Фрод: классика жанра и «национальные особенности»
Алексей Голенищев, директор дирекции мониторинга электронного бизнеса ОАО «Альфа-Банк», член MasterCard Europe Fraud Advisory Committee
Одним из наиболее интересных выступлений 7-го Международного ПЛАС-Форума «Банковское самообслуживание, ритейл и НДО 2015» стал доклад Алексея Голенищева, директора дирекции мониторинга электронного бизнеса ОАО «Альфа-Банк», члена MasterCard Europe Fraud Advisory Committee, посвященный актуальным угрозам безопасности банкоматных сетей и электронной коммерции. Мы предлагаем читателям «ПЛАС» ознакомиться с материалом, подготовленным на базе расширенной версии его презентации «Fraud, классика жанра и национальные особенности».
В последние годы глобальными «поставщиками» поддельных карт и скомпрометированных данных стали торговые сети: так, одна из крупнейших американских сетей Target стала жертвой масштабной хакерской атаки, в результате которой киберпреступникам удалось похитить данные примерно 40 млн банковских карт. Вскоре «черный» интернет-рынок был наводнен предложениями по продаже реквизитов банковских карт, скомпрометированных в ходе атаки на Target, стоимость которых составляла от 20 до 100 долл.
Постоянными объектами мошеннических атак являются банкоматы: для этого используются различные способы внедрения вредоносного ПО в ИТ-системы банкоматов, включая различные виды логических угроз, в том числе, например, так называемый прямой диспенс, подразумевающий получение преступниками прямого доступа к диспенсеру банкомата посредством открытия головной части банкомата и подключения специального аппаратно-программного модуля (получившего название Black Box). После этого мошенниками инициируется команда «прямой» выдачи наличных, иногда посредством специального приложения на мобильном телефоне, связанного с мошенническим устройством по каналу BlueTooth, что приводит к полному опустошению банкомата от наличных.
По-прежнему сохраняют популярность такие виды физических атак, как подрыв устройства и его похищение (как правило, с использованием тяжелой строительной техники).
Наибольшей популярностью у мошенников пользуется применение различных сочетаний скимминговых устройств
Большинство злоумышленников по-прежнему предпочитают практиковать для компрометации данных карт в ходе использования их законными держателями в банкоматах «классические» апробированные средства, каким-либо образом их модернизируя. Наибольшей популярностью пользуются различные сочетания скимминговых устройств, которые либо устанавливаются снаружи банкомата, либо размещаются внутри устройства, а также всевозможные комбинации видеокамер.
Чаще стали использоваться мошенниками миниатюрные скимминговые устройства, которые устанавливаются непосредственно внутрь слота картоприемника устройства самообслуживания. Также все большее распространение получают прозрачные скимминговые вкладки, которые практически невозможно обнаружить визуально, даже если специально заглянуть в слот картоприемника.
Еще более опасным методом является cardreader skimming, когда скимминговые устройства инсталлируются преступниками внутрь картридера с подключением к контактной группе магнитной головки, как правило, в комбинации с установленной миниатюрной видеокамерой, как непосредственно на банкомате, так и снаружи (например, были случаи установки несанкционированных видеокамер в потолочные панели). В случае использования такого скиммингового устройства при считывании реквизитов магнитной полосы карты в картридере ее данные копируются устройством.
Все большее распространение получает установка скиммеров непосредственно внутрь картридера ATM в виде разнообразных шимминговых устройств. Для этого преступниками используются различные конструкции, позволяющие размещать шиммер в зоне расположения головки картридера, не препятствуя прохождению карты. Помимо считывания информации с магнитной полосы есть некоторые разновидности шиммеров, контактная группа которых напоминает контактную группу чипа и размещается в картридере между чипом карты и чипридером. Такие скиммеры могут копировать информацию с чипа карты. Для предотвращения ущерба от такого скимминга, связанного с перехватом данных, передаваемых от чипа карты картридеру банкомата, и изготовлением на основании их поддельной магнитной полосы, международные платежные системы настоятельно рекомендуют использовать различные значения CVV и iCVV. (1 CVV (Card Verification Value) – проверочное значение, использующееся для авторизации карты Visa при безпиновой транзакции. Значение CVV высчитывается на основе номера карты, срока действия и сервис-кода. iCVV – проверочное значение, хранящееся на чипе, оно эквивалентно по функциям значению CVV, но при его расчетах за величину сервис-кода принимают значение «999».)
Помимо банкоматов, внимание мошенников стали привлекать и велопаркоматы: в этом году были выявлены первые случаи установки скиммеров на модули безналичной оплаты услуг велопарковок. По-прежнему рискованным остается использование mPOS-терминалов, причем злоумышленники научились не только считывать данные с магнитной полосы, но и распознавать ПИН-коды.
