«Карта и PIN в твоих руках — не значит, что ты контролируешь безопасность транзакции. На пути данных от терминала до банка есть точки, где твоя бдительность уже ничего не решает. В этих точках небольшие магазины экономят на всём, и именно там происходят утечки, о которых ты не узнаешь, пока не найдёшь странные списания в истории операций.»
Почему кассир уносит карту за угол или к себе в смартфон
Вы видите считывающий аппарат, но не видите программное обеспечение, которое с ним работает. Проблема начинается там, где заканчивается официальный банковский терминал. Часто в магазинах устанавливают самые дешёвые китайские или отечественные клоны популярных моделей. Эти устройства могут работать через мобильное приложение, установленное на смартфон или планшет кассира.
Пластиковая карточка исчезает из вашего поля зрения, чтобы её приложили к другому устройству, подключённому к телефону по Bluetooth. Или кассир просто вводит номер карты в это приложение вручную, если терминал «глючит». Это первый рубеж, где данные можно перехватить. Приложение может быть официальным, а может быть и нет — разницы для вас нет, интерфейс выглядит одинаково. Но в неофициальной версии могут быть внедрены средства для скимминга — считывания и отправки введённых данных на сторонний сервер.
Что происходит с данными после того, как терминал сказал «одобрено»
Банковская транзакция завершена, вы получили чек. Но копия ваших данных — номер карты, срок действия, иногда и имя держателя — уже живёт своей жизнью в системах магазина. Они сохраняются для отчётности, для анализа продаж, для программы лояльности. Закон обязывает защищать эти данные, но методы защиты зависят от бюджета.
В небольшом магазине учёт ведётся в простой 1С или аналогичной базе, установленной на единственный офисный компьютер. Часто этот компьютер имеет прямой доступ в интернет, на нём нет разграничения прав, а пароль от учётной записи администратора знают все сотрудники. База данных с платёжной информацией хранится локально на жёстком диске и практически никогда не шифруется. Достаточно одной вредоносной программы, попавшей на этот компьютер через почту или флешку, чтобы собрать все накопленные за месяцы данные карт.
Экономия на интеграции — прямая дорога к уязвимости
Процессинг, это услуга по проведению платежа. Магазин заключает договор с процессинговым центром. В идеале, терминал должен напрямую общаться с центром по защищённому каналу. Но небольшие магазины выбирают самые дешёвые тарифы, где используется упрощённая схема.
Данные с терминала могут сначала попадать не напрямую в процессинг, а на промежуточный сервер самого магазина или сервер компании-посредника, предоставляющей «облачную кассу». Эти серверы собирают данные с нескольких точек, а уже потом пачками отправляют в банк. Такие промежуточные узлы — лакомые цели для атак. Их безопасность проверяется по остаточному принципу. Если такой сервер взломают, утечку понесут сразу все магазины, подключённые к нему.
Сотрудники как самое слабое звено: не злоумышленники, но проводники
Владелец магазина доверяет своим людям. Но он не контролирует их цифровую гигиену. Кассир может использовать один и тот же пароль на работе и в соцсетях. Его личная почта может быть скомпрометирована. Установив вредоносное ПО на домашний компьютер, злоумышленники получают доступ к удалённому рабочему столу, если кассир подключается к рабочей базе из дома «чтобы отчёт посмотреть». Так конфиденциальные данные утекают через, казалось бы, надёжного сотрудника.
Бывает и проще: сотрудник, обрабатывающий возвраты или сверки, выгружает данные карт в Excel-файл «для удобства» и хранит его на рабочем столе. Файл попадает в папку, синхронизируемую с облачным диском по умолчанию, и оказывается доступен в интернете для любого, у кого есть прямая ссылка.
Тихий сбор данных для «анализа покупательской способности»
Помимо прямого мошенничества, существует серая зона сбора данных. Некоторые поставщики ПО для торгового учёта или онлайн-касс предлагают магазинам «бонусные» функции: анализ платёжеспособности клиентов, прогнозирование спроса. Чтобы это работало, ПО в фоновом режиме собирает и анонимизирует данные о покупках, привязывая их к конкретным картам.
Процесс анонимизации часто формален. По набору покупок в разных магазинах, использующих одного поставщика ПО, можно легко деанонимизировать человека и составить его финансовый и поведенческий профиль. Эти профили затем могут быть проданы маркетинговым или кредитным агентствам без вашего ведома. Утечка в таком случае не мгновенная, а тихая и постоянная.
Как технически происходит перехват данных на уровне приложения или ОС
На компьютере кассира может быть установлен так называемый сниффер или кейлоггер. Первый перехватывает сетевые пакеты, которые отправляет ПО кассы на сервер процессинга. Второй записывает все нажатия клавиш, включая ввод номера карты вручную. Вредоносная программа маскируется под системный процесс или драйвер принтера для чеков.
Более изощрённый метод — подмена библиотек. ПО для работы с терминалом использует стандартные DLL-библиотеки для шифрования. Злоумышленник может подменить одну из них на свою, которая будет сначала сохранять данные в открытом виде, а уже потом передавать на шифрование. Для антивируса это будет выглядеть как легитимная работа программы.
Что можно сделать, чтобы минимизировать риски
Полностью исключить риск нельзя, но можно его серьёзно снизить, взяв под контроль то, что зависит от вас.
- Используйте бесконтактную оплату через телефон (NFC). В этом случае терминалу передаётся не реальный номер карты, а одноразовый токен — виртуальный идентификатор. Даже если токен перехватят, использовать его для повторной оплаты будет невозможно. При оплате физической картой по PayPass/PayWave также генерируется токен, но старые терминалы могут использовать устаревший протокол.
- Заведите для онлайн-платежей и повседневных трат отдельную карту. Положите на неё ограниченную сумму. Основные средства храните на карте, которой не пользуетесь в офлайне. Это локализует ущерб в случае компрометации.
- Включайте уведомления о всех операциях в смс или банковском приложении. Это не предотвратит кражу, но позволит узнать о ней в первые минуты и оперативно заблокировать карту.
- Никогда не называйте CVV-код (три цифры на обороте) вслух. Если кассир просит продиктовать его для оплаты, это красный флаг. Такой запрос не предусмотрен стандартными процедурами при оплате через физический терминал. CVV нужен только для операций, где карта не присутствует физически (онлайн).
Заключение
Безопасность платежа в небольшой торговой точке, это компромисс между стоимостью технологии для бизнеса и вашей личной безопасностью. Вы доверяете магазину не только деньги, но и цифровой след, который проходит через цепь слабо защищённых узлов. Осознание этого факта — первый шаг к защите. Второй — использование технологий, которые уменьшают ценность данных для потенциального перехватчика, таких как токенизация через смартфон. Помните, что мошенникам не нужна именно ваша карта — им нужны любые данные, которые можно быстро monetize. Чем сложнее их получить в пригодном виде, тем выше шансы, что атака перенаправится на более лёгкую цель.