Что такое кардинг, или Как защищают банковские счета в 2023 году

С 1 октября 2023-го банки обязаны предлагать клиентам страховку от мошеннических списаний денег. С таким требованием выступил Центробанк. Новый риск вошел в добровольный полис, который ранее защищал банковских клиентов от потери или повреждения карты.

Решение регулятора выглядит логичным – считают собеседники Cyber Media. Мошенничество с картами в России растет молниеносно. Причем по количеству, качеству и объемам одновременно. Насколько опасен кардинг сегодня и какие инструменты против него используют, рассказываем в этой статье.

Что такое кардинг

Напомним, что кардинг – это один из самых распространенных видов мошенничества в интернете. Жертвой становится владелец банковской карты, которую используют без его ведома. За такими преступлениями стоят кардеры – это преступники, которые похищают средства с чужих карт.

В последние годы случаев кардерства становится все больше. Тревогу бьют как сами пользователи карт и банки, так и правоохранительные органы.

Дмитрий Хомутов

Директор компании Ideco

В 2018 году мошенники с помощью кардинга похитили у россиян 1,4 млрд рублей. С развитием ИБ-технологий появилось много новых возможностей, которые позволяют сохранять данные и средства на счетах и банковских картах, – как для физических, так и для юридических лиц.

Однако с улучшением систем безопасности также увеличилось количество и качество кибератак – мошенники ищут новые способы взлома. Так, в конце 2022 года посредством кард-махинаций России было украдено более 14 млрд рублей – в 10 раз больше, чем пять лет назад.

Современный кардинг принято делить на два вида – физический и удаленный. В первом случае у злоумышленника есть физический доступ к карте жертвы или к банкомату. В кражах обычно используют специальные устройства для скимминга. Зачастую преступниками оказываются сотрудники банков или сервисных организаций.

Удаленный кардинг – это когда атаки проводятся дистанционно. Главное здесь – получить данные банковской карты. Чтобы кардер мог дальше совершать операции, ему нужно узнать лишь номер, дату завершения обслуживания и CVV-код.

Из чего состоит безопасность

Потенциальных жертв активно защищают от обоих видов кардинга. Хотя методы и инструменты используют разные.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис»

Для первого варианта разрабатываются специальные модели самих банкоматов, а также уделяется большое внимание физическим аспектам информационной безопасности. Для удаленного картинга есть огромное количество решений – от обезличивания данных карт при хранении до использования второго фактора при оплате.

Многофакторная аутентификация – один из важнейших инструментов в защите банковских клиентов от преступников в интернете. Причем многие клиенты в погоне за безопасностью решают использовать не две, а минимум три формы аутентификаций. И на то есть причины.

Дмитрий Хомутов

Директор компании Ideco

46% взломов внутренней информации компаний хакерами происходят из-за выбора простого пароля. Обычно это сочетание чего-то, что знает пользователь (например, пароль), и чего-то, что пользователь имеет (например, физический токен или код, полученный по SMS).

Кроме того, для безопасности банковских клиентов важно шифрование данных. Применение сильных специальных алгоритмов для защиты информации, транзакций и коммуникаций между пользователями и системой увеличивает шанс защиты данных на 90%.

В целом методы борьбы с кардингом заметно изменились, а особенно за последние пять лет – считают эксперты. Появилась биометрическая идентификация. А еще банки активно начали применять решения на основе ИИ. В их числе машинное обучение для анализа поведенческих паттернов.

Мониторинг и анализ аномальной активности – вполне эффективный инструмент в борьбе с кардерами. Компании активно совершенствуют системы защиты периметра сети от вторжений, применяют ограничения по количеству пользователей и устанавливают дополнительные слои защиты. К последним чаще относятся решения классов NGFW, IDS и IPS. 

Максим Грязев

Эксперт сервиса аналитики и оценки цифровых угроз ETHIC компании Infosecurity a Softline company

Также безопасность банковских операций повысилась благодаря разработке новых платежных технологий, таких как блокчейн и продвинутые криптографические протоколы.

В качестве ключевых методик противодействия кардингу также выступают регулярное обновление защитных систем, специализированное обучение сотрудников, активный мониторинг транзакционной активности и эффективное взаимодействие с правоохранительными органами для обмена данными и координации усилий по противодействию киберпреступности.

Методов и мер борьбы с каждым годом становится больше. Компании инвестируют миллионы рублей в средства, которые защищают клиентов от краж в онлайне. Однако на практике огромные вложения приносят мало толку – многие жертвы передают данные банковских карт мошенникам по собственной инициативе. Именно поэтому сильно изменить статистику кардинга в России пока очень сложно, отмечают эксперты.

А что дальше

Кардеры быстро находят способы обхода защиты карт. Растущие объемы краж это подтверждают. Тем не менее гонка продолжается. И сторона защиты готовит новые препятствия, с которыми преступникам еще придется столкнуться в будущем.

Дмитрий Хомутов

Директор компании Ideco

Системы обнаружения мошенничества усилятся использованием алгоритмов и ПО для обнаружения необычной активности и потенциальных мошеннических покупок. Также важным будет end-to-end шифрование – защита конфиденциальности данных путем шифрования информации во время транзакции и передачи данных между компаниями и клиентами.

В любом случае противодействовать кардерству в России будут минимум в трех направлениях. Защитой потенциальных жертв, как и прежде, продолжат заниматься банки, операторы платежных систем и государство – считают эксперты.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис»

Банки на своей стороне могут предпринять новые меры защиты денежных транзакций, а операторы платежных систем – подключить дополнительные способы проверки операций. И наконец, законодательству придется обеспечить граждан возможностью разбора конфликтных ситуаций в случае их возникновения.

В будущем могут появиться новые способы оплаты. И нормативная база должна быть готова к тому времени – поясняет Сергей Полунин.

Выводы

Кардинг – это история, которая началась с обмана интернет-магазинов в 1990-х. Злоумышленники покупали товары по поддельным картам – вводили случайные данные в формах оплаты. Мошенничество вскрывалось, когда банки получали счета на несуществующих клиентов.

Теперь от кардинга страдают уже не ритейлеры и банки, а люди – держатели карт и покупатели. Сколько лет пройдет, пока они научатся защищаться от мошенников и возможно ли такое в целом – вопрос открытый. Хотя зачастую пользователю нужно лишь использовать антивирусы на устройствах, своевременно обновлять ПО, не переходить по сомнительным ссылкам и следить за уведомлениями от мобильных банков. Как отмечают эксперты, этих четырех правил вполне достаточно, чтобы не остаться с нулем на счету.