Jak wykryć i uniknąć odpieniaczy kart kredytowych

Jak wykryć i uniknąć odpieniaczy kart kredytowych
Author:
16 października 2020

Przestępcy mogą łatwo przechwycić informacje o twoich kartach kredytowych i debetowych za pomocą małych urządzeń zwanych skimmerami i ich jeszcze bardziej podstępnych kuzynów, shimmers. Nie padnij ofiarą tych podstępnych ataków!

Moment, w którym zacząłem poważnie martwić się o skimmery kart kredytowych i debetowych, nie był momentem, gdy całe moje konto bankowe zostało przeniesione do Turcji, ani kiedy musiałem wymienić kartę kredytową trzy razy w ciągu dwóch miesięcy z powodu fałszywych opłat. Wtedy dowiedziałem się, że kradzież numeru karty kredytowej jest tak prosta, jak podłączenie czytnika paska magnetycznego do komputera i otwarcie edytora tekstu. Każde przesunięcie wypluwa numer karty kredytowej bez dodatkowej konfiguracji. Bardziej zaawansowane urządzenia do kradzieży informacji są instalowane przez przestępców bezpośrednio w bankomatach i czytnikach kart kredytowych. Nazywa się to odpieniaczami i jeśli zachowasz ostrożność, możesz uniknąć bycia ofiarą tych podstępnych urządzeń.

Co to są odpieniacze?

Skimmery to zasadniczo złośliwe czytniki kart podłączone do prawdziwych terminali płatniczych, dzięki czemu mogą zbierać dane od każdej osoby, która odczytuje ich karty. Złodziej często musi wracać na zainfekowaną maszynę, aby odebrać plik zawierający wszystkie skradzione dane, ale mając te informacje w ręku, może tworzyć sklonowane karty lub po prostu włamać się na konta bankowe, aby ukraść pieniądze. Być może najstraszniejsze jest to, że skimmery często nie uniemożliwiają prawidłowego funkcjonowania bankomatu lub czytnika kart kredytowych, co utrudnia ich wykrycie.

Według Stefana Tanase, badacza bezpieczeństwa z Kaspersky Lab, klasyczne ataki typu skimming pozostaną na swoim miejscu i prawdopodobnie nadal będą stanowić problem nawet teraz, gdy banki przestawiły się na karty chipowe EMV. Nawet jeśli karty mają chip, dane nadal będą znajdować się na pasku magnetycznym karty, aby zapewnić zgodność wsteczną z systemami, które nie obsługują chipa, powiedział nam. Nawet teraz, długo po wprowadzeniu w USA kart EMV, niektórzy sprzedawcy nadal wymagają od klientów używania paska magnetycznego.

Typowy odpieniacz bankomatowy to małe urządzenie, które pasuje do istniejącego czytnika kart. W większości przypadków napastnicy umieszczają również ukrytą kamerę gdzieś w pobliżu, aby rejestrować osobiste numery identyfikacyjne lub kody PIN, używane do uzyskiwania dostępu do kont. Kamera może znajdować się w czytniku kart, zamontowana na górze bankomatu lub nawet pod sufitem. Niektórzy przestępcy instalują fałszywe pady PIN na rzeczywistych klawiaturach, aby przechwycić kod PIN bezpośrednio, omijając potrzebę korzystania z kamery.

Powyższe zdjęcie przedstawia prawdziwy skimmer używany w bankomacie. Widzisz ten dziwny, nieporęczny żółty kawałek? To jest skimmer. Ten jest łatwy do zauważenia, ponieważ ma inny kolor i materiał niż maszyna docelowa, ale są też inne znaki ostrzegawcze. Poniżej gniazda, do którego wkładasz kartę, znajdują się wypukłe strzałki osadzone w plastikowej obudowie urządzenia. Możesz zobaczyć, jak szare strzałki znajdują się bardzo blisko żółtej obudowy czytnika, prawie zachodzą na siebie. To znak, że skimmer został zainstalowany na istniejącym, ponieważ prawdziwy czytnik kart miałby trochę miejsca między gniazdem karty a strzałkami.

Od odpieniaczy do mieniących się

Kiedy amerykańskie banki w końcu dogoniły resztę świata i zaczęły wydawać karty chipowe, dla konsumentów było to dużym dobrodziejstwem dla bezpieczeństwa. Te karty chipowe lub karty EMV zapewniają solidniejsze zabezpieczenia niż boleśnie proste paski magnetyczne starszych kart kredytowych. Ale złodzieje szybko się uczą i mieli lata, aby udoskonalić ataki w Europie i Kanadzie, których celem są karty chipowe.

