Кардинг: технологичное мошенничество или проверка на внимательность?

Кардинг (carding) – это популярный способ кибермошенничества с использованием банковских данных клиента. В первую очередь – платежных данных, пароля от онлайн-банкинга и всевозможных CVV/CVС-кодов

При этом кардер может быть как высокоуровневым техническим специалистом, так и обычным мошенником из условного «колл-центра банка». В этой статье мы рассказали про основные методы кардинга, их актуальность и методы борьбы с ними.

Кардинг с помощью «спецсредств»

Это кардинг с применением технических решений, которые используются для кражи конфиденциальной платежной информации. Чаще всего это малозаметные камеры, накладки на клавиатуру и считыватель карт, которые устанавливаются прямо на банкомат.

Главный недостаток всех этих технических решений – потребность физически посетить место преступления. Тот факт, что большинство банкоматов оснащены камерами и установлены в оживленных местах, создает дополнительные сложности для злоумышленника.

При этом, отслеживающее оборудование нужно не только незаметно установить, но зачастую и снять – для считывания данных или повторного использования. Прямое мошенничество с банкоматами и другими платежными терминалами встречается достаточно редко, по сравнению с другими способами узнать данные карт.

«Продвинутый» кардинг

Это поиск уязвимостей и атаки на банковскую инфраструктуру. Можно сказать, что это самый «наукоемкий» вид кардинга, требующий высокого уровня компетенций и продолжительной подготовки (по аналогии с APT-атаками), а также разведки и анализа внешних источников. Но результат может превзойти все ожидания.

Например, широко известна история хакера Сергея Павловича, основателя портала Carding.pro. Вместе с Альбертом Гонзалесом и рядом других лиц он участвовал в величайшей краже данных банковских карт в истории: было продано свыше 170 млн. номеров банковских карт. Кражу такого уровня можно назвать полноценной операцией.

Наравне с громкими взломами и утечками данных есть и менее заметный, но достаточно «продвинутый» способ, связанный с использованием скиммеров. Для его реализации злоумышленник должен получить доступ к инфраструктуре интернет-магазина и установить скиммер – отслеживающий вредонос, который фиксирует и передает платежную информацию. Требуемый уровень компетенций здесь напрямую зависит от уровня защиты онлайн-магазина.

Сергей Волдохин

Директор ООО «Антифишинг»

Наиболее распространенный метод кардинга сегодня — это хищение данных карт пользователей интернет-магазинов. Киберпреступники взламывают сайты торговых площадок и внедряют на них специальные фрагменты кода — интернет-скиммеры. Когда покупатель вводит реквизиты карты для оплаты покупки, код скиммера отправляет данные карты преступникам. Используя эти данные, мошенники с помощью различных способов выводят средства на свои счета или продают собранные сведения о картах на подпольных форумах.

Именно так работают хакеры группировок, известных под собирательным названием Magecart. Изначально они специализировались на интернет-магазинах, созданных на базе движка Magento, но постепенно разработали интернет-скиммеры и методы взлома для других движков.

«Найти» скиммера самостоятельно клиент не может, поэтому об утечке своих данных узнает постфактум – чаще всего, в момент попытки списания средств со своего счета. Поэтому владельцам и операторам онлайн-магазинов особенно важно проводить аудит безопасности своей инфраструктуры.

«Массовый» кардинг

Массовый – значит общедоступный и не требующий высокого уровня технических знаний, умения искать и эксплуатировать уязвимости в информационных системах. Базируется этот вид кардерства на двух столпах: фишинге и социальной инженерии.

Можно привести несколько примеров такого мошенничества, например:

1. Звонки от лица «экономической полиции» или службы безопасности банка. Используя уже известную информацию злоумышленники создают у жертвы впечатление, что действительно представляют названную службу, поэтому вызывают доверие. И выведывают те данные, которых им «не хватает» для кражи денег.
2. Выигрыш в лотерею. В конкурсе талантов, городском розыгрыше или любом другом несуществующем мероприятии. «Оставьте ваши контактные и платежные данные для получения выигрыша».
3. «Комбинированный» фишинг. Когда злоумышленник кардит, «маскируясь» под всем известный легитимный процесс. Например, на сервисе Blablacar можно столкнуться с предложением «оформить страховку перед поездкой» в стороннем, но обязательном сервисе. После «регистрации» на таком сайте начинаются неконтролируемые списания средств.
4. «Чистый» фишинг. От предыдущего отличается тем, что злоумышленник мимикрирует не под процесс, а под конкретную площадку. Копию страницы банка, маркетплейса или другого популярного сервиса.

В контексте «массового» кардинга важное значение имеют навыки парсинга и OSINT. Парсинг позволяет сформировать целевую базу жертв, методы OSINT – собрать о них информацию из открытых источников. Как правило, такие базы приобретаются злоумышленниками через даркнет, но при длительной работе или достаточном уровне навыков могут собираться самостоятельно.

OSINT-технологии особенно актуальны в тех случаях, когда нужно получить специфическую информацию о потенциальной жертве, например ответы на контрольные вопросы: девичью фамилию, имя питомца и тд.

Риски по секторам

Финансовый сектор можно считать одним из передовых, с точки зрения внедрения защитных инструментов и проведения аудита безопасности своей инфраструктуры. Во многом ввиду высоких требований со стороны государства.

Евгений Царев

Управляющий RTM Group

Основной метод хищения с использованием данных платежных карт – это их указание в платежных системах после компрометации баз данных банков или платежных агентов. По нашим данным, на этот вид приходится более 60%.

Прочие методы связаны с социальной инженерией или фишингом, им принадлежит второе место. На эти виды хищений приходится чуть больше 30%.

Самые редкие случаи связаны с компрометацией банкоматов и платежных шлюзов – таких случаев единицы.

Ушли в прошлое методы, связанные со считыванием магнитной полосы, – все карты в РФ сейчас с чипом, который не считать.

Требования к маркетплейсам и онлайн-магазинам, которые работают с платежными данными, ситуация несколько хуже. Проблема существует как с точки зрения безопасности инфраструктуры, так и с точки зрения использования таких магазинов в качестве способа обналичить средства.

Если рассматривать мошенничество с криптобиржами как новое поле для кардеров и их деятельности, то здесь ситуация стоит наиболее остро, в первую очередь – ввиду отсутствия какого-либо правового регулирования. Однако, аудитория криптообменников гораздо уже и, как правило, обладает более высоким уровнем финансовой и информационной грамотности.

Методы защиты от кардерства

Обычный клиент может кратно сократить риски успешного кардинга в отношение себя, обратив внимание всего на три момента:

1. Внимательность. К сомнительным звонкам и сайтам – в первую очередь. Всегда можно взять паузу на осмысление и анализ. Задержка в условные десять минут не будет критичной в подавляющем большинстве случаев, но защитит ваши деньги.
2. Банковские инструменты. Не стоит пренебрегать методами аутентификации и подтверждения действий, разнообразными паролями и уведомлениями. Это снижает удобство, зато повышает безопасность.
3. Дифференциация. Идеальный случай – если у вас есть отдельная карта для онлайн-покупок. Например, Ozon предлагает собственную карту для проведения операций на своей площадке.

Соблюдение этих простых мер большей частью общества существенно снизит количество случаев «низкоквалифицированного» кардинга. Это серьезно повысит порог вхождения в профессию и в целом уменьшит интерес злоумышленников к этой деятельности.