logo
КУМС_Фильченкова3_Теория пластиковых карт3142

Безопасность карт

Поскольку пластиковая карта – это ключ от сейфа, находится масса желающих завладеть им. При этом воровать карту – неправильный ход. Владелец может ее спохватиться и, позвонив в банк-эмитент, заблокировать.

Карточные воры в своей среде называют друг друга кардерами. Своих жертв они называют холдерами (от англ. Cardholder – владелец карты). Кардеры обычно одиночки или действуют в малочисленных мобильных группах.

Если посмотреть на схемы выполнения транзакций в обычных и интернет-магазинах, можно легко понять, где находятся кардеры. Узкими местами проведения транзакций являются чеки-слипы, POS-терминалы и каналы интернета, используемые интернет-магазинами.

Исходя из специфики этих каналов утечки данных о картах, кардеры специализируются на следующих видах воровства:

трэшинг (trashing), по-русски – копание в мусоре. Трэшеры обитают возле мусорных контейнеров крупных торговых точек или организаций, работающих с финансами людей (например, страховых компаний, медицинских учреждений). Они рассчитывают на человеческую беспечность, заставляющую людей выбрасывать (предварительно не измельчив) чеки-слипы или же бухгалтерскую документацию, содержащую сведения о картах;

скимминг (skimming) – самый адреналиновый вид кардерства. Название мошенничества происходит от названия прибора для считывания данных о карте с ее магнитной полосы или встроенного чипа – скиммера (skimmer). Самым наглым способом скимминга является установка скиммера прямо на банкомат. Человек вставляет карту в приемник банкомата, не подозревая, что перед ним стоит хорошо замаскированный скиммер, «прокатывающий» данные карты и передающий их по беспроводному каналу или записывающий их во внутреннюю флэш-память.

Идея фишинга проста – сделать так, чтобы в момент перенаправления интернет-магазином владельца карты на страницу сервера авторизации тот попал на похожую страницу, но принадлежащую кардеру. Человек, ничего не подозревая, вводит данные о карте в поля формы. Эти данные пересылаются кардеру и только потом отправляются на настоящий сервер авторизации. Сейчас заниматься фишингом становится все труднее, ведь почти все современные браузеры имеют антифишинговую защиту. Расчет делается на человеческую беспечность. Проверка на фишинг увеличивает время загрузки страниц, и многие ее просто отключают. Если же афера с фишингом не проходит, кардер-хакер пробует внедрение программ троянов-кейлогеров, которые фиксируют нажатия клавиш при совершении транзакции и отсылают их злоумышленнику [3].