Осторожно: дистанционное считывание данных кредитных карт — уже реальность

«Ракурс» уже рассказывал о том, что такое скимминг, и как обезопасить себя от копирования мошенниками данных с ваших платежных карточек. Увы, технический прогресс движется столь быстрыми темпами, что банки порой не успевают, а иногда и просто не хотят внедрять новые системы безопасности, чтобы противостоять наступлению кардеров. В роли «лося» может оказаться любой клиент, особенно если для охоты на него задействована целая индустрия киберпреступности.

Напомним, в прошлой статье речь шла о специальных антискимминговых накладках — пассивных устройствах, задачей которых является просто заполнить свободное место около картоприемника, чтобы некуда было установить скиммер. Но, как признают специалисты, уже не существует ни одной такой конструкции, которую бы не скопировали азиатские умельцы. Да и, собственно, скопировать-то нужно всего лишь кусок пластика определенной формы. Теперь уже нельзя быть уверенным, что в банкомате используется установленная банком накладка, а не ее точная имитация, нафаршированная шпионской техникой. Конечно, нужно сверить картинку на заставке банкомата с тем, что можно видеть, но не факт, что удастся отличить, оригинальная там накладка или с «подарком» от скиммеров.

Еще одна вариация технологичной разновидности кардинга — шимминг. Впервые о нем рассказал в конце 2010 года эксперт по безопасности Cisco Systems Джейми Хири. В отличие от наружной скимминговой накладки, размер которой меньше спичечного коробка, шиммер внешне похож на плотный скотч — гибкую самоклеющуюся ленту шириной с карточку. Вместе к картой-болванкой шиммер вводят в банкомат, где он приклеивается к внутренней части картоприемника, точно пристраиваясь к его контактам. Фактически это подключение изнутри банкомата. Пластиковая болванка вынимается обратно, а закладка остается внутри устройства. Функционирует она так же, как обычный скиммер, — перехватывает данные и посредством микропередатчика ретранслирует их на принимающее устройство. И все это осуществляется на тонкой пленке. К счастью, такое чудо техники — пока не массовый продукт кардинговой индустрии, хотя департамент полиции Неаполя уже извлекал и демонстрировал шиммер широкой публике.

В экспертной среде поговаривают, что мошенники могут отсканировать магнитную карточку и без физического контакта с ней. Например, прижавшись к клиенту в метро и сделав резкое движение, просто пошатнувшись в ритм движения вагона. Ведь для физики процесса неважно — карта движется относительно головки считывания или наоборот. Главное — зафиксировать колебания магнитного поля. Усилить его, убрать сторонние шумы и наводки посторонних полей — это уже дело техники. Конечно, PIN-код в таком случае извлечь неоткуда, но для изготовления дубликата карты для расчетов в торговой сети или на некоторых сайтах в интернете данных вполне достаточно.

Схожая проблема есть и у последнего писка моды в сфере карточных платежей — бесконтактных расчетов, основанных на технологии ближней радиосвязи NFC, которую, кстати, активно внедряют в Украине в ряде ресторанов быстрого питания и продуктовых сетевых супермаркетах. Неназванный немецкий эксперт по безопасности летом прошлого года выложил на GooglePlay Market программку для смартфонов на операционной системе Android, которая имитировала торговый терминал и вполне успешно дистанционно запрашивала данные банковских карт. «Умные» NFC чипы, естественно, отвечали «терминалу» на его запросы.

Бесконтактные платежи обычно выгодны торговцам, поскольку позволяют максимально разгрузить очереди там, где есть большой поток покупателей. NFC — инструмент увеличения продаж за счет роста товарооборота благодаря сокращению времени обслуживания одного клиента. А в сочетании с тем, что не нужно вводить PIN-код для покупок до 100 грн (10 евро в Европе), торговые точки могут пропускать больше людей. Это удобно не только торговцам, но и кардерам, сканирующим радиоканал. Правда, представители платежных систем в общении с автором данных строк утверждали, что подобная точка зрения — паранойя. Мол, лимиты выставлены небольшие, платежи производятся на расстоянии нескольких сантиметров, риски минимальны, все шифруется. И вообще, бизнесу удобно. Вряд ли с их точкой зрения согласилась бы компания Symantec, обнаружившая упомянутую выше немецкую программу Android.Ecardgrabber и сознательно оповестившая всех заинтересованных о существующей дыре в системе безопасности, дабы разработчики обеспокоились и приняли меры. А если бы промолчала, и софт ушел в тираж?

Клиент может быть тысячу раз внимателен, но это ему особо не поможет. Остается только грамотно управлять своими карточными лимитами, не пропускать СМС-уведомления, если, конечно, они пришли вовремя, и почаще менять карты. Так, на всякий случай.

Пока банки стараются не говорить о возможностях дистанционной кражи карточных данных, неугомонные китайцы наладили выпуск специальных алюминиевых портмоне, внешне напоминающих визитницы. Эдакие экранированные бумажники. Кстати, на днях лично рассматривал сей товар в Москве в приличном торговом центре. И продавец позиционировал его именно как безопасное портмоне для хранения платежных карточек с защитой от дистанционного съема информации. Вероятно, одни назовут это бизнесом, другие — лекарством от паранойи.