Come individuare ed evitare skimmer e luccichii delle carte di credito
Pubblicato: 2022-01-29Ricordo vividamente il momento in cui mi sono reso conto di quanto siano terribilmente insicure le carte di credito e di debito. Ho visto qualcuno prendere un lettore di striscia magnetica USB standard e collegarlo a un computer, che lo ha riconosciuto come una tastiera. Hanno aperto un word processor e hanno strisciato la carta. Una serie di numeri appariva diligentemente nel file di testo. Ecco fatto: le informazioni sulla carta erano state rubate.
Quella stessa tecnologia è maturata e miniaturizzata. Piccoli "scrematori" possono essere collegati a bancomat e terminali di pagamento per estrarre i tuoi dati dalla banda magnetica della carta (chiamata "striscia magnetica"). Anche i più piccoli "shimmer" vengono inseriti nei lettori di schede per attaccare i chip delle schede più recenti. Ora c'è anche una versione digitale chiamata e-skimming pilfering data dai siti web di pagamento. Fortunatamente, ci sono molti modi per proteggersi da questi attacchi.
Cosa sono gli skimmer?
Gli skimmer sono minuscoli lettori di carte dannosi nascosti all'interno di lettori di carte legittimi che raccolgono dati da ogni persona che striscia le loro carte. Dopo aver lasciato che l'hardware sorseggiasse i dati per un po' di tempo, un ladro si fermerà dalla macchina compromessa per raccogliere il file contenente tutti i dati rubati. Con queste informazioni, può creare carte clonate o semplicemente commettere una frode. Forse la parte più spaventosa è che gli skimmer spesso non impediscono il corretto funzionamento dell'ATM o del lettore di carte di credito, rendendoli più difficili da rilevare.
Entrare negli sportelli automatici è difficile, quindi gli skimmer ATM a volte si adattano ai lettori di carte esistenti. Il più delle volte, gli aggressori posizionano anche una telecamera nascosta da qualche parte nelle vicinanze per registrare i numeri di identificazione personale, o PIN, utilizzati per accedere agli account. La telecamera può essere nel lettore di carte, montata nella parte superiore dell'ATM o anche nel soffitto. Alcuni criminali arrivano al punto di installare falsi PIN pad sulle tastiere effettive per acquisire direttamente il PIN, aggirando la necessità di una fotocamera.
Questa immagine è uno skimmer reale in uso su un bancomat. Vedi quello strano, ingombrante pezzo giallo? Questo è lo skimmer. Questo è facile da individuare perché ha un colore e un materiale diversi rispetto al resto della macchina, ma ci sono altri segni rivelatori. Sotto lo slot in cui inserisci la tua carta ci sono delle frecce in rilievo sull'alloggiamento di plastica della macchina. Puoi vedere come le frecce grigie siano molto vicine all'alloggiamento del lettore giallo, quasi sovrapposte. Questo è un segno che uno skimmer è stato installato sul lettore esistente, poiché il vero lettore di schede avrebbe dello spazio tra lo slot per schede e le frecce.
I produttori di bancomat non hanno accettato questo tipo di frode sdraiata. Gli sportelli automatici più recenti vantano solide difese contro la manomissione, a volte includendo sistemi radar destinati a rilevare oggetti inseriti o attaccati allo sportello automatico. Tuttavia, un ricercatore alla conferenza sulla sicurezza di Black Hat è stato in grado di utilizzare il dispositivo radar di bordo di un bancomat per acquisire i PIN come parte di un'elaborata truffa.
Gli skimmer sono ancora una minaccia?
Durante la ricerca di un aggiornamento per questo articolo, abbiamo contattato Kaspersky Labs e i rappresentanti dell'azienda ci hanno detto qualcosa di sorprendente: gli attacchi di scrematura erano in declino. "La scrematura era ed è tuttora una cosa rara", ha affermato il portavoce di Kaspersky.
