So erkennen und vermeiden Sie Kreditkarten-Skimmer und -Shimmer
Veröffentlicht: 2022-01-29Ich erinnere mich lebhaft an den Moment, als mir klar wurde, wie erschreckend unsicher Kredit- und Debitkarten sind. Ich sah zu, wie jemand ein handelsübliches USB-Magnetstreifenlesegerät nahm und es an einen Computer anschloss, der es als Tastatur erkannte. Sie öffneten ein Textverarbeitungsprogramm und klauten die Karte. Eine Reihe von Zahlen erschien pflichtbewusst in der Textdatei. Das war es: Die Informationen der Karte waren gestohlen worden.
Dieselbe Technologie ist ausgereift und miniaturisiert. Winzige „Skimmer“ können an Geldautomaten und Zahlungsterminals angebracht werden, um Ihre Daten vom Magnetstreifen der Karte (genannt „Magstripe“) abzuschöpfen. Noch kleinere "Schimmer" werden in Kartenleser eingeschmuggelt, um die Chips auf neueren Karten anzugreifen. Jetzt gibt es auch eine digitale Version namens E-Skimming, um Daten von Zahlungs-Websites zu stehlen. Glücklicherweise gibt es viele Möglichkeiten, sich vor diesen Angriffen zu schützen.
Was sind Skimmer?
Skimmer sind winzige, bösartige Kartenleser, die in legitimen Kartenlesern versteckt sind und Daten von jeder Person sammeln, die ihre Karten klaut. Nachdem die Hardware einige Zeit lang Daten sippen gelassen hat, kommt ein Dieb bei der kompromittierten Maschine vorbei, um die Datei mit allen gestohlenen Daten zu holen. Mit diesen Informationen kann er geklonte Karten erstellen oder einfach Betrug begehen. Der vielleicht gruseligste Teil ist, dass Skimmer oft nicht verhindern, dass der Geldautomat oder das Kreditkartenlesegerät ordnungsgemäß funktioniert, wodurch sie schwerer zu erkennen sind.
Das Eindringen in Geldautomaten ist schwierig, daher passen Geldautomaten-Skimmer manchmal über vorhandene Kartenleser. Meistens platzieren die Angreifer auch eine versteckte Kamera irgendwo in der Nähe, um persönliche Identifikationsnummern oder PINs aufzuzeichnen, die für den Zugriff auf Konten verwendet werden. Die Kamera kann sich im Kartenleser, oben am Geldautomaten oder sogar in der Decke befinden. Einige Kriminelle gehen so weit, dass sie gefälschte PIN-Pads über den tatsächlichen Tastaturen installieren, um die PIN direkt zu erfassen und die Notwendigkeit einer Kamera zu umgehen.
Dieses Bild ist ein echter Skimmer, der an einem Geldautomaten verwendet wird. Siehst du dieses seltsame, sperrige gelbe Stückchen? Das ist der Skimmer. Dieser ist leicht zu erkennen, da er eine andere Farbe und ein anderes Material als der Rest der Maschine hat, aber es gibt andere verräterische Zeichen. Unterhalb des Steckplatzes, in den Sie Ihre Karte einführen, befinden sich erhabene Pfeile auf dem Kunststoffgehäuse der Maschine. Sie können sehen, wie die grauen Pfeile sehr nahe am gelben Gehäuse des Lesegeräts sind und sich fast überlappen. Das ist ein Zeichen dafür, dass ein Skimmer über dem vorhandenen Lesegerät installiert wurde, da das echte Kartenlesegerät etwas Platz zwischen dem Kartenschlitz und den Pfeilen hätte.
Geldautomatenhersteller haben diese Art von Betrug nicht hingenommen. Neuere Geldautomaten verfügen über einen robusten Schutz gegen Manipulationen, manchmal einschließlich Radarsystemen, die dazu bestimmt sind, in den Geldautomaten eingeführte oder daran befestigte Objekte zu erkennen. Ein Forscher auf der Black Hat-Sicherheitskonferenz war jedoch in der Lage, das Bordradargerät eines Geldautomaten zu verwenden, um im Rahmen eines ausgeklügelten Betrugs PINs zu erfassen.
Sind Skimmer immer noch eine Bedrohung?
Während wir nach einem Update für diesen Artikel recherchierten, wandten wir uns an Kaspersky Labs, und Unternehmensvertreter sagten uns etwas Überraschendes: Skimming-Angriffe gingen zurück. „Skimming war und ist eine seltene Sache“, sagte der Kaspersky-Sprecher.
Der Kaspersky-Vertreter zitierte EU-Statistiken der European Association for Secure Transactions (EAST) als Hinweis auf einen größeren Trend. Der EAST meldete ein Rekordtief bei Skimmer-Angriffen, die von 1.496 Vorfällen im April 2020 auf 321 Vorfälle im Oktober desselben Jahres zurückgingen. Die Auswirkungen von COVID-19 könnten etwas mit diesem Rückgang zu tun haben, aber er ist dennoch dramatisch.
