Безопасность виртуальных платежей

Утверждать, что каждый обладатель пластиковой карты в России платит с ее помощью за товары и услуги через Сеть, было бы слишком оптимистично: делает это не больше 3–5% самых продвинутых пользователей. Но массовые “зарплатные” проекты и увеличение инфраструктуры приема “пластика” постепенно делают свое дело — становится больше интернет-магазинов и провайдеров, принимающих такие транзакции, увеличивается средний чек подобных платежей. Вместе с тем одной из актуальных проблем является безопасность подобных расчетов — кардеры не дремлют и украденные данные кредитных карт постоянно возглавляют список товаров и услуг, рекламируемых преступниками в теневой экономике.

Практика взлома

Один из элегантных способов кражи пользовательских данных был зафиксирован в Великобритании в июле нынешнего года. Схема была практически идеальна — вирус-троян Zeus v3, “окопавшись” на компьютере пользователя со слабой антивирусной защитой, имитировал работу с определенным интернет-банком: запрашивал у пользователя авторизационные данные и переменные коды для нужных операций. Правда, выполнял совсем не их, а переводы средств на сторонние счета. Клиенты же, получавшие от трояна фальшивые скриншоты, а также сообщения о состоянии счета и не подозревали о том, что их обокрали. Забили тревогу пользователи, подключившие себе SMS-уведомление — подозрительные транзакции они не выполняли, поэтому удивились быстрому “похудению” счета.

Хотя, если внимательно почитать материалы мировых платежных систем, будь это Visa, MasterCard или Diners Club, то можно обнаружить интересную закономерность — взломы банковских систем или систем процессинговых компаний (служат шлюзом между магазином и банком-эмитентом карты) крайне редки даже с использованием инсайдерской информации. Этому препятствуют специальные стандарты безопасности типа PCI DSS, требующие от подобных организаций драконовских мер безопасности. К примеру, все данные клиента должны даже во внутренней БД храниться в зашифрованном виде, в базах процессинга не сохраняется код CVV2, который требуется для проведения платежа (он принимается от пользователя и сравнивается с данными банка-эмитента, при этом система процессинга видит только итоговый вывод — соблюдены условия для транзакции или нет), а персонал работает за компьютерами с “обрезанной” функциональностью, которые жестко настроены на выполнение ограниченного круга рабочих операций (никакого выхода в Сеть или открытых USB-портов для флэшек). Часто на таких компьютерах в принципе невозможно скопировать и сохранить какую-либо информацию, а все обращения к базе данных контролируются на удаленном сервере: в любой момент времени можно посмотреть, что делал тот или иной сотрудник с момента его работы в конкретной компании.

Таким образом, наиболее интересны для взлома и получения данных о пластиковых картах интернет-магазины, где вопросы безопасности явно не поставлены во главу угла. Кража данных о 45,7 млн. кредитных и дебитных карт из базы данных сети магазинов скидок T.J. Maxx и Marshalls в 2007 г. по-прежнему остается крупнейшей в истории интернет-магазинов. Но с тех пор подобных хищений произошло сотни, и далеко не о всех стало известно. И дело здесь совсем не в экономии ИТ-бюджета (хотя и такое встречается). Просто владельцы различных бизнесов слабо представляют себе угрозы информационных сетей, к которым они подключаются: администратора у их системы часто нет, интернет-магазин построен на базе типовых шаблонов, а данные кредитных карт пользователей лежат практически в открытом виде в txt-файлах или базах MySQL, вскрываемых даже хакером “средней руки”. Правда, РУнет от громких краж пока спасает только неразвитость этой формы платежа за товары и услуги. Интернет-покупатели предпочитают отдавать деньги лично курьеру в руки или расплачиваться электронной валютой.

Кроме того, в России пользователи предпочитают дебетовые, а не кредитные карты, что предполагает сравнительно небольшие остатки по счетам (карты используются для обналички зарплаты раз в месяц), а также невозможность залезть “в минус”. Спасает и формализм отечественных финансово-кредитных институтов: карты по почте отправляют только несколько розничных банков кредитования, остальные требуют личного визита клиента в банк с паспортом, для получения заветного кусочка “пластика”: скопировать данные в таких условиях ну совершенно нереально.

Специфика черного рынка

За много десятков лет существования кардеров незаконный бизнес по обналичиванию похищенных средств обрел законченные черты. Это не доморощенные методы обмана, распространенные, к примеру, на рынке контента — работают здесь действительно профи, объединенные в мощные преступные группировки со своей специализацией. Однако все эти люди ленивы — чем быстрее “выхлоп” и проще его схема, тем больше шансов, что именно этот вариант преступного бизнеса будет использоваться.

Часть кардеров, как и раньше, пытается заказать дорогую технику и получить ее на адрес “дропа” (специальные люди, которые пересылают такие посылки дальше, совсем на другой адрес). Большинство же из них “окопались” в киберпространстве. К примеру, схема с рекламной моделью пользуется большой популярностью — скоро такие же проблемы ожидают и РУнет. Крупные западные электронные магазины достаточно активно сотрудничают со сторонними веб-сайтами, которые размещают партнерские ссылки на их торговый ассортимент. С каждой покупки, которую совершают “приведенные” таким образом пользователи, рекламной площадке положен определенный процент. Причем он выплачивается гораздо быстрее, чем идет инкассация по пластиковым картам покупателей. Таким образом, организуя фиктивные рекламные площадки, мошенники загоняют “покупателей” в книжные магазины, виртуальные торговые центры бытовой электроники и т. д., где те отовариваются на весьма значительные суммы. Платят, естественно, ворованными кредитками. Отчисления с таких покупок, особенно в высокий сезон распродаж, могут достигать и 10–15% от суммы чека — их и получают мошенники. Коэффициент “отмывки” денег очень небольшой, но и затрат предполагается минимум.

Вторая по популярности схема — работа с цифровым контентом. Приложения для смартфонов, музыка, игры — все это можно купить в виртуальных торговых моллах с оплатой по карте. Получая приложения на свое устройство, злоумышленники потом комплектуют из них пиратские диски и виртуальные магазины контента, которые и пускаются в продажу. Естественно, расходы на приобретение легального контента не важны — оплата идет с ворованных карточек, а для реализации товара достаточно выстроить систему продажи по сниженной цене (вместо 3–5 долл. за композицию, 10–20 долл. за игру — в 10 раз меньше) копий таких сборников как на физических носителях (к примеру, DVD на радиорынках), так и через веб-пространство.

Мошенничество происходит и в социальных сетях, где есть возможность пополнения своего электронного счета электронной валютой (голоса, жетоны и т. д.) с помощью пластиковых карт и обратный вывод заработанного, скажем с помощью рынка приложений, на пластиковые карты. В таком случае локальная валюта покупается через ворованные карты, а выводятся (пусть и с громадными потерями) на специально открытые счета в иностранных банках уже “живые” деньги. Правда, предпочтения отдаются даже не такой сложной схеме, а “выводу” денег в различные электронные валюты, отследить которые еще сложнее. Примерно аналогичная схема возможна и в том случае, если с помощью пластиковой карты можно заплатить в платежном шлюзе, который конвертирует эти деньги в электронную наличность напрямую — это так называемые “обменные пункты”. Кроме того, у небольших операторов связи до сих пор “проходит” вариант пополнения счета с помощью денег с ворованных карт и закрытие счета с возвратом остатка денежных средств наличными через кассу — но для таких фортелей уже нужно содействие персонала этих компаний, без их поддержки любая служба безопасности сделает “стойку” на такие операции по умолчанию.

Чисто теоретически под ударом находятся и сервисы мобильного перевода, допускающие пополнение картами счета через сайт оператора связи и дальнейший вывод денег на другие электронные счета. Правда, у крупных провайдеров, антифродовые системы уже научились отслеживать такие схемы. Есть и схема с билетами, когда проездные документы приобретаются по ворованным картам, а после их получения в них меняется фамилия пассажира уже через самую обычную кассу, т. е. билет не сдается обратно (тогда деньги возвращаются только на карту, не выдаются наличными), а переоформляется на человека, который им воспользуется. Ряд авиакомпаний и железнодорожных перевозчиков позволяет это сделать. Но для реализации такой схемы необходимо иметь параллельную службу поиска пассажиров на вокзалах и авиатерминалах, что долго и дорого.

Стандартные меры безопасности

Вооружившись пластиковой картой с намерением обязательно заплатить за товар или услугу в Сети, стоит соблюдать хотя бы минимум мер предосторожности: попасть на фишинговую удочку шансов предостаточно. Как только вы определились с нужным товаром и нажали на ссылку “оплатить с помощью банковской карты”, на странице должна появиться платежная форма специального платежного шлюза — это может быть Assist, Chronopay и т. д. Главное, на что стоит обратить внимание —в строке браузера должен появиться защищенный протокол https и замочек. Это означает, что безопасное соединение по SSL установлено и перехватить данные практически нереально.

Кстати, надо посмотреть, какие данные запрашиваются. Да, шлюз, может, обязан попросить у пользователя ввести код CVV2 — это три цифры на обороте карты. Но никаких запросов PIN-кода, который нужен исключительно в банкомате, быть не должно. Этого не может требовать даже сотрудник банка — в явном виде набор из четырех цифр знает только владелец “пластика” и вводить его можно только в автоматизированных системах самообслуживания. Кстати, на платежных страницах никогда не выскакивают какие-либо дополнительные окна с предложением ввести номер карты еще раз “для проверки данных": это должно вас насторожить.

Не лишним будет уточнить сайт магазина с помощью поисковиков — фишинговые проекты, куда абонентов приводят спамные ссылки, подделываются под оригинал с помощью слешей, тире, точек — вместо otlichniymagaz.ru может быть otlichniy-magaz.com или otlichniy.magaz.ch, что должно как минимум насторожить, а как максимум остановить — не стоит “светить” там свою карту: товар не придет, поскольку это специальные сайты-ловушки для сбора номеров кредитных карточек.

Ну и никакая процессинговая или банковская система при оплате в интернет-магазине не потребует от пользователя данных его паспорта или другого удостоверения личности: это могут делать только мошенники.