит заразить любой банкомат и извлечь деньги из каждого из них в любой момент. По схожему сценарию произошло ограбление государственного банка GSB в Тайланде. Кстати, чтобы остановить попытки незаконного снятия денег со случайного банкомата, в этом конкретном случае пришлось отключить половину всей банкоматной сети (более 3000 устройств).

В октябре 2017 года в США осужден[2] уроженец Иордании Атеф Альхатиб, который несколько лет занимался скиммингом. Разъезжая по городам Южной Калифорнии, он размещал на банкоматах устройства для считывания информации с магнитных полос карт, а также устанавливал скрытые видеокамеры в зоне видимости банкоматов – это позволяло ему узнавать PIN-коды. У себя дома преступник устроил мастерскую по изготовлению дубликатов скомпрометированных карт. За три года мужчина украл финансовую информацию более 13 тысяч клиентов Wells Fargo и других американских банков. Ущерб составил несколько миллионов долларов.

Зачастую скимминговые схемы реализует организованная преступность. Полиция Абу Даби в 2016 году арестовала четырех хакеров азиатского происхождения, которые похищали[3] информацию о кредитных картах с использованием шпионских устройств. Общая сумма потерь собственников кредитных карт составила более миллиона эмиратских дирхам (порядка $270 тысяч). Следует отметить, что жертвы ранее размещали информацию о своих кредитных картах на электронных торговых площадках, что облегчило «работу» злоумышленникам.

Нередко преступным промыслом занимаются «гастролеры»[4] - преступники из других стран. Например, индийская полиция в конце 2017 года задержала сразу две группы граждан Румынии. Приехав в Индию по туристическим визам, они не уделяли время изучению достопримечательностей и культуры, а занялись установкой скимминговых устройств. В результате более 1000 человек потеряли порядка 6,6 млн рупий (порядка $100 тысяч).

Помимо банкоматов, довольно популярные объекты для скиммеров – платежные терминалы на автозаправочных станциях. Так, группа мошенников из 12 человек была обезврежена[5] в Колорадо. Они промышляли на АЗС нескольких штатов. Участники преступной группы успели скомпрометировать финансовые данные более 8 тысяч жертв, нанеся ущерб порядка $2,5 млн. Кроме того, выяснилось, что арестованные были вовлечены в международную сеть по отмыванию денег.

Рекомендации

При посещении банкомата внимательно осмотрите его лицевую сторону на предмет наличия накладок на клавиатуру, на картоприемник и других подозрительных приспособлений. Набирая PIN-код, прикрывайте клавиатуру свободной рукой – так вы защитите свою финансовую информацию в том случае, если банкомат находится под наблюдением видеокамер мошенников. Старайтесь снимать деньги в банкоматах, расположенных в отделениях банков или в хорошо защищенных офисах. Как правило, скиммеры выбирают для своего промысла уличные терминалы. Также лучше воздержаться от оплаты картой на незнакомых заправках, в подозрительных кафе и магазинах.

Шиммеры

С 2015 года возникла новая угроза – так называемые шиммеры. Это тонкие, практически незаметные устройства, располагаемые в самих кардридерах для считывания информации с чипованных карт в банкоматах. Шиммер - это тонкая «прокладка», которая располагается между чипом на карте и считывающим устройством чипов в банкомат или терминале – и записывает данные с чипа, когда их считывает терминал. Данные, собранные в ходе такой операции, не могут быть использованы для изготовления нового чипа, но их можно использовать для клонирования магнитной полосы карты.

Лазейкой, которая позволяет обходить такие механизмы защиты чипированных карт, как, например, iCVV (этот механизм обеспечивает защиту от копирования магнитной полосы карты и создания ее дубля), является тот факт, что процесс эмиссии чипированных карт в ряде банков до сих пор не полностью соответствует стандарту безопасности чип-карт, известному как EMV (Europay, Mastercard и Visa). Этой уязвимостью и воспользовались создатели шимминга.

«В зону риска для шиммеров попадают только те карты, чей банк-эмитент пренебрегает обязательной автоматической проверкой CVV при получении каждого запроса на оплату», - сообщает NCR Corp. «Все эмитенты должны провести проверки в этом направлении, чтобы ликвидировать возможность возникновения мошеннических операций по картам, данные которых были украдены с помощью шиммеров. В целом же шимминг не представляет опасности для чипованных карт и не требует внедрения дополнительных механизмов защиты на платежные терминалы и в банкоматы».

Первые шиммеры появились еще в 2015 году в Мексике и с тех пор они завоевали особую «популярность» в Канаде. Многие компании, обрабатывающие карточные данные, обеспокоены тем, что в скором времени они могут распространиться и на рынок США в связи с законом об обязательном чипировании кредитных и дебетовых карт.

Специалисты по безопасности призывают владельцев магазинов и банкоматов ежедневно проверять кардридеры, чтобы быть уверенными в отсутствии сторонних устройств. Однако, основная ответственность в направлении ликвидации новой угрозы лежит на банках-эмитентах. Только полное соответствие стандартам безопасности международных платежных систем обезопасит их клиентов от финансовых рисков.

Хроника

2022: В интернете разворачиваются неуловимые скимминговые кампании

24 мая 2022 года стало известно, что по данным специалистов из Microsoft, злоумышленники замаскировали скимминговый скрипт, закодировав его в PHP-скрипт, внедренный в файл изображения. С помощью этого трюка вредоносный код выполняется при загрузке индексной страницы сайта. Некоторые скимминговые скрипты также включали механизмы защиты от отладки.

Иллюстрация: securitylab.ru

Веб-скимминг - преступный метод сбора платежной информации посетителей веб-сайтов во время оформления заказа. Мошенники используют уязвимости в платформах электронной коммерции и CMS для внедрения скиммингового скрипта на страницу электронного магазина. В некоторых случаях злоумышленники могут использовать уязвимости в установленных сторонних плагинах и темах для внедрения вредоносных скриптов.

«
«Во время исследования мы столкнулись с двумя случаями загрузки вредоносных изображений на сервер, размещенный на Magento. Оба изображения имели одинаковый JavaScript-код, но немного отличались в реализации PHP-скрипта. Первое изображение было замаскировано под favicon и доступно на VirusTotal, а второе являлось обычным WebP-файлом, обнаруженным нашей командой», -

говорится в отчете, опубликованном Microsoft.
»

Microsoft также заметила злоумышленников, использующих вредоносный JavaScript-код в формате Base64 для подмены скриптов Google Analytics и Meta Pixel, чтобы избежать обнаружения. Эксперты отметили, что хакеры, стоящие за подменой Meta Pixel, использовали недавно зарегистрированные домены с HTTPS.

В заключении отчета специалисты из Microsoft рекомендуют организациям обновить CMS и установленные плагины до последних версий и убедиться что все сторонние плагины и службы загружены только из проверенных источников.[6]

2016: Российские киберпреступники отказываются от фишинга в пользу скимминга

В связи с принимаемыми мерами по усилению безопасности мобильных и online-сервисов растет популярность кардинга. Как сообщает издание «Известия» со ссылкой на экспертов компании Zecurion, злоумышленники все чаще похищают данные банковских карт с помощью не фишинга, а установленных в банкоматах скиммеров.

За период с января по июнь 2016 года на долю кардинга пришлось 87% от всех похищенных средств россиян. Остальные 13% киберпреступники «заработали» с помощью фишинга. Как сообщают эксперты, количество преступлений, осуществляемых в интернете, по сравнению с прошлым годом сократилось на 3%. Ровно на столько же возросла доля offline-преступлений.

В январе–июне 2016 года скимминг принес злоумышленникам доход в размере 900 млн руб., в то время как фишинг — 140 млн руб. По причине недостаточной осведомленности в вопросах безопасности чаще всего жертвами кардеров становятся пенсионеры. Как пояснил глава аналитического центра Zecurion Ульянов Владимир, помимо данных с магнитных полос их карт злоумышленники зачастую также могут получит PIN-код (например, подсмотрев из-за плеча или даже спросив).

По словам эксперта компании «Инфосистемы Джет» Алексея Сизова, кардинг привлекает преступников тем, что, в отличие от online-мошенничества, между похищением данных до непосредственного получения денег проходит очень мало времени. Установка скиммера занимает считанные минуты или даже секунды, и около пяти минут уходит на клонирование карты. Процесс получения средств с помощью фишинга занимает гораздо больше времени. Узнать только учетные данные недостаточно, необходимо еще получить дубликат SIM-карты, поскольку SMS-сообщения с одноразовыми паролями для проведения операций приходят на мобильное устройство.

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT




Примечания