- Joined
- Feb 17, 2007
- Messages
- 677
- Reaction score
- 1,022
- Points
- 93
- Age
- 57
Close contacts.
Online fraudsters and carders are inventing more and more ways to steal money from bank customers' accounts. In this article, I will talk about the methods that criminals use to bypass the security of bank cards.
All methods of fraud with bank cards can be divided into two categories. The first is massive and well-known. The second is often called "white whales": these are incidents that happen every 5-10 years, end in disaster for the attackers and multimillion-dollar profits for the attackers, and therefore attract a lot of attention from the press and regulators. In any case, the main criterion for success among carders and similar crooks is massiveness and simplicity. If a fraudulent scheme is easy to reproduce thousands of times, this is a guarantee of a financial victory over the banking system and the future popularity of the chosen method.
Let's start with the attacks that payment systems and banks have to deal with on a regular basis.
The first place in terms of prevalence among fraudulent schemes is taken by payments on the Internet - they are made according to the card-not-present scheme. Due to their massiveness, payment giants have invented an additional dynamic factor - the 3-D Secure code.
3-D Secure is a great help against massive fraudulent schemes. However, some stores, including large ones such as Amazon, are still not ready to work with 3-D Secure, which, in their opinion, reduces conversion. And international payment systems do not insist! Better to spend more is their motto. The current payment rules state that if the card supports 3-D Secure, but the store does not support this technology, in the event of a protest against the payment, the financial risks lie with the store. If 3-D Secure is not supported by the card - at the issuing bank. Therefore, all over the world, hungry scammers are looking for stores that do not require 3-D Secure.
Sometimes this can be taken literally: in 2018, one of the fraudulent schemes was identified in the UK. The cybercriminals posted a 50% discount on pizza delivery for a major brand on social media. This brand did not use 3-D Secure when paying, and payments were made using stolen cards purchased from various markets. This gave the cybercriminals 50% of the amount of each pizza sold. The scheme worked for several months before it was shut down.
The second most popular type of fraud is the creation of a clone of the magnetic stripe of the card. It still remains one of the most common methods of attacks on physical card operations (the so-called card-present transactions). As you know, the magnetic stripe is extremely easy to clone.
Certain types of cybercrimes include the use of specialized malware. The attack must be repeatable and highly scalable. This is why attackers infect devices that use thousands of cards every day - operator machines in large supermarkets.
In 2013, the American chain of stores Target suffered the largest attack ... In it, the criminals used the then not very popular scheme of “compromising the supply chain”. After infecting one of the contractors, the cybercriminals managed to infiltrate the supermarket chain, compromise the entire Windows domain and infiltrate the operating system directly at the checkout counters. These systems ran what were called RAM scraping Trojans, which scanned memory for patterns of magnetic stripe tracks. When the tracks were found, the Trojan forwarded them to the C&C server installed on the internal network, which then sent this information to the external network.
Why are cloned magnetic cards still so popular, despite the fact that almost all of them are now equipped with a chip? Everything is as easy as shelling pears: in many American stores, you can still pay with a card equipped with a chip, simply by conducting a transaction using a magnetic stripe. Over the past 5–10 years, this is, oddly enough, the most backward market, because of which the magnetic stripe is still present on bank cards.
If the payment terminal suddenly refuses to accept the magnetic stripe right away, there is a scheme that works in both the Americas and Europe - a technical fallback. This technique consists in the fact that an attacker three times inserts a card with a non-existent chip into an ATM or terminal, and after the third unsuccessful read attempt, the terminal will definitely offer to carry out an operation on the magnetic stripe.
In any of these cases, the responsibility according to the rules lies with the store that performed such a high-risk operation. Moreover, payment systems such as MasterCard, in order to avoid image risks, recommend rejecting transactions received in the technical fallback mode. No one wants to find out if the customer's card was actually stolen, or if he just wanted not to spend money and declare a fraudulent operation. I even less want to explain to angry customers why they bought TVs using their cards for thousands of dollars and hundreds of kilometers from their real location.
According to the rules of modern payment systems, 99.9% of card transactions must be made online - with the confirmation of the cryptogram on the side of the issuing bank. Exceptions are the metro, payment on airplanes and on cruise ships. That is, where the Internet is available intermittently or there is no way to wait for a long time for a response from the issuing bank, as, for example, at metro turnstiles. And when the EMV protocols were created, many payment systems worked offline according to the so-called Floor Limits - transactions above these limits had to be confirmed online, and below - they took place in local mode, that is, they were confirmed by the terminal itself. 5-10 years ago, the number of such terminals, especially in Latin and North America, was large enough to massively attempt to attack the shortcomings of offline card authentication.
It was to protect against mass and simple fraud that chip cards and confirmation of transactions using the 3-D Secure code were once invented. These protection methods are not perfect, they had their own problems, which the experts warned about from the very beginning. However, such cards still cannot be hacked en masse, and when an attack succeeds, it looks more like a blitzkrieg - everything happens in a matter of days or hours. A small group of intruders gets the maximum profit and disappears from the horizon. That is why each case or new scheme is of great interest to experts.
We will call such cases white whales. These incidents, which happen once every 5-10 years, end in disaster for the attacked banks and multi-million dollar profits for the attackers, and therefore attract a lot of attention from the press and regulators. I will discuss several types of such attacks to illustrate the fundamental flaws in card payment technologies.
These attacks are often referred to as BIN Master attacks or distributed guessing attacks. They got these names thanks to the loudest case that happened in 2016. Then the British bank Tesco was subjected to a distributed attack of such magnitude that they had to turn off card payments for 48 hours. In a few days, the attackers managed to steal 22 million pounds from 20 thousand cards. As already mentioned, this data can easily be used to pay in online stores that are not equipped with 3-D Secure. However, there is a caveat: in 2018, the regulator fined the bank £ 16 million for the 2016 attack, which most likely indicates that the cards themselves were not equipped with 3-D Secure.
Suppose we have one card - ours. Its number consists of several parts. The first six digits are called BIN - bank identification number. In this case, the same BIN may belong to more than one bank; moreover, a bank may have several BIN Range. However, this is the main starting point from which the name of the attack comes. The last digit is also calculated by checksum algorithm "Moon" ...
Suppose our card has the number 1234 5678 1234 5670. The next card from this range, according to the algorithm, will end at 5688, then 5696, and so on. There is a nonzero chance that cards 5688 and 5696 exist and are active.
Now we need to find out the value of the Expiry Date field. If the bank issues card numbers sequentially, then the next client of the bank who was issued a card after you will have the number 5688. If the bank is large and opens hundreds of cards every day, most likely, the Expiry Date field will coincide with that on your card, or it will be differ by one month. To protect against such a selection of values, payment systems recommend introducing PAN randomization - to issue them not sequentially, but randomly. Then it will be more difficult for hackers to find out the Expiry Date of the 5688 card.
But there are no unsolvable problems. There are many banking services that help you to choose a bunch of PAN / Expiry Date fields. Among them - a system for recovering a password or a mobile bank login, registration in the RBS system, refunds in payment acquiring.
And finally, it remains to guess three numbers on the back of the card - CVV2 / CVC2. In late 2014, when researchers at the University of Newcastle first analyzed the Tesco bank attack, they found that 291 of the 400 most popular online services had the ability to iterate over the CVV2 field. This is not surprising: the money does not belong to the owners of these services. The service is just a tool for the attacker. This means that cybercriminals will always have enough tools to brute force the details of bank cards. For example, in 2019, a similar vulnerability was fixed in Magento CMS payment module for PayPal ...
Another variation of this attack often used by cybercriminals is the use of brute-force details to issue a Google Pay or Apple Pay mobile wallet. The irony is that one of the most notorious cases of fraud was sent to the Apple stores themselves. The fact is that many banks (again in America) do not require additional verification with a one-time code or a call to the bank when issuing the Apple Pay mobile wallet. This means that knowing only the card number, its expiration date and the CVV2 code, you can issue a full-fledged virtual card, with which you can already pay around the world, and not just in the USA.
There is another payment protection tool in the card-not-present category. It's called the address verification system. In this case, when making a payment, the payment system also verifies the numbers from the postal code and the address at which the card is registered (postcode / billing address). The same system can be equipped with payment terminals that support the PAN Key Entry method (I talked about it in last article ).
According to Positive Technologies estimates, up to 50% of banks still do not protect their clients from the selection of CVV2 and Expiry Date values. That is why hard workers from Latin America are so actively involved in worldwide search for cards and banks vulnerable to these attacks ...
Online fraudsters and carders are inventing more and more ways to steal money from bank customers' accounts. In this article, I will talk about the methods that criminals use to bypass the security of bank cards.
info
You can learn how the card security systems themselves work from previous article ...
All methods of fraud with bank cards can be divided into two categories. The first is massive and well-known. The second is often called "white whales": these are incidents that happen every 5-10 years, end in disaster for the attackers and multimillion-dollar profits for the attackers, and therefore attract a lot of attention from the press and regulators. In any case, the main criterion for success among carders and similar crooks is massiveness and simplicity. If a fraudulent scheme is easy to reproduce thousands of times, this is a guarantee of a financial victory over the banking system and the future popularity of the chosen method.
The most common types of fraud
Let's start with the attacks that payment systems and banks have to deal with on a regular basis.
Payments without 3-D Secure
The first place in terms of prevalence among fraudulent schemes is taken by payments on the Internet - they are made according to the card-not-present scheme. Due to their massiveness, payment giants have invented an additional dynamic factor - the 3-D Secure code.
What is 3-D Secure
3-D Secure is an additional authorization scheme for online payments that uses three entity-domains (hence the name 3-Domain Secure): the domain of the online store receives payment data and redirects the user to the payment system domain, where a one-time code is entered. Then the result is sent to the third domain of the acquiring bank, it verifies this code and sends a request that confirms or refutes the transaction back along the chain to the online store.
3-D Secure is a great help against massive fraudulent schemes. However, some stores, including large ones such as Amazon, are still not ready to work with 3-D Secure, which, in their opinion, reduces conversion. And international payment systems do not insist! Better to spend more is their motto. The current payment rules state that if the card supports 3-D Secure, but the store does not support this technology, in the event of a protest against the payment, the financial risks lie with the store. If 3-D Secure is not supported by the card - at the issuing bank. Therefore, all over the world, hungry scammers are looking for stores that do not require 3-D Secure.
Sometimes this can be taken literally: in 2018, one of the fraudulent schemes was identified in the UK. The cybercriminals posted a 50% discount on pizza delivery for a major brand on social media. This brand did not use 3-D Secure when paying, and payments were made using stolen cards purchased from various markets. This gave the cybercriminals 50% of the amount of each pizza sold. The scheme worked for several months before it was shut down.
Attack of the clones
The second most popular type of fraud is the creation of a clone of the magnetic stripe of the card. It still remains one of the most common methods of attacks on physical card operations (the so-called card-present transactions). As you know, the magnetic stripe is extremely easy to clone.
Certain types of cybercrimes include the use of specialized malware. The attack must be repeatable and highly scalable. This is why attackers infect devices that use thousands of cards every day - operator machines in large supermarkets.
info
Since the entire infrastructure using a payment terminal (POS, Point-of-Sale) is called a POS system, this type of malware is also called POS malware, despite the fact that they are not able to infect POS themselves. Instead, the operator's machine itself - the cash register - is attacked.
In 2013, the American chain of stores Target suffered the largest attack ... In it, the criminals used the then not very popular scheme of “compromising the supply chain”. After infecting one of the contractors, the cybercriminals managed to infiltrate the supermarket chain, compromise the entire Windows domain and infiltrate the operating system directly at the checkout counters. These systems ran what were called RAM scraping Trojans, which scanned memory for patterns of magnetic stripe tracks. When the tracks were found, the Trojan forwarded them to the C&C server installed on the internal network, which then sent this information to the external network.
info
It will take a few seconds to create a copy of a magnetic bank card and a special reader, which you can buy on Amazon. Then the attackers create a clone and go with it to stores in America or Europe. Bank card dumps are freely sold and bought on numerous hacker forums.
Why are cloned magnetic cards still so popular, despite the fact that almost all of them are now equipped with a chip? Everything is as easy as shelling pears: in many American stores, you can still pay with a card equipped with a chip, simply by conducting a transaction using a magnetic stripe. Over the past 5–10 years, this is, oddly enough, the most backward market, because of which the magnetic stripe is still present on bank cards.
If the payment terminal suddenly refuses to accept the magnetic stripe right away, there is a scheme that works in both the Americas and Europe - a technical fallback. This technique consists in the fact that an attacker three times inserts a card with a non-existent chip into an ATM or terminal, and after the third unsuccessful read attempt, the terminal will definitely offer to carry out an operation on the magnetic stripe.
In any of these cases, the responsibility according to the rules lies with the store that performed such a high-risk operation. Moreover, payment systems such as MasterCard, in order to avoid image risks, recommend rejecting transactions received in the technical fallback mode. No one wants to find out if the customer's card was actually stolen, or if he just wanted not to spend money and declare a fraudulent operation. I even less want to explain to angry customers why they bought TVs using their cards for thousands of dollars and hundreds of kilometers from their real location.
And what about Russia?
In Russia, terminals must not accept a magnetic stripe for payment if the card is equipped with a chip. And even technical fallback should be banned. However, there are some nasty exceptions. It was recently discussed on underground forums that the Auchan network has terminals that accept technical fallback operations. In any case, even if hackers cannot use Russian cards in Russia, no one bothers them to sell this data to other hackers in Europe or America for further monetization.Offline Chip Transactions and Authentication Attacks
According to the rules of modern payment systems, 99.9% of card transactions must be made online - with the confirmation of the cryptogram on the side of the issuing bank. Exceptions are the metro, payment on airplanes and on cruise ships. That is, where the Internet is available intermittently or there is no way to wait for a long time for a response from the issuing bank, as, for example, at metro turnstiles. And when the EMV protocols were created, many payment systems worked offline according to the so-called Floor Limits - transactions above these limits had to be confirmed online, and below - they took place in local mode, that is, they were confirmed by the terminal itself. 5-10 years ago, the number of such terminals, especially in Latin and North America, was large enough to massively attempt to attack the shortcomings of offline card authentication.
White whales
It was to protect against mass and simple fraud that chip cards and confirmation of transactions using the 3-D Secure code were once invented. These protection methods are not perfect, they had their own problems, which the experts warned about from the very beginning. However, such cards still cannot be hacked en masse, and when an attack succeeds, it looks more like a blitzkrieg - everything happens in a matter of days or hours. A small group of intruders gets the maximum profit and disappears from the horizon. That is why each case or new scheme is of great interest to experts.
We will call such cases white whales. These incidents, which happen once every 5-10 years, end in disaster for the attacked banks and multi-million dollar profits for the attackers, and therefore attract a lot of attention from the press and regulators. I will discuss several types of such attacks to illustrate the fundamental flaws in card payment technologies.
Distributed attacks on the selection of card details
These attacks are often referred to as BIN Master attacks or distributed guessing attacks. They got these names thanks to the loudest case that happened in 2016. Then the British bank Tesco was subjected to a distributed attack of such magnitude that they had to turn off card payments for 48 hours. In a few days, the attackers managed to steal 22 million pounds from 20 thousand cards. As already mentioned, this data can easily be used to pay in online stores that are not equipped with 3-D Secure. However, there is a caveat: in 2018, the regulator fined the bank £ 16 million for the 2016 attack, which most likely indicates that the cards themselves were not equipped with 3-D Secure.
info
The rules, called 3-D Secure Liability shift, determine the responsible party in case of fraudulent transactions: if the bank does not equip the 3-D Secure cards, the responsibility for the fraud lies with the bank. If cards equipped with 3-D Secure are used, for example, at Amazon, where this technology is not used, the responsibility lies with the online store.
How do hackers find complete card details?
Suppose we have one card - ours. Its number consists of several parts. The first six digits are called BIN - bank identification number. In this case, the same BIN may belong to more than one bank; moreover, a bank may have several BIN Range. However, this is the main starting point from which the name of the attack comes. The last digit is also calculated by checksum algorithm "Moon" ...
Suppose our card has the number 1234 5678 1234 5670. The next card from this range, according to the algorithm, will end at 5688, then 5696, and so on. There is a nonzero chance that cards 5688 and 5696 exist and are active.
Now we need to find out the value of the Expiry Date field. If the bank issues card numbers sequentially, then the next client of the bank who was issued a card after you will have the number 5688. If the bank is large and opens hundreds of cards every day, most likely, the Expiry Date field will coincide with that on your card, or it will be differ by one month. To protect against such a selection of values, payment systems recommend introducing PAN randomization - to issue them not sequentially, but randomly. Then it will be more difficult for hackers to find out the Expiry Date of the 5688 card.
But there are no unsolvable problems. There are many banking services that help you to choose a bunch of PAN / Expiry Date fields. Among them - a system for recovering a password or a mobile bank login, registration in the RBS system, refunds in payment acquiring.
And finally, it remains to guess three numbers on the back of the card - CVV2 / CVC2. In late 2014, when researchers at the University of Newcastle first analyzed the Tesco bank attack, they found that 291 of the 400 most popular online services had the ability to iterate over the CVV2 field. This is not surprising: the money does not belong to the owners of these services. The service is just a tool for the attacker. This means that cybercriminals will always have enough tools to brute force the details of bank cards. For example, in 2019, a similar vulnerability was fixed in Magento CMS payment module for PayPal ...
Another variation of this attack often used by cybercriminals is the use of brute-force details to issue a Google Pay or Apple Pay mobile wallet. The irony is that one of the most notorious cases of fraud was sent to the Apple stores themselves. The fact is that many banks (again in America) do not require additional verification with a one-time code or a call to the bank when issuing the Apple Pay mobile wallet. This means that knowing only the card number, its expiration date and the CVV2 code, you can issue a full-fledged virtual card, with which you can already pay around the world, and not just in the USA.
There is another payment protection tool in the card-not-present category. It's called the address verification system. In this case, when making a payment, the payment system also verifies the numbers from the postal code and the address at which the card is registered (postcode / billing address). The same system can be equipped with payment terminals that support the PAN Key Entry method (I talked about it in last article ).
Conclusion
According to Positive Technologies estimates, up to 50% of banks still do not protect their clients from the selection of CVV2 and Expiry Date values. That is why hard workers from Latin America are so actively involved in worldwide search for cards and banks vulnerable to these attacks ...
Timur Yunusov
A source
Original message
Близкие контакты.
Сетевые мошенники и кардеры изобретают все новые и новые способы похищать деньги со счетов клиентов банков. В этой статье я расскажу о методах, которые преступники используют для обхода системы безопасности банковских карт.
Все способы мошенничества с банковскими картами можно разделить на две категории. Первая — массовые и хорошо известные. Вторую часто называют «белыми китами»: это инциденты, которые случаются раз в 5–10 лет, заканчиваются катастрофой для атакуемых и многомиллионными прибылями для атакующих и поэтому привлекают к себе очень много внимания со стороны прессы и регуляторов. В любом случае основной критерий успеха у кардеров и им подобных жуликов — массовость и простота. Если мошенническую схему легко воспроизвести тысячи раз — это залог финансовой победы над банковской системой и грядущей популярности выбранного метода.
Начнем с атак, с которыми платежным системам и банкам приходится иметь дело регулярно.
Первое место по распространенности среди мошеннических схем занимают платежи в интернете — они совершаются по схеме card-not-present. В связи с их массовостью платежные гиганты изобрели дополнительный динамический фактор – код 3-D Secure.
3-D Secure отлично помогает от массовых мошеннических схем. Однако часть магазинов, в том числе крупных, таких как «Амазон», до сих пор не готова работать с 3-D Secure, который, по их мнению, уменьшает конверсию. А международные платежные системы и не настаивают! Лучше тратить больше — это их девиз. Текущие правила платежей гласят, что, если карта поддерживает 3-D Secure, а магазин эту технологию не поддерживает, в случае опротестования платежа финансовые риски лежат на магазине. Если 3-D Secure не поддерживает карта — на банке‑эмитенте. Поэтому по всему миру голодные мошенники ищут магазины, которые не требуют 3-D Secure.
Иногда это можно воспринимать буквально: в 2018 году в Великобритании выявили одну из мошеннических схем. Злоумышленники опубликовали в социальных сетях объявления о пятидесятипроцентной скидке на доставку пиццы одного крупного бренда. Этот бренд не использовал при оплате 3-D Secure, и платежи выполнялись по купленным на различных маркетах украденным картам. Это давало злоумышленникам выручку в 50% от суммы каждой проданной пиццы. Схема проработала несколько месяцев, прежде чем ее прикрыли.
Второй по популярности вид мошенничества — создание клона магнитной полосы карты. Он до сих пор остается одним из самых распространенных методов атак на операции с физической картой (так называемые card-present transactions). Как ты знаешь, магнитную полосу чрезвычайно просто клонировать.
К отдельным видам киберпреступлений стоит отнести использование специализированного вредоносного ПО. Атака должна быть легко повторяема и хорошо масштабируема. Именно поэтому злоумышленники заражают устройства, на которых используются тысячи карт каждый день, — операторские машины в крупных супермаркетах.
В 2013 году американская сеть магазинов Target подверглась крупнейшей атаке. В ней преступники использовали еще не особенно популярную тогда схему «компрометация цепочки поставки». После заражения одного из подрядчиков злоумышленникам удалось проникнуть в сеть супермаркетов, скомпрометировать весь домен Windows и проникнуть в операционную систему непосредственно на кассах. На этих системах запускались так называемые RAM-scraping-трояны, которые сканировали память в поисках паттернов треков магнитной полосы. Когда треки обнаруживались, троян пересылал их на установленный во внутренней сети C&C-сервер, который дальше уже отправлял эту информацию во внешнюю сеть.
Почему же клонированные магнитные карты до сих пор так популярны, несмотря на то что практически все они сейчас оснащены чипом? Все проще простого: во многих американских магазинах до сих пор можно расплатиться картой, оснащенной чипом, просто проведя транзакцию с использованием магнитной полосы. В последние 5–10 лет это, как ни странно, самый отсталый рынок, из‑за которого магнитная полоса до сих пор присутствует на банковских картах.
Если же платежный терминал вдруг откажется принимать магнитную полосу сразу, есть схема, работающая в обеих Америках и Европе, — technical fallback. Эта техника заключается в том, что злоумышленник трижды вставляет в банкомат или терминал карту с несуществующим чипом и после третьей неуспешной попытки чтения терминал точно предложит провести операцию по магнитной полосе.
В любом из этих случаев ответственность по правилам лежит на магазине, выполнившем такую высокорисковую операцию. Тем более платежные системы, такие как MasterCard, чтобы избежать имиджевых рисков, рекомендуют отклонять транзакции, пришедшие в режиме technical fallback. Никому не хочется выяснять, была ли на самом деле у клиента украдена карта, или он просто захотел не тратить деньги и объявить о мошеннической операции. Еще меньше хочется объяснять разозленным клиентам, почему по их картам купили телевизоры за тысячи долларов и в сотнях километров от их реального местоположения.
По правилам современных платежных систем 99,9% операций по картам должны совершаться онлайн — с подтверждением криптограммы на стороне банка‑эмитента. Исключения — это метро, оплаты в самолетах и на круизных лайнерах. То есть там, где интернет доступен с перебоями либо нет возможности подолгу ждать ответа от банка‑эмитента, как, например, у турникетов метро. Да и когда создавались протоколы EMV, множество платежных систем работало в офлайне по так называемым Floor limit — операции выше этих лимитов должны были подтверждаться онлайн, а ниже — проходили в локальном режиме, то есть подтверждались самим терминалом. Еще 5–10 лет назад количество таких терминалов, особенно в странах Латинской и Северной Америки было достаточно велико, чтобы массово пытаться атаковать недостатки офлайновой аутентификации карт.
Именно для защиты от массового и простого мошенничества когда‑то были изобретены карты с чипом и подтверждение транзакций с помощью кода 3-D Secure. Эти методы защиты не идеальны, у них были свои проблемы, о которых эксперты предупреждали с самого начала. Однако такие карты до сих пор не удается массово взламывать, а когда атака получается, она больше похожа на блицкриг — все происходит в считаные дни или часы. Небольшая группа злоумышленников получает максимум прибыли и исчезает с горизонта. Именно поэтому каждый случай или новая схема вызывают у экспертов большой интерес.
Такие случаи мы будем называть белыми китами. Это инциденты, которые случаются раз в 5–10 лет, заканчиваются катастрофой для атакуемых банков и многомилионными прибылями для атакующих и поэтому привлекают к себе очень много внимания со стороны прессы и регуляторов. Я расскажу о нескольких видах подобных атак, чтобы наглядно проиллюстрировать фундаментальные недостатки технологий карточных платежей.
Такие атаки часто называют BIN Master attack или distributed guessing attack. Эти названия они получили благодаря самому громкому случаю, который произошел в 2016 году. Тогда английский банк Tesco подвергся распределенной атаке такого масштаба, что им пришлось выключить карточные платежи на 48 часов. За несколько дней злоумышленникам удалось украсть 22 миллиона фунтов с 20 тысяч карт. Как уже упоминалось, эти данные легко могут использоваться для оплаты в интернет‑магазинах, не оснащенных 3-D Secure. Однако тут есть нюанс: в 2018 году регулятор оштрафовал банк на 16 миллионов фунтов за атаку 2016 года, — скорее всего, это указывает на то, что сами карты не были оснащены 3-D Secure.
Предположим, у нас есть одна карта — наша. Ее номер состоит из нескольких частей. Первые шесть цифр называются BIN — bank identification number. Один и тот же BIN при этом может принадлежать более чем одному банку, кроме того, у банка может быть несколько BIN Range. Однако это главная отправная точка, от которой и пошло название атаки. Последняя цифра также вычисляется по алгоритму контрольной суммы «Луна».
Предположим, наша карта имеет номер 1234 5678 1234 5670. Следующая карта из этого диапазона, согласно алгоритму, будет заканчиваться на 5688, затем 5696 и так далее. Есть ненулевая вероятность того, что карты 5688 и 5696 существуют и активны.
Теперь необходимо выяснить значение поля Expiry Date. Если банк выдает номера карт последовательно, то, значит, следующий клиент банка, которому выпустили карту после тебя, будет обладать номером 5688. Если банк большой и открывает сотни карт каждый день, скорее всего, поле Expiry Date совпадет с таковым на твоей карте либо будет отличаться на один месяц. Для защиты от подобного подбора значений платежные системы рекомендуют внедрять рандомизацию PAN — выдавать их не последовательно, а случайно. Тогда хакерам будет сложнее узнать Expiry Date карты 5688.
Но нерешаемых задач нет. Существует множество банковских сервисов, которые помогают подобрать связку полей PAN / Expiry Date. Среди них — система восстановления пароля или логина мобильного банка, регистрация в системе ДБО, возврат денежных средств в платежном эквайринге.
И наконец, осталось угадать три цифры с обратной стороны карты — CVV2/CVC2. В конце 2014 года, когда исследователи из Университета Ньюкасла впервые провели анализ атаки на банк Tesco, они обнаружили, что 291 из 400 самых популярных онлайновых сервисов дает возможность перебирать поле CVV2. Это неудивительно: ведь деньги не принадлежат владельцам этих сервисов. Сервис — лишь инструмент для атакующего. Значит, у злоумышленников всегда будет достаточно инструментов для перебора реквизитов банковских карт. Например, в 2019 году подобная уязвимость была устранена в платежном модуле Magento CMS для PayPal.
Другая часто применяемая злоумышленниками разновидность этой атаки — это использование подобранных реквизитов для выпуска мобильного кошелька Google Pay или Apple Pay. Ирония заключается в том, что один из самых громких случаев мошенничества был направлен на сами магазины Apple. Дело в том, что множество банков (опять‑таки в Америке) не требуют дополнительной верификации с помощью одноразового кода или звонка в банк при выпуске мобильного кошелька Apple Pay. Это означает, что, зная только номер карты, срок ее действия и код CVV2, можно выпустить полноценную виртуальную карту, с помощью которой уже можно расплачиваться по всему миру, а не только в США.
Существует еще одно средство защиты платежей категории card-not-present. Оно называется address verification system. В этом случае при совершении платежа платежная система сверяет еще и цифры из почтового индекса и адреса, по которому зарегистрирована карта (postcode / billing address). Такой же системой могут быть оснащены платежные терминалы, поддерживающие метод PAN Key Entry (о нем я рассказывал в прошлой статье).
По оценкам Positive Technologies, до 50% банков до сих пор не защищает своих клиентов от подбора значений CVV2 и Expiry Date. Именно поэтому трудяги из стран Латинской Америки так активно занимаются поиском по всему миру карт и банков, уязвимых к данным атакам.
Сетевые мошенники и кардеры изобретают все новые и новые способы похищать деньги со счетов клиентов банков. В этой статье я расскажу о методах, которые преступники используют для обхода системы безопасности банковских карт.
info
О том, как работают сами системы безопасности карт, ты можешь узнать из предыдущей статьи.
Все способы мошенничества с банковскими картами можно разделить на две категории. Первая — массовые и хорошо известные. Вторую часто называют «белыми китами»: это инциденты, которые случаются раз в 5–10 лет, заканчиваются катастрофой для атакуемых и многомиллионными прибылями для атакующих и поэтому привлекают к себе очень много внимания со стороны прессы и регуляторов. В любом случае основной критерий успеха у кардеров и им подобных жуликов — массовость и простота. Если мошенническую схему легко воспроизвести тысячи раз — это залог финансовой победы над банковской системой и грядущей популярности выбранного метода.
Самые распространенные типы мошенничества
Начнем с атак, с которыми платежным системам и банкам приходится иметь дело регулярно.
Платежи без 3-D Secure
Первое место по распространенности среди мошеннических схем занимают платежи в интернете — они совершаются по схеме card-not-present. В связи с их массовостью платежные гиганты изобрели дополнительный динамический фактор – код 3-D Secure.
Что такое 3-D Secure
3-D Secure — схема дополнительной авторизации онлайновых платежей, использующая три сущности‑домена (отсюда и название 3-Domain Secure): домен интернет‑магазина принимает данные об оплате и переадресовывает пользователя на домен платежной системы, где вводится одноразовый код. Далее результат отправляется на третий домен банка‑эквайера, он сверяет этот код и отправляет запрос, который подтверждает или опровергает транзакцию обратно по цепочке интернет‑магазину.
3-D Secure отлично помогает от массовых мошеннических схем. Однако часть магазинов, в том числе крупных, таких как «Амазон», до сих пор не готова работать с 3-D Secure, который, по их мнению, уменьшает конверсию. А международные платежные системы и не настаивают! Лучше тратить больше — это их девиз. Текущие правила платежей гласят, что, если карта поддерживает 3-D Secure, а магазин эту технологию не поддерживает, в случае опротестования платежа финансовые риски лежат на магазине. Если 3-D Secure не поддерживает карта — на банке‑эмитенте. Поэтому по всему миру голодные мошенники ищут магазины, которые не требуют 3-D Secure.
