3D secure обход: На форуме в дарквебе описали методы обхода 3D Secure для банковских карт

3D secure обход: На форуме в дарквебе описали методы обхода 3D Secure для банковских карт

Содержание

СЕРВИС PAY4. Перевод денег с карты на карту. Pay4

Сервис PAY4 предоставляет услугу мгновенных переводов c карты на карту между картами Visa и MasterCard любых банков Украины. Сервис работает круглосуточно в режиме 24/7. Для осуществления перевода на карту необходим доступ к Интернет и номер карты получателя.

Переводить деньги с карты на карту с помощью сервиса PAY4 быстро и удобно! Выбирая данный способ перевода, Вы экономите собственное время.

Сервис использует автоматическую систему выбора расчетного банка, что практически всегда гарантирует успешный перевод между картами.

Преимущества сервиса:

  • удобные, мгновенные и безопасные переводы;
  • сервис работает круглосуточно, перевод денег осуществляется онлайн;
  • зарегистрированные пользователи сервиса имеют возможность сохранять номера карт, как получателя, так и отправителя;
  • возможность осуществить перевод денег онлайн с карты на карту разных банков;
  • экономия времени на посещение банка для осуществления перевода на карту;
  • возможность отправить перевод с карты на карту онлайн с любой точки мира, используя смартфон или планшет.

Сервис переводов с карты на карту удобен для онлайн перевода денежных средств близким или друзьям, для отправки денег в другой город Украины, при необходимости погасить кредитную задолженность или перевести средства на другую карту, оплатить услуги или товары в Интернет.

Для осуществления перевода с карты на карту в онлайн-режиме необходимо:

1. Указать номер карты отправителя — 16 цифр на лицевой стороне карты.

2. Указать срок действия карты отправителя — две двузначные цифры через косую на лицевой стороне карты.

3. Ввести СVV-код — трехзначное число на обратной стороне карты.

4. Указать номер карты получателя

Плата за пользование сервисом:

Комиссия за перевод всегда рассчитывается автоматически и составляет 5 грн. за каждые 500 грн. перевода. Зарегистрированные пользователи получают бонусы и скидки, что позволяет отправить перевод на карту с минимальной комиссией, или же могут получить бонус на отправку перевода без комиссии. Комиссия всегда списывается с карты отправителя.

Приведем пример. Если Вам необходимо отправить перевод на карту 500 гривен, то комиссия составит 5 грн. и с Вашей карты будет списано 505 гривен. Получатель в течении нескольких минут получит 500 гривен. При этом, если у получателя к карте подключена услуга SMS информирования, он сразу получит уведомление о поступлении денежных средств на его карту.

Кому полезен сервис переводов с карты на карту:

Предоставляете услуги или продаете товары +

Если Вы не решились оформиться как предприниматель, не готовы официально выписывать акты и счета на оплату, фрилансер, работаете дистанционно, предоставляете услуги или продаете товары.

Решили что-то купить на сайте объявлений OLX+

Сервис перевода между картами позволяет в онлайн режиме за несколько минут переслать деньги продавцу. Нет необходимости брать с собой на встречу наличные деньги, искать банкомат, тратить время на пересчет денег.

Коллективные затраты +

Вы отдохнули с коллегами в пабе, или ресторане и вопрос расчета заставляет постоянно искать наличность в своем кошельке. При этом кто-то один рассчитывается за всех картой, а другие остаются должны ему. С помощью перевода на карту вопрос решается в считанные минуты.

Необходимо погасить задолженность +

Нет времени идти в банк пополнить карту для погашения задолженности, а скоро конец месяца и кредитный лимит исчерпан. Сервис онлайн переводов на карту позволяет экономить время и в считанные минуты погасить задолженность по Вашей кредитной карте.

Мы гарантируем безопасность Ваших переводов

На нашем сервисе PAY4 используется эффективная защита безопасности для осуществления переводов. Мы выполняем и придерживаемся всех необходимых международных стандартов PCI DSS, прошли соответствующую сертификацию. Для осуществления онлайн перевода с карты на карту используются технология 3DSecure. В случае, если банк держатель карты отправителя не поддерживает технологию 3DSecure, операция перевода на карту подтверждается одноразовым проверочным кодом авторизации, который будет доставлен отправителю SMS сообщением.

Клиенты и партнеры доверяют нам

Вопрос доверия наших клиентов и партнеров – для нас является самым главным.

Среди наших партнеров украинские банки, представители розничного бизнеса, логистические компании, финансовые компании, мобильные операторы, популярные СМИ.

Мы всегда предлагаем нашим партнерам гибкие условия сотрудничества. Наши решения являются инновационными и уникальными.

Условия предоставления сервиса

Объясняем на пальцах. Почему одни площадки требуют 3D-Secure, а другие нет?

Сегодня самый популярный способ платежей в Интернете — оплата  с помощью банковской карты. Расплачиваясь на таких площадках как Amazon, AdWords и AliExpress, мы заметили, что некоторые сайты не запрашивают пароль 3D-Secure при оплате.

 

К примеру, при оплате через мобильное приложение покупок на AliExpress платежи проходят без 3D-Secure. Да, и сервис от Google под названием AdWords также требует только номер карты, имя держателя и CVV-код.

 
Сегодня мы выясним, почему так происходит, и насколько в этом случае защищены наши платежи?

 

Кажется уже аксиомой, что каждый раз, когда мы указываем реквизиты своей карты в Интернете, деньги на наших счетах подвергаются потенциальной опасности. К примеру, фишингу — популярному виду интернет — мошенничества. 

 

Напомним, при оплате покупок в Сети вам могут попасться «поддельные» сайты, на которых велика вероятность оставить реквизиты своей карты. Как только это произойдет, мошенник  сразу же может использовать эти данные на другом, настоящем, сайте, но предназначенном, к примеру, для перевода денег.

 

В безопасности платежей заинтересованы не только держатели карточек, но и банки, интернет-магазины и платежные системы, которые рискуют не только своими деньгами, но и репутацией






Как защищены наши платежи при оплате?


 

Сначала небольшой ликбез, если вы не хакер 🙂 

 

За безопасность интернет — операции отвечают все, кто принимает в ней участие. Чаще всего: банк-эмитент, выдавший вам карту, банк-эквайер, который «помогает» торговцу  принимать платеж, сам интернет-магазин и платёжная система.

 

Когда вы совершаете покупку в Интернете, при оплате используется ряд протоколов и правил. Среди них SSL— протокол шифрования, который безопасно передаёт информацию. Обнаружить SSL просто — адреса сайтов, которые используют этот протокол, начинаются с HTTPS. А эти пять букв — первое свидетельство того, что ваша конфиденциальная информация передаётся в зашифрованном виде, и как следствие — она защищена.

 

Также есть стандарты защиты, которые разработаны самими платёжными системами (PCIDSS). Любая компания, которая собирается осуществлять интернет — платежи, должна ежегодно проходить проверку на соответствие этим стандартам. Они позволяют исключить переход покупателя на сайт сторонней организации.

 

На защиту ваших платежей, в том числе становятся противомошеннические системы, которые называются «Антифрод». Они оценивают ваши финансовые операции в реальном времени и ищут аномальные и подозрительные. Система «изучает» операции, которые происходят не в той стране, где выпущена карта, отслеживают ограничения по сумме, лимиты, количество покупок и время их совершения, а также — «ведут» другую статистику.

 

Но и это далеко не вся защита.

 

Сегодня одной из самых надёжных систем защиты в Беларуси считается технология 3D-Secure. Она позволяет убедиться, что карточкой расплачивается именно владелец. Если ваша карта поддерживает эту технологию, то для оплаты на любом из сайтов понадобится пароль, который придет к вам на мобильный телефон через СМС. Естественно — угадать пароль преступник не сможет.

 

Кстати, вся информация, которую вы вводите, сохраняется на платежном сервере вашего банка, и интернет-магазин не имеет к ней доступа, поэтому стоит внимательно следить, где вы указываете свои данные. Некоторые сайты, конечно, могут сохранить часть информации по реквизитам платёжной карты, но в объёме не большем, чем разрешают протоколы  платёжных систем.

 


А теперь самое интересное. Дело в том, что в мире технология 3DSecure не является обязательной, и как следствие не все магазины, как и не все банки, её поддерживают


 

Другими словами, если ваша карта поддерживает 3D-Secure, а магазин нет (или — наоборот), то оплата пройдёт, а ответственность за несанкционированную транзакцию ляжет на ту сторону, по чьей вине не была использована технология 3D-Secure.

 

На AliExpress мы оплачивали покупки картой Беларусбанка, поэтому первым делом обратились именно туда. Оказалось, что оплачивать покупки мы  можем как на ресурсах, которые поддерживают технологию безопасности 3D-Secure, так и на тех, которые её не поддерживают.

 

Получается, если на сайте для оплаты нужны только реквизиты пластика — платёж пройдёт и без дополнительного пароля. По крайней мере, если ваша карта, как и наша, на AliExpress уже «привязана» — оплата пройдёт без подтверждения. 

 



 

 

А вот специалист поддержки AdWords (сервис Google) просто ответил, что на некоторых сервисах пароль 3D-Secure не требуется, а по вопросам  безопасности предложил обращаться в банк, который нас обслуживает.

 



 


Кстати, хоть такие платежи защищены и без дополнительно пароля, наши банки не уверены в их безопасности. Поэтому рекомендуют не пользоваться такими сервисами без дополнительной защиты!

 

Вот что нам рассказали в белорусских банках…

 


Белгазпромбанк

 










БПС-Сбербанк


 










СтатусБанк


 






 

Поэтому возникает вопрос, как в таком случае себя обезопасить?

 


Мы составили небольшую инструкцию по безопасности 

Мошенничество с дебетовыми картами

Дебетовые карты привлекают мошенников тем, что на их счетах могут находиться большие суммы, которые легко украсть, получив доступ к данным и пин-коду.

Пока есть деньги, будут и люди, которые хотят получить их в обход правил. Переход людей от наличных платежей к безналичным значительно снижает риск использования пластиковых карт, однако не исключает воровства денег. Расскажем об основных способах мошенничества с дебетовыми картами:

1. Похищение карты. Самый банальный способ, который используют неосторожные преступники. Карту могут похитить как случайно, так и целенаправленно. Если вор не знает пин-кода, то не сможет получить наличные через банкомат, но сможет использовать карту для покупок и вывода денег через интернет. Этого легко избежать, если сразу после пропажи карты позвонить в банк и заблокировать счёт.

2. Похищение данных карты. Может происходить различными способами: фишингом (сбором данных через накладки на банкомат), через фальшивые сайты в интернете, через объявления о благотворительности и т.д. Как только есть реквизиты карты – деньги можно перевести куда угодно. В качестве защиты нужно использовать систему 3D-Secure, которая требует ввести пароль, присланный на телефон держателя карты, при совершении всех платежей в интернете. Также следует быть бдительным и не отсылать данные своей карты посторонним людям и организациям.

3. Продажа карты. Да, как бы это странно не звучало, но мошенники готовы честно покупать дебетовые карты с нулевыми балансами. Они нужны им для заметания следов при выводе денег, полученных незаконным путём. Сомнительные операции могут заметить представители банка и тогда вскроются факты, интересные правоохранительным органам. Чтобы этого избежать, не стоит откликаться на предложения о продаже своей карты.

Существуют ещё сотни схем мошенничества с помощью пластиковых карт. Они постоянно совершенствуются, поэтому универсальным советом может быть тщательный контроль за картой и хранение небольших сумм на её счёте.

Совет Сравни.ру: Если на вашем карточном счёте образовалась большая сумма средств, которые не нужны вам в ближайшие несколько месяцев, то выгодном будет размещение денег на вкладе под процент.

Что такое 3D secure на банковской карте, как подключить/отключить услугу и как ей пользоваться

Чтобы злоумышленники не воспользовались потерянной картой владельца, была придумана функция 3D Secure. Что она из себя представляет, как ее подключить и как использовать – обо всем этом будет рассказано дальше.

Что такое 3D secure простыми словами

Для безопасности владельцев пластиковых карт были внедрены следующие степени защиты:

  • CVV-код. Находится на оборотной стороне карты. Предназначается для подтверждения подлинности карт во время совершения покупки или снятия денег.
  • Именные карты. Такая карта отличается от неименной тем, что имеет на лицевой стороне имя и фамилию владельца. По ней злоумышленнику сложнее будет оплатить товар в торговых точках, так как продавец может потребовать предъявить паспорт.
  • Пин-коды. Такой код придумывает сам владелец во время первого использования карты. Защищает от снятия денег с карты злоумышленниками, например, если она была потеряна.
  • 3D-Secure — технология, которая повышает безопасность проведения платежей при покупках через интернет.

3D Secure – это двухфакторная аутентификация для авторизации владельца карты во время совершения платежа. Если простыми словами, то 3D Secure – это код, который приходит владельцу карты на телефон при оплате товара. Этим паролем пользователь подтверждает, что именно он и никто другой совершает платеж.

Технология основана на протоколе расширяемого языка разметки. Применяется для защиты онлайн-платежей с дебетовых и кредитных карт.

Она не защищает денежные ресурсы, лежащие на карте, как пин-код, вводимый при снятии денег с банкомата. Также технологию не следует путать с CVV-кодом на обороте карты.

Почему именно 3D

3D-Secure не означает, что оплата проводится в каком-то трехмерном пространстве. Этот термин произошел от общего сокращенного названия трех систем или доменов (англ. «3 D» – Three Domains, что переводится как «Три домена»), которые участвуют в процедуре обмена деньгами и обеспечивают защиту их перевода от владельца к продавцу. Ими являются:

  1. Домен эквайера – система продавца или банка, куда поступают деньги;
  2. Домен эмитента – система, которая выдала карту пользователю, совершающего платеж;
  3. Система, через которую проходит оплата, или домен совместимости. Он предоставляется системами Mastercard или Visa, поддерживающими технологию 3D-Secure.

Если технология подключена к карте ее держателя, то без ведома последнего провести платеж невозможно.

Видео: 3D Secure: как это работает? (схема работы и комментарии специалиста)

Как работает протокол

Работа протокола 3D Secure заключается в перенаправлении пользователя на страницу банка-эмитента, то есть банка, выпустившего карту. На этой странице пользователь должен будет ввести одноразовый код в специальное поле. Одноразовый пароль приходит по смс на номер телефона, привязанного к карте владельца.

Протокол будет задействован только в том случае, если услуга активирована.

Как подключить 3D Secure

Функция является бесплатной. Если у пользователя данная услуга не подключена, то он ее может активировать одним из способов:

  • в офисе банка;
  • по телефону;
  • через банкомат;
  • через онлайн-банкинг.

Примеры банков, которые подключают карты к 3D Secure:

Наименование банкаПодключение Стоимость подключенияЕжемесячная комиссия
СбербанкАвтоматическое, при получении картыБесплатноНет
ТинькоффАвтоматическое, при получении картыБесплатноНет
ВТБ 24По заявлению владельца, через онлайн-банкингБесплатноНет, взимается единоразовая плата за входящее смс с баланса телефона

Обратившись в офис местного филиала банка

Подключение этой услуги осуществляется бесплатно. Владельцу карты необходимо сделать следующее:

  • Прийти в банк с паспортом и картой.
  • Написать заявление о подключении. Форму для заполнения выдаст сотрудник.
  • Активация произойдет после совершения первого платежа.

По телефону

Подключить услугу можно по телефону, не выходя из дома. Например, для Сбербанка:

  • Отправить Слово «Полный» в смс на номер 900.
  • Дождаться сообщения с динамичным кодом (одноразовым паролем) из четырех цифр.
  • Ввести эти цифры в ответном сообщении и отправить снова на номер 900.
  • Дождаться смс с подтверждением о подключении.
  • Теперь можно безопасно оплачивать услуги и товары по интернету.

Через банкомат

Чтобы осуществить подключение через банкомат, пользователю необходимо будет позвонить в банк и узнать о том, есть ли функция 3D на у его карты. Если ответ положительный, то владелец может смело отправляться в ближайший банкомат и подключать услугу.

  • Вставить карту в банкомат именно того финансового учреждения, которое выпустило ее.
  • Кликнуть по пункту «Другие операции».
  • Найти и выбрать «3D Secure».
  • Ввести номер мобильного, привязанного к карте.

Теперь динамичные коды для оплаты посредством технологии 3D Secure будут приходить на телефон при проведении платежа.

Через онлайн-банкинг

Подключить услугу можно в личном кабинете Сбербанка или любого банка, поддерживающего технологию. Будет показано на примере Сбербанка:

1 Открыть главную страницу банка и войти в личный кабинет.

2 Нажать на вкладку «Карты».

3 В выпавшем меню выбрать «Подключение 3D Secure».

Отключение 3D Secure

Вообще нежелательно отключать данную функцию, если она была подключена, потому что тогда владелец карты не сможет оплатить товар или услугу в интернет-магазине, оснащенном этой защитой.

Причины, по которым владельцу может быть нужно отключить защиту:

  • переезд в другую страну;
  • смена номера телефона;
  • необходимость совершить покупку в тех магазинах, где 3D Secure не поддерживается.

В таких ситуациях банки могут помочь пользователю следующим образом:

  • Например, Альфа-банк дает возможность смены номера на иностранный, если так удобнее для клиента, без отключения защиты.
  • Если пользователь все-таки настаивает на отключении, то он может обратиться в банк с письменным заявлением, (если финансовая организация не поддерживает услугу отключения функции защиты в личном кабинете пользователя).
  • В онлайн-банкинге Сбербанка предусмотрена услуга отключения функции. Для этого пользователь должен в личном кабинете пройти во вкладку «Карты». В открывшемся списке под пунктом «Подключить 3D Secure» будет располагаться пункт «Отключить 3D Secure». Кликнуть по нему.

Как пользователю узнать о подключении карты к технологии защиты 3D Secure

Не все банки используют данную технологию, так как обслуживание этой функции – дорогостоящее. Финансовые организации, которые работают более 10 лет и имеют развитую розничную сеть (Сбербанк, Альфа-банк, ВТБ и другие известные банки), регулярно встраивают ее по умолчанию в выпускаемые карты.

Подключение к ней осуществляется сразу после получения и активации. По международным предписаниям карты Visa и Mastercard наделяются услугой по умолчанию.

Узнать, присутствует ли на карте пользователя эта функция или нет, владелец может двумя способами:

  • совершить покупку в интернет-магазине. Если смс с динамичным кодом не пришло на номер телефона, то это значит, что услуга не подключена. Например, Альфа-банк подключает эту функцию по умолчанию только для некоторых видов платежей. Поэтому, чтобы использовать возможности услуги полностью, рекомендуется узнать о наличии технологии вторым способом;
  • обратиться к сотрудникам банка, в котором была выпущена карта.

Карточки с 3D-Secure

Список популярных банков, поддерживающих услугу 3D Secure:

  • Сбербанк;
  • Альфа-банк;
  • ВТБ;
  • Бинбанк;
  • «Русский Стандарт»;
  • «Почта-банк»;
  • «Тинькофф»;
  • «Связной банк» с 2012 г.;
  • «Уралсиб» с 06.2013;
  • «Промсвязьбанк»;
  • «Абсолют Банк» с 10.2013;
  • МДМ с 11.2013;
  • Ренессанс-кредит с 11.2013.

ДЛЯ СПРАВКИ: Карты, выпущенные ранее 2012 года, не поддерживают 3D Secure.

Интересные факты о безопасности

Интернет-магазин, который не поддерживает стандарт 3D Secure, не несет ответственность за безопасность платежа. Поэтому ответственность ложится на банк, выпустивший карту.

Однако, если пользователь подтвердил платеж динамичным кодом, пришедшим в смс, вся ответственность перекладывается на владельца. Если карта и пароль все-таки оказались в руках мошенника, законному владельцу не удастся доказать, что не он проводил платеж.

Все динамичные пароли, которые приходят по смс при проведении платежа, после введения в соответствующее поле и оплаты становятся недействительными. Они также имеют ограниченный срок действия: обычно это 5 минут. Эти коды не следует разглашать третьим лицам.

Например, владельцу карты приходит сообщение на почтовый ящик с предложением пройти по ссылке и забрать некий выигрыш. При этом он должен ввести данные своей  карты, якобы чтобы получить деньги. Этого делать не стоит, так как компьютерная программа считает информацию карты пользователя, а потом использует в собственных целях.

Не рекомендуется оплачивать онлайн-покупки в общественных местах. В видеонаблюдении могут работать недобросовестные люди и следить за информацией, которую вводит держатель карты.

Преимущества и недостатки системы

К преимуществам можно отнести:

  • Получение нового кода в смс при каждой покупке или оплате. Не нужно держать пароли в голове и менять их раз в месяц.
  • Простота процедуры.
  • Безопасность. Доступ к телефону есть только у владельца карты. Если же он украден, то мошеннику потребуется еще и карта.

Недостатки:

  • При плохой связи или при полном ее отсутствии смс-коды могут не прийти на телефон. О том, как решить проблему, если пользователь не дождался прихода динамичного пароля, будет рассказано в блоке «Ответы на вопросы».
  • Возможность похищения кода с компьютера. Операционные системы, через которые проводится платеж, подвержены заражению вирусами. Последние умеют анализировать коды и отправлять их злоумышленникам.

Как избежать действий мошенников и обхода системы безопасности

Владелец карты может защитить себя от мошеннических действий следующими способами:

  • регулярно обновлять антивирусную базу и пользоваться только лицензионным антивирусом на компьютере или смартфоне, с которых проводятся платежи;
  • ничего не покупать на неизвестных или малознакомых сайтах;
  • внимательно читать текст, который пришел в смс вместе с динамичным кодом;
  • желательно установить дневной лимит на снятие денег с карты. Это обезопасит владельца от потери всей суммы в случае атаки злоумышленников;
  • и самый редкий, но все же встречающийся ход от воров электронных денег – это перевыпуск сим-карты. Поэтому, если телефон владельца перестал ловить сеть даже в тех районах, где всегда хорошо ловил ее, держателю карты нужно будет как можно быстрее обратиться в банк для блокирования счета и к своему провайдеру – для замены номера.

Платеж с помощью 3D Secure (подробная инструкция)

Совершить платеж в магазинах, где предусмотрена эта система безопасности, можно следующим образом. Такие онлайн-магазины помечаются специальными логотипами:

Предположим, владелец карты желает купить сумку в интернет-магазине.

1 Он выбирает товар и переходит на страницу оплаты.

2 Вводит информацию со своей карты для проведения платежа.

3 Пользователя перенаправят на страницу для ввода специального кода. На странице дана краткая информация, окно для ввода динамичного кода и логотип банка-эмитента.

4 Теперь держателю карты предстоит ввести одноразовый код, который придет на номер телефона, привязанный к карте.

При совпадении динамичного кода, пришедшего на телефон, и введенного пользователем платеж поступит в обработку и произойдет снятие указанной суммы с карточки.

Динамичный код не следует показывать третьим лицам. Вводить его нужно тому человеку, которому он пришел на телефон. Об этом предупредит смс с кодом.

Вопрос – ответ

Какие плюсы получают от данной функции интернет-магазины и продавцы?

Подключение этой услуги дает им защиту от фрода. Фрод – это вид мошенничества. Заключается в требовании возврата денег после оплаты и получения товара. Злоумышленник, прикидывающийся владельцем карты, обосновывает это тем, что не давал согласия на оплату.

Разрешена и безопасна ли покупка в магазинах без 3D Secure?

Многие торговые площадки в сети, например, как AliExpress, не поддерживают такую функцию и продают без проблем, еще и спросом пользуются. Банк проведет операцию в любом случае, даже если данные были украдены с помощью вируса и введены мошенником. При покупке товара владельцем карты он и так знает, что покупает он сам. Поэтому ответ положительный, но в любом случае надо полагаться на свой или чужой опыт, если нет своего, и на совсем уж подозрительных сайтах не совершать покупок.

Что делать, если одноразовый код не пришел?

Нажать на кнопку «Отправить код еще раз». Но перед этим убедиться в том, что:

  • смартфон включен, связь не заблокирована, тариф сотовой связи проплачен и действует;
  • тарифный план предполагает получение СМС, если пользователь находится за рубежом;
  • пользователь находится в зоне приема сети провайдера;
  • телефон привязан к карте.

Что делать, если происходит ошибка авторизации 3D Secure?

Существует две причины, по которым приходит ошибка авторизации 3D Secure.

    1. Ввод неверного кода. Необходимо перепроверить код в смс и ввести его правильно.
    2. Закончилось время действия кода. Динамичный пароль, пришедший в смс, действует 5 минут. Если прошло больше времени, следует запросить повторную отправку кода.

После этой ошибки желательно перезайти в браузер и провести платеж снова.

Можно ли отказаться от сервиса 3D Secure?

Данный сервис является обязательным. Многие магазины не работают с картами, на которых не задействована эта функция защиты.

Видео на десерт: 10 видеоигр, на прохождение которых у вас уйдет куча времени

Как хакеры воруют и отмывают деньги через сервисы доставки еды

Автор материала: Никита Кныш, CEO HackControl

По долгу работы приходится копаться на андеграунд форумах в поиске свежей информации об уязвимостях, утечках паролей и других интересных вещей.

Иногда консультируем представителей силовых структур на тему новых уязвимостей, атак и схем нападения. Случаются ситуации, когда “новинками” делятся силовики.

Думаю, многие разделят мою точку зрения касательно того, что, если “схема” или “уязвимость” попала на форум, то, как правило, все “сливки” с нее уже давно кто-то снял. Да и форумы вне зоны .onion очень серьезно воспринимать не стоит.

Но в этот раз мы нашли схему, которая удивила своей относительной простотой и новизной. Собственно, о том, как хакеры воруют и отмывают деньги через сервисы доставки еды, и будет сегодняшний рассказ.

Как убили значительную часть кардинга. Предыстория

Люди, сведущие в антифрод системах и безопасности банковских платежей, давно знают, что большая часть сервисов, принимающих оплату кредиткой онлайн, давно подключили систему дополнительной верификации по телефону (через смс, звонок или приложение). У MasterCard такая система называется 3D Secure — сокращенно 3DS, у VISA — это аналогичная система Verified by Visa (VbV).

Суть проста: если вы ввели где-то данные со своей кредитной карты, для успешного платежа вам потребуется еще и ввести разовый код, полученный из смс, звонка или приложения, чтобы подтвердить, что это именно вы совершаете покупку, а не хакеры грабят вас.

С введением этих систем, значительная часть платежей с чужих (ворованных) кредитных карт ушла в небытие. 

Гигантам важнее объем выручки и оборота средств, чем безопасность

Однако крупные, высоко-нагруженные сервисы вроде Booking.com, AirBNB, Amazon.com, Facebook.com отключили или ограниченно используют эту функцию дополнительной проверки, так как она (скорее всего) сильно повлияла на объем продаж и конверсию.

Конечно, они заменили ее дополнительной верификацией внутри аккаунта и нейронными сетями с крутейшими антифрод решениями, но это не сильно помогло.

Проблема не нова и широко обсуждается. По данным Федеральной торговой комиссии США из 13 млн жалоб потребителей за 2012-2016 годы (3 млн в одном только в 2016-м) 13% касались хищения персональных данных и карт. И это данные только по США.

Реальность такова, что лучше содержать штат юристов, занимающихся возвратом платежей с чужих карт, чем уменьшать оборот средств. Как следствие, появились целые форумы с предложениями забронировать отель за 25%-50% от стоимости. Бизнес-риски, не более.

Так появилась довольно популярная схема отмыва денег с краденных кредитных карт через сервисы аренды жилья (пример пострадавшей от действий кардеров). В упрощенном варианте она выглядит так:

  1. Берут квартиру в аренду с правом субаренды.
  2. Регистрируют квартиру на booking.com и/или AirBNB 
  3. Покупают данные ворованных кредитных карт
  4. Якобы бронируют квартиру у самих себя на данные ворованных карт
  5. Получают уже чистые деньги от Booking.com или AirBNB

Естественно, вариантов вышеописанной схемы может быть множество: от регистрации на Booking, AirBNB несуществующих квартир (это реально) до регистрации аккаунта на свои данные, без ведома хозяина квартиры/отеля. Люди массово ищут и скупают недобросовестных владельцев отелей или же предлагают свои услуги.

Почему деньги отмывают именно через сервисы аренды квартир? Как я писал выше, там нет (или используется ограниченно) VBV и 3DS и карты туда легче “вбиваются”. Также владельцы отелей нередко грешат тем, что отмывают деньги через преавторизацию и завершение операции в POS терминалах с поддержкой ручного ввода карт, но это уже совсем другая история о которой я расскажу в следующий раз.

Вернемся к нашим доставщикам еды.

Сервисам доставки еды тоже не важно, чья карта

GLOVO, UBER, Яндекс Еда и прочие сервисы дешевой доставки стремительно ворвались в нашу жизнь наравне с сервисами по бронированию отелей. И знаете что? Их не сильно волнует, совпадает ли имя владельца аккаунта с именем на кредитной карте.

Им не важно, куда доставлять еду и откуда брать товар. Им так же, как гигантам бронирования отелей, не так важны VBV и 3DS, им куда важнее оборот и выручка.

Так, работая над очередным заказом тестирования антифрод систем в HackControl, собирая новые мошеннические схемы, наткнулся на “новинку”. Кардеры и мошенники придумали схему, которая, в первом приближении, выглядит так:

  1. Регистрируют магазин/бистро/ресторан/торговую лавку в системе доставки еды или просто указывают доставщику, где именно он должен купить заказ.
  2. Покупают ворованную кредитную карту и привязывают к аккаунту.
  3. Через ворованную кредитную карту и приложение доставки еды, с ничего не подозревающим курьером, делают закупку в собственном магазине и ждут доставку продуктов.
  4. Отвозят продукты обратно, и так по кругу.

Естественно, схему я описал в первом приближении, и мошенники меняют рестораны, магазины и адреса доставки, но суть от этого не меняется. 

Дисклеймер и выводы

Данная публикация не несет в себе целью показать уязвимости в том или ином сервисе доставки еды или бронирования жилья. Не претендует и на роль исчерпывающего руководства по защите и предотвращению мошеннических действий.

Не может быть трактована как призыв или руководство к действию. Мошеннические операции с кредитными картами, использование чужих данных при бронировании отелей или доставке еды — абсолютно незаконны и являются уголовным преступлением.

Всеобъемлющий вывод заключается в том, что создателям антифрод систем, директорам, отвечающих за риски, и архитекторам нужно иногда спускаться в “подземелье”, чтобы посмотреть как можно использовать разработанные ими сервисы.

Теперь при проведении того же социотехнического тестирования (social engineering) мы и другие компании предлагают клиентам протестировать их сервисы еще и на предмет мошенничества в обход бизнес-логики.

Сегодня даже тестирование на проникновение без проверки бизнес-логики уже становится не полным. Бизнес не покупает шаблонные услуги, продажи идут, скорее, через бизнес-аналитиков, помогающих улучшить тот или иной процесс и предотвратить риски.

При создании сервиса доставки нужно продумывать не только основные риски, вроде “а не будут ли через нас доставлять наркотики”, но и другие риски незаконного использования сервиса в противоправной деятельности.

Источник: liga.net

Альфа-Банк внедряет технологию 3-D Secure для повышения безопасности операций по пластиковым картам в сети Интернет

Предоставляя Клиентам широкую линейку банковских продуктов, мы с особым вниманием относимся к сопутствующим сервисам, и в первую очередь – к безопасности Ваших денежных средств. Для этого ведется постоянная работа по внедрению новейших технологий, которые минимизируют возможные несанкционированные использования карточек Клиентов Альфа-Банка.

В целях обеспечения дополнительной безопасности операций с использованием пластиковых карт в сети Интернет с 18 декабря 2012 года Альфа-Банк внедряет технологию 3-D Secure (MasterCard® SecureCode™) для держателей пластиковых карт международной платежной системы MasterCard WorldWide: Maestro, MasterCard Standard и MasterCard Gold. Поддержка пластиковых карт международной платежной системы Visa International будет реализована позднее.

Технология 3-D Secure позволяет дополнительно аутентифицировать держателя пластиковой карты Альфа-Банка. При использовании этой технологии держатель карты подтверждает каждую операцию по своей карте специальным одноразовым паролем. Пароль приходит в виде SMS-сообщения от Альфа-Банка на мобильный телефон Клиента, подключенный к услуге «SMS-оповещение». Подробнее с услугой можно ознакомиться на странице «Технология 3-D Secure».

Для активации технологии 3-D Secure держателям пластиковых карт достаточно всего лишь подключиться к услуге «SMS-оповещение». Технология 3-D Secure активируется в течение одного банковского дня с момента подключения к услуге «SMS-оповещение» или изменения номера телефона, используемого для оказания услуги. Подключение и пользование данной технологией будет предоставляться бесплатно. Действующим держателям пластиковых карт MasterCard WorldWide, у которых подключена услуга «SMS-оповещение», технология 3-D Secure будет автоматически подключена 18 декабря 2012 г. 

В связи с появлением указанного функционала с 18.12.2012 вносятся изменения в Договор о комплексном банковском обслуживании физических лиц в ЗАО «Альфа-Банк». С изменениями можно ознакомиться здесь. С текстом договора с учетом изменений можно ознакомиться здесь.

Индивидуальную консультацию можно получить в любом отделении  Банка, а так же по телефонам Контакт-центра Альфа-Консультант: 8 801 100 64 64 (звонок со  стационарного телефона бесплатный) или +375 17 217 64 64.

Что такое 3D Secure и 3D SMS (3D пароль) от банка Россельхоз: подключение, использование

Что такое 3D secure простыми словами

Для безопасности владельцев пластиковых карт были внедрены следующие степени защиты:

  • CVV-код. Находится на оборотной стороне карты. Предназначается для подтверждения подлинности карт во время совершения покупки или снятия денег.

3D Secure – это двухфакторная аутентификация для авторизации владельца карты во время совершения платежа. Если простыми словами, то 3D Secure – это код, который приходит владельцу карты на телефон при оплате товара. Этим паролем пользователь подтверждает, что именно он и никто другой совершает платеж.

Технология основана на протоколе расширяемого языка разметки. Применяется для защиты онлайн-платежей с дебетовых и кредитных карт.

Она не защищает денежные ресурсы, лежащие на карте, как пин-код, вводимый при снятии денег с банкомата. Также технологию не следует путать с CVV-кодом на обороте карты.

Почему именно 3D

3D-Secure не означает, что оплата проводится в каком-то трехмерном пространстве. Этот термин произошел от общего сокращенного названия трех систем или доменов (англ. «3 D» – Three Domains, что переводится как «Три домена»), которые участвуют в процедуре обмена деньгами и обеспечивают защиту их перевода от владельца к продавцу. Ими являются:

  1. Домен эквайера – система продавца или банка, куда поступают деньги;
  2. Домен эмитента – система, которая выдала карту пользователю, совершающего платеж;
  3. Система, через которую проходит оплата, или домен совместимости. Он предоставляется системами Mastercard или Visa, поддерживающими технологию 3D-Secure.

Если технология подключена к карте ее держателя, то без ведома последнего провести платеж невозможно.

Как работает протокол

Работа протокола 3D Secure заключается в перенаправлении пользователя на страницу банка-эмитента, то есть банка, выпустившего карту. На этой странице пользователь должен будет ввести одноразовый код в специальное поле. Одноразовый пароль приходит по смс на номер телефона, привязанного к карте владельца.

Протокол будет задействован только в том случае, если услуга активирована.

Что это такое?

Не будем углубляться в технологические нюансы. Для рядового человека, расплачивающегося за покупки в интернете денежными средствами со своей пластиковой карты, достаточно будет наглядного примера.

Представьте, что вы присмотрели себе новую мышку для компьютера в интернет-магазине.

Недолго думая, добавляете товар в корзину и оформляете платеж:

  • вводите данные по своему адресу;
  • номер карты и срок ее действия;
  • код CVV2 на обратной стороне карточки.

Если сайт поддерживает указанную выше технологию, то вдобавок ко всем уже введенным данным потребуется ввести и пароль 3-D Secure. В противном случае банк отклонит запрос на списание денежных средств, и у вас не получится оплатить выбранную вами позицию.

Интернет-магазины и поставщики услуг, принимающие онлайн-платежи по этой технологии, всегда размещают на своей главной странице соответствующие логотипы с указанием используемого протокола.

Интернет-магазины и поставщики услуг, принимающие онлайн-платежи по этой технологии, всегда размещают на своей главной странице соответствующие логотипы с указанием используемого протокола.

Не путайте с кодом CVV2: многие владельцы пластиковых карточек «Беларусбанка» (и не только) ошибочно принимают код проверки подлинности CVV2, находящийся на оборотной стороне карты, за тот самый 3-D Secure – и искренне недоумевают, когда система отказывает в оплате. Если при этом у них подключено SMS-оповещение, то на мобильный номер приходит вот такое сообщение:

Как подключить 3D Secure

Функция является бесплатной. Если у пользователя данная услуга не подключена, то он ее может активировать одним из способов:

Примеры банков, которые подключают карты к 3D Secure:

Наименование банкаПодключение Стоимость подключенияЕжемесячная комиссия
СбербанкАвтоматическое, при получении картыБесплатноНет
ТинькоффАвтоматическое, при получении картыБесплатноНет
ВТБ 24По заявлению владельца, через онлайн-банкингБесплатноНет, взимается единоразовая плата за входящее смс с баланса телефона

Обратившись в офис местного филиала банка

Подключение этой услуги осуществляется бесплатно. Владельцу карты необходимо сделать следующее:

По телефону

Подключить услугу можно по телефону, не выходя из дома. Например, для Сбербанка:

Через банкомат

Чтобы осуществить подключение через банкомат, пользователю необходимо будет позвонить в банк и узнать о том, есть ли функция 3D на у его карты. Если ответ положительный, то владелец может смело отправляться в ближайший банкомат и подключать услугу.

Теперь динамичные коды для оплаты посредством технологии 3D Secure будут приходить на телефон при проведении платежа.

Через онлайн-банкинг

Подключить услугу можно в личном кабинете Сбербанка или любого банка, поддерживающего технологию. Будет показано на примере Сбербанка:

1 Открыть главную страницу банка и войти в личный кабинет.

2 Нажать на вкладку «Карты».

3 В выпавшем меню выбрать «Подключение 3D Secure».

Что такое 3D Secure и 3D смс (3D пароль): область применения

Технология безопасных транзакций 3D-Secure изначально была разработана специалистами VISA, и в настоящий момент, с некоторыми изменениями, используется всеми крупнейшими мировыми платежными системами.

Она предназначена для дополнительной защиты операций с банковскими картами, выполняемыми без использования пластика (например, при оплате покупок в интернет-магазинах или выполнении онлайн перевода с карты на карту).

Как работает 3D-Secure

При использовании протокола 3D-Secure повышение безопасности транзакций достигается за счёт добавления дополнительного шага авторизации.

  • На первом этапе производится проверка переданных при заполнении формы оплаты реквизитов карты: номера, срока действия, имени держателя, кодов безопасности (CVV2/СVC2 и аналогичных).
  • На втором шаге, собственно, и являющимся реализацией протокола 3D-Secure, на сайте продавца покупателю показывается форма проверки кода (подтверждения), которая генерируется банком-эмитентом карты.

Обмен информацией осуществляется между покупателем и платежным сервером банка, продавец не имеет доступа к данным, что гарантирует высокую степень защиты операций.

Технология получила название 3D (3 Domain) Secure благодаря именно такой реализации протокола обмена с участием 3 онлайн сервисов:

  • продавца для ввода реквизитов карт;
  • платежной системы для транзита данных;
  • банка-эмитента карты для авторизации.

В настоящее время в платежных системах используются модифицированные версии технологии и ее аналоги: Verified by VISA (VbV), MasterCard SecureCode (MCC) или MasterCard ID Check, I/Secure (JCB International), MirAccept 2.0 (МИР).

3D-пароль и 3D-СМС

Код вводимый держателем карты для в форме подтверждения получил название 3D-пароль.

Клиент может работать с:

  • Одноразовым 3D-паролем, который передается в СМС на привязанный к карте номер телефона (или номер телефона, к которому подключена услуга). Сообщение с одноразовым паролем получило называют 3D-СМС (нередко такое название распространяется на весь способ подтверждения с карточных транзакций одноразовыми паролями).
  • 3D-паролем, сгенерированным программными средствами и хранящемся на платежном сервере банка для многократного использования в течение определенного отрезка времени.
  • Кодом, полученным при использовании аппаратных средств.

Для подтверждения транзакций используются 3D-СМС с одноразовыми паролями или 3D-пароли для многократного использования.

статьи по теме

Дебетовые банковские карты Россельхозбанка: список, затраты, бонусы, особенности

Кредитные банковские карты Россельхозбанка: список, затраты, бонусы, особенности

Как пользователю узнать о подключении карты к технологии защиты 3D Secure

Не все банки используют данную технологию, так как обслуживание этой функции – дорогостоящее. Финансовые организации, которые работают более 10 лет и имеют развитую розничную сеть (Сбербанк, Альфа-банк, ВТБ и другие известные банки), регулярно встраивают ее по умолчанию в выпускаемые карты.

Подключение к ней осуществляется сразу после получения и активации. По международным предписаниям карты Visa и Mastercard наделяются услугой по умолчанию.

Узнать, присутствует ли на карте пользователя эта функция или нет, владелец может двумя способами:

Читайте также:  Что такое Яндекс Деньги, как создать Яндекс Кошелек и как им пользоваться + выгоды, фишки и хаки

Что такое Liability Shift

Использование 3D Secure по карте не исключает доступ к счету со стороны третьих лиц. При утрате денежных средств кто-то должен понести ответственность. Клиенты, в первую очередь, возлагает всю вину на банк, который может применить Liability Shift — перенос ответственности. Эта процедура подразумевает, что банк может оспорить транзакцию, и вернуть деньги на счет клиента. Для этого необходимо:

  • Наличие опции 3D Secure на карте.
  • Отсутствие технологии в интернет магазине — когда торговая точка работает без дополнительной аутентификации клиента.

Если мерчант (торгово-сервисное предприятие) не проводит дополнительную аутентификацию покупателей, и кто-то воспользуется ворованной картой, то банк-эмитент может перенести ответственность на интернет-магазин по требованиям, которые ему (банку) предъявляет клиент.

Причина этого: банк позаботился о безопасности счетов своих клиентов, а магазин — нет. Следовательно, конечная вина может быть возложена на мерчанта. Но для этого держатель карты должен предпринять первичные действия — обратиться с требованиями о возврате суммы к банку-эмитенту, а также доказать, что операция совершена несанкционированно.

Интересные факты о безопасности

Интернет-магазин, который не поддерживает стандарт 3D Secure, не несет ответственность за безопасность платежа. Поэтому ответственность ложится на банк, выпустивший карту.

Однако, если пользователь подтвердил платеж динамичным кодом, пришедшим в смс, вся ответственность перекладывается на владельца. Если карта и пароль все-таки оказались в руках мошенника, законному владельцу не удастся доказать, что не он проводил платеж.

Все динамичные пароли, которые приходят по смс при проведении платежа, после введения в соответствующее поле и оплаты становятся недействительными. Они также имеют ограниченный срок действия: обычно это 5 минут. Эти коды не следует разглашать третьим лицам.

Например, владельцу карты приходит сообщение на почтовый ящик с предложением пройти по ссылке и забрать некий выигрыш. При этом он должен ввести данные своей  карты, якобы чтобы получить деньги. Этого делать не стоит, так как компьютерная программа считает информацию карты пользователя, а потом использует в собственных целях.

Не рекомендуется оплачивать онлайн-покупки в общественных местах. В видеонаблюдении могут работать недобросовестные люди и следить за информацией, которую вводит держатель карты.

Проблемы с безопасностью при наличии 3D Secure

Часть держателей банковских карт совершенно ошибочно полагают, что наличие технологии 3D Secure полностью исключает несанкционированный доступ к счету. Подобное заблуждение часто приводит к непоправимым последствиям.

Дело в том, что некоторые интернет-магазины и прочие торговые площадки не поддерживают данную технологию безопасности. Покупки на этих ресурсах совершаются без аутентификации клиента.

По такому сценарию любой человек, знающий номер карты, инициалы держателя, срок действия и защитный код, может сделать покупку по карте в обход разрешения со стороны законного держателя. И подобных случаев встречается масса. Наличие 3D Secure никак не влияет на такие проблемы. За год с банковских карт пропадает огромная сумма, и вопрос сохранности средств пока для банков остается открытым.

Узнать, поддерживает ли интернет-магазин технологию безопасности можно на его титульной странице. Здесь должны быть отображены логотипы Mastercard Secure Code, Verifled by VISA, МИР Accept (для пользователей из Российской Федерации). Если соответствующих обозначений на сайте интернет-магазина нет, значит, покупки здесь производятся без дополнительной аутентификации клиентов.

Платеж с помощью 3D Secure (подробная инструкция)

Совершить платеж в магазинах, где предусмотрена эта система безопасности, можно следующим образом. Такие онлайн-магазины помечаются специальными логотипами:

Предположим, владелец карты желает купить сумку в интернет-магазине.

1 Он выбирает товар и переходит на страницу оплаты.

2 Вводит информацию со своей карты для проведения платежа.

3 Пользователя перенаправят на страницу для ввода специального кода. На странице дана краткая информация, окно для ввода динамичного кода и логотип банка-эмитента.

4 Теперь держателю карты предстоит ввести одноразовый код, который придет на номер телефона, привязанный к карте.

При совпадении динамичного кода, пришедшего на телефон, и введенного пользователем платеж поступит в обработку и произойдет снятие указанной суммы с карточки.

Динамичный код не следует показывать третьим лицам. Вводить его нужно тому человеку, которому он пришел на телефон. Об этом предупредит смс с кодом.

Что такое 3D Secure?

Технология 3D Secure – это технология дополнительной защиты и подтверждения онлайн-платежей с помощью карты. Она была разработана для платёжной системы Visa, а со временем была принята и платёжной системой Mastercard. Со всеми платёжными системами технология работает одинаково, различаются лишь названия:

  • Masterсard Secure Code
  • Verified by Visa
  • БЕЛКАРТ-ИнтернетПароль

Интернет-магазины и сервисы, участвующие в программе, можно узнать по наличию этих логотипов на сайте. Правда, в случае с карточками БЕЛКАРТ, это могут быть только интернет-магазины, зарегистрированные в Беларуси.

Технология 3D-Secure обеспечивает дополнительную безопасность при оплате покупок и услуг в Интернете – клиенту приходит СМС-сообщение с проверочным кодом, благодаря чему подтверждается личность плательщика. Термин «3D-Secure» (Three-Domain Secure) переводится как трех-доменная защита, имеются в виду три домена (участника):

  • Банк-эмитент
  • Банк-эквайер
  • Платежная система

В результате проверка 3D Secure позволяет одновременно идентифицировать плательщика и сообщить ему о проведении платёжной операции. При этом, даже если платеж совершает другой человек, это становится возможным только с ведома держателя карты.

Белорусские банки, как правило, подключают 3D Secure по умолчанию ко всем картам платёжных систем Visa и Mastercard, так как международные правила платежных систем обязывают все банки предоставлять клиентам доступ к этой технологии. Если для вашей карты не предусмотрена возможность оплаты покупок в сети, то и технологии 3D Secure у нее не будет.

Как подключить и отключить 3D Secure на карте

3-DS в большинстве случаев подключается по умолчанию. Клиент для этого не совершает никаких действий. После активации карты технология начинает действовать в автоматическом режиме. При этом в некоторых банках подключать опцию необходимо вручную. Делается следующими способами:

  • Через банкомат.
  • В офисе банка.
  • В интернет-банкинге.
  • По телефону.

К примеру, у Сбербанка, Тинькофф Банка, Альфа-Банка и других крупных кредитных организаций технология подключена по умолчанию. Клиенту для ее активации никаких действий совершать не нужно. У Промсвязьбанка и ВТБ услуга подключается клиентом самостоятельно.

Отключение опции в ряде случаев не предусматривается. У Сбербанка ранее можно было подключать и отключать технологию безопасности в Сбербанк Онлайн. Сейчас, по современным картам, деактивация по желанию клиента не производится.

Как подключить?

Для того, чтобы успешно совершать покупки или оплачивать услуги на сайтах, нужно сперва подключить пароль 3-D Secure – для клиентов «Беларусбанка» такая возможность предоставлена в формате интернет-банкинга и мобильного приложения М-банкинг. Отметим сразу: она полностью бесплатна.

Способ 1: через интернет-банкинг

1. Сперва авторизуйтесь в системе. На главной странице кликните по «Счетам с карточкой». Или пройдите к этому разделу через вкладку «Счета».

2. Выберите «Дополнительные услуги» и соответствующую опцию справа. Как правило, в списке услуг она идет первой.

3. Кликните по кнопке «Регистрация».

4. Укажите ту платежную карту, к которой планируете подключить пароль.

5. Придумайте пароль. Его вы и будете использовать для успешного проведения оплаты за выбранные товары и услуги. Также укажите желаемое приветствие.

Не забудьте о секретном вопросе: если вы забудете свой пароль, то сможете его восстановить, дав верный ответ на вопрос.

Затем жмите «Зарегистрировать».

Способ 2: через М-банкинг

1. Зайдите в приложение и на главной странице в разделе «Платежи и переводы» выберите нужную функцию.

2. Нажмите на «Регистрацию».

3. Все остальные действия выполняются по аналогии с предыдущим способом: подберите комбинацию, приветствие, секретный вопрос. После этого регистрируйтесь. Не забывайте о правилах подбора – система не пустит вас дальше, если выбранная вами комбинация не будет соответствовать заявленным критериям.

Как подключить или отключить 3D Secure?

Если вы не уверены в том, что к вашей карте подключен 3D Secure, достаточно просто позвонить в контакт-центр своего банка. Так же по звонку можно подключить услугу, если это не было сделано автоматически и если ваша карта поддерживает платежи в интернете.

Отключение может понадобиться в том случае, если вы уезжаете за границу и ваш номер телефона будет недоступен. Однако даже в этом случае нужно помнить, что банк может отказать в отключении этой технологии защиты. В случае с подключением – наоборот, отказывать банк не имеет права, так как это нарушит правила платёжных систем. Кстати, если у вас изменился номер телефона – это ещё одна причина сообщить банку новые данные, чтобы наверняка получать СМС с кодами подтверждения операций.

При подключении помните, что 3D Secure – это бесплатная технология. Независимо от банка, который выпустил карту, платёжные системы обязывают банки предоставлять технологию бесплатно.

Как подключить услугу 3D sms (смс) к карте банка Россельхоз: инструкция по подключению услуги

Для подтверждения транзакций одноразовыми паролями, рассылаемыми Банком в SMS-сообщениях необходимо включить режим 3D-СМС для 3D-паролей.

Произвести действие можно в устройствах самообслуживания Банка.

Через банкомат

Для подключения услуги 3D-СМС в банкомате/информационно-платежном терминале:

  • В главном меню банкомата перейти в раздел «Услуги банка» (в терминале – «Другие»).
  • Выбрать пункт «3D-пароль».
  • В открывшемся окне выбрать «3D-смс».
  • Нажатием кнопки «Продолжить» подтвердить согласие на подключение услуги «3D-СМС» к всем картам пользователя.
  • Ввести номер телефона для получения SMS с одноразовым кодом подтверждения.
  • Подтвердить операцию вводом ПИН-кода.

На указанный номер телефона (и на привязанный к карте для получения уведомлений, если они отличаются) будет отправлен сообщение о регистрации услуги.

В сообщении указывается дата и время выполнения операции, последние 4 цифры номера карты, использовавшейся для авторизации, номер телефона, зарегистрированного для получения 3D-СМС.

Через интернет

Других вариантов подключения услуги 3D-СМС, корме использования устройств самообслуживания, Россельхозбанк не предлагает.

Активировать услугу рассылки одноразовых паролей в режиме онлайн (с официального сайта Банка или других ресурсов) или в программах дистанционного банковского обслуживания не получится.

Затраты на использование услуги получения 3D пароля (3D Secure)

Использование 3D-Secure является неотъемлемой частью обслуживания банковских карт Россельхозбанка, поддерживающих технологии безопасных транзакций. Соответственно, клиент не несет дополнительных расходов.

Стоимость подключения

Подключение услуги получения 3D-паролей в любом виде (многоразовых или 3D-СМС) производится бесплатно.

Стоимость использования

Генерация, рассылка и использование клиентом 3D-паролей для подтверждения карточных транзакций – бесплатны.

Единственные расходы держателя карты могут быть связаны с отправкой запроса на получение 3D-СМС для авторизации. В этом случае сообщение на номер РСХБ +7 903 767 20 90 оплачивается в соответствии с тарифами операторов мобильной связи.

Что такое технология 3D Secure

3D Secure — это разновидность XML-протокола, который используется в виде дополнительного уровня безопасности при совершении операций с банковскими картами в интернете. Протокол предусматривает проведение двухфакторной аутентификации клиента до завершения транзакции.

Впервые 3D Secure использовалась компанией VISA в рамках пакета услуг Verifled by VISA (VBV). Основная цель работы с протоколом — повышение уровня безопасности банковских карт при совершении операций в онлайне. Протокол применяется по кредитным и дебетовым картам.

Позже, пакет услуг стали применять все крупнейшие мировые платежные системы. Подключение производилось компаниями в следующем порядке:

  • Mastercard — Mastercard Secure Code (MCC).
  • JCB International — J/Secure.
  • Amex — Safe Key.
  • НСПК МИР — МИР Accept.
  • American Express — American Express Safe Key.

Национальная система платежных карт МИР подключилась к 3D Secure в 2016 году. Сейчас все банковские карты выпускаются с подключенным по умолчанию пакетом. Отключить его нельзя — услуга оказывается бесплатно, вне зависимости от наименования банковской карты.

Протокол 3D Secure не следует рассматривать как 100% гарантию сохранности средств на счете. Он всего лишь предусматривает дополнительный шаг со стороны клиента при совершении CNP-операций (card not present) — когда не предъявляется карта.

Практика показала, что разовый код может быть перехвачен мошенниками: достаточно подвергнуть устройство воздействию вируса или вредоносного программного обеспечения. Технология снижает вероятность применения фишинга, но не исключает ее полностью.

Расшифровка термина

Инструмент получил такое наименование по причине одновременной работы трех доменов сразу (отсюда и название 3-D). Первый — домен продавца и кредитной организации, в которую перечисляются деньги. Второй — домен эмитента, выпустившего банковскую карту. Третий — домен совместимости (Interoperability Domain), предоставляемый платежной системой для поддержки работы протокола безопасности 3D Secure.

Сколько действует 3D пароль

Срок действия 3D пароля задается пользователем или программой генерации. В каждом в каждом случае получения пароля срок действия доводится до пользователя в обязательном порядке.

  • При получении на телефон 3D-СМС одноразовый пароль действительно в течение 15 минут (срок действия указан в тексте сообщения).
  • При получении пароля через банкомат срок действия соответствует выбранному пользователем — 1, 3 или 5 дней (д 23:59:59 МСК следующего, третьего или пятого дня после дня получения пароля). Время окончания действия указано на чеке.
  • При генерации пароля в системе дистанционного банковского обслуживания срок действия указывается в информационном сообщении на экране.

В связи с новыми тарифами по обслуживанию, карты Россельхозбанка мы не рекомендуем к оформлению. Вместо них рекомендуем карту Tinkoff Black!

Карта Tinkoff Black

  • 5% годовых на остаток;
  • Кэшбек до 30%;
  • Доставка и обслуживание от 0 ₽
  • Снятие в любых банкоматах без комиссии

Как работает 3D Secure

При совершении операции в интернете, держатель карты, поддерживающей технологию 3D Secure проходит аутентификацию в два этапа. Протокол не нужно путать с кодами безопасности CVV2 и CVC2. Использование протокола производится следующим образом:

  1. Клиент завершает оформление операции, и нажимает на кнопку «Оплатить».
  2. Банк высылает разовый пароль (числовой код), который вводится в форму подтверждения платежа.

Если код указывается неверно, эмитент блокирует проведение транзакции. Как правило, разовый код 3D Secure состоит из шести случайных чисел, которые генерируются отдельно по каждой операции. Протокол работает на телефонах, смартфонах, персональных компьютерах, и все остальных устройствах.

У некоторых банков действует правило, согласно которому 3-5 раз неверно введенный код приводит к автоматической блокировке банковской карты. Таким образом, эмитент исключает доступ к карте со стороны третьих лиц.

Числовой код отправляется в виде СМС-сообщения, либо другим способом. Отдельные кредитные организации используют в этих целях push-уведомления. Для совершения операции необходимо иметь при себе телефон, привязанный к карте. За отправку кода плата не взимается.

3D Secure с многоразовым паролем

По некоторым картам технология 3D Secure используется виде многоразового пароля. Его клиент получает при активации карты. Этот вариант намного экономичнее, чем отправка числового кода, но уровень безопасности при его использовании еще ниже.

По стандартной схеме мошенникам потребуется перехватить одноразовый числовой код, либо завладеть телефоном держателя карты. Намного проще получать доступ к счету, когда по всем транзакциям используется один и тот же пароль.

Достаточно узнать этот самый пароль, чтобы по карте совершать практически любые операции. В этом виде технология используется небольшими банками, продукты и услуги которых не пользуются хорошим спросом у потребителей. Причина заключается в дороговизне подключения XML-протокола.

Как отключить функцию

3-D Secure

Дополнительный код для совершения платежей в интернете является приоритетным средством для безопасных расчетов и его отключение не желательно. Более того, если функция отключается пользователем оплатить товары и услуги через интернет становится невозможным, о чем появляется информация при деактивации 3D-пароля.

Тем, кто решил отказаться от использования 3D-кода необходимо:

Зайти в личный кабинет или приложение М-банкинг в меню выбрать раздел, в котором подключается функция, но вместо кнопок «Регистрация» необходимо нажать «Отмена регистрации» – для личного кабинета на сайте банка или «Удаление» – для мобильного приложения.

Активировать 3D-заново можно в любое время, если заново пройти регистрацию.

Как получить 3D пароль Россельхозбанка

Держатель банковского пластика Россельхозбанка может получить код (3D- пароль) для подтверждения карточная транзакции несколькими способами.

По SMS

Для получения одноразового пароля в рамках услуги 3D-СМС необходимо:

  • С номера телефона, для которого подключена услуга 3D-СМС отправить на номер +7 903 767 20 90 запрос вида 3DPASSХХХХ, где ХХХХ – четыре последние цифры номера карты, с которой выполняется транзакция.
  • Получить ответное сообщение в котором указывается одноразовый 3D-пароль, дата и время отправки сообщения (генерации пароля), срок действия, четыре последние цифры номера карты для которой он действителен.

Использовать полученный пароль для подтверждения транзакций по другим картам не допускается.

В банкомате

Использование банкоматов или информационно-платежных терминалов многоразовые 3D-пароли с выбранным пользователям сроком действия.

Для выполнения операции необходимо:

  • Вставить пластик в картоприемник и ввести ПИН-код для авторизации.
  • В главном меню банкомата перейти в раздел «Услуги банка» (в терминале – «Другие»).
  • Выбрать пункт «3D-пароль».
  • Из доступных действий выбрать «3D-пароль».
  • Указать необходимый срок действия (выбрать вариант 1 день, 3 дня, 5 дней).
  • Подтвердить операцию вводом ПИН-кода.
  • Получить чек с паролем.

На чеке указывается маскированный (видны 6 первых и 4 последних цифры) номер карты для которой действителен выданный код (невозможно использовать для подтверждения транзакции по другим картам), 3D-пароль (пароль для операций) и его срок действия.

В приложении «Мобильный банк»

В системе дистанционного банковского обслуживания сервисы «Интернет банк» и «Мобильный банк» позволяют сделать пароль для многократного использования при подтверждении карточных транзакций.

Для этого необходимо:

  • В разделе «Карты» выбрать необходимый карточный продукт.
  • Нажать на кнопку «Все действия».
  • Выбрать в появившемся меню ссылку «Получить 3D-пароль».
  • Подтвердить операцию выбранным в системе способом.

В результате в окне приложения будет выведено информационное сообщение с 3D-паролем для расчетов в интернет, сроком его действия и маркированным (видны первые шесть и последние четыре цифры) номером карты, для которой он действителен (для других карт использовать невозможно).

При подключённой услуге 3D-СМС генерация пароля невозможна (ссылка будет неактивной).

Используемые источники:

  • https://myrouble.ru/3d-secure/
  • https://finbelarus.com/3d-secure-belarusbank/
  • https://rosscards.info/ispolzovanie/rosselhozbank-3d-secure-sms-parol.html
  • https://brobank.ru/chto-takoe-3d-secure/
  • https://mtblog.mtbank.by/tryohstoronnyaya-zashhita-3d-secure-na-strazhe-bezopasnosti-vashih-deneg/
  • https://ibanking.by/3d-secure-belarusbank

хакеров делятся методами обхода 3D Secure для платежных карт

Киберпреступники постоянно изучают и документируют новые способы обхода протокола 3D Secure (3DS), используемого для авторизации онлайн-транзакций по картам.

Обсуждения на подпольных форумах предлагают советы о том, как обойти последний вариант функции безопасности, сочетая социальную инженерию с фишинговыми атаками.

Люди на нескольких форумах в даркнете делятся своими знаниями о совершении мошеннических покупок в магазинах, в которых реализована 3DS для защиты транзакций клиентов.

3DS добавляет уровень безопасности для онлайн-покупок с использованием кредитных или дебетовых карт. Для авторизации платежа требуется прямое подтверждение от владельца карты.

Эта функция эволюционировала из первой версии, когда банк запрашивал у пользователя код или статический пароль для подтверждения транзакции. Во второй версии (3DS 2), разработанной для смартфонов, пользователи могут подтвердить свою покупку, аутентифицируясь в своем банковском приложении, используя свои биометрические данные (отпечаток пальца, распознавание лиц).

Несмотря на расширенные функции безопасности, которые предоставляет 3DS 2, первая версия все еще широко используется, давая киберпреступникам возможность использовать свои навыки социальной инженерии и обманом заставить пользователей дать код или пароль для подтверждения транзакции.

Социальная инженерия получает код 3DS

Сегодня в блоге аналитики компании Gemini Advisory по анализу угроз делятся некоторыми методами, которые киберпреступники обсуждают на форумах дарквеба для совершения мошеннических покупок в интернет-магазинах, в которых реализована 3DS.

Все начинается с полной информации о держателе карты, которая включает как минимум имя, номер телефона, адрес электронной почты, физический адрес, девичью фамилию матери, идентификационный номер и номер водительских прав.

Киберпреступники используют эти данные, чтобы выдать себя за сотрудника банка, звонящего клиенту для подтверждения своей личности. Предлагая некоторую личную информацию, они завоевывают доверие жертвы и запрашивают ее пароль или код для завершения процесса.

Та же тактика может работать на более поздних вариантах 3DS и делать покупки в режиме реального времени.Хакер описал этот метод в сообщении на одном из ведущих подпольных форумов.

Используя полную информацию о держателе карты, устройство смены голоса и приложение для подделки телефонного номера, мошенник может инициировать покупку на сайте, а затем позвонить жертве, чтобы получить необходимую информацию.

«На последнем этапе хакер сообщает жертве, что она получит код подтверждения для окончательной проверки личности, после чего киберпреступник должен разместить заказ в магазине; когда будет предложено ввести проверочный код, который был отправлен на телефон жертвы , мошенник должен получить этот код у жертвы «Gemini Advisory

Получить код 3DS можно и другими способами, например с помощью фишинга и инъекций.Когда жертва совершает покупку на фишинговом сайте, преступники передают все данные в законный магазин, чтобы получить свой продукт.

Согласно выводам Gemini Advisory, некоторые киберпреступники также добавляют данные украденных кредитных карт в учетную запись PayPal и используют их в качестве способа оплаты.

Другой метод является классическим и включает в себя взлом телефона жертвы с помощью вредоносного ПО, которое может перехватить код безопасности и передать его мошеннику.

Кроме того, многие магазины не запрашивают код 3DS, когда транзакции ниже определенного лимита, что позволяет мошенникам совершать несколько небольших покупок.

Большинство этих методов работают там, где присутствуют более ранние версии 3DS. С 3DS 2 еще далеко до широкого распространения. Европа возглавляет переход к более безопасному стандарту (регулирование PSD2 — строгая аутентификация клиентов, выполняемая с помощью 3DS 2), в то время как в США защита от ответственности за мошенничество для продавцов, использующих 3DS 1, истекает 17 октября 2021 года.

Однако Gemini Advisory полагает, что киберпреступники также нанесут удар по более защищенной 3DS 2 с помощью социальной инженерии.

киберпреступников находят способы обойти систему предотвращения мошенничества «3D Secure»

киберпреступники находят способы обойти систему предотвращения мошенничества «3D Secure» | Новости ИТ-безопасности


Исследователи безопасности из компании Gemini Advisory по анализу угроз говорят, что они наблюдали действия в темной сети, связанные с обходом 3D Secure (3DS), который предназначен для повышения безопасности онлайн-кредита и дебетования. карточные операции.

подробнее


Нравится:

Нравится Загрузка…

Связанные

Теги: SecurityWeek RSS Feed

Android-приложение

Android-приложение с push-уведомлениями

Спонсоры

Endpoint Cybersecurity

www.endpoint-cybersecurity.com

— Консультации по созданию продуктов безопасности
— Обучение сотрудников
— Тесты безопасности приложений и тестирование на проникновение
… и многое другое.

Ежедневная сводка

Категории

Категории Выберите категорию (ISC) 2 Блог (323) (ISC) 2 Блог infosec (13) (ISC) ² Блог (393) 2020-12-08 — Файлы для дневника ISC (недавняя активность Qakbot ) (1) 2020-12-11 — Быстрое сообщение: TA551 (Shathak) подталкивает IcedID (2) 2020-12-14 — Быстрое сообщение: заражение Hancitor с помощью Cobalt Strike и Ficker Stealer (1) Путешествие в безопасность (5) A Путешествие по безопасности (143) Сайт WordPress (1) Блог группы реагирования на инциденты безопасности продуктов Adobe (PSIRT) (141) Блог группы реагирования на инциденты безопасности продуктов Adobe (PSIRT) infosec (5) Advanced Persistent Security (70) Все статьи и блоги ( 912) Arbor Networks Threat Intelligence (48) Arbor Threat Intelligence (49) Arbor Threat Intelligence infosec (4) Ars Technica (1374) Ars Technica »Информация об оценке рисков (31) Статьи в ComputerworldUK infosec (3) BankInfoSecurity.com RSS Syndication (40) Блог с рейтингами безопасности BitSight (347) Блог с рейтингами безопасности BitSight infosec (19) BleepingComputer (4 744) Блог (175) Блог | Блог Avast EN (803) | Imperva (232) Блог — Stealthbits Technologies (3) blog.avast.com EN (23) Список блогов с категориями — CipherCloud (13) Блог о безопасности данных BreachAlarm (66) Блог о безопасности данных BreachAlarm infosec (11) Breaking Malware (220) BrightPlanet (223) Информационная безопасность BrightPlanet (7) Технический углерод (191) Блог Carnal0wnage & Attack Research (59) Поставщики CASB | Компании облачной безопасности | CipherCloud (2) CC 2017 (14) Блог центра безопасности в Интернете (33) Блог центра безопасности в Интернете infosec (1) Недавно опубликованные заметки об уязвимостях CERT infosec (5) Блог Check Point (396) Программное обеспечение Check Point (499) Программное обеспечение Check Point Блог (110) Новостные приложения CHMag (1152) Информационные сообщения CHMag News (580) CipherCloud (81) Информационные сообщения CipherCloud (3) CipherCloud | Платформа CASB + | Корпоративная облачная безопасность (2) CircleID: Cyberattack (72) CircleID: Cybercrime (238) CircleID: Malware (7) CISA Все продукты NCAS (878) Канал CISA TIPS (2) Блог Cisco »Информационная безопасность (14) Блог Cisco Umbrella (10 ) Confiant — Medium (32) Корпоративный блог (2196) Корпоративный блог infosec (28) CSO Online (2058) CUInfoSecurity.com RSS Syndication (76) Cyber ​​Defense Magazine (1393) Cyber ​​Defense Magazine infosec (33) Cyber ​​Secure Car (1) Cyber ​​Security Buzz (237) Cyber ​​Security News (2) Cyber ​​Security Review (79) Cyber ​​Security — American Security Today (Кибербезопасность — американская безопасность сегодня) ( 229) Кибербезопасность — Обзор компьютерного бизнеса (400) Блог Cyber ​​Trust Infosec (1) Блог Cyber ​​Trust »Облачные вычисления (2) Блог Cyber ​​Trust» Информационная безопасность облачных вычислений (3) Блог Cyber ​​Trust »Кибербезопасность (2) Блог Cyber ​​Trust» Кибербезопасность infosec (7) CyberCrime & Doing Time (75) Cybereason (51) Cybersecurity (1393) Cybersecurity infosec (13) Cybersecurity Insiders (3770) Cybersecurity — Cyber ​​Trust Blog (1) Cylance Blog (993) Cyphort infosec (1) CYREN Blog RSS Лента (47) Блог CYREN RSS Feed infosec (4) Блог Cyveillance — Блог Cyber ​​Intelligence infosec (8) Блог Cyveillance — Блог Cyber ​​Intelligence (13) Блог Cyveillance — Блог Cyber ​​Intelligence infosec (19) ежедневный обзор (703) Темный Чтение: (4713) Darkmatters infosec (19) Darknet (30) Darknet — Информационная безопасность Darkside (2) Darknet — The Darkside (241) Darknet — Информационная безопасность Darkside (13) DataBreachToday.com RSS Syndication (49) Защита от DDoS-атак (16) Deeplinks (600) Deeplinks infosec (181) Системы защиты: Все статьи (384) Digital Guardian (932) Digital Guardian infosec (50) Duo Security Bulletin (149) Duo Security Bulletin infosec (24) DZone Security Zone (1307) E Hacking News — Последние новости хакеров и новости IT-безопасности (2593) E Hacking News — Последние новости хакеров и новости IT-безопасности infosec (50) Endpoint Cybersecurity (377) Engadget RSS Feed (26) Английский — We Live Security (88) Английский — WeLiveSecurity (112) Enterprise Mobility + Security (94) Статьи Enterprise Mobility + Security (119) Errata Security (56) Errata Security infosec (16) esecurityplanet (2) eSecurityPlanet RSS Feed (1094) eSecurityPlanet RSS Feed infosec (66) Все сообщения в блогах — Платформа CISO (417) F-Secure Antivirus Research Weblog infosec (2) Facecrooks (482) FCW: Бизнес федеральных технологий (3 227) Блог Fortinet (50) Информационная безопасность блога Fortinet (31) Блог Fortinet | Последние сообщения (902) Блог Fox-IT International (31) Блог Fox-IT International infosec (2) GBHackers On Security (2265) GCN: Новости и блоги (2392) GCN: Новости, объяснения, аналитика (2027) Блог GFI (29 ) GFI Blog infosec (26) Gizmodo (228) Google Online Security Blog (160) Google Online Security Blog infosec (7) GuardiCore — Data Center and Cloud Security (3) guest (1) Hacker Combat (78) Hacker News — ScienceDaily ( 124) Новости о взломах — ScienceDaily infosec (16) HACKMAGEDDON (161) HACKMAGEDDON infosec (9) HackRead (891) Были ли у меня обнаружены последние нарушения (249) Были ли меня арестованы? последние нарушения (239) Меня ограбили? последние нарушения infosec (13) Блог безопасности HEAT (19) Блог безопасности HEAT infosec (5) Блог безопасности Heimdal (1140) Блог безопасности Heimdal infosec (18) Help Net Security (10 006) Help Net Security infosec (350) HITBSecNews — Сохранение знаний свободными на протяжении десятилетия (870) HITBSecNews — Сохранение знаний свободными на протяжении десятилетия infosec (311) HolisticInfoSec (28) HolisticInfoSec infosec (2) HolisticInfoSec ™ (62) HOTforSecurity »Новости отрасли информационная (23) http: // blog.idwatchdog.com/index.php/feed/ (47) http://blogs.cisco.com/rss/security/ (213) http://blogs.rsa.com/feed/ (106) http: // facecrooks .com / feed / (496) http://feeds.arstechnica.com/arstechnica/security (300) http://feeds.feedburner.com/darknethackers (225) http://feeds.feedburner.com/Imperviews ( 190) http://feeds.feedburner.com/TalkTechToMe-All (169) http://feeds.trendmicro.com/Anti-MalwareBlog/ (207) http://holisticinfosec.blogspot.com/feeds/posts/default (36) http://news.netcraft.com/feed (77) http: // news.softpedia.com/newsRSS/Security-5.xml (883) http://packetstormsecurity.org/headlines.xml (600) http://rss.juniper.net/f/100001s481stb5hvl0q.rss (35) http: // securityblog.redhat.com/feed/ (43) http://venturebeat.com/category/security/feed/ (15) http://welivesecurity.com/feed/rss (22) http: //www.ciphercloud. com / feed / (1) http://www.eff.org/rss/updates.xml (1165) http://www.europol.europa.eu/rss_news_feed (228) http://www.hotforsecurity.com / blog / category / industry-news / feed (348) http: //www.infosecurity-magazine.com / rss / news / 76 / application-security / (4478) http://www.intezer.com/feed/ (105) http://www.lawfareblog.com/rss.xml (2095) http: // www.secmaniac.com/feed/ (16) http://www.techweekeurope.co.uk/category/security/feed (27) https://americansecuritytoday.com/category/itsecurity/cybersecurity/feed (15) https : //blog.css-security.com/blog/rss.xml (121) https://blog.syscall.party/feed (2) https://blogs.technet.microsoft.com/msrc/feed (52 ) https://hackercombat.com/feed/ (204) https://www.crowdstrike.com/blog/feed (206) https: // www.cyberdefensemagazine.com/feed/ (1) https://www.europol.europa.eu/rss.xml (254) https://www.hackread.com/feed/ (617) https://www.ipswitch. com / blog / security / feed / (6) IEEE Cybersecurity (12) Imperva Cyber ​​Security Blog (1) Imperva Cyber ​​Security Blog infosec (18) Улучшите вашу безопасность (21) Новости отрасли — HOTforSecurity (1147) Новости отрасли — HOTforSecurity infosec ( 26) Новости безопасности информации (552) Новости безопасности информации infosec (26) InfoCON: зеленый infosec (64) InfoRiskToday.com RSS Syndication (229) Жужжание информации по безопасности (3258) Жужжание информации по безопасности (247) Инфосекция информационной безопасности (1) infosec (314) Infosec Institute (16) Infosec Island Последние статьи (162) Infosec Island Последние статьи infosec (21) Новости InfoSec (49) Ресурсы InfoSec (931) Ресурсы InfoSec infosec (35) InfoWorld Security (88) Блог об угрозах изнутри ( 222) Intezer (119) Блог Invincea Endpoint Security — Invincea (7) Сайт безопасности Irongeek (20) Информационная безопасность сайта Irongeek (5) ISACA Сейчас: Публикации информационной безопасности (4) iSIGHT Partners (247) iSIGHT Partners infosec (6) ИТ-безопасность — веб-ресурс отрасли ИТ-безопасности (141) Блог экспертов по ИТ-безопасности (178) ГУРУ ИТ-БЕЗОПАСНОСТИ (2762) Гуру ИТ-безопасности (294) ИТ-безопасность ( 201) Информационная безопасность ITsecurity (44) ITSecurityPortal.com (1,830) Блог Keen Security Lab (29) Кевин Таунсенд (212) Кребс о безопасности (400) Кребс об информационной безопасности (31) Последние статьи из журнала SC Magazine News (12) Последние статьи из журнала SC Magazine News infosec (121) Последние блоги Сообщения от ComputerworldUK (11) Последние новости о хакерских атаках (2238) Последние новости и истории с BleepingComputer.com (3085) Последние записи в блоге Secunia (1916) Последние советы по безопасности (21) Последние темы ZDNet в области безопасности (7305) Последние темы ZDNet в Информационная безопасность безопасности (336) Lawfare (1024) Информационная безопасность Lawfare (255) Lifehacker (528) LinuxSecurity.com (98) LinuxSecurity.com — Гибридный RSS (107) LinuxSecurity.com — Рекомендации по безопасности (763) Дайджест по безопасности Liquidmatrix (130) Информационный дайджест по безопасности Liquidmatrix (7) MacRumors: Mac News and Rumors — Front Page (8681) Блог Malcovery Security (234) Вредоносным программам не нужен кофе (64) Вредоносным программам не нужен информационный блок Coffee (1) Malware-Traffic-Analysis.net — записи в блоге (367) Malwarebytes Labs (897) Malwarebytes Labs infosec (22) MalwareTech (13) MalwareTech infosec (2) Mashable (27) Блоги McAfee (506) McAfee Labs — Блоги McAfee (51) Metasploit (167) Metasploit infosec (28) Блог Microsoft Azure> Безопасность (135) Блог Центра защиты от вредоносных программ Microsoft (14) Защита от вредоносных программ Microsoft Center infosec (7) Безопасность Microsoft (125) Безопасность Microsoft (497) Блог по безопасности Microsoft (20) Бюллетени безопасности Microsoft (133) Бюллетени безопасности Microsoft infosec (30) Содержимое безопасности Microsoft: Comprehensive Edition (182) Содержимое Microsoft Security: Comprehensive Edition infosec (16) Руководство по безопасности Microsoft Блог nce (13) Центр реагирования на безопасность Microsoft (132) Информационный центр центра реагирования на безопасность Microsoft (8) Блог Minded Security (58) Информационный блог Minded Security (1) Информационный блог Mocana ON (5) ежемесячный обзор (9) MSRC (6) MSRC infosec (2) Naked Security — Sophos (1996) Naked Security — Sophos infosec (186) Блог NetApp (826) Netcraft (38) Новости Netcraft (78) Блог сетевой безопасности (179) Блог сетевой безопасности infosec (3) Новости (7) Новости из лаборатории (273) Новости infosec (12) Новости новостей (381) Новости infosec (6) Новости ≈ Packet Storm (2 545) Новости ≈ Packet Storm infosec (199) Newsroom (250) NorseCorp (52) OEM Hub | Информация о лицензировании антивирусных технологий (1772) Offensive Security (104) Offensive Security — Infosec Offensive Security (1) Infosec Offensive Security (2) Официальный блог Google (32) Информационная безопасность блога OpenDNS (5) Информационная безопасность лабораторий OpenDNS Security (3) Зонтичный блог OpenDNS (78) Информационная безопасность Optimal Security (13) Блог Palo Alto Networks (476) Информационная безопасность блога Palo Alto Networks (55) Медиацентр Panda Security (599) Точка восприятия (146) Блог PKI (94) Power More (6) Project Zero (11) rdist (111) Записанное будущее (547) Записанное информационное сообщение будущего (16) Red Hat Security (46) Сообщения блога Red Hat Security (150) Информационное сообщение Red Hat Security (2) Оценка рисков — Ars Technica (754) Оценка рисков — Ars Technica infosec (52) safebreach.com — Главный канал (51) Читальный зал по информационной безопасности SANS (527) Информационная безопасность SANS infosec (46) SANS Internet Storm Center (64) SANS Internet Storm Center, InfoCON: зеленый (1576) SANS Internet Storm Center, InfoCON: желтый (7) Новостная лента SANS ISC InfoSec (1819) SANS NewsBites (429) SANS NewsBites infosec (191) SANS Penetration Testing (230) SANS Penetration Testing infosec (1) Schneier on Security (741) Schneier on Security infosec (53) Scott Helme (108) SearchSecurity (1746) SearchSecurity: RSS-канал (495) SearchSecurity: Security Wire Daily News (887) SearchSecurity: Security Wire Daily News infosec (37) Secunia Research: исследования, мнения и мнения наших экспертов по исследованию уязвимостей (3) Securelist (340) Securelist — информация о вирусах, хакерах и спаме (544) Securelist — исследования и отчеты «Лаборатории Касперского» по киберугрозам (91) Безопасность (314) Вопросы безопасности (4152) Информационная безопасность по вопросам безопасности (235) Блог безопасности G Data Software AG (111) Блог о безопасности G Data Software AG infosec (1) Security Bloggers Network (2260) Security Bloggers Network infosec (697) Security Boulevard (11 509) Security Intelligence (997) Security Последние (1366) Безопасность в TechRepublic (2490) Безопасность в TechRepublic infosec (43) Безопасность Исследования и оборона (33) Наблюдение за безопасностью (2,137) Наблюдение за безопасностью, информационное сообщение (9) Запрет безопасности (60) Информационное устройство зазора безопасности (31) Безопасность — Ars Technica (147) Безопасность — Блог Cisco (1225) Безопасность — Блог Cisco, информационное обеспечение (20) Безопасность — Блоги Cisco (503) Безопасность — Новости технологий gHacks (3) Безопасность — Блог Ipswitch (117) Безопасность — Re / code (46) Безопасность — Re / code infosec (68) Безопасность — Silicon UK (163) Безопасность — VentureBeat ( 1495) Уязвимости SecurityFocus (10 084) Уязвимости SecurityFocus infosec (316) SecurityRecruiter.com’s Security Recruiter Blog (19) SecurityWeek RSS Feed (6096) SecurityWeek RSS Feed infosec (329) SentinelOne (318) Shell — это только начало (7) Shell — это только начало информации (2) Silicon UK (3309) Silicon UK »Безопасность (1033) Slashdot (25) Новости Softpedia / Безопасность (283) Безопасность программного обеспечения — курирование программного обеспечения (193) Сорин Мустака о информационной безопасности кибербезопасности (18) Сорин Мустака о информационной безопасности (37) Сорин Мустака о информационной безопасности (3) Говоря о безопасности — Блог RSA и информационный подкаст (18) Говоря о безопасности — Блог RSA (202) Говоря о безопасности — Блог и подкаст RSA (142) Говоря о безопасности — Информационный блок RSA и подкаст (34) спонсируются (1) Блоги StopBadware (186) StopBadware blogs infosec (1) Sucuri Blog (201) Tech (358) TechCrunch (740) Технический блог (18) TechSpective infosec (24) TechWeekEurope UK (983) TechWeekEurope UK infosec (358) TechWeekEurope UK »Безопасность (235) Искусство защиты данных (8) Искусство защиты данных infosec (14) AVIEN Bl og (98) Блог Duo (397) Первые новости безопасности | Threatpost (425) The Hacker News (1629) The Hacker News — Новости и анализ кибербезопасности (2) The Hacker News infosec (141) Блог Insider Threat Security (9) Блог The Invisible Things Lab (199) Блог Mac Security (167) ) Официальный блог Kaspersky Lab infosec (28) Официальный блог Google (1 127) The PhishLabs Blog (179) The PhishLabs Blog infosec (5) Реестр (16 478) Реестр — Безопасность (3132) Реестр — Информационная безопасность (450 ) The Register infosec (1803) The Social Media Security Podcast (187) The Spamhaus Project News (30) State of Security (1426) The State of Security infosec (159) The Watchblog — ID Watchdog (150) The Watchblog — ID Watchdog infosec (10) ThinkGeek — Что нового (1659) Время анализа угроз (111) Время анализа угроз infosec (4) Исследование угроз (334) Блог исследования угроз (2) Блог исследования угроз infosec (5) Infosec исследования угроз (11) Наблюдение за угрозами (362) Threat Watch — Бинарная защита (1,011) Threatpost (3,078) Threatpost | Первая остановка для новостей безопасности (2 673) Threatpost | Первая остановка для новостей безопасности infosec (169) Threatpost — English — Global — Threatpost.com (2) Блог ThreatTrack Security Labs (215) ThreatTrack Security Labs Blog infosec (1) Trend Micro Simply Security (318) TrendLabs Security Intelligence Blog (512) TrendLabs Security Intelligence Blog infosec (35) Трой Хант (1) Блог Троя Ханта ( 248) Блог Троя Ханта информационная безопасность (9) TrustedSec — Информационная безопасность информационной безопасности (6) TrustedSec — Информационная безопасность (54) TrustedSec — Информационная безопасность информационной безопасности (7) Блог Trustwave (288) Без категории (11) Текущая активность US-CERT (671) США -CERT Информация о текущей деятельности (44) Советы US-CERT (82) US-CERT: Группа готовности США к компьютерным чрезвычайным ситуациям (464) Блог Venafi (6) Блог Venafi, информационная безопасность (5) Блог Virus Bulletin, информационная безопасность (12) Блог Virus Bulletin (158) Блог Virus Bulletin infosec (14) Блог VirusTotal (70) VMware Carbon Black (217) We Live Security (4) We Live Security »Языки» Английский (119) We Live Security »Языки» Английский infosec (96) Блог Webroot (286) Блог об угрозах Webroot (337) Блог об угрозах Webroot infosec (19) еженедельная сводка (97) welivesecurity (838) Ответ на инцидент Windows (107) Информационный ответ на инцидент Windows (4) Безопасность Windows (27) Блог по безопасности Windows (38) проводной (511) ПРОВОДНОЙ »ПРОВОДНОЙ (3) ПРОВОДНОЙ» »Уровень угрозы» ПРОВОДНОЙ (3 ) ПРОВОДНАЯ »» Уровень угрозы »ПРОВОДНАЯ информационная безопасность (37) Написание и рассуждения (1) ZDI: Предстоящие рекомендации (952) ZDNet.de (5) Блог ZecOps (27) Блог ZenMate | Отчеты о безопасности и конфиденциальности в Интернете (8) Блог ZenMate | Отчеты о безопасности и конфиденциальности в Интернете infosec (12) ZenMate Mind (21) ZeroSec — Adventures In Information Security (26) Zscaler Blog infosec (7)

Meta

Pages

Top Posts & Pages

Продолжая использовать сайт, вы соглашаетесь на использование файлов cookie. дополнительная информация Принять

В настройках файлов cookie на этом веб-сайте установлено значение «разрешить использование файлов cookie», чтобы обеспечить вам наилучшее качество просмотра.Если вы продолжаете использовать этот веб-сайт без изменения настроек файлов cookie или нажимаете «Принять» ниже, вы соглашаетесь с этим.

Закрыть

Все онлайн-платежи могут быть взломаны

Исследователи обнаружили в даркнете дискуссии между киберпреступниками о методах обхода наиболее распространенных мер безопасности для онлайн-транзакций с использованием карт.

Эксперты Gemini Advisory обнаружили, что злоумышленники приняли стратегию использования комбинации социальной инженерии и фишинговых атак для обхода меры безопасности 3D Secure (3DS).

Несмотря на то, что предлагаются две версии 3DS, последняя из которых является более устойчивой с технической точки зрения, в отчете отмечается, что «схемы фишинга и социальной инженерии часто выходят за рамки технических обновлений».

Атаки социальной инженерии

Протокол 3DS — это популярный механизм предотвращения мошенничества, который добавляет дополнительный уровень проверки для обеспечения подлинности онлайн-транзакций с использованием карт. 3DS 2 — это последняя версия протокола, разработанная для работы со смартфонами.

По имеющимся данным, исходная версия 3DS по-прежнему широко используется, что позволяет злоумышленникам обойти меры безопасности.

По мнению Gemini, что делает 3DS 2 более устойчивым к мошенничеству, так это то, что он использует более сотни ключевых точек данных, включая соответствующие контекстные данные от продавца, для проверки характера транзакций.

Однако исследователи с тревогой отмечают, что «хотя киберпреступникам труднее обойти 3DS 2, она не лишена хорошо отточенных навыков социальной инженерии.

Таким образом, вместо того, чтобы напрямую пробираться через его меры безопасности, киберпреступники вместо этого обходят их, разрабатывая правильную кампанию социальной инженерии.

«Gemini Advisory оценивает с умеренной уверенностью, что киберпреступники, вероятно, будут продолжать полагаться на социальную инженерию и фишинг для обхода мер безопасности 3DS», — заключают исследователи, намекая, что в конечном итоге пользователи должны убедиться, что они не действуют. не стать жертвой хорошо продуманной схемы социальной инженерии.

Через: BleepingComputer

Новый взлом

позволяет злоумышленникам обойти PIN-код MasterCard, используя его в качестве карты Visa

Исследователи кибербезопасности раскрыли новую атаку, которая может позволить злоумышленникам обманом заставить торговый терминал совершать операции с бесконтактной картой Mastercard жертвы, полагая, что это карта Visa.

Исследование, опубликованное группой ученых из ETH Zurich, основано на исследовании, подробно описанном в сентябре прошлого года, в ходе которого злоумышленники могли использовать украденную или утерянную кредитную карту Visa с поддержкой EMV для получения ценных бумаг. совершает покупки, не зная PIN-код карты, и даже обманом заставляет терминал принимать неаутентичные офлайн-транзакции по карте.

«Это не просто смешение брендов карт, это имеет серьезные последствия», — заявили исследователи Дэвид Басин, Ральф Сассе и Хорхе Торо. «Например, преступники могут использовать его в сочетании с предыдущей атакой на Visa, чтобы также обойти PIN-код для карт Mastercard. Ранее считалось, что карты этого бренда защищены PIN-кодом».

После ответственного раскрытия информации исследователи ETH Zurich заявили, что Mastercard внедрила механизмы защиты на сетевом уровне для предотвращения таких атак.Результаты будут представлены на 30-м симпозиуме по безопасности USENIX в августе этого года.

Атака смешения брендов карты

Как и предыдущая атака с использованием карт Visa, последнее исследование также использует «серьезные» уязвимости в широко используемом бесконтактном протоколе EMV, только на этот раз целью является карта Mastercard.

На высоком уровне это достигается с помощью приложения Android, которое реализует атаку «человек посередине» (MitM) поверх архитектуры релейной атаки, что позволяет приложению не только инициировать сообщения между двумя сторонами — терминалом и карту, но также для перехвата и манипулирования коммуникациями NFC (или Wi-Fi) с целью злонамеренного введения несоответствия между брендом карты и платежной сетью.

Другими словами, если выпущенная карта имеет бренд Visa или Mastercard, то запрос авторизации, необходимый для упрощения транзакций EMV, направляется в соответствующую платежную сеть. Платежный терминал распознает бренд, используя комбинацию так называемого номера основного счета (PAN, также известного как номер карты) и идентификатора приложения (AID), который однозначно определяет тип карты (например, Mastercard Maestro или Visa Electron), и впоследствии использует последний для активации определенного ядра для транзакции.

Ядро EMV — это набор функций, который обеспечивает всю необходимую логику обработки и данные, необходимые для выполнения контактной или бесконтактной транзакции EMV.

Атака, получившая название «смешение брендов карты», использует тот факт, что эти AID не аутентифицируются для платежного терминала, что позволяет обманом заставить терминал активировать некорректное ядро ​​и, соответственно, банк, обрабатывающий платежи. от имени продавца для принятия бесконтактных транзакций с PAN и AID, которые указывают на разные марки карт.

«Затем злоумышленник одновременно выполняет транзакцию Visa с терминалом и транзакцию Mastercard с картой», — подчеркнули исследователи.

Атака, однако, требует, чтобы она соответствовала ряду предпосылок, чтобы быть успешной. Примечательно, что преступники должны иметь доступ к карте жертвы, помимо возможности изменять команды терминала и ответы карты перед их доставкой соответствующему получателю. Чего для этого не требуется, так это необходимости иметь привилегии root или использовать недостатки в Android, чтобы использовать приложение проверки концепции (PoC).

Но исследователи отмечают второй недостаток бесконтактного протокола EMV, который может позволить злоумышленнику «построить все необходимые ответы, указанные в протоколе Visa, из ответов, полученных от карты, отличной от Visa, включая криптографические доказательства, необходимые эмитенту карты для авторизации сделка.»

Mastercard добавляет меры противодействия

Используя приложение PoC для Android, исследователи ETH Zurich заявили, что они смогли обойти проверку PIN-кода для транзакций с кредитными и дебетовыми картами Mastercard, включая две дебетовые карты Maestro и две кредитные карты Mastercard, выпущенные разными банками, при этом сумма одной из транзакций превышает 400 долларов США. .

В ответ на полученные данные Mastercard добавила ряд контрмер, в том числе обязав финансовые учреждения включать AID в данные авторизации, что позволяет эмитентам карт проверять AID по PAN.

Кроме того, платежная сеть развернула проверки на наличие других точек данных, присутствующих в запросе авторизации, которые могут быть использованы для идентификации атаки такого рода, тем самым с самого начала отклоняя мошенническую транзакцию.

Киберпреступников находят способы обойти 3D secure (3DS)

Исследователи безопасности заметили упражнения в темной сети, связанные с обходом 3D Secure (3DS), который предназначен для повышения безопасности онлайн-транзакций по кредитным и дебетовым картам.Разработанная как дополнительный уровень защиты для этих транзакций, 3DS увидела несколько выпусков, последняя из которых, а именно версия 2.0, также предназначена для работы с мобильными телефонами, позволяя аутентификацию с использованием отпечатка пальца или распознавания лица.

В дополнение к различным стратегиям социальной инженерии, которые злоумышленники могут использовать для обхода 3DS, фишинговые и мошеннические страницы позволяют им обманом заставить жертв раскрыть данные своей карты и информацию для подтверждения платежа. Исследователи безопасности Gemini говорят, что уязвимости в предыдущих версиях 3DS могли быть использованы для обхода безопасности.Одной из таких проблем было использование пароля для транзакции, поскольку иногда это был персональный идентификационный номер (PIN), который киберпреступники могли получить с помощью различных методов.

Используя различные методы социальной инженерии, например, выдавая себя за представителей банка, киберпреступники могут собирать от жертв большой объем данных, включая имя, идентификационный номер, номер телефона, физический адрес и адрес электронной почты, девичью фамилию матери, номера водительских прав и т. Д. .Вооружившись некоторой информацией, позволяющей установить личность (PII), злоумышленник может обманом заставить жертву поделиться дополнительной информацией.

Один из способов, предложенный некоторыми киберпреступниками для обхода 3DS, включает вызов жертвы с телефонного номера, который подделывает номер на обратной стороне платежной карты, и обманом заставляет ее проверить транзакцию, которую в настоящее время совершает мошенник, утверждая, что она необходима для идентификации. в целях проверки. Использование фишинговых сайтов, которые копируют реальные интернет-магазины, также может позволить хакерам собирать данные карт жертв и обманным путем заставить их одобрить платеж с использованием 3DS.Иногда злоумышленники могут использовать вредоносное ПО для нацеливания на мобильные телефоны клиентов и восстановления проверочных кодов 3DS.

«Старые версии 3DS, такие как версия 1.0 (которая до сих пор широко используется во всем мире), уязвимы для хакеров, которые находят способы обойти свои функции безопасности. Gemini Advisory с умеренной уверенностью оценивает, что киберпреступники, вероятно, будут продолжать полагаться на социальную инженерию и фишинг, чтобы обойти меры безопасности 3DS », — заключает Gemini.

РУКОВОДСТВО 2021 ПО ОБХОДУ 3D-SECURE С ПОМОЩЬЮ IMSI CATCHER ДЛЯ ПЕРЕХВАТА GSM-ТРАФИКА

Hustlers, самый обсуждаемый платежный протокол 3D-Secure, будет продолжать разворачиваться в течение 2021 года и далее, те из вас, кто адаптируется, продолжат выживать и процветать, а те, кто проигнорирует это, останутся позади, чтобы поймать Пыль, в этом руководстве по Cashoutempire сегодня мы предоставим вам актуальную информацию о том, как создать собственный уловитель IMSI для обхода транзакций 3D-Secure.

Это может звучать как план, взятый прямо из голливудского блокбастера, но мы можем заверить вас, что это не так сложно, как вы думаете, и очень практично для реализации, если вы поймете механику работы ловушки IMSI.

В последнее время было много случаев использования захвата GSM + прослушивания текстовых сообщений для кражи банковских карт, позвольте нам объяснить вам, изложив информацию о том, как прослушивать трафик сети GSM, и будем следовать структуре, приведенной в этом руководстве ниже. .

Теперь, прежде чем мы углубимся в предмет, ниже представлена ​​некоторая основная терминология и справочная информация по GSM, поскольку вам необходимо понять и переварить эту статью дальше, пока вы будете прокручивать вниз и, что более важно, как сделать ее для ваша собственная команда (учитывая, что вы являетесь частью подпольной сети киберпреступлений и сильно нападаете)

#AN SDR

SDR означает «Software Defined Radio». — это технология радиовещательной связи, которая основана на программно определяемом протоколе беспроводной связи, а не реализуется через проводную связь.

SDR позволяет легко обрабатывать сигналы и экспериментировать с более сложными радиочастотными сборками.

#AN RTL-SDR

Хорошо, RTL-SDR — это ТВ-стик Realtek (RTL2832U). ТВ-джойстики позволяют передавать необработанные выборки ввода / вывода, которые можно использовать для демодуляции DAB / DAB + / FM.

# GSM

GSM означает «Глобальная система мобильной связи» и связи. К вашему сведению, более 5 миллиардов человек используют технологию GSM для общения по всему миру.

Операторы в каждой стране используют разные частоты в возможном спектре GSM. Если вам нужна дополнительная информация, вы можете перейти вперед и прочитать больше здесь https://www.worldtimezone.com/gsm.html, но при этом откроется новое окно и вы перейдете с сайта cashoutempire.

#IMSI

IMSI означает «международный идентификатор мобильного абонента» и является глобально уникальным для каждого абонента. IMSI состоит из 15 цифр, которые содержат код страны мобильной связи (MCC), код сети мобильной связи (MNC) и идентификационный номер мобильного абонента (MSIN).IMSI хранится в модуле идентификации абонента, также известном как ваша SIM-карта.

Итак, теперь у вас есть небольшое представление о том, куда мы движемся с этой статьей, давайте уберем и «поколения» , и, конечно же, мы всегда стремимся сохранить наши статьи в Cashoutempire, просто касаясь основываться на информации, которая важна и необходима для данного предмета

# 1G

Первое поколение мобильных телефонов было реализовано в 1980-х годах.Данные, отправляемые с телефонов и на телефоны, были аналоговыми и, естественно, не имели никакой защиты.

Кроме того, голосовые вызовы можно было совершать только в сетях 1G, вы, возможно, помните, что в тот момент обмен сообщениями через ext был еще невозможен.

# 2G

В 1990-е годы появилось второе поколение мобильных телефонов. Также были реализованы такие функции, как SMS, данные, MMS, голосовая почта и переадресация звонков, радиосигналы стали цифровыми и были зашифрованы.

Позже были представлены 2.5G и 2.75G, в которых реализованы улучшенные методы передачи данных, такие как GPRS и EDGE.

Стандарт глобальной системы мобильной связи (GSM) является наиболее широко используемым стандартом 2G, а по состоянию на 2007 год — наиболее широко используемым протоколом для мобильных телефонов в целом.

# 3G

3G медленно внедрялся в 00-х годах, Международный союз электросвязи (ITU) разработал спецификации, которые маркируют определенные мобильные сети, такие как 3G.Мобильные сети 3G поддерживают системы глобального позиционирования (GPS), мобильное телевидение и видеоконференцсвязь.

Он также предлагает гораздо большую пропускную способность и скорость передачи данных. Кроме того, стандарт шифрования улучшен за счет использования двусторонней аутентификации между мобильным телефоном и базовой станцией и улучшенных стандартов шифрования.

# 4G

4G также указан Международным союзом электросвязи (ITU). Одно из требований 4G — скорость 100 Мбит / с в автомобиле или поезде и 1 Гбит / с для пешеходов.

Внутренняя сеть 4G также полностью основана на IP, поэтому телефон с коммутацией каналов больше не используется.

Следует отметить, что действующие стандарты 4G фактически еще не полностью соответствуют спецификациям ITU. Тем не менее, они по-прежнему считаются 4G, поскольку они наиболее близки к скорости 4G и значительно лучше, чем технологии 3G.

# 5G

Телекоммуникационные сети следующего поколения (пятое поколение или 5G) начали выходить на рынок в начале 2019 года и будут продолжать расширяться по всему миру в 2021 году и в последующий период.

Ожидается, что помимо повышения скорости 5G откроет огромную экосистему IoT (Интернет вещей), в которой сети могут удовлетворить потребности в связи для миллиардов подключенных устройств, с правильным компромиссом между скоростью, задержкой и стоимостью. будет очень интересно, честно говоря, не можем дождаться!

#GSM АРХИТЕКТУРА

Внимательно посмотрите на это ниже, поскольку мы объясним это для вашего удобства, чтобы было легче понять, поскольку мы шаг за шагом накапливаем ваши знания, прежде чем мы, так сказать, приступим к убийству!

#MS

MS представляет собой «мобильную станцию» .Мобильная станция — это устройство, которое может получить доступ к сети GSM по радио.

Мобильную станцию ​​можно разделить на две отдельные части: мобильное оборудование и SIM-карту.

#BS

Нет, это не фигня, BS означает «базовая станция», это антенна, ее еще называют «вышка сотовой связи», или «сотовая станция».

Одна BS покрывает сотовую зону в сотовой сети. Размер этой ячейки может варьироваться от нескольких сотен метров до нескольких километров.

Размер ячейки зависит от особенностей ландшафта и плотности населения в районе.

На станциях метро и в больших зданиях могут быть размещены ретрансляционные станции, которые действуют как повторители. Эти ретрансляционные станции затем передают сигнал на ближайшую базовую станцию.

#BSC

BSC означает «контроллер базовых станций ». управляет несколькими базовыми станциями. Он обрабатывает передачу обслуживания сеанса между различными базовыми станциями, когда пользователь перемещается через разные соты.

Если базовые станции не подключены к одному и тому же BSC, то передача обслуживания выполняется центром коммутации мобильной связи (MSC).

#MSC

MSC — это «центр коммутации мобильной связи», он отвечает за управление аутентификацией, передачу обслуживания другим BSC и маршрутизацию вызовов на наземную линию связи.

#VLR

VLR предназначен для «Регистра местоположения посетителей», и каждый MSC имеет свой собственный регистр местоположения посетителей (VLR). VLR содержит информацию о подписчиках, которые находятся в ведении MSC (которые копируются из Home Location Register (HLR)).

VLR, например, содержит временный идентификатор мобильного абонента (TMSI), который является временным псевдонимом для IMSI. Это сделано для уменьшения частой передачи IMSI.

#HLR

«Регистр домашнего местоположения» HLR хранит личную информацию об абоненте, такую ​​как IMSI и номер телефона. У каждого провайдера сети GSM есть только один HLR.

#AUC

AUC означает «Центр аутентификации», он обрабатывает процесс аутентификации абонента в сети.

AUC содержит общий секретный ключ и генерирует случайный запрос, который используется для аутентификации.

# ЧТО ТАКОЕ IMSI CATCHER?

IMSI Catcher — это устройство, с соответствующим программным обеспечением его можно использовать для обнаружения и отслеживания всех мобильных телефонов, которые включены в определенной области.

IMSI Catcher делает это, «притворяется» за мобильную телефонную вышку, так что он обманом заставляет ваш телефон подключиться к нему, а затем раскрывает ваши личные данные без вашего ведома.

IMSI-ловушки — это инструменты неизбирательного наблюдения, которые можно использовать для отслеживания действий вашей цели, они также могут отслеживать звонки и редактировать ваши целевые сообщения, и, что самое приятное, они даже не узнают, что это произошло.

# КАК РАБОТАЕТ IMSI CATCHER?

Как объяснялось выше, ловушки IMSI — это устройства, которые действуют как фальшивые вышки сотовой связи, которые обманом заставляют целевое устройство подключиться к ним, а затем ретранслируют связь на фактическую вышку сотовой связи сетевого оператора.

Связь цели в виде звонков, текстовых сообщений, интернет-трафика и т. Д. Проходит через IMSI Catcher, который может читать сообщения, прослушивать звонки и т. Д.

Хотя все это происходит одновременно, ваша жертва не будет знать, что это происходит, поскольку все, казалось бы, будет работать как обычно, в подпольных терминах мы можем назвать это атакой «Человек-посередине» .

Это возможно, потому что мобильные телефоны всегда ищут передвижную вышку с самым сильным сигналом, чтобы обеспечить наилучшую коммутацию.Обычно это ближайший. В то же время, когда устройство подключается к вышке сотовой связи, оно аутентифицируется с помощью номера IMSI.

Однако башня не обязана проходить повторную аутентификацию. Вот почему каждый раз, когда кто-то помещает устройство, которое действует как вышка сотовой связи, рядом с вашим телефоном, оно подключается к нему и передает свой IMSI.

КАК IMSI CATCHER ID ВАШЕЙ ЦЕЛИ?

IMSI — это уникальный номер SIM-карты. После того, как телефон вашей жертвы обманом подключился к уловителю IMSI, он покажет свой уникальный номер.

Вы, возможно, слышали множество случаев, когда полицейские могли поймать парня / девушку, опознав их, да, это верно, копы в большинстве стран по всему миру имеют доступ к этому ловушке IMSI, поэтому, как только полиция получит IMSI, они могут легко определить личность этого человека.

КАК IMSI CATCHER НАХОДИТ МЕСТО?

После того, как телефон цели был обманут и обнаружил свой IMSI, ловушка IMSI может определить общее местоположение своего телефона, измерив силу сигнала с телефона.

Измерение мощности сигнала из разных мест позволяет более точно определять местоположение телефона.

МОЖЕТЕ ЛИ ВЫ ИСПОЛЬЗОВАТЬ IMSI CATCHER ДЛЯ ПЕРЕХВАТА ЗВОНКОВ И ТЕКСТОВ?

Короткий ответ: «Да» . Это гораздо больше, чем просто звонки и текстовые сообщения.

IMSI Catcher может «перехватывать» текстовых сообщений вашей цели, «звонить» и «Интернет-трафик» .

Это означает, что вы можете читать или слушать личные сообщения своей цели.

IMSI Catchers может даже перенаправлять или редактировать сообщения и данные, отправляемые на телефон вашей цели и с него, разве не удивительно?

IMSI Catchers также могут временно блокировать службу связи, чтобы ваша цель больше не могла использовать свой телефон для совершения или приема звонков и текстовых сообщений, это справедливо даже для экстренных вызовов.

# УСТАНОВКА

# Аппаратное обеспечение

Не стесняйтесь искать любое из представленного ниже оборудования на aliexpress или alibaba, так как вы найдете все компоненты оборудования, необходимые для создания собственного улавливателя IMSI.

Затем вы будете использовать устройство в практических целях для обхода протоколов 3D-безопасности, конечно, вы можете использовать его для целого ряда вещей, кроме вашей киберпреступной деятельности, но мы, команда Cashoutempire, рекомендуем вам использовать инструменты, которые необходимо выполнять определенную работу и не заниматься внеклассной деятельностью, которая может привести к потере вашего времени, если вы собираетесь собирать информацию для шантажа и того, что вам не подходит, но всегда взвешивайте связанные с этим риски, прежде чем приступать к делу, чтобы увидеть, иметь инфраструктуру, необходимую для выполнения заданий, которые вам нужны, иначе вы всегда можете поговорить с нами (только если вы настроены серьезно и готовы к действиям).

Итак, оборудование, которое вам понадобится:

  • RTL-SDR
  • Hackrf
  • USRP
  • Лезвие-RF

# ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ

Для практических целей требуются следующие программные инструменты.

  • GR-GSM — модуль Python, используемый для приема информации, передаваемой через GSM.
  • Wireshark — захватывает беспроводной трафик.
  • IMSI-Catcher — Эта программа показывает номер IMSI, страну, марку и оператора сотовых телефонов.
  • GQRX — Программно-определяемый радиоприемник.
  • Инструменты RTL-SDR — Получает информацию о ключе RTL SDR.
  • Kailbrate — Определяет мощность сигнала.

РУКОВОДСТВО ПО УСТАНОВКЕ WIRESHARK, GQRX, GR-GSM, RTL-SDR

sudo apt-get update

sudo apt-get install gnuradio gnuradio-dev git cmake autoconf libtool pkg-config g ++ gcc make libc6 libc6-dev libcppunit-1.14-0 libcppunit-dev swig doxygen liblog4cpp5v5 liblog4cpp5-dev python3-scipy gr-osmosdr libosmocore libosmocore-dev rtl-sdr osmo-sdr libosmosdr-dev libboost-all-dev libgmp-dev liborc-devx-devtils-dev libgmp-dev liborc-devx libboost-dev-dev сборка-необходимый automake librtlsdr-dev libfftw3-dev gqrx wirehark tshark

git clone -b maint-3.8 https://github.com/velichkov/gr-gsm.git

компакт-диск gr-gsm

мкдир сборка

сборка компакт-диска

cmake..

марка

sudo сделать установку

Судо ldconfig

экспорт PYTHONPATH = / usr / local / lib / python3 / dist-packages /: $ PYTHONPATH

# КАЛИБРОВКА УСТАНОВКИ

sudo apt-get update

git clone https://github.com/steve-m/kalibrate-rtl

CD Калибрат-RTL

./bootstrap && CXXFLAGS = ’- W -Wall -O3 ′

./ настроить

марка

sudo сделать установку

Установка IMSI Catcher

sudo apt установить python-numpy python-scipy python-scapy

git clone https://github.com/Oros42/IMSI-catcher.git

# ЗАПИСЬ GSM-ТРАФИКА

Теперь, когда вы дошли до этого места, мы уверены, что вы очень взволнованы, чтобы прочитать, что ждет впереди, для этого практического использования был использован ключ RTL-SDR (вы можете легко получить его на aliexpress или alibaba, как описано выше).После завершения процесса установки инструментов подключите USB-ключ RTL-SDR к вашей системе.

Откройте терминал и выполните следующую команду, чтобы убедиться, что ключ был успешно вставлен.

В США мобильные сети GSM работают в диапазонах частот HSPA / HSPA + 1900 МГц, 1700/2100 МГц (восходящий и нисходящий), но вы можете легко узнать частоту своей страны или связаться с нашей службой поддержки cashoutempire, и мы предоставим вам частоты для вашей страны .

Справочное руководство инструмента «Сканер ГРГСМ» .

See. Вы можете легко найти ближайшие базовые станции GSM с помощью инструментов «Kalibrate» или «GRGSM_Scanner» .

Обнаружены три базовые станции. Вышеупомянутый сигнал был относительно сильным с частотой 945,4 МГц и 945,6 МГц.

Вышеописанным способом мы получили некоторую информацию о параметрах базовой станции, такую ​​как: центральная частота, канал, значение ARFCN, LAC, MCC, значение MNC и т. Д.

С приведенными выше подробностями мы хотим прослушать частоту базовой станции.Для этого будет использоваться программа под названием «grgsm_livemon».

Справочное руководство инструмента «grgsm_livemon».

Запустите «Wireshark», перед запуском инструмента «grgsm_livemon» для захвата пакетов.

Выберите любой интерфейс для сбора всех данных.

Как только начинается анализ частоты, появляется всплывающее окно, как показано на снимке экрана ниже.

Чтобы зафиксировать частоту, необходимо переместить кнопку частоты.После запуска сбора данных он будет выглядеть, как на снимке экрана ниже.

Теперь нам нужно захватить детали IMSI с помощью инструмента «IMSI Catcher» .

Чтобы получить IMSI и другие детали, такие как TMSI, Страна, Торговая марка, Оператор, MCC, MNC, LAC, Cell-ID и т. Д., Запустите инструмент «IMSI Catcher» .

В Wireshark можно просмотреть захваченные данные MNC, MCC, LAI базовой станции и другую информацию.

ОБНАРУЖЕНИЕ ЛОВЦА IMSI

Доступны различные приложения, которые помогают найти IMSI Catcher в вашем регионе.После установки на мобильный телефон он автоматически обнаружит IMSI Catcher.

Вы удивлены? Что ж, давайте не будем объяснять, как это работает!

После того, как на вашем телефоне будет установлено приложение базы данных мобильных / вышек сотовой связи, вы увидите, что оно будет отображать базу данных всех сотовых / мобильных вышек телефонных операторов в вашем городе и регулярно обновлять этот список.

А теперь самое интересное: каждый раз, когда он обнаруживает вышку сотовой связи, он проверяет список, чтобы увидеть, существует ли она.Если он существует, значит, он законный, и никто не пытается перехватить ваши сообщения.

Однако, если вышки нет в списке, происходит что-то подозрительное, и есть высокая вероятность, что это IMSI Catcher, пытающийся перехватить ваши сообщения.

Итак, в таком случае лучший способ действия, который вы можете предпринять, — это выключить телефон и снова включить его, как только вы окажетесь вне досягаемости этого IMSI, но это было просто, чтобы рассказать вам, как можно обнаружить IMSI Catcher, но вам не о чем беспокоиться, так как вы будете тем, у кого есть IMSI Catcher, и вы можете найти единорога, прежде чем найдете кого-то, у кого на телефоне установлено приложение базы данных сотовой / мобильной вышки.

Но на всякий случай, если вы хотите провести эксперимент на своем собственном IMSI-ловушке, вы можете сделать это, установив одно из следующих приложений для обнаружения вашего IMSI-ловца.

  • Osmocom
  • Android IMSI
  • SnoopSnitch
  • Cell Spy Catcher
  • GSM Spy Finder

С учетом вышесказанного, пора завершить эту статью, сегодня вы узнали РУКОВОДСТВО 2021 ПО ОБХОДУ 3D-ЗАЩИТЫ С ПОМОЩЬЮ IMSI CATCHER ДЛЯ ПЕРЕХВАТА GSM-ТРАФИКА.

SIDENOTE: Если вы ищете нас в Cashoutempire, чтобы настроить его для вас, мы будем взимать 5 тысяч долларов в BTC за полную настройку, и эти 5 тысяч не включают инструменты, которые вы будете заказывать у нашего поставщика, иначе вы можете Закажите собственные инструменты на alibaba, мы дали вам все названия необходимых инструментов. Мы будем нести ответственность за настройку вашего станка + инструментов + всего программного обеспечения (мы предоставим + установим программное обеспечение) и дадим вам практическое обучение использованию этого оборудования для перехвата сообщений по вашему желанию.

Вам понравилось это руководство по IMSI Catcher 2021 года на CashoutEmpire? Если да, вы всегда можете написать нам, чтобы рассказать о своих мнениях и обзорах, и, конечно же, вы можете запросить больше статей по определенной теме.

А пока увидимся на другой стороне!

КРЕДИТЫ:

КУПИТЬ СЧЕТ ЗДЕСЬ:

КУПИТЬ СВОЙ БАНКОВСКИЙ ДИНАМИК ЗДЕСЬ:

КУПИТЬ БАНКОВСКИЕ ОТЧЕТЫ ЗДЕСЬ:

КУПИТЬ КРЕДИТНЫЕ КАРТЫ ЗДЕСЬ:

КУПИТЬ ТРАНСФЕРЫ WESTERN UNION ЗДЕСЬ:

БОНУСНЫЕ СТАТЬИ:

РУКОВОДСТВО ПО СОЗДАНИЮ НЕВИДИМОЙ ПАПКИ НА МАШИНЕ 2021

РУКОВОДСТВО ПО ВЫВОДУ СРЕДСТВ С GOOGLE PLAY С ИСПОЛЬЗОВАНИЕМ CC’S 2021

РУКОВОДСТВО ПО ЗАГРУЗКЕ И ОБНАРУЖЕНИЮ ЧЕКОВ НА 2021 ГОД С ИСПОЛЬЗОВАНИЕМ INGO MONEY

РУКОВОДСТВО ПО УСТАНОВКЕ KEYLOGGER + ЗАГРУЗИТЬ 2021

ПОСЛЕДНЕЕ РУКОВОДСТВО ПО ПРОИЗВОДСТВУ 5K + МЕНЬШЕ ТРЕХ НЕДЕЛЬ — 2021

2021 ВАШ ТЕЛЕФОН Шпионит за вами, это то, что мы нашли…

ПОЛНОЕ РУКОВОДСТВО ПО ПРОВЕДЕНИЮ ФОНОВОЙ ПРОВЕРКИ И ПРОВЕРКИ КРЕДИТНОГО ОТЧЕТА 2021

КАК КУПИТЬ И ОБНАРУЖИТЬ ПОДАРКИ В МАГАЗИНЕWITHSCRIP 2021

РУКОВОДСТВО НА 2021 ГОД ПО ПОЛУЧЕНИЮ БАНКОВСКОГО СЧЕТА В США С КРЕДИТНОЙ КАРТОЙ И КАЧЕСТВУ НАЛИЧИЯ

КАК ИЗМЕНИТЬ ОГРАНИЧЕНИЕ ВАШЕГО СЧЕТА PAYPAL 2021

ПОЛНОЕ РУКОВОДСТВО ПО POS CODES 2021

ЭТО КАК ВЫ СОЗДАЕТЕ ДОРОЖКУ 1 С ДОРОЖКОЙ 2 ДЛЯ ВАШИХ ОТВАЛОВ 2021

РУКОВОДСТВО ПО ВЫВЕДЕНИЮ НАЛИЧИЯ CC ПРЯМО НА БАНКОВСКИЙ СЧЕТ 2021

2021 КАК СОЗДАТЬ УЧЕТНУЮ ЗАПИСЬ GMAIL БЕЗ НОМЕРА ТЕЛЕФОНА? (требуется компьютер / ноутбук)

РАЗВЕРТЫВАНИЕ КЛОНИРОВАНИЯ EMV-BYPASS С ПОМОЩЬЮ «VISA-CARD» В 2021 ГОДУ

РУКОВОДСТВО ПО ЭКСПЛУАТАЦИИ ECOMMERCE SHOPIFY / WOOCOMMERCE CASHOUT на 2021 год

ПОЛНОЕ РУКОВОДСТВО ПО СОЗДАНИЮ ИНВЕСТИЦИОННОГО ВЕБ-САЙТА BITCOIN СЛЕДУЮЩИМ НА ВЫХОДЕ В 2021 ГОДУ

Ross1337 / SMSBotBypass: SMSBotBypass: Обход SMS-проверок от Paypal, Instagram, Snapchat, Google, 3D Secure и многих других…

Обход SMS-проверок от Paypal, Instagram, Snapchat, Google, 3D Secure и многих других … с помощью Discord Bot или частного API.

Это действительно просто. Представьте, что у вашего друга есть аккаунт Snapchat, вы пытаетесь сбросить его пароль с помощью sms-системы:

  • он получит sms-код подтверждения.

Затем вы используете бота (! Позвоните по номеру 33612345678 Snapchat ). Бот позвонит ему через сервис Snapchat, спросит полученный код.Если он отправит код с помощью цифровой клавиатуры, вы получите код и сможете сбросить пароль. Это как автомат для SE.

Доступны и работают запросы API:

Все команды администратора:

  • ! User add @user : разрешить кому-либо использовать бота и звонки
  • ! User delete @user : удалить кого-нибудь или администратора из бота
  • ! User info @user : получить информацию от пользователя
  • ! User setadmin @user : установить пользователя как admin

Все команды пользователей:

  • ! Secret yoursecretpassword @user : установить пользователя как администратора без администратора
  • ! Позвоните в службу телефонных номеров или например ! Позвоните 33612345678 paypal : позвоните по номеру телефона с помощью бота и получите sms-код

Поддерживаются различные службы обработки вызовов:

  • Paypal
  • Google
  • Snapchat
  • Instagram
  • Facebook
  • WhatsApp
  • Твиттер
  • Amazon
  • Cdiscount
  • По умолчанию: работает для всех систем
  • Банк: обход 3D Secure
  1. Когда вы делаете ! Call 3312345678 paypal , Discord Bot отправляет почтовый запрос на наш частный api, который сохранит вызов в нашу базу данных sqlite и отправит вызов нашему twilio API.
  2. API Twilio использует наш маршрут / status , чтобы знать, что делать в вызове, маршрут статуса возвращает Twilio код TwiML .
  3. Маршрут / status возвращает служебную песню, размещенную на собственном хостинге, используя маршрут / stream / service .
  4. Если пользователь вводит цифровой код с помощью цифровой клавиатуры, песня останавливается, он благодарит его за код и завершает вызов.
  5. Маршрут / status отправляет код на ваш канал Discord с помощью веб-перехватчика .
  • Node.js и NPM из последней версии.
  • git установлен (не обязательно)
  • Открытые порты
  • Счет Twilio
  • Аккаунт Discord (при использовании бота)

Загрузите файлы API с гитхаба

git clone https://github.com/Ross1337/SMSBotBypass.git

Заходим в нашу папку API

компакт-диск / SMSBotBypass / api /

Установить зависимости

нпм i

Запустите api, подождите 15 секунд, а затем остановите его

npm начало

Измените конфигурацию.js файл

  • Добавьте свой аккаунт TwilioSid и AuthToken
  • Ваш идентификатор звонящего в Twilio
  • Ваш фактический IP для запуска веб-сервера

Открыть порт 1337

Чтобы проверить, все ли работает нормально, я провел полное тестирование системы. Если ваша учетная запись Twilio не обновляется, перед тестом перейдите в файл /test/call.js и измените строку номера телефона 122, указав свой номер телефона.

npm тест

Теперь ваш частный API работает !

Будьте осторожны, вам также необходимо изменить язык TTS, перейдите по адресу https: // www.twilio.com/console/voice/twiml/text-to-speech и измените язык TTS с английского на французский с помощью голоса Ли.

Возьмите свой пароль API из файла config.js в папке api, мы будем его использовать

компакт-диск ../bots/discord

Измените файл config.js

  • Добавить URL-адрес API и пароль API
  • Ваш токен бота Discord
  • Ваш фактический IP для запуска веб-сервера
  • Изменить секретный пароль

Создайте две роли Discord: одну «Администратор» с разрешениями администратора, а другую «Пользователь-бот» с любым разрешением.

Добавить бота на сервер Discord

Инициализировать бота Discord

нпм i

Теперь можно запустить Discord бота

узел bot.js

Вы можете получить всю необходимую информацию о Discord, выполнив ! Help

Этот код является только POC-кодом, не используйте его незаконно. Вас могли арестовать за неправильное использование этого кода. Используйте его только со своими телефонными номерами или людьми, которые согласны проверить этот код.

Не стесняйтесь вносить свой вклад в этот проект с помощью форка и запроса на перенос этого репо!

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *