クレジットカードのスキマーとシマーを見つけて回避する方法
公開: 2022-01-29クレジットカードやデビットカードの安全性がいかに悪いかを実感した瞬間を鮮明に覚えています。 私は、誰かが既製のUSB磁気ストリップリーダーを取り出してコンピューターに接続し、それがキーボードとして認識されるのを見ました。 彼らはワードプロセッサを開き、カードをスワイプしました。 一連の数字がテキストファイルに忠実に表示されました。 それはそれでした:カードの情報は盗まれていました。
その同じ技術が成熟し、小型化されました。 小さな「スキマー」をATMや決済端末に接続して、カードの磁気ストリップ(「マグストライプ」と呼ばれる)からデータをスキミングすることができます。 さらに小さな「きらめき」がカードリーダーにシムされて、新しいカードのチップを攻撃します。 現在、支払いWebサイトからのデータを盗むeスキミングと呼ばれるデジタルバージョンもあります。 幸いなことに、これらの攻撃から身を守る方法はたくさんあります。
スキマーとは何ですか?
スキマーは、カードをスワイプするすべての人からデータを収集する正規のカードリーダー内に隠された小さな悪意のあるカードリーダーです。 ハードウェアにデータをしばらく飲ませた後、泥棒は侵入先のマシンに立ち寄り、盗まれたすべてのデータを含むファイルを取得します。 その情報を使用して、彼は複製されたカードを作成したり、単に詐欺を犯したりすることができます。 恐らく最も恐ろしいのは、スキマーがATMやクレジットカードリーダーの正常な機能を妨げないことが多く、検出が困難になることです。
ATMの中に入るのは難しいので、ATMスキマーは既存のカードリーダーに合うことがあります。 ほとんどの場合、攻撃者は、アカウントへのアクセスに使用される個人識別番号(PIN)を記録するために、近くのどこかに隠しカメラを置きます。 カメラはカードリーダーにあるか、ATMの上部に取り付けられているか、天井に取り付けられている場合があります。 一部の犯罪者は、カメラの必要性を回避して、実際のキーボードの上に偽のPINパッドを取り付けて、PINを直接キャプチャするところまで行っています。
この写真は、ATMで使用されている実際のスキマーです。 あなたはその奇妙でかさばる黄色いビットを見ますか? それがスキマーです。 これは、他のマシンとは色や素材が異なるため、簡単に見つけることができますが、他にもわかりやすい兆候があります。 カードを挿入するスロットの下には、マシンのプラスチック製ハウジングに矢印があります。 灰色の矢印が黄色のリーダーハウジングに非常に近く、ほとんど重なっていることがわかります。 これは、実際のカードリーダーにはカードスロットと矢印の間にいくらかのスペースがあるため、既存のリーダーの上にスキマーが取り付けられたことを示しています。
ATMメーカーは、この種の詐欺を横になっているとは考えていません。 新しいATMは、ATMに挿入または取り付けられた物体を検出することを目的としたレーダーシステムを含む、改ざんに対する強力な防御を誇っています。 しかし、Black Hatセキュリティ会議の1人の研究者は、ATMのオンボードレーダーデバイスを使用して、手の込んだ詐欺の一環としてPINをキャプチャすることができました。
スキマーはまだ脅威ですか?
この記事の更新を調査しているときに、Kaspersky Labsに連絡したところ、会社の代表者から驚くべきことが言われました。スキミング攻撃は減少傾向にあります。 カスペルスキーの広報担当者は、「スキミングは今でも珍しいことだ」と語った。
Kasperskyの代表者は、より大きな傾向を示すものとして、欧州安全取引協会(EAST)のEU統計を引用しました。 EASTは、スキマー攻撃が過去最低であり、2020年4月の1,496件から同年10月の321件に減少したと報告しました。 COVID-19の影響はその低下と関係があるかもしれませんが、それでも劇的です。
もちろん、それはスキミングがなくなったことを意味するものではありません。 つい最近、2021年1月に、ニュージャージーで大規模なスキミング詐欺が発掘されました。 これには、1,000を超える銀行の顧客に対する攻撃が含まれ、犯罪者は150万ドルを超える額を稼ごうとしました。
スキマーからシマーへ
米国の銀行がようやく世界に追いつき、チップカードの発行を開始したとき、それは消費者にとって大きなセキュリティの恩恵でした。 これらのチップカード、またはEMVカードは、古い支払いカードの痛々しいほど単純なマグストライプよりも強力なセキュリティを提供します。 しかし、泥棒はすぐに習得し、ヨーロッパとカナダでチップカードを標的とした攻撃を完璧にするために何年もかかりました。
磁気ストライプリーダーの上にあるスキマーの代わりに、カードリーダーの内側にきらめきがあります。 これらは非常に薄いデバイスであり、外部からは見えません。 カードをスライドさせると、スキマーがカードの磁気ストライプのデータを読み取るのとほぼ同じ方法で、キラキラがカードのチップからデータを読み取ります。
ただし、いくつかの重要な違いがあります。 1つは、EMVに付属する統合セキュリティは、攻撃者がスキマーから取得するのと同じ情報しか取得できないことを意味します。 セキュリティ研究者のBrianKrebsは、彼のブログで、「通常、カードの磁気ストライプに保存されるデータは、チップ対応カードのチップ内に複製されますが、チップには、磁気ストライプにはない追加のセキュリティコンポーネントが含まれています」と説明しています。 これは、泥棒がEMVチップを複製することはできなかったが、チップからのデータを使用して磁気ストライプのクローンを作成したり、その情報を他の詐欺に使用したりできることを意味します。
私たちが話をしたカスペルスキーの代表者は、チップカードに対する彼らの自信に明白でした。 「EMVはまだ壊れていません」とKasperskyはPCMagに語った。 「成功したEMVハックは実験室の状態だけです。」
本当の問題は、きらめきが被害者のマシンの中に隠されていることです。 下の写真のきらめきはカナダで発見され、RCMP(インターネットアーカイブリンク)に報告されました。 薄いプラスチックシートに印刷された集積回路に過ぎません。
改ざんをチェックします
POSデバイスの改ざんをチェックするのは難しい場合があります。 私たちのほとんどは、読者に良い話をするのに十分な時間、食料品店に並んでいません。 また、これらのマシンは放置されていないため、泥棒がこれらのマシンを攻撃することも困難です。 一方、ATMは、玄関ホールや屋外でさえ監視されないままになっていることが多く、ターゲットになりやすくなっています。
この記事の大部分はATMについて説明していますが、ガソリンスタンド、公共交通機関の支払いステーション、およびその他の無人のマシンも攻撃に熟していることに注意してください。 私たちのアドバイスは、このような状況にも当てはまります。
ATMに近づくときは、ATMの上部、スピーカーの近く、画面の側面、カードリーダー自体、およびキーボードに改ざんの明らかな兆候がないか確認してください。 色や素材の違い、グラフィックの位置が正しくない、その他の見栄えが悪いなど、見た目が異なる場合は、そのATMを使用しないでください。
銀行にいる場合は、隣のATMをすばやく見て、比較することをお勧めします。 明らかな違いがある場合は、どちらも使用しないでください。代わりに、疑わしい改ざんを銀行に報告してください。 たとえば、一方のATMにATMカードを挿入する場所を示す点滅するカードエントリがあり、もう一方のATMにプレーンスロットがある場合、何かが間違っていることがわかります。 ほとんどのスキマーは既存のリーダーの上に接着されており、点滅しているインジケーターを覆い隠します。
キーボードが適切に感じられない場合(おそらく、厚すぎるか中心から外れている場合)、PINをひったくりにするオーバーレイがある可能性があります。 使用しないでください。 カメラを隠す可能性のある穴や、急いで機械を手術したときの接着剤の泡など、改ざんの兆候を探します。
視覚的な違いが見当たらない場合でも、すべてを押してください。 ATMはしっかりと構築されており、一般的に緩い部品はありません。 クレジットカードリーダーにはさらにバリエーションがありますが、それでも:カードリーダーのように突き出た部分を引っ張ってください。 キーボードがしっかりと取り付けられているかどうか、そして1つだけかどうかを確認します。 押すと何かが動く場合は気をつけてください。
あなたの取引を通して考えなさい
デビットカードのPINを入力するときはいつでも、誰かが探していると想定してください。 多分それはあなたの肩越しにまたは隠しカメラを通してです。 ATMや支払い機に問題がないように思われる場合でも、PINを入力するときは手を覆ってください。 PINの取得は不可欠です。 それがなければ、犯罪者は盗まれたデータで何ができるかが制限されます。
犯罪者は、悪意のあるハードウェアのインストールや収集されたデータの収集を監視されたくないため、忙しい場所に配置されていないATMにスキマーを頻繁にインストールします(ただし、常に例外があります)。 攻撃者は目に見えない屋外のマシンにアクセスできるため、屋内のATMは一般に屋外のATMよりも安全に使用できます。 使用する前に、ATMを停止して安全性を考慮してください。
可能な限り、カードの磁気ストライプを使用してトランザクションを実行しないでください。 現在、ほとんどの決済端末はフォールバックとして磁気ストライプを使用しており、カードをスワイプする代わりにチップを挿入するように求められます。 クレジットカード端末がNFCトランザクションを受け入れる場合は、Apple Pay、Samsung Pay、またはAndroidPayの使用を検討してください。
これらの非接触型決済サービスはクレジットカード情報をトークン化するため、実際のデータが公開されることはありません。 犯罪者が何らかの形で取引を傍受した場合、彼は役に立たない仮想クレジットカード番号しか取得できません。 一部のSamsungデバイスは、電話を介して磁気ストライプトランザクションをエミュレートできます。 この技術はMSTと呼ばれていますが、現在は廃止されています。
磁気ストライプを使用する必要があることが多いシナリオの1つは、ガソリンポンプで燃料を支払うことです。 多くはまだEMVまたはNFCトランザクションをサポートしておらず、攻撃者は気付かれることなくポンプにアクセスできるため、これらは攻撃に満ちています。 中に入ってレジに支払う方がはるかに安全です。 レジ係がいない場合は、ATMを使用するための同じヒントを使用し、カードリーダーを使用する前に調査してください。
編集者からの推薦
スキマーからシマー、Eスキマーへ
当然のことながら、e-スキミングと呼ばれるデジタル版があります。 2018年のブリティッシュ・エアウェイズのハッキングは、明らかにそのような戦術に大きく依存していました。
Bitdefenderの脅威調査およびレポート担当ディレクターであるBogdanBotezatuが説明したように、eスキミングとは、攻撃者が悪意のあるコードを支払いWebサイトに挿入して、カード情報を奪うことです。
「これらのeスキマーは、オンラインストアの管理者アカウントの資格情報、ストアのWebホスティングサーバーを侵害するか、[支払いプラットフォームベンダー]を直接侵害して、ソフトウェアの汚染されたコピーを配布することによって追加されます」とBotezatu氏は説明します。 これはフィッシングページに似ていますが、ページが本物である点が異なります。ページのコードが改ざんされたばかりです。
「e-スキミング攻撃は、検出を回避することにますます熟練している」とボテザツ氏は述べた。 「攻撃者がこの足場を維持する時間が長ければ長いほど、より多くのクレジットカードを収集できます。」
この種の攻撃に対抗するのは、最終的にはこれらの店舗を運営する企業次第です。 ただし、消費者が自分自身を守るためにできることはいくつかあります。 Botezatuは、消費者が自分のコンピューターでセキュリティスイートソフトウェアを使用することを提案しました。これにより、悪意のあるコードを検出し、情報の入力を防ぐことができます。
または、仮想クレジットカードと一緒にクレジットカード情報を入力することを避けることができます。 これらは、実際のクレジットカードアカウントにリンクされているダミーのクレジットカード番号です。 1つが危険にさらされた場合、新しいクレジットカードを取得する必要はなく、新しい仮想番号を生成するだけです。 シティなどの一部の銀行はこれを機能として提供しているので、利用可能かどうかを尋ねてください。 銀行から仮想カードを入手できない場合、Abine Blurは、同様の方法で機能するマスクされたクレジットカードを加入者に提供します。 ApplePayとGooglePayは、一部のWebサイトでも受け入れられています。
別のオプションは、カードアラートに登録することです。 一部の銀行は、デビットカードが使用されるたびに携帯電話にプッシュアラートを送信します。 これは、偽の購入をすぐに特定できるので便利です。 銀行が同様のオプションを提供している場合は、それをオンにしてみてください。 Mint.comのようなパーソナルファイナンスアプリは、すべてのトランザクションを並べ替える作業を簡単にするのに役立ちます。
気をつけて
あなたがすべてを正しく行い、あなたが遭遇するすべての支払い機の隅々まで行き渡ったとしても(あなたの後ろに並んでいる人々の悔しさの多くに)あなたは詐欺の標的になる可能性があります。 ただし、心に留めておいてください。盗難をカード発行会社(クレジットカードの場合)または銀行(アカウントを持っている場合)にできるだけ早く報告する限り、責任を問われることはありません。 あなたのお金は返されます。 一方、ビジネス顧客は同じ法的保護を受けておらず、お金を取り戻すのに苦労する可能性があります。
また、意味がある場合はクレジットカードを使用してみてください。 デビット取引は即時の現金送金であり、修正に時間がかかる場合があります。 クレジットカードの取引はいつでも停止および取り消すことができます。 そうすることで、ATMとPOS端末のセキュリティを強化するように加盟店に圧力がかかります。 ただし、クレジットの乱用には独自の落とし穴がありますので、注意してください。
最後に、お使いの携帯電話に注意を払ってください。 銀行やクレジットカード会社は通常、非常に積極的な不正検出ポリシーを採用しており、疑わしい点に気付いた場合は、通常は電話またはSMSですぐに連絡します。 迅速に対応するということは、攻撃があなたに影響を与える前に攻撃を止めることを意味する可能性があるので、携帯電話を手元に置いてください。
覚えておいてください:ATMやクレジットカードリーダーについて何かが正しくないと感じた場合は、それを使用しないでください。 可能な限り、カードのストリップの代わりにチップを使用してください。 あなたの銀行口座はあなたに感謝します。
Fahmida Y.Rashidがこのストーリーに貢献しました