Новостная лента
Юмористические истории №3
Программе “Фотошоп” в этом году исполняется 25 лет. Ну, на самом деле исполняется 38, но выглядит она на 25. Пришел мужик домой. Cел за компьютер. И давай на жену кричать: — Ты изменяла? — Нет, как я могу? — Изменяла? — Да, с кем я могла? — Признавайся, изменяла? — Ну, было разочек с соседом… — Я спрашиваю: пароль для входа в сеть...
далееСпособы аутентификации 2016
В начале нового года все пытаются предугадать, что он принесет: какие тенденции будут преобладать в экономике и политике, какие наряды станут самыми модными, какие книги завладеют умами и душами, чем удивят и порадуют поклонников технического прогресса изобретатели и разработчики. Попытаемся и мы “предсказать”, как будут развиваться в наступившем году технологии и способы аутентификации, что нового нас ждет, и насколько это новое может быть лучше уже привычного (и лучше ли). Сразу бросается в глаза одна, главная тенденция: многие крупнейшие компании, диктующие моду на рынке IT-технологий, стремятся создать такие средства аутентификации пользователей, которые не только будут отличаться высоким уровнем защиты данных, но и максимально упростят процедуру подтверждения подлинности при входе в аккаунт. В качестве примера достаточно назвать лишь имена Pay Pal (крупнейшая международная система денежных переводов) и Google, в которых сейчас идет активная работа над тем, чтобы облегчить такой процесс как аутентификация клиента для посетителей своих ресурсов. Разработчики предлагают разные, зачастую довольно экзотические способы аутентификации, которые, по мысли авторов, помогут совместить безопасность и простоту использования. Вполне естественно, что каждый отстаивает перспективность именно своего метода. Пожалуй, единственное, что объединяет всех — это осознание необходимости что-то изменить в традиционной процедуре аутентификации. Сегодня она чаще всего базируется на 2FА с использованием одноразовых паролей (one time password). Какие же имеются альтернативы? 1. Уход от использования в качестве первого фактора постоянного пароля. Это один из наиболее многообещающих на данный момент вариантов. При его грамотном применении возможна полноценная двухфакторная авторизация, дающая высокий уровень защиты и минимальную сложность в применении. Например, практически всякий токен (token) снабжается PIN-кодом, который нужно указать перед началом работы с устройством. Почему бы не использовать PIN в виде первого фактора двухфакторной аутентификации — фактора знания? А необходимым вторым фактором — обладания — вполне может стать сам смартфон с программным токеном или аппаратный ОТР токен. Более того, и программные, и аппаратные токены могут поддерживать функцию CWYS (подпись данных), что дополнительно усиливает степень защиты. 2. Oдноразовые пароли — на свалку истории. Многие пользователи не желают тратить время на ввод одноразовых паролей для авторизации в той или иной учетной записи. Особенно, когда в течение одной сессии код аутентификации/временный пароль приходится вводить неоднократно (такая мера предосторожности практикуется, если высокая степень защищенности соединения критически важна). Разработчики постоянно ищут новые способы избежать этого неудобства. Не так давно была представлена аутентификация по методу сравнения фоновых шумов. Тот же Google разрабатывает метод авторизации, при котором на смартфон будут отправлять сигналы по каналу GCM (Google Cloud Messaging). Еще один вариант с использованием смартфона представлен фирмой Clef. 3. Новые виды аппаратных токенов, неуязвимые для вирусов. Существующие на сегодня USB-токены могут быть уязвимы к внедрению вирусов на компьютеры, к которым они подключены. Не так давно появились усовершенствованные USB-токены — Yubikey. Они вставляются в устройство как флешка, но срабатывают только после нажатия на специальную кнопку, что защищает их от угрозы использования без участия пользователя. Другим вариантом может быть токен в виде браслета или кольца, который соединяется со смартфоном или компьютером по беспроводному каналу связи. Разработка подобной технологии находится в планах компании Протектимус. 4. Биометрические способы аутентификации. Уже сегодня достаточно широко применяются во всевозможных мобильных устройствах. Но, хотя удобство авторизации на сайте при помощи отпечатка пальца или звука голоса очевидно, надежность такого способа в условиях интернета вызывает сомнения. Подробнее о плюсах и минусах биометрической аутентификации можно прочитать тут. 5. Внедрение имплантов в человеческое тело. Это смелое инновационное предложение видится разработчикам из Pay Pal тем самым “золотым ключиком”,...