Das bedeutet natürlich nicht, dass das Skimming weg ist. Erst im Januar 2021 wurde in New Jersey ein großer Skimming-Betrug aufgedeckt. Es handelte sich um Angriffe auf über 1.000 Bankkunden, bei denen Kriminelle versuchten, sich mit über 1,5 Millionen Dollar davonzumachen.
Von Skimmers zu Shimmers
Als die US-Banken schließlich zum Rest der Welt aufschlossen und mit der Ausgabe von Chipkarten begannen, war dies ein großer Sicherheitsgewinn für die Verbraucher. Diese Chipkarten oder EMV-Karten bieten eine robustere Sicherheit als die schmerzhaft einfachen Magnetstreifen älterer Zahlungskarten. Aber Diebe lernen schnell, und sie hatten Jahre, um Angriffe in Europa und Kanada zu perfektionieren, die auf Chipkarten abzielen.
Anstelle von Skimmern, die oben auf den Magnetstreifenlesern sitzen, befinden sich Schimmer im Inneren der Kartenleser. Das sind sehr, sehr dünne Geräte und von außen nicht zu sehen. Wenn Sie Ihre Karte hineinschieben, liest der Schimmer die Daten vom Chip auf Ihrer Karte, ähnlich wie ein Skimmer die Daten auf dem Magnetstreifen Ihrer Karte liest.
Es gibt jedoch ein paar wesentliche Unterschiede. Zum einen bedeutet die integrierte Sicherheit, die mit EMV geliefert wird, dass Angreifer nur die gleichen Informationen erhalten können, die sie von einem Skimmer erhalten würden. Der Sicherheitsforscher Brian Krebs erklärt in seinem Blog: „Obwohl die Daten, die normalerweise auf dem Magnetstreifen einer Karte gespeichert sind, bei chipfähigen Karten im Inneren des Chips repliziert werden, enthält der Chip zusätzliche Sicherheitskomponenten, die auf einem Magnetstreifen nicht zu finden sind.“ Dies bedeutet, dass Diebe den EMV-Chip nicht duplizieren konnten, aber sie könnten Daten vom Chip verwenden, um den Magnetstreifen zu klonen oder seine Informationen für einen anderen Betrug zu verwenden.
Der Kaspersky-Vertreter, mit dem wir gesprochen haben, vertraute Chipkarten uneingeschränkt. „EMV ist immer noch nicht kaputt“, sagte Kaspersky gegenüber PCMag. "Die einzigen erfolgreichen EMV-Hacks finden unter Laborbedingungen statt."
Das eigentliche Problem ist, dass Schimmer in Opfermaschinen verborgen sind. Der unten abgebildete Schimmer wurde in Kanada gefunden und dem RCMP (Link zum Internetarchiv) gemeldet. Es ist kaum mehr als ein integrierter Schaltkreis, der auf eine dünne Plastikfolie gedruckt ist.
Auf Manipulation prüfen
Die Überprüfung auf Manipulationen an einem Point-of-Sale-Gerät kann schwierig sein. Die meisten von uns stehen nicht lange genug in der Schlange im Lebensmittelgeschäft, um dem Leser einen guten Überblick zu verschaffen. Außerdem ist es für Diebe schwieriger, diese Maschinen anzugreifen, da sie nicht unbeaufsichtigt bleiben. Geldautomaten hingegen werden oft unbeobachtet in Fluren oder sogar im Freien gelassen, was sie zu leichteren Zielen macht.
Während der Großteil dieses Artikels Geldautomaten behandelt, denken Sie daran, dass Tankstellen, Bezahlstationen für öffentliche Verkehrsmittel und andere unbeaufsichtigte Maschinen ebenfalls reif für Angriffe sind. Auch in diesen Fällen gilt unser Rat.
Wenn Sie sich einem Geldautomaten nähern, suchen Sie oben am Geldautomaten, in der Nähe der Lautsprecher, der Seite des Bildschirms, des Kartenlesers selbst und der Tastatur nach offensichtlichen Anzeichen von Manipulation. Wenn etwas anders aussieht, wie z. B. eine andere Farbe oder ein anderes Material, Grafiken, die nicht richtig ausgerichtet sind, oder irgendetwas anderes, das nicht richtig aussieht, verwenden Sie diesen Geldautomaten nicht.
Wenn Sie bei der Bank sind, sollten Sie sich schnell den Geldautomaten nebenan ansehen und vergleichen. Wenn es offensichtliche Unterschiede gibt, verwenden Sie keines von beiden – melden Sie stattdessen die verdächtige Manipulation Ihrer Bank. Wenn zum Beispiel ein Geldautomat einen blinkenden Karteneintrag hat, um anzuzeigen, wo Sie die Geldautomatenkarte einführen sollten, und der andere Geldautomat einen einfachen Schlitz hat, wissen Sie, dass etwas nicht stimmt. Die meisten Skimmer werden oben auf das vorhandene Lesegerät geklebt und verdecken die blinkende Anzeige.
Wenn sich die Tastatur nicht richtig anfühlt – vielleicht zu dick oder außermittig –, dann kann es sein, dass eine PIN-Snatching-Überlagerung vorhanden ist. Verwenden Sie es nicht. Achten Sie auf andere Anzeichen von Manipulationen wie Löcher, die eine Kamera verbergen könnten, oder Klebstoffblasen von einer hastigen Maschinenoperation.
Auch wenn Sie optisch keine Unterschiede erkennen können, drängen Sie auf alles. Geldautomaten sind solide konstruiert und haben in der Regel keine losen Teile. Kreditkartenleser haben mehr Variation, aber trotzdem: Ziehen Sie an hervorstehenden Teilen wie dem Kartenleser. Überprüfen Sie, ob die Tastatur sicher befestigt und nur ein Stück ist. Wenn sich etwas bewegt, wenn Sie darauf drücken, seien Sie besorgt.
Denken Sie über Ihre Transaktion nach
Wenn Sie eine Debitkarten-PIN eingeben, gehen Sie davon aus, dass jemand zusieht. Vielleicht ist es über Ihrer Schulter oder durch eine versteckte Kamera. Auch wenn der Geld- oder Zahlungsautomat ansonsten in Ordnung zu sein scheint, bedecken Sie Ihre Hand, wenn Sie Ihre PIN eingeben. Die Beschaffung der PIN ist unerlässlich. Ohne sie sind Kriminelle in ihren Möglichkeiten mit gestohlenen Daten eingeschränkt.
Kriminelle installieren Skimmer häufig an Geldautomaten, die sich nicht an übermäßig stark frequentierten Orten befinden, da sie nicht dabei beobachtet werden möchten, wie sie bösartige Hardware installieren oder die gesammelten Daten sammeln (obwohl es immer Ausnahmen gibt). Geldautomaten im Innenbereich sind im Allgemeinen sicherer zu verwenden als im Freien, da Angreifer unbemerkt auf Geräte im Außenbereich zugreifen können. Stoppen Sie und denken Sie über die Sicherheit des Geldautomaten nach, bevor Sie ihn benutzen.
Verwenden Sie nach Möglichkeit nicht den Magnetstreifen Ihrer Karte, um die Transaktion durchzuführen. Die meisten Zahlungsterminals verwenden jetzt Magnetstreifen als Fallback und fordern Sie auf, Ihren Chip einzuführen, anstatt Ihre Karte durchzuziehen. Wenn das Kreditkartenterminal NFC-Transaktionen akzeptiert, sollten Sie Apple Pay, Samsung Pay oder Android Pay verwenden.
Diese kontaktlosen Zahlungsdienste tokenisieren Ihre Kreditkarteninformationen, sodass Ihre echten Daten niemals offengelegt werden. Wenn ein Krimineller die Transaktion irgendwie abfängt, erhält er nur eine nutzlose virtuelle Kreditkartennummer. Einige Samsung-Geräte könnten eine Magnetstreifen-Transaktion über das Telefon emulieren. Diese Technologie heißt MST, wurde aber inzwischen eingestellt.
Ein Szenario, das häufig die Verwendung Ihres Magnetstreifens erfordert, ist das Bezahlen von Kraftstoff an einer Zapfsäule. Diese sind angreifbar, weil viele EMV- oder NFC-Transaktionen noch nicht unterstützen und Angreifer sich unbemerkt Zugang zu den Zapfsäulen verschaffen können. Es ist viel sicherer, hineinzugehen und an der Kasse zu bezahlen. Wenn kein Kassierer im Dienst ist, verwenden Sie die gleichen Tipps für die Verwendung von Geldautomaten und untersuchen Sie das Kartenlesegerät, bevor Sie es verwenden.
Von unseren Redakteuren empfohlen
Von Skimmer über Shimmer bis hin zu E-Skimmer
Es überrascht nicht, dass es ein digitales Äquivalent namens E-Skimming gibt. Der Hack von British Airways im Jahr 2018 stützte sich offenbar stark auf solche Taktiken.
Wie Bogdan Botezatu, Director of Threat Research and Reporting bei Bitdefender, erklärte, liegt E-Skimming vor, wenn ein Angreifer schädlichen Code in eine Zahlungswebsite einfügt, der Ihre Karteninformationen entwendet.
„Diese E-Skimmer werden entweder durch Kompromittierung der Anmeldedaten des Administratorkontos des Online-Shops, des Webhosting-Servers des Shops oder durch direkte Kompromittierung des [Anbieters der Zahlungsplattform] hinzugefügt, sodass sie verdorbene Kopien ihrer Software verteilen”, erklärte Botezatu. Dies ähnelt einer Phishing-Seite, außer dass die Seite authentisch ist – der Code auf der Seite wurde gerade manipuliert.
„E-Skimming-Angriffe werden immer geschickter darin, der Entdeckung zu entgehen“, sagte Botezatu. "Je länger ein Angreifer dieses Standbein behält, desto mehr Kreditkarten kann er sammeln."
Die Bekämpfung dieser Art von Angriffen obliegt letztendlich den Unternehmen, die diese Geschäfte betreiben. Es gibt jedoch einige Dinge, die Verbraucher tun können, um sich zu schützen. Botezatu schlug vor, dass Verbraucher Sicherheitssoftware auf ihren Computern verwenden sollten, die bösartigen Code erkennen und Sie daran hindern könnten, Ihre Informationen einzugeben.
Alternativ können Sie die Eingabe Ihrer Kreditkarteninformationen komplett mit virtuellen Kreditkarten vermeiden. Dies sind Dummy-Kreditkartennummern, die mit Ihrem echten Kreditkartenkonto verknüpft sind. Wenn eine kompromittiert ist, müssen Sie sich keine neue Kreditkarte besorgen, sondern einfach eine neue virtuelle Nummer generieren. Einige Banken, wie Citi, bieten dies als Funktion an, also fragen Sie Ihre, ob es verfügbar ist. Wenn Sie bei einer Bank keine virtuelle Karte erhalten können, bietet Abine Blur Abonnenten maskierte Kreditkarten an, die auf ähnliche Weise funktionieren. Auf einigen Websites werden auch Apple Pay und Google Pay akzeptiert.
Eine weitere Möglichkeit besteht darin, sich für Kartenbenachrichtigungen anzumelden. Einige Banken senden jedes Mal, wenn Ihre Debitkarte verwendet wird, eine Push-Benachrichtigung an Ihr Telefon. Das ist praktisch, da Sie Fehlkäufe sofort erkennen können. Wenn Ihre Bank eine ähnliche Option bereitstellt, versuchen Sie, sie zu aktivieren. Persönliche Finanz-Apps wie Mint.com können Ihnen dabei helfen, all Ihre Transaktionen zu sortieren.
Bleiben Sie aufmerksam
Selbst wenn Sie alles richtig machen und jeden Zentimeter jedes Zahlungsautomaten, dem Sie begegnen, überprüfen (sehr zum Leidwesen der Leute hinter Ihnen in der Schlange), können Sie das Ziel von Betrug werden. Aber seien Sie vorsichtig: Solange Sie den Diebstahl so schnell wie möglich Ihrem Kartenherausgeber (bei Kreditkarten) oder Ihrer Bank (bei der Sie Ihr Konto haben) melden, werden Sie nicht haftbar gemacht. Ihr Geld wird zurückerstattet. Geschäftskunden hingegen haben nicht den gleichen Rechtsschutz und haben es möglicherweise schwerer, ihr Geld zurückzubekommen.
Versuchen Sie auch, eine Kreditkarte zu verwenden, wenn es für Sie sinnvoll ist. Eine Lastschrifttransaktion ist eine sofortige Barüberweisung und kann manchmal zeitaufwändiger zu korrigieren sein. Kreditkartentransaktionen können jederzeit angehalten und rückgängig gemacht werden. Dadurch werden Händler unter Druck gesetzt, ihre Geldautomaten und Point-of-Sale-Terminals besser zu sichern. Die übermäßige Verwendung von Krediten hat jedoch ihre eigenen Fallstricke, seien Sie also vorsichtig.
Achten Sie zuletzt auf Ihr Telefon. Banken und Kreditkartenunternehmen haben im Allgemeinen sehr aktive Richtlinien zur Betrugserkennung und werden Sie sofort kontaktieren, normalerweise per Telefon oder SMS, wenn sie etwas Verdächtiges bemerken. Schnelles Reagieren kann bedeuten, Angriffe zu stoppen, bevor sie Sie betreffen, also halten Sie Ihr Telefon griffbereit.
Denken Sie daran: Wenn sich etwas an einem Geldautomaten oder einem Kreditkartenlesegerät nicht richtig anfühlt, verwenden Sie es nicht. Verwenden Sie nach Möglichkeit den Chip anstelle des Streifens auf Ihrer Karte. Ihr Bankkonto wird es Ihnen danken.
Fahmida Y. Rashid hat zu dieser Geschichte beigetragen