Мошенничество с банковскими картами — популярный вид бизнеса в даркнете. В нём, как догадываетесь, ровно ноль легального. Увы, это не мешает ему развиваться вовсю.
Рассказываем, как и где в даркнете получают данные банковских карт. И что с ними происходит дальше.
Примечание: вся информация в этой статье даётся в ознакомительных целях. Помните, что любые действия с чужими картами – уголовное преступление.
Главный вопрос. Как всё-таки получают данные чужой карты?
Методов очень много. Многие из них можно распознать с опытом, а некоторые – только вручную, пошарившись руками по банкомату или заметив неладное с ним заранее.
1. Ставят скиммеры на банкоматы
На банковской карте есть магнитная полоса, с которой банкомат, терминал и другие устройства считывают информацию. Это вы точно знаете. Но если на банкомат установить собственное считывающее устройство, данные до банка не дойдут.
Такие считыватели называются скимерами. Обычно это щель для считывания данных с магнитной полосы и фальшивая клавиатура для кражи пин-кода.
Вместо клавиатуры могут использовать камеру: она обходится недорого и подходит для любого банкомата. А клавиатуру приходится подбирать под конкретную модель банкомата.Чип на карте не защищает от скиммера. Выше пример, как выглядит скиммер для карт с чипом.
2. Крадут через кассы и терминалы
POS-терминалы – это штуки, к которым вы прикладываете айфон или прокатываете карточку, когда оплачиваете покупку. Если установить на них вредоносное ПО, то данные с банковской карты можно попросту украсть.
Этим способом нередко злоупотребляют в кафе, на заправках, на кассах супермаркетов. А главное, жертва скорее подумает на вирус, заразивший его компьютер при интернет-оплате, чем на поход в магазин.
Недавно троих граждан Украины арестовали за кражу данных 15 млн (МИЛЛИОНОВ!!!) карт. Они заражали компьютеры с кассовыми аппаратами, затем рассылали письма от Комиссии по ценным бумагам и биржам США и от различных отелей.
Самый известный российский кардер Роман Селезнев также крал данные карт пачками в США. Порой их хранили просто в текстовых файлах на кассовых компьютерах.
Селезневу дали 27 лет тюрьмы. Не будьте как Роман.
Вариант со скимером также возможен, но скорее теоретически. Слишком заметен считыватель на небольшом терминале, который всегда на глазах. Но в США на заправках была целая эпидемия со скиммерами, которые внедряли в терминалы.
3. Запоминают данные карт
В барах, ресторанах и кафе официанты нередко забирают вашу карту с собой и уносят к кассовому аппарату. Несложно запомнить номер, дату окончания срока и CVC/CVV-коды по дороге. А ещё проще сфотографировать лицевую и оборотную стороны карты, пока клиент не видит.
4. Используют фишинговые приложения и сайты
Сверстать сайт, который выглядел бы точь-в-точь как оригинальный, можно меньше чем за $100. Приложение немного дороже. Чаще всего копируют сайты и приложения банков, реже популярных интернет-магазинов. Самое дорогое в этой схеме — купить или разработать фишинговое приложение или организовать рассылку по нужной базе данных.
Мошенникам нужно распространить ссылку на фишинговый сайт или приложение, заставить пользователя вбить данные для доступа в фальшивую форму. Кроме того, фишинговые приложения часто перехватывают SMS для авторизации. Всего этого достаточно, чтобы снять деньги с вашего банковского счета подчистую.
Фишинговых сайтов сотни — только служба безопасности «Сбербанка» выявила и добилась блокировки 600 доменов.
На фишинговые письма ведутся 48% пользователей. Практически каждый второй. Возможно, и вы однажды попались, просто не заметили.
5. Взламывают сайты интернет-магазинов, авиаперевозчиков и др.
Заказывая товары или билеты в интернете, вы можете лишиться денег не только на фейковом, но и на реальном сайте. Такие случаи относительно редки и часто придаются публичной огласке.
К примеру, западные ритейлер Sears и авиакомпания Delta признали, что их подрядчика по чат-поддержке взломали, в результате пострадали клиенты. Утекло около 100 тыс. записей о картах от Sears и сопоставимое количество данных от Delta.
Ещё один пример — премиальные американские ритейлеры Saks Fifth Avenue и Lord&Taylor. Хакеры взломали их платежную систему и собрали данные о 5 млн банковских карт. 125 тыс. записей о картах выставили на продажу.
Одеваются в магазинах люди небедные. Так что даже если 125 тыс. записей умножить на $10 тыс. в среднем на счету, можно больше не работать. Никогда.
6. Перехватывают данные в открытых Wi-Fi-сетях
Халявный Wi-Fi небезопасен, iPhones.ru уже писал об этом. Да и домашние роутеры нередко взламывают люди «с улицы». Инструментов для этого хватает, даже в даркнет лезть не нужно. В итоге уведут не только аккаунт в Facebook, но и деньги с банковского счета.
7. Вам звонят и представляются сотрудником банка
Номер вашей банковской карты находят на сайте объявлений, посте для сбора пожертвований, да даже в чате WhatsApp, где все скидываются на цветы к 1 сентября.
Затем вам внезапно звонят якобы представители банка и под предлогом повышения безопасности / разблокировки карты / подтверждения платежа заставляют выдать всю информацию о карте или аккаунте онлайн-банкинга.
Самый главный момент: мошенники под видом сотрудника банка просят сообщить код подтверждения операции, который придёт в SMS.
На вас это, может, и не подействует. Но менее опытных юзеров вроде вашей бабушки обычно облапошивают именно так. Отменить операцию и доказать, что владелец аккаунта не виноват, в таких случаях крайне сложно. Ведь получается, вы номинально подтвердили операцию кодом, ничего несанкционированного не случилось.
8. Сотрудник банка хочет помочь в личке соцсети
Жертв находят в пабликах банков на форумах. Якобы представитель финучреждения связывается с пользователем, который задал вопрос в официальной группе или на странице банка. Обещает решение проблемы. Или золотые горы, кредит по гуманным 5% в год и тому подобное.
Для продолжения просит данные карты, счета, аккаунта онлайн-банкинга, контрольные вопросы или что-нибудь ещё, что позволит «подтвердить личность». Спорим, знаете, что будет дальше?
9. Собирают инфу через безобидные приложения
И такое бывает. Недавний скандал вокруг Burger King тому подтверждение. Разработчики, конечно, списали всё на улучшайзинг и «всё делаем для пользователя, мамой клянус», но факт остаётся фактом. Какие ещё приложения крадут банковские данные, расскажем скоро в отдельном материале.
Итак, данные банковской карты украли. Что происходит дальше?
Чаще всего ими пользуются кардеры. Они напрямую сливают деньги с вашего счета на свой (другую ворованную карту, карту случайного дропа и т. п.).
Либо, чтобы не попасться, заказывают с вашей карты товары или подарочные сертификаты в интернет-магазинах. Пока жертва оклемается, успевают обнулить карту и залезть в максимальный овердрафт.
Окей, допустим, у меня украли данные. Что делать?
При первом подозрении НЕМЕДЛЕННО блокируйте карту или вообще весь счёт. Бросайте всё, срочно. Почти все онлайн-банки и приложения банков позволяют сделать это мгновенно без лишних подтверждений. Объяснять ситуацию будете позже.
Полезные советы. Как не дать украсть данные своей карты?
Будьте внимательны, когда переходите по ссылкам. Проверяйте адрес в адресной строке и подлинность формы в приложении.
По статистике Google, 12,4 млн пользователей в 2017 году стали жертвами фишинга.
Да, 78% пользователей знают, что опасно переходить по подозрительным ссылкам. Но 56% всё равно переходят по ссылкам из e-mail, 40% – по ссылкам в Facebook. Угроза ближе, чем вам кажется.
Не сообщайте никому больше, чем номер карты. Для перевода денег этого достаточно.
Осматривайте банкомат перед тем, как вставить в него карту. Если одни детали выглядят новее других или не подходят по цвету, не снимайте в нем деньги.
Меньше шансов нарваться на скиммер в банкомате в отделении банка, в холле приличной гостиницы или другом зале с надёжной охраной.
Не верьте в распродажи авиабилетов за копейки, скидки 80% на фейковых сайтах, кредиты под 1% в месяц от микрофинансовых организаций. Вроде очевидно, но сколько обманутых!
Не пытайтесь снять блокировку карты по ссылке из e-mail или сообщения в мессенджере. Если возникла проблема, звоните в банк по номеру, который указан на вашей карте.
Используйте двухфакторную авторизацию везде, где это возможно.
Не записывайте PIN-коды банковских карт на бумаге. И тем более на самой карте или в кошельке. Да, такое сплошь и рядом.
Сама так сделала: сотрите или закрасьте CVV2-код на обороте карты. Только запомните его перед этим. Если забудете, можно будет восстановить в банке или сделать запрос в некоторых банковских приложениях.
Заведите отдельную карту для интернет-платежей и мелких трат. Переводите на неё деньги непосредственно на расходы. Не давайте никому карту в руки. А лучше перейдите на карту с чипом для бесконтактной оплаты или Apple Pay, Android Pay, Samsung Pay.
Не пользуйтесь интернет-банкингом через открытый Wi-Fi. Да и вообще через Wi-Fi. Наконец, если вам звонят из банка, выслушайте, запишите разговор и перезвоните на официальный номер банка, который указан у вас на карте.
Что ещё можно сделать, чтобы защитить себя
Пожалуйтесь на фишинговый сайт в Google и «Яндекс».
И ещё один важный пример напоследок
В январе 2018 года взломали сайт производителя смартфонов OnePlus и несколько месяцев воровали данные банковских карт покупателей.
Производитель официально признал, что «часть пользователей пострадала».
А в бете прошивки OxygenOS Open Beta 2 нашли интересную функцию приложения буфера обмена: в файле badword.txt оказалось много ключевых слов вроде address, email, home, birthday. Другие файлы позволили установить, что OnePlus отправляет IMEI и другую информацию на сервера teddymobile — компанию, которая идентифицирует пользователей по SMS-сообщениям.
Так что иногда достаточно просто купить не тот смартфон, чтобы слить данные собственной банковской карты.
P.S. Каждый раз, когда вы расшариваете эту статью, у фишеров становится на десяток жертв меньше. Берегите себя и своих близких. Источник
… [Trackback]
[…] Read More on on that Topic: portaltele.com.ua/news/events/kak-mogut-ukrast-dannye-bankovskoj-karty.html […]
… [Trackback]
[…] Find More Info here on that Topic: portaltele.com.ua/news/events/kak-mogut-ukrast-dannye-bankovskoj-karty.html […]