Як вгадати коди безпеки кредитних карт. Банківські картки з чіпом уразливі, але ви можете захиститися від крадіжки грошей

1. Розбираємося в термінології
2. Як це працює?
3. Безпека
4. Visa International
5. Особливості
6. висновки
7. Навіщо потрібен код безпеки CVV2
8. Способи викрадення коду безпеки
9. Як запобігти проблемі
10. Подивіться на свою картку: вона від Visa, MasterCard або іншого оператора?
11. Зазвичай такі системи повинні реагувати і блокувати картки при декількох невдалих спробах підібрати...
12. Щоб розрахуватися в інтернеті вашими, а не своїми грошима, бандитам потрібно правильно заповнити тільки...
13. Що ж робити?
14. результати експерименту

Якщо ви хоч раз здійснювали покупки через інтернет, то, найімовірніше, стикалися з необхідністю введення коду безпеки. Цей параметр повинен знати кожен. Отже, безпеки карти? Саме про нього йде мова.

Розбираємося в термінології

Якщо говорити про те, що таке код безпеки карти, то слід зазначити, що він являє собою набір символів, відокремлений від номера карти і використовуваний для здійснення одноразових платежів під час покупки товарів через інтернет. Різні платіжні засоби зазвичай мають різні наборами символів. Код безпеки на карті "Віза", JCB, DinersClub зазвичай складається з трійки унікальних знаків, які розміщені на зворотному боці, а саме на смузі для підпису. Карти AmericanExpress використовують чотиризначний число, розміщене над основним номером на лицьовій стороні.

Як це працює?

Отже, що таке код безпеки карти, вам вже зрозуміло, тепер варто торкнутися питання роботи з ним. Існуючі правила прописані таким чином, щоб продавець не зберігав цей набір символів після того, як операція завершиться, а також він не зобов'язаний використовувати його для отримання платежів. Однак ситуація така, що багато банків не згодні проводити операції без введення цього коду, тому платежі не проходять, а клієнти незадоволені. Так як сумлінний продавець зобов'язаний після транзакції забувати код безпеки, покупки за допомогою такого інструменту не підходять для реалізації періодичних платежів.

Отже, ви знаєте, де код безпеки на карті знаходиться, тому можете здійснювати покупки через інтернет. Для користувачів, які роблять покупки в мережі регулярно, варто сказати, що ПІН-код не потрібен. Введення коду безпеки - це єдиний спосіб підтвердження платежу. При введенні в мережі будь-яких персональних даних ні в якому разі не потрібно повідомляти ПІН-код.

Безпека

Отже, ви не повинні повідомляти код безпеки картки Visa, її номер, кредитні ліміти , Тривалість дії карти у відповідь на запити, які можуть приходити за допомогою СМС-повідомлень, на вашу електронну пошту, а також на сторінках сайтів, які не займаються продажами. Оплату послуг в мережі коштує реалізовувати за допомогою окремої, передплаченої картки. І в цьому випадку не варто зберігати на ній багато грошей. При наявності значного залишку варто встановити ліміт на видаткові операції в день.

Існують ознаки, відразу впадають в очі, що свідчать про те, що сайт шахрайський, - примітивний дизайн, велика кількість банерів і активних посилань сумнівного змісту. Ще одним заходом обережності можна назвати установку на комп'ютері антивірусного програмного забезпечення , А також його регулярне оновлення.

Visa International

Цього бренду дозволяє власникам переводити грошові кошти , Купувати товари в торгових точках , Оплачувати рахунки в кафе і ресторанах, а також здійснювати оплату інтернет-покупок. Такі банківські інструменти користуються великим попитом, адже це зручний і досить безпечний засіб введення / виведення грошових активів.

Visa International можна придбати в будь-якому фінансовій установі . На практиці стає зрозуміло, що для її оформлення на найбільш вигідних умовах потрібно ознайомитися з умовами кредитування в трьох банках і більш. Окрему увагу вам варто приділити ліміту коштів, розміром кредитної ставки , Терміну погашення заборгованості та ліміту кредитування.

