Читайте РБК без баннеров

Подписка отключает баннерную рекламу на сайтах РБК и обеспечивает его корректную работу

Всего 99₽ в месяц для 3-х устройств

Продлевается автоматически каждый месяц, но вы всегда сможете отписаться

Что такое кардинг и как защититься от взлома, покупая в интернете

Фото: Екатерина Кузьмина / РБК
Фото: Екатерина Кузьмина / РБК
Объем рынка кардинга за 2020 год вырос на 116% по сравнению с предыдущим годом: преступники находят все новые способы получить доступ к чужим деньгам. Что это за вид мошенничества и как не стать его жертвой?
1

Что такое кардинг?

Кардинг — вид мошенничества, при котором хакеры совершают операцию с использованием платежной карты без участия ее владельца.

Один из способов получить доступ к карте — взломать интернет-магазин, где пользователи совершают онлайн-покупки. В этом случае от жертвы ничего не зависит — она может соблюдать все меры безопасности, а информация о банковской карте все равно окажется в руках злоумышленников, и они смогут снять с нее деньги. Одна из таких хакерских группировок в период с 2017 по 2020 год заразила 571 сайт. Мошенников задержали в 2020 году.

Кардинг появился вместе с началом электронной коммерции в 1990-х годах. Тогда интернет-магазины не ждали мошенников и радовались каждой совершенной покупке в своей новой нише. Этим и пользовались кардеры. Они создавали карты несуществующих людей с помощью специальных генераторов и оплачивали ими покупки. Интернет-магазины охотно принимали их. Обман обнаруживали только в конце месяца, когда магазины запрашивали у банков переводы на оплату товара. Тогда становилось понятно, что в этих случаях применялись несуществующие карты, и денег магазин не получал.

При онлайн-покупке транзакция проводится с помощью специальных шлюзов банков в защищенном режиме, если сайт работает по протоколу HTTPS. И тем не менее, в 2020-м, по оценкам исследовательской компании Aite Group, только банки США понесли убытки от кардинга на сумму около $11 млрд.

2

Каким бывает кардинг?

По механике взлома кардинг бывает двух типов:

  1. атака с физическим доступом к карте или банкомату;
  2. дистанционная атака.

В первом случае применяется прибор для скимминга или участвует сотрудники банка. Скимминг — это кража данных карт при помощи миниатюрного устройства, крепящегося к банкомату.

По данным Европейской ассоциации безопасных транзакций (EAST), число атак с физическим доступом к картам в Европе снижается. Это объясняют изменением культуры пользования картами и банкоматами. Чаще всего в атаках с физическим доступом к карте или банкомату участвовали сотрудники компаний с доступом к терминалу. Теперь они приносят его к клиенту, а не забирают карту.

Уровень системы безопасности банкоматов повысился — на них ставят физические и электронные средства защиты для обнаружения скиммеров. Все это способствовало снижению случаев мошенничества с физическим доступом к банкомату или карте.

Впрочем, мошенники тоже совершенствуют технологии. EAST сообщает, что количество вредоносных программ для банкоматов и логических атак на банкоматы резко возросло.

Наиболее опасны атаки класса BlackBox — миниатюрный компьютер подключается к банкомату по проводу и заставляет его выдать все имеющиеся деньги. Число атак такого типа растет. Эксперты EAST насчитали 35 таких атак в первой половине 2019 года. В первой половине 2020-го их было уже 129. Убытки от такого типа атак выросли с менее чем €1 000 ($1 200) в первой половине 2019 года до более чем €1 млн ($1,2 млн) в 2020-м.

Проблема в том, что производители банкоматов считают потери от этого вида взлома менее значительными, чем расходы по модификации программного обеспечения. В итоге современные банкоматы практически не защищены от угрозы BlackBox.

В случае дистанционной атаки получить данные карт можно каким угодно способом. Достаточно иметь номер карты, дату окончания обслуживания и трехзначный CVV-код. Они могут быть похищены любым способом — находка потерянного пластика, запечатление их на снимке, фишинг (пользователь переходит на сайт-подделку и сам их указывает, думая, что покупает товар или услугу).

Впрочем, по конечной цели удаленные атаки на банковские счета можно разделить на два типа:

  1. Взлом сайта с возможностью оплаты товаров или услуг;
  2. Взлом пользователя.

В первом случае применяется веб-скимминг. Атаки этого типа осуществляются с помощью программного обеспечения Magecart (первые атаки с такой механикой были нацелены на интернет-магазины, применявшие программное обеспечение Magento). В 2018 году у авиакомпании British Airways было украдено 380 тыс. реквизитов карт с помощью этого вида атак. Данные карт с ее сайта успешно собирались в течение трех недель.

Веб-скимминг набирает популярность. Многие злоумышленники обратились к нему на фоне пандемии, когда число покупок в интернете резко возросло.

