Банковские карты что с ними какой вирус

Обновлено: 17.04.2024

С электронных счетов и карт у россиян уводят по 1 млрд. рублей в год! И часто преступникам помогают сами держатели банковских карт. Ведь большинству кажется, что с ними такого произойти не может. Еще как может. Рассказываем, как это работает и как защитить свои банковские карты

Скимминг

Есть кардеры (преступники, которые специализируются на краже данных карт, обналичке или выводе средств), которые стоят недалеко от терминалов оплаты в магазине, около кассы, например. Когда происходит бесконтактная оплата по карте, специальный прибор преступника успевает считать данные карты.

Это приспособление называется скиммер.

Да, прогресс ушел далеко. С появлением технологии PayPass (когда карта просто прикладывается к считывающему устройству) преступникам больше не надо ставить портативный скиммер на банкомат, подкладывать фальшивую клавиатуру или прикреплять туда камеру. Такие методы использовались для карт старого образца. Впрочем, некоторые дельцы и сейчас старьем не гнушаются. Поэтому, снимая деньги в банкомате, внимательно смотрите, нет ли там каких-то необычных деталей. А лучше уличные банкоматы вообще не использовать, тем более в незнакомых местах. Безопаснее те, которые находятся в операционном зале отделения банка.

Используя же PayPass, будьте бдительны: никто, даже те, кто стоит за вами в очереди, не должны дышать вам в затылок, когда вы расплачиваетесь.

Фишинг

Встречаются сайты, которые во многом похожи на оригинальные, но имеют определенные отличия. Речь о сайтах банков, магазинов и т. д. Жертва, думая, что совершает действия с картой на настоящем сайте, вводит все свои данные. И теряет деньги.

Вариант - вам на почту приходит письмо от мошенников, подписанное якобы, например, техподдержкой банка. Мол, надо подтвердить ваши данные, кто-то хотел воспользоваться вашими средствами. Далее просят перейти по ссылке. По ней вы попадаете на фейковый сайт. И быстро расстаетесь с какой-то суммой денег.

Схема настолько распространена, что многие банки уже и памятки для клиентов рассылают с предупреждением о мошенничестве. Тем не менее кто-то постоянно на эту удочку попадается. Главное, что надо запомнить для защиты банковский карты: настоящая служба техподдержки или какая-то еще служба банка не будет вас просить подтвердить ПИН-код карты и прочую подобную информацию. Не уверены, с кем имеете дело, позвоните в банк и уточните, искал ли кто-то вас.

Лишиться денег из-за мошенничества с кредитной картой ― проще простого. Избегать проблем надо на всех этапах ― от выбора карты до проведения платежей за границей. В этом поможет наше простое руководство.



Выбираем правильную карту

На рынке банковских карт нет универсального решения, которое бы подошло всем. Есть много платежных систем: AmEx, MasterCard, Visa, UnionPay, не считая множества локальных систем. Существуют кредитные и дебетовые карты, которые на некоторых рынках весьма отличаются друг от друга. Можно использовать две, три и более карты в зависимости от случая, и каждая из них будет иметь собственные возможности обеспечения безопасности. В основном кредитные карты отличаются более высоким уровнем защиты. Для них банки используют более строгие процедуры проверки транзакций. Во многих странах кредитки застрахованы, и мошеннические транзакции не оплачиваются владельцем карты. Более того, во многих странах преступники предпочитают не связываться с кредитками из-за более высокой вероятности уголовного преследования. Но при всем этом не стоит считать, что владельцу кредитки ничего не угрожает и можно забыть о простых правилах, выполнение которых необходимо для обеспечения безопасности.

Кредитные карты часто лучше защищены, и преступники порой предпочитают не связываться с ними. Но это не полная гарантия безопасности, нельзя полностью забыть о мерах предосторожности.

