Как взломать банковскую карточку

Учёные показали, как взломать банковскую карту за шесть секунд

Исследователи кибербезопасности из Университета Ньюкасла показали, как можно взломать кредитную карту за 6 секунд, даже не зная её реквизитов.

Авторы использовали метод, который называется Distributed Guessing Attack (Атака с помощью распределенного перебора). Этот вид атаки использует две уязвимости, которые сами по себе не являются слишком серьезными, но при использовании в комплексе представляют серьезный риск. Во-первых, платёжные системы не суммируют неудачные попытки ввода данных с разных сайтов. Так как каждый сайт предоставляет 10-20 попыток для ввода данных, хакеры могут использовать фактически неограниченное количество попыток. Во-вторых, сайты позволяют пробовать различные варианты в полях, предназначенных для данных карты, так что информацию можно собрать, как паззл, используя каждое следующее поле для подбора следующей комбинации цифр.

«Большинство хакеров в качестве отправной точки будут использовать действительный номер карты. Но даже без него можно относительно легко подбирать варианты и вводить их через многочисленные веб-сайты для проверки. Следующий шаг — дата истечения срока действия. Банки обычно выпускают карты, которые действительны в течение 60 месяцев, так что угадать дату занимает не более 60 попыток. Ваш последний барьер — CVV-код, который теоретически известен только держателю карты. Но, полагаю, что угадать это трёхзначное число можно менее чем за 1000 попыток. Введите их на более чем 1000 сайтов — и варианты будут проверены в течение нескольких секунд», — рассказал автор исследования аспирант Мохаммед Али.

Он утверждает, что успешно проверил этот метод на платёжной системе Visa. Представитель Visa, однако, заявил, что исследование не учитывает «нескольких уровней защиты от мошенничества, которые существуют в платежной системе».

Система MasterCard, по словам Али, оказалась более надёжной: она смогла обнаружить атаку с помощью перебора менее чем за 10 попыток, даже если запросы были распределены по нескольким сайтам.

Авторы подозревают, что именно этот способ использовали мошенники, ограбившие в прошлом месяце 9000 клиентов Tesco Bank. Общий ущерб составил 2,5 миллионов фунтов стерлингов.

Чтобы защититься от мошенничества, учёные рекомендуют использовать для онлайн-платежей только одну карту с минимальным балансом и пополнять его непосредственно перед оплатой. «Единственный безотказный способ избежать взлома — держать свои деньги под матрасом, но я бы не рекомендовал так делать», — добавил соавтор исследования доктор Мартин Эммс.

WinRAR

Без бороды и бубна

Черненькая схемка, слив денег с карт

Сливаем деньги с чужих карт.

В данной статье пойдет рассказ о том как можно слить баланс чужих карт себе.

Что мы должны сделать, дабы слить чужой кэш на наши карты:

Пользоваться мы будем общедоступным приложением удаленного доступа к мобиле – AirDroid

  1. Наша задача найти максимальное кол-во людей, которые установят его и авторизуются под нашими данными. Самая лояльная аудитория – от 25 лет
  2. Просто снять кэш с карты через отправку смс на короткий номер 900 (если сливаем бабки с сбербанка, если банк другой, гуглим)

Теперь все по порядку!

Качаем себе на ПК приложение с офф сайта http://web.airdroid.com/ , предварительно регистрируя мыло по типу mailto:test_user_air_droid@gmail.com , пример пароля test123 – зачем, расскажу дальше

  1. Мы будем искать людей на вакансию тестировщика приложения (навыки работы не требуются, особых умений не нужно, только скачать приложение и проверить функционал)оплата 40-60 долларов зависимо от времени тестирования софта, аванс 50% . Наша задача – найти МАКСИМАЛЬНО большое количество людей, размещая обьявления на различные доски, форумы, вк, ок и тд , обращений будет много, так как предложение очень заманчиво. После того, как люди начнут вам писать и узнавать подробности, пишем примерный текст
Читайте также:  Как восстановить настройки звука

"Добрый день, спасибо, что обратились к нам. Программа называется AirDroid , официально одобрена плеймаркетом, на рынке уже больше года. Вкратце о работе – Наши пользователи начали жаловаться о том, что приложение начинает глючить во время зарядки мобильного, поэтому тестировать работу приложения мы будем при подключении телефона к зарядному устройству. Все ошибки постараемся найти и устранить в течении одного часа! По поводу оплаты – за работу, мы заплатим Вам от 40 до 60 долларов зависимо от того, на сколько затянется процесс, но точно, не более часа. А непосредственно после установки, мы готовы будем оплатить аванс 20 долларов на карту Вашего банка. Если такие условия Вас устраивают, пожалуйста, ждем Вашего ответа!"

Примерно 90% на практике соглашаются и спрашивают о дальнейших действиях. Далее пишем:

Все, наша жертва готова, заходим в приложение на своем ПК, как на скрине ниже, подрубаемся к телефону жертвы и заходим в смс. Еще, если вдруг связь с телефоном теряется, оперативно пишем нашей жертве и просим, чтобы она выключила и включила приложение (так бывает, когда долгое бездействие)

Наша задача только списать деньги на свою карту посредством отправки СМС (образцы смс разные зависимо от банка жертвы, смотрим в гугле) далее, если вам пришел код подтверждения, быстро отправляем его, чтобы жертва не спалила! Отправлять можно суммы от 500-1000 рублей, по несколько раз, главное быстро!

И да, не забываем о безопасности и о левых картах, не знаю, работает ли перевод на виртуальные карты, в любом случае пробуйте.

Таким образом, даже при очень плохом уровне СИ , в сутки можно делать от 1-2 тысяч рублей. Да, нужно научиться, да, нужно придрочиться! Поэтому дерзайте и не опускайте руки! Главное делайте так, чтобы вам писало максимальное количество людей в сутки, потейте.

В любом случае, это не твердое руководство, а лишь краткое описание рабочего способа заработка, поэтому прилагайте усилия, и у вас все получится!

Системы защиты банковских карт постоянно обновляются, что не мешает мошенникам придумывать новые способы взломов. За прошлый год мошенники нанесли ущерб россиянам на $1 млрд, при этом обычные пользователи карт продолжают вестись на старые уловки, главной из которых является обычный фишинг. «Газета.Ru» выяснила, как на самом деле защищены банковские карты, как действуют злоумышленники и какими методами пользуются правоохранительные органы при борьбе с киберпреступлениями.

«Черный ход» к миллиону

Регулярные сообщения о «совершенно новом виде» взлома банковских карт обычно сопровождаются обязательным упоминанием «миллионов людей», которые могут навсегда потерять все свои деньги. Из-за этого борьба между мошенниками и создателями систем банковской защиты выглядит особенно остро.

По данным отдела «К» МВД, в 2015 году хакеры нанесли ущерб российским банкам и платежным системам на сотни миллионов рублей. По словам руководителя пресс-службы отдела Александра Вураско, за год удалось предотвратить кражи на 1,5 млрд руб. При этом, согласно информации первого зампреда Сбербанка Льва Хасиса, киберпреступники в 2015 году нанесли России ущерб примерно на $1 млрд.

По данным отчета ЦБ за 2015 год, среди преступлений с банковскими картами абсолютное лидерство держат операции с картами, данные которых были скомпрометированы.

За прошлый год доля утерянных или украденных платежных карт, используемых для совершения несанкционированных операций, не превышает 10% от общего числа карт.

В свою очередь, доля карт, реквизиты которых использовались при осуществлении несанкционированных операций, в 2015 году выросла и составила 84% от общего числа карт, с использованием которых осуществлялись несанкционированные операции в интернете и с помощью мобильных устройств (CNP-транзакции).

Также постоянно снижается доля количества несанкционированных операций, которые совершаются с использованием банкоматов и пунктов выдачи наличных. Половина из всех преступлений с банковскими картами связана с несанкционированными CNP-транзакциями. Суммарно таким способом было похищено более 560 млн руб. за год.

Читайте также:  Загрузочная флешка фат или нтфс

С момента появления пластиковых карт компании, выпускающие их, пытаются найти идеальный способ защиты. Это должно быть нечто не вызывающее дискомфорта у обладателя карты и надежно защищающее его от кражи.

При этом пластиковые карты уже стали привычными для множества людей, из-за чего вопрос сохранности средств на них стоит особенно остро.

Эволюция систем защиты

В первых популярных банковских картах вся информация хранилась на магнитной полосе, причем бóльшая ее часть никак не была зашифрована, включая номер счета, наименование банка-эмитента и данные о параметрах доступного кредитного лимита. На этой же полосе хранился и PIN-код карты, с помощью которого владелец карты мог авторизоваться в банковских сервисах и обналичивать средства, но уже в зашифрованном виде.

Стоит отметить, что по задумке создателей этой системы защиты владельцу не нужен PIN-код для совершения покупок — достаточно лишь провести картой через считыватель. Это должно было сделать использование карты удобным для владельца, но породило способ взлома, который на протяжении десятков лет позволяет мошенникам оставаться на плаву.

Большинство современных банков уже отказались от таких типов карт, но они, пусть и в малых количествах, продолжают быть в ходу.

Для кражи средств с такой карты необходимо лишь украсть данные с магнитной полосы.

В подобных кражах злоумышленники используют специальное устройство — скиммер, чтобы полностью скопировать данные с банковской карты, после чего сделать ее полную копию. После этого мошенник обычно старается как можно быстрее завладеть деньгами — совершает ряд дорогостоящих покупок и продает товары за наличные.

В настоящее время в банковских картах используется более современная система защиты — чип. Он, в отличие от магнитной полосы, вшит в пластиковую карту и хранит практически всю информацию о владельце в зашифрованном виде. Исключением является номер карты, несколько последних операций и другая информация, которую определяют банк-эмитент и платежная система. При этом данные о покупателе не передаются напрямую через терминал — вместо этого отправляется специально сгенерированный код, который проверяется в базе данных банка.

Однако и эта защита не является абсолютно безопасной. К примеру, во Франции группа хакеров смогла похитить более $680 тыс., обойдя подобную систему защиты. Специалистам из École Normale Supérieure (Высшая нормальная школа) пришлось провести целое исследование, чтобы выяснить, как хакерам удалось осуществить кражу.

Оказалось, что мошенники встроили дополнительный самодельный чип в украденную карту, что позволило избежать процедуры ввода PIN-кода.

Благодаря дополнительному чипу злоумышленники смогли реализовать атаку man-in-the-middle, при которой хакеры перехватывали запрос PIN-кода и отвечали, что он верен, каким бы код ни был. Даже то, что из-за дополнительного чипа карта стала толще, не мешало хакерам ею пользоваться. Однако баг, позволяющий выполнить подобную атаку, уже исправлен в большинстве стран мира.

Несмотря на высокий уровень защиты, владельцу карты с чипом постоянно требуется вводить PIN-код даже для самых малозначительных покупок. Для решения этой проблемы была создана система бесконтактных платежей, когда для совершения покупки достаточно поднести карту к считывающему аппарату.

Кроме того, вся информация о клиенте банка хранится в базе самого банка, а не на карте. Таким образом мошенник никак не сможет получить доступ к информации, даже если украл карту или смартфон, с которого теперь также стало возможно совершать платежи. Вместе с этим для бесконтактных платежей был создан специальный способ передачи данных, который исключает возможность перехвата информации.

Для совершения небольших покупок, до тысячи рублей, теперь не требуется вводить PIN-код, что и пугает большинство пользователей.

Данный способ оплаты не распространен в России, и далеко не у каждого есть карта, которая может совершать бесконтактные платежи, а смартфоны для совершения платежей так и вовсе почти нигде не принимаются. По этой причине многие были напуганы историей, которая была растиражирована в начале 2016 года, когда в московской подземке был замечен мужчина с включенным считывателем карт.

Читайте также:  Защита подключения к интернету

В таком случае, даже если злоумышленнику удалось приложить считыватель к карте и снять средства, транзакцию можно без проблем отследить и вернуть деньги. В случае с «самопальными» терминалами все так же сложно, так как устройство должно иметь криптографические ключи, полученные у банка-эквайера и платежной системы, которые выдаются по договору с банком-эквайером. Поэтому и такую кражу можно будет отследить и мошенник будет задержан.

Максимум что можно сделать с подобной картой — считать по NFC ту самую информацию, которая хранится в незашифрованном виде на чипе. До недавнего времени многие полагали, что эта информация не позволит украсть деньги со счета владельца карты, однако эксперты из Which опровергли эту информацию.

Им удалось декодировать номера десятка карт, а также дату окончания срока их действия. Несмотря на то что во многих интернет-магазинах требуется CVV-код, исследователи все же нашли магазин без необходимости его ввода и смогли продемонстрировать покупку по чужой карте без каких-либо дополнительных усилий. Так, они смогли приобрести телевизор стоимостью £3 тыс. (более 260 тыс. руб.).

Троян только для россиян

Российские способы взлома

«Газете.Ru» удалось пообщаться с сотрудником МВД и выяснить, какие из способов кражи средств представляют наибольшую угрозу в России. Он рассказал, что злоумышленники не пытаются «заигрывать» с новыми системами защиты и используют старые, проверенные и бюджетные способы мошенничества.

«Кражи средств с карт с бесконтактной оплатой у нас не было ни одной, разве что были случаи скимминга, но и это происходило всего два раза», — рассказал источник в МВД.

Главной целью злоумышленников в России, по его словам, является приложение мобильного банка. Злоумышленники пытаются получить к нему доступ с помощью вирусов на Android- и Windows-смартфоны, а также социальной инженерии, то есть фишинга, и других способов обмана.

Причем, как рассказал собеседник, вирусы распространяются не только через сайты с программами для смартфонов. Также имеют место случаи, когда пользователь загружал себе фотографии и другой медиаконтент, после скачивания которого предлагалось установить программу с вирусом. Пользователи относятся к этому без должной осторожности и сами предоставляют доступ к данным на смартфоне.

Вас тоже взломали

Злоумышленники также с особой легкостью получают доступ к мобильному банку благодаря тому, что жертва сама по телефону называет все необходимые данные. К примеру, мошенник размещает объявление на сайте продаж, после чего ему звонят люди, и в диалоге под различными предлогами злоумышленнику удается получить логин и пароль от мобильного банка.

При этом проблем с поиском виновных людей, по данным источника, практически нет. Самая главная сложность — доказать их причастность.

Собеседник рассказал, что большинство случаев связано исключительно с тем, что люди пренебрегают простейшими правилами безопасности данных. Давно известные всем способы получения конфиденциальных данных все еще остаются актуальными в России, так как люди сами часто отдают эту информацию злоумышленникам.

Для того чтобы обезопасить себя при использовании пластиковых карт с магнитной полосой, стоит проверять банкомат, который используется для снятия наличных и авторизации в системе. В случае с картами с чипом и бесконтактной оплатой стоит беречь карту и PIN-код от посторонних глаз, а при утере карты нужно незамедлительно ее заблокировать. Что касается смартфонов, то здесь способы защиты не менее традиционны — необходимо лишь установить антивирус и следить за тем, какой именно софт будет установлен на устройство.

Ссылка на основную публикацию
Adblock detector