PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Новые статьи в RSSНовые статьи

Хакеры заинтересовались POS-терминалами

 4 августа 2016   0 комментариев
 Алина Оприско  
Кражи через такие терминалы распространены на Западе, предупредил банкиров Центробанк

В Digital Security подготовили обзор по безопасности высокоскоростных поездов

 2 августа 2016   0 комментариев
 Алина Оприско  
Компания Digital Security открывает цикл аналитических обзоров, посвященных безопасности транспорта и промышленных объектов. Первый обзор серии подготовлен Егором Литвиновым, ведущим специалистом по безопасности АСУ ТП Digital Security, который сосредоточил свое внимание на ИБ высокоскоростных поездов на основе информации из открытых источников. Специалист Digital Security описал инфраструктуру современного поезда, а также представил возможные векторы атак, которые в потенциале имеются в распоряжении злоумышленников. Обзор полностью можно почитать в нашем блоге на Хабре.

ЦБ потребовал киберзащиты

 2 августа 2016   0 комментариев
 Алина Оприско  
От рекомендаций банкам по информационной безопасности ЦБ перешел к однозначным требованиям. Регулятор разработал четкий и обязательный для всех банков регламент кибербезопасности, призванный защитить кредитные организации от хакерских атак. В документе, в частности, вводится обязанность банка в течение трех часов сообщать о готовящейся или свершившейся атаке.

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Статьи

Чем грозит передача данных своей карты третьим лицам?

22 декабря 2015
  
  pdf-версия

Мы часто сталкиваемся с довольно однотипной схемой мошенничества, которую прозвали «Получение приза на банковскую карту». Суть схемы проста: мошенники обещают потенциальной жертве перевести крупную сумму, для чего просят ее сообщить данные банковской карты. Но несмотря на простоту, подобные схемы работают «на ура». Причин тому масса и главная из них – множество людей по-прежнему не знают, чем грозит передача данных своей карты третьим лицам. Давайте рассмотрим данную схему на примере, который уже не первый месяц гуляет по Сети, меняя лишь адреса фишинговых страничек.

В отличие от множества других схем, в рассматриваемом случае приманка для жертвы распространяется не посредством почтового спама, а с помощью поп-ап рекламы. Страница с призывом получить денежный приз автоматически открывается в браузере при посещении некоторых сайтов, в том числе вполне легитимных, но использующих всплывающие окна для рекламы. Для повышения доверия со стороны жертвы мошенники используют в этих окнах логотипы известных банков. Всего за последние месяцы нами было обнаружено более тысячи страниц, на которых размещалась эта мошенническая схема.

Как это работает

На странице, которая открывается в отдельном окне браузера, посетителю сообщают, что сразу несколько популярных банков запустили акцию для лояльных клиентов, и что именно он, посетитель, стал счастливым победителем акции и обладателем денежного приза.

Нажимаем «Получить приз» и попадаем на страницу с запросом данных банковской карты. В частности, нужно ввести номер карты и срок ее действия. Вводим запрошенные данные, нажимаем «получить деньги». Счастье близко!

Далее в целях «идентификации владельца» мошенники запрашивают сумму остатка на карте — это необходимо «для безопасности зачисления средств», уверяют они. Стоит отметить, что на мошеннических ресурсах очень часто звучат призывы к безопасности и предупреждения об угрозах, своей мнимой заботой они стараются усыпить бдительность потенциальной жертвы.

Вводим сумму и нажимаем «Подтвердить». Интересно, что при введении слишком маленькой суммы появляется сообщение, что данная карта непригодна для подобных операций, так что лучше напишем побольше – от 300 рублей. Ну и конечно для завершения «идентификации» мошенникам требуется трехзначный код проверки подлинности карты (CVC2/CVV2). Данный код используется при проведении транзакций в среде Card not present и находится на обратной стороне банковской карты.

Увы, вместо обещанных денег получаем сообщение «Данная карта непригодна для данной операции». Настойчивые пользователи могут попробовать ввести данные всех имеющихся карточек – мошенникам это понравится, ведь чем больше карт скомпрометирует жертва, тем больше денег смогут они украсть.

Что в итоге получают мошенники? Всю необходимую информацию для снятия денег с банковской карты без участия владельца карты и сумму, которая доступна для снятия. А если очень повезет, то данные нескольких карт одного человека.

Заключение

Многие пользователи банковских карт по-прежнему не знают, что для оплаты в интернет-магазинах или перевода денег с банковской карты достаточно данных, указанных на карте. И то, что сама карта при этом находится на руках у ее владельца, не помешает мошенникам ее использовать.

Подключение системы подтверждения оплаты по SMS также не всегда может защитить пользователя от кражи средств с карты, так как данная система не может запретить использование карты на ресурсах, ее не поддерживающих. Более того, для некоторых разновидностей карт мошенникам даже нет необходимости знать трехзначный код проверки подлинности карты, так как он не всегда является необходимым условием для проведения транзакций по карте.

Из этого следует, что вводить данные банковской карты следует только на известных, доверенных ресурсах и при наличии защищенного соединения. Для сохранности денежных средств также рекомендуем держать отдельную карту для операций в интернете с установленными лимитами.

Источник: securelist.ru

КомментарииКомментарии

Добавьте комментарий!
Представьтесь, пожалуйста
Укажите адрес вашей почты
Опубликован не будет
Следить за дискуссией по почте
 











Партнеры