Kredi Kartı Skimmers ve Shimmers Nasıl Tespit Edilir ve Önlenir
Yayınlanan: 2022-01-29Kredi ve banka kartlarının ne kadar acınası bir güvensizlik olduğunu anladığım anı çok iyi hatırlıyorum. Birinin kullanıma hazır bir USB manyetik şerit okuyucu alıp onu klavye olarak tanıyan bir bilgisayara taktığını gördüm. Bir kelime işlemci açtılar ve kartı kaydırdılar. Metin dosyasında görev bilinciyle bir dizi sayı belirdi. İşte bu: Kartın bilgileri çalınmıştı.
Aynı teknoloji olgunlaştı ve minyatürleşti. Verilerinizi kartın manyetik şeridinden ("magstripe" olarak adlandırılır) çıkarmak için ATM'lere ve ödeme terminallerine küçük "skıyıcılar" takılabilir. Daha küçük "parıltılar" bile, daha yeni kartlardaki çiplere saldırmak için kart okuyucularına aktarılır. Artık, ödeme web sitelerinden e-skiming veri hırsızlığı adı verilen dijital bir versiyonu da var. Neyse ki, kendinizi bu saldırılardan korumanın birçok yolu var.
Skimmer Nedir?
Skimmer'lar, kartlarını çalan her kişiden veri toplayan yasal kart okuyucuların içine gizlenmiş küçük, kötü niyetli kart okuyuculardır. Bir süre donanımın verileri yudumlamasına izin verdikten sonra, hırsız, çalınan tüm verileri içeren dosyayı almak için güvenliği ihlal edilmiş makinenin yanında duracaktır. Bu bilgilerle klonlanmış kartlar oluşturabilir veya sadece sahtekarlık yapabilir. Belki de en korkutucu kısım, skimmerlerin çoğu zaman ATM veya kredi kartı okuyucusunun düzgün çalışmasını engellememesi ve bu da onları tespit edilmesini zorlaştırmasıdır.
ATM'lerin içine girmek zordur, bu nedenle ATM skimerleri bazen mevcut kart okuyucularına uyar. Çoğu zaman saldırganlar, hesaplara erişmek için kullanılan kişisel kimlik numaralarını veya PIN'leri kaydetmek için yakınlardaki bir yere gizli bir kamera da yerleştirir. Kamera kart okuyucuda, ATM'nin üstüne veya hatta tavana monte edilmiş olabilir. Bazı suçlular, kamera ihtiyacını atlayarak PIN'i doğrudan yakalamak için gerçek klavyelerin üzerine sahte PIN pedleri takacak kadar ileri gider.
Bu resim, bir ATM'de kullanılan gerçek hayattaki bir sıyırıcıdır. Şu tuhaf, hantal sarı parçayı görüyor musun? İşte o skimmer. Bunu fark etmek kolaydır çünkü makinenin geri kalanından farklı bir renge ve malzemeye sahiptir, ancak başka anlatı işaretleri de vardır. Kartınızı taktığınız yuvanın altında, makinenin plastik gövdesi üzerinde yükseltilmiş oklar bulunur. Gri okların sarı okuyucu muhafazasına nasıl çok yakın olduğunu, neredeyse üst üste geldiğini görebilirsiniz. Bu, gerçek kart okuyucunun kart yuvası ve oklar arasında biraz boşluk olacağından, mevcut okuyucunun üzerine bir skimmer takıldığının bir işaretidir.
ATM üreticileri bu tür dolandırıcılığı yalan söylemediler. Daha yeni ATM'ler, bazen ATM'ye takılı veya takılı nesneleri algılamaya yönelik radar sistemleri de dahil olmak üzere, kurcalamaya karşı güçlü savunmalara sahiptir. Ancak, Black Hat güvenlik konferansındaki bir araştırmacı, ayrıntılı bir dolandırıcılığın parçası olarak PIN'leri yakalamak için ATM'nin yerleşik radar cihazını kullanabildi.
Skimmers Hala Bir Tehdit mi?
Bu makalenin güncellemesini araştırırken Kaspersky Labs ile iletişime geçtik ve şirket temsilcileri bize şaşırtıcı bir şey söyledi: gözden geçirme saldırıları düşüşteydi. Kaspersky sözcüsü, "Göz atma nadir görülen bir şeydi ve hâlâ da öyle" dedi.
Kaspersky temsilcisi, Avrupa Güvenli İşlemler Birliği'nin (EAST) AB istatistiklerini daha büyük bir eğilimin göstergesi olarak gösterdi. EAST, deniz süpürücü saldırılarında rekor bir düşüklük bildirdi ve Nisan 2020'deki 1.496 olaydan aynı yılın Ekim ayında 321 olaya düştü. COVID-19'un etkilerinin bu düşüşle bir ilgisi olabilir, ancak yine de dramatik.
Bu, elbette, kaymanın ortadan kalktığı anlamına gelmez. Ocak 2021 gibi kısa bir süre önce, New Jersey'de büyük bir gözden geçirme dolandırıcılığı ortaya çıktı. Suçluların 1,5 milyon doların üzerinde para kazanmaya çalıştığı 1000'den fazla banka müşterisine yönelik saldırılar içeriyordu.
Skimmer'lardan Shimmers'a
ABD bankaları nihayet dünyanın geri kalanına yetişip çipli kartlar çıkarmaya başladığında, tüketiciler için büyük bir güvenlik lütfu oldu. Bu çipli kartlar veya EMV kartları, eski ödeme kartlarının acı verici derecede basit çizgilerinden daha sağlam güvenlik sunar. Ancak hırsızlar hızlı öğrenir ve Avrupa ve Kanada'da çipli kartları hedef alan saldırıları kusursuz hale getirmek için yıllarını alırlar.
Büyülü şerit okuyucuların üzerine oturan sıyırıcılar yerine, kart okuyucuların içinde kıvılcımlar bulunur. Bunlar çok çok ince cihazlardır ve dışarıdan görülemezler. Kartınızı kaydırdığınızda, pırıltı, kartınızdaki çipten gelen verileri okur, tıpkı bir skimmer'ın kartınızın üst çizgisindeki verileri okumasına benzer şekilde.
Bununla birlikte, birkaç önemli farklılık vardır. Birincisi, EMV ile birlikte gelen entegre güvenlik, saldırganların yalnızca bir skimmer'dan alacakları bilgilerin aynısını alabileceği anlamına gelir. Güvenlik araştırmacısı Brian Krebs, blogunda, "Genellikle bir kartın manyetik şeridinde depolanan veriler, çip etkin kartlardaki çipin içinde kopyalansa da çip, manyetik şeritte bulunmayan ek güvenlik bileşenleri içerir" diye açıklıyor. Bu, hırsızların EMV çipini kopyalayamayacakları, ancak çipten gelen verileri sihirli şeridi klonlamak veya bilgilerini başka bir dolandırıcılık için kullanabilecekleri anlamına gelir.
Konuştuğumuz Kaspersky temsilcisi, çipli kartlara duydukları güven konusunda netti. Kaspersky, PCMag'e "EMV hala bozulmadı" dedi. "Tek başarılı EMV hack'leri laboratuvar koşullarında."
Asıl sorun, parıltıların kurban makinelerinin içinde saklı olmasıdır. Aşağıda resmedilen parıltı Kanada'da bulundu ve RCMP'ye bildirildi (İnternet Arşivi bağlantısı). İnce bir plastik levha üzerine basılmış entegre bir devreden biraz daha fazlası.
Kurcalamayı Kontrol Et
Bir satış noktası cihazında kurcalama olup olmadığını kontrol etmek zor olabilir. Çoğumuz, okuyucuya iyi bir gidişat vermek için markette yeterince uzun kuyrukta değiliz. Hırsızların bu makinelere saldırması da gözetimsiz bırakılmadığı için daha zordur. Öte yandan ATM'ler genellikle girişlerde ve hatta dış mekanlarda izlenmeden bırakılır ve bu da onları daha kolay hedefler haline getirir.
Bu makalenin çoğu ATM'leri tartışırken, benzin istasyonlarının, toplu taşıma için ödeme istasyonlarının ve diğer gözetimsiz makinelerin de saldırıya hazır olduğunu unutmayın. Tavsiyemiz bu durumlarda da geçerlidir.
Bir ATM'ye yaklaştığınızda, ATM'nin üst kısmında, hoparlörlerin yakınında, ekranın yan tarafında, kart okuyucunun kendisinde ve klavyede bazı belirgin kurcalama işaretleri olup olmadığını kontrol edin. Farklı bir renk veya malzeme, doğru şekilde hizalanmayan grafikler veya doğru görünmeyen herhangi bir şey gibi bir şey farklı görünüyorsa, o ATM'yi kullanmayın.
Bankadaysanız, hemen yanınızdaki ATM'ye göz atmak ve bunları karşılaştırmak iyi bir fikirdir. Herhangi bir bariz farklılık varsa, ikisini de kullanmayın; bunun yerine şüpheli kurcalamayı bankanıza bildirin. Örneğin, bir ATM'de ATM kartını nereye takmanız gerektiğini gösteren yanıp sönen bir kart girişi varsa ve diğer ATM'de düz bir yuva varsa, bir sorun olduğunu bilirsiniz. Çoğu skimmer mevcut okuyucunun üzerine yapıştırılmıştır ve yanıp sönen göstergeyi gizleyecektir.
Klavye doğru gelmiyorsa - çok kalın veya merkezden uzak, belki - o zaman bir PIN kapma kaplaması olabilir. kullanma. Bir kamerayı gizleyebilecek delikler veya acele bir makine ameliyatından kaynaklanan yapışkan kabarcıkları gibi diğer kurcalama belirtilerine bakın.
Herhangi bir görsel farklılık göremeseniz bile, her şeye itin. ATM'ler sağlam bir yapıya sahiptir ve genellikle gevşek parçaları yoktur. Kredi kartı okuyucularının daha fazla çeşidi vardır, ancak yine de: Kart okuyucu gibi çıkıntılı kısımlardan çekin. Klavyenin güvenli bir şekilde takılı olup olmadığına ve tek parça olup olmadığına bakın. Üzerine bastığınızda bir şey hareket ederse, endişe edin.
İşleminizi İyi Düşünün
Bir banka kartı PIN'i girdiğinizde, arayan birinin olduğunu varsayın. Belki omzunun üzerinden ya da gizli bir kamera aracılığıyla. ATM veya ödeme makinesi başka türlü iyi görünse bile, PIN'inizi girerken elinizi kapatın. PIN'i almak çok önemlidir. Onsuz, suçluların çalınan verilerle yapabilecekleri sınırlıdır.
Suçlular, kötü niyetli donanımlar kurarken veya toplanan verileri toplarken (her zaman istisnalar olsa da) gözlemlenmek istemedikleri için, aşırı yoğun yerlerde bulunmayan ATM'lere sık sık skimmer kurarlar. Saldırganlar dış mekandaki makinelere görünmeden erişebildiğinden, iç mekan ATM'lerinin kullanımı genellikle dış mekan ATM'lerinden daha güvenlidir. Durun ve ATM'yi kullanmadan önce güvenliğini düşünün.
Mümkün olduğunda, işlemi gerçekleştirmek için kartınızın sihirli çizgisini kullanmayın. Çoğu ödeme terminali artık bir geri dönüş olarak magstripe kullanıyor ve kartınızı kaydırmak yerine çipinizi takmanızı isteyecek. Kredi kartı terminali NFC işlemlerini kabul ediyorsa Apple Pay, Samsung Pay veya Android Pay kullanmayı düşünün.
Bu temassız ödeme hizmetleri, kredi kartı bilgilerinizi şifreler, böylece gerçek verileriniz asla açığa çıkmaz. Bir suçlu işlemi bir şekilde durdurursa, yalnızca işe yaramaz bir sanal kredi kartı numarası alır. Bazı Samsung cihazları, telefon aracılığıyla bir magstripe işlemini taklit edebilir. Bu teknolojiye MST denir, ancak artık üretilmiyor.
Genellikle magstripe'ınızı kullanmanızı gerektiren bir senaryo, bir benzin pompasındaki yakıt için ödeme yapmaktır. Çoğu henüz EMV veya NFC işlemlerini desteklemediğinden ve saldırganlar fark edilmeden pompalara erişebildiğinden, bunlar saldırılara açıktır. İçeri girip kasiyere ödeme yapmak çok daha güvenli. Görevli bir kasiyer yoksa, ATM'leri kullanmak için aynı ipuçlarını kullanın ve kullanmadan önce kart okuyucuyu araştırın.
Editörlerimiz Tarafından Önerilen
Skimmer'lardan Shimmer'lara ve E-Skimmer'lara
Şaşırtıcı olmayan bir şekilde, e-skimming adı verilen dijital bir eşdeğer var. 2018 British Airways hack, görünüşe göre büyük ölçüde bu tür taktiklere dayanıyordu.
Bitdefender Tehdit Araştırma ve Raporlama Direktörü Bogdan Botezatu'nun açıkladığı gibi, e-skimming, bir saldırganın bir ödeme web sitesine kötü amaçlı kod ekleyerek kart bilgilerinizi ele geçirmesidir.
Botezatu, "Bu e-sıyırıcılar, çevrimiçi mağazanın yönetici hesabı kimlik bilgilerini, mağazanın web barındırma sunucusunu tehlikeye atarak veya yazılımlarının kusurlu kopyalarını dağıtmaları için [ödeme platformu satıcısını] doğrudan tehlikeye atarak eklenir" dedi. Bu, sayfanın orijinal olması dışında bir kimlik avı sayfasına benzer; sayfadaki kod az önce kurcalanmıştır.
Botezatu, "e-skimming saldırıları, tespitten kaçma konusunda giderek daha ustalaşıyor" dedi. "Saldırgan bu dayanağı ne kadar çok tutarsa, o kadar fazla kredi kartı toplayabilir."
Bu tür saldırılarla mücadele, nihayetinde bu mağazaları işleten şirketlere bağlıdır. Yine de tüketicilerin kendilerini korumak için yapabilecekleri birkaç şey var. Botezatu, tüketicilerin bilgisayarlarında, kötü amaçlı kodları tespit edip bilgilerinizi girmenizi engelleyebileceğini söylediği güvenlik paketi yazılımı kullanmalarını önerdi.
Alternatif olarak, kredi kartı bilgilerinizi sanal kredi kartları ile birlikte girmekten kaçınabilirsiniz. Bunlar, gerçek kredi kartı hesabınıza bağlı sahte kredi kartı numaralarıdır. Birinin güvenliği ihlal edilirse, yeni bir kredi kartı almanıza gerek kalmayacak, sadece yeni bir sanal numara oluşturun. Citi gibi bazı bankalar bunu bir özellik olarak sunar, bu yüzden sizinkini sorun. Bir bankadan sanal kart alamazsanız, Abine Blur abonelerine benzer şekilde çalışan maskeli kredi kartları sunar. Apple Pay ve Google Pay da bazı web sitelerinde kabul edilmektedir.
Başka bir seçenek de kart uyarılarına kaydolmaktır. Bazı bankalar, banka kartınız her kullanıldığında telefonunuza bir push uyarısı gönderir. Sahte alımları hemen tespit edebileceğiniz için bu kullanışlıdır. Bankanız benzer bir seçenek sunuyorsa, açmayı deneyin. Mint.com gibi kişisel finans uygulamaları, tüm işlemlerinizi sıralama görevini kolaylaştırabilir.
Farkında Olun
Her şeyi doğru yapsanız ve karşılaştığınız her ödeme makinesinin her santimini gözden geçirseniz bile (sıradaki insanları çok üzecek şekilde) dolandırıcılığın hedefi olabilirsiniz. Ancak dikkatli olun: Hırsızlığı, kartınızı veren kuruluşa (kredi kartları için) veya bankaya (hesabınızın bulunduğu banka) en kısa sürede bildirdiğiniz sürece, sorumlu tutulamazsınız. Paranız iade edilecektir. Ticari müşteriler ise aynı yasal korumaya sahip değildir ve paralarını geri almakta zorlanabilirler.
Ayrıca, sizin için mantıklıysa bir kredi kartı kullanmayı deneyin. Borç işlemi, anında yapılan bir nakit transferidir ve bazen düzeltilmesi daha fazla zaman alabilir. Kredi kartı işlemleri her an durdurulabilir ve geri alınabilir. Bunu yapmak, tüccarların ATM'lerini ve satış noktası terminallerini daha iyi korumaları için baskı yapıyor. Yine de aşırı kredi kullanımının kendi tuzakları vardır, bu yüzden dikkatli olun.
Son olarak, telefonunuza dikkat edin. Bankalar ve kredi kartı şirketleri genellikle çok aktif dolandırıcılık tespit politikalarına sahiptir ve şüpheli bir şey fark ettiklerinde genellikle telefon veya SMS yoluyla size hemen ulaşırlar. Hızlı yanıt vermek, saldırıları sizi etkilemeden durdurmak anlamına gelebilir, bu nedenle telefonunuzu el altında bulundurun.
Unutmayın: Bir ATM veya kredi kartı okuyucusu hakkında doğru olmayan bir şey varsa, onu kullanmayın. Mümkün olduğunda, kartınızdaki şerit yerine çipi kullanın. Banka hesabınız size teşekkür edecek.
Fahmida Y. Rashid bu hikayeye katkıda bulundu