Особливості

Ставши власником цього воістину фінансового дива, варто пам'ятати, що зловмисники в Останнім часом навчилися дуже швидко підробляти будь-яку кредитку. Тому рекомендується нікому не довіряти, а також не показувати свою карту. При переведенні в готівку коштів за допомогою банкомату обов'язково перевіряйте, чи немає на приймальному пристрої зчитують накладок. А код безпеки вашої карти слід берегти ще більш ретельно.

Отже, якщо говорити про те, що таке код безпеки картки Visa, то варто відзначити, що він має робочу назву CVV2. Він представлений у вигляді набору символів, розміщених на магнітній смузі. Його основне призначення полягає в можливості здійснення одноразових платежів за допомогою мережі Інтернет.

висновки

Все вищесказане свідчить про те, що на практиці введення коду безпеки абсолютно ніяк не сприяє підвищенню рівня безпеки, але при цьому можна гарантовано отримати плутанину. при неправильному введенні коду безпеки платежі не проводяться, а це стає причиною невдоволення клієнтів банку. Останнім часом саме тому більшість надає перевагу передплачені кредитки, так як з їх допомогою здійснюються транзакції, які не вимагають від користувача введення коду безпеки. Ця тенденція послужила поштовхом для розвитку абсолютно нової технології 3-DSecure, призначеної для того, щоб зробити кредитні карти по всіх функцій аналогічними електронним платіжним системам.

Якими б простими у використанні не здавалися нам банківські карти, це все-таки складна система, що відповідає за гроші власника картки. Крім таких добре відомих елементів захисту, як ПІН-код, магнітна смуга, зразок підпису власника, номер карти і термін її дії, існує ще якийсь код безпеки - три або чотири цифри на зворотному боці картки.

Навіщо потрібен код безпеки CVV2

Код безпеки (CVV2-код), як правило, знаходиться в правій частині зворотного боку карти на смузі для підпису або над нею і наноситься особливим шрифтом, що має нахил вліво. Щоб не заплутатися в термінології, позначимо відразу, що аналогічні захисні механізми на картах різних платіжних систем носять різні назви:

Для інших пластикових карт можливі інші назви цього коду, але його роль в будь-який платіжній системі залишається незмінною - аутентифікація власника картки при здійсненні інтернет-платежу або вчиненні будь-який інший транзакції без пред'явлення карти.

Під час дистанційного платежу покупця просять вказати номер карти, термін дії та код безпеки CVV2. Такі платежі здійснюються при інтернет-покупках, оренді автомобіля, замовленні готелю і в багатьох інших випадках.

Способи викрадення коду безпеки

такий легкий спосіб проведення віддалених платежів робить код CVV2 бажаною здобиччю для шахраїв. Існує кілька поширених методів викрадання і подальшого використання цього коду.

Відразу обмовимося, що варіанти злому бази даних в цьому випадку марні, оскільки відповідно до стандарту безпеки PCI DCC код CVV2 не зберігається ні в одній базі даних, а видаляється відразу після проведення транзакції. Крім того, навіть в момент проведення платежу всі дані шифруються системою платежів і надійно захищаються.

Тому шахраї створюють ситуації, в яких власник карти сам повідомить їм всі необхідні дані: номер карти, термін дії і навіть код CVV2. Наприклад, це можуть бути такі схеми:

1. Фішинг - викрадення даних карти за допомогою створення власного сайту, що зовні нагадує сайт банку, що видав картку. Зазвичай шахраї заманюють туди власника карти листом з описом будь-якої проблеми, яка загрожує йому втратою грошей на карті і просять ввести свої дані для вирішення придуманої ними проблеми.
2. Шахрайство за допомогою мобільного телефона - різні повідомлення, від страшних до вітальних, основна мета яких дізнатися дані платіжної картки у розгубленого власника.

А далі, як то кажуть, справа техніки. Володіючи даними власника картки, зловмисник може здійснити шахрайську операцію на будь-який інтернет-майданчику або перевести гроші на свою карту за допомогою системи інтернет-банкінгу. Такі несанкціоновані власником карти дії щодо здійснення платежів в Інтернеті називаються фродових, тобто шахрайськими операціями.

Як запобігти проблемі

Як відомо, будь-яку проблему легше запобігти, ніж вирішити. коли мова йде про захист платіжних карт від зазіхань шахраїв, потрібно об'єднати зусилля міжнародних платіжних систем, банків, інтернет-майданчиків і самих власників карток. Основними превентивними заходами можуть бути:

• Уважність і обережність

Нікому не повідомляйте і не показуйте не тільки ПІН-код своєї картки, але і її номер, термін дії та код коду CVV2. Тримайте пластикові карти в сумках, гаманцях або спеціальних портмоне, далеко від сторонніх очей.

Ні в якому разі не вірте прохання «співробітників банку» повідомити їм код CVV2 по телефону або електронній пошті - це строго заборонено системою безпеки, тому справжній банківський працівник про таке не попросить. Уважно дивіться на адресний рядок в браузері, перш ніж вводити дані своєї карти і здійснювати платіж - захищені сторінки банків обов'язково мають вигляд https.

• Створення віртуальних карт

Віртуальна карта виконає роль своєрідного буфера, що не пропускає шахраїв до вашого рахунку. Незалежно від того чи буде ваша віртуальна карта мати код безпеки, ви будете захищені - адже на неї ви будете переказувати кошти, необхідні для конкретних, вже запланованих інтернет-платежів.

• Використання протоколу 3D Secure

Користуйтеся картами і сайтами, що підтримують протокол 3D Secure, який передбачає додатковий етап аутентифікації власника картки. причому останній метод важливий як для власників пластикових карт, так і для інших учасників процесу інтернет-еквайрінгу, як спосіб знизити ризики фродових операцій. Адже, в кінцевому рахунку, викрадення даних пластикової карти ставить під удар не тільки власників пластику, але і банки-еквайєри, і представників електронної комерції.

Для забезпечення безпеки даних своїх клієнтів банкам і інтернет-майданчикам обов'язково слід використовувати в роботі платіжні рішення, що підтримують протоколи 3D Secure, що відповідають стандартам безпеки PCI DCC і мають налагоджену систему фрод-моніторингу. Одним з платіжних рішень, де реалізовані всі ці механізми захисту, є PaynetEasy Processing platform.

Подивіться на свою картку: вона від Visa, MasterCard або іншого оператора?

Якщо у вас «Віза», ми вам співчуваємо: хакерам потрібно максимум 6 секунд, щоб підібрати номер, дату закінчення терміну дії та код безпеки карти.

До таких висновків після особливо ретельного аналізу прийшли вчені з Університету Ньюкасла.

З'ясувалося, що Visa не реагує на численні спроби хакерів ввести дані картки одночасно в декількох онлайн-магазинах. Система просто не блокує карту!

А значить, всі потрібні захисні цифри можна ввести методом простого автоматичного перебору!

Зазвичай такі системи повинні реагувати і блокувати картки при декількох невдалих спробах підібрати коди. Але Visa чомусь цього не робить.

«Підібрати все дані лякаюче легко, якщо є ноутбук і підключення до інтернету», - пишуть дослідники.

Щоб розрахуватися в інтернеті вашими, а не своїми грошима, бандитам потрібно правильно заповнити тільки три поля:

• Перші 6 цифр номера карти вказують на певний банк і тип карти. Отримати ці дані ніяких труднощів не складає.
• Дата закінчення терміну дії карти - зазвичай становить 60 місяців з дня її видачі!
• А щоб перебрати всі можливі варіанти тризначного коду, потрібно перебрати 999 спроб.

Щоб все це провернути, не потрібно бути ні генієм, ні фахівцем в області комп'ютерної безпеки.

Що ж робити?

У самій компанії на який розгорнувся в усьому світі скандал ніяк не відреагували і кажуть, що система захисту їх користувачів надійна.

564

Банківська індустрія витрачає багато сил, часу і коштів на те, щоб платіжними картами міг скористатися тільки їх законний власник. Колись захист карти складалася в основному з рельєфних цифр і місця для зразка підпису, але з часом на варту ваших грошей стали захисні коди і розумні мікросхеми.

Картки з чіпом (стандарту EMV) вважаються дуже безпечними, але зловмисники вже «пробують їх на зуб». На щастя, цим зайняті не тільки вони - дослідники теж шукають і знаходять недоліки в обладнанні та архітектури платіжних систем, щоб заздалегідь повідомити виробника і допомогти залатати всі діри.

Відразу два різних дослідження по цій темі, представлених на хакерській конференції Black Hat в Лас-Вегасі, вселяють одночасно і тривогу, і надію: вкрасти гроші можна, але захист є.

Два співробітника компанії NCR, що виробляє платіжні термінали і банкомати, продемонстрували атаку на термінали, за допомогою яких традиційно в магазинах і на заправках. За допомогою крихітного дешевого комп'ютера Raspberry PI вони вклинилися в спілкування основного комп'ютера (грубо кажучи, каси) і платіжного модуля (грубо кажучи, панелі введення PIN-коду).

Взагалі-то обмін даними між ними повинен бути добре зашифрований, але найчастіше систему налаштовують неправильно і застосовується застаріле, нестійке шифрування. В результаті стає можлива атака «людина посередині»: хакери можуть перехопити дані, якими обмінюються платіжний модуль і основний пристрій, і розшифрувати їх.

Це, правда, не скасовує фундаментальну захист чипованной карти: деякі дані, такі як PIN-код, шифруються на самому чіпі і ніколи не передаються в відкритому вигляді . Але атакуючий може отримати іншу інформацію, наприклад зберігається в чіпі дублікат даних, зазвичай записуються на магнітній смузі.

Завдяки цьому можна дізнатися ім'я власника і номер карти, а потім використовувати отримані дані для онлайн-платежів за чужий карті. Правда, тоді буде потрібно ще Захисний код з обороту карти, який при звичайному обміні даними ніяк не передається. Але тут лиходіям може допомогти ось який трюк.

Платіжні термінали крім стандартних команд «Вставте карту» і «Введіть PIN-код» вміють виводити додаткові. Технічно підкованим зловмисникам цілком під силу додати в сценарій діалогу з покупцем додатковий екран «Введіть CVV2» (або CVC2 - той самий код на зворотному боці карти) і отримати шукані дані.

Фахівці вивчили топ сайтів за версією аналітичної компанії Alexa і вибрали 400 найбільш популярних з них. Потім вони виключили зі списку ресурси з надійною системою захисту, залишивши 342 сайта для експериментів.

На обраних ресурсах вчені намагалися провести оплату за допомогою однієї і тієї ж банківської карти. Зазвичай термін дії Visa не перевищує п'яти років, так що на формування запитів з різними комбінаціями дат і тризначних CVV-кодів пішло близько 6 секунд.

результати експерименту

Вчені встановили, що адресою, прив'язаним до карти, цікавилися далеко не всі ресурси. Жоден з сайтів не перевіряв справжності прізвища та імені власника Visa.

Експерти запевняють, що хакерам не потрібно навіть купувати бази даних з номерами карт. Підбір номери здійснюється аналогічним брутфорсом з урахуванням правил складання номера карти.

Діра в безпеці тільки у карт Visa

Фахівці підкреслюють, що Mastercard не мають такої вразливості - система блокує множинні запити для однієї карти з різних магазинів, а також передає інформацію про них. В безпеки і карти з підтримкою технології 3D Secure, а також карти chip-and-PIN.

303 з 342 сайтів (78% ресурсів) не відреагували на повідомлення про уразливість і не вжили заходів для захисту від атак. Деякі ресурси вже отримали оновлення, але часто виявлялося, що нова система безпеки працювала ще гірше, ніж стара.