Не так давно порталы по
инфобезу облетела новость: СБУ задержали команду кардеров, которые занимались
изготовкой и продажей устройств для скимминга. Считывая данные с магнитной
ленты карты и фиксируя вводимый пин-код, скиммеры позволяли злоумышленникам
проводить практически любые махинации с пластиковыми картами.
«Ну и что особенного в
этой новости?», - скажут многие, и будут правы. В последнее время новостей об
этом виде преступлений в Украине и России становится все больше. Кардинг
постепенно набирает обороты, и очевидно, что типичная аутентификация с помощью
пин-кода сегодня никого не остановит. Есть ли альтернатива? Само собой. О
наиболее интересных и надежных способах не стать жертвой кардеров мы сегодня и
поговорим.
Биометрическая
аутентификация
Новинка из Японии.
Система, разработанная Ogaki
Kyoritsu Bank, позволяет не просто пользоваться карточкой после
сканирования отпечатков пальцев. Получить доступ к счету можно всего лишь
приложив ладонь к сенсорной панели, наличие при себе кредитки совсем не
обязательно. Система начнет работать в сентябре этого года.
Кроме того, по-прежнему
остаются популярны классические системы биометрической аутентификации: проверил
отпечаток – получил возможность пользоваться карточкой.
Плюсы такого подхода
очевидны: чтобы получить доступ к счету, нужно быть конкретным человеком, и
никак иначе. Однако отсюда же следует и недостаток
Сложности также могут
возникнуть при оборудовании терминалов для биометрической аутентификации. Опыт
производства и внедрения подобных устройств для широкой аудитории практически
отсутствует, и затраты переоборудование банкоматов тоже необходимо учитывать. А
люди у нас не привыкли даже к пользованию электронной валюты, и уж тем более
непривычной будет работа с отпечатками пальцев.
Кроме того, еще в 2008
году было получено устройство Biologger, который позволяет скопировать
необходимые для доступа отпечатки пальцев. Повсеместное распространение
биометрической аутентификации приведет всего лишь к перепрофилированию
кардеров, так что использование этого метода защиты – временное решение.
К тому же, никто не отменял
классических сценарий ужастиков и боевиков, когда при необходимости
биометрического доступа преступники просто отрезали необходимые части тела.
Двухэтапная
аутентификация
Весьма популярный
способ подтверждения прав доступа. Сейчас используется практически везде: от
электронной почты до онлайновых платежных систем типа Webmoney или
Яндекс.Денег. Думаю, все сталкивались с такой реализацией – на телефон приходит
SMS
с кодом, после ввода которого можно получить
доступ к необходимому сервису.
Способ прост в реализации и не требует
установки каких-либо дополнительных устройств – достаточно лишь немного дописать
программную начинку банкомата, а мобильные телефоны сейчас есть у каждого.
Однако с
распространением смартфонов начали появляться и программы-перехватчики SMS, которые в сочетании с
классической схемой скимминга дают злоумышленникам полные права доступа. Правда,
на один раз – по прилетевшей SMS
жертва
мошенников будет знать о несанкционированном доступе к счету.
Но как ни странно, эта
проблема имеет очень простое решение – использование устаревших моделей
телефонов без полнофункциональных ОС. Троянца на такой аппарат не закинуть, а
для перехвата SMS
придется
использовать мощные устройства, которые применяются в спецслужбах. И чаще всего
затраты на такой перехват сообщений не окупят возможную прибыль мошенников.
NFC-чипы и эмуляция карт
Технология беспроводной
передачи данных NFC
известна
еще с 2003 года, однако активно применяться начала совсем недавно. Особенно
такая возможность передавать небольшое количество информации на очень малое
расстояние пришлась по нраву банкам - мобильные устройства, которые
поддерживают использование NFC-чипов,
стали использовать для эмуляции пластиковых карт.
Выглядит такая система
очень удобно: пользоваться карточкой не обязательно, достаточно просто поднести
к считывающему устройству смартфон и таким нехитрым способом воспользоваться
банкоматом, оплатить покупку и т.д. Технология сочетает в себе и стандартную
аутентификацию через пароль, и двухэтапную – через наличие доступа к телефону.
Но тогда возникает
резонный вопрос: какой смысл в использовании NFC-чипа, если фактически он работает
по принципу обычной авторизации через SMS, только код вводить не надо? Удобно, не спорю, но с
точки зрения безопасности разницы нет – при наличии доступа к телефону
злоумышленник может точно также воспользоваться картой.
Этот минус мог бы быть
компенсирован отсутствием обнаруженных уязвимостей, но это не так. Телефон на Android с NFC-чипом уже взломан.
В первом случае с помощью фальшивого считывающего устройства были перехвачены
данные, которые передавались от эмулятора карты к банкомату, а во втором –
получен доступ к самому телефону.
А это снова возвращает нас
к классической схеме кардинга – внедрить в банкомат скиммер, который украдет
все данные, необходимые для доступа к карте. Меняется лишь технология, но принцип
остается тот же. И повсеместное использование новой методики взлома – лишь дело
времени.
А как ни странно, но
при наличии такого обилия новых технологий наиболее простой, надежной и
доступной для каждого остается двухэтапная аутентификация с помощью SMS.
Алексей Дрозд,
заместитель PR-директора компании SearchInform
