Information Security
August 2009 13

Махинации с Бюро Кредитных Историй

Original author: Christopher Soghoian
Translation
В недавнем посте «Кредитные хакеры»: методика банковских манипуляций
была выжимка методов махинаций кардеров с Бюро Кредитных Историй в США.
В том посте давалась ссылка на полный материалпо этой теме за авторством Кристофера Согояна (Christopher Soghoian). За перевод данного материала я и взялся, так как самому было интересно, да и нашлись еще хабрапользователи, кому было бы интересно почитать.
Так как текст довольно объемный, то решил его публиковать частями по мере перевода.
Содержание
1. Введение
2. Система потребительских кредитов в США

3. Как получить выгоду от кредитной системы
4. Кредитные уязвимости и эксплоиты
5. Предлагаемые улучшения 
6. Заключение

PS ссылки в тексте не переведены и находятся в оригинале перевода.
PS2 спасибо юзеру rusxg, который неожиданно подключился к переводу текста.

Махинации с бюро кредитных историй.

Аннотация

В данном документе будут описаны лазейки и эксплоиты применимые к Бюро Кредитных Историй США, которые позволят существенно повысить свой (или чей-то) возможный кредит на сотни тысяч долларов.
Хотя описанные ниже методы использовались для личной (легальной) выгоды небольшого кардерского комьюнити, те же самые методы могут использоваться и куда менее честными людьми — криминальными личностями с целью нарушить закон, втянуть в пирамиду кучу людей и свалить с деньгами.
Целью данного документа является освещение этих эксплоитов, их анализ сквозь призму сообщества по компьютерной безопасности, а также предложение исправлений, которые значительно снизят эффективность существующих эксплоитов, с какими бы намерениями они не использовались.

1. Введение

Экономика США во многом зависит от предоставления детализированной информации кредитной истории покупателя [1].
Благодаря кредитной системе, покупатель, не имеющий никаких отношений с автосалоном, может придти, выписать чек и укатить на новеньком авто за 50,000$ [2].
В странах, где нет системы кредитных историй, вам бы пришлось расплатиться наличкой или же получать гарантийное письмо от банка, которое подтвердит вашу платежеспособность.

Три частные корпорации, известные как Бюро Кредитных Историй (БКИ), собирают и распространяют информацию о истории платежей и кредитоспособности миллионов американцев [3].
Финансовые компании, которые одалживают деньги клиентам (с использованием кредитных карт, ипотеки или кредитов на обучение), передают финансовую информацию БКИ. Передаваемая информация может быть как положительной, так и отрицательной, и, как правило, предоставляется в виде истории платежей [4].

Бюро Кредитных Историй выступают в роли механизма учета[5] или репутационной системы[6], при помощи которой кредитор может оценить возможные риски без всякого взаимодействия с заемщиком.
Основываясь на информации, представленной в кредитном отчете, кредитор может повысить или понизить процентную ставку, потребовать внушительного первоначального взноса или же вообще отказать в кредите.

В литературе по ИнфоБезу уже были случаи атак на системы репутаций [7]. Обычно хакеры фальсифицировали информацию, хранимую системами, для ввода в заблуждение или атак третьих лиц.

В данном документе показаны уязвимости, которые постоянно используются смекалистыми пользователями для изменения своих кредитных историй.
Контролируя свою финансовую репутацию, кардеры могут получить гораздо более значимые кредиты, чем могли бы получить на самом деле.

Вообще-то это, конечно, не хаки и эксплоиты в традиционном понимании, так как не требуют не авторизованного доступа к компьютерным системам.
Более того, во многих случаях, атакующий даже не взаимодействует с БКИ напрямую, хотя его цель по-прежнему состоит в изменении кредитных данных, которые хранятся в БКИ.
А так как эти атаки не являются жульничеством или обманом, то было бы не корректно ассоциировать их с социальной инженерией.
Эти методы используют процессы в жестко сформулированных протоколах связи между БКИ и кредиторами.

Мы проанализируем эти уязвимости и их использование с точки зрения компьютерной безопасности.
Многие эксплоиты — это книжные примеры известных проблем компьютерных систем. Это race conditions, atomic data access и queue overflows [10]. Все эти проблемы тщательно проанализированы в литературе и используются хакерами.
Благодаря знаниям в областях компьютерной безопасности, финансов и права мы можем эффективно проанализировать уязвимости и предложить соответствующие решения.

Наконец, мы бы сами протестировали и извлекли пользу из этих уязвимостей, в следствие существующих юридических рисков, связанных с эксплуатацией и дальнейшей документацией данной уязвимости, но вынуждены опираться на возрастающее число аккаунтов, выкладываемых на форумах кардерами, которые впервые узнали и продолжают пользоваться данными уязвимостями [11].

Вторая глава, по сути, является введением в систему потребительских кредитов в США.
В 3-ей главе покажем несколько способов, которые могут влиять на кредитный отчет, который в свою очередь позволит вам взять в кредит кучу денег.
4-ая глава расскажет о лазейках, которые еще больше увеличат кредитные средства.
А в 5-ой главе будут предложены способы прикрытия вышеописанных лазеек.

2. Система потребительского кредитования в США

Доступность централизованных детальных отчётов о характере получения и выплаты кредитов отдельными потребителями привела к фундаментальным изменениям экономики США, а также облегчила получение потребителями новых кредитных линий [12].

Три частных бюро кредитных историй (БКИ) — Experian, Equifax и Transunion — собирают подробную информацию о фактах выплаты и получения кредитов потребителями [13].
Эта информация затем используется кредиторами для определения кредитоспособности потребителя, как уже имеющего кредиты, так и не имеющего.

У БКИ есть файл-досье, содержащее информацию по каждому человеку, пользующемуся кредитами в США.
Более двух миллиардов записей добавляется в эти файлы-досье ежемесячно, и более трёх миллионов кредитных отчётов предоставляется ежедневно [14].
Основная роль БКИ заключается в предоставлении подробной кредитной истории финансовым учреждениям — учреждениям, с которыми потребитель уже имеет дело, с которыми потребитель устанавливает деловые отношения, а также компаниям, которые не имеют деловых отношений с конкретными потребителями, но заинтересованы в возможности установления таких отношений.

2.1. Подача заявления на получение кредитной линии

После заключения договора с кредитно-финансовым учреждением клиенту предоставляется кредитная линия.
Она может быть представлена в виде кредитной карты, автокредита, закладной, ипотеки, образовательного кредита или чего-либо другого из множества финансовых продуктов.
Однако, перед одобрением этой кредитной линии, учреждение обычно обращается в одно (а иногда и несколько) БКИ для получения копии кредитной истории клиента и оценки его кредитоспособности.
Используя эту информацию кредитор может определить кредитоспособность клиента и оценить потенциальные кредитные риски.

Хотя крупные банки имеют некоторую свободу в выборе конкретного БКИ в зависимости от географического местонахождения клиента, большинство кредиторов тяготеют к использованию одних и тех же БКИ для запроса клиентского досье.
То есть, хотя обращения в один и тот же банк двух клиентов из разных штатов могут обрабатываться с помощью запросов в два разных БКИ, обращения в один и тот же банк клиентов из одного штата с большой долей вероятности будут обрабатываться с помощью запросов в одно БКИ.

После устновления отношений с клиентом финансовое учреждение будет регулярно предоставлять информацию о балансе и платежах клиента в каждый из трёх БКИ [15].
Эта информация включает в себя текущий адрес клиента, общий размер кредитной линии, баланс по последней выписке, дату и сумму последнего платежа, а также корректировку ранее поданых сведений, если в них обнаружены ошибки.

Рисунок 1: Частичный список открытых кредитных линий из кредитного отчёта (номера счетов изменены)
Рисунок 1: Частичный список открытых кредитных линий из кредитного отчёта (номера счетов изменены)

2.2. Кредитный отчет

У БКИ есть файл, содержащий информацию о каждом человеке, пользующимся кредитами, в США, что составляет приблизительно 90% взрослого населения [16].
Каждое БКИ управляет своими данными, используя информацию, передаваемую напрямую к ним от частных банков, финансовых учреждений, государственных структур и налоговых органов [17].

Одним из самых важных параметров в пользовательском отчете является кредитный счет, который содержит широкий набор сведений о каждом счете.
Среди этих сведений находятся такие сведения как дата заключения договора; тип счета — возобновляемый, рассрочка или ипотека; текущий долг; максимальный долг; кредитные лимиты, если присутствуют; информация о интенсивности платежей, такая как период в течение которого был или есть долг по кредиту [18].

Так как каждое БКИ получает информацию о потребителях независимо и не синхронизирует данные между другими БКИ, то возможна такая ситуация, когда для конкретного потребителя его потребительский отчет будет различен в каждом отдельном БКИ.
В результате, кредитные отчеты часто содержат неверную и отрицательную для потребителя информацию, которая может вылиться, к примеру, в более высокую процентную ставку или даже спровоцировать отказ в выдаче кредита. В обзоре U.S. Public Interest Research Group (PIRG) было опубликовано, что 25% отчетов содержат серьезные ошибки, ведущие к отказу в выдаче кредита, более 50% содержат опечатки и другую некорректную информацию, а более 20% содержат дубликаты сведений о выдаче ипотечного кредита или ссуды [19].

Рисунок 2: Подробная схема кредитной линии в потребительском отчете, включающая информацию о истории платежей
Рисунок 2: Подробная схема кредитной линии в потребительском отчете, включающая информацию о истории платежей

Согласно действующему законодательству, все компании, которые поставляют информацию о долгах и кредитах в БКИ, не обязаны предоставлять информацию своевременно, в строго определенном формате, целой и даже могут вообще не поставлять данную информацию [20].
Все что от них требуется это не предоставлять заведомо неточную информацию о потребителе, или информацию, которая с большой долей вероятности может быть неточной [21].

2.3. Запрос кредитной информации

Потребительский кредитный отчет содержит множество информации, включая прошлые выплаты по кредиту и суммарный долг. Отслеживая данную информацию, БКИ также следит и за количеством фирм, которые запрашивали выдачу отчета.
Эти запросы кредитной информации, также известные как справки, дают некоторое представление о поведении потребителя.

Когда БКИ получает запрос на предоставление копии кредитного отчета, то этот запрос помечается как справочный в кредитном досье, обрабатываемом только данным БКИ.
Спарвки делятся на 2 категории: подробные и краткие.

Подробные справки возникают, когда клиент запрашивает выдачу нового кредита от банка, выдачу кредитной карты или получение кредита от кредитной организации.
В частности, запрос считается подробным, если запрашиваемая у БКИ информация используется для принятия решения о выдаче кредита.
Кредиторы, владеющие копией кредитного отчета, могут просмотреть список других организаций, запрашивавших отчет по данному потребителю за последние 2 года.
Подробные справки внедрены в большинство схем оценки заемщиков, т.к. потребители, берущие дополнительный кредит считаются более рискованными, чем те, кто не берет дополнительных кредитов [22].

Несколько лет назад каждая справка рассматривалась как попытка потребителем получить дополнительный кредит.
Но поведение покупателей изменилось, и многие теперь просто консультируются с кредиторами, с целью найти лучший процент по кредиту.
С изменением поведения покупателей поменялась и модели оценки рисков, так множественные справки, сделанные в течение от 15 до 30 дней, считаются за одну [23].
Однако, многочисленные справки (с интервалом более чем 15–30 дней) служат серьезным индикатором рискованного поведения для кредиторов.
Потребители с некоторым количеством подробных запросов их кредитной истории в течение полугода рискуют получить отказ в выдаче нового кредита.

После истечения полугодового срока ущерб снижается, после 12 месяцев справки уже не рассматриваются совсем.
После двухлетнего срока старые справки совсем удаляются из кредитного отчета.

Краткая справка применяется в случае, если кредитор уже имеет деловые отношения с кредитуемым лицом.
Эти справки используются для управления счетами, в частности, для периодичных просмотров счетов кредиторами и не отображаются в кредитных отчетах.
Эти запросы используются не только для запроса на выдачу кредита, но и в качестве проверки работодателями и домовладельцами, а также самими потребителями.
Краткие справки не включены в схемы оценки кредитоспособности граждан.

2.4. Законодательство

Закон «О добросовестном предоставлении кредитной информации» был принят в 1970 году в ответ на сомнительные операции, выполняемые различными бюро кредитной историй в 1960-х годах [24].
Это был первый федеральный закон, регулирующий использование и предоставление персональной информации. Он был разработан для того, чтобы предоставлять частную информацию потребителей только организациям, имеющим на это законное право, для предотвращения неправильного использования сведений, а также устанавливал порядок, позволяющий убедиться в «максимальной возможной точности» кредитных отчётов [25].
До принятия этого закона частные лица не имели права просматривать содержимое своих кредитных досье или опротестовывать содержащиеся в них ошибки [26].

Закон обязывает все кредитные бюро предоставлять потребителю информацию из его кредитного досье, источники получения этой информации и список поступивших за последний год заявок, запрашивающих предоставление кредитного отчёта по данному потребителю [27].

Штат Вермонт первым выступил с законодательной инициативой, требующей от БКИ ежегодно предоставлять потребителям бесплатную копию собственных отчётов. Остальные штаты вскоре поддержали эту инициативу и в 2003 году был принят закон «О добросовестных и достоверных кредитных операциях» (Fair and Accurate Credit Transactions Act, FACTA), обязавших БКИ предоставлять ежегодные бесплатные отчёты потребителям из всех штатов.

2.5. Заморозка кредитов

Заморозка кредитов — это финансовый инструмент, позволяющий потребителям заблокировать доступ к своим кредитным отчётам и запретить таким образом выдачу новых кредитов на своё имя.
Включив заморозку, потребитель может запретить выдачу собственного кредитного отчёта, после чего потенциальные кредиторы не смогут получить никакую информацию о нём. Потребители, желающие законно обратиться за получением новой кредитной карты, могут использовать заранее установленный PIN-код или пароль либо для временного разблокирования своих отчётов, либо во многих случаях имеют возможность «разморозить» их для конкретного кредитора.

До 2003 года существовало всего несколько средств защиты от кражи личности, доступных потребителям.
Основным таким средством был бесплатный ежегодный кредитный отчёт, предоставление которого требовалось во многих штатах, а затем было закреплено и федеральным законом.
Самые беспокойные потребители могли также воспользоваться услугами коммерческих служб кредитного мониторинга, которые информировали бы их в случае появления в их отчёте нового счёта кредитной карты или ссуды.
Этот подход работал только по факту события — потребителям приходилось дожидаться пока кто-нибудь с помощью украденных данных откроет кредитную карту на их имя, чтобы получить об этом уведомление.

Первым штатом, жители которого получили упреждающую защиту от кражи персональных данных, стала Калифорния, обязавшая БКИ предоставлять всем жителям штата возможность «заморозить» свои кредитные отчёты.
Вскоре этому примеру последовало большинство остальных штатов, а в 2007 году три БКИ добровольно стали предоставлять возможность кредитной заморозки всем жителям США.
В зависимости от штата добавление, приостановка и снятие «заморозки» может быть как бесплатной услугой, так и стоить до 15$.

Потребители, желающие установить, временно снять или отменить заморозку должны обратиться в каждое из трёх БКИ.
Вне зависимости от того, какая стоимость услуг установлена законом штата, её придётся оплатить три раза. Так, потребитель, живущий в Калифорнии, должен обратиться в Experian, Equifax и Transunion с письменным заявлением о заморозке своего отчёта, и заплатить каждому БКИ.

Этот подход таит в себе значительный риск для потребителей, забывших обратиться в каждое из трёх БКИ.
Этот подход также коренным образом отличается от «нормы», к которой потребители могли привыкнуть, осуществляя другие операции с кредитными агентствами.
Например, жертва кражи личности может подать сигнал о мошенничестве с его кредитным отчётом, обратившись только в одно (любое) БКИ, которое по закону обязано поделиться этой информацией с двумя другими [28].
Аналогично, потребители могут запросить копию своего кредитного отчёта у всех трёх БКИ, заполнив единственную защищённую онлайн-форму по адресу http://annualcreditreport.com.
Требование о том, что для установки кредитной заморозки потребитель должен обратиться в каждое из трёх БКИ, неинтуитивно и создаёт ненужный барьер для людей, желающих защитить себя от кражи личности.

Отсутствие механизма одновременной единой кредитной заморозки во всех трёх бюро привело также к важным непредумышленным последствиям — появлению легко употребимой лазейки, через которую смышлённые потребители могут активно манипулировать и управлять информацией, сожержащейся в своих кредитных отчётах.
Этот изъян будет рассмотрен более подробно в разделе 4.3.
Рисунок 3: Щедрый вступительный бонус, предложенный по кредитной карте United Airlines
Рисунок 3: Щедрый вступительный бонус, предложенный по кредитной карте United Airlines.
+22
5.8k 27
Comments 25
Top of the day