Zamiast skimmerów, które znajdują się na czytnikach pasków magnetycznych, w czytnikach kart znajdują się shimmery. To bardzo, bardzo cienkie urządzenia, których nie widać z zewnątrz. Kiedy wsuwasz kartę, migotanie odczytuje dane z chipa na karcie, podobnie jak skimmer czyta dane na pasku magnetycznym karty.

Jest jednak kilka kluczowych różnic. Po pierwsze, zintegrowane zabezpieczenia oferowane przez EMV oznaczają, że atakujący mogą uzyskać tylko te same informacje, które otrzymaliby od skimmera. Na swoim blogu badacz bezpieczeństwa Brian Krebs wyjaśnia, że ​​„danych zebranych przez shimmers nie można wykorzystać do wyprodukowania karty opartej na chipie, ale można by ich użyć do sklonowania karty z paskiem magnetycznym. Chociaż dane, które są zwykle przechowywane na pasku magnetycznym karty jest replikowany wewnątrz chipa na kartach z chipem, chip zawiera dodatkowe elementy zabezpieczające, których nie ma na pasku magnetycznym ”.

Prawdziwym problemem jest to, że migotanie jest znacznie trudniejsze do wykrycia, ponieważ znajduje się w bankomatach lub w punktach sprzedaży. Migotanie przedstawione poniżej zostało znalezione w Kanadzie i zgłoszone do RCMP. To niewiele więcej niż układ scalony wydrukowany na cienkim plastikowym arkuszu. Gdyby właściciele zainfekowanego urządzenia nie byli ostrożni, mogłoby to ukraść informacje od wszystkich, którzy go używali.

Producenci bankomatów nie poddali się tego rodzaju oszustwom. Nowsze bankomaty są wyposażone w solidne urządzenia chroniące przed atakami, czasami zawierające systemy radarowe przeznaczone do wykrywania obiektów włożonych do bankomatu lub do niego podłączonych. Jednak jeden z badaczy na konferencji bezpieczeństwa Black Hat był w stanie wykorzystać pokładowe urządzenie radarowe bankomatu do przechwycenia PIN-ów w ramach skomplikowanego oszustwa.

Zagrożenia są realne i ewoluują; dlatego tak ważne jest szybkie sprawdzenie dowolnego bankomatu lub czytnika kart kredytowych przed użyciem.

Sprawdź, czy nie ma manipulacji

Zbliżając się do bankomatu, sprawdź, czy w górnej części bankomatu, w pobliżu głośników, boku ekranu, czytnika kart i klawiatury, nie ma widocznych oznak manipulacji. Jeśli coś wygląda inaczej, na przykład inny kolor lub materiał, grafika, która nie jest prawidłowo wyrównana lub cokolwiek innego, co nie wygląda dobrze, nie używaj tego bankomatu. To samo dotyczy czytników kart kredytowych przy kasach lub na stacjach benzynowych.

Jeśli jesteś w banku, dobrze jest szybko rzucić okiem na bankomat obok swojego i porównać je. Jeśli są jakieś oczywiste różnice, nie używaj żadnego z nich i zgłoś podejrzane naruszenie do swojego banku. Na przykład, jeśli jeden bankomat ma migający wpis karty, który pokazuje, gdzie należy włożyć kartę bankomatową, a drugi bankomat ma zwykły czytnik, wiesz, że coś jest nie tak. Większość skimmerów jest przyklejona do istniejącego czytnika i zasłania migający wskaźnik.

Jeśli klawiatura nie wygląda dobrze – być może jest zbyt gruba – może pojawić się nakładka wyrywająca PIN, więc nie używaj jej.

Wiggle Everything

– Nawet jeśli nie widzisz żadnych różnic wizualnych, naciskaj na wszystko – powiedział Tanase. Bankomaty są solidnie wykonane i generalnie nie mają żadnych luźnych części. Czytniki kart kredytowych mają więcej odmian, ale nadal: Pociągnij za wystające części, takie jak czytnik kart. Sprawdź, czy klawiatura jest solidnie zamocowana i tylko jeden element. Czy coś się porusza, gdy na to naciskasz?

