Jak rozpoznać i uniknąć odpieniaczy i błyszczyków kart kredytowych?
Opublikowany: 2022-01-29Doskonale pamiętam moment, w którym zdałem sobie sprawę, jak żałośnie niepewne są karty kredytowe i debetowe. Obserwowałem, jak ktoś wziął z półki czytnik pasków magnetycznych USB i podłączył go do komputera, który rozpoznał go jako klawiaturę. Otworzyli edytor tekstu i przeciągnęli kartę. W pliku tekstowym posłusznie pojawiła się seria liczb. To było to: informacje z karty zostały skradzione.
Ta sama technologia dojrzała i uległa miniaturyzacji. Małe „skimmery” można podłączyć do bankomatów i terminali płatniczych, aby zgarnąć dane z paska magnetycznego karty (zwanego „paskiem magnetycznym”). Nawet mniejsze „migotanie” jest wklejane w czytniki kart, aby atakować żetony na nowszych kartach. Teraz pojawiła się także cyfrowa wersja o nazwie e-skimming, polegająca na kradzieży danych z serwisów płatniczych. Na szczęście istnieje wiele sposobów na zabezpieczenie się przed tymi atakami.
Czym są odpieniacze?
Skimmery to małe, złośliwe czytniki kart ukryte w legalnych czytnikach kart, które zbierają dane od każdej osoby, która przeciąga ich karty. Po tym, jak pozwolisz sprzętowi na pobieranie danych przez jakiś czas, złodziej zatrzyma się przy zaatakowanej maszynie, aby odebrać plik zawierający wszystkie skradzione dane. Dzięki tym informacjom może tworzyć sklonowane karty lub po prostu popełniać oszustwo. Być może najbardziej przerażające jest to, że skimmery często nie uniemożliwiają prawidłowego działania bankomatu lub czytnika kart kredytowych, co utrudnia ich wykrycie.
Dostanie się do bankomatów jest trudne, więc skimmery do bankomatów czasami pasują do istniejących czytników kart. W większości przypadków osoby atakujące umieszczają też gdzieś w pobliżu ukrytą kamerę, aby rejestrować osobiste numery identyfikacyjne lub kody PIN używane do uzyskiwania dostępu do kont. Kamera może znajdować się w czytniku kart, montowana na górze bankomatu, a nawet na suficie. Niektórzy przestępcy posuwają się tak daleko, że instalują fałszywe PIN pady na rzeczywistych klawiaturach, aby bezpośrednio przechwycić PIN, omijając potrzebę kamery.
To zdjęcie jest prawdziwym skimmerem używanym w bankomacie. Widzisz ten dziwny, gruby żółty kawałek? To jest skimmer. Ten jest łatwy do zauważenia, ponieważ ma inny kolor i materiał niż reszta maszyny, ale są też inne znaki ostrzegawcze. Poniżej gniazda, w które wkładasz kartę, znajdują się wypukłe strzałki na plastikowej obudowie urządzenia. Widać, jak szare strzałki znajdują się bardzo blisko żółtej obudowy czytnika, prawie się pokrywając. To znak, że skimmer został zainstalowany na istniejącym czytniku, ponieważ prawdziwy czytnik kart miałby trochę miejsca między gniazdem karty a strzałkami.
Producenci bankomatów nie skłaniali się do tego rodzaju oszustw. Nowsze bankomaty oferują solidną ochronę przed manipulacją, w tym czasami systemy radarowe przeznaczone do wykrywania obiektów włożonych lub przymocowanych do bankomatu. Jednak jeden z badaczy na konferencji poświęconej bezpieczeństwu Black Hat był w stanie wykorzystać pokładowe urządzenie radarowe bankomatu do przechwytywania kodów PIN w ramach skomplikowanego oszustwa.
Czy odpieniacze nadal stanowią zagrożenie?
Podczas badania aktualizacji tego artykułu skontaktowaliśmy się z Kaspersky Labs, a przedstawiciele firmy powiedzieli nam coś zaskakującego: liczba ataków skimmingowych spadała. „Skimming był i nadal jest rzadką rzeczą” – powiedział rzecznik Kaspersky.
Przedstawiciel firmy Kaspersky przytoczył statystyki UE z Europejskiego Stowarzyszenia na rzecz Bezpiecznych Transakcji (EAST) jako wskazujące na większy trend. EAST zgłosił rekordowo niski poziom ataków skimmerowych, spadając z 1496 incydentów w kwietniu 2020 r. do 321 incydentów w październiku tego samego roku. Skutki COVID-19 mogą mieć coś wspólnego z tym spadkiem, ale mimo to są dramatyczne.
Nie oznacza to oczywiście, że szumiarstwo zniknęło. Jeszcze w styczniu 2021 roku w New Jersey odkryto poważne oszustwo. Obejmował ataki na ponad 1000 klientów banków, a przestępcy próbowali uciec z ponad 1,5 miliona dolarów.
Od Skimmerów do Shimmerów
Kiedy amerykańskie banki w końcu dogoniły resztę świata i zaczęły wydawać karty chipowe, było to dla konsumentów wielkim dobrodziejstwem w zakresie bezpieczeństwa. Te karty chipowe lub karty EMV oferują bardziej solidne zabezpieczenia niż boleśnie proste paski magnetyczne starszych kart płatniczych. Ale złodzieje szybko się uczą i mieli wiele lat na doskonalenie ataków w Europie i Kanadzie, których celem były karty chipowe.
Zamiast skimmerów, które znajdują się na górze czytników z paskiem magnetycznym, w czytnikach kart znajdują się mieniące się elementy. Są to bardzo, bardzo cienkie urządzenia i nie można ich zobaczyć z zewnątrz. Kiedy wsuwasz kartę, shimmer odczytuje dane z chipa na twojej karcie, podobnie jak skimmer odczytuje dane na pasku magnetycznym twojej karty.
Istnieje jednak kilka kluczowych różnic. Po pierwsze, zintegrowane zabezpieczenia dostarczane z EMV oznaczają, że atakujący mogą uzyskać tylko te same informacje, które uzyskaliby od skimmera. Na swoim blogu badacz bezpieczeństwa Brian Krebs wyjaśnia, że „Chociaż dane, które są zwykle przechowywane na pasku magnetycznym karty, są replikowane wewnątrz chipa na kartach obsługujących chip, chip zawiera dodatkowe elementy zabezpieczające, których nie ma na pasku magnetycznym”. Oznacza to, że złodzieje nie mogli zduplikować chipa EMV, ale mogli wykorzystać dane z chipa do sklonowania paska magnetycznego lub wykorzystać jego informacje do innych oszustw.
Przedstawiciel firmy Kaspersky, z którym rozmawialiśmy, był jednoznaczny w swoim zaufaniu do kart chipowych. „EMV nadal nie jest zepsuty” – powiedział Kaspersky PCMag. „Jedyne udane hacki EMV mają miejsce w warunkach laboratoryjnych”.
Prawdziwy problem polega na tym, że w zaatakowanych maszynach ukryte są migotanie. Połysk na zdjęciu poniżej został znaleziony w Kanadzie i zgłoszony do RCMP (link do archiwum internetowego). To niewiele więcej niż układ scalony wydrukowany na cienkiej plastikowej płytce.
Sprawdź, czy nie ma manipulacji
Sprawdzenie urządzenia w punkcie sprzedaży pod kątem manipulacji może być trudne. Większość z nas nie stoi w kolejce do sklepu spożywczego wystarczająco długo, by dać czytelnikowi dobre rozeznanie. Złodziejom też trudniej jest zaatakować te maszyny, ponieważ nie pozostawia się ich bez opieki. Z drugiej strony bankomaty są często pozostawiane bez obserwacji w przedsionkach, a nawet na zewnątrz, co czyni je łatwiejszymi celami.
Chociaż większość tego artykułu dotyczy bankomatów, należy pamiętać, że stacje benzynowe, stacje płatności w transporcie publicznym i inne automaty bez nadzoru również są gotowe do ataku. Nasza rada ma zastosowanie również w takich okolicznościach.
Zbliżając się do bankomatu, poszukaj widocznych oznak manipulacji w górnej części bankomatu, w pobliżu głośników, z boku ekranu, samego czytnika kart i klawiatury. Jeśli coś wygląda inaczej, na przykład inny kolor lub materiał, grafika, która nie jest prawidłowo wyrównana lub cokolwiek innego, co wygląda niewłaściwie, nie używaj tego bankomatu.
Jeśli jesteś w banku, dobrze jest szybko zajrzeć do bankomatu obok i porównać. Jeśli są jakieś oczywiste różnice, nie używaj żadnej z nich — zamiast tego zgłoś podejrzane manipulowanie swoim bankiem. Na przykład, jeśli jeden bankomat ma migające wejście na kartę wskazujące, gdzie należy włożyć kartę bankomatową, a drugi bankomat ma zwykłe gniazdo, wiadomo, że coś jest nie tak. Większość skimmerów jest przyklejona na wierzchu istniejącego czytnika i zasłania migający wskaźnik.
Jeśli klawiatura nie wydaje się odpowiednia — może zbyt gruba lub nie wyśrodkowana — może być nałożona nakładka do wyrywania kodu PIN. Nie używaj go. Poszukaj innych oznak manipulacji, takich jak dziury, które mogą ukryć kamerę lub bąbelki kleju po pospiesznej operacji maszynowej.
Nawet jeśli nie widzisz żadnych różnic wizualnych, naciskaj na wszystko. Bankomaty są solidnie wykonane i generalnie nie mają żadnych luźnych części. Czytniki kart kredytowych mają więcej wariantów, ale nadal: pociągnij za wystające części, takie jak czytnik kart. Sprawdź, czy klawiatura jest bezpiecznie przymocowana i tylko jeden kawałek. Jeśli coś się poruszy, gdy na to naciskasz, bądź zaniepokojony.
Przemyśl swoją transakcję
Za każdym razem, gdy wpisujesz kod PIN karty debetowej, załóż, że ktoś patrzy. Może to przez ramię lub przez ukrytą kamerę. Nawet jeśli bankomat lub automat płatniczy wydają się być w porządku, zakryj rękę podczas wprowadzania kodu PIN. Uzyskanie kodu PIN jest niezbędne. Bez niego przestępcy mają ograniczone możliwości wykorzystania skradzionych danych.
Przestępcy często instalują skimmery w bankomatach, które nie znajdują się w nadmiernie obciążonych lokalizacjach, ponieważ nie chcą być obserwowani podczas instalowania złośliwego sprzętu lub zbierania zebranych danych (chociaż zawsze są wyjątki). Bankomaty wewnętrzne są ogólnie bezpieczniejsze w użyciu niż te znajdujące się na zewnątrz, ponieważ osoby atakujące mogą uzyskać niezauważony dostęp do urządzeń znajdujących się na zewnątrz. Zatrzymaj się i rozważ bezpieczeństwo bankomatu przed jego użyciem.
Jeśli to możliwe, nie używaj paska magnetycznego karty do wykonania transakcji. Większość terminali płatniczych używa teraz paska magnetycznego jako rezerwy i poprosi o włożenie chipa zamiast przesuwania karty. Jeśli terminal kart kredytowych akceptuje transakcje NFC, rozważ skorzystanie z Apple Pay, Samsung Pay lub Android Pay.
Te usługi płatności zbliżeniowych tokenizują informacje o Twojej karcie kredytowej, dzięki czemu Twoje prawdziwe dane nigdy nie są ujawniane. Jeśli przestępca w jakiś sposób przechwyci transakcję, otrzyma tylko bezużyteczny numer wirtualnej karty kredytowej. Niektóre urządzenia Samsung mogą emulować transakcję z paskiem magnetycznym przez telefon. Ta technologia nosi nazwę MST, ale została wycofana.
Jednym ze scenariuszy, który często wymaga użycia paska magnetycznego, jest płacenie za paliwo na dystrybutorze gazu. Są one pełne ataków, ponieważ wiele z nich nie obsługuje jeszcze transakcji EMV ani NFC, a atakujący mogą uzyskać dostęp do pomp bez zauważenia. O wiele bezpieczniej jest wejść do środka i zapłacić kasjerowi. Jeśli nie ma dyżurnego kasjera, skorzystaj z tych samych wskazówek dotyczących korzystania z bankomatów i sprawdź czytnik kart przed jego użyciem.
Polecane przez naszych redaktorów
Od Skimmerów przez Shimmery do E-skimmerów
Nic dziwnego, że istnieje cyfrowy odpowiednik zwany e-skimingiem. Hack 2018 British Airways najwyraźniej w dużej mierze opierał się na takiej taktyce.
Jak wyjaśnił Bogdan Botezatu, dyrektor ds. Badań zagrożeń i raportowania w Bitdefender, e-skimming ma miejsce, gdy atakujący umieszcza złośliwy kod na stronie płatności, która wykrada informacje o Twojej karcie.
