Что такое кардинг и как защититься от взлома, покупая в интернете

Кардинг — вид мошенничества, при котором хакеры совершают операцию с использованием платежной карты без участия ее владельца.

Один из способов получить доступ к карте — взломать интернет-магазин, где пользователи совершают онлайн-покупки. В этом случае от жертвы ничего не зависит — она может соблюдать все меры безопасности, а информация о банковской карте все равно окажется в руках злоумышленников, и они смогут снять с нее деньги. Одна из таких хакерских группировок в период с 2017 по 2020 год заразила 571 сайт. Мошенников задержали в 2020 году.

Кардинг появился вместе с началом электронной коммерции в 1990-х годах. Тогда интернет-магазины не ждали мошенников и радовались каждой совершенной покупке в своей новой нише. Этим и пользовались кардеры. Они создавали карты несуществующих людей с помощью специальных генераторов и оплачивали ими покупки. Интернет-магазины охотно принимали их. Обман обнаруживали только в конце месяца, когда магазины запрашивали у банков переводы на оплату товара. Тогда становилось понятно, что в этих случаях применялись несуществующие карты, и денег магазин не получал.

При онлайн-покупке транзакция проводится с помощью специальных шлюзов банков в защищенном режиме, если сайт работает по протоколу HTTPS. И тем не менее, в 2020-м, по оценкам исследовательской компании Aite Group, только банки США понесли убытки от кардинга на сумму около $11 млрд.

По механике взлома кардинг бывает двух типов:

1. атака с физическим доступом к карте или банкомату;
2. дистанционная атака.

В первом случае применяется прибор для скимминга или участвует сотрудники банка. Скимминг — это кража данных карт при помощи миниатюрного устройства, крепящегося к банкомату.

По данным Европейской ассоциации безопасных транзакций (EAST), число атак с физическим доступом к картам в Европе снижается. Это объясняют изменением культуры пользования картами и банкоматами. Чаще всего в атаках с физическим доступом к карте или банкомату участвовали сотрудники компаний с доступом к терминалу. Теперь они приносят его к клиенту, а не забирают карту.

Уровень системы безопасности банкоматов повысился — на них ставят физические и электронные средства защиты для обнаружения скиммеров. Все это способствовало снижению случаев мошенничества с физическим доступом к банкомату или карте.

Впрочем, мошенники тоже совершенствуют технологии. EAST сообщает, что количество вредоносных программ для банкоматов и логических атак на банкоматы резко возросло.

Проблема в том, что производители банкоматов считают потери от этого вида взлома менее значительными, чем расходы по модификации программного обеспечения. В итоге современные банкоматы практически не защищены от угрозы BlackBox.

В случае дистанционной атаки получить данные карт можно каким угодно способом. Достаточно иметь номер карты, дату окончания обслуживания и трехзначный CVV-код. Они могут быть похищены любым способом — находка потерянного пластика, запечатление их на снимке, фишинг (пользователь переходит на сайт-подделку и сам их указывает, думая, что покупает товар или услугу).

Впрочем, по конечной цели удаленные атаки на банковские счета можно разделить на два типа:

1. Взлом сайта с возможностью оплаты товаров или услуг;
2. Взлом пользователя.

В первом случае применяется веб-скимминг. Атаки этого типа осуществляются с помощью программного обеспечения Magecart (первые атаки с такой механикой были нацелены на интернет-магазины, применявшие программное обеспечение Magento). В 2018 году у авиакомпании British Airways было украдено 380 тыс. реквизитов карт с помощью этого вида атак. Данные карт с ее сайта успешно собирались в течение трех недель.

Веб-скимминг набирает популярность. Многие злоумышленники обратились к нему на фоне пандемии, когда число покупок в интернете резко возросло.

Веб-скимминг применяется для взлома веб-сайтов, как правило, с использованием вредоносного кода JavaScript. Магазины, построенные на Magento, — по-прежнему основная мишень хакеров, однако атаки этого типа опасны для любого веб-сайта, на котором злоумышленнику удастся получить доступ к коду JavaScript.

Для атаки на пользователя карты применяются банковские трояны. Они заражают компьютеры и смартфоны пользователей, после чего проникают в веб-браузер для кражи паролей, номеров кредитных карт и любой другой конфиденциальной информации, которая вводится на любом из целевых веб-сайтов.

По конечной цели кардинг делится на два типа:

1. продажа в даркнете;
2. обналичивание сбережений.

Похищенная информация позволяет создать «цифрового двойника» жертвы. Это позволяет преступнику снять деньги, сохранив анонимность. Данные карт продаются на форумах в даркнете или специализированных сайтах для кардеров.

Читайте также: Что такое даркнет и почему там продаются наши данные

Приобрести данные можно оптом или запросить конкретную карту. Во втором случае цена будет ниже. Стоимость карты зависит от того, сколько денег на ней хранится — чем больше, тем дороже.

По данным отчета Hi-Tech Crime Trends 2020/2021, объем рынка кардинга за 2020 год вырос на 116% по сравнению с предыдущим годом — с $880 млн до $1,9 млрд. Высокие темпы роста характерны как для текстовых данных (номер, дата истечения срока, имя держателя, адрес, CVV), так и для дампов (содержимое магнитных полос карт). Количество предлагаемых к продаже текстовых данных выросло на 133% — с 12,5 до 28,3 млн карт, а дампов на 126% — с 31,2 до 70,4 млн. Максимальная цена за текст — $150, за дамп — $500.

Другая известная атака — на платежную систему WorldPay банка Royal Bank of Scotland в 2008 году. Группировка хакеров во главе с россиянином Виктором Плещуком сняла более $9 млн с 2 тыс. банкоматов в 280 городах по всему миру. Атака прошла менее чем за 12 часов. Личность злоумышленников установили лишь через год.

В 2012 году была похищена информация о 40 млн карт в результате взлома производителя программного обеспечения для обработки файлов Adobe Systems. По данным главы службы безопасности, информация включала в себя имена клиентов, зашифрованные номера платежных карт, даты истечения срока действия и информацию о заказах.

Вещевой кардинг — это способ обналичивания денег со взломанных банковских счетов. Кардер покупает товары, подарочные сертификаты, подписки и услуги, используя чужие банковские реквизиты. Для этого мошенникам нужны только номер карты, дата и трехзначный код (CVC). В некоторых случаях могут потребоваться имя владельца, его адрес и номер телефона. Чем больше информации известно о жертве, тем легче работать злоумышленнику.

После того как товар пришел на указанный адрес, мошенники либо высылают его скупщикам, которые платят, в среднем 30% от его полной стоимости, либо шлют через пересылочные пункты (официальные сайты, никак не связанные с мошеннической деятельностью) на адреса, к которым обычно имеют доступ. Перепродают такой товар на торговых площадках (Amazon, Ebay, «Авито», «Юла») или в торговых группах социальных сетей.

• Используйте антивирусы. Чтобы украсть номер вашей кредитной карты с помощью вредоносного программного обеспечения, жертву нужно заставить загрузить его. Вирус может находиться в архиве формата ZIP. Антивирусы для компьютера в большинстве случаев автоматически выявляют троян и блокируют его установку;
• Своевременно обновляйте ПО устройства. Апдейты повышают уровень его защищенности от взлома;
• Распознавайте фишинг. Не переходите по ссылкам и не загружайте прикрепленные файлы от неизвестных источников;
• Включите уведомления от мобильных банков. Они позволяют выявить мошеннические платежи. Вы получите сообщение каждый раз, когда ваша карта использовалась для покупки в интернете. Чем быстрее вы обнаружите взлом, тем выше шанс сохранить деньги.