Внешняя скимминговая накладка на банкомат и накладка с вмонтированной видеокамерой |
Внешняя скимминговая накладка на банкомат и накладка на устройство выдачи наличных с вмонтированной видеокамерой |
Внутренняя скимминговая «вкладка», помещаемая внутрь слота картоприемника банкомата |
{Скимминговая накладка с накопительным устройством («флешка») на контактную группу магнитной головки картридера |
Вариант размещения скимминговой накладки с рис. 1 |
Вскрытие сейфа банкомата через отверстие в полу |
Еще одним современным бичом индустрии является заражение банкоматов вредоносными вирусами с целью копирования данных используемых в них карт. Серьезной угрозой такого рода, помимо уже известных Ploutus и Tyupkin (которые позволяли на программном уровне получать контроль над устройством выдачи купюр и инициировать выдачу наличных по командам с клавиатуры), стала недавно «анонсированная» мошенниками вирусная программа Suceful. Данный вирус, появившийся предположительно 25 августа 2015 года, способен практически взять банкомат под свой контроль. Suceful работает с XFS Manager, который по сути выступает связующим звеном между различными приложениями ПО банкомата и его периферийными устройствами, то есть принтером, диспенсером, картридером и т. д. В результате Suceful способен отключать сенсоры и индикаторы банкомата, чтобы избежать обнаружения атаки, предотвратить оповещение системы безопасности и даже инициировать удержание или выброс карты по требованию.
Высокий «профессионализм» иногда проявляют и преступники, практикующие физические атаки на устройства банковского самообслуживания: чтобы осуществить хищение денежных средств из банкомата, злоумышленники используют и баллоны с жидким азотом, и электросварку, проникают в места установки банкоматов из-под пола, и т. д. Но не оставляют они и такого способа «взлома» сейфа банкомата, как подрыв с помощью ацетилена и др.
В качестве еще одного мошеннического ноу-хау можно рассматривать случаи установки преступниками на банкомат видеокамеры, которая фиксировала момент набора кода на замке сейфа банкомата. В данной конструкции размещался и GSM контроллер, передававший информацию о набранном коде в режиме реального времени. После отъезда инкассаторов злоумышленникам оставалось только подъехать, открыть сейф и забрать из него наличные деньги.
По-прежнему в сфере повышенного интереса криминальных кругов остается электронная и мобильная коммерция: для похищения денежных средств используются как атаки и заражения вредоносными кодами ПО компьютеров и мобильных устройств пользователей, так и поддельные сайты, сервисы и приложения.
Все более популярным среди мошенников становится использование фальсифицированных сервисов P2P-переводов (переводов с карты на карту). Чаще всего на поддельные веб-страницы попадают пользователи, желающие купить авиабилеты. Вместо переадресации на страницу оплаты покупки клиент оказывается на странице P2P-приложения и вводит данные карты в форму, в которую уже «зашит» номер карты мошенника, – на последнюю и происходит перевод.
Совместное противодействие мошенничеству банков и самих держателей карт будет более успешным и эффективным!
Примечательной чертой времени является процветание новых разновидностей финансовых пирамид. Так, число обманутых украинским форекс-брокером Forex MMCIS Group «клиентов» только в России составляет примерно 100 тыс. человек. Метод изъятия у населения денег был довольно простым и основывался на распространенном человеческом желании обогащения, не нагружая себя при этом реальным трудом. MMCIS предложила участникам не играть на рынке самим, а внести деньги и доверить их в управление одному из 20 «лучших брокеров», обещая доход на уровне 5–10% в месяц, или 60–120% в год. Платежные системы QIWI, «Яндекс.Деньги», «Platron», «Деньги Online» и ROBOKASSA заподозрили неладное и стали отключать компанию от обслуживания, самые осторожные инвесторы стали забирать свои деньги. В ответ компания усложнила порядок вывода средств. Вскоре руководство MMCIS объявило о банкротстве и захвате имущества «третьими лицами». Патологическая лень доморощенных «финансистов» была использована создателями пирамиды безупречно: «инвестировавшие» клиенты видели на сайте свои «успехи» на бирже, начисленные им бешеные проценты, хотя на самом деле им периодически переводились на кошелек лишь небольшие «успокоительные» дивиденды. Примерно по такому же принципу работала компания «Пантеон Финанс» и пр.
Еще одним примечательным трендом нашего времени является создание поддельных интернет-ресурсов, имитирующих сайты известных брендов. Несмотря на наличие специальных программ платежных систем, отслеживающих подобные операции в целях защиты бренда, и предусмотренные для банков-эквайеров штрафы в размере от 200 тыс. долларов США за обслуживание операций оплаты товаров с таких сайтов, количество «подделок» не уменьшается. В качестве еще одного способа мошеннического «развода» клиента отмечены случаи размещения на легальной странице магазинных каталогов и других ресурсов окна, содержащего «поздравление» с якобы вручением некого денежного приза и предложением зачислить его на карту «победителя». Для этого «счастливчику» предлагалось ввести реквизиты своей карты и потом «код подтверждения», который должен был прийти по SMS. Фактически это был код подтверждения списания с карты держателя этой суммы.
Резюмируя все вышесказанное, хотел бы посоветовать клиентам банков, держателям банковских карт быть предельно осторожными, бдительными и внимательными. Нельзя передавать, сообщать никакой конфиденциальной информации о картах, счетах, логинах/паролях и т. п. посторонним, даже если те представляются сотрудниками банков и т. д.! Нельзя пользоваться непроверенными интернет-сайтами, сервисами, приложениями (в т. ч. скачивать неизвестные приложения даже из Google Store и App Store: они могут быть заведомо мошенническими). Так, например, Альфа-Банк использует одну из лучших систем и служб мониторинга рисковых операций (которая неоднократно признана эффективной компаниями Visa Int. и MasterCard Worldwide), но это гарантирует полную безопасность только в том случае, если сам держатель карты будет соблюдать меры безопасности при покупках в магазине, интернет-покупках, операциях в интернет-банке и т. п.: совместное противодействие мошенничеству будет более успешным и эффективным!