далееЮмористические истории №2
Криминальная хроника: — Вчера был убит известный спамер. В списках подозреваемых 300 млн. адресов. Стоит программист возле окна — закрывает, открывает. Закрывает, открывает. Подходит второй и спрашивает: — Что ты делаешь? — Ну, прикинь: закрыть могу, открыть могу, а свернуть — не...
далееЮмористические истории №1
Знаете почему Bing так долго ищет? — Он гуглит! Wikipedia: Я знаю всё! Google: Я найду всё! Facebook: Я знаю всех! Internet: Без меня вы ничто! Электричество: Ну ну! Наверное, когда-нибудь Google настолько усовершенствуют, что можно будет ввести запрос «Где второй носок?» и получить ответ: — Под диваном,...
далееВыживут ли пароли?
В стремительно меняющемся современном мире измениться может даже то, что кажется незыблемым и неоспоримым. Вот, допустим, пароли. Все к ним привыкли настолько, что их необходимость даже как-то странно подвергать сомнению. И все же, попробуем. Нужны ли сегодня обыкновенные многоразовые пароли? Сеть переполнена рассуждениями об их несовершенстве, низком уровне защищенности — взламывают их все, кому не лень. Да и владельцы аккаунтов не всегда ответственно используют это средство: редко меняют пароли, хранят их в доступном для посторонних месте, выбирают короткие и легкие для угадывания комбинации. Надежные пароли — выбор и использование А между тем, уже давно есть способы аутентификации, дающие гораздо большую уверенность в том, что вход в учетную запись осуществляет именно тот пользователь, которому она принадлежит. Например, двухфакторная авторизация, использующая одноразовые пароли, успешно применяется на все большем количестве сайтов. Если говорить о ресурсах, которые производят обращение финансовых средств в интернете (онлайн-банки, платежные системы), то тут двухэтапная аутентификация клиента является неоспоримым стандартом. Двухфакторная аутентификация работает на основе одновременной проверки двух составляющих, способных подтвердить легитимность пользователя: знания и владения. Фактором знания выступает многоразовый пароль, который пользователь вводит при входе в учетную запись, или PIN-код токена, генерирующего временный пароль. А вторым — фактором владения — чаще всего служит телефон, на который приходят SMS с одноразовыми паролями, либо ОТР токен. Сама же отправка на сервер временного пароля, полученного при помощи этих устройств, как раз и является подтверждением фактора обладания. По какому принципу работает двухфакторная аутентификация Практика показывает, что использование токена в качестве средства аутентификации пользователей обеспечивает более высокую степень защиты, чем привычные многим SMS. В чем же преимущества токенов? Токен работает автономно, не используя открытых каналов связи и подключения к интернету. Для начала работы с ним, как правило, требуется указать PIN-код, что дополнительно предохраняет от несанкционированного доступа. Устройство генерирует пароли с использованием наиболее современных алгоритмов шифрования данных. Например, в токенах компании Протектимус, применяются три разных алгоритма генерации: TOTP, HOTP и OCRA. Для случаев, когда нужна особенно высокая степень защищенности, может применяться строгая аутентификация по системе “запрос-ответ”. В этом случае каждая из сторон аутентификационного обмена располагает заранее условленным секретным ключом. Во время проведения аутентификации его значения учитываются при создании временного пароля и его расшифровке. Надежность проверки подлинности пользователя, которую обеспечивает двойная аутентификация, основана на том, что недостатки и уязвимости одного фактора могут быть компенсированы другим. Так, если злоумышленникам станет известен пароль или PIN-код, то доступу в аккаунт посторонних воспрепятствует незнание ими one time password. Если же в чужих руках окажется телефон или ОТР токен, то без введения PIN-кода для разблокирования устройства (либо обыкновенного пароля) легальность пользователя не сможет быть подтверждена. Сохранятся ли в будущем многоразовые пароли? Ведь они, несмотря на все свое несовершенство, являются важнейшим элементом двухфакторной аутентификации. Не потеряет ли она всей своей мощи, если “отменить” пароли? Думается, без них вполне можно обойтись уже сейчас, не лишая при этом 2FA столь необходимого ей первого фактора — знания чего-либо. Ведь с функцией, выполняемой сегодня обычным паролем, легко может справиться PIN-код, которым оснащен практически любой современный токен. Такой подход позволит сохранить проверку по двум параметрам (знание PIN-кода и обладание токеном) и, одновременно, упростит прохождение процедуры для пользователя. Защита данных при этом нисколько не пострадает. На памяти одного поколения ушли в прошлое кассетные магнитофоны, ламповые телевизоры и бумажные письма. Похоже, та же судьба скоро постигнет и привычный многоразовый пароль. Скажем ему “спасибо” и...
