Программа для взлома карт: Программа для нелегального копирования банковских карт по NFC — «Хакер»

В Google Play появилась программа для кражи денег у клиентов «Сбербанка»

В Google Play появилась программа для кражи денег у клиентов «Сбербанка»

Alexander Antipov

С помощью вредоносной программы «Сбербанк-СМС», злоумышленники могут взламывать счета клиентов системы интернет-банкинга «Сбербанк Онлайн».

Счета клиентов системы интернет-банкинга «Сбербанк Онлайн» могут быть взломаны с помощью вредоносной программы, которая уже более суток распространяется через «Google Play», магазин приложений для смартфонов и планшетов на системе Android. Согласно статистике Google Play, за несколько дней присутствия в магазине, вредоносную программу «Сбербанк-СМС» уже успели скачать несколько сотен пользователей, которые теперь рискуют лишиться своих денег.

Программа использует многоэтапную атаку, которая происходит по следующему сценарию: в компьютер жертвы — через зараженный сайт или ссылку из почты — попадает троянская программа «Carberp». Установившись в систему, она ждет, когда пользователь попытается зайти на сайт банка и воспользоваться услугой интернет-банкинга. Когда это происходит, всплывает фальшивое окно с требованием ввести свой номер телефона, что нужно якобы для обеспечения дополнительной безопасности. После того, как пользователь введет свой номер, ему приходит SMS со ссылкой на страничку в магазине «Google Play», с которой скачивается вредоносное приложение. Попав в смартфон, оно начинает перехват одноразовых паролей, которые банк присылает своему клиенту при проведении транзакций через Интернет. Затем вредоносная программа передает эти пароли злоумышленникам и те, в свою очередь, взламывают счет клиента и похищают его деньги.

Издателем программы является некий Сергей Самсонов, однако о его личности ничего неизвестно — в самом магазине у него нет личной страницы и контактных данных. Также он является издателем другого приложения «Альфа-СМС».

Эксперты отмечают, что российские хакеры впервые используют подобный метод атаки на клиентов банков. Ранее он имел широкое распространение в основном на западных рынках, где атаки банковского троянца ZeuS в паре с его мобильной версией Zitmo уже давно известны.

С уведомлением Сбербанка можно ознакомиться здесь.

на нашем
Телеграм 
канале мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру.

Поделиться новостью:

Взлом онлайн-банка

Взлом онлайн-банка — получение доступа к денежным счетам граждан с помощью вредоносных программ или мошеннических действий через несанкционированный доступ к системе дистанционного банковского обслуживания (ДБО).

Банки стараются предложить своим клиентам эффективные механизмы управления счетом и личным кабинетом, удобно организовать финансовое взаимодействие клиентов с их контрагентами. Для этого разрабатываются специальные веб-приложения, которые и позволяют производить манипуляции с активами, хранящимися в банке. Совокупность веб-сервисов, которые предоставляют возможность не только получать справочную информацию по счетам, но и давать банку поручения о движении денежных средств, называются онлайн-банкингом.

Однако скорость, с которой выпускаются новые продукты, может сыграть негативную роль. Если при разработке веб-приложения не было уделено достаточно внимания безопасности, то посторонние злоумышленники вполне могут вмешаться в работу онлайн-банкинга и ограбить его клиентов. Таким образом, взлом онлайн-банкинга — это выполнение злоумышленниками несанкционированных транзакций от имени клиента.

При этом банк имеет ограниченное влияние на клиента в части обеспечения безопасности. Например, он не может научить людей правильно хранить пароли от системы онлайн-банкинга или электронные сертификаты, проверять свои компьютеры на наличие вредоносных программ и выявлять другую нежелательную активность. Поэтому в договорах с банком обычно указано, что ответственность за несоблюдение требований безопасности лежит на клиенте, а это, в свою очередь, не позволяет последнему получать возмещение убытков после инцидентов ИБ. Поэтому компании и физические лица, выбирая банк с возможностью дистанционного обслуживания, должны проверять, какие инструменты защиты он может им предоставить.

Классификация и способы взлома онлайн-банка

Методы взлома онлайн-банкинга аналогичны вариантам взлома любого веб-приложения:

  • Фишинг. Злоумышленники рассылают спам или публикуют в социальных сетях ссылки на ресурсы, имитирующие платёжный интерфейс банка. Если жертва переходит по такой ссылке, у нее выманивается пароль и другая идентификационная информация, необходимая для совершения транзакции с ее счета. Для блокирования этой атаки рекомендуется не переходить по присылаемым или опубликованным на посторонних сайтах веб-адресам — только прямой набор URL или переход из закладок с проверкой наличия защищенного соединения (использование протокола HTTPS с правильным написанием имени банка в сертификате).
  • Кража личных идентификаторов (личности). В системах онлайн-банкинга обычно выполняется аутентификация по паролю, перехват которого позволяет инициировать некоторые действия. Кроме того, в веб-приложениях есть возможность воровства сookie-файлов (идентификаторов сессий), что создает потенциальную возможность вмешаться в сеанс легитимного пользователя, авторизовавшегося в системе ранее. Конечно, банки сейчас используют сложные системы аутентификации с одноразовыми паролями, однако при определенных обстоятельствах такие коды можно перехватить. Обычно для этого используются вредоносные программы, которые работают на устройстве пользователя. Для защиты от такого способа нападения рекомендуется устанавливать антивирусные программы и использовать квалифицированные сертификаты с генерацией подписи на внешнем устройстве.
  • Взлом веб-сайта банка. Поскольку онлайн-банк — это веб-приложение, то в нем могут быть ошибки, которые позволяют с помощью специально подготовленных ссылок или внедренных JavaScript-сценариев манипулировать интерфейсом приложения. Цель такого манипулирования состоит в том, чтобы перенаправить деньги на другой счет, навязать какие-нибудь посторонние транзакции или даже блокировать интерфейс и требовать выкуп за возврат контроля над ним. Если не переходить по ссылкам из непроверенных источников и не открывать онлайн-банк после посторонних сайтов, то можно избежать подобной атаки. Со стороны банка рекомендуется провести аудит кода веб-приложений на предмет ошибок.
  • Социальная инженерия. Злоумышленники могут обманом заставить жертву совершить ненужную транзакцию. Например, зафиксированы случаи, когда киберпреступники представлялись сотрудниками ИТ-департамента банка и просили сгенерировать «тестовые» транзакции — якобы для отладки приложения. При этом даже не обязательно нарушать работу банковской программы: неготовый к такой атаке сотрудник может сделать всё самостоятельно. Для защиты от подобных атак лучше всего не доверять контроль над корпоративным счётом одному человеку: делегировать полномочия по подготовке транзакций, проверке их корректности и исполнению различным сотрудникам, хотя бы один из которых должен хорошо разбираться в информационной безопасности.
  • DDoS-атака. Злоумышленники могут вывести из строя онлайн-банк, в том числе — для скрытия другой атаки, чтобы клиент не смог заметить воровства денег и не попытался заблокировать несанкционированную транзакцию. Поэтому если веб-интерфейс оказался недоступен, то стоит попытаться проверить состояние своего счета другим способом — возможно, ваше клиентское приложение заблокировано специальным вредоносным агентом.

Жертвы взлома онлайн-банка

Основным объектом воздействия в данном случае является веб-приложение банка. Впрочем, кредитные организации и их сотрудники уже весьма квалифицированны (как в информационных технологиях, так и в ИБ), поэтому хакеры обычно атакуют слабое звено — клиентов или их компьютеры. В большинстве случаев эти операции оказываются более эффективными, чем воздействие на информационную систему банка. Впрочем, вполне возможна атака на банк через клиента — например, с помощью вставки вредоносного кода во вполне легальную и предсказуемую переписку с ним.

Пользователю клиентской программы онлайн-банкинга важно понимать, что происходит с приложением, когда совершается транзакция: любые подозрительные действия стоит расценивать как попытку мошенничества. Рекомендуется не вводить идентификационную информацию в подозрительные формы, проверять надежность HTTPS-соединения и контролировать активность других приложений. Также стоит иметь второй фактор аутентификации, независимый от веб-приложения — например, получение одноразовых паролей по SMS. Кроме того, стоит открывать приложение из закладок, а не по ссылкам из присылаемых сообщений.

Источники атак на онлайн-банки

Злоумышленники охотятся за идентификационными данными банковских веб-приложений, чтобы попытаться получить доступ к деньгам клиентов. Проблема усугубляется тем, что изначально протокол HTTP не был рассчитан на создание защищённых приложений — в основном он служил для показа отдельных страниц. Механизмы, обеспечивающие целостность транзакций и сессий, появились в нем недавно и являются необязательными расширениями. Таковы, в частности, сookie-файлы, которые как раз и предназначены для сохранения информации о сеансах связи. В то же время воровство этих идентификаторов позволяет злоумышленникам вмешиваться в работу приложения и совершать несанкционированные действия. Разработчикам систем онлайн-банкинга необходимо иметь это в виду.

При этом средства защиты на стороне банка могут потребовать весьма больших ресурсов. Даже простой переход всего сайта на защищённый вариант протокола HTTPS является сложной задачей, не говоря уже о нагрузке, которую создаёт шифрование при его массовом использовании. Традиционно защиту распространяют только на наиболее значимые места веб-приложений, а остальная (порой большая) часть остаётся незащищённой. Современные браузеры имеют визуальные метки для оценки защищённости соединения, и пользователи должны за ними следить.

Кроме того, всплывающие окна и другие элементы веб-интерфейса не всегда имеют визуальную атрибутику самого сайта — пользователь не может достоверно определить, к какому сайту какое окно относится, что позволяет злоумышленникам открывать поверх страниц банков собственные запросы идентификационной информации, которые сложно визуально отличить от легитимных. Обман пользователя с помощью манипуляций с веб-интерфейсом создаёт угрозу для веб-приложений, требующих защиты от утечки важной информации. Именно в этой плоскости идёт соревнование между разработчиками приложений, которые пытаются предложить пользователям новые инструменты защиты, и хакерами, придумывающими новые методы обхода этих инструментов. Наиболее эффективным методом сейчас является выход за пределы веб-интерфейса с помощью SMS-уведомлений и контрольных звонков, но хакеры уже начинают адаптировать и эти механизмы для своих целей.

Анализ риска

Защищать онлайн-банк нужно с двух сторон — самого банка и клиента. Основная цель защиты со стороны банка — выявить и блокировать попытки манипулирования веб-приложением и передаваемым трафиком. Лучше всего использовать для этого защищённый протокол HTTPS, для чего стоит установить обратный прокси-сервер, который будет заниматься расшифровкой трафика пользователей. Иногда такие прокси-серверы также выполняют функции надёжной аутентификации пользователей и идентификации устройств, выполняют функции Web Application Firewall (WAF). Они же могут решать задачи по балансировке нагрузки, оптимизации загрузки приложений и другие, не связанные прямо с безопасностью, но полезные для оптимизации веб-приложений. Хорошей практикой является предложение клиентам технологии двухфакторной аутентификации с помощью специальных аппаратных токенов, распознавания лиц и голоса, одноразовых паролей, присылаемых по SMS, и других методов. Хорошо, если клиент может самостоятельно выбрать наиболее удобный и приемлемый по стоимости метод дополнительной аутентификации.

Отдельно стоит упомянуть о механизмах проверки на манипулирование средой исполнения браузера. Для этого можно использовать, например, технологию SSL-антивируса — специального скрипта, сканирующего окружение пользователя на предмет обнаружения вредоносной активности. Кроме того, можно фиксировать отпечаток оборудования, с которого пользователь загружает веб-приложение. Если он заходит с устройства, которое раньше не применял, то стоит попросить его пройти дополнительную проверку и указать это устройство как собственное. Некоторые производители средств защиты предлагают подобные инструменты контроля пользовательской среды исполнения веб-приложения.

Для клиентов важно обеспечить защиту от вредоносной активности: проверять своё устройство антивирусом, работать с сайтом банка в защищённом режиме, предпочтительно — из браузера с минимальным набором дополнений. Также нелишним будет использование двухфакторной аутентификации, при которой злоумышленник не сможет войти в онлайн-банк даже при краже пароля. Полезно каждый раз не лениться и проверять правильность написания имени банка в сертификате HTTPS, а также конструкцию URL, чтобы она не была слишком сложной и обременённой дополнительными параметрами; это позволяет сделать любой браузер. Некоторые антивирусы могут выполнять эту работу за клиента и предлагают подключаться к сайтам банков с проверкой их подлинности. Например, у «Лаборатории Касперского» такой режим называется «Безопасные платежи». Следует отметить, что клиент сам отвечает за свои деньги, поэтому стоит выбирать банки, которые заботятся о безопасности своих веб-приложений: имеют дополнительные функции по строгой двухфакторной аутентификации, предлагают механизмы контроля среды исполнения, работают полностью в защищённом режиме, то есть используют в своей работе инструменты, которые описаны выше в этом разделе.

 

Взлом банковских карт, автомобилей и мессенджеров и др. особенности обучения на лучшей магистратуре Нидерландов

Всем привет! Меня зовут Марат Нигматуллин. Я — студент

Университета Иннополис

, который готовит специалистов по информационным технологиям. Вуз активно сотрудничает в вузами-партнерами из числа лучших университетов мира с целью адаптации лучших практик. Сейчас я нахожусь как раз в одном из таких — в Университете Амстердама и обучаюсь по программе

System and Network Engineering

, с будущего учебного года эта программа будет предлагаться уже самим Университетом Иннополис. История, которую я хочу рассказать, достаточно простая, но от этого не менее интересная. Нюансы обучения за рубежом, сходство нидерландского и русского языков, интересные практические задания, университетская комиссия по этике и ещё много других подробностей под катом.



Я учился в Казанском федеральном университете в институте вычислительной математики и информационных технологий ВМК. До того, как поступил в Университет Иннополис, я успел получить индустриальный опыт в компании DLS, где проработал 2 года.

Скажу сразу, что поступить было очень нелегко. TOEFL я сдал только со второго раза. Поэтому мой совет всем, кто берётся за это, — не повторяйте моих ошибок. К экзамену я готовился 3 месяца, что оказалось явно не достаточно. Закладывайте на подготовку больше времени, гораздо больше. В речевой части теста мне особенно помогла практика поездок за границу (Work and Travel) и общения там с разными людьми исключительно на английском языке. Тем не менее, все сложные экзамены, все преграды, которые я преодолевал на пути к своей цели, стоили того. Сейчас я испытываю удовольствие и огромный интерес от учёбы и от преподавателей.

Стоит заметить, что программа System and Network Engineering имеет очень высокую интенсивность: преподаватель даёт материал и сразу после лекций начинаются практические занятия. Причём задания напрямую связаны с лекционным материалом и всё это идёт параллельно. На практическую часть ты можешь потратить времени столько, сколько тебе необходимо. Перед экзаменом профессора проверяют практическое задание и, в случае если студент, по их мнению, справился с заданием и сделал его хорошо, допускает на экзамен. Если студент выполнил задание не правильно, он получает feedback со списком заданий которые нужно исправить. Но нужно иметь в виду, что даже после исправления, задание может быть снова выполнено неправильно. В таком случае преподаватель, в первую очередь, смотрит на мышление студента. Бывают случаи, что студент сделал задание неправильно, но преподаватель, учитывая время, потраченное на выполнение задания, и принимая во внимание способы и пути мышления, всё-таки допускает до экзамена.

Один из предметов, который мы изучаем, называется «безопасность сетей и систем». Преподаватель постоянно приглашает разные компании в университет для того, чтобы те прочли лекции для студентов и дали какое-нибудь практическое задание. Одно из таких заданий, которое принесли с собой представители бизнеса, состояло в том, чтобы попытаться взломать обычную с виду банковскую карту. Нам нужно было понять саму технологию (механизм) взлома карт и то, как это делается в реальных компаниях. Потому что производители известных всему миру банковских карт очень часто проводят мероприятия, на которых разные компании пытаются взломать их новую систему защиты электронных платёжных документов.

Ну а теперь пришло время поговорить о принципиальных отличиях образования в Европе от российского образования. Главным является большое количество времени, отведённого практике, и мотивирующая подача информации. Все преподаватели — настоящие энтузиасты своего дела: они находят путь к каждому студенту и придают сильное рвение к изучению предмета.

В Университете Амстердама я уже успел изучить 4 предмета: необходимые навыки, классические интернет-приложения, безопасность сетей и систем и распределённые системы. Самым любимым стал предмет «классические интернет-приложения». Преподаёт его директор программы System and Network Engineering Карст Койманс. Почему я выделяю именно его? Он рассказывает о вещах, которые происходят в повседневной жизни, которые пригодятся тебе в будущем. Кроме того, что он даёт необходимый материал, он увлекательно рассказывает о каждой отдельной технологии, о ее преимуществах и недостатках, о конкретных проблемах, с которыми сталкиваются крупные корпорации.

Учимся только на английском, а в быту все говорят на нидерландском, что в первое время вызывало у меня дискомфорт. Но после погружения в учебный процесс это отошло на второй план.

Живу я в студенческом кампусе (фото) в комнате, которая больше похожа на квартиру, со всеми необходимыми для жизни условиями. Сам же кампус расположен в 5 минутах ходьбы от Университета, что помогает мне значительно экономить на транспорте. В этом районе Амстердама живёт небольшое количество людей, что мне очень нравится. Питаюсь в университетской столовой: обед, ужин. Завтрак готовлю сам. В группе нас 40 человек и только 5 студентов приехали из-за границы: я – из России, американец, британец, поляк и девушка из Италии.

Частично мои расходы были оплачены за счет гранта «Глобальное образование», поэтому всем, кто хочет порезать косты, стоит обратить на него своё пристальное внимание.

Дипломная работа

Сразу хочу сказать, что в Университете Амстердама это называется не дипломная работа, а исследовательский проект. Всего у нас два подобных проекта, темы для которых ты определяешь сам либо выбираешь из списка доступных, предоставленных университетом.

Уже сейчас, в январе, у меня будет первый исследовательский проект о том, как крупные корпорации и разработчики приложений используют различные методы и FrameWork для проверки телефона на наличие root/jailbreak. Одним из ярких примеров таких проектов в университете является работа одного из студентов, который в прошлом году взломал автомобиль известной марки с помощью мобильного приложения автопроизводителя, которое находится в свободном доступе в app store и play market. На этот проект он затратил всего месяц. Основные трудности его работы заключались в том, что, помимо взлома системы автомобиля, существуют и этические рамки проектов: то есть, студенту необходимо выдвинуть предложение по определенному проекту в этический комитет университета. Он должен дать определённые гарантии, что взлому подвергнется только его личный автомобиль и посторонние люди не будут вовлечены. Также этому университетскому органу необходимо предоставить весь перечень действий, которые ты собираешься предпринять в проекте.

Моя же собственная работа, над которой я трудился последние месяцы, основывалась на работе с сервером, который находится в Университете Амстердама. Он имеет специальную плату, с помощью которой можно управлять им дистанционно: включать, выключать и т.п. Задача моего проекта заключалась в том, чтобы взломать плату и установить, насколько она устойчива к хакерским атакам и воздействиям извне. В этом случае мы использовали целый ряд методик: вскрывали сервер, изучали, как устроена плата, как она работает, использовали метод перебора, заблаговременно подготовили среду, отключив наши сервера от интернета, чтобы оставить доступ к ним только для нас. После чего мы нашли некоторые уязвимости, установив, что есть возможность во время авторизации отправить команду, которая откроет для злоумышленников доступ к этой плате.

Также интересный проект разрабатывают мои одногруппники, которые были, в основном, сфокусированы на взломе всем известного мессенджера через веб-приложение и поиске уязвимости системы. Как выяснилось, у этой версии знаменитой программы, адаптированной для браузеров, особых прорех в безопасности нет, но ребятам всё-таки получилось обнаружить определённые проблемы. Они подключили к одной WI-FI точке все доступные под рукой телефоны и один компьютер для мониторинга трафика и проводили обмен картинками с помощью телефонов, исследуя пакеты данных. Ребята обнаружили, что в каждом из пакетов есть ссылка на передаваемый файл. То есть, они могли просто копировать эту ссылку, перенаправить на компьютер и совершенно свободно открывать изображение на экране или любом другом устройстве. Поэтому, подключившись к любой общественной точке доступа WI-FI, ты потенциально можешь отслеживать все ссылки на файлы, которые передаются с помощью мессенджера в этой области, что является достаточно серьёзной проблемой. Для всех нас это стало странной неожиданностью.

Интересное напоследок

Из интересного для себя в быту я обнаружил, что многие слова в нидерландском языке и русском имеют один и тот же смысл. Допустим, кран: как на русском, так и на языке страны тюльпанов слово имеет сразу два значения — водопроводный и строительный. Чай на нидерландском языке будет так же, как и у нас, – чай.

К сожалению или счастью, на внеучебную активность времени просто-напросто не остаётся. На учёбу в неделю я трачу порядка 40-50 часов, но, в принципе, каждый сам для себя решает, сколько времени ему уделять занятиям. У кого-то получается задачи решать быстрее, а кому-то в учёбе помогают навыки, приобретённые ранее. Но зато нам просто путешествовать по всей Европе. Вот, например, мы с группой ездили в Париж.

Сейчас я уже начинаю работу над собственным проектом в компании Deloitte, штаб-квартира которой находится в Амстердаме. Сама организация занимается деятельностью в различных сферах, одной из которых является информационная безопасность. В следующей части я постараюсь рассказать подробно об этой работе и о том, что меня ещё впечатлило и поразило в Университете Амстердама, и вернусь с новой порцией интересных нюансов о получении образования за рубежом.

Для всех, кто мечтает обучаться современным информационным технологиям, я хочу сказать: дерзайте и всё получится! Как раз сейчас в Университете Иннополис стартовали отборы на программы высшего образования — это не только магистратура, но и бакалавриат. Все подробности здесь. Надеюсь, скоро увидимся!

Взломать карту Visa за шесть секунд: эксперты обнаружили новую уязвимость

Взломать карту Visa за шесть секунд: эксперты обнаружили новую уязвимость

Хакерам может понадобиться менее шести секунд для того, чтобы подобрать номер, дату истечения срока действия и код безопасности кредитной карты Visa, подсчитали ученые из Университета Ньюкасла.

Исследователи описали способ обойти защиту с помощью так называемого «распределенного перебора». По их словам, Visa никак не реагирует на многочисленные попытки хакеров ввести данные карточки одновременно в нескольких онлайн-магазинах. В итоге, получение всей информации о карточке у хакеров может занять шесть секунд.

С помощью одного угаданного поля, хакеры по цепочке подбирают следующее. Так, первые шесть цифр номера карты указывают на банк и тип карты. Дата истечения срока обычно составляет 60 месяцев, а на перебор всех комбинаций защитного трехзначного кода требуется 999 попыток, заключает специалисты.

Трудно сейчас представить жизнь без кредитных карт Visa. «Вам ли не знать, что ваши данные и так можно достать. В любой консалтинговой компании знают, как работать с поисковиками и языками запросов…» — делится своим мнением специалист по информационной безопасности, хакер Александр Варской:


По мнению Александра, скоро все данные клиентов банков станут прозрачными, как и сделки. Раньше, например, офшоры использовались с точки зрения налоговой выгоды и в целях конфиденциальности, сейчас уже некоторые заграничные банки могут открыто предоставить информацию о клиенте.

Владельцам кредитных карт тем более стоит опасаться утечки личной информации. Многие российские и зарубежные сайты, а так же интернет-магазины работают без подтверждения пароля. Достаточно только знать номер карты, ФИО владельца, дату и специальный трехзначный номер, который указан на задней части карты, чтобы совершить покупку. И как вы понимаете, хакерам не составит труда легко и быстро воспользоваться вашими личными данными в корыстных целях.

На самом деле существует множество способов увести ваши денежки с кредитной карты, поэтому стоит обязательно познакомиться с ними, чтобы обезопасить себя:

1. Фишинг

Злоумышленники — фишеры создают сайт с названием, который похож на официальный сайт банка. Не все люди внимательны, чем и пользуются хакеры. Чаще всего заманивают жертву на такую страницу разными спам-сообщения на электронную почту и под предлогом проверки информации жертве предлагают ввести все данные о карте на подставной странице, в том числе CCV и пин-код. Некоторые подставные страницы даже перенаправляют жертву после получения нужных сведений на настоящую страницу банка, и даже заподозривший неладное человек видит уже реальный сайт финансовой организации.

2. Скримминг

Преступники вооружаются достаточно продвинутыми техническими приспособлениями. Самое главное из них – это скриммер или портативный сканер, считывающий данные с карты жертвы. Выглядит это устройство как накладка, устанавливаемая на щель приема карты банкомата. Скриммер пропускает через себя карту и проталкивает ее дальше, в банкомат, считывая при этом данные с магнитной полосы.

3. Кардинг

Такой вид мошенничества подразумевает взлом серверов интернет-магазинов, банков или платежных систем с целью получить данные по кредитным картам, зная которые без труда можно совершать денежные переводы.

Технологии совершенствуются каждый день и злоумышленники идут в ногу со временем, придумывая всё новые и новые схемы, которые помогают им поймать «лёгкую» добычу. Поэтому помните, что самое ценное в современном мире — это информация и отдавать персональные данные или сведения о кредитке — это всё равно, что отдать кому-то свой личный кошелёк.

Кирилл Потапов

Материал подготовлен редакцией проекта ЯтакДУМАЮ
При частичном или полном использовании текстового, видео или аудиоматериала сайта, ссылка на yatakdumayu.ru обязательна

 

Похожее

Google распространяет программу для взлома «Сбербанка Онлайн» — Технологии — Новости Санкт-Петербурга

Счета клиентов системы интернет-банкинга «Сбербанк Онлайн» могут быть взломаны с помощью вредоносной программы, которая уже более суток распространяется через магазин приложений для смартфонов и планшетов на системе Android.

Об этом сообщили представители компании Group-IB, занимающейся расследованиями киберпреступлений.

По их словам, программа «Сбербанк-СМС», присутствует в магазине Google Play не менее суток, а обращения специалистов компании в представительство Google — как российское, так и американское — результатов пока не дало, утверждают в Group-IB. За несколько дней присутствия в магазине программу успело скачать несколько сотен пользователей, свидетельствует общедоступная статистика магазина.

В Google РИА Новости отказались прокомментировать сложившуюся ситуацию.

В свою очередь «Сбербанк» опубликовал предупреждение об атаке.

«В настоящее время в сети Интернет распространяется вирусное программное обеспечение для «Сбербанк-бизнес ОнЛ@йн» и «Сбербанк ОнЛ@йн». Внешним проявлением работы вирусного программного обеспечения является появление нового окна c требование ввести номер мобильного телефона перед входом в систему. При появлении указанного сообщения не вводите номер телефона в предлагаемое окно и не загружайте приложение на Ваш мобильный телефон. Выключите ПК и сообщите о факте заражения в службу технической поддержки системы», — говорится в сообщении на сайте «Сбербанка».

Программа использует многоэтапную атаку, которая происходит по следующему сценарию: в компьютер жертвы — через зараженный сайт или ссылку из почты — попадает троянская программа Carberp. Установившись в систему, она ждет, когда пользователь попытается зайти на сайт банка и воспользоваться услугой интернет-банкинга. Когда это происходит, пользователю демонстрируется фальшивое окно с требованием ввести свой номер телефона, что нужно якобы для обеспечения дополнительной безопасности — все как описано в предупреждении «Сбербанка»; если пользователь вводит свой номер, ему приходит SMS со ссылкой на страничку в магазине Google Play, с которой скачивается вредоносное приложение.

Попав в смартфон жертвы, программа начинает перехват одноразовых паролей. Эти пароли банк присылает своему клиенту при проведении транзакций через интернет-банкинг, чтобы исключить возможность несанкционированного списания денег. Однако вредоносная программа на смартфоне передает пароли злоумышленникам и те, в свою очередь, взламывают счет клиента и похищают его деньги.

Эксперты отмечают, что российские хакеры впервые используют подобный метод атаки на клиентов банков. Ранее он имел широкое распространение в основном на западных рынках, где атаки банковского троянца ZeuS в паре с его мобильной версией Zitmo уже давно известны.

Эксперты настоятельно советуют не скачивать из Google Play подозрительных приложений — например, таких, у которых в графе «издатель» значится частное лицо или некая неизвестная компания.

Источник: РИА Новости

Взлом технологии NFC на Android-устройствах

«Tarjeta BIP!» – это система электронных платежей, которая позволяет пользователям в Чили оплачивать общественный транспорт при помощи встроенного в смартфон NFC-модуля. В мире уже реализовано множество проектов, позволяющих оплачивать проезд в общественном транспорте при помощи этой бесконтактной технологии. Она уже стала трендом, а значит, может заинтересовать и киберпреступников. Более того, уже заинтересовала.

Все больше людей обсуждают преимущества платежей посредством NFC. Проблема в данном случае заключается в том, что кто-то взломал технологию карт Tarjeta BIP! и нашёл способ пополнять их бесплатно. 16-го октября появился первое публичное приложение для Android, позволяющее пользователям пополнять эти транспортные карты на 10000 чилийских песо, что примерно соответствует 17 долларам США.

MD5 (PuntoBIP.apk) = 06a676fd9b104fd12a25ee5bd1874176

MD5 (PuntoBIP.apk) = 06a676fd9b104fd12a25ee5bd1874176

Сразу после появления приложения в интернете, множество пользователей скачало его, проверило на практике и убедилось, что с его помощью действительно можно пополнять транспортные карты. Всё, что для этого нужно – установить приложение на Android-устройство, поддерживающее NFC, поднести транспортную карту к телефону и нажать кнопку «Cargar 10k», что означает «пополнить карту на 10000 [чилийских песо]».
Судя по метаданным, содержащимся в DEX-файле, он был скомпилирован 16 октября 2014 г. Его размер 884.5 kB (884491байт). Встроенная функция прямо взаимодействует с NFC-портом: android.hardware.nfc

У приложения есть четыре основные функции: «número BIP» – получить номер карты, «saldo BIP» – узнать баланс на карте, «Data carga» – пополнить баланс и, пожалуй, самое интересное – «cambiar número BIP» – изменить номер карты. Почему последняя функция показалась нам самой интересной? Согласно некоторым источникам, власти планировали блокировать BIP-карты, пополненные незаконным образом. Однако же, возможность сменить номер карты при помощи приложения делает блокировку полностью бессмысленной.
Первоначальные ссылки для скачивания приложения уже заблокированы, однако появились новые ссылки, ведущие на новые сервера. Оказалось, что к скачиванию с них предлагается уже по сути новое приложение:

MD5 (PuntoBIP-Reloaded.apk) = 2c20d1823699ae9600dad9cd59e03021

MD5 (PuntoBIP-Reloaded.apk) = 2c20d1823699ae9600dad9cd59e03021

Это видоизмененная версия предыдущего приложения, скомпилированная 17 октября 2014. Размером она гораздо больше – 2.7 MB (2711229 байт). Версия включает в себя рекламный модуль, который демонстрирует рекламу через сеть DoubleClick.

Поскольку оба приложения позволяют пользователям взламывать легитимное приложение, они детектируются продуктами «Лаборатории Касперского» как HEUR:HackTool.AndroidOS.Stip.a.
Поскольку приложение сейчас очень популярно, и многие чилийцы скачивают и пользуются им, можно ожидать, что вскоре появятся киберпреступники, которое создадут содержащие троянцев подделки под него, чтобы заражать мобильные устройства пользователей и наживаться на этом.

В то же время важно сказать, что мобильные платежи становятся всё более и более популярны, и NFC – это одна из наиболее многообещающих технологий в этой сфере. А вышеперечисленное – хороший пример того, как появление новых платежных схем обнажает старые проблемы.

Спасибо Роману Унучеку за его аналитические идеи.

Подписывайтесь на меня в Твиттере: @dimitribest

Как защитить телефон и аккаунт от взлома: инструкция РБК Трендов

По последним данным, скандальное видео Артема Дзюбы утекло в сеть, потому что телефон футболиста взломали. Рассказываем, как защитить устройство, соцсети и мессенджеры, даже если ничего компрометирующего там нет

На нашем телефоне или в чатах часто содержатся личные сведения, которые злоумышленники могут использовать в своих целях. Например, номера карт, доступы к онлайн-банкам, домашний адрес или рабочая переписка. Со смартфоном в руках легко получить логины и пароли к приложениям, ведь их зачастую высылают по СМС. А еще мошенники могут узнать о ваших пожилых родственниках и обмануть их, используя всю известную информацию. Вот как всего этого избежать.

Как защитить свой телефон

1. Используйте сложный пароль. Его можно установить вместо четырех- или шестизначного PIN-кода для разблокировки.

На iPhone: зайдите в «Настройки» → «Touch ID и код-пароль» → «Запрос пароля: сразу»; «Сменить пароль» → «Произвольный код (буквы + цифры)».

Чтобы усилить защиту, включите сброс всех данных после десяти неудачных попыток.

На Android: «Настройки» → «Безопасность» → «Блокировка экрана», выберите «Пароль» в качестве способа блокировки экрана и установите пароль из букв и цифр. Затем «Настройки» → «Безопасность», уберите галочку «Показывать пароли».

2. Отключите уведомления на заблокированном экране. Это помешает злоумышленникам видеть письма и сообщения — включая коды для подтверждения платежей.

На iPhone: «Настройки» → «Пароль» («Touch ID и пароль») → раздел «Доступ с блокировкой экрана» и «Настройки» → «Уведомления» → «Показ миниатюр» → «Без блокировки».

На Android: «Настройки» → «Приложения», выберите приложение и уберите галочку «Показать уведомления».

3. Включите двухфакторную проверку на телефоне и компьютере. При двухфакторной авторизации, помимо пароля, вы подтверждаете вход при помощи SMS-кода, который отправляется на подключенное вами устройство. Так у посторонних не будет доступа к вашему аккаунту.

На iPhone: Сайт Apple ID → «Двухфакторная идентификация» → «Вкл» Затем: «Безопасность» → «Проверенные номера телефонов» → «Изменить» → «Добавить номер телефона с возможностью приема текстовых сообщений».

На Android: Зайдите на Google Account и следуйте инструкциям на сайте.

4. Выключите автоматическую синхронизацию данных. Именно из-за нее часто попадают в сеть интимные фото знаменитостей: хакеры взламывают их облачные хранилища с других устройств.

На iPhone: «Настройки» → «Apple ID, iCloud, медиаматериалы» (или просто нажмите на свое имя и фамилию в самом верху) → «iCloud» → «iCloud Drive» и «Фото» — Выкл.

На Android: «Настройки Google» → «Мое местоположение» — нажмите Выкл. для «Отправка геоданных» и «История местоположений». «Поиск и подсказки» — отключите Google Now. «Google Фото» → «Настройки» → «Автозагрузка» — отключите автоматическую отправку фото на серверы Google.

5. Уберите автоматическое подключение к Wi-Fi. По умолчанию телефон автоматически подключается к знакомым Wi-Fi-сетям. Однако публичные сети часто слабо защищены, и их легко взломать. Так мошенники получат доступ ко всем данным на вашем смартфоне.

На iPhone: «Настройки» → «Wi-Fi» → Выбрать публичную сеть (например, ту, к которой вы подключались в метро или кафе) → «Забыть эту сеть», а также «Автоподключение» и «Автодоступ» — Выкл. Затем возвращаемся к списку сетей и нажимаем «Спросить» рядом с «Запрос на подключение» и «Автодоступ к точке».

На Android: «Настройки» → «Wi-Fi», зажмите нужную сеть, в появившемся меню удалите ее. В разделе «Расширенные настройки» уберите галочку «Всегда искать сети».

6. Запретите приложениям доступ к фотографиям / SMS / контактам. Многие приложения получают доступ к локации, фото, соцсетям, интернет-трафику. Этим могут воспользоваться мошенники.

На iPhone: «Настройки» → «Конфиденциальность»: «Геолокация», «Отслеживание» и во всех приложениях проставьте Выкл.

На Android: «Настройки Google» → «Подключенные приложения» — отключите все лишние.

Что еще можно сделать на iPhone:

1. Отключите автозаполнение паролей. Так посторонние не смогут войти в приложения и сервисы, которыми вы часто пользуетесь. «Настройки» → «Пароли» → «Автозаполнение паролей» — Выкл.

2. Отключите cookies и автозаполнение в браузерах. Это история браузера, в которой хранятся все сайты, которые вы посещали, а также логины, пароли и настройки на них.

Для Safari: «Настройки» → «Safari» → «Конфиденциальность и безопасность» → «Без перекрестного отслеживания» и «Блокировка всех cookie» — Вкл. А также «Автозаполнение» — убедитесь, что везде стоит Выкл.: хранение данных, контактов, кредитных карт.

Для других браузеров — посмотрите в настройках.

Что еще можно сделать на Android:

1. Скачивайте приложения только в Google Play Store и «Яндекс.Store». В отличие от iOS, Android — открытая ОС, и любое подозрительное ПО может занести вирус, украсть ваши данные или накачать гигабайты рекламы из интернета. У официального магазина есть функция Google Play Защита: она ежедневно сканирует 50 млрд приложений на более чем 2 млрд устройств, чтобы защитить их от вирусов и злоумышленников.

«Настройки» → «Безопасность», уберите галочку «Неизвестные источники» и поставьте галочку «Проверять приложения».

Там же, в «Настройках», убедитесь, что «Play Защита» активна.

2. Зашифруйте ваши данные. Это поможет обезопасить их, даже если телефон попадет в чужие руки. Для этого нужно задать пароль вместо PIN-кода и вводить его при каждом включении телефона.

«Настройки» → «Безопасность» → «Зашифровать телефон». Также поставьте галочку «Шифровать SD-карту».

Вы можете использовать свой телефон на Android для двухфакторной идентификации через компьютер или ноутбук. Это позволит связать ваш телефон с компьютером через Bluetooth, чтобы предотвратить посещение фишинговых сайтов. Для настройки нужен компьютер с ОС Windows 10, macOS или Chrome OS. Добавьте учетную запись Google на свой телефон, выбрав «Настройки»→ «Учетные записи»→ «Добавить учетную запись» → «Google».

Затем на вашем компьютере откройте браузер Google Chrome.

Зайдите на страничку «Безопасность» в Chrome и нажмите «Двухэтапная аутентификация».

Выберите «Добавить электронный ключ», а затем — свой телефон. Теперь вы сможете заходить в Gmail, Google Cloud и другие сервисы Google, используя свой телефон в качестве дополнительного способа проверки.

Как защитить аккаунт в Instagram

1. Настройте двухфакторную авторизацию.

Перейдите в «Настройки» → «Безопасность» → «Двухфакторная аутентификация» и выберите способ защиты: через специальное приложение или по SMS. Теперь при каждом входе в аккаунты вам будут приходить дополнительные коды для проверки.

2. Запретите сторонним приложениям доступ к аккаунту.

«Настройки» → «Безопасность» → «Приложения и сайты». Отключите все ненужные приложения.

3. Не забывайте удалять доступы у бывших сотрудников.

Если вы используете Instagram по работе, убедитесь, что ни у кого из бывших сотрудников не сохранилось доступа к аккаунту.

Зайдите в приложение и откройте свою бизнес-страницу. «Настройки» → «Роли на странице» → «Существующие роли на странице»: удалите всех, кто уже не работает с вами.

4. Проверяйте, кто заходил в ваш аккаунт.

«Настройки» → «Безопасность» → «Входы в аккаунт». Если увидите в списке подозрительные локации, поменяйте пароль — возможно, вашим аккаунтом пользуется кто-то еще.

5. Закройте профиль.

Если это не рабочий аккаунт, и вы не зарабатываете рекламой в блоге, лучше сделать профиль закрытым. Это, как минимум, защитит от спамеров.

«Настройки» → «Конфиденциальность» → «Закрытый аккаунт».

6. Скройте ваш сетевой статус.

Так никто не узнает, когда вы онлайн.

«Настройки» → «Конфиденциальность» → «Сетевой статус».

Как защитить аккаунт в Facebook

1. Удалите личную информацию.

В Facebook могут быть видны ваш возраст, места работы и проживания, семейный статус, сведения о родственниках и даже все места, в которых вы побывали. Если вы не хотите, чтобы эту информацию использовали сторонние компании и сервисы, лучше удалить ее со страницы.

На компьютере/ноутбуке:

«Информация» → выберите нужный раздел и сведения → «Удалить».

В мобильном приложении:

«Посмотреть раздел информация» → выберите нужный раздел и сведения → нажмите карандаш, а затем крестик.

2. Выключите распознавание лиц.

Facebook умеет распознавать лица, чтобы отмечать вас на фото. Вы можете запретить это.

На компьютере/ноутбуке:

В правом верхнем углу — треугольник, «Настройки и конфиденциальность» → «Быстрые настройки конфиденциальности» → «Управление распознаванием лиц» → выберите «Нет».

В мобильном приложении:

Нажмите на три линии в правом нижнем углу (так называемое меню «бургер»), дальше — аналогично.

3. Ограничьте доступ приложений к вашим данным.

Когда вы авторизуетесь с помощью Facebook в других сервисах, они получают доступ к данным вашего аккаунта: фото, локации, предпочтения. Не забывайте удалять доступ, когда вы уже вошли в приложение. Пользователи iPhone и MacBook могут выбрать «Вход через Apple» для авторизации.

На компьютере/ноутбуке:

«Настройки и конфиденциальность» → «Быстрые настройки конфиденциальности» → «Конфиденциальность» → «Дополнительные настройки конфиденциальности» → «Приложения и сайты» → поставьте галочки напротив приложений и нажмите «Удалить».

В мобильном приложении:

«Настройки и конфиденциальность» → «Быстрые настройки конфиденциальности» → «Конфиденциальность» → «Проверка основных настроек конфиденциальности» →

«Ваши настройки данных на Facebook» → «Приложения и сайты» → далее аналогично.

4. Ограничьте доступ к вашим постам и личным данным.

Если вы делитесь на странице личной информацией, лучше скрыть это от посторонних. Профили в соцсетях все чаще просматривают HR-специалисты перед собеседованием и службы безопасности — перед тем, как взять вас на работу.

На компьютере/ноутбуке:

«Настройки и конфиденциальность» → «Быстрые настройки конфиденциальности» → «Дополнительный настройки конфиденциальности» → «Ваши действия» → «Кто сможет видеть ваши будущие публикации?» → «Изменить» → выберите «Только друзья». Там же можно выбрать «Ограничить доступ к старым публикациям» для друзей.

В мобильном приложении: аналогично.

Как защитить WhatsApp

И WhatsApp, и Instagram принадлежат все тому же Facebook. Это значит, во-первых, что принципы обмена данными и защиты аккаунтов у них схожи. А во-вторых — что все ваши переписки и личные данные из чатов и аккаунтов Facebook может использовать в своих целях.

1. Не сообщайте никому шестизначный код для верификации.

Это код, который приходит вам в SMS для подтверждения входа в WhatsApp на компьютере или ноутбуке. Этим часто пользуются мошенники, которые могут отправлять сообщения любому пользователю из групповых чатов.

2. Включите двухфакторную аутентификацию.

«Настройки» → «Учетная запись» → «Двухшаговая проверка»→ «Включить». Придумайте PIN-код и укажите адрес электронной почты, чтобы можно было восстановить или поменять его.

3. Скройте сетевой статус, фото и геолокацию.

«Настройки» → «Учетная запись» → «Конфиденциальность» → выберите вместо «Был (а)» «Мои контакты» или «Никто», то же проделайте с «Фото», ниже — «Геолокацией» и другими данными.

4. Архивируйте чаты, в которых делитесь личными данными.

Для этого потяните в списке чатов нужный влево и выберите «Архивировать». Он по-прежнему будет доступен в архиве, но посторонние не узнают о нем, если получат доступ к вашему телефону.

5. Выключите резервное копирование сообщений

Это позволит защитить вашу переписку, если кто-то получит доступ к аккаунту Apple или Google на другом устройстве.

Для iPhone: «Настройки» → iCloud → WhatsApp — выберите «Выключено». Теперь в самом мессенджере: «Настройки» → «Чаты» → «Резервная копия» → «Автоматически» → «Выключено».

Как защитить Telegram

1. Включите двухфакторную аутентификацию и код-пароль.

«Настройки» → «Конфиденциальность» → «Облачный пароль» → «Установить пароль». Затем вернитесь и выберите «Код-пароль и Touch ID».

2. Не переходите по подозрительным ссылкам и не сообщайте личные данные в чатах.

Даже если это кто-то знакомый. Если вам пишут якобы администраторы Telegram, у профиля должна стоять голубая галочка верификации.

3. Отправляйте личные данные и пароли только в приватных чатах.

Выберите нужный контакт, нажмите. Затем нажмите на профиль, выберите «Еще» → «Начать секретный чат».

4. Не забывайте разлогиниться на компьютере или ноутбуке.

Каждый раз, когда вы заканчиваете работать за личным или, тем более, рабочим компьютером, выходите из своего аккаунта в Telegram. Помните, что любой может получить к нему доступ.

5. Настройте автоудаление данных.

Если вы давно не заходите в Telegram, можно настроить автоматическое удаление всех данных через определенное время. «Настройки» → «Конфиденциальность» → «Если не захожу» → выберите нужный период.

Запомните главные правила

  1. Используйте сложные пароли: с буквами, числами и спецсимволами. Они должны быть индивидуальными для каждого устройства, приложения и сервиса. Чтобы не запутаться и не забыть, пользуйтесь приложениями для хранения паролей.
  2. Не пользуйтесь публичными Wi-Fi-сетями. Они плохо защищены, и злоумышленники легко могут получить доступ ко всем вашим данным.
  3. Не открывайте подозрительные ссылки — даже от знакомых. Это могут быть фишинговые ссылки или вирусы от мошенников, которые взломали аккаунт вашего близкого или коллеги.
  4. Не делитесь своими паролями и учетными записями. Личные или корпоративные аккаунты могут содержать конфиденциальную информацию. Даже если ваш близкий никому не сообщит об этом, его устройством или аккаунтом могут завладеть мошенники, и тогда ваши данные тоже окажутся под угрозой.
  5. Не позволяйте посторонним пользоваться вашим телефоном или ноутбуком.
  6. Используйте двухфакторную аутентификацию на всех устройствах. Для этого удобнее и надежнее пользоваться специальными приложениями.
  7. По возможности, закрывайте профили в соцсетях. Если вы не используете соцсети для работы, лучше сделать профиль закрытым. Так всю информацию и посты в нем смогут видеть только те, кого вы добавили в друзья.

Подписывайтесь также на Telegram-канал РБК Тренды и будьте в курсе актуальных тенденций и прогнозов о будущем технологий, эко-номики, образования и инноваций.

Что такое растрескивание | Боты для мошенничества с кредитными картами

Что такое взлом кредитных карт

Взлом карт — это метод мошенничества с кредитными картами, использующий ботов (программное обеспечение, которое выполняет автоматические задачи через Интернет).

Взлом основан на идее, что легко получить номер кредитной карты, известный как номер частного счета (PAN), вместе с именем, напечатанным на карте. Злоумышленники используют ботов, чтобы угадать и подтвердить дополнительную информацию, необходимую для «взлома» и незаконного использования кредитной карты.

Преступники могут получить PAN несколькими способами:

  • Покупка списков PAN в даркнете
  • Через сообщников, работающих в розничной торговле или ресторанах, которым предоставляется информация о кредитной карте
  • Скимминг, что означает добавление устройства к считывающему устройству кредитной карты, которое позволяет неавторизованным сторонам считывать информацию карты и PIN-код
  • Путем фишинга, при котором обычно звонят владельцу кредитной карты и притворяются уполномоченным лицом и запрашивают данные кредитной карты.

После того, как преступник получит PAN, ему все равно понадобятся следующие дополнительные данные для кражи средств.Каждую из них можно угадать, потому что они имеют небольшое количество возможных комбинаций:

Данные для взлома Количество возможных значений Легкость угадывания
3-значный номер CVV 1000 Средний
Срок годности 60
(срок годности до 5 лет)
Легко
Почтовый индекс 3000
(в США)
Средний

Получив список PAN и развернув бота, который может связываться с несколькими веб-сайтами и пробовать различные комбинации других параметров — CVV, срок действия и ZIP, злоумышленники могут быстро «взломать» кредитную карту и использовать ее для кражи средства от собственника.

Пример процедуры взлома кредитной карты

Вот пример процесса, который злоумышленники могут использовать для крупномасштабного взлома кредитных карт.

  1. Получите список PAN.
  2. Настройте бота, который может делать небольшие покупки на большом списке платежных сайтов. Бот должен попытаться совершить покупку на веб-сайте, отправив информацию о кредитной карте для PAN и каждый раз угадывая другую комбинацию CVV, срока действия и почтового индекса.
  3. Разверните бота для параллельной работы на 30 платежных сайтах, чтобы избежать угадывания лимитов.

Эта процедура позволит злоумышленнику взламывать карту каждые четыре секунды и масштабировать процесс для взлома до 21 600 украденных кредитных карт в день.

Пример взлома кредитной карты

Как защититься от ботов, взламывающих карты

Следующие методы могут помочь вам защитить свой платежный сайт от вредоносных ботов, используемых для взлома кредитных карт.

Дактилоскопирование устройства
Дактилоскопирование выполняется путем объединения браузера пользователя и устройства, чтобы понять, кто или что подключается к услуге.Мошенникам или ботам, пытающимся подделать кредитные карты, необходимо совершать несколько попыток, и они не могут каждый раз менять свое устройство. Им нужно будет переключить браузеры, очистить кеш, использовать частный режим или режим инкогнито, использовать виртуальные машины или эмуляторы устройств или использовать расширенные инструменты мошенничества, такие как FraudFox или MultiLogin.

Отпечатки устройств могут помочь идентифицировать параметры браузера и устройства, которые остаются неизменными между сеансами, указывая на то, что один и тот же объект подключается снова и снова. Технологии снятия отпечатков пальцев могут создавать уникальный идентификатор устройства, браузера и файла cookie, который, если он используется несколькими учетными записями, вызывает подозрение, что все эти входы являются частью попытки мошенничества.

Проверка браузера
Некоторые вредоносные боты могут притвориться, что работают с определенным браузером, а затем циклически переключаются между пользовательскими агентами, чтобы избежать обнаружения. Проверка браузера включает в себя проверку того, что каждый пользовательский браузер действительно является тем, за что он претендует, — что он имеет ожидаемый агент JavaScript, выполняет вызовы так, как ожидается от этого браузера, и работает так, как ожидается от пользователей-людей.

Анализ поведения машинного обучения
Реальные пользователи, посещающие платежный веб-сайт, демонстрируют типичные модели поведения.Боты обычно ведут себя совсем не так, как в этом шаблоне, но в некоторых случаях вы не всегда можете определить или идентифицировать заранее. Вы можете использовать технологию поведенческого анализа для анализа поведения пользователей и обнаружения аномалий — пользователей или конкретных транзакций, которые являются аномальными или подозрительными. Это может помочь выявить плохие пятна и предотвратить попытки взлома.

В рамках поведенческого анализа постарайтесь проанализировать как можно больше данных, включая полученные URL-адреса, показатели взаимодействия с сайтом, движения мыши и поведение смахивания на мобильных устройствах.

Анализ репутации
Существует множество известных программных ботов с предсказуемыми техническими и поведенческими моделями или исходными IP-адресами. Наличие доступа к базе данных известных шаблонов ботов может помочь вам идентифицировать ботов, обращающихся к вашему сайту. Трафик, который на первый взгляд может показаться реальным пользователем, можно легко идентифицировать, сопоставив его с известными отпечатками пальцев плохих ботов.

Прогрессивные вызовы
Когда ваши системы подозревают, что пользователь является ботом, у вас должен быть прогрессивный механизм для «вызова» пользователя, чтобы проверить, бот он или нет.Прогрессивное тестирование означает, что вы сначала пробуете наименее навязчивый метод, чтобы свести к минимуму неудобства для реальных пользователей.

Вот несколько задач, которые вы можете использовать:

  • Cookie Challenge — прозрачно для реального пользователя
  • Задача JavaScript — немного замедляет взаимодействие с пользователем
  • Captcha — самая навязчивая

Дополнительные меры безопасности

Помимо вышеперечисленных методов, которые позволяют напрямую проверять, исходит ли трафик от реального пользователя или бота, используйте нижеприведенные меры для усиления периметра безопасности от взломанных ботов.

Многофакторная аутентификация
Сайты электронной коммерции могут требовать от пользователей входа в систему, используя что-то, что они знают (например, пароль), и что-то, что у них есть (например, мобильный телефон). Хотя это не предотвращает взлом, злоумышленникам становится труднее создавать большое количество поддельных учетных записей, а захват существующих учетных записей становится практически невозможным.

Безопасность API
Сайты электронной коммерции часто используют API кредитных карт, например, предлагаемые PayPal или Square, для облегчения транзакций.Эти API-интерфейсы могут быть уязвимы для атак, таких как внедрение JavaScript или перенаправление данных, если они не включены с соответствующей защитой. Для защиты от многих из этих атак сайты электронной коммерции могут использовать комбинацию шифрования TLS и надежных механизмов аутентификации и авторизации, подобных тем, которые предлагаются OAuth и OpenID.

Узнайте, как Imperva Bot Management может помочь вам в автоматизированных атаках.

Imperva Bot Management

Решение

Imperva по управлению ботами может защитить от роботов-взломщиков кредитных карт, используя все меры безопасности, описанные выше, что позволяет выявлять плохих ботов с минимальным нарушением реального пользовательского трафика:

  • Устройство снятия отпечатков пальцев
  • Проверка браузера
  • Поведенческий анализ
  • Анализ репутации
  • Прогрессивные вызовы

Кроме того, Imperva охватывает дополнительные меры безопасности, которые дополняют стратегию защитных ботов.Он предлагает многофакторную аутентификацию и безопасность API, гарантируя, что только желаемый трафик может получить доступ к вашей конечной точке API, и блокирует использование уязвимостей.

Помимо защиты от ботов, Imperva обеспечивает многоуровневую защиту, гарантирующую, что веб-сайты и приложения доступны, легко доступны и безопасны, в том числе:

  • Защита от DDoS-атак — поддержание работоспособности в любых ситуациях. Предотвратите любые типы DDoS-атак любого размера, препятствующие доступу к вашему веб-сайту и сетевой инфраструктуре.
  • CDN — повысьте производительность веб-сайта и сократите расходы на полосу пропускания с помощью CDN, разработанной для разработчиков. Кэшируйте статические ресурсы на периферии, ускоряя API и динамические веб-сайты.
  • WAF — облачное решение разрешает законный трафик и предотвращает плохой трафик, защищая приложения на периферии. Шлюз WAF обеспечивает безопасность приложений и API внутри вашей сети.
  • Защита от захвата учетных записей — использует процесс обнаружения на основе намерений для выявления и защиты от попыток захвата учетных записей пользователей в злонамеренных целях.
  • RASP — защитите свои приложения изнутри от известных атак и атак нулевого дня. Быстрая и точная защита без подписи или режима обучения.

Новый инструмент может взломать номер кредитной карты за шесть секунд — TechCrunch

Группа исследователей выяснила, как найти информацию о кредитной карте, включая даты истечения срока действия и номера CVV, путем запроса на сайтах электронной торговли.Процесс, описанный в IEEE Security & Privacy, включает в себя угадывание и тестирование сотен перестановок дат истечения срока действия и номеров CVV на сотнях сайтов.

Карты

MasterCard не подвержены этой атаке, потому что их система отключает карты после 100 попыток. Держателям карт Visa не так повезло.

Исследователи Мохаммед Аамир Али, Буди Ариф, Мартин Эммс и Аад ван Мурсель полагают, что их инструмент также можно использовать для угадывания почтовых индексов и адресных данных, либо хакеры могут просто сопоставить данные о местоположении с банками-эмитентами или использовать скиммеры для определения где используются разные карты.Однако, если коммерческий сайт не требует почтового индекса, взломать карту так же просто, как запустить программу.

Чтобы предотвратить атаку, можно использовать либо стандартизацию, либо централизацию (некоторые сети карточных платежей уже предоставляют это). Стандартизация подразумевает, что все продавцы должны предлагать один и тот же платежный интерфейс, то есть одинаковое количество полей. Тогда атака больше не масштабируется. Централизация может быть достигнута с помощью платежных шлюзов или сетей платежных карт, обладающих полным обзором всех попыток оплаты, связанных с их сетью.Ни стандартизация, ни централизация, естественно, не соответствуют гибкости и свободе выбора, которые ассоциируются с Интернетом или успешной коммерческой деятельностью, но они обеспечат необходимую защиту. Различные заинтересованные стороны должны определить причину и время принятия таких решений.

