Старые добрые пластиковые карты

Андрей Межутков

Спецвыпуск: Хакер, номер #061, стр. 061-036-3

Точка обслуживания, снабженная сотрудником, опасна не только как место нападения на платежную систему, но и как место, где мошенничают и сами продавцы в ущерб пользователям-картхолдерам (card holder - владельцам карты). С какими целями могут совершаться атаки на держателей карт?

К примеру, чтобы поживиться на "двойном снятии" в пользу точки обслуживания (при ручном обслуживании "двойная прокатка" на слип-машине). Или чтобы продать полученную идентификационную информацию с карты, такая нажива будет легкой по нескольким причинам. Во-первых, эти данные остаются в POS, похищать реквизиты отсюда легко и удобно. Во-вторых, оплата с кредитных карт, привязанных в банке к кредитному виду счета (в отличие от оплаты с депозитных карт), часто не требует проверки состояния счета: на этих картах любая оплата осуществляется в кредит и наличие средств на карте не имеет значения. Плюс сбор идентификационной информации по картам происходит с временными задержками и проверяется относительно трудно, особенно если он производится в ручном режиме. Вот и получаем, что масса мелких "двойных" оплат с различных карт может серьезно улучшить финансовое положение мошенника. А ты вспомнил бы, за что заплатил три доллара два месяца назад?

Депозитные карты – не такая легкая нажива, так как для доступа к их использованию на POS-терминале требуется ввести PIN-код (personal identify number) или в онлайн получить код подтверждения операции от процессинга. Тут мошенник обязательно пытается подсмотреть код, без которого знание реквизитов карты бесполезно – вот такими сложными махинациями увлекаются немногие. Еще одна причина непопулярности депозитных карт среди преступников – невозможность перебора даже несмотря на то, что PIN-код карт содержит всего четыре цифры. Как правило, после третьей попытки неверного набора PIN'а карта блокируется и изымается банкоматом или продавцом. Более сложный случай – преступный сговор владельца карты и обслуживающего персонала. После "двойной прокатки" продавец отменяет транзакцию и возвращает деньги клиенту, а потом оба делят добычу. Плюс владелец карты получает оплаченные транзакцией товар или услугу.

Точка обслуживания пластиковых карт без продавца - это в 99% случаев банкомат (ATM). С точки зрения мошенника, банкомат – почти идеальное место для обналичивания денег, сбора информации, подготовки банальной кражи банковских карт. Кстати, многие зря хранят банковские карты в конверте с PIN-кодом, тем самым сильно упрощая жизнь ворам.

Банкомат привлекателен для преступников и как источник самых разных способов сбора информации. В начале 90-х годов ХХ века некие деятели в США собрали три банкомата, которые были очень похожи на настоящие, только не выдавали денег, а вместо этого снимали данные с карты и запоминали соответствующий PIN-код, затем сообщали честному владельцу карты, что в кассете закончились деньги. Ситуация обычна для банкоматов, и разочарованные граждане, не подозревая дурного, шли искать другой агрегат. В течение нескольких недель эти фальшивки кочевали по городу (кажется, по Нью-Йорку), а затем мошенники начали ураганно потрошить счета, используя собранные данные. Места обналичивания, банки и процессинги, ставшие жертвами мошенников, были разные; среди огромной массы одинаковых транзакций с совершенно правильными данными засечь случаи краж было сложно, поэтому преступление долго не обнаруживалось.