далееМобильная аутентификация
Популярность мобильных устройств растет с каждым днем. Смартфоны, планшетные компьютеры, “умные” часы — сегодня этих легких переносных “мини-ПК” продается больше, чем традиционных стационарных компьютеров и ноутбуков. Такую тенденцию диктует ритм современной жизни, изобилующий перелетами и переездами — часто на другой конец земного шара. Огромное количество людей работает сегодня не в привычном офисе, а удаленно, в комфортных для себя условиях — дома или в путешествии. А небольшое, легкое мобильное устройство удобно постоянно держать под рукой. В такой ситуации для доступа к личным и, особенно, рабочим аккаунтам остро необходимы надежные способы аутентификации. Поэтому мобильная аутентификация приобретает значение, которое невозможно переоценить. Стоит отметить, что под мобильной аутентификацией может подразумеваться два разных понятия: Аутентификация пользователя как владельца смартфона или планшета. Аутентификация пользователя в любом сервисе, поддерживающем технологию двухфакторной аутентификации (2FA), используя смартфон в качестве токена. Рассмотрим более подробно второй вариант, как более многогранный и интересный. Как известно, двухфакторная аутентификация происходит обычно в два этапа. Сначала вводится обыкновенный многоразовый пароль, “закрепленный” за юзером на том или ином сайте. Система сверяет введенную комбинацию символов с той, которая хранится в базе данных ресурса. Если первая проверка прошла благополучно, дальше следует второй этап аутентификации клиента, окончательно подтверждающий его право на вход в аккаунт. Обычно для этого требуется указать одноразовый пароль (one time password), который тем или иным путем доставляется пользователю. И именно на стадии получения пароля неоценимую помощь могут оказать мобильные гаджеты. Мобильная аутентификация как составляющая 2FA Получение Одноразового пароля в SMS-сообщении. Входя в аккаунт c компьютера или ноутбука, пользователь для подтверждения своей личности указывает временный пароль, пришедший на его мобильный телефон по SMS. SMS-аутентификация считается очень удобной, так как, для получения пароля не нужно никаких действий со стороны пользователя. Ему не нужно идти в банк или на почту для получения дополнительного средства аутентификации пользователей — аппаратного токена. Не требуется даже установка специального ПО: функция SMS изначально встроена в любой телефон. Все что должен иметь пользователь — это мобильный телефон, который есть сегодня практически у каждого. Но, как известно, у каждой медали две стороны — есть свой “реверс” и у подобного способа аутентификации. Дело в том, что каналы мобильной связи защищены довольно слабо и теоретически мошенники могут подключиться к соединению и перехватить OTP пароль. К тому же, качество сигнала может быть низким. А значит, SMS просто не дойдет в срок и одноразовый пароль, действительный только в течение короткого времени, утратит свою актуальность. Смартфон в роли генератора одноразовых паролей. Есть более современный и надежный способ получить OTP пароль. Для этого на смартфон устанавливается специальная программа, генерирующая одноразовые пароли, что превращает устройство в полноценный ОТР токен. Разработчиками создано несколько подобных приложений, подходящих для различных мобильных операционных систем. У компании Протектимус такое тоже имеется — называется оно Protectimus Smart. Его можно бесплатно установить на смартфоны с Android и iOS, а также часы Android Wear. Программный токен имеет возможность довольно широкой настройки: выбор длины создаваемого пароля, алгоритма его генерации, а также поддержку функции подписи данных. Однако, и у этого способа получения одноразовых паролей есть уязвимое место — несовершенная защита данных в операционных системах, на которых работают мобильные устройства. Причем, если раньше iOS считалась практически неподвластной вирусам и взломам, то сегодня хакеры добрались и до детища Стива Джобса: эксперты подтверждают наличие “дыр” в ее защите. Уязвимость же Android давно ни преграда для хакеров. Несмотря на некоторые недостатки, мобильная аутентификация очень удобна для пользователей — прежде всего потому, что не требует для проведения...
далееКак работает двухфакторная аутентификация
С 2FA сталкивался любой более-менее опытный пользователь интернета. Но в том, по какому принципу работает двухфакторная аутентификация, разбираются немногие. Для того, чтобы наиболее эффективно использовать этот мощный инструмент защиты данных, стоит узнать о нем побольше. Первый фактор — постоянный пароль Двухфакторная аутентификация начинается с обычного, знакомого по регистрации на любом сайте пароля. Он, как правило, выбирается самим пользователем при создании своей учетной записи. Сам по себе многоразовый пароль обладает не очень большой надежностью и может обеспечить только элементарный базовый уровень защиты аккаунта. В двухфакторной аутентификации он служит первым фактором, первым “ключом”, отпирающим аккаунт. Тем не менее многоразовый пароль, особенно если выбран с умом, является важной составляющей процесса двухфакторной аутентификации, ведь является фактором знания. К категории факторов знания можно отнести также PIN-коды. Что же следует за введением пароля? Тут могут быть разные варианты. Фактор номер два — возможные разновидности В качестве второго фактора двухфакторной аутентификации могут использоваться способы аутентификации двух типов: То, что мы имеем. Аппаратные идентификаторы в виде смарт-карт, сертификаты с цифровой подписью, токены, генерирующие одноразовые пароли. Эти средства аутентификации пользователей требуют физического подключения и, обычно, знания PIN-кода. А на компьютер, с которого осуществляется вход в систему, нужно установить специальное ПО для взаимодействия с таким идентификатором. Подобный способ кажется некоторым пользователям не совсем удобным, ведь аутентификаторы такого типа нужно постоянно носить с собой и следить за их сохранностью. Если смарт-карта или OTP токен будут украдены или потеряны, то аутентификация клиента станет невозможной. То, что нам присуще. В эту группу входят неотъемлемые биометрические характеристики человека. Это могут быть отпечатки пальцев, рисунок сетчатки глаза, очертания лица, звучание голоса. Идентификаторы этого типа не используют криптографических методов и средств. Чаще всего аутентификация на основе биометрии применяется для контроля доступа в помещения или к оборудованию — например, на проходных предприятий и организаций. Для использования в условиях отдаленности проверяемого и проверяющего (как это и происходит в интернете) наиболее удобны и надежны одноразовые пароли дополнительно защищенные PIN-кодом. Временный пароль хорош именно тем, что он актуален только на один сеанс. Даже в случае перехвата злоумышленниками OTP пароля, он будет бесполезен при попытке повторного использования. Способы генерации одноразовых паролей Для того, чтобы понять, по какому принципу работает двухфакторная аутентификация, важно представлять, откуда “берутся” временные пароли и как они становятся известны легитимному пользователю, входящему в систему. Есть несколько способов доставить пароль адресату: послать по электронной почте; отправить SMS на телефон; заранее выдать список паролей для однократного использования каждого из них; сгенерировать “на месте”, применив программные или аппаратные токены. Устойчивость одноразового пароля прежде всего достигается использованием сложных алгоритмов его генерации, которые постоянно совершенствуются. В решениях, предлагаемых компанией Протектимус основными являются три из них. HOTP — по событию. За основу для создания ОТР берется количество процедур аутентификации, пройденных конкретным пользователем, и заранее известный обеим сторонам секретный ключ. Эти же значения учитываются при проверке подлинности на сервере. TOTP — по времени. Этот алгоритм аутентификации генерирует пароль, учитывая параметр времени. Обычно используется не конкретное число, а текущий интервал с заранее определенными границами. OCRA — система “запрос-ответ”. Данный алгоритм формирует одноразовые пароли, используя в качестве входных данных случайное значение, пришедшее от сервера. Также он может дополняться функцией подписи данных, которая помогает усилить защищенность процедуры аутентификации. Эта функция позволяет при создании и проверке пароля включать в вычисления конкретные параметры текущей транзакции, среди которых не только время, но и адресат, валюта, сумма перевода. Ввиду своей высокой надежности алгоритм OCRA лучше всего подходит для использования на наиболее...
далееКак выбрать надежный пароль
В 2007 году самым популярным паролем среди пользователей интернета было слово “password”. Позже многие поняли, что сильный пароль должен включать не только буквы, но и цифры. И уже в 2008-м в фавориты вышел “password1”. Несмотря на все усилия специалистов по кибербезопасности объяснить среднему юзеру, что предсказуемый и часто используемый пароль надежным быть не может, “password1” до сих пор не снимает желтой майки лидера. Конкурировать с ним способен, пожалуй, только “123456”. Все эти пароли не теряют своей популярности и сегодня, вспомним хотя бы список самых популярных паролей пользователей сайта Ashley Madison, обнародованный этой осенью. Большинство людей понимают, как важна защита данных в интернете и надежные пароли, ее обеспечивающие. Но при этом ошибки, совершаемые при подборе паролей и их использовании, делают такую защиту практически бесполезной. Какие же факторы стоит учитывать, чтобы пароли действительно выполняли ту работу, для которой предназначены: защищали наши данные в сети? Больше паролей хороших и разных Пугающе большое количество пользователей использует во всех своих аккаунтах один и тот же пароль. В лучшем случае — два. Это все равно, что иметь один ключ “на все случаи жизни”: для квартиры, гаража, рабочего кабинета, банковского сейфа. Потеря такого ключа подвергнет серьезной опасности абсолютно все объекты, защищаемые им. Взломав единственный, пусть и самый надежный пароль, мошенники получат доступ ко всем конфиденциальным данным человека. Если же в какой-то из систем, где зарегистрирован пользователь, попадется нечестный сотрудник, то ему даже не придется ничего взламывать. Получив логин и пароль из базы зарегистрированных в системе, будет совсем нетрудно попробовать применить их в других сервисах. В идеале, для каждого сайта стоит придумать отдельную комбинацию. Для таких аккаунтов как почта или учетная запись в банке индивидуальный пароль просто необходим. Надежные пароли — сложные, длинные, нестандартные Очень важно определиться с тем, какой пароль надежный. Бесспорно, правильный пароль должен быть достаточно длинным — никак не менее 8-10 знаков. Часто утверждают, что чем меньше смысла в комбинации букв, цифр и специальных символов, тем труднее хакерам ее взломать. Но как запомнить такой пароль? Существуют оригинальные методики создания паролей — одновременно и надежных, и запоминающихся. Одной из них является мнемоническая техника. Для придумывания пароля нужно подобрать значимую для конкретного человека фразу из песни, фильма, любимого стихотворения. Далее следует выписать начальные буквы первых 5-7 слов, а между ними вставить какой-либо специальный символ. Для посторонних такая комбинация не будет иметь смысла, а хозяин пароля всегда сможет легко его вспомнить. Такой “ключ” не придется хранить на жестком диске или листочке бумаги, где до него смогут добраться мошенники. Что же делать тем пользователям, которые не хотят тратить время и силы на самостоятельное придумывание надежного пароля, но все же стремятся защитить свои учетные записи? Раньше существовала всего одна возможность: использовать приложение-менеджер паролей. Правда, как и любая компьютерная программа, менеджер паролей обладает уязвимостями и может быть подвержен взлому. Но пароль, созданный таким образом, все же на порядок лучше, чем пресловутый “password”. Сегодня создание надежной комбинации можно поручить другим людям за небольшое вознаграждение. Не так давно в сети много писалось об 11-летней американской девочке, которая организовала собственный бизнес по созданию паролей. Желающие могут заказать легкий для запоминания, надежный пароль “ручной работы” всего за 2 доллара. Юная бизнесвумен использует в своей работе специальный словарь, из которого случайным образом выбирается 6 коротких слов, соединяемых потом во фразу-пароль. Ничто не вечно в интернете Сетевые мошенники постоянно повышают свою “квалификацию”. И потому может настать тот далеко не прекрасный день, когда даже самый сильный пароль...
далееАппаратный или программный токен — какой выбрать
Стремление к многофункциональности и максимальному удобству — основная тенденция нашего времени. Именно из нее проистекает всеобщая привязанность (которая часто граничит с зависимостью) к смартфонам. Эти маленькие устройства воплощают для современного человека принцип “все свое ношу с собой”: обычный телефон стал теперь миниатюрным переносным компьютером, по которому еще и звонить можно (но это уже давно не главная его функция). Поскольку в любом компьютере должна присутствовать надежная система защиты данных, а двухфакторная аутентификация (two-factor authentication) является одним из важнейших ее элементов — разработчики ПО предложили решение, при котором смартфон может превратиться в полноценный ОТР токен. Специалисты по кибербезопасности и пользователи с радостью приняли это средство аутентификации, которое действительно очень удобно. Если говорить о плюсах такого средства аутентификации, то они довольно весомы. Рассмотрим их на примере Protectimus SMART, удобного программного токена для генерации one time password, созданного компанией Протектимус: Смартфон всегда под рукой, доступен в любой момент, а значит, так же доступно будет и приложение на нем. Token снабжен PIN-кодом, позволяющим защитить генератор одноразовых паролей от несанкционированного доступа, если телефон по тем или иным причинам попадет в чужие руки. Гибкая система настройки: выбор длины пароля, алгоритма его генерации. Можно создать несколько токенов на одном устройстве. Наличие версии для гаджетов как на Android, так и на iOS. Более того, это может быть не только смартфон, но и смарт-часы Android Wear. Есть функция подписи данных (CWYS), которая позволяет защитить процесс транзакции от автозалива и реплейсмента. Защита данных не потребует никаких материальных затрат со стороны пользователя — приложение абсолютно бесплатное. А есть ли недостатки у программных токенов? Как ни печально, есть. И основной из них — это то, что устройство, на которое устанавливается токен, не является полностью изолированным от внешних воздействий. Прежде всего, компьютерных вирусов. Особенно это касается Android смартфонов, большая часть которых имеет те или иные уязвимости. Этого недостатка полностью лишены проверенные временем аппаратные токены. И хотя многие продвинутые пользователи и специалисты призывают признать их устройствами вчерашнего дня, они все же являются на сегодня самым надежным средством 2FA. Хотя, возможно, и не самым удобным. Но и с этим утверждением можно поспорить. Так ли уж сложен в использовании традиционный аппаратный токен? Попробуем разобраться, в чем его обычно обвиняют сторонники прогресса. Элемент питания обыкновенного токена не подзарядишь, в отличие от смартфона с программным токеном. Те, кто придерживается подобного взгляда, упускают из виду тот факт, что срок работы батареи в токене составляет 3-5 лет. Это зачастую превышает жизненный цикл аккумулятора смартфона. Который еще и приходится заряжать практически ежедневно. Аппаратный токен неудобно носить с собой и можно потерять. На это можно возразить, что телефоны тоже, в общем-то, теряются. Что касается удобства ношения, то современные токены очень невелики по размерам, легкие и часто обладают приятным дизайном, делающим их еще и симпатичной имиджевой вещью. Например, токен Protectimus One имеет форму небольшого брелока, его легко подсоединить к связке ключей (которые обычно тоже стараются не терять и постоянно носят с собой). А другое решение — Protectimus Slim представляет собой точную копию кредитной карты и не займет много места в бумажнике. Программные токены бесплатны, а аппаратные — нет. Оспаривать этот факт не имеет смысла, но стоит иметь в виду, что за настоящее качество и надежность не грех и заплатить. Так, токен Protectimus Ultra обладает наивысшим уровнем защищенности и рекомендуется к использованию на самых важных участках системы обмена данными. Он работает по алгоритму “запрос-ответ”, учитывая время как дополнительный параметр аутентификации; имеет секретный...
далееКража денег с банковских карт – как распознать накладку и не стать жертвой скимминга
Чем сильнее развивается технический прогресс, тем изощренней и изобретательней попытки мошенников обратить его себе на пользу. Чем активнее наличная денежная масса в наших карманах заменяется пластиковыми платежными картами, тем больше придумывают способов их взлома. Знать о том, какие приемы используют мошенники с банковскими картами, полезно любому, чтобы не стать для них легкой жертвой. Представим краткий обзор излюбленных методов злоумышленников. Как происходит кража денег с банковских карт? Чтобы кража денег с банковских карт прошла успешно злоумышленнику нужно выполнить одну основную задачу — узнать PIN-код карты, установленный ее владельцем. Для этого могут применяться: Накладки на клавиатуру банкомата. Поверх настоящих клавиш устанавливается малозаметная накладка, которая способна “запомнить” цифры PIN-кода. Видеокамера. Под козырек банкомата прикрепляют миниатюрную камеру, которая передает изображение на ноутбук злоумышленников, находящихся неподалеку. Правда, применению этого метода несложно помешать, если завести привычку каждый раз, набирая PIN-код, закрывать свободной рукой клавиатуру (на всякий случай). Визуальное наблюдение. Просто подсмотреть, стоя рядом. Поддельный банкомат. Устанавливается в месте с достаточно большой проходимостью. Денег, конечно, не выдает, но исправно фиксирует PIN-коды вставляемых карточек. Может также считывать данные с магнитной полосы для дальнейшего изготовления копии карты. Вариант с истинным размахом, который может применяться только в расчете на длительную работу. Ведь ради одного-двух украденных кодов на такие затраты вряд ли кто пойдет. После того как мошенники получили PIN-код, им теперь надо каким-то образом получить и карту. Украсть. Самый незамысловатый способ. Выманить обманным путем. Для этого в картоприемник банкомата вкладывается специальный пластиковый конверт, незаметный при беглом взгляде. Владелец карточки пробует снять деньги, но банкомат “не видит” ее через конверт. Достать карту, не зная, как это делается, тоже не получится. Тут появляется мошенник и говорит, что недавно столкнулся с такой же пробемой и решил ее, дважды набрав PIN-код и нажав кнопку ввода. После нескольких предсказуемо неудачных попыток жертва уходит, чтобы оповестить банк о случившемся. Злоумышленник достает кредитку вместе с конвертом (он-то знает, как это сделать) и снимает деньги, использовав код, который при нем только что ввели. Эти два способа имеют один недостаток: ограниченное время пользования картой. Ведь так или иначе поняв, что мошенники уже украли деньги с карты, клиент, естественно, попросит банк ее заблокировать. Для преступников же предпочтительнее, чтобы кража денег с карты была выявлена жертвой как можно позже. А потому есть еще один метод: Изготовить дубликат пластиковой карты. Одним из методов получения информации, необходимой для этого, служит скимминг. Тут тоже используется накладка на щель для ввода карты, но не с целью сделать кредитку невидимой для банкомата, а для того, чтобы скопировать с нее данные, хранящиеся на магнитной полосе. Для владельца карты все происходит как обычно: он вставляет карточку, вводит PIN-код, снимает деньги и уходит довольный. После этого злоумышленники забирают дополнительную “деталь” и списывают данные на магнитную ленту (подойдет и обычная пленка от видеокассеты). Чтобы создать вполне работоспособный клон банковской карты остается только наклеить ленту на пластик подходящего размера. А потом можно дождаться, когда на счету окажется крупная сумма — и тогда уже снимать урожай. Несколько особняком стоят методы, которые нельзя отнести ни к одной из описанных категорий: Подключиться к кабелю, по которому банкомат осуществляет связь с банком, и таким образом получить необходимые данные. Пока представляется сложным технически, но, учитывая количество инструкций в интернете на эту тему, может стать довольно распространенным. Не стоит полностью сбрасывать со счетов вступление преступников в сговор с нечестными работниками банков. Правда, для того, чтобы банковский клерк решился на это, на кону должна стоять очень значительная...
далее