Алексей Боярский - 151 угроза вашему кошельку

Сейчас многие банки практикуют использование дополнительных одноразовых паролей, список которых выдаётся пользователю. Причём пароли принимаются только в последовательности, указанной в списке. То есть пока, допустим, пароль № 2 не будет использован, пароль № 3 не сработает. Но и эту предосторожность воры уже научились обходить. Пользователь заходит на страницу банка, забивает пароль, а сидящий в его компьютере троян имитирует отказ в авторизации и предлагает ввести другой пароль. Пользователь пытается войти в систему по второму паролю – сработало, доступ к счёту получен. Вот только получен он именно вводом первого пароля, а второй пароль из списка, на самом деле ещё не использованный, попадает в руки воров.

Или другой, вроде бы надёжный вариант, когда необходимый для дополнительного ввода одноразовый пароль высылается на мейл пользователя в момент авторизации по основному паролю. Считается, что перехватить его не успеют. Как показывает практика, успевают. Собственно, всеми данными для доступа к почтовому ящику жертвы злоумышленники располагают благодаря тому же трояну. Единственная на сегодняшний день более или менее эффективная защита пользователя, по мнению экспертов, – это двухфакторная аутентификация. То есть когда одновременно вводится два пароля, каждый из которых поступает по разным каналам. Один, допустим, приходит на мейл, а второй – на мобильный телефон. Естественно, у злоумышленника не должно быть возможности дистанционно заменить номер мобильного телефона, на который будут приходить SMS, – меняют его только в отделении банка и только при личной явке клиента. Или второй пароль генерируется специальным устройством (крипто-калькулятором), выдаваемым пользователю банком.

Пока далеко не все отечественные банки используют двух-факторную аутентификацию, считая, что это им слишком дорого обойдётся. Соответственно, если предполагается активно пользоваться системой интернет-банкинга, лучше выбрать банк, не экономящий на двухфакторной аутентификации. Надо заметить, что некоторые данные, достаточные для кражи денег с пластиковой карты, мошенники могут получить, взломав интернет-магазин или билинговую систему, хранящие данные о покупателях. Отсюда вывод – покупать в Сети только в надёжных магазинах с хорошей защитой. А лучше – завести для расчётов в Интернете отдельную дебетовую карту и пополнять её по мере необходимости.

Разумеется, фишинговые технологии выманивания данных счетов могут применяться и вне Сети. Вот, например, случай так называемого «мобильного фишинга», на который в своё время многие попались. Злоумышленники рассылали сообщения от имени известных московских банков с отказом в получении кредита. Прочитав эту новость, человек, как правило, пожимал плечами, поскольку никаких заявлений о выдаче кредита в эти банки не подавал – ошибка, с кем не бывает. Но через месяц автоинформатор через звонок на мобильный телефон сообщал ему, что на его карточном счёте образовалась задолженность, которую необходимо погасить, а для решения вопросов по задолженности просил связаться с банком. Возмущённый гражданин набирал указанный номер и заявлял дружелюбному «менеджеру», что никаких кредитных карт в его банке не получал, после чего «менеджер» переводил вызов на «сотрудника службы безопасности». Тот выражал озабоченность проблемой и предлагал продиктовать паспортные данные и реквизиты кредитных карт, выданных другими банками (!), якобы для того, чтобы проверить, не было ли и с этими картами фактов мошенничества. Разновидностей подобных приёмов море. Надо сказать, что мы описали здесь лишь самые распространённые способы мошенничества. Головы у электронных злоумышленников хорошие, и они постоянно придумывают что-то новое.

Помимо фишинга существует масса и иных методов выяснения данных, необходимых для увода денег с «пластикового» счёта, кстати, не только для доступа в систему интернет-банкинга, но и для снятия средств в банкомате, расплаты в магазине и т. д. А собственно, какие же данные необходимы преступнику? Критерием для выдачи наличных в банкомате служат введённый пин-код и, конечно, информация, записанная на магнитной полосе пластиковой карточки. Для совершения операции в этой записи должны содержаться номер карты, срок окончания ее действия, то есть данные, выбитые на лицевой стороне «пластика», а также некий трёхзначный код. В системе Visa он называется CVV, у MasterCard – CVC. Не надо путать их с кодами cvv2/cvc2 на полосе подписи карты, которые используются для совершения интернет-транзакций. Коды CVV и CVC хранятся только на магнитной полосе и служат для банка инструментом определения её подлинности, своеобразной «электронной подписью» карты.

Ввели эти коды в конце 80-х годов в связи с массовым мошенническим снятием наличности с карт в банкоматах в Великобритании. При этом обворованные вкладчики своих карт не теряли. Поначалу банки грешили на клиентов: кого-то подозревали в мошенничестве, кому-то советовали присмотреть за детьми, которые могли узнать пин-код и пользоваться картами тайком от родителей. Однако пострадавших становилось всё больше, к делу подключилась пресса, и банки признали, что злоумышленники каким-то образом получают дубликаты карт и узнают пин-коды. Скотленд-Ярду удалось поймать преступников только через два года – помог случай. У девушки, попавшей в полицию после драки в баре, нашли в сумочке кучу «белого пластика» – карточек без опознавательных знаков, но с магнитной полосой. Технология мошенничества оказалась весьма проста. Преступники арендовали квартиры в многолюдных местах – такие, чтобы из окна были видны банкоматы. Вооружившись фотокамерой с длиннофокусным объективом, один злоумышленник фотографировал карты в тот момент, когда их вставляли в банкомат, а второй смотрел в бинокль и засекал набираемый пин-код. Оставалось только с помощью нехитрого прибора нанести всю полученную информацию на магнитную полосу поддельной карточки.

Как ни странно, и сегодня есть банки, которые игнорируют возможность контроля посредством кодов CVC/CVV. Причина такого легкомыслия не совсем понятна, ведь проверка кодов CVC/CVV увеличивает стоимость трансакции для банка на какие-то копейки. Кстати, ни один банковский сотрудник, занимающийся пластиковыми картами, никогда не признается, что контроля CVC/CVV в его заведении нет, – хотя бы из-за того, что платёжные системы тут же наложат на банк крупный штраф. Сегодня, кстати, технологии «подглядывания» шагнули значительно дальше «бинокля и длиннофокусного объектива». Например, в гнездо приёма карточки банкомата мошенники вставляют устройство, считывающее магнитную полосу карт, а в верхней части банкомата устанавливают миниатюрную камеру, снимающую, как законный держатель карты набирает на клавиатуре банкомата пин-код. Появились даже специальные фальшивые клавиатуры, которые накладываются сверху на настоящие и «запоминают» набранный ничего не подозревающей жертвой пин-код.