Skimmery odczytują pasek magnetyczny po włożeniu karty, więc potrząśnij kartą podczas wkładania, radził Tanase. Czytelnik potrzebuje paska, aby przejść jednym ruchem, ponieważ jeśli nie jest prosto, nie może poprawnie odczytać danych. Jeśli bankomat jest tym, z którego bierze kartę i zwraca ją po zakończeniu transakcji, to czytnik znajduje się wewnątrz. Poruszanie kartą podczas wprowadzania jej do slotu nie będzie kolidować z transakcją, ale udaremni skimmer.

Ta taktyka nie zadziała w przypadku migotania i nie będzie działać w przypadku żadnego bankomatu, który przechwytuje i zatrzymuje Twoją kartę, gdy transakcja jest w toku. Jednak nadal istnieją sposoby, aby chronić się podczas korzystania z tych maszyn.

Przemyśl swoje kroki

Za każdym razem, gdy wprowadzasz kod PIN karty debetowej, załóż, że ktoś szuka. Może to przez ramię lub przez ukrytą kamerę. – Zakryj klawiaturę ręką, kiedy wprowadzasz kod PIN – powiedział Tanase. To dobra zasada, nawet jeśli nie zauważysz nic dziwnego w bankomacie. Uzyskanie kodu PIN jest niezbędne, ponieważ przestępcy nie mogą bez niego używać skradzionych danych z paska magnetycznego, powiedział nam Tanase. Oczywiście zakłada się, że osoba atakująca używa aparatu, a nie nakładki, aby uzyskać kod PIN.

Przestępcy często instalują skimmery w bankomatach, które nie są zlokalizowane w zbyt ruchliwych lokalizacjach, ponieważ nie chcą być obserwowani podczas instalowania złośliwego sprzętu lub zbierania zebranych danych. Bankomaty wewnątrz banków są generalnie bezpieczniejsze ze względu na wszystkie kamery, chociaż niektórym odważnym przestępcom udaje się je tam zainstalować. Bankomat w sklepie spożywczym lub restauracji jest generalnie bezpieczniejszy niż ten, który znajduje się na chodniku. Zatrzymaj się i rozważ bezpieczeństwo bankomatu przed jego użyciem.

To powiedziawszy, żadne miejsce nie jest bezpieczne przed przedsiębiorczym przestępcą. Weźmy na przykład ten film. Złodziej instaluje skimmer w punkcie sprzedaży wewnątrz sklepu spożywczego w kilka sekund.

Szanse na trafienie przez skimmera są wyższe w weekendy niż w ciągu tygodnia, ponieważ klientom trudniej jest zgłosić podejrzane bankomaty do banku. Przestępcy zazwyczaj instalują skimmery w soboty lub niedziele, a następnie usuwają je przed ponownym otwarciem banków w poniedziałek.

O ile to możliwe, nie używaj paska magnetycznego karty do wykonywania transakcji. W przypadku czytników kart kredytowych w sklepach, pod podkładką PIN umieść gniazdo do włożenia karty i jej chipu EMV do odczytania. Kiedy używasz chipa EMV, karta jest autoryzowana na urządzeniu, a Twoje dane osobowe nigdy nie są przesyłane. Zmusza to przestępców do atakowania wewnętrznych mechanizmów czytników obsługujących EMV. Chociaż złamanie czytników EMV jest możliwe, jest to znacznie trudniejsze niż przeglądanie pasków magnetycznych.

Jeśli terminal karty kredytowej akceptuje transakcje NFC, rozważ skorzystanie z Apple Pay, Samsung Pay lub Android Pay. Usługi te tokenizują informacje o Twojej karcie kredytowej, więc Twoje dane osobowe nigdy nie są ujawniane. Jeśli przestępca w jakiś sposób przechwyci informacje, otrzyma tylko bezużyteczny numer wirtualnej karty kredytowej. Pamiętaj, że na niektórych urządzeniach Samsung Pay może faktycznie emulować transakcję z paskiem magnetycznym, jeśli trzymasz telefon nad czytnikiem kart. Jest to o wiele bezpieczniejsze niż używanie rzeczywistej karty kredytowej.

Związane z

  • Federalni ostrzegają przed włamaniami do bankomatów „Jackpotting” w USA
  • Zobacz, jak skimmer kart instaluje się w kilka sekund

Jednym ze scenariuszy, który często wymaga użycia paska magnetycznego, jest płacenie za paliwo przy dystrybutorze. Są one często atakowane, ponieważ wiele z nich nie obsługuje jeszcze transkacji EMV lub NFC, a napastnicy mogą uzyskać dostęp do pomp niezauważeni. O wiele bezpieczniej jest wejść do środka i zapłacić kasjerowi. Jeśli nie ma kasjera na służbie, skorzystaj z tych samych wskazówek dotyczących korzystania z bankomatów i sprawdź czytnik kart przed jego użyciem.

Cyfrowe ataki i rozwiązania

Niedawny hack British Airways wprowadził nową koncepcję: cyfrowy skimmer kart. Zamiast fizycznego urządzenia do przechwytywania informacji o karcie lub fałszywej witryny phishingowej, która nakłania Cię do wprowadzenia danych, cyfrowy skimmer to złośliwe oprogramowanie umieszczone na legalnej stronie internetowej.

Zwalczanie tego typu ataków należy ostatecznie do firm, aby zapewnić bezpieczeństwo ich witryn i usług. Ale jest kilka rzeczy, które konsumenci mogą zrobić, aby się chronić. Jedną z opcji jest użycie wirtualnych kart kredytowych. Są to fikcyjne numery kart kredytowych, które są powiązane z Twoim prawdziwym kontem karty kredytowej. Jeśli ktoś zostanie zagrożony, nie będziesz musiał kupować nowej karty kredytowej, po prostu wygeneruj nowy numer wirtualny. Niektóre banki, takie jak Citi, oferują tę funkcję, więc zapytaj swojego, czy jest dostępna.

Jeśli nie możesz uzyskać wirtualnej karty z banku, Abine Blur oferuje subskrybentom zamaskowane karty kredytowe. Są to przedpłacone karty kredytowe, które możesz tworzyć w locie i używać do zakupów online. Abine podaje nawet fałszywe imię i nazwisko oraz adres rozliczeniowy do wykorzystania, dodatkowo ukrywając Twoje dane osobowe. Jeśli któryś z nich zostanie ujawniony, nie stracisz żadnych pieniędzy ani prywatnych informacji.

Inną opcją jest zarejestrowanie się w alertach kart. Na przykład Ally Bank wyśle ​​powiadomienie push na Twój telefon za każdym razem, gdy zostanie użyta Twoja karta debetowa. Jest to przydatne, ponieważ możesz natychmiast zidentyfikować fałszywe zakupy. Jeśli Twój bank oferuje podobną opcję, spróbuj ją włączyć.

Bądź świadomy

Jeśli nie zauważysz skimmera karty, a dane Twojej karty zostaną skradzione, nie przejmuj się. Dopóki jak najszybciej zgłosisz kradzież wystawcy karty (w przypadku kart kredytowych) lub bankowi (w którym masz konto), nie będziesz ponosić odpowiedzialności za utraconą kwotę, a Twoje pieniądze zostaną zwrócone. Z drugiej strony klienci biznesowi nie mają takiej samej ochrony prawnej i mogą mieć trudności z odzyskaniem pieniędzy.

W miarę możliwości staraj się również używać karty kredytowej. Transakcja debetowa to natychmiastowy przekaz pieniężny i wymaga złożenia wniosku FDIC, którego przetworzenie może zająć tygodnie. Transakcje kartami kredytowymi można zatrzymać i cofnąć w dowolnym momencie, co powoduje presję na sprzedawców, aby lepiej zabezpieczali swoje bankomaty i terminale w punktach sprzedaży.

Terminowe zgłaszanie jest bardzo ważne w przypadku oszustw, więc miej oko na transakcje kartą debetową i kredytową. Aplikacje do finansów osobistych, takie jak Mint.com, mogą ułatwić zadanie sortowania wszystkich transakcji.

Na koniec zwróć uwagę na swój telefon. Banki i firmy obsługujące karty kredytowe zazwyczaj mają bardzo aktywne zasady wykrywania oszustw i natychmiast skontaktują się z Tobą, zazwyczaj telefonicznie lub SMS-em, jeśli zauważą coś podejrzanego. Szybka odpowiedź może oznaczać zatrzymanie ataków, zanim będą one miały na Ciebie wpływ, więc miej telefon pod ręką.

Tylko pamiętaj: jeśli coś nie pasuje do bankomatu lub czytnika kart kredytowych, po prostu go nie używaj. Kiedy tylko możesz, użyj chipa zamiast paska na swojej karcie. Twoje konto bankowe będzie Ci wdzięczne.

Fahmida Y. Rashid przyczynił się do powstania tej historii

We use cookies to provide you with the best possible experience. By continuing, we will assume that you agree to our cookie policy