Исследователи полагают, что эти атаки уже происходят в дикой природе и что их решение — хотя и неприятное — не является уникальным, что делает его намного более пугающим.

Card Cracking

Card Cracking — это схема обмана потребителей с помощью онлайн-подстрекательства к заработку «легких денег» или к работе из дома.Мошенники обычно нацелены на молодых людей и используют такие средства, как Facebook, Twitter или Instagram, чтобы заманить жертв.

Как работает взлом карты?

После того, как человек ответил на предложение, его обычно просят указать номер своей дебетовой карты, PIN-код и другую информацию о счете для прямого доступа к счету. Как только мошенники получают то, что им нужно, они начинают вносить на счет поддельные чеки, а затем сразу же снимают средства через банкомат.Затем клиенту банка предлагается позвонить в банк и заявить о мошенничестве при снятии средств через банкомат. После возврата денег мошенник возвращает часть возвращенных денег клиенту банка.

Защитите себя

Чтобы помочь потребителям избежать участия в этой афере, Американская ассоциация банкиров (ABA) и CoreFirst предлагают следующие советы:

  • Не отвечайте на онлайн-запросы «легких денег». Рекламные объявления о взломе карт предполагают, что это быстрый и безопасный способ заработать дополнительные деньги.Имейте в виду, что легкие деньги редко бывают легальными.
  • Никогда не сообщайте номер своего счета и PIN-код. Всегда держите эту информацию в тайне. Делясь им с другими, вы подвергаете себя потенциальному мошенничеству.
  • Не подавайте в свой банк ложных заявлений о мошенничестве. Подавая ложное заявление, вы являетесь соучастником мошенничества. Банковские методы обнаружения взлома карт постоянно совершенствуются, и подозрительные претензии будут расследоваться.
  • Сообщайте о подозрительных сообщениях, связанных с мошенничеством. Если вы заметили публикации, которые кажутся связанными с возможным мошенничеством, сообщите о них в социальной сети. Обычно рядом с сообщением есть раскрывающееся меню, чтобы облегчить составление отчетов.

Узнать больше

Инфографика ABA о взломе карт — отличный первый шаг к тому, чтобы подготовиться к атакам этого типа.

Взлом карт: 7 шагов к тысячам в долгах и уголовных обвинениях

Опубликовано 23 августа 2017 г.

Еще один день, еще одна афера.На этот раз мошенник — не единственный преступник — теперь вы соучастник и можете столкнуться с уголовным обвинением, а также понести тысячи долгов.

Card Cracking — это вид мошенничества со счетами, при котором мошенник убеждает вас действовать как неосведомленный соучастник в краже денег из вашего финансового учреждения. Все чаще это становится серьезной проблемой, которая чаще всего затрагивает студентов колледжей, молодых людей и военнослужащих.

Как это работает?
Шаг первый: быстро заработать

Может быть, вы видите сообщение в социальных сетях, в котором объявляется конкурс на выигрыш денег или подарочную карту.Или кто-то звонит и сообщает, что вы выиграли стипендию, на которую никогда не подавали заявку. Или вы получаете текстовое сообщение с предложением «надежного» способа заработка. Это лишь некоторые из способов, которыми мошенники пытаются соблазнить вас предложениями «быстрых денег».

Шаг 2. Вот информация о моем текущем счете

Мошенник убеждает вас предоставить им информацию о вашем текущем счете, включая номер дебетовой карты, PIN-код и данные для входа в онлайн-банкинг.

Шаг третий: чеки, зачисленные на ваш счет

Мошенник переводит чеки на ваш счет, как правило, удаленно, и обычно более одного.Чеки выписываются на счета, на которых нет денег, но мошенники знают, что потребуется время, чтобы очистить счет. Деньги зачисляются на ваш текущий счет и теперь их можно потратить или снять.

Шаг четвертый: мошенник немедленно снимает деньги в банкомате

Действуя быстро, мошенник снимает деньги с вашего счета в банкомате, используя предоставленную вами информацию и сфабрикованную дебетовую карту. Они могут даже попросить вас перевести им деньги. Все это делается до того, как финансовое учреждение сможет подтвердить, что на счете нет денег.Как только это будет подтверждено, ваша учетная запись станет отрицательной.

Шаг пятый: вот и ваша отдача

Как только мошенник заберет деньги с вашего счета, вы получите откат за свое участие. Это «быстрые деньги», обещанные при первом контакте.

Шаг шестой: «О нет, моя дебетовая карта взломана!»

В рамках схемы взлома карт мошенники поощряют вас сообщать о краже вашей дебетовой карты или о компрометации вашей информации.

Шаг седьмой: вы сообщник преступника

Мошенники не сообщают вам, что, предоставляя им информацию о вашей учетной записи, вы разрешаете им использовать вашу учетную запись. К сожалению, это означает, что вы являетесь добровольным соучастником совершенного преступления. За участие можно было получить до 30 лет тюрьмы. И вы должны вернуть украденные средства.

Избегайте взлома карт и мошенничества

Никогда не сообщайте свою финансовую информацию и информацию о счете, что бы вам ни обещал мошенник и как бы безобидно это ни звучало.Даже если вы знаете этого человека или он выглядит как солидная компания. Им не нужно знать данные вашей учетной записи, так что держите их в безопасности!

Что такое взлом карт — $ mainSite.title

Мошенничество со взломом карт привлекает студентов призывом быстрых денег.

Не могли бы вы использовать лишние деньги? Быстро! Это просто! Но это незаконно! Студенты колледжей и другие молодые люди являются основными жертвами мошенничества, называемого «взломом карт». Их нацеливают через электронную почту, онлайн-сайты и рекламу.Цель этой аферы, как и любой другой жульничества, состоит в том, чтобы принести пользу мошеннику путем кражи у жертвы.

Существуют различные варианты «взлома карт», но основная цель — получить доступ к личной банковской информации. Жертвам обещают деньги, подарочные карты и другие приманки, чтобы они разгласили номера своих банковских счетов и дебетовых карт, а также личный идентификационный номер (PIN). Воры используют банковскую информацию, чтобы получить доступ к счету. На счета депонируются поддельные или поддельные чеки.Делается несколько депозитов, и преступник снимает как можно больше денег до того, как банк обнаружит поддельные чеки. Также украдены законные средства владельца счета, а деньги или подарочные карты так и не получены.

Мошенники поручают потерпевшим сообщить о своих денежных потерях в банк, и банк возместит законные средства. Однако жертвы этого мошенничества могут не осознавать, что добровольное предоставление своей банковской информации преступникам с целью совершения мошенничества является преступлением.Обе стороны могли получить до 30 лет тюрьмы.

Американская банковская ассоциация дает следующие советы, чтобы помочь общественности избежать мошенничества со взломом карт:

  • Не отвечайте на запросы «легких денег» в Интернете. Рекламные объявления о взломе карт предполагают, что это быстрый и безопасный способ заработать дополнительные деньги. Имейте в виду, что легкие деньги редко бывают легальными.
  • Никогда не сообщайте свой аккаунт и ПИН-код. Всегда держите эту информацию в тайне.Делясь им с другими, вы подвергаете себя потенциальному мошенничеству.
  • Не подавайте в свой банк ложных заявлений о мошенничестве. Подавая ложное заявление, вы являетесь соучастником мошенничества. Банковские методы обнаружения взлома карт постоянно совершенствуются, и подозрительные претензии будут расследоваться.
  • Сообщать о подозрительных сообщениях, связанных с мошенничеством. Если вы заметили публикации, которые кажутся связанными с возможным мошенничеством, сообщите о них в социальной сети. Обычно рядом с сообщением есть раскрывающееся меню, чтобы упростить создание отчетов.

Таким образом, остерегайтесь любых предложений заработать деньги, которые требуют вашего банковского счета или требуют, чтобы вы отправили деньги за привилегию работать в бизнесе. Как говорится: «Если это звучит слишком хорошо, чтобы быть правдой, то, вероятно, так оно и есть».

Вы нашли эту статью полезной?