Веб-скимминг применяется для взлома веб-сайтов, как правило, с использованием вредоносного кода JavaScript. Магазины, построенные на Magento, — по-прежнему основная мишень хакеров, однако атаки этого типа опасны для любого веб-сайта, на котором злоумышленнику удастся получить доступ к коду JavaScript.

Для атаки на пользователя карты применяются банковские трояны. Они заражают компьютеры и смартфоны пользователей, после чего проникают в веб-браузер для кражи паролей, номеров кредитных карт и любой другой конфиденциальной информации, которая вводится на любом из целевых веб-сайтов.

3

Что кардеры делают с данными?

По конечной цели кардинг делится на два типа:

  1. продажа в даркнете;
  2. обналичивание сбережений.

Похищенная информация позволяет создать «цифрового двойника» жертвы. Это позволяет преступнику снять деньги, сохранив анонимность. Данные карт продаются на форумах в даркнете или специализированных сайтах для кардеров.

Читайте также: Что такое даркнет и почему там продаются наши данные

Приобрести данные можно оптом или запросить конкретную карту. Во втором случае цена будет ниже. Стоимость карты зависит от того, сколько денег на ней хранится — чем больше, тем дороже.

4

Как работают кардеры?

По данным отчета Hi-Tech Crime Trends 2020/2021, объем рынка кардинга за 2020 год вырос на 116% по сравнению с предыдущим годом — с $880 млн до $1,9 млрд. Высокие темпы роста характерны как для текстовых данных (номер, дата истечения срока, имя держателя, адрес, CVV), так и для дампов (содержимое магнитных полос карт). Количество предлагаемых к продаже текстовых данных выросло на 133% — с 12,5 до 28,3 млн карт, а дампов на 126% — с 31,2 до 70,4 млн. Максимальная цена за текст — $150, за дамп — $500.

Самый крупный случай кардинга был зарегистрирован в 2007 году. Хакер Альберт Гонсалес получил информацию о более чем 135 млн кредитных и дебетовых карт клиентов американского поставщика технологий и обработки платежей Heartland Payment Systems, розничных магазинов 7-Eleven и Hannaford Brothers, а также в двух неустановленных компаний.

Получив данные, он выставил их на продажу на собственной бирже кардеров Shadowcrew. Другие злоумышленники могли выкупить их для последующих мошеннических действий. Гонсалес получил 20 лет тюрьмы.

Читайте также: Десять самых громких хакерских атак XXI века.

Другая известная атака — на платежную систему WorldPay банка Royal Bank of Scotland в 2008 году. Группировка хакеров во главе с россиянином Виктором Плещуком сняла более $9 млн с 2 тыс. банкоматов в 280 городах по всему миру. Атака прошла менее чем за 12 часов. Личность злоумышленников установили лишь через год.

В 2012 году была похищена информация о 40 млн карт в результате взлома производителя программного обеспечения для обработки файлов Adobe Systems. По данным главы службы безопасности, информация включала в себя имена клиентов, зашифрованные номера платежных карт, даты истечения срока действия и информацию о заказах.

5

Что значит вещевой кардинг?

Вещевой кардинг — это способ обналичивания денег со взломанных банковских счетов. Кардер покупает товары, подарочные сертификаты, подписки и услуги, используя чужие банковские реквизиты. Для этого мошенникам нужны только номер карты, дата и трехзначный код (CVC). В некоторых случаях могут потребоваться имя владельца, его адрес и номер телефона. Чем больше информации известно о жертве, тем легче работать злоумышленнику.

После того как товар пришел на указанный адрес, мошенники либо высылают его скупщикам, которые платят, в среднем 30% от его полной стоимости, либо шлют через пересылочные пункты (официальные сайты, никак не связанные с мошеннической деятельностью) на адреса, к которым обычно имеют доступ. Перепродают такой товар на торговых площадках (Amazon, Ebay, «Авито», «Юла») или в торговых группах социальных сетей.

6

Как не стать жертвой кардинга?

  • Используйте антивирусы. Чтобы украсть номер вашей кредитной карты с помощью вредоносного программного обеспечения, жертву нужно заставить загрузить его. Вирус может находиться в архиве формата ZIP. Антивирусы для компьютера в большинстве случаев автоматически выявляют троян и блокируют его установку;
  • Своевременно обновляйте ПО устройства. Апдейты повышают уровень его защищенности от взлома;
  • Распознавайте фишинг. Не переходите по ссылкам и не загружайте прикрепленные файлы от неизвестных источников;
  • Включите уведомления от мобильных банков. Они позволяют выявить мошеннические платежи. Вы получите сообщение каждый раз, когда ваша карта использовалась для покупки в интернете. Чем быстрее вы обнаружите взлом, тем выше шанс сохранить деньги.
Обновлено 26.05.2021
Главная Лента Подписаться Поделиться
Закрыть