Positive Technologies: все банкоматы уязвимы к перехвату данных платежных карт

Безопасность Стратегия безопасности Интеграция Электроника ИТ в банках
мобильная версия

В ходе недавнего анализа защищенности банкоматов специалисты Positive Technologies выяснили, что атака с целью перехвата данных платежной карты возможна во всех банкоматах.

Долгое время преступники использовали физические накладки на картридер — скиммеры, которые считывали информацию непосредственно с магнитной полосы. На сегодняшний день банки научились защищаться от таких атак и повсеместно устанавливают средства антискимминга. Тем не менее похитить данные карт можно и без использования скиммеров, причем на проведение такой атаки, если иметь доступ в сервисную зону банкомата, преступнику понадобится в среднем 15 минут.

На банковской карте присутствует магнитная полоса, которая содержит информацию, необходимую для проведения операций. На дорожках карты хранятся номер карты, дата окончания срока действия, сервисный код, имя владельца, а также могут находиться дополнительные значения PIN Verification Value, Card Verification Code и Card Verification Value. Для оплаты с помощью магнитной полосы через платежный терминал или снятия наличных в банкомате устройству необходимо считать дорожку с этой информацией.

Чтобы похитить данные банковской карты, преступнику нужно скопировать информацию, записанную на дорожку. Эти данные затем могут быть проданы в дарквебе, использованы для изготовления дубликатов карт и пр.

К примеру, перехватить данные можно во время их передачи между OC банкомата и картридером. В ходе такой атаки между системным блоком банкомата и картридером подключается устройство, которое перехватывает содержимое дорожек магнитной полосы платежных карт. Но чтение данных из картридера возможно и без использования аппаратного устройства: в этом случае злоумышленнику необходимо установить на банкомат свою вредоносную программу. По данным Positive Technologies, такие атаки возможны в 100% исследованных банкоматов.

Руководитель группы исследований безопасности банковских систем Ярослав Бабин сказал: «Бытует мнение, что атаки такого рода не грозят держателям банковских карт, выпущенных в России. Действительно, после запрета ЦБ России на использование карт только с магнитной полосой уровень мошенничества по картам стал заметно снижаться. Количество карт с чипом в России с момента выхода предписания ЦБ стало резко обгонять число таких карт в среднем по всему миру. Конечно, с каждым годом этот разрыв сокращается, и мир постепенно осознает необходимость использования карт с чипом при оплате товаров и услуг или при снятии наличных в банкоматах. Однако все равно сегодня в США и в некоторых странах Европы можно встретить магазины, которые не принимают ни карты с чипом, ни бесконтактную оплату (NFC-платежи). Вспомните, когда последний раз вам приходилось "свайпать" (проводить магнитной полосой) карту где-нибудь в России. Наверняка, это было очень давно. А вот при недавней поездке за рубеж вас точно хотя бы однажды просили "свайпнуть" карту при оплате, отказывались принимать бесконтактный платеж или даже предлагали подписать чек, выдаваемый терминалом, что, согласитесь, у нас большая редкость».

За границей, в частности в США, использование магнитной полосы карты при оплате широко распространено.

«В большинстве случаев злоумышленнику, для того чтобы воспользоваться вашей картой, нужно спровоцировать так называемый технический отказ в обслуживании (technical fallback), когда "по техническим причинам" не удается использовать чип. В этом случае продавец предлагает совершить оплату по старинке, с помощью магнитной полосы. Так что злоумышленнику ничего не стоит украсть описанными в отчете способами данные карты у клиента российского банка (или купить их в дарквебе) и совершить оплату уже где-нибудь за рубежом», − отметил Ярослав Бабин.