Подпольный мир киберпреступности – это отлаженный механизм, приносящий триллионы долларов ежегодно. На теневых сайтах, скрытых от правоохранительных органов и большинства потребителей, киберпреступники покупают и продают огромные объемы украденных данных, а также инструменты для их получения. Считается, что на таких сайтах циркулирует до 24 миллиардов незаконно полученных имен пользователей и паролей. Среди самых востребованных – свежие данные карт, которые затем оптом скупаются мошенниками для совершения последующих махинаций с личными данными.
В странах, внедривших системы чипов и PIN-кодов (также известные как EMV), сложно создавать клонированные карты из этих данных. Поэтому чаще всего они используются онлайн при атаках типа «карты нет на месте» (card-not-present, CNP). Мошенники могут использовать их для покупки предметов роскоши с целью дальнейшей перепродажи или, возможно, для оптовой покупки подарочных карт – еще один популярный способ отмывания незаконно полученных средств. Масштабы рынка этих карт оценить сложно. Но администраторы крупнейшей в мире теневой торговой площадки недавно ушли на покой, заработав, по оценкам, 358 миллионов долларов США.
Учитывая это, вот пять самых распространенных способов, которыми хакеры могут получить ваши данные кредитных карт – и как им помешать:
1. Фишинг
Фишинг – один из самых популярных методов кражи данных у киберпреступников. В своей простейшей форме это обман, при котором хакер выдает себя за законную организацию (например, банк, поставщика электронной коммерции или IT-компанию), чтобы заставить вас раскрыть свои личные данные или невольно загрузить вредоносное ПО (malware). Часто они побуждают пользователей перейти по ссылке или открыть вложение. Иногда это приводит пользователя на фишинговую страницу, где вас попросят ввести личную и финансовую информацию. Фишинг, как сообщается, достиг рекордного уровня в первом квартале 2022 года.
Пример фишингового письма. Подробнее об этом письме читайте в статье: Не попадитесь на фишинг! Как остаться неуловимым.
Эти мошеннические схемы развивались в последние годы. Вместо электронного письма сегодня вы можете получить вредоносное SMS-сообщение от хакера, выдающего себя за службу доставки, государственное учредом или другую доверенную организацию. Мошенники могут даже позвонить вам, снова выдавая себя за доверенный источник, с целью получения данных вашей карты. SMS-фишинг (смишинг) удвоился за год в 2021 году, а голосовой фишинг (вишинг) также резко возрос, согласно одной оценке.
2. Вредоносное ПО (Malware)
Подпольный мир киберпреступности – это огромный рынок не только для данных, но и для вредоносного ПО. За годы было разработано множество различных типов вредоносного кода для кражи информации. Некоторые записывают ваши нажатия клавиш – например, когда вы вводите данные карты на сайте электронной коммерции или банковском сайте. Как злоумышленники попадают с этими инструментами на вашу машину?
Фишинговые письма или SMS – популярный метод. Вредоносная онлайн-реклама – еще один. В других случаях они могут компрометировать популярные веб-сайты и ждать, пока пользователи их посетят. Вредоносное ПО для автоматической загрузки (drive-by-download) такого типа устанавливается, как только вы посещаете скомпрометированный сайт. Вредоносное ПО, крадущее информацию, также часто скрывается внутри выглядящих легитимно, но вредоносных мобильных приложений.
3. Цифровой скимминг
Иногда хакеры также устанавливают вредоносное ПО на платежные страницы сайтов электронной коммерции. Они невидимы для пользователя, но будут считывать данные вашей карты по мере их ввода. Пользователи мало что могут сделать, чтобы оставаться в безопасности, кроме как делать покупки только у известных брендов и на проверенных веб-сайтах, которые, скорее всего, будут более безопасными. Количество обнаружений цифрового скимминга (также известного как онлайн-скимминг карт) выросло на 150% в период с мая по ноябрь 2021 года.
4. Утечки данных
Иногда данные карт крадутся напрямую у компаний, с которыми вы ведете дела. Это может быть медицинское учреждение, интернет-магазин или туристическая компания. С точки зрения хакеров, это более рентабельный способ, поскольку одной атакой они получают доступ к огромному массиву данных.
С другой стороны, при фишинговых кампаниях им приходится красть у отдельных лиц по одному – хотя эти атаки обычно автоматизированы. Плохая новость в том, что 2021 год стал рекордным по количеству утечек данных в США.
5. Общедоступный Wi-Fi
Когда вы находитесь вне дома, может возникнуть соблазн бесплатно посидеть в интернете через общедоступные точки Wi-Fi – в аэропортах, отелях, кафе и других общих местах. Даже если вам пришлось заплатить за подключение к сети, она может быть небезопасной, если хакеры сделали то же самое. Они могут использовать этот доступ для шпионажа за вашими данными по мере их ввода.
Как защитить данные своих кредитных карт
К счастью, существует множество способов снизить риск попадания данных вашей карты в чужие руки. Вот несколько хороших советов для начала:
- Будьте внимательны: никогда не отвечайте, не переходите по ссылкам и не открывайте вложения в нежелательных письмах. Они могут быть заряжены вредоносным ПО. Или они могут перенаправить вас на фишинговые страницы, выглядящие как настоящие, где вас попросят ввести ваши данные.
- Не сообщайте никаких данных по телефону, даже если человек на другом конце кажется убедительным. Спросите, откуда они звонят, а затем перезвоните в эту организацию, чтобы проверить – но не используйте никаких контактных номеров, которые они вам дадут.
- Не пользуйтесь интернетом через общедоступный Wi-Fi, особенно без виртуальной частной сети (VPN). Если вам все же пришлось это сделать, не совершайте никаких действий, требующих ввода данных карты (например, онлайн-покупки).
- Не сохраняйте данные карты на сайтах интернет-магазинов или других сайтах, даже если это экономит время при последующих посещениях. Это снизит вероятность кражи данных вашей карты, если компания подвергнется утечке или ваш аккаунт будет взломан.
- Установите антивирусное ПО, включая защиту от фишинга, от надежного поставщика безопасности на все ноутбуки и другие устройства.
- Используйте двухфакторную аутентификацию для всех конфиденциальных аккаунтов. Это снижает вероятность того, что хакеры смогут их взломать с помощью украденных/полученных фишингом паролей.
- Скачивайте приложения только из легитимных магазинов (Apple App Store, Google Play).
- Если вы совершаете покупки онлайн, делайте это только на сайтах с HTTPS (рядом с URL в адресной строке браузера должен отображаться значок замка). Это означает, что вероятность перехвата данных ниже.
Наконец, хорошей практикой является отслеживание всех ваших банковских счетов и счетов по картам. Если вы заметите какие-либо подозрительные транзакции, немедленно сообщите об этом команде по борьбе с мошенничеством вашего банка/эмитента карты. Некоторые приложения теперь позволяют «заморозить» все расходы по определенным картам, пока вы не сможете выяснить, произошла ли утечка безопасности. Существует множество способов, которыми злоумышленники могут получить наши данные карт, но также и много того, что мы можем сделать, чтобы держать их на расстоянии.