Уязвимость пластиковых карт Многие режиссеры в фильмах любят показывать, как «благородные» хакеры взламывают банки и переводят все деньги пенсионерам, инвалидам и другим малообеспеченным людям. Только не учтено в таких фильмах одно. Деньги в банках не лежат на счету самого банка, как в огромном кошельке. Обычно все финансовые средства рассредоточены на счетах таких рядовых вкладчиков как Вы сами, т.е. взломщики грабят не банки, а клиентов банка. Причем зачастую, для взлома банковских систем компьютерным гением быть не обязательно. И это мы вам покажем на примере уязвимости рекламируемых сейчас банками «зарплатных» карт, т.е. пластиковых карточек через которые сотрудники предприятий получают свои заработанные деньги. С данной проблемой безопасности банков я столкнулся, став держателем такой карты. В чем уязвимость? В любой автоматизированной системе есть слабое звено. И обычно таким звеном является человек. Это могут быть программисты, операторы и прочий обслуживающий и технологический персонал непосредственно знакомые с системой. И конечно все люди совершают ошибки… Но сначала мы немного разберемся в общих принципах защиты пластиковых карт. Любая пластиковая карта имеет так называемое «кодовое» слово. Это своего рода пароль (не путать с пин-кодом) на случай потери карты, ее кражи и пр. А еще кодовое слово позволяет осуществлять доступ к платежной карте через сеть Интернет. Ну и соответственно проводить такие операции, как перевод с одного счета на другой, оплата в интернет-магазинах и прочее На текущий момент все банки предлагают предприятиям быстрое изготовление дебетных пластиковых карт, для начисления заработной платы сотрудникам организации. При этом выдвигаю достаточно выгодные условия обслуживания. Что конечно хорошо. Но вот что плохо. Уязвимость пластиковых карт изготавливаемых «потоковым» способом заключается в сокровенном кодовом слове. К сожалению, часто банки, для экономии времени изготовления карт, идут вразрез с правилами безопасности. И кодовое слово выбирается сотрудниками банка по одному и тому же алгоритму. Причем сам владелец такой карты даже не знает его, хотя придумать его как раз он и должен. А ларчик просто открывается. Дело в том, что в качестве кодового слова при поточном изготовлении зарплатных карт сотрудники банка выбирают имя держателя карты! А вот возможность взлома покажу на примере собственной дебетной карты. Лет пять назад я стал «счастливым держателем» пластиковой карты одного Казахстанского банка. Через некоторое время, решив что пришло время управлять своими деньгами по сети Интернет я попытался подключиться к его Интернет-порталу. Где для подключения к системе у меня спросили номер моей карты и кодовое слово. Кодовое слово я не знал. Однако, освоить возможность управлять своими финансами по Интернету очень хотелось. Связался с банком. Узнал свое кодовое слово. Удивлению моему от такой беспечности не было предела, когда я понял, как они выбирают кодовые слова. Теперь я знаю «секретные» кодовые слова всех своих сотрудников. Попытка подключится к системе homebank.kz прошла успешно. Причем в этом мне помогли сами сотрудники банка. Достаточно было позвонить по телефону службы поддержки, где у меня спросили номер моей карты, имя отчество и «секретное» кодовое слово. С такой же легкостью я могу использовать любую карту любого сотрудника моей организации. Ведь я знаю их кодовые слова. А такие данные как, Ф.И.О, номер карты, СИК, РНН выяснить не сложно. Я не буду точно описывать возможные способы. Но могу сказать лишь, что скажем, в бухгалтерии такие данные точно есть. А степень защищенности бухгалтерий большинства организаций абсолютно нулевая. Но это еще не все. Владея такими данными можно не только снять деньги с счета жертвы, но и запросто позвонить в службу поддержки и заблокировать карту. Жертва такой операции наверное не будет рада этому. И самое интересное, что все банки, нарушающие таким образом правила внутренней безопасности, пользуются одним и тем же алгоритмом создания кодовых слов. Т.е. можно легко отгадать кодовые слова не только сотрудников своей, но и других организаций и даже имеющих карты других банков. Для примера: крупная акция одного из больших банков Казахстана, таким образом «осчастливила» многих работников Миттал Стил Темиртау. Только кодовые слова к своим картам они не знают. И договоров с каждым из них не заключали. Просто выдали каждому дебетные и кредитные карты. Продолжив исследования безопасности Интернет-порталов Казахстанских банков удалось узнать еще более интересную информацию. Так, к примеру, Народный банк Казахстана в целях безопасности подключение к своему электронному порталу осуществляет только в своих филиалах. Впрочем как и банк Каспийский. Не очень надежно, но зато безопасно. Электронный портал другого банка (В целях безопасности я не буду указывать его название) меня не порадовал. В первую очередь, тем, что для подключения к электронным платежам не обязательно знать кодовое слово. Достаточно иметь под рукой чек от последнего снятия денег с банкомата. Так что будьте бдительны. И не бросайте чек, так любезно выданный банкоматом. Лучше уничтожьте его. Я имею ввиду чек, а не банкомат. Иначе ваш чек может быть использован при взломе вашей карты. Конечно, для взломщика главной проблемой будет не сам процесс получения доступа к карте, а процесс анонимного снятия наличных. Все транзакции отслеживаются, и вычислить, на какой счет переведены деньги проблем для банка не составит. К тому же, на банкоматах установлены видеокамеры. Но и эти моменты безопасности можно обойти. Правда здесь нужен более высокий уровень знаний и профессионализма взломщика. Подведем итоги. Для обеспечения безопасности использования пластиковых платежных карт необходимо соблюдать, как минимум, следующие правила: Держателям карт – узнать в вашем банке, если вы не знаете, ваше кодовое слово. И конечно изменить его на новое. Не рекомендую использовать в качестве кодовых слов имена людей и клички животных. При обналичивании денежных средств, чеки выданные банкоматами не выкидывайте в ближайшую урну. Ими могут воспользоваться не в вашу пользу. Лучше заберите чек с собой или сожгите (кто в детстве не наигрался в разведчиков – может съесть). Для предотвращения получения доступа к управлению вашей карты можете сами заблаговременно зарегистрироваться на Интернет-портале банка. Это снизит возможность легкого взлома вашей карты. О подробностях подключения вы всегда сможете узнать по телефону службы поддержки. Только подключаться стоит лишь в том случае, если у вас есть доступ к сети Интернет. Руководителям организаций – при заключении договоров с банками стоит обращать внимание не только на низкие тарифы в обслуживании, но и на гарантии безопасности, как банка, так и самой организации. Ведь при таком сотрудничестве с банком вы становитесь единой системой, слабым местом в котором будет не банк, а, увы, ваша организаций. В связи с чем, если утечка информации произойдет у вас, то и отвечать перед обманутыми сотрудниками придется вам. Так что, будет разумно, если при составлении договора с банком вы будете настаивать на выдаче рекомендаций по обеспечению безопасности самим банкам или специалистами рекомендованными банком. Руководителям банков – больше уделять внимания вопросам безопасности. Помните, что ставя на поток такие операции как выдача платежных карт, вы ставите на поток и получение информации о своих клиентах возможному взломщику.