Что повышает безопасность карты

  • 3DSecure. Данная функция повышает безопасность онлайн-транзакций. Эта технология более известна под брендами платежных систем (Verified by Visa, MasterCard SecureCode, AmEx SafeKey и т.п.), но принцип один и тот же: банк и платежная система подтверждают каждую транзакцию через вас. Типичная схема совершения платежа имеет два этапа. Сперва вы вводите информацию о кредитной карте на сайте продавца (или на сайте процессингового центра), а затем вас перенаправляют на специальную веб-страницу вашего банка, где вы должны подтвердить покупку, введя специальный пароль. В некоторых случаях это только второстепенный постоянный пароль (который не так уж и безопасен), но в более современных системах покупатель должен ввести одноразовый пароль, который присылается банком в SMS (он обладает очень высокой степенью защиты и предотвращает вероятность фишинга). Мы рекомендуем воспользоваться этой возможностью при использовании карты для онлайн-платежей.
  • Виртуальные карты. Еще одним способом предотвратить онлайн-мошенничество является использование виртуальной карты, которая доступна только для совершения онлайн-покупок и не имеет физического носителя. Ее можно автоматически выпустить через онлайн-банк. Это может быть как второстепенная карта, привязанная к другой карте, так и отдельная карта. В первом случае карта используется для совершения только одной покупки, затем она блокируется. Во втором случае картой можно управлять через онлайн-банк, что позволяет балансировать безопасность и удобство использования. При использовании виртуальной карты возможны следующие меры безопасности: установление ограничений на списывание средств (в день или в месяц или же установление максимальной суммы списания), регулярный перевыпуск карты (раз в месяц, в неделю или даже ежедневно — по необходимости), поддержание минимального баланса (то есть вам придется вручную пополнять баланс карты при каждой покупке).
  • NFC. Конечно, это не совсем относится к сфере безопасности, но технология ближней бесконтактной связи (Near Field Communication, или NFC), в банковской сфере более известная под брендами платежных систем (MasterCard PayPass, Visa PayWave), — стандарт беспроводной связи, который позволяет двум устройствам обмениваться информацией при непродолжительном соприкосновении. NFC-чип очень мал и может быть внедрен в кредитную карту в дополнение к магнитной полосе и EMV-чипу. Чтобы совершить платеж при помощи NFC, нужно дотронуться картой до терминала, и при этом даже необязательно вытаскивать ее из кошелька. Это увеличивает степень безопасности платежа, так как необходимости показывать карту или отдавать ее в третьи руки нет. Также меньше вероятность того, что вы забудете карту на кассе. Однако использование NFC в банковской сфере — достаточно новое явление, а так как это беспроводная технология (хотя и ближнего радиуса действия — всего несколько сантиметров), она может быть подвержена пока еще не изученным угрозам. Поэтому мы рекомендуем использовать карты с поддержкой NFC для небольших покупок, в случае которых бесконтактный платеж будет наиболее удобен: проезд в общественном транспорте, заправки, предприятия быстрого питания, парковки и т.п.

nfc-paypass

Простые правила безопасности

Итак, вы определились с банком и типом карты и, надеемся, подключили все возможные опции обеспечения безопасности. Использование чипированных карт, технологии 3D Secure и SMS-уведомлений значительно повышает безопасность платежей как онлайн, так и в обычном магазине. Но данные меры эффективны только в том случае, если вы следуете этим простым рекомендациям:

Если у вас есть свои советы по обеспечению безопасности кредитных карт, расскажите нам о них в комментариях!

Бесконтактная банковская карта — действительно удобная штука. Однако простота совершения покупки заставляет задуматься: а что, украсть деньги с карты так же просто?

18 августа 2015

Бесконтактная банковская карта действительно удобная штука. Не нужно ничего никуда засовывать, вспоминать PIN-код, корябать чеки плохо пишущей ручкой, не говоря уже о том, чтобы отсчитывать купюры и копаться по карманам в поисках мелочи. Приложил — и готово, свободен.

Деньги из воздуха: безопасны ли бесконтактные платежи?

Продавцам бесконтактные платежи тоже только в радость, поскольку позволяют ускорить процесс оплаты и увеличить таким образом пропускную способность кассы — самого узкого места во всем торговом хозяйстве.

Только вот простота совершения покупки заставляет задуматься: а что, украсть деньги с карты так же просто? Провел ридером по карману — и привет, средства, нажитые непосильным трудом?

Чтобы разобраться в этом вопросе, я проштудировал немало докладов с хакерских конференций и пообщался с представителями банка. Ответ получился скорее обнадеживающим, хотя и не без нюансов.

Расстояние

Дальность передачи данных через NFC составляет несколько сантиметров. Поэтому первый барьер защиты — физический. Считыватель, по сути, необходимо приложить вплотную к карте, что довольно сложно сделать незаметно.

Зато можно сделать нестандартный ридер, который работает на большей дистанции. Например, исследователи из британского Университета Суррей продемонстрировали возможность считывания по NFC данных на расстоянии до 80 см с помощью компактного сканера.

Впрочем, можно пойти еще дальше и обойтись вовсе без сканера и личного присутствия. Еще одно оригинальное решение проблемы расстояния предложили испанские хакеры Рикардо Родригес и Хосе Вилла, представившие доклад на недавней конференции Hack In The Box.

Деньги из воздуха: безопасны ли бесконтактные платежи?

Большинство современных Android-смартфонов оснащены модулем NFC. При этом смартфоны нередко оказываются физически рядом с бумажником — например, в одной сумке. Родригес и Вилла создали концепт Android-троянца, который превращает смартфон жертвы во что-то вроде ретранслятора NFC-сигнала.

Криптография

Разумеется, подобраться к карточке — это только полдела. Дальше нужно преодолеть более серьезную защиту, основанную на криптографии.

Бесконтактные транзакции защищены тем же стандартом EMV, что и чиповые карты. В отличие от магнитной дорожки, которую можно просто скопировать, с чипом этот фокус не проходит. По запросу терминала микросхема каждый раз генерирует одноразовый ключ. Этот ключ можно перехватить, но он уже не подойдет для следующей транзакции.

Исследователи безопасности неоднократно ставили под сомнение защищенность EMV, но до сих пор реально работающих на практике сценариев взлома обнародовано не было.

Есть, правда, одна деталь. В стандартной реализации защита чиповых карт строится на комбинации криптоключей и ввода пользователем PIN-кода. При бесконтактных транзакциях PIN-код обычно не запрашивается, так что остаются только криптоключи чипа карты и терминала.

Сумма покупки

Есть еще один уровень защиты — ограничение максимальной суммы бесконтактной транзакции. Этот предел в настройках терминального оборудования задает банк-эквайер, руководствуясь рекомендациями платежных систем. В России максимальный порог платежа составляет 1000 рублей, в США — $25, в Великобритании — 20 фунтов (скоро будет повышен до 30) и так далее.

Платеж на большую сумму будет отклонен или потребует дополнительного подтверждения (подпись, PIN) в зависимости от настроек банка — эмитента карты. При попытке последовательно снять несколько сумм ниже порога также должна срабатывать система дополнительной защиты.

Но и здесь есть нюансы. Другая команда британских исследователей из Университета Ньюкасла почти год назад сообщила, что обнаружила брешь в защите бесконтактных транзакций платежной системы Visa. Если запросить платеж не в фунтах стерлингов, а в иностранной валюте, то пороговое ограничение не срабатывает. А если платежный терминал не подключен к Интернету, то максимальная сумма мошеннической транзакции может составить до миллиона евро.

Представители платежной системы Visa опровергли практическую осуществимость подобной атаки, заявив, что транзакция будет отклонена банковскими системами безопасности.

По словам Тараторина из Райффайзенбанка, терминал контролирует максимальный размер платежа независимо от того, в какой валюте он осуществляется.

Мы пойдем другим путем

Так что же, получается, что мошенническая NFC-транзакция неизбежно будет задержана банком или платежной системой? Скорее всего, да, если в этой схеме не задействованы недобросовестные работники на стороне банка.

Стандарт EMV допускает хранение определенных данных в незашифрованном виде в памяти чипа карты. К таким данным могут относиться номер карты, несколько последних совершенных операций и так далее (какая именно информация и как хранится в чипе, определяют банк-эмитент и платежная система). Эти данные можно считать с помощью NFC-смартфона, установив на него вполне легальное приложение (например, Banking card reader NFC — можете сами поэкспериментировать со своими картами).

Казалось бы, беспокоиться рано. Ведь для онлайновой транзакции обычно требуется еще CVV-код карты.

Мораль

Хотя сама технология бесконтактных платежей действительно закрыта хорошей многофакторной защитой, это совсем не значит, что с ней ваши деньги находятся в безопасности. Слишком многое в банковских картах связано с давно устаревшими технологиями (магнитная полоса, онлайновый платеж без дополнительной аутентификации и так далее).

Ну а для полной уверенности в том, что никто и никаким образом не сможет считать вашу бесконтактную карту без вашего ведома, можно купить специальный экранированный кошелек. Уж физику точно не обманешь.

В 2019 году хакеры начали использовать новые вирусы для Android, которые могут сами заходить в мобильное приложение жертвы и выводить деньги. С ними столкнулись клиенты минимум двух российских банков, но пока случаи единичны

Фото: Сергей Коньков / ТАСС

Российские банки начали сталкиваться с новым видом мошенничества — трояном, который способен автоматически переводить средства через банковские мобильные приложения для операционной системы Android (так называемый автозалив). Механизм работы вируса в своем ежегодном докладе Hi-Tech Crime Trends 2019 (есть у РБК) описала компания Group-IB, которая специализируется на вопросах кибербезопасности.

РБК опросил крупнейшие банки, и два из них сообщили, что имели дело с таким вирусом, хотя масштабы его применения пока крайне малы.

Как работает вирус

Впервые эксперты Group-IB зафиксировали новый вид атаки весной 2019 года, когда до функции автозалива был модифицирован новый мобильный Android-троян Gustuff, созданный в декабре 2018 года русскоязычным хакером. Однако этот тип вируса угрожал только 100 иностранным банкам, в том числе в США, Польше, Австралии, Германии и Индии.

Как может заразиться смартфон

Мошенники маскируют вирусы под приложения (игры, браузеры) или файлы (книги и т.п.), затем распространяют их в виде ссылки на сайтах для взрослых, сайтах со взломанными приложениями и пиратскими фильмами, торрент-трекерах, по электронной почте и СМС. Чтобы заразить смартфон, троян надо скачать и установить. После этого он начинает выполнять свои функции без ведома пользователя.

Фото: John Moore / Getty Images

Издержки хранения могут достигать 40%: как компании правильно запасаться

Эти семь привычек руководителю надо взять под контроль

Фото: David McNew / Getty Images

Европейское небо закрыто для России. Кто выиграет от этой авиаблокады

Заложники микроменеджеров: зачем компании массово возвращают людей в офис

Фото: Ilya S. Savenok / Getty Images

Ни слова о недовольстве: как быть с негативными эмоциями в коллективе

Кто столкнулся с трояном

В 2019 году с новым видом троянов столкнулись клиенты минимум двух российских банков — Почта Банка и МКБ, рассказали РБК их представители.

В Почта Банке также фиксируют единичные случаи подобных атак, но банку удалось их предотвратить.

В ВТБ, Росбанке и Райффайзенбанке подобных атак не фиксировали (в ВТБ подчеркнули, что банк не видит, находится ли подобный вирус на устройстве клиентов, поэтому опираются на их жалобы, которых не поступало). Остальные крупные кредитные организации на запрос РБК не ответили.

Всего за год (с июля 2018 по июнь 2019 года) с помощью троянов для Android хакеры смогли украсть 110 млн руб., говорится в отчете Group-IB. По сравнению с аналогичным периодом годом ранее этот показатель упал на 43%. Сократилось и число группировок, которые используют эти вирусы в России, — с восьми до пяти. Перестали действовать трояны с наибольшим числом мошеннических транзакций. В среднем в день происходит около 40 успешных атак, а сумма одного хищения составляет 11 тыс. руб., посчитали в Group-IB.

Читайте также: