Опубликован: 03.08.2011 | Уровень: для всех | Доступ: платный
Лекция 6:

Обеспечение безопасности банковских карт

< Лекция 5 || Лекция 6 || Лекция 7 >
Аннотация: В лекции приведены история создания банковских(пластиковых) карт, основные приемы злоумышленников, которые нацелены на похищение информации с этих карт, а также методы защиты от злоумышленников.

Цель лекции: Предоставить читателю знания о пластиковых картах и об их защите.

В современной жизни каждый хотя бы имеет представление о банковских пластиковых картах. Многим они даже заменяют обычные кошельки с деньгами. Это и понятно, так как с помощью пластиковой карты можно расплатиться за покупки в магазине, кафе, ресторане, онлайн-магазине, а также в других местах, где поддерживается оплата через пластиковые карты. Злоумышленники знают об этом и поэтому пытаются завладеть пластиковой картой различными методами. Методов для этого существует великое множество, и многие из них достаточно изощренны и хитры. Но если владельцы своих карточек будут знать об этих методах и методах защиты, то можно снизить риск потери своей карточки. При этом, данные на пластиковой карте расцениваются как персональные данные, так как каждая информация на пластиковой карте является индивидуальной для каждого ее владельца, а кража таких данных может повлечь ущерб для конкретного человека (владельца карты).

История банковских пластиковых карт

Теория Эдуарда Беллами о кредитных картах была воплощена в жизнь в 1914 году фирмой Mobil Oil. Эта компания занималась нефтепродуктами и использовала новоиспеченные карты собственного производства для оплаты различных торговых операций. Такие карточки были сделаны из картона с написанными на нем данными. Иногда такие данные выдавливались на картоне, что было своеобразной защитой от подделки таких карточек. Более массовое изготовление пластиковых карт было начато в 1928 году одной из Бостонских компаний. Такие карты выдавались своим самым проверенным и наиболее важным клиентам. Сами карты представляли собой металлические пластины, на которых выдавливались данные владельца карты. Использование такой карты заключалось в том, что карточка вставлялась в специальную машину, которая называлась импринтер, и данные владельца отпечатывались на именном чеке владельца такой карты. Со временем такая практика стала популярной, и стало понятно, что карточки должны стать средством не только важных людей. В течение десятилетия карта претерпевала различные технологические и внешние изменения. В 60-е появилась первая карта, которая была похожа на современные карточки. Эта похожесть была достигнута наличием магнитной полосы на карте. Позже была произведена карта, которая оснащалась электронной памятью. Изобретателем такой карты был француз Ролан Морено. Во Франции впоследствии была запатентована пластиковая карта с встроенным микропроцессором. Стало понятно, что пластиковая карта может стать универсальным устройством для оплаты различных покупок, но конкретной схемы, как это делать, на тот момент никто не знал. В дальнейшем была разработана специальная кредитная система, суть которой состояла в том, что магазин принимал от клиента в качестве оплаты персональную расписку, затем эта расписка попадала в банк, а банк уже перечислял со счета владельца расписки на счет магазина необходимую сумму. Эта схема стала основой работы пластиковых карт. Затем появилась крупная и ныне известная пластиковая карта American Express. Она быстро завоевала популярность, и около полумиллиона человек стали ее обладателями. Это объяснялось тем, что карта имела огромные финансовые возможности для кредитования и огромную международную сеть, которая обслуживала различные дорожные чеки компании, а также различные американские отели. Успешный выход карты быстро подхватили различные банки, которые стали применять кредитные карты для проведения финансовых операций. Единственным минусом для владельцев этих карт были огромные суммы по содержанию самой карты, а также некоторые отчисления банку с каждой денежной операции. Сначала различные банки продавали свою схему и технологии создания кредитных карт другим организациям, а затем они стали выкупать все это обратно. Лишь банки, у которых основная масса владельцев была достаточно богатыми людьми, могли позволить себе остаться на плаву. Впоследствии банки задумались о том, как именно расширить контингент владельцев пластиковых карт. Началась крупная монополизация между двумя основными банками Америки. Эта монополизация привела к тому, что банки, которые только начинали выпуск пластиковых карт, должны были присоединиться к одному из двух банков. Естественно, не все банки были довольны таким поворотом событий, и начинались различные судебные разбирательства и ухищрения, созданные с целью отказа от присоединения к двум крупным банкам.

В Европе тоже активно шло использование и распространение пластиковых карт. Самой первой стала Великобритания, которая дала британским банкам лицензию на использование своих именных карт. Впоследствии, Британские ассоциации отелей и ресторанов начали выпускать свои универсальные кредитные карты, которые, по сути, не являлись банковскими кредитными картами. Швеция также не осталась в стороне, она старалась конкурировать с Великобританией за новый рынок. Но, впоследствии, шведская компания Rikskort объединилась с британскими ассоциациями и учредила компанию Eurocard International. Это был своеобразный прорыв в Европе по отношению к пластиковым картам. Этому примеру последовали различные Американские компании. Потом шла полоса объединений различных компаний, как по Европе, так и в Америке, а также между собой. Результатом этих объединений стали две популярные карточки "Visa" и "MasterCard".. Естественно, развязалась война за рынок между двумя крупными брендами, а также некой JCB, которая тоже имела большое количество держателей своих карточек. В результате оказалось, что в современной банковской системе крупнейшей платежной организацией является "Visa". Ее доля рынка составляет около 60% от всех банковских карт. Второй популярной карточкой является "MasterCard". Ее доля рынка составляет около 30% рынка. Остальные 10% приходятся на карточки других международных организаций и различных банков, которые пытаются хоть как-нибудь потеснить крупные бренды на рынке. Чтобы привлечь владельцев карт, банковские организации стараются создать выгодные условия для владельцев карт. Впрочем, пока ни у одной компании не получается пошатнуть мировое лидерство крупных брендов. В России к 2009 г. выпущено 130 млн. банковских карт (данные Центробанка). На 1 октября 2010 г. количество карт превысило 137 млн. шт. Больше всего карт эмитирует Сбербанк - около 1,5 млн. в месяц. Тем не менее, 89% операций по банковским картам в России - простое снятие наличных, на каждую карту приходится всего в среднем 20 операций в год.

Общее строение пластиковых карт

Для того, чтобы понять, как именно злоумышленники крадут информацию с кредитных карт, надо понять внутреннее и внешнее устройство самой пластиковой карточки. Большинство карт имеют формат, определенный стандартом ISO 7810, и размеры 85.6*53.98мм и используют в качестве носителя данных магнитную полосу. На лицевой стороне карточки может быть любое изображение или просто фон. Также на лицевой стороне присутствует логотип платежной системы, которой принадлежит карточка, номер самой пластиковой карточки, а также имя владельца (при условии, что карта является персонифицированной), а также указывается срок действия карты. На обратной стороне карты находится магнитная полоса, а также бумажная полоса, на которой владелец карты ставит свою личную подпись. Также на обратной стороне карты находится специальный код. Одна из проблем, с которой сталкиваются производители пластиковых карт, является проблема дизайна самой карточки, ведь необходимо создать качественный, яркий, запоминающийся дизайн, который в свою очередь будет соответствовать различным стандартам в картостроении. Саму же карточку делают из материала, который носит название поливинилхлорид. Благодаря этому материалу можно наиболее легко создавать обычные пластиковые карты. Дело в том, что материал легко поддается обработке, а также устойчив к различным температурным режимам, которые используются при создании самой карты, а также при ношении самой карты владельцем. Также благодаря этому материалу карточка может быть беспрепятственно окрашена в любой цвет на производстве, при этом качество самого цвета не искажается, что является несомненно удобным, а также надежным показателем того, что цвет не спадет со временем. Кроме того, этот материал часто используют при технологии ламинирования карточек. Метод ламинирования активно применяется к пластиковым картам, к которым предъявлены повышенные требования в прочности. При ламинировании отдельные слои листового материала формируются в цельный остов карты под воздействием высоких температур и давления. Попутно можно заметить, что отчасти использование многослойных материалов связано с технологическими ограничениями или технологическими особенностями. Также обязательный элемент пластиковой карты - магнитная полоса на оборотной части карточки. На магнитной полосе нанесены основные данные карточки, ее владельца, а также доступ к внутреннему счету. Благодаря этой технологии современная пластиковая карточка может быть применена в различных местах без установления обязательной личности владельца карты. То есть за владельца карточки может расплатиться другой человек при наличии самой карты.

Методы кражи информации с пластиковых карт

Злоумышленники не стоят на месте, они прекрасно понимают, что пластиковая карта является своеобразным хранилищем персональных данных ее владельца. Благодаря тому, что основная часть данных нанесена на магнитную ленту карточки, злоумышленники могут красть информацию с карточки, если смогут снять отпечаток этой магнитной полосы. В настоящее время такое занятие в кругу злоумышленников носит общее название - кардинг. Кардинг сейчас является одним из основных доходов для злоумышленников разных стран. Но как же злоумышленники могут получить данные с магнитной полосы владельца? Самый распространенный вариант заключается в том, что существуют специальные устройства, которые считывают и запоминают данные магнитной ленты. Полученные данные называются дампом карты, и впоследствии дамп используется при создании поддельной пластиковой карточки. Сами же устройства выглядят как обычные устройства для принятия карточек, но с одной поправкой - они не только считывают данные магнитной полосы, но еще и запоминают их. Обычно такие устройства устанавливаются в недобросовестных магазинах и кафе. Владелец карты может не заметить, как кассир проведет карточку не только по официальному устройству считывания информации карты, но также и по такому подставному устройству. В результате таких манипуляций кассир в буквальном смысле размножит пластиковую карточку владельца. Сами же данные с магнитной ленты владельца карты могут быть проданы впоследствии на черном рынке за неплохую сумму. Именно поэтому владелец своей карточки должен помнить об этом факте и внимательно следить за тем, куда именно отходит кассир, и через какие аппараты он проводит пластиковую карту владельца.

Другим способом получения персональных данных владельца является использование различных сайтов, которые являются онлайн-магазинами. При этом, пользователь должен для регистрации внести данные о себе и о своей пластиковой карте. Для того, чтобы можно было производить операции по пластиковой карте в сети Интернет, необходим сам номер пластиковой карты, данные владельца карты, а также номер на задней стороне пластиковой карты. Если злоумышленник получит все эти данные, то он сможет свободно пользоваться карточкой в виртуальном пространстве, выдавая себя за владельца этой самой карты. А получить все эти данные злоумышленник сможет, если пользователь сам добровольно укажет их на сайте. Обычно пользователи не могут увидеть подвоха в новоиспеченном онлайн-магазине, который предлагает пользователю выгодные покупки через сеть Интернет. Но нельзя сразу же доверять свои персональные данные, а также данные кредитной карты незнакомым лицам. Пользователь всегда должен помнить, что его данные могут использоваться в корыстных целях. Именно поэтому вначале рекомендуется проверить подозрительный сайт на различные сертификаты с банками (обычно на доверенных сайтах торговли всегда выводят различные данные о том, с какими банками заключены соглашения, а также о том, сколько лет существует сам сайт). Если сайт является новым в сфере торговли, и его подлинность невозможно установить окончательно, рекомендуется воздержаться от внесения различных собственных персональных данных на такой сайт. Иногда злоумышленники используют метод, при котором они создают копию оригинального сайта, а потом с помощью социальной инженерии злоумышленники пытаются добиться того, чтобы пользователь занес свои персональные данные на сайт. При этом на электронный ящик действительного владельца карты может попасть сообщение примерно следующего вида: "Уважаемый клиент системы. У нас произошло внеплановое обновление системы, и мы просим вас обновить свои данные на сайте." И указывается ссылка на сайт. В таком случае пользователь должен помнить, что настоящая организация, даже если и пришлет какую-либо информацию о том, что пластиковая карточка нуждается в обновлении, она будет использовать конкретно имя и фамилию пользователя, а не слова вроде "уважаемый клиент". Пользователь должен помнить об этом и всегда настороженно относиться к тому, если к нему на почту попадет сообщение с просьбой поменять данные пластиковой карты. В крайнем случае, если пользователь не до конца уверен в том, надо или нет обновлять данные пластиковой карты, то он не должен переходить по ссылке, которая указана в самом письме. Лучше всего самому внести название системы в адресную строку и самостоятельно зайти на сайт системы, и там уже убедиться в том, надо или нет предоставлять свои данные о карточке повторно.

Другой известной практикой кражи персональных данных с пластиковых карт является практика применения специальных устройств на банкоматах. То есть злоумышленник устанавливает в банкомат устройство для считывания карточек. При этом на банкомате практически не заметно само устройство и пользователь, не особо обращающий внимание на уличные банкоматы, не всегда сможет понять, что банкомат является поддельным. Хотя на самом деле все гораздо проще. Любое дополнительное устройство является своеобразной насадкой над обычной деталью банкомата, и поэтому его можно легко отличить от настоящего. Если у владельца карты есть сомнения по поводу безопасности банкомата, он может даже подергать за картоприемник банкомата. Насадное устройство при этом останется в руках у владельца карты, настоящие же картоприемники в большинстве своих случаев являются литыми и впаянными внутрь самого банкомата. Из этого следует, что поддельные устройства картоприемника можно самому снять вручную. Только необходимо учитывать тот факт, что подобные действия не должны доходить до банального вандализма, так пользователя могут уличить в умышленной поломке банкомата. Кроме того, из интересных нюансов поддельного картоприемника можно выделить нюанс с тем, что пластиковая карточка может неполностью входить в такой банкомат, она может входить туда с большим трудом, так как насадные устройства устанавливаются в спешке, чтобы никто не заметил этого, и такая спешка может сыграть на руку обычным честным владельцам банковской карты. Также некоторые банкоматы стали в своей технологии приема пластиковых карт использовать новые методы: вначале втягивается карточка в приемное устройство, затем немного выталкивается наружу, а затем уже окончательно втягивается внутрь банкомата. Это предназначено для того, чтобы сбить последовательность считывания информации с пластиковой карточки насадным устройством, что делает невозможным использование такой информации в дальнейшем. Если владелец пластиковой карточки знает о существовании такого банкомата, то будет гораздо лучше, если пользоваться он станет только им. Также желательно не вставлять свою пластиковую карту в ночное время суток, так как очень часто злоумышленники ставят насадные устройства на картоприемник именно ночью. Интересен и тот факт, что не только насадка на картоприемник является неотъемлемой частью банкомата, которая крадет данные, но также злоумышленник должен установить специальную насадку на клавиатуру банкомата. Такая клавиатура, по сути, является механическим кейлоггером, целью которого является съем данных о PIN-коде, который будет вбивать владелец карты при использовании карточки в банкомате. В такой клавиатуре также установлен разобранный мобильный телефон, который настроен на отправку смс сообщения злоумышленнику. Клавиатура самого банкомата является металлической, поэтому чтобы у владельцев карточек не возникало каких-либо подозрений, злоумышленникам приходится изготавливать поддельную клавиатуру из того же металла, что и настоящая клавиатура. При этом поддельная клавиатура выделяется от обычной плоскости банкомата примерно на 1см, что дает легкую возможность обнаружить поддельную клавиатуру банкомата. Чтобы убрать такую легкую возможность обнаружения, злоумышленники делают специальную расширенную клавиатуру, которая полностью накладывается на поверхность банкомата и не оставляет никаких выпуклостей и зазоров. Это дает определенные сложности при определении подобной накладной клавиатуры. Сами же смс сообщения отсылаются обычно после нажатия клавиши "Enter" на такой клавиатуре. Об этом необходимо помнить и, по возможности, нажимать клавишу ввода не на самой клавиатуре, а на лицевой панели экрана банкомата. В какой-то мере это позволит избежать печальных последствий, возникших из-за кражи персональных данных владельца пластиковой карты. Впрочем, существуют клавиатуры, которые отправляют смс после каждой нажатой клавиши. От таких клавиатур, к сожалению, не защититься стандартными методами. Исходя из вышеуказанной информации о банкоматах, пользователь должен обращать внимание на следующие вещи при использовании банкомата:

  1. Целостность самого банкомата
  2. Целостность картоприемника банкомата
  3. Целостность клавиатуры банкомата

Но кроме механического воздействия на банкомат есть также различные устройства, которые позволяют "подчинить" банкомат на программном уровне. Относительно недавно стала появляться информация о том, какие именно программные средства используются в банкомате. На различных черных рынках информационных технологий появились различные данные о том, что можно купить "слепки" программного обеспечения банкоматов. Как следствие такие детали программного обслуживания банкоматов открывают перед злоумышленниками новые возможности по краже персональных данных пользователей. Злоумышленник теоретически может перепрограммировать банкомат и спокойно считывать с него информацию без каких-либо физических устройств. На данное время таких крупных случаев кражи данных не зарегистрировано, но есть вероятность, что они могут возникнуть. Тем более, что есть данные о перепрограммировании банкоматов в своих личных целях. Первое такое упоминание возникает в 2006 году, когда злоумышленник без помощи каких-либо посторонних средств смог обмануть банкомат, заставив его поверить в то, что злоумышленник дает банкомату 50-ти долларовые купюры вместо 20-ти долларовых. Позже этот жулик признался в том, что пароли от банкоматов легко найти в сети Интернет. Тогда эта новость всколыхнула общественность, и все стали пророчествовать, что персональные данные будут красться именно способом перепрограммирования банкоматов. Однако крупных упоминаний о таких случаях не обнаружено. В любом случае владелец карточки должен обращать внимание еще и на какие-либо неожиданные сбои в работе банкомата. Если они есть, то лучшим выходом из этого положения будет обращение к банковской службе. Также пользователь пластиковой карты должен помнить, что если у него есть выбор между использованием банкомата на улице и использованием банкомата внутри банковского помещения, то лучшим выбором будет выбор в сторону банковского помещения, так как банкоматы, находящиеся в банковском помещении, гораздо меньше подвержены стороннему вмешательству со стороны злоумышленников. Также лучше всего пользоваться самими банкоматами в утреннее время суток: ведь в это время суток часто сами сотрудники банка контролируют и обслуживают банкоматы.

А что делают преступники после того, как они смогли украсть персональные данные с карточки владельца? Обычно на простом куске пустого пластика злоумышленники наклеивают поддельную магнитную полосу, на которой занесены украденные персональные данные владельца карточки, и затем с помощью такой псевдокарты злоумышленники пытаются снять деньги в банкомате. Естественно, такой карточкой невозможно расплатиться в магазине. Для расплаты за различные товары и услуги в магазинах само производство поддельной карточки становится достаточно трудоемким процессом, но если на карточке должны быть большие денежные средства, тогда стоимость создания поддельной пластиковой карты безусловно окупится. Также злоумышленники могут оформить новую настоящую кредитную карту, используя украденные данные владельца кредитной карты: имя, дату рождения, серию и номер паспорта. В результате все расходы, которые осуществляет злоумышленник, будут отражаться на действительном владельце карты, что, несомненно, приведет к большим расходам у владельца карты. Также существует метод, когда злоумышленник регистрируется на аукционе под двумя аккаунтами (аккаунтом продавца и аккаунтом покупателя) и, фактически, сам у себя выкупает виртуальный товар. Естественно, никакой товар на самом деле не покупается, а все операции направлены на то, чтобы лишить настоящего пользователя пластиковой карты своих денег. К сожалению, на данный момент все преступления, которые связаны с кражей и использованием чужих пластиковых карточек, являются труднонаказуемыми, а само такое преступление трудно предотвратить. Владельцу пластиковой карты необходимо самому рассчитывать на бдительность и осторожность при использовании пластиковой карты.

Если все-таки украли

Если пользователь карты чувствует, что его деньгами распоряжаются в разные стороны, если он не понимает, чем именно вызвано резкое снижение суммы на его банковском счету, то он должен обратиться в соответствующие органы. Пользователь карточки должен понимать, что если он вовремя не обратится в органы правопорядка, то он может упустить момент, когда злоумышленника можно поймать. Злоумышленники очень часто берут именно количеством самих краденых карточек. Ведь гораздо надежнее снять с 100 карточек по 1-му доллару, чем снять с одной карточки сразу сто долларов. В этом случае злоумышленник надеется на то, что исчезнувшая сумма будет незаметна владельцу пластиковой карты, а если и заметна, то он не будет обращаться в органы правопорядка ради такой суммы. К сожалению, многие пользователи своих пластиковых карт так и делают, а потом не понимают, как они смогли допустить утечку крупных сумм с своих пластиковых карточек. Также иногда сами банки блокируют карточки пользователей, если обнаруживают следы нечестного использования данных на карточке. Обычно такие данные сообщаются владельцу пластиковой карты посредством смс сообщения. Но не всегда можно верить таким смс сообщениям. Необходимо помнить, что и преступники могут воспользоваться подобной схемой обмана и присылать вам лживые смс о том, что ваша пластиковая карта заблокирована. Обычно в таком лживом смс сообщении указывается номер, на который нужно позвонить. Необходимо запомнить, что банк обычно не указывает никаких номеров в присылаемых смс сообщениях. Сами же лживые смс сообщения являются одним из методов заработка денег пользователя на использовании методов социальной инженерии (в этом случае пользуются страхом пользователя).

Пользователь также должен помнить о том, что наилучшим помощником в отслеживании его банковского счета может стать отслеживание с помощью смс рассылки от банка. В такой смс рассылке обычно указывается место, где пользовались картой, наименование операции по карточке, ее результат, а также сумма, на которую была произведена эта операция. Такая смс рассылка может помочь эффективно отслеживать состояние счета пользователя, а также понять на какие именно операции пользователь расходует больше всего денежных средств (это необходимо, если пользователь хочет вести свою домашнюю бухгалтерию расчетов операций по карте). Стоит отметить, что такая смс рассылка стоит малые деньги, но является эффективным средством отслеживания. Если же пользователь не хочет/не может подключить себе смс рассылку, то он должен периодически брать выписки из банка по всем операциям, которые были проведены по карте. Причем такие выписки необходимо брать хотя бы раз в месяц, а если пластиковая карточка используется достаточно часто, то и два, и три раза в месяц. При этом выписку необходимо внимательно изучить и вспомнить, такие ли суммы расходовались, которые указаны в банковской выписке. Следует помнить, что даже при обнаружении малой суммы, которая не могла быть снята, необходимо обратиться в правоохранительные органы, чтобы выяснить, не украдены ли ваши данные с карточки злоумышленником.

< Лекция 5 || Лекция 6 || Лекция 7 >
Александр Мишин
Александр Мишин
Яна Емельянович
Яна Емельянович

Здравсвуйте, прошла курс Основы информационной безопасности при работе на компьютере».  Почему в зачетке не появляются оценки, а стоят даты выполнения задания? 

Роман Ижванов
Роман Ижванов
Россия, Университет природы, общества и человека «Дубна»
Анастасия Шмакова
Анастасия Шмакова
Россия, Тольятти, ПВГУС, 2013