Il rappresentante di Kaspersky ha citato le statistiche dell'UE dell'Associazione europea per le transazioni sicure (EAST) come indicative di una tendenza più ampia. L'EAST ha riportato un record di attacchi skimmer, scendendo da 1.496 incidenti nell'aprile 2020 a 321 nell'ottobre dello stesso anno. Gli effetti del COVID-19 potrebbero avere qualcosa a che fare con quel calo, ma è comunque drammatico.
Ciò non significa che la scrematura sia scomparsa, ovviamente. Di recente, nel gennaio 2021, nel New Jersey è stata portata alla luce un'importante truffa di scrematura. Ha comportato attacchi a oltre 1.000 clienti bancari, con criminali che hanno tentato di rubare oltre $ 1,5 milioni.
Da Skimmer a Shimmers
Quando le banche statunitensi hanno finalmente raggiunto il resto del mondo e hanno iniziato a emettere carte con chip, è stato un grande vantaggio in termini di sicurezza per i consumatori. Queste carte con chip, o carte EMV, offrono una sicurezza più solida rispetto alle strisce magnetiche dolorosamente semplici delle vecchie carte di pagamento. Ma i ladri imparano in fretta e hanno avuto anni per perfezionare attacchi in Europa e Canada che prendono di mira le carte chip.
Invece degli skimmer, che si trovano sopra i lettori di banda magnetica, i luccichii sono all'interno dei lettori di schede. Questi sono dispositivi molto, molto sottili e non possono essere visti dall'esterno. Quando inserisci la tua carta, lo shimmer legge i dati dal chip sulla tua carta, più o meno allo stesso modo in cui uno skimmer legge i dati sulla banda magnetica della tua carta.
Ci sono alcune differenze chiave, tuttavia. Per uno, la sicurezza integrata fornita con EMV significa che gli aggressori possono ottenere solo le stesse informazioni che farebbero da uno skimmer. Sul suo blog, il ricercatore sulla sicurezza Brian Krebs spiega che "Sebbene i dati che vengono generalmente archiviati sulla banda magnetica di una carta siano replicati all'interno del chip delle carte abilitate al chip, il chip contiene componenti di sicurezza aggiuntivi che non si trovano su una banda magnetica". Ciò significa che i ladri non possono duplicare il chip EMV, ma possono utilizzare i dati del chip per clonare la banda magnetica o utilizzare le sue informazioni per qualche altra frode.
Il rappresentante di Kaspersky con cui abbiamo parlato è stato inequivocabile nella loro fiducia per le chip card. "EMV non è ancora rotto", ha detto Kaspersky a PCMag. "Gli unici hack EMV di successo sono in condizioni di laboratorio."
Il vero problema è che i luccichii sono nascosti all'interno delle macchine delle vittime. Il luccichio nella foto di seguito è stato trovato in Canada e segnalato all'RCMP (link Internet Archive). È poco più di un circuito integrato stampato su un sottile foglio di plastica.
Verificare la manomissione
Il controllo di manomissioni su un dispositivo del punto vendita può essere difficile. La maggior parte di noi non è in fila al supermercato abbastanza a lungo per dare al lettore un buon esame. È anche più difficile per i ladri attaccare queste macchine, dal momento che non vengono lasciate incustodite. Gli sportelli automatici, d'altra parte, sono spesso lasciati incustoditi nei vestiboli o addirittura all'aperto, rendendoli bersagli più facili.
Mentre la maggior parte di questo articolo discute gli sportelli automatici, tieni presente che anche le stazioni di servizio, le stazioni di pagamento per il trasporto pubblico e altre macchine incustodite sono pronte per essere attaccate. Il nostro consiglio vale anche in queste circostanze.
Quando ti avvicini a un bancomat, verifica la presenza di alcuni evidenti segni di manomissione nella parte superiore del bancomat, vicino agli altoparlanti, al lato dello schermo, al lettore di carte stesso e alla tastiera. Se qualcosa ha un aspetto diverso, ad esempio un colore o materiale diverso, la grafica non è allineata correttamente o qualsiasi altra cosa che non sembra corretta, non utilizzare quell'ATM.
Se sei in banca, è una buona idea dare un'occhiata rapidamente agli sportelli bancomat accanto al tuo e confrontarli. Se ci sono differenze evidenti, non utilizzare nessuna delle due, invece, segnala la sospetta manomissione alla tua banca. Ad esempio, se un bancomat ha una scheda lampeggiante per mostrare dove dovresti inserire la carta bancomat e l'altro bancomat ha uno slot semplice, sai che qualcosa non va. La maggior parte degli skimmer sono incollati sopra il lettore esistente e oscurano l'indicatore lampeggiante.
Se la tastiera non si sente bene, forse troppo spessa o fuori centro, potrebbe esserci una sovrapposizione che strappa il PIN. Non usarlo. Cerca altri segni di manomissione come fori che potrebbero nascondere una fotocamera o bolle di colla dovute a un intervento chirurgico frettoloso.
Anche se non riesci a vedere alcuna differenza visiva, spingi tutto. Gli sportelli automatici sono costruiti in modo solido e generalmente non hanno parti sciolte. I lettori di carte di credito hanno più varianti, ma comunque: tira le parti sporgenti come il lettore di carte. Controlla se la tastiera è fissata saldamente e solo un pezzo. Se qualcosa si muove quando lo spingi, sii preoccupato.
Pensa alla tua transazione
Ogni volta che inserisci il PIN di una carta di debito, supponi che ci sia qualcuno che sta guardando. Forse è alle tue spalle o attraverso una telecamera nascosta. Anche se il bancomat o il dispositivo di pagamento sembrano a posto, copriti la mano mentre inserisci il PIN. Ottenere il PIN è essenziale. Senza di essa, i criminali sono limitati in ciò che possono fare con i dati rubati.
I criminali installano spesso skimmer su bancomat che non si trovano in luoghi eccessivamente trafficati poiché non vogliono essere osservati mentre installano hardware dannoso o raccolgono i dati raccolti (sebbene ci siano sempre delle eccezioni). Gli sportelli automatici interni sono generalmente più sicuri da utilizzare rispetto a quelli esterni, poiché gli aggressori possono accedere alle macchine esterne senza essere visti. Fermati e considera la sicurezza dell'ATM prima di utilizzarlo.
Quando possibile, non utilizzare la banda magnetica della tua carta per eseguire la transazione. La maggior parte dei terminali di pagamento ora utilizza la banda magnetica come ripiego e ti chiederà di inserire il chip invece di strisciare la carta. Se il terminale della carta di credito accetta transazioni NFC, prendi in considerazione l'utilizzo di Apple Pay, Samsung Pay o Android Pay.
Questi servizi di pagamento contactless tokenizzano i dati della tua carta di credito, quindi i tuoi dati reali non vengono mai esposti. Se un criminale in qualche modo intercetta la transazione, otterrà solo un numero di carta di credito virtuale inutile. Alcuni dispositivi Samsung potrebbero emulare una transazione a banda magnetica tramite il telefono. Questa tecnologia si chiama MST, ma ora è stata interrotta.
Uno scenario che spesso richiede l'uso della banda magnetica è il pagamento del carburante a una pompa di benzina. Questi sono frequenti per gli attacchi, perché molti non supportano ancora le transazioni EMV o NFC e perché gli aggressori possono accedere alle pompe senza essere notati. È molto più sicuro entrare e pagare alla cassa. Se non c'è un cassiere in servizio, utilizza gli stessi suggerimenti per l'utilizzo degli sportelli bancomat e controlla il lettore di carte prima di utilizzarlo.
Consigliato dai nostri editori
Da Skimmer a Shimmer a E-Skimmer
Non sorprende che esista un equivalente digitale chiamato e-skimming. L'hacking della British Airways del 2018 apparentemente si basava molto su tali tattiche.
