Metody kradzieży danych kart płatniczych

Czym jest Carding?

Czy znacie metody kradzieży numerów kart płatniczych jak również poufnych informacji? Jakie metody są wykorzystywane w tym ataku? Jak się przed nimi skutecznie zabezpieczyć? Na te i wiele innych pytań postaram się odpowiedzieć w niniejszym felietonie. Przedstawię oraz uświadomię problematykę ataków nazwanych carding, gdyż wiele osób pada ofiarami tych ataków, nie znając podłoża działań. Mając wgląd w typowe schematy ataków carderów będziecie mogli efektywniej wyczulić się pod kątem bezpieczeństwa swoich pieniędzy.

Skimming

Jest to kopiowanie paska magnetycznego karty. Technika wykorzystywana najczęściej przy atakach na bankomaty, gdzie złodzieje zakładają miniaturowy czytnik w miejscu, w którym klient wprowadza kartę. Jest on tak zbudowany aby nie wzbudzał podejrzeń oraz wyglądał jak część bankomatu. Do zdobycia numerów PIN osoby posiadającej kartę płatniczą caderzy używają nakładki na klawiaturę (identyczną jak w bankomacie) posiadającą własną, wbudowaną pamięć oraz zapisującą wszystkie wprowadzane do niej polecenia. Posiadając zeskanowaną kartę płatniczą oraz numer PIN atakujący bez problemu może nagrać kartę przy pomocy chociażby urządzenia MSR206, w oczywistym celu jej wykorzystania. Paradoksem jest fakt, że nagrywarka oraz czyste karty dostępne są legalnie w sklepach w Internecie. Technika skanowania i kradzieży kart płatniczych ma miejsce jest również w sklepach, restauracjach oraz innych podobnych miejscach wspierających możliwość uiszczenia opłaty kartą płatniczą. Aby ustrzec się przed tego typu atakami musimy zwracać szczególną uwagę na bankomaty, z których korzystamy, czy nie posiadają doczepionych podejrzanych urządzeń. Zwróćmy także uwagę na to co dzieje się z naszą kartą, w momencie kiedy damy ją sprzedawcy w sklepie, osobie w recepji hotelu. Jeżeli zauważymy, że została ona przesunięta ukratkiem przez inny czytnik kart, możemy w następstwie paść ofiarą carderów. Czasami sytuacje takie mają miejsce na ogromną skalę, gdzie zebrane po całym dniu na przykład w hotelu numery kart kredytowych sprzedawane są carderom po ulgowych cenach.

Instore carding

W momencie, kiedy carder posiada tylko zestanowane karty, bez kodów PIN korzysta z nich z reguły w sklepach robiąc różnego rodzaju zakupy. Potrzebuje plastiku, na który nagrywane są dane, gdzie karta posiada nadruk i hologram. Na domiar złego, karty takie są ogólnodostępne na czarnym rynku. Jeśli nie posiadają takich kart, lub dostępu do nich próbują używać starych, prawdopodobnie skradzionych z portfela, torebki - na które nanoszą własne dane. Zeskanowane karty nazywają się potocznie “dumps” a ceny ich uzależnione są od jakości karty - czy jest to karta typu classic, business, platinum a może corporate. Celem minimalnej ochrony przed sytuacją, w której ktoś posługuje się kartą bez naszej wiedzy jest stała kontrola rachunku, operacji dokonywanych naszą kartą i wszelkich aspektów, które ukażą fakt zeskanowania jej.

Wire transfers

Carderzy rozsyłają różnego rodzaju wirusy, posiadające keyloggery, zapisujące login/hasło kont bankowych, przelewając następnie pieniądze na tzw. “bank drops” czyli fikcyjne konta bankowe - wypłacając dostępne po przelewie środki. Wiele banków używa dodatkowych zabezpieczeń w postaci haseł jednorazowych, kluczy, haseł do przelewów. Gdy atakujący posiada dostęp do zainfekowanego komputera wraz z jego login/hasło konta, posiada możliwość spreparowania systemu tak, aby osoba która wpisze w swojej przeglądarce stronę banku została przeniesiona pod scam page, imitującą autentyczną stronę; prosząc o wpisanie hasła jednorazowego. Należy zachować ostrożność i w dbać o bezpieczeństwo swojego komputera, dokonywanie przelewów bankowych ze strony internetowej wymaga należytej ostrożności. Trzeba się zawsze upewnić w detalach, czy strona na którą trafiliśmy jest napewno oryginalną.

ATM cashout

Do metody tej złodzieje potrzebują są dane: numer karty, data ważności, PIN, CVV (Card Verification Number). W internecie dostępne są listy banków oraz numerów kart kredytowych, którymi można wypłacić środki finansowe przez bankomat. Karta kredytowa posiada trzy ścieżki. Na pierwszej z nich zapisywane są dane takie jak numer karty, data ważności, imię i nazwisko oraz algorytm szyfrowania. Na drugiej ścieżce znajdują się te same dane co w pierwszej oprócz imienia i nazwiska oraz litery B (od słowa bank) – oznaczającej fakt bycia kartą płatniczą. Przykład:

Ścieżka 1: B'numer_karty'^Imię/Nazwisko^'data_ważności''algorytm'
Ścieżka 2: 'numer_karty'='data_ważności''algorytm'

Każda karta posiada swój indywidualnie wygenerowany przez bank algorytm. Bankomaty odczytują tylko ścieżkę drugą. Luka w systemach bankowych polega na tym, że algorytm karty nie jest odpowiednio interpretowaty, tylko sprawdzane są dane numeru oraz daty ważności, a także PIN. Jeżeli dane są poprawne - bankomat wypłaca pieniądze. Ta metoda jest już coraz rzadziej stosowana przez carderów, ze względu na to że większość banków uaktualniła już swoje systemy zabezpieczeń.

Casino

Jest to po prostu gra carderów w internetowych kasynach, gdzie zakładają oni na przykład dwa konta. Jedno fikcyjne, na które przelewane są pieniądze z wykorzystaniem kart kredytowych, a drugie to które wygrywa legalnie. Następnie pieniądze są przelewane na konto bankowe i wypłacane.

Shopping

Zdobywanie danych poszczególnych kart kredytowych może odbywać się z wykorzystaniem metody phishingu, czyli spamowania wiadomości drogą e-mail z adresem fałszywej strony banku. Ofiarami ataku są nieuważni ludzie, którzy otrzymując taki e-mail z informacją np. aktualizacji swoich danych i konta wchodzą na podstawioną stronę, wyglądającą identycznie jak prawdziwa. Wpisują tam swoje dane, które trafiają najczęściej na konta pocztowe carderów. Częstymi atakami przeprowadzanymi są włamania na serwery utrzymujące bazy danych zawierające poufne dane i numery kart kredytowych swoich Klientów. Czasami spotkać też można informacje o dostępności takich danych kart kredytowych na forach, lub na czarnym rynku.

Pamiętajmy o należytym bezpieczeństwie i rozwadze przy dokonywaniu przelewów on-line, nigdy nie róbmy tego z kafejek internetowych gdzie w większości przypadków na komputerach użytkowników zainstalowane są programy monitorujące wprowadzane z klawiatury informacje. Uważajmy na odnośniki, nie ufajmy adresom, które mogą być spoofowane, monitorujmy raporty przelewów i zwracajmy uwagę na bankomaty, z których korzystamy. Przy zachowaniu podstawowych środków bezpieczeństwa, nie powinno dojść do sytuacji, w której pewnego dnia po zalogowaniu się na własne konto, będzie ono puste.

Realizacja: SIPLEX Studio