Иногда это можно воспринимать буквально: в 2018 году в Великобритании выявили одну из мошеннических схем. Злоумышленники опубликовали в социальных сетях объявления о пятидесятипроцентной скидке на доставку пиццы одного крупного бренда. Этот бренд не использовал при оплате 3-D Secure, и платежи выполнялись по купленным на различных маркетах украденным картам. Это давало злоумышленникам выручку в 50% от суммы каждой проданной пиццы. Схема проработала несколько месяцев, прежде чем ее прикрыли.
Атака клонов
Второй по популярности вид мошенничества — создание клона магнитной полосы карты. Он до сих пор остается одним из самых распространенных методов атак на операции с физической картой (так называемые card-present transactions). Как ты знаешь, магнитную полосу чрезвычайно просто клонировать.
К отдельным видам киберпреступлений стоит отнести использование специализированного вредоносного ПО. Атака должна быть легко повторяема и хорошо масштабируема. Именно поэтому злоумышленники заражают устройства, на которых используются тысячи карт каждый день, — операторские машины в крупных супермаркетах.
info
Так как вся инфраструктура, использующая платежный терминал (POS, Point-of-Sale), называется POS system, то и разновидность этих вредоносов носит название POS malware, несмотря на то что сами POS они заражать не в состоянии. Вместо этого атаке подвергается сама операторская машина — кассовый аппарат (cash register).
В 2013 году американская сеть магазинов Target подверглась крупнейшей атаке. В ней преступники использовали еще не особенно популярную тогда схему «компрометация цепочки поставки». После заражения одного из подрядчиков злоумышленникам удалось проникнуть в сеть супермаркетов, скомпрометировать весь домен Windows и проникнуть в операционную систему непосредственно на кассах. На этих системах запускались так называемые RAM-scraping-трояны, которые сканировали память в поисках паттернов треков магнитной полосы. Когда треки обнаруживались, троян пересылал их на установленный во внутренней сети C&C-сервер, который дальше уже отправлял эту информацию во внешнюю сеть.
info
Для создания копии магнитной банковской карты потребуется несколько секунд и специальный ридер, купить который можно на Amazon. Далее злоумышленники создают клон и идут с ним в магазины в Америке или Европе. Дампы банковских карт свободно продаются и покупаются на многочисленных хакерских форумах.
Почему же клонированные магнитные карты до сих пор так популярны, несмотря на то что практически все они сейчас оснащены чипом? Все проще простого: во многих американских магазинах до сих пор можно расплатиться картой, оснащенной чипом, просто проведя транзакцию с использованием магнитной полосы. В последние 5–10 лет это, как ни странно, самый отсталый рынок, из‑за которого магнитная полоса до сих пор присутствует на банковских картах.
Если же платежный терминал вдруг откажется принимать магнитную полосу сразу, есть схема, работающая в обеих Америках и Европе, — technical fallback. Эта техника заключается в том, что злоумышленник трижды вставляет в банкомат или терминал карту с несуществующим чипом и после третьей неуспешной попытки чтения терминал точно предложит провести операцию по магнитной полосе.
В любом из этих случаев ответственность по правилам лежит на магазине, выполнившем такую высокорисковую операцию. Тем более платежные системы, такие как MasterCard, чтобы избежать имиджевых рисков, рекомендуют отклонять транзакции, пришедшие в режиме technical fallback. Никому не хочется выяснять, была ли на самом деле у клиента украдена карта, или он просто захотел не тратить деньги и объявить о мошеннической операции. Еще меньше хочется объяснять разозленным клиентам, почему по их картам купили телевизоры за тысячи долларов и в сотнях километров от их реального местоположения.
А что в России?
В России терминалы не должны принимать к оплате магнитную полосу, если карта оснащена чипом. И даже technical fallback должен быть под запретом. Однако есть неприятные исключения. На подпольных форумах недавно обсуждали, что сеть «Ашан» имеет терминалы, принимающие операции по technical fallback. В любом случае, даже если хакеры не могут использовать русские карты в России, им никто не мешает продавать эти данные другим хакерам в Европе или Америке для дальнейшей монетизации.Офлайновые транзакции по чипу и атаки на аутентификацию
По правилам современных платежных систем 99,9% операций по картам должны совершаться онлайн — с подтверждением криптограммы на стороне банка‑эмитента. Исключения — это метро, оплаты в самолетах и на круизных лайнерах. То есть там, где интернет доступен с перебоями либо нет возможности подолгу ждать ответа от банка‑эмитента, как, например, у турникетов метро. Да и когда создавались протоколы EMV, множество платежных систем работало в офлайне по так называемым Floor limit — операции выше этих лимитов должны были подтверждаться онлайн, а ниже — проходили в локальном режиме, то есть подтверждались самим терминалом. Еще 5–10 лет назад количество таких терминалов, особенно в странах Латинской и Северной Америки было достаточно велико, чтобы массово пытаться атаковать недостатки офлайновой аутентификации карт.
Белые киты
Именно для защиты от массового и простого мошенничества когда‑то были изобретены карты с чипом и подтверждение транзакций с помощью кода 3-D Secure. Эти методы защиты не идеальны, у них были свои проблемы, о которых эксперты предупреждали с самого начала. Однако такие карты до сих пор не удается массово взламывать, а когда атака получается, она больше похожа на блицкриг — все происходит в считаные дни или часы. Небольшая группа злоумышленников получает максимум прибыли и исчезает с горизонта. Именно поэтому каждый случай или новая схема вызывают у экспертов большой интерес.
Такие случаи мы будем называть белыми китами. Это инциденты, которые случаются раз в 5–10 лет, заканчиваются катастрофой для атакуемых банков и многомилионными прибылями для атакующих и поэтому привлекают к себе очень много внимания со стороны прессы и регуляторов. Я расскажу о нескольких видах подобных атак, чтобы наглядно проиллюстрировать фундаментальные недостатки технологий карточных платежей.
Распределенные атаки на подбор карточных реквизитов
Такие атаки часто называют BIN Master attack или distributed guessing attack. Эти названия они получили благодаря самому громкому случаю, который произошел в 2016 году. Тогда английский банк Tesco подвергся распределенной атаке такого масштаба, что им пришлось выключить карточные платежи на 48 часов. За несколько дней злоумышленникам удалось украсть 22 миллиона фунтов с 20 тысяч карт. Как уже упоминалось, эти данные легко могут использоваться для оплаты в интернет‑магазинах, не оснащенных 3-D Secure. Однако тут есть нюанс: в 2018 году регулятор оштрафовал банк на 16 миллионов фунтов за атаку 2016 года, — скорее всего, это указывает на то, что сами карты не были оснащены 3-D Secure.
info
Правила, называемые 3-D Secure Liability shift, определяют ответственную сторону в случае мошеннических операций: если банк не оснащает карты 3-D Secure, ответственность за мошенничество лежит на банке. Если карты, оснащенные 3-D Secure, используются, например, в Amazon, где данная технология не применяется, ответственность лежит на интернет-магазине.
Как хакеры подбирают полные реквизиты карт?
Предположим, у нас есть одна карта — наша. Ее номер состоит из нескольких частей. Первые шесть цифр называются BIN — bank identification number. Один и тот же BIN при этом может принадлежать более чем одному банку, кроме того, у банка может быть несколько BIN Range. Однако это главная отправная точка, от которой и пошло название атаки. Последняя цифра также вычисляется по алгоритму контрольной суммы «Луна».
Предположим, наша карта имеет номер 1234 5678 1234 5670. Следующая карта из этого диапазона, согласно алгоритму, будет заканчиваться на 5688, затем 5696 и так далее. Есть ненулевая вероятность того, что карты 5688 и 5696 существуют и активны.
Теперь необходимо выяснить значение поля Expiry Date. Если банк выдает номера карт последовательно, то, значит, следующий клиент банка, которому выпустили карту после тебя, будет обладать номером 5688. Если банк большой и открывает сотни карт каждый день, скорее всего, поле Expiry Date совпадет с таковым на твоей карте либо будет отличаться на один месяц. Для защиты от подобного подбора значений платежные системы рекомендуют внедрять рандомизацию PAN — выдавать их не последовательно, а случайно. Тогда хакерам будет сложнее узнать Expiry Date карты 5688.
Но нерешаемых задач нет. Существует множество банковских сервисов, которые помогают подобрать связку полей PAN / Expiry Date. Среди них — система восстановления пароля или логина мобильного банка, регистрация в системе ДБО, возврат денежных средств в платежном эквайринге.
И наконец, осталось угадать три цифры с обратной стороны карты — CVV2/CVC2. В конце 2014 года, когда исследователи из Университета Ньюкасла впервые провели анализ атаки на банк Tesco, они обнаружили, что 291 из 400 самых популярных онлайновых сервисов дает возможность перебирать поле CVV2. Это неудивительно: ведь деньги не принадлежат владельцам этих сервисов. Сервис — лишь инструмент для атакующего. Значит, у злоумышленников всегда будет достаточно инструментов для перебора реквизитов банковских карт. Например, в 2019 году подобная уязвимость была устранена в платежном модуле Magento CMS для PayPal.
Другая часто применяемая злоумышленниками разновидность этой атаки — это использование подобранных реквизитов для выпуска мобильного кошелька Google Pay или Apple Pay. Ирония заключается в том, что один из самых громких случаев мошенничества был направлен на сами магазины Apple. Дело в том, что множество банков (опять‑таки в Америке) не требуют дополнительной верификации с помощью одноразового кода или звонка в банк при выпуске мобильного кошелька Apple Pay. Это означает, что, зная только номер карты, срок ее действия и код CVV2, можно выпустить полноценную виртуальную карту, с помощью которой уже можно расплачиваться по всему миру, а не только в США.
Существует еще одно средство защиты платежей категории card-not-present. Оно называется address verification system. В этом случае при совершении платежа платежная система сверяет еще и цифры из почтового индекса и адреса, по которому зарегистрирована карта (postcode / billing address). Такой же системой могут быть оснащены платежные терминалы, поддерживающие метод PAN Key Entry (о нем я рассказывал в прошлой статье).
Заключение
По оценкам Positive Technologies, до 50% банков до сих пор не защищает своих клиентов от подбора значений CVV2 и Expiry Date. Именно поэтому трудяги из стран Латинской Америки так активно занимаются поиском по всему миру карт и банков, уязвимых к данным атакам.
Тимур Юнусов
Источник
Last edited by a moderator: