Президент платежной системы PayPal Дэвид Маркус поведал всему миру, что его банковскую карточку скомпрометировали хакеры во время поездки в Великобританию. «Если бы делал покупку через PayPal, то проблем бы не было», — написал Маркус в своем Twitter. В итоге, глава PayPal и душу излил, и своих конкурентов в лице банков ткнул. Но как он мог попасться на удочку злоумышленников?
Маркус относится к числу тех, кого принято называть VIP-персонами. Можно предположить, что операции по счетам таких людей находятся под пристальным вниманием службы безопасности. Ведь недовольство VIP-клиента сервисом может грозить банку репутационными потерями. Однако доступ к карточке Маркуса хакеры получили достаточно банальным способом – с помощью скимминга. А от этого, как считают эксперты, никто не застрахован.
«На самом деле, с точки зрения технологий, VIP-персоны и обычные клиенты защищены, по сути, одинаково. Статус чаще всего проявляется на уровне «отношения» к клиенту со стороны офлайн-обслуживания и предоставлением более широких полномочий», – считает Алексей Тюрин, директор департамента аудита защищенности компании Digital Security.
Скимминг достаточно распространенное явление. Хакеры устанавливают на банкомат специальное устройств (скиммер), при помощи которого копируется информация с магнитной полосы карты, имя держателя, номер карты, срок окончания ее действия, CVV- и CVC-код. Пин-код обычно узнают с помощью миниатюрной веб-камеры или специальных накладок на клавиатуру. Оказаться жертвой скимминга также можно при оплате покупок в торговых точках. В этом случае в ход идут переносные скиммеры или устройства, прикрепленные к платежному терминалу.
Среди хакеров распространено такое явление, как охота на VIP-персон.
Для получения их конфиденциальных данных злоумышленники используют тщательно подготовленные, таргетированные атаки. «Есть, конечно, дополнительные риски для атакующего и дополнительные трудозатраты, но обычно и профит получается гораздо больше», — рассказывает Тюрин.
Но в данном случае вряд ли за Маркусом велась прицельная охота. «Здесь мы имеем дело с простейшим скиммингом, когда злоумышленники стараются охватить как можно большее количество жертв», — утверждает руководитель отдела расследований компьютерных инцидентов «Лаборатории Касперского» Руслан Стоянов. Действительно, предугадать, в каком именно банкомате глава PayPal захочет снять деньги, практически невозможно.
Даже чип не помог
Маркус в своем сообщении упомянул, что его карта содержала встраиваемый EMV-чип – это одна из самых действенных на сегодняшний день защит банковских карт от скимминга. Чип позволяет усилить защищенность пластиковых карт, внося изменения в процесс ее аутентификации, верификации и авторизации. Но технология пока еще находится на «переходном» этапе, и действуют приемные терминалы как нового, так и старого образцов. Этим пользуются мошенники, компрометируя также карты нового типа, когда они используются в терминалах без поддержки технологии EMV.
«Если на карте есть магнитная полоса, то чип не поможет от скимминга. Воспользоваться копией такой карты через определенные банкоматы будет элементарно», — рассказывает Илья Сачков, глава компании Group-IB, специализирующейся на расследовании компьютерных преступлений.
Маркус мог визуально распознать наличие скиммера. Он возглавляет одну из крупнейших в мире платежных систем и должен знать о различных ухищрениях, которые используют хакеры. Однако технологии производства скимминговых устройств настолько хороши, что даже профессионал их может не заметить.
«Порой распознать скиммер на банкомате не может сотрудник банка, в чьи обязанности входит антискимминговый контроль, – разъясняет Илья Сачков. — Что уж говорить о топ-менеджере, который, скорее всего, со скиммерами знаком теоретически. Сейчас пришло уже новое поколение скиммеров, которые ставятся под панель банкомата либо размещаются как большие накладки на банкомат. Увидеть магнитную головку скиммера в таких устройствах становится практически невозможно».
Злоумышленники при этом могут крепить считыватели не только на корпус банкомата, но и внутрь приемника карт, что делает их еще незаметнее. Также могут использоваться поддельные POS-терминалы, устанавливаемые в торговых точках, и даже поддельные банкоматы.
Какой бы большой ни была опасность скимминга, банковские карты все равно будут активно использоваться.
Конечно, для борьбы с этим злом многое делают сами банки. Они контролируют безопасность банкоматов, транзакций, проверяют соблюдение правил приема банковских карт при их применении через POS-терминалы в торговых точках. Но жертвой может стать каждый.
«Как себя обезопасить? Во-первых, обязательно подключить для своей карты функцию 3-D Secure (SecureCode). Это необходимо, чтобы в случае кражи с нее данных и последующей краже денег через Интернет, можно было оспорить операцию и вернуть деньги. Во-вторых, подключить SMS-оповещение, чтобы в случае проведения незаконных операций оперативно отследить их и связаться с банком», — советует Тюрин.
Не стоит использовать карту в подозрительных заведениях, для таких случаев лучше завести дополнительные карты с малым количеством денег на них. Снимать деньги лучше только через проверенные банкоматы, а если расплачиваетесь в ресторане или магазине, то лучше не передавать карту в руки официантам и продавцам. «А банкам следует использовать новое поколение скимминговых глушилок, заниматься киберразведкой в области скомпрометированных карт и чаще проверять свои банкоматы», — утверждает Сачков из Group-IB.
Без шума и пыли
«Я не помню случаев, когда в публичный доступ открыто выдавалась информация о произошедшей мошеннической компрометации VIP-лиц, хотя уверен, что они были. Мошенники не боятся компрометировать VIP-лицо, им все равно, чья карта попала в их сети. Они получают «дамп» магнитной полосы и пин-код. Знания о личности не нужны, чтобы вывести деньги», — рассказывает Сачков.
С этим согласен и Стоянов из «Лаборатории Касперского». По его словам, VIP-персоны, как правило, очень бережно относятся к своей личной жизни и не придают огласке подобные инциденты. При этом банкам проще возместить ущерб привилегированным клиентам, чтобы избежать лишней шумихи.
«То, что президент PayPal публично озвучил факт взлома своей банковской карты, могло быть спланированным маркетинговым ходом, особенно если учесть его заявление о преимуществах использования системы PayPal», — считает Стоянов. Своебразный ход, чтобы показать преимущество электронных платежных систем над традиционными банковскими картами.
Если раньше бизнес PayPal был связан исключительно с интернет-торговлей, то сегодня компания делает активные шаги в сторону распространения онлайн-системы платежей в традиционные (офлайновые) места торговли.
«Электронные кошельки» существуют уже давно, но недавно на них обратили внимание и IT-гиганты – например, Google и Apple. Причина их долгого «молчания» до сих пор — вялая реакция рынка на переход к новым денежным инструментам. Так, согласно прошлогоднему исследованию агентства BIAKelsey, охватившему 2000 покупателей в США, только 8% пользуются в настоящее время электронными кошельками, и приблизительно столько же собираются обзавестись ими. При этом 54% опрошенных вовсе не интересуются либо выступают принципиально против использования электронных кошельков.
Однако результаты другого исследования BIAKelsey говорят, что онлайн-покупки до сих пор совершаются через ноутбуки (60%) или настольные компьютеры (57,1%), мобильные способы покупки путем использования смартфонов и планшетов пока нашли применение только среди 37,1% и 19,4% опрошенных, соответственно. Следовательно, как только предпочтения покупателей изменятся, можно ожидать резкого скачка интереса к электронным кошелькам.
Как повышать их популярность? Самый очевидный путь – это перевод стрелок на вопросы обеспечения безопасности платежей. Интернет-гиганты, похоже, осознали, что в случае активного внедрения электронных платежей в традиционной торговой сети они получают в свое распоряжение многомиллиардный рынок, где для обеспечения безопасности можно применять технологию геотаргетинга или двухфакторную авторизацию при платежах с применением SMS-оповещения. В отличие от чипа, для которого требуется одновременно обеспечить замену всего парка приемных терминалов на новые модели, совместимые с EMV-технологией, переход на оплату через электронные кошельки может быть осуществлен практически сразу, без дополнительных условий.
Удастся ли PayPal продвинуться в этом направлении и обогнать Google и Apple в распространении электронных кошельков? Похоже, борьба только начинается. Поэтому кражу денег с карточки президента PayPal можно рассматривать как «удачный» случай убедить консервативный рынок покупателей, что переход на новые технологии в торговле неминуем.