26 August 2013

Безопасность банковских пластиковых карт — миф или реальность?

Information Security
From Sandbox
Все больше людей пользуются пластиковыми банковскими картами. Лишь немногие знают, чем одна карта отличается от другой. (Visa от MasterCard, карта с чипом от обычной карты с магнитной полосой). Многие хранят деньги на пластиковой карте, так как считают, что там они более защищены от воровства. Так до недавнего времени было и со мной. Простой поход по магазинам обошелся в 0 р. на счету и при этом карта ни разу не была использована. Разве такое возможно? Оказывается вполне даже. Этот пост скорее для тех людей, которые еще верят в защищенность кусочка пластика с магнитной полосой и доверяют ему все свои сбережения.


Техническая сторона


На сегодняшний день в обиходе самыми распространенными являются карты с магнитной полосой и карты с чипом. Второй вариант в чистом виде в России почти не используется — в качестве его альтернативы используют гибридный вариант (чип + магнитная полоса).

Карта с магнитной полосой




Для данного типа карты информация заносится на магнитную полосу. Карты с магнитной полосой бывают трёх форматов: ID-1, ID-2, ID-3 (наиболее распространен формат ID-1). Магнитная полоса содержит 3 дорожки (чаще всего используют только 2), на которые в закодированном виде записывают номер карты, срок ее действия, фамилию держателя карты и тому подобные данные. Наиболее полно и точно карты с магнитной полосой описаны в стандартах:

  • ISO-7810 «Идентификационные карты — физические характеристики»;
  • ISO-7811 «Идентификационные карты — методы записи»;
  • ISO-7812 «Идентификационные карты — система нумерации и процедура регистрации идентификаторов эмитентов» (5 частей);
  • ISO-7813 «Идентификационные карты — карты для финансовых транзакций»;
  • ISO-4909 «Банковские карты — содержание третьей дорожки магнитной полосы»;
  • ISO-7816 «Идентификационные карты — карты с микросхемой с контактами» (6 частей)


Большинство видов пластиковых карт имеют размер, определённый стандартом ISO 7810 ID-1. Какие же средства защиты (помимо магнитной полосы, на которую заносится информация о владельце) позволяют отличить данную карту среди многих других? Подобная информация так же заносится в штрих код. Например, у «Связного банка» при переводе денег на счет достаточно знать именно штрих-код. Идентифицировать владельца так же можно при помощи образца его личной подписи на обратной стороне. Так же все карты имеют идентификационный номер, срок действия и специальный код CVV2 или CVC2 на обороте. Этих данных достаточно чтобы совершать платежи через Интернет. Многие банки так же наносят на свои карты голографические знаки.

Гибридная карта с чипом




В отличии от карт с магнитной полосой, при совершении транзакций задействуется именно информация с чипа. Чип обладает большим объемом памяти, и информация на нем подвергается более сложному типу шифрования. При осуществлении транзакции картой с магнитной полосой, она всегда имеет одинаковые идентифицирующие карту данные, которые передаются в банк. Поэтому их можно скопировать и изготовить поддельную карту. Микропроцессорная карта работает иначе: каждая транзакция подтверждается специально сформированным для нее кодом, и для каждой последующей операции требуется новый код, сделать дубликат фактически невозможно. Гибридный вариант прижился ввиду сложного перехода техники принимающей карты на новый тип данных. Сейчас чипы умеют читать практически все устройства принимающие пластиковые карты. Если банкомат провел операцию с использование лишь данных с магнитной полосы, то данную транзакцию можно оспорить и банк (владелец устаревшего банкомата) обязан возместить ущерб причиненный держателю карты.

Суровая реальность


Вернемся к тому, как же так получилось, что с карты (находящейся всегда у владельца при себе) были сняты все накопления. Я могу только догадываться, т.к. все что у меня есть это образование в сфере ИТ и Интернет (который знает все). Злосчастная карта относилась к самому дешевому в обслуживании типу карт. Обычная карта с магнитной полосой (даже не именная). Какие меры защиты присутствовали на карте:

  • Магнитная полоса с информацией о владельце
  • Подпись на обороте карты
  • Голограмма с логотипом банка
  • СМС-информирование о транзакциях
  • Пин-код
  • Штрих-код


Что из этого работает?

Магнитная полоса удачно копируется специальным устройством — скиммером. После чего изготавливается дубликат карты и все что остается это узнать пин-код карты. Для этого обычно в паре со скиммером используется скрытая видеокамера или же если это сам злоумышленник в лице официанта или продавца, то он старается подсмотреть пин-код. Еще более технологичный вариант, когда к устройству ввода подключается считыватель вводимых данных.
Так же для получения данных у владельцев используются фишинговые сайты или рассылки где владельцев карт просят ввести их секретную информацию (номер карты CVV2 или CVC2 и т.п.).
Довольно распространенные случаи, когда злоумышленники портят считыватель карт так чтобы карта там застряла. Если владелец уходит, то появляется злоумышленник и завладевает картой.
Существует разновидность другого метода — кардинга (англ. carding – прочесывание). В этом случае злоумышленник завладевает базой интернет-магазина или какого нибудь онлайн банка и снимает деньги с карт к которым удается получить доступ.
Сейчас набирает обороты более сложный вариант скимминга — шимминг (от англ. тонкая прокладка). Эти устройства в отличие от скиммеров, незаметны: тонкая гибкая плата толщиной около 1 мм вставляется через щель картридера и считывает данные введенных карт, позволяя похитить номер карты и ее пин-код. Эксперты успокаивают, что до России такой вид мошенничества пока не дошел, так как это довольно дорого и трудноосуществимо. (На мой взгляд, мне попался именно этот вариант, так что эксперты могут брать себе на заметку).

Подпись на обратной стороне. Данный тип защиты вообще абсурден, если карта как в моем случае не именная, ибо владельцем может быть любой, кто нанесет подпись. В случае с дубликатом ничего не мешает нанести свою подпись и свои имя, фамилию на изготовленную копию. По своему опыту — проходил пол года с картой где стерлась подпись на обороте и только потом мне указали на это и заставили при них оставить автограф (что еще абсурднее).

Голограмма с логотипом банка. Как способ подтвердить, что у вас не поддельная карта на руках вполне может быть, но не более того.

Штрих-код. Достаточно иметь снимок карты и штрих-код легко дублируется.

Моя любимая часть — СМС-информирование. Очень полезная вещь, вы всегда будете видеть, как утекают ваши деньги. Мои утекли за 2 минуты. На то чтобы дождаться ответа от оператора в банке после череды автоответчиков и переадресаций ушло около 1,5 минут. Надо заметить, что телефон вообще можно оставить дома, или он может разрядиться или не быть доступа в сеть, да и много всего еще. Так что как способ защиты очень сомнителен. Темболее как подсказали пользователи MyHabrahabr и SpiritOfVox есть способ вообще блокировать телефон жертвы на момент «потрошения» её карты.

Итоги


Как бы это не было печально, но законодательной базы регламентирующей ответственность банков при осуществлении мошеннических действий с пластиковыми картами в России пока нет. Все случаи рассматриваются каждым банком в отдельности. Они проводят свое собственное расследование и, как правило, если вы нарушили хоть один пункт договора по использованию пластиковой карты (передали третьим лицам, хранили пин-код в доступном для других месте, сообщали информацию о сроке службы, номере карты или cv1/cv2 коды третьим лицам), то в возврате средств будет отказано. Для того чтобы иметь основания и написать заявление в банк — нужно дождаться подтверждения прохождения транзакции (около 3-х дней). До этого момента деньги еще фактически находятся на вашем счету, и оснований для обжалования транзакции нет.
Если злоумышленнику удастся получить копию вашей карты без чипа и пин-код, то, скорее всего такие операции не отличить от совершенных вами лично и тут тоже напрашивается отказ.
Несколько советов:
1) Если у вас все еще обычная карта с магнитной полосой — поменяйте ее на карту с чипом. ( не настолько она дороже, зато деньги целее будут).
2) Установите лимит на снятие денежных средств в течении суток. При включенном СМС-информировании это позволит с меньшими потерями успеть заблокировать карту.
3) Блокируйте карту сразу как появится подозрительная транзакция, многие банки позволяют производить блокировку/разблокировку карты по телефону.
4) Внимательно смотрите на устройства, в которые вставляете карту и не передавайте ее третьим лицам.
5) Если карта застряла в банкомате — сначала блокируйте ее, потом можно и бросить если нет времени или нет возможности найти лицо уполномоченное извлечь карту из банкомата.
6) Самое главное — оставайтесь людьми, не воруйте чужие деньги. У всех есть мечты, но кто-то ради них работает полжизни, а кто-то всего за 2 минуты лишает стимула продолжать верить в мечту.

Полезные ресурсы


Безопасное применение пластиковых карт
Как еще воруют деньги с пластиковых карт
Подробнее про механизм хранения данных на пластиковой карте

UPD1:
Это разновидность кардинга (онлайн-кардинг). Использование дампов для покупок в физических магазинах и комбинаций дамп + пин для обналичивания в банкоматах — это тоже кардинг.


UPD2:
Законодательная база всетаки есть. Правда практика ее применения всеравно ставится под вопрос. (спасибо scarab

Статья 854. Основания списания денежных средств со счета
1. Списание денежных средств со счета осуществляется банком на основании распоряжения клиента.
2. Без распоряжения клиента списание денежных средств, находящихся на счете, допускается по решению суда, а также в случаях, установленных законом или предусмотренных договором между банком и клиентом.


UPD3:
Связной банк — не подвел. Вчера они закончили свое расследование (оно заняло около 2-х недель) и вернули все деньги. Причем новую карту сделали сразу именную и чипованную. Исправляются, это не может не радовать.

Спасибо MyHabrahabr и SpiritOfVox за конструктивные замечания.
Tags:безопастностьпластиковые картыбанковские карты
Hubs: Information Security
+39
148.9k 230
Comments 173
Ads