Следующий скандал разразился в сентябре 2014 года. Американская торговая сеть Home Depot распространила заявление, что POS-терминалы компании были заражены специализированным троянцем на протяжении четырех месяцев. В этот раз в подпольные кардерские магазины утекли данные 56 млн карт. И это было лишь началом грандиозной киберграбительской кампании KAPTOXA, в ходе которой, по оценкам экспертов, были украдены данные карт едва ли не каждого жителя США.

Афера с подменными терминалами начинается с подготовки специальной микропрограммы (прошивки) для POS-терминала популярной модели. Подготовленный терминал продается кардеру, который устраивается на должность кассира в магазин, использующий такие же аппараты. Стоит терминал с «хитрой» прошивкой достаточно недорого, порядка 15–20 тыс. рублей, что по карману даже начинающему кардеру.

Злоумышленник меняет терминал на очень похожий свой и спокойно работает: принимает деньги и карты, сдает кассу... На вид – никакого криминала. При этом его POS-терминал не просто транслирует данные карты при оплате, но и бережно сохраняет все данные карт клиентов, необходимые для изготовления копии: дамп содержимого магнитной полосы и ПИН-код. Собранные данные злоумышленник извлекает из устройства с помощью своего же рабочего компьютера и отправляет в кардерский магазин, на продажу.

Второй способ – кража данных посредством троянской программы – более затратен, зато безопаснее (кардерам нет необходимости «светиться») и несравнимо эффективнее. Схема основана на том, что POS-терминалам необходим доступ к Интернету для связи с банком. Чтобы провернуть эту операцию, нужно три инструмента: сканер портов (для обнаружения уязвимых POS-терминалов), набор эксплойтов, позволяющий заражать компьютеры через Интернет, и собственно POS-троянец. Стоимость этого комплекта уже выше и составляет несколько тысяч долларов. Но эти затраты окупаются с лихвой.

Есть и более бюджетный вариант хакерского набора – можно исключить из него недешевый набор эксплойтов, а заражение производить вручную, отправляя на электронные адреса торговых организаций вредоносный спам, содержащий троянец-загрузчик. Троянец, проникнув в сеть атакуемой организации, найдет POS-терминалы и «поселит» там POS-троянца.

Разумеется, POS-терминал шифрует платежные данные, включая ПИН-код, перед отправкой в банк. Однако чтобы что-то зашифровать, надо сначала это что-то загрузить в память. POS-троянец, работающий в фоновом режиме, постоянно сканирует память компьютера. Обнаружив готовые к шифрованию платежные данные, он сохраняет их в отдельной области памяти или на жестком диске компьютера. А затем передает на сервер злоумышленника в форме запроса HTTP POST или даже просто по электронной почте.

Оба этих метода кражи данных карт заканчиваются продажей украденных дампов и ПИН-кодов через кардерский интернет-магазин. Покупатель, расположенный практически всегда в другой стране, записывает приобретенные данные на белый пластик (чистые карты с магнитной полосой) и снимает деньги через банкомат.

Такая схема, заметим, может работать лишь для карт, не оснащенных EMV-чипом, причем не только потому, что кардеры не умеют копировать чипы. При выполнении оплаты с помощью чипа все платежные данные шифруются непосредственно в чипе и в POS-терминал попадают уже зашифрованными. Красть такие данные бесполезно: ни троянец, ни самый хитрый подложный терминал ничем кардеру не поможет.

Именно поэтому в России, где большинство карт оснащены чипом, это явление не носит массового характера, до США нам в этом отношении далеко. Однако и у нас такие инциденты исчисляются сотнями. Ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов рассказал порталу Банки.ру, что «за 2015 год на территории России было зафиксировано 440 попыток заражения вредоносными программами, нацеленными на кражу данных с POS-терминалов. Всего в мире подобных попыток было 11 512. Эти цифры говорят о непопулярности данной атаки на территории России в связи с массовым распространением карт с EMV-чипами, против которых такие программы бессильны».

Михаил ДЬЯКОВ, Banki.ru