Дыры в безопасности платежных систем: QRкоды, PINкоды, смартфоны и веб-сервисы

Это продолжение предыдущей статьи об уязвимостях платежных систем, в которой мы говорили о NFC технологии.

Дыры в безопасности платежных систем

С каждым разом происки мошенников становятся изощреннее, им уже ничего не стоит взломать терминал или банкомат, используя QRкоды внедрить вредоносную программу, в результате чего оставить человека без средств на собственном счете.

Веб-сервисы становятся еще более уязвимы

«Клондайк» для хакеров – это веб-сервисы. Проникнув единожды в базу данных, они становятся обладателями тысяч электронных адресов и имен, номеров кредиток и учетных записей. Их улов удваивается из-за неготовности людей, сохранять свои средства. Многие клиенты используют идентичные данные для входа сразу в несколько платежных систем, что позволяет мошенникам, вскрыв, например, учетную запись на «Яндекс.Деньги», ввести аналогичный пароль для входа в PayPal и опустошить повторно счет пользователя.

В некоторых ситуациях все бывает гораздо проще. Стоит вспомнить прошлогодний скандал, в котором жертвой выступила многомиллионная пользовательская аудитория компании Sony – Sony Hack, такое название получила громкая история в области информационной безопасности компании, когда у 100 миллионов пользователей были похищены логины, пароли, а так же номера кредиток. Такой обвальный казус случился по вине того, что компания хранила незащищенными данные клиентов, под защитой был лишь CVVкод. Есть еще несколько сервисов, имеющих аналогичную систему сохранения данных, что делает их не менее уязвимыми, чем Sony, среди них «Xbox Live», или «iTunes». Именно такие сервисы считаются излюбленным местом для хакерских промыслов. У их клиентов нет возможности самостоятельно защитить собственные данные, особенно то касается моментов, когда требуется вводить данные кредитной карты. Несмотря на все сказанное, существуют способы, позволяющие свести риск до минимума.

QR-коды, минимум безопасности

QR-коды минимум безопасностиЧтобы перенаправить клиента на страницу интернет-магазина, или предоставить им дополнительную информацию, все чаще используются QRкоды. Клиенты с легкостью клюют на удочку мошенника, поскольку за изображением не видно фактической информации. Это позволяет внедрять вредоносные программы или направить пользователей на фишинговыйе сайты. Очень действенным оказывается, например, рассылка на электронную почту QRкодов вместо ссылок, или завлечение на сайты липовыми скидками. «Лабораторией Касперского» в прошлом году были обнаружены многочисленные вредоносные QR коды на многих сайтах.

Несмотря на поучительные примеры, платежная система PayPal все больше внедряет QR коды в качестве способа оплаты покупок. Данный сервис так же не является исключением, как и во многих ПС, онлайн-сервис имеет незащищенные места. Для смартфонов уже становится привычным, иметь дело с вредоносными программами. Взять, например, троянскую программу. Она действует высокопрофессионально, и легко переводит на другой счет средства клиентов.

Где «ахиллесова пята» у смартфонов

PayPal-HereНе смотря на все вышесказанное, риск, который несут QRкоды можно предусмотреть и принять меры. Существует другая опасность, она связана с новой разработкой, которая сегодня активно тестируется PayPal. Речь идет о новой ПС PayPal Here, с ее помощью любой смартфон сможет принимать к оплате кредитные карты. Продавцу для этого нужно лишь вставить считывающее устройство в разъем для наушников и установить приложение. Суть идеи заключается в предоставлении в будущем любому пользователю возможности, принимать оплату за товар или услуги кредитной картой.

Читайте также:  Меры безопасности при совершении платежей через Интернет

Идея проста и не нова, известный пример – Дж. Дорси, основатель Twitter, на протяжении 2 лет предлагает ПС Squаге. Предположительно, полмиллиона считывающих устройств находится в обращении. Чем проще оплата, тем выгоднее мошенникам, а манипулировать со смартфоном для них вообще не представляет никаких трудностей. У злоумышленников есть 2 варианта оставить вас без денег: запустить ПО, работающее в фоновом режиме, или приложение с дизайном PayPal или Square. Устройства от указанных систем считывают данные с магнитной полосы при сканировании карт, они действуют пока только на территории США.

Считать PIN код? Легко

скиммерВсе «пластики», будь то кредитка или дебетовая карта, сегодня выпускают с магнитной полосой, хотя это уже устаревшая и неэффективная методика, которая нравится только скиммерам, потому что полоса позволяет совершать манипуляции с банкоматами. Банки в свою очередь предпринимаю попытки модернизировать оборудование для предотвращения мошеннических проделок. А именно, все чаще в банкоматах стали использовать механизм – «джиттер», и специальное «антискиммеровое» устройство. «Джиттер» позволяет втягивать и «выбрасывать» карту из приемника резкими движениями «вперед-назад», что делает невозможным считывание сторонними устройствами информации с магнитной ленты. Специальное «антискиммеровое» устройство представляет собой особый вид приемника, при котором исключается установка в нем накладки «скиммера». Эти новинки позволили несколько обезопасить проведение платежных операций через банкоматы и перевести внимание мошенников на более доступные схемы. Например, их целью теперь являются платежные системы супермаркетов, проникновение в которые позволяет манипулировать их платежными устройствами.

У европейских карт имеется еще одна защита в виде ЕМV чипа (Visa, Еurорау Intemational, МаstеrСаrd), его используют для авторизации. Однако и этот механизм безопасности небезупречен. Учеными в 20l0 году было доказано, что EMV-карты смогут принимать практически любой пин-код, потому что есть способ обойти их защиту. В Канаде другие специалисты продемонстрировали очень тонкую модель EMV скиммера, которую возможно разместить в приемник банкомата для считывания пин кода. Есть здесь и положительный момент, мошеннические скиммеры могут считать лишь пин-код, другая информация для них оказалась недоступной, а значит, карт для них просто бесполезна, что исключает использование карты в целях злоумышленников.


1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 5,00 из 5)
Загрузка...

Комментировать

Ваш e-mail не будет опубликован. Обязательные поля помечены *