„Te e-skimmery są dodawane poprzez naruszenie danych uwierzytelniających konta administratora sklepu internetowego, serwera hostingowego sklepu lub poprzez bezpośrednie naruszenie [dostawcy platformy płatniczej], aby rozpowszechniać skażone kopie swojego oprogramowania” – wyjaśnił Botezatu. Jest to podobne do strony phishingowej, z tą różnicą, że strona jest autentyczna — kod na stronie został właśnie naruszony.
„Ataki e-skimming stają się coraz bardziej skuteczne w unikaniu wykrycia” – powiedział Botezatu. „Im dłużej napastnik utrzymuje ten przyczółek, tym więcej kart kredytowych jest w stanie zebrać”.
Zwalczanie tego typu ataków zależy ostatecznie od firm, które prowadzą te sklepy. Jest jednak kilka rzeczy, które konsumenci mogą zrobić, aby się chronić. Botezatu zasugerował, aby konsumenci używali na swoich komputerach oprogramowania zabezpieczającego, które, jak powiedział, może wykryć złośliwy kod i uniemożliwić wprowadzanie informacji.
Alternatywnie możesz uniknąć wprowadzania danych karty kredytowej razem z wirtualnymi kartami kredytowymi. Są to fałszywe numery kart kredytowych, które są powiązane z Twoim prawdziwym kontem karty kredytowej. Jeśli ktoś zostanie naruszony, nie będziesz musiał zdobywać nowej karty kredytowej, po prostu wygeneruj nowy wirtualny numer. Niektóre banki, takie jak Citi, oferują tę funkcję jako funkcję, więc zapytaj, czy jest dostępna. Jeśli nie możesz otrzymać wirtualnej karty z banku, Abine Blur oferuje abonentom zamaskowane karty kredytowe, które działają w podobny sposób. Apple Pay i Google Pay są również akceptowane na niektórych stronach internetowych.
Inną opcją jest zapisanie się do alertów kartowych. Niektóre banki wysyłają alert push na Twój telefon za każdym razem, gdy używana jest karta debetowa. Jest to przydatne, ponieważ możesz natychmiast zidentyfikować fałszywe zakupy. Jeśli Twój bank oferuje podobną opcję, spróbuj ją włączyć. Aplikacje do finansów osobistych, takie jak Mint.com, mogą ułatwić sortowanie wszystkich transakcji.
Bądź świadomy
Nawet jeśli zrobisz wszystko dobrze i przejrzysz każdy centymetr każdej napotkanej maszyny płatniczej (ku rozgoryczeniu ludzi stojących za tobą w kolejce), możesz stać się celem oszustwa. Ale bądź ostrożny: jeśli jak najszybciej zgłosisz kradzież do wystawcy karty (w przypadku kart kredytowych) lub banku (w którym masz konto), nie będziesz ponosić odpowiedzialności. Twoje pieniądze zostaną zwrócone. Z drugiej strony klienci biznesowi nie mają takiej samej ochrony prawnej i mogą mieć trudności z odzyskaniem pieniędzy.
Spróbuj też użyć karty kredytowej, jeśli ma to dla Ciebie sens. Transakcja debetowa to natychmiastowy przelew gotówkowy, a jej skorygowanie może być czasem bardziej czasochłonne. Transakcje kartą kredytową można w każdej chwili wstrzymać i cofnąć. Takie postępowanie wywiera presję na sprzedawców, aby lepiej zabezpieczali swoje bankomaty i terminale w punktach sprzedaży. Nadużywanie kredytu ma jednak swoje pułapki, więc bądź ostrożny.
Na koniec zwróć uwagę na swój telefon. Banki i firmy obsługujące karty kredytowe mają na ogół bardzo aktywną politykę wykrywania oszustw i natychmiast skontaktują się z Tobą, zwykle przez telefon lub SMS, jeśli zauważą coś podejrzanego. Szybkie reagowanie może oznaczać zatrzymanie ataków, zanim będą miały na Ciebie wpływ, więc trzymaj telefon pod ręką.
Pamiętaj tylko: jeśli coś jest nie tak z bankomatem lub czytnikiem kart kredytowych, nie używaj tego. Kiedy tylko możesz, używaj chipa zamiast paska na karcie. Twoje konto bankowe ci podziękuje.
Fahmida Y. Rashid przyczynił się do powstania tej historii