Come ha spiegato Bogdan Botezatu, Director of Threat Research and Reporting di Bitdefender, l'e-skimming è quando un utente malintenzionato inserisce codice dannoso in un sito Web di pagamento che sottrae i dati della tua carta.
"Questi e-skimmer vengono aggiunti o compromettendo le credenziali dell'account amministratore del negozio online, il server di hosting web del negozio o compromettendo direttamente il [fornitore della piattaforma di pagamento] in modo che distribuiscano copie contaminate del loro software", ha spiegato Botezatu. È simile a una pagina di phishing, tranne per il fatto che la pagina è autentica: il codice sulla pagina è stato appena manomesso.
"Gli attacchi di e-skimming stanno diventando sempre più abili nell'eludere il rilevamento", ha affermato Botezatu. "Più tempo un attaccante mantiene questo punto d'appoggio, più carte di credito è in grado di raccogliere".
Combattere questo tipo di attacco spetta in definitiva alle aziende che gestiscono questi negozi. Tuttavia, ci sono alcune cose che i consumatori possono fare per proteggersi. Botezatu ha suggerito ai consumatori di utilizzare il software della suite di sicurezza sui loro computer, che secondo lui può rilevare codice dannoso e impedirti di inserire le tue informazioni.
In alternativa, puoi evitare di inserire i dati della tua carta di credito insieme alle carte di credito virtuali. Questi sono numeri di carta di credito fittizi collegati al tuo conto reale della carta di credito. Se uno è compromesso, non dovrai ottenere una nuova carta di credito, ma solo generare un nuovo numero virtuale. Alcune banche, come Citi, offrono questa funzionalità, quindi chiedi alla tua se è disponibile. Se non riesci a ottenere una carta virtuale da una banca, Abine Blur offre agli abbonati carte di credito mascherate, che funzionano in modo simile. Anche Apple Pay e Google Pay sono accettati su alcuni siti web.
Un'altra opzione è iscriversi agli avvisi delle carte. Alcune banche invieranno un avviso push sul tuo telefono ogni volta che viene utilizzata la tua carta di debito. Questo è utile, poiché puoi identificare immediatamente gli acquisti fasulli. Se la tua banca fornisce un'opzione simile, prova ad attivarla. Le app di finanza personale come Mint.com possono aiutarti a semplificare il compito di smistare tutte le tue transazioni.
Tieniti informato
Anche se fai tutto bene e vai oltre ogni centimetro di ogni macchina di pagamento che incontri (con grande dispiacere delle persone dietro di te in fila) puoi essere il bersaglio di una frode. Ma fatti coraggio: se denuncerai il furto all'emittente della tua carta (per le carte di credito) o alla banca (dove hai il tuo conto) il prima possibile, non sarai ritenuto responsabile. I tuoi soldi saranno restituiti. I clienti business, d'altra parte, non hanno la stessa protezione legale e potrebbero avere difficoltà a recuperare i loro soldi.
Inoltre, prova a utilizzare una carta di credito se ha senso per te. Una transazione di addebito è un trasferimento di contanti immediato e a volte può richiedere più tempo per la correzione. Le transazioni con carta di credito possono essere interrotte e annullate in qualsiasi momento. In questo modo si esercita pressione sui commercianti per proteggere meglio i loro sportelli bancomat e i terminali dei punti vendita. Tuttavia, l'uso eccessivo del credito ha le sue insidie, quindi fai attenzione.
Infine, presta attenzione al tuo telefono. Le banche e le società di carte di credito generalmente hanno politiche di rilevamento delle frodi molto attive e ti contatteranno immediatamente, di solito per telefono o SMS, se notano qualcosa di sospetto. Rispondere rapidamente può significare fermare gli attacchi prima che possano colpirti, quindi tieni il telefono a portata di mano.
Ricorda solo: se qualcosa non va bene su un bancomat o un lettore di carte di credito, non usarlo. Ogni volta che puoi, usa il chip al posto della striscia sulla tua carta. Il tuo conto in banca ti ringrazierà.
Fahmida Y. Rashid ha contribuito a questa storia