Махинации с Бюро Кредитных Историй

http://www.uic.edu/htbin/cgiwrap/bin/ojs/index.php/fm/article/view/2583/2246
  • Перевод
В недавнем посте «Кредитные хакеры»: методика банковских манипуляций
была выжимка методов махинаций кардеров с Бюро Кредитных Историй в США.
В том посте давалась ссылка на полный материалпо этой теме за авторством Кристофера Согояна (Christopher Soghoian). За перевод данного материала я и взялся, так как самому было интересно, да и нашлись еще хабрапользователи, кому было бы интересно почитать.
Так как текст довольно объемный, то решил его публиковать частями по мере перевода.
Содержание
1. Введение
2. Система потребительских кредитов в США

3. Как получить выгоду от кредитной системы
4. Кредитные уязвимости и эксплоиты
5. Предлагаемые улучшения 
6. Заключение

PS ссылки в тексте не переведены и находятся в оригинале перевода.
PS2 спасибо юзеру rusxg, который неожиданно подключился к переводу текста.

Махинации с бюро кредитных историй.

Аннотация

В данном документе будут описаны лазейки и эксплоиты применимые к Бюро Кредитных Историй США, которые позволят существенно повысить свой (или чей-то) возможный кредит на сотни тысяч долларов.
Хотя описанные ниже методы использовались для личной (легальной) выгоды небольшого кардерского комьюнити, те же самые методы могут использоваться и куда менее честными людьми — криминальными личностями с целью нарушить закон, втянуть в пирамиду кучу людей и свалить с деньгами.
Целью данного документа является освещение этих эксплоитов, их анализ сквозь призму сообщества по компьютерной безопасности, а также предложение исправлений, которые значительно снизят эффективность существующих эксплоитов, с какими бы намерениями они не использовались.

1. Введение

Экономика США во многом зависит от предоставления детализированной информации кредитной истории покупателя [1].
Благодаря кредитной системе, покупатель, не имеющий никаких отношений с автосалоном, может придти, выписать чек и укатить на новеньком авто за 50,000$ [2].
В странах, где нет системы кредитных историй, вам бы пришлось расплатиться наличкой или же получать гарантийное письмо от банка, которое подтвердит вашу платежеспособность.

Три частные корпорации, известные как Бюро Кредитных Историй (БКИ), собирают и распространяют информацию о истории платежей и кредитоспособности миллионов американцев [3].
Финансовые компании, которые одалживают деньги клиентам (с использованием кредитных карт, ипотеки или кредитов на обучение), передают финансовую информацию БКИ. Передаваемая информация может быть как положительной, так и отрицательной, и, как правило, предоставляется в виде истории платежей [4].

Бюро Кредитных Историй выступают в роли механизма учета[5] или репутационной системы[6], при помощи которой кредитор может оценить возможные риски без всякого взаимодействия с заемщиком.
Основываясь на информации, представленной в кредитном отчете, кредитор может повысить или понизить процентную ставку, потребовать внушительного первоначального взноса или же вообще отказать в кредите.

В литературе по ИнфоБезу уже были случаи атак на системы репутаций [7]. Обычно хакеры фальсифицировали информацию, хранимую системами, для ввода в заблуждение или атак третьих лиц.

В данном документе показаны уязвимости, которые постоянно используются смекалистыми пользователями для изменения своих кредитных историй.
Контролируя свою финансовую репутацию, кардеры могут получить гораздо более значимые кредиты, чем могли бы получить на самом деле.

Вообще-то это, конечно, не хаки и эксплоиты в традиционном понимании, так как не требуют не авторизованного доступа к компьютерным системам.
Более того, во многих случаях, атакующий даже не взаимодействует с БКИ напрямую, хотя его цель по-прежнему состоит в изменении кредитных данных, которые хранятся в БКИ.
А так как эти атаки не являются жульничеством или обманом, то было бы не корректно ассоциировать их с социальной инженерией.
Эти методы используют процессы в жестко сформулированных протоколах связи между БКИ и кредиторами.

Мы проанализируем эти уязвимости и их использование с точки зрения компьютерной безопасности.
Многие эксплоиты — это книжные примеры известных проблем компьютерных систем. Это race conditions, atomic data access и queue overflows [10]. Все эти проблемы тщательно проанализированы в литературе и используются хакерами.
Благодаря знаниям в областях компьютерной безопасности, финансов и права мы можем эффективно проанализировать уязвимости и предложить соответствующие решения.

Наконец, мы бы сами протестировали и извлекли пользу из этих уязвимостей, в следствие существующих юридических рисков, связанных с эксплуатацией и дальнейшей документацией данной уязвимости, но вынуждены опираться на возрастающее число аккаунтов, выкладываемых на форумах кардерами, которые впервые узнали и продолжают пользоваться данными уязвимостями [11].

Вторая глава, по сути, является введением в систему потребительских кредитов в США.
В 3-ей главе покажем несколько способов, которые могут влиять на кредитный отчет, который в свою очередь позволит вам взять в кредит кучу денег.
4-ая глава расскажет о лазейках, которые еще больше увеличат кредитные средства.
А в 5-ой главе будут предложены способы прикрытия вышеописанных лазеек.

2. Система потребительского кредитования в США

Доступность централизованных детальных отчётов о характере получения и выплаты кредитов отдельными потребителями привела к фундаментальным изменениям экономики США, а также облегчила получение потребителями новых кредитных линий [12].

Три частных бюро кредитных историй (БКИ) — Experian, Equifax и Transunion — собирают подробную информацию о фактах выплаты и получения кредитов потребителями [13].
Эта информация затем используется кредиторами для определения кредитоспособности потребителя, как уже имеющего кредиты, так и не имеющего.

У БКИ есть файл-досье, содержащее информацию по каждому человеку, пользующемуся кредитами в США.
Более двух миллиардов записей добавляется в эти файлы-досье ежемесячно, и более трёх миллионов кредитных отчётов предоставляется ежедневно [14].
Основная роль БКИ заключается в предоставлении подробной кредитной истории финансовым учреждениям — учреждениям, с которыми потребитель уже имеет дело, с которыми потребитель устанавливает деловые отношения, а также компаниям, которые не имеют деловых отношений с конкретными потребителями, но заинтересованы в возможности установления таких отношений.

2.1. Подача заявления на получение кредитной линии

После заключения договора с кредитно-финансовым учреждением клиенту предоставляется кредитная линия.
Она может быть представлена в виде кредитной карты, автокредита, закладной, ипотеки, образовательного кредита или чего-либо другого из множества финансовых продуктов.
Однако, перед одобрением этой кредитной линии, учреждение обычно обращается в одно (а иногда и несколько) БКИ для получения копии кредитной истории клиента и оценки его кредитоспособности.
Используя эту информацию кредитор может определить кредитоспособность клиента и оценить потенциальные кредитные риски.

Хотя крупные банки имеют некоторую свободу в выборе конкретного БКИ в зависимости от географического местонахождения клиента, большинство кредиторов тяготеют к использованию одних и тех же БКИ для запроса клиентского досье.
То есть, хотя обращения в один и тот же банк двух клиентов из разных штатов могут обрабатываться с помощью запросов в два разных БКИ, обращения в один и тот же банк клиентов из одного штата с большой долей вероятности будут обрабатываться с помощью запросов в одно БКИ.

После устновления отношений с клиентом финансовое учреждение будет регулярно предоставлять информацию о балансе и платежах клиента в каждый из трёх БКИ [15].
Эта информация включает в себя текущий адрес клиента, общий размер кредитной линии, баланс по последней выписке, дату и сумму последнего платежа, а также корректировку ранее поданых сведений, если в них обнаружены ошибки.

Рисунок 1: Частичный список открытых кредитных линий из кредитного отчёта (номера счетов изменены)
Рисунок 1: Частичный список открытых кредитных линий из кредитного отчёта (номера счетов изменены)

2.2. Кредитный отчет

У БКИ есть файл, содержащий информацию о каждом человеке, пользующимся кредитами, в США, что составляет приблизительно 90% взрослого населения [16].
Каждое БКИ управляет своими данными, используя информацию, передаваемую напрямую к ним от частных банков, финансовых учреждений, государственных структур и налоговых органов [17].

Одним из самых важных параметров в пользовательском отчете является кредитный счет, который содержит широкий набор сведений о каждом счете.
Среди этих сведений находятся такие сведения как дата заключения договора; тип счета — возобновляемый, рассрочка или ипотека; текущий долг; максимальный долг; кредитные лимиты, если присутствуют; информация о интенсивности платежей, такая как период в течение которого был или есть долг по кредиту [18].

Так как каждое БКИ получает информацию о потребителях независимо и не синхронизирует данные между другими БКИ, то возможна такая ситуация, когда для конкретного потребителя его потребительский отчет будет различен в каждом отдельном БКИ.
В результате, кредитные отчеты часто содержат неверную и отрицательную для потребителя информацию, которая может вылиться, к примеру, в более высокую процентную ставку или даже спровоцировать отказ в выдаче кредита. В обзоре U.S. Public Interest Research Group (PIRG) было опубликовано, что 25% отчетов содержат серьезные ошибки, ведущие к отказу в выдаче кредита, более 50% содержат опечатки и другую некорректную информацию, а более 20% содержат дубликаты сведений о выдаче ипотечного кредита или ссуды [19].

Рисунок 2: Подробная схема кредитной линии в потребительском отчете, включающая информацию о истории платежей
Рисунок 2: Подробная схема кредитной линии в потребительском отчете, включающая информацию о истории платежей

Согласно действующему законодательству, все компании, которые поставляют информацию о долгах и кредитах в БКИ, не обязаны предоставлять информацию своевременно, в строго определенном формате, целой и даже могут вообще не поставлять данную информацию [20].
Все что от них требуется это не предоставлять заведомо неточную информацию о потребителе, или информацию, которая с большой долей вероятности может быть неточной [21].

2.3. Запрос кредитной информации

Потребительский кредитный отчет содержит множество информации, включая прошлые выплаты по кредиту и суммарный долг. Отслеживая данную информацию, БКИ также следит и за количеством фирм, которые запрашивали выдачу отчета.
Эти запросы кредитной информации, также известные как справки, дают некоторое представление о поведении потребителя.

Когда БКИ получает запрос на предоставление копии кредитного отчета, то этот запрос помечается как справочный в кредитном досье, обрабатываемом только данным БКИ.
Спарвки делятся на 2 категории: подробные и краткие.

Подробные справки возникают, когда клиент запрашивает выдачу нового кредита от банка, выдачу кредитной карты или получение кредита от кредитной организации.
В частности, запрос считается подробным, если запрашиваемая у БКИ информация используется для принятия решения о выдаче кредита.
Кредиторы, владеющие копией кредитного отчета, могут просмотреть список других организаций, запрашивавших отчет по данному потребителю за последние 2 года.
Подробные справки внедрены в большинство схем оценки заемщиков, т.к. потребители, берущие дополнительный кредит считаются более рискованными, чем те, кто не берет дополнительных кредитов [22].

Несколько лет назад каждая справка рассматривалась как попытка потребителем получить дополнительный кредит.
Но поведение покупателей изменилось, и многие теперь просто консультируются с кредиторами, с целью найти лучший процент по кредиту.
С изменением поведения покупателей поменялась и модели оценки рисков, так множественные справки, сделанные в течение от 15 до 30 дней, считаются за одну [23].
Однако, многочисленные справки (с интервалом более чем 15–30 дней) служат серьезным индикатором рискованного поведения для кредиторов.
Потребители с некоторым количеством подробных запросов их кредитной истории в течение полугода рискуют получить отказ в выдаче нового кредита.

После истечения полугодового срока ущерб снижается, после 12 месяцев справки уже не рассматриваются совсем.
После двухлетнего срока старые справки совсем удаляются из кредитного отчета.

Краткая справка применяется в случае, если кредитор уже имеет деловые отношения с кредитуемым лицом.
Эти справки используются для управления счетами, в частности, для периодичных просмотров счетов кредиторами и не отображаются в кредитных отчетах.
Эти запросы используются не только для запроса на выдачу кредита, но и в качестве проверки работодателями и домовладельцами, а также самими потребителями.
Краткие справки не включены в схемы оценки кредитоспособности граждан.

2.4. Законодательство

Закон «О добросовестном предоставлении кредитной информации» был принят в 1970 году в ответ на сомнительные операции, выполняемые различными бюро кредитной историй в 1960-х годах [24].
Это был первый федеральный закон, регулирующий использование и предоставление персональной информации. Он был разработан для того, чтобы предоставлять частную информацию потребителей только организациям, имеющим на это законное право, для предотвращения неправильного использования сведений, а также устанавливал порядок, позволяющий убедиться в «максимальной возможной точности» кредитных отчётов [25].
До принятия этого закона частные лица не имели права просматривать содержимое своих кредитных досье или опротестовывать содержащиеся в них ошибки [26].

Закон обязывает все кредитные бюро предоставлять потребителю информацию из его кредитного досье, источники получения этой информации и список поступивших за последний год заявок, запрашивающих предоставление кредитного отчёта по данному потребителю [27].

Штат Вермонт первым выступил с законодательной инициативой, требующей от БКИ ежегодно предоставлять потребителям бесплатную копию собственных отчётов. Остальные штаты вскоре поддержали эту инициативу и в 2003 году был принят закон «О добросовестных и достоверных кредитных операциях» (Fair and Accurate Credit Transactions Act, FACTA), обязавших БКИ предоставлять ежегодные бесплатные отчёты потребителям из всех штатов.

2.5. Заморозка кредитов

Заморозка кредитов — это финансовый инструмент, позволяющий потребителям заблокировать доступ к своим кредитным отчётам и запретить таким образом выдачу новых кредитов на своё имя.
Включив заморозку, потребитель может запретить выдачу собственного кредитного отчёта, после чего потенциальные кредиторы не смогут получить никакую информацию о нём. Потребители, желающие законно обратиться за получением новой кредитной карты, могут использовать заранее установленный PIN-код или пароль либо для временного разблокирования своих отчётов, либо во многих случаях имеют возможность «разморозить» их для конкретного кредитора.

До 2003 года существовало всего несколько средств защиты от кражи личности, доступных потребителям.
Основным таким средством был бесплатный ежегодный кредитный отчёт, предоставление которого требовалось во многих штатах, а затем было закреплено и федеральным законом.
Самые беспокойные потребители могли также воспользоваться услугами коммерческих служб кредитного мониторинга, которые информировали бы их в случае появления в их отчёте нового счёта кредитной карты или ссуды.
Этот подход работал только по факту события — потребителям приходилось дожидаться пока кто-нибудь с помощью украденных данных откроет кредитную карту на их имя, чтобы получить об этом уведомление.

Первым штатом, жители которого получили упреждающую защиту от кражи персональных данных, стала Калифорния, обязавшая БКИ предоставлять всем жителям штата возможность «заморозить» свои кредитные отчёты.
Вскоре этому примеру последовало большинство остальных штатов, а в 2007 году три БКИ добровольно стали предоставлять возможность кредитной заморозки всем жителям США.
В зависимости от штата добавление, приостановка и снятие «заморозки» может быть как бесплатной услугой, так и стоить до 15$.

Потребители, желающие установить, временно снять или отменить заморозку должны обратиться в каждое из трёх БКИ.
Вне зависимости от того, какая стоимость услуг установлена законом штата, её придётся оплатить три раза. Так, потребитель, живущий в Калифорнии, должен обратиться в Experian, Equifax и Transunion с письменным заявлением о заморозке своего отчёта, и заплатить каждому БКИ.

Этот подход таит в себе значительный риск для потребителей, забывших обратиться в каждое из трёх БКИ.
Этот подход также коренным образом отличается от «нормы», к которой потребители могли привыкнуть, осуществляя другие операции с кредитными агентствами.
Например, жертва кражи личности может подать сигнал о мошенничестве с его кредитным отчётом, обратившись только в одно (любое) БКИ, которое по закону обязано поделиться этой информацией с двумя другими [28].
Аналогично, потребители могут запросить копию своего кредитного отчёта у всех трёх БКИ, заполнив единственную защищённую онлайн-форму по адресу http://annualcreditreport.com.
Требование о том, что для установки кредитной заморозки потребитель должен обратиться в каждое из трёх БКИ, неинтуитивно и создаёт ненужный барьер для людей, желающих защитить себя от кражи личности.

Отсутствие механизма одновременной единой кредитной заморозки во всех трёх бюро привело также к важным непредумышленным последствиям — появлению легко употребимой лазейки, через которую смышлённые потребители могут активно манипулировать и управлять информацией, сожержащейся в своих кредитных отчётах.
Этот изъян будет рассмотрен более подробно в разделе 4.3.
Рисунок 3: Щедрый вступительный бонус, предложенный по кредитной карте United Airlines
Рисунок 3: Щедрый вступительный бонус, предложенный по кредитной карте United Airlines.
Поделиться публикацией
Комментарии 25
    0
    Спасибо. Интересная статья. Жду продолжения, хотя и не проживаю в штатах.
    А в России можно «замораживать» свою историю в БКИ?
    Вообще, какой нормативный акт в нашей стране регулирует отношения с БКИ?
    Спасибо.
      0
      никогда не брал кредит, по этому не знаю как у нас выглядит и есть ли вообще БКИ)
        0
        БКИ в РФ точно есть, чуть попозже попробую тут отписать в каком формате эти КИ хранятся для России, сейчас нет времени, к сожалению.
          +1
          Как нет? Давайте же скорее! Время — деньги ;)
            +1
            возможно к тому времени, как Вы напишете свою историю — я переведу продолжение, т.к. переводить особо времени тоже нет, надо ехать проектировать олимпийские объекты на РЖД)
            0
            Есть БКИ.
              +3
              Кому интересно про КБИ в РФ, вам сюда ckki.www.cbr.ru/ckki.aspx
                0
                каждый день бываю на cbr, но не удосуживался почитать инфу на нем…
                их сайт, к слову, сделан на столько «совково» =(
                  0
                  посмотрите на сайт их украинских коллег. не до конца не совсем умело передрано
                  0
                  Запрос направляется посредством заполнения формы на интернет-сайте Банка России с указанием адреса электронной почты, на который будет направлен ответ из Центрального каталога кредитных историй и кода (дополнительного кода) субъекта кредитных историй.

                  А где, блин, у них эта форма? Весь сайт облазил — ничего не нашел >__<
                    0
                    Я идиот. Нашел.
                    Спасибо =)
              0
              Интересно.
              А еще — можно загрузить статью на translated.by, и возможно еще народ подключится к переводу
                0
                  –1
                  Переведено просто ужасно, например, что значит следующий абзац?

                  … Наконец, мы бы сами протестировали и извлекли пользу из этих уязвимостей, в следствие существующих юридических рисков, связанных с эксплуатацией и дальнейшей документацией данной уязвимости, но вынуждены опираться на возрастающее число аккаунтов, выкладываемых на форумах кардерами, которые впервые узнали и продолжают пользоваться данными уязвимостями…

                  Авторы не тестировали те уязвимости, о которых пишут т.к. есть риск надолго «присесть» и пишут все «по мотивам» активности на кардерских форумах?
                    0
                    да, данный абзац самый трудный. Никто из коллег лучшего перевода предложить не смог.

                    Вот оригинал текста, кто может высказаться по этому поводу — буду признателен

                    Finally, while we would have ideally tested and made use of these techniques ourselves, due to the possible legal risks associated with the exploitation and subsequent documentation of such abuse, we must instead rely upon the extensive first–hand accounts posted to Internet forums by large numbers of credit hackers who first discovered and continue to actively make use of these exploits


                    оригинал furtaev:
                    Переведено просто ужасно

                    Поправки и комментарии только приветствтуются.
                      +1
                      Поскольку мы не могли проверять и использовать эти методики сами так как не хотели рисковать и нести ответственность за использование и последующее документирование нелегального использования этих методик, мы были вынуждены полагаться на свидетельства из первых рук, размещенные на форумах в интернете кардерами, которые ранее раскрыли эти методики и активно их используют.

                      Слово «методики» можно заменить на подходящее в контекст всего вашего перевода.

                      Как-то так.
                        0
                        да, смысл тот же.
                        вот еще вариант этого абзаца

                        «Наконец, хотя мы могли бы опробовать и испытать эти методы на собственном примере, из-за возможных конфиктов с законом, к которым может привести такая попытка и её описание, мы будем опираться на опубликованные в интернет-форумах подробные отчёты многочисленных кредитных хакеров, обнаруживших и продолжающих активно использовать данные уязвимости „
                          0
                          Немного оттенок не тот, но для тех, кто близко с языком не знаком это тяжело заметить. Да и смысла принципиально не меняет, так что можно и так и эдак.
                0
                а почему в США три БКИ?
                  0
                  На мой взгляд, чем их меньше — тем лучше… у нас их уже свыше 3х десятков :(
                    0
                    я думаю, что суть вопроса сводилась «а почему не 1 БКИ?»
                      0
                      Не одно БКИ, чтобы была конкуренция по качеству и стоимости услуг. Мне это кажется очень правильным и удобным.
                      Если с США всё более-менее прозрачно, с тем, как это работает, хотя и не просто на первый взгляд, то в России, как мне кажется, появление в цивилизованной форме кредитных историй и их влияние на жизнь только начинается.
                      Я вот тоже нашёл одно из бюро: ООО «Центральное Кредитное Бюро»: ccib.ru
                      Непонятно, правда, насколько оно «центральное».
                      Судя вот по этой статье www.all-pages.com/news/1/1/16/3940.html зарегистрировано 31 бюро кредитных историй.
                      Это, конечно, серёзно! :)
                      По всей видимости, рынок кредитных историй в России только формируется. И Бог знает, сколько времени и усилий регулирующих органов потребуется, чтобы это стало удобным и функциональным, хотя бы немного приближаясь у «западному» виду.
                      Где кредитная история, кстати, это не застывшие записи, как автобиография, а совокупность факторов, показывающие «финансовое здоровье» субъекта. Выраженное в баллах. Причём на это всё можно влиять, о чём, видимо, и расскажет автор.
                      Эта формула «очень сложна, и учитывает множество разнообразных факторов». Я так и не нашёл эту формулу. Но Интернет полон рекомендаций, как на эту историю косвенно влиять. Поэтому с нетерпением жду продолжение. Спасибо!
                  0
                  Кстати, сходил по ссылке на оригинал. Там, что меня особенно поразило, стоит копирайт — This paper is licensed under a Creative Commons Attribution–Noncommercial–No Derivative Works 3.0 United States License.

                  Полез читать legalese, на тему — что в данном случае означает No Derivative Works (не разрешаются производные от этого текста). Вот тут: creativecommons.org/licenses/by-nc-nd/3.0/us/legalcode параграф 1. b: «Derivative Work» means a work based upon the Work or upon the Work and other pre-existing works, such as a translation…

                  То есть текст этот по лицензии переводить запрещено :))

                  Лично мне, в принципе, пофиг, но чисто теоретически было бы здорово, если бы кто-нибудь из борцунов с копирастами озаботился написать автору текста и вежливо попросить его о разрешении перевести текст на русский.

                  Ждать минусов? :)
                    0
                    хех, интересно.
                    я как увидел CC лицензию, так дальше и не стал смотреть…
                    Конечно, надо связаться с автором.
                      0
                      связался с Кристофером Согояном. Он удивился, что лицензия запрещает перевод, но сказал, что сам он полностью разрешает и заинтересовался процессом перевода)

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое