09/04/2019

Oszuści wykorzystują sobowtóry do płacenia kartami innych osób

Informacje Zagrożenia

Wiele osób z pewnością zauważyło, że rozbicie się samolotu przykuwa znacznie większą uwagę mediów niż wypadki drogowe, mimo że w tym pierwszym przypadku liczba ofiar w całym roku jest znacznie mniejsza. To samo dotyczy innych aspektów życia, w tym obszaru cyberbezpieczeństwa i cyberprzestępstw.

Gdy w 2014 roku odkryliśmy Carbanak — cybergang, który skradł ponad miliard dolarów — temat był szeroko opisywany przez prasę. Jednak nie wolno zapominać, że większe straty finansowe wynikają z oszustw wykorzystujących karty kredytowe, które wydarzają się każdego dnia. Na przykład według zestawienia The Nilson Report w 2018 roku oszustwa związane z kartami spowodowały straty rzędu około 24 miliardów dolarów, a w tym roku mogą osiągnąć jeszcze większy pułap. Zjawisko cardingu — tak właśnie nazywają cyberprzestępcy i specjaliści ds. bezpieczeństwa oszustwa związane z kartami — nie zniknęło; wręcz przeciwnie — rośnie.

Może to dziwić, chociażby z uwagi na to, że coraz więcej banków wdraża restrykcyjne systemy bezpieczeństwa i rozsądne rozwiązania mające na celu zapobieganie oszustwom z wykorzystaniem uczenia maszynowego, a ponadto chroni środki na kartach przed kradzieżą. Teoretycznie taka sytuacja powinna powstrzymać przynajmniej oszustów będących nowicjuszami, ale nie potwierdzają tego statystyki. Na przykład gdy ktoś zapyta na forach dostępnych w darknecie, od czego zacząć karierę cyberprzestępcy, usłyszy odpowiedź „carding”.

Na szczęście oszustwa z wykorzystaniem kart płatniczych są coraz trudniejsze do realizacji, ponieważ banki i platformy płatności implementują coraz więcej środków ochronnych. Niestety w rzeczywistości systemy zapobiegające oszustwom nie działają tak dobrze — osoby, które chcą spróbować swoich sił w kradzieży pieniędzy z kart płatniczych innych, mogą skorzystać ze specjalnych usług i narzędzi, a także sklepów, które je oferują.

Cyfrowe odciski palców: pożyczanie tożsamości w celu kradzieży pieniędzy z karty

Badacz z firmy Kaspersky Lab, Siergiej Lożkin, odkrył w darknecie sklep o nazwie Genesis, który służy do sprzedaży cyfrowych masek użytkowników. O swoim odkryciu poinformował podczas wydarzenia Security Analyst Summit 2019. Maska cyfrowa składa się z cyfrowego odcisku palca użytkownika — obejmuje historię przeglądania internetu, informacje na temat systemu operacyjnego i przeglądarki, zainstalowanych wtyczek itp. — a także informacji na temat zachowania użytkownika, czyli co i jak robi online.

Po co oszuści sprzedają maski i w jaki sposób jest to związane z cardingiem? Maski cyfrowe są wykorzystywane przez systemy zapobiegające oszustwom do weryfikowania użytkowników. Jeśli maska cyfrowa, którą widzi system, odpowiada tej, którą widział wcześniej dla danego użytkownika, transakcja zostanie uznana za legalną. W takiej sytuacji wiele banków nie będzie nawet wymagać podania kodu 3D Secure wysłanego do użytkownika poprzez SMS lub powiadomienie push, aby potwierdzić transakcję.

A zatem, jeśli cyberprzestępca w jakiś sposób zdoła ukraść Twoją cyfrową maskę i Twoje dane do bankowości internetowej, system antykradzieżowy pomyli go z Tobą. W ten sposób przestępca spokojnie wyczyści Twoje konto.

Niektórzy oszuści próbują zdobyć dane z urządzeń użytkowników, aby umiesić je w sklepie Genesis na sprzedaż. Jeśli kupi je ktoś inny — koszt zwykle wynosi 5-200 dolarów, w zależności od tego, ile jest informacji i danych logowania — może ich użyć w celu podszycia się pod właściciela cyfrowej maski.

Procederowi towarzyszy darmowa wtyczka do przeglądarki. Utworzona przez osoby związane ze sklepem Genesis wtyczka nosi nazwę Genesis Security i umożliwia używanie cyfrowej maski w celu odtworzenia tożsamości wirtualnej legalnego użytkownika, a przez to oszukanie systemów antykradzieżowych. Modyfikuje ona parametry, które widzi system, tak aby odpowiadały parametrom urządzenia ofiary, jak również odwzorowuje zachowanie użytkownika.

Gromadzenie odcisków palców

A zatem, gdzie cyberprzestępcy korzystający ze sklepu Genesis zdobywają dane na sprzedaż? Odpowiedź jest prosta, chociaż nieprecyzyjna: z różnych szkodliwych programów.

Nie każdy szkodliwy program chce zaszyfrować Twoje dane dla okupu czy ukraść pieniądze po przedostaniu się na Twoje urządzenie. Niektóre działają w ukryciu, gromadząc wszystkie dane, do jakich mają dostęp, i tworzą te cyfrowe maski, które następnie są sprzedawane w sklepie Genesis.

Inne sposoby ominięcia ochrony przed oszustwem

Pierwszym sposobem ominięcia systemu zapobiegającego oszustwom jest przygotowanie znanego wyglądu; drugim sposobem jest użycie całkowicie nowego wyglądu. A ponieważ przestępcy wiedzą o tym drugim sposobie, w internecie dostępna jest specjalna usługa.

Całkowicie nowy wygląd oznacza, że parametry zastosowane w użytej cyfrowej masce nie pasują do innych cyfrowych masek, o jakich wie serwis. Oznacza to, że oszust nie będzie mógł zalogować się do usługi wykorzystującej system antykradzieżowy, nawet jeśli zainstaluje na swoim komputerze nową przeglądarkę, ale część parametrów — np. osprzęt komputera, rozdzielczość ekranu itp. — będzie taka sama jak w cyfrowej masce, która została użyta wcześniej.

Oszuści mogą jednak utworzyć nową cyfrową tożsamość i dostosować wszystkie parametry tak, aby system antykradzieżowy widział ich jako kogoś całkowicie nowego. W tym celu mogą posłużyć się usługą o nazwie Sphere. Wówczas system antykradzieżowy nie ma powodu, aby nie ufać takiej osobie.

Jak zapewnić sobie bezpieczeństwo przed takimi oszustwami

Problem w tym, że bez względu na to, jak zaawansowany jest system antykradzieżowy, techniki te niestety działają, ponieważ zastosowane w takich systemach algorytmy określające, czy dana osoba może uzyskać dostęp do środków finansowych, wykorzystują dokładnie te same dane, które zgromadził oszust.

A zatem, czy możliwe jest zapewnienie sobie ochrony przed tym zaawansowanym oszustwem wykorzystującym karty?

Jeśli chodzi o banki, należy obligatoryjnie wprowadzić uwierzytelnianie dwuetapowe, nawet z użyciem biometrii w postaci odcisku palca (prawdziwego, nie cyfrowego), skanowania tęczówki czy rozpoznawania twarzy. Banki muszą również mieć wiedzę na temat pojawiających się oszustwach; w przeciwnym razie nie przygotują się na nie odpowiednio.

Z perspektywy użytkownika jedynym sposobem na zapewnienie sobie ochrony przed tego rodzaju oszustwem wykorzystującym karty jest zabezpieczenie się przed zdobyciem jego cyfrowej maski przez inne osoby. W tym celu należy zainstalować niezawodne rozwiązanie bezpieczeństwa, które unieszkodliwi każdy szkodliwy program próbujący manipulować danymi.