Як визначити та уникнути скиммерів кредитних карт

Момент, коли я почав серйозно турбуватися про скиммери кредитної картки та дебетової картки, був не тоді, коли весь мій банківський рахунок був переведений в Туреччину, або коли мені довелося замінити кредитну карту три рази за два місяці через шахрайські збори. Коли я дізнався, що викрасти номер кредитної картки так само просто, як підключити зчитувач магнітних смужок до комп'ютера та відкрити текстовий процесор. Кожен поворот виплюнув номер кредитної картки, не вимагаючи додаткових налаштувань. Більш досконалі пристрої для крадіжки вашої інформації злочинці встановлюють безпосередньо на банкоматах та читачах кредитних карт. Вони називаються скиммерами, і якщо ви обережні, ви можете уберегтися від жертв цих підступних пристроїв.

Що таке скиммери?

Скиммери - це, по суті, зловмисні зчитувачі карт, прикріплені до реальних платіжних терміналів, щоб вони могли збирати дані кожної людини, яка провела їхні картки. Злодію часто доводиться повертатися на компрометовану машину, щоб забрати файл, що містить усі викрадені дані, але з цією інформацією в руці він може створити клоновані картки або просто зламати на банківські рахунки, щоб викрасти гроші. Мабуть, найстрашніша частина полягає в тому, що скиммери часто не заважають банкомату чи читачеві кредитних карт нормально функціонувати, що ускладнює їх виявлення.

Класичні атаки на скимінг залишаються тут, і, ймовірно, залишатимуться проблемою навіть зараз, коли банки перейшли на чіп-карти EMV, за словами Стефана Танаса, дослідника з безпеки в Лабораторії Касперського. Навіть якщо на картках є чіп, дані все одно будуть знаходитись на магнітній смузі картки, щоб вони були сумісними назад із системами, які не можуть обробити чіп, сказав він. Навіть зараз, довго після розгортання карт EMV в США, деякі торговці все ще вимагають від клієнтів використання мастрипи.

Типовий скиммер банкоматів - це невеликий пристрій, який підходить до наявного зчитувача карт. Більшу частину часу зловмисники також розміщуватимуть приховану камеру десь поблизу, щоб записувати особисті ідентифікаційні номери або PIN-коди, які використовуються для доступу до облікових записів. Камера може знаходитися в картридері, встановленому вгорі банкомата, або навіть у стелі. Деякі злочинці встановлюють підроблені накладки PIN-коду над фактичними клавіатурами, щоб безпосередньо захопити PIN-код, оминаючи потребу в камері.

Наведена вище картинка - справжній скиммер, який використовується в банкоматі. Ви бачите той дивний, об'ємний жовтий шматочок? Це скиммер. Це легко помітити, оскільки він має інший колір та матеріал, ніж цільова машина, але є й інші знакові сигнали. Під слотом, куди вставляєте картку, підняті стрілки, вбудовані в пластиковий кожух машини. Ви можете бачити, як сірі стрілки дуже близько до жовтого корпусу зчитувача, майже перекриваючись. Тобто знак встановив скиммер над існуючим, оскільки справжній зчитувач карток мав би місце між слотом для картки та стрілками.

Від Скиммерс до Шиммерса

Коли американські банки нарешті наздогнали решту світу та почали випускати чіп-карти, це стало великим благом для споживачів. Ці мікросхеми чи картки EMV пропонують більш