Плохие новости для тех, кто платит онлайн

Мы живем в очень нестабильное время. За кризисом следует кризис и правительства ужесточают контроль. Это порождает терроризм, погромы, забастовки и кибервойны. Хакеры показательно взламывают все, что можно, от игровых сетей до министерств и крупных финансовых корпораций, и выкладывают данные в открытый доступ. Вы платите через интернет? Как думаете: ваши деньги в безопасности?

squareНа днях стало известно о том, что неизвестные злоумышленники похитили персональные данные более 90 тысяч клиентов японского подразделения Citigroup. И это уже второй подобный случай за последнее время. Чтобы было понятно: Citigroup это одна из крупнейших в мире международных финансовых корпораций, работающая в более чем 100 странах мира (Википедия о CitiGroup).

Не стоит думать, что мировой лидер выпуска кредитных карт небрежно относится к вопросам безопасности: все необходимые технические предписания стандартов безопасности были соблюдены, и согласно заявлению представителей компании, PIN-кодов или других данных, необходимых для доступа к денежным средствам на счетах, в украденном массиве данных не было — такие базы хранятся раздельно в зашифрованном виде.

Тогда что это было? Показательная порка крупнейшего мирового ростовщика? Может быть так, а может и нет. На подобные мысли наталкивает недавний прецедент, имевший место на конференции Black Hat, посвященной вопросам компьютерной безопасности. Специалисты из Aperture Labs убедительно продемонстрировали уязвимость платежной системы Square, которая превращает смартфоны и планшеты под управлением iOS и Android устройство по считыванию кредитных карточек.

Считывание информации производится при помощи специального кардридера-скиммера, который подключается к мобильному устройству. Этот скиммер преобразует данные магнитной полосы (номер карточки) в уникальный звуковой сигнал и посылает его на аудио-вход смартфона или планшета.

При этом никаких дополнительных данных, кроме номера карты не требуется. Все, что нужно злоумышленникам в такой ситуации, это заменить считывающее устройство ноутбуком со специальным приложением, которое преобразовывает похищенные номера карт в звуковой сигнал. После этого любой айфон превращается в машину по выуживанию денег с чужих карточных счетов, как если бы хакер снимал деньги на терминале, карта за картой.

Только задумайтесь: номер карты — это все, что нужно для того, чтобы украсть ваши деньги. Никаких тебе имени владельца, срока действия или кода безопасности. Это делает заявления большинства платежных систем и интернет-банков о раздельном хранении данных бессмысленными и нелепыми. Наличие самых передовых сертификатов безопасности превращается в пустой звук (извините за каламбур) с помощью обычного смартфона и специального ПО.

Кто на сегодняшний день хранит данные наших платежных карт? Это практически любой интернет-банк, всевозможные платежные системы: Яндекс Деньги, Вебмани, Портмоне, Ликпей, PayPal и т.п. Формально, они облегчают пользователям жизнь, потому что избавляют от необходимости каждый раз вводить свои платежные реквизиты. Но фактически, если хакерам удастся получить доступ хотя бы только к номерам карт, можете считать, что ваши деньги уже в чужом кармане. Заверения о том, что PIN-коды не были похищены мошенниками — всего лишь смешная отговорка.

Никто не сомневается, что игроки рынка тратят большие деньги на обеспечение безопасности своих систем прохождение соответствующих аудитов. Но ведь и злоумышленники не сидят на месте. На сегодняшний день в новостях можно встретить сообщения об утечках данных и кражах, практически во всех ведущих системах. Атака на систему может вестись с самых разных направлений, соответствующие угрозы могут быть просто не предусмотрены разработчиками систем безопасности.

Сами хакеры редко тратят чужие средства, они перепродают их заинтересованным лицам. Кому нужны наши платежные данные? Прежде всего, организованной преступности и террористам. Это, что называется, не мелочь по карманам тырить, поэтому данные пластиковых карт давно являются ходовым товаром на черном рынке. И поскольку ставки высоки, можно прогнозировать, что с развитием систем защиты, параллельно будут развиваться системы взлома.

Возможно мне возразят: если в банке или платежной системе появятся признаки мошеннических действий (например массово начнут выводиться деньги по одинаковой схеме или посыпятся жалобы клиентов), то службы безопасности сразу заблокируют такие карты. Возможно, но что мешает мошенникам применять более изощренные и растянутые по времени схемы?

Самым слабым звеном безопасности является сама технология пластиковых карточек. Гораздо более надежными являются карты чиповые. Впрочем, будущее, скорее всего, принадлежит криптографическим системам вроде BitCoin (если не принимать в расчет его радикальную оппозицию традиционной банковской системе). В Украине нечто подобное, в плане шифрования, пытались реализовать незаслуженно забытая FlashCheque и достаточно молодая система «Деньги 2.0».

В любом случае, если вы все же используете карточки для оплаты в интернете, по-крайней мере не «светите» свои кредитные и зарплатные карты. Выделите для этих целей специальную карточку, на которую будете класть ровно столько денег, сколько понадобится для совершения немедленного платежа. И по возможности, избегайте вводить или хранить где-либо данные вашей карты.

Напоследок немного ссылок для размышления:

Американца обвинили в краже данных о 130 миллионах банковских карт

Скандал со взломом (кража данных Chronopay)

Новая утечка персональных данных у "Яндекса"

«ПриватБанк» выпустил данные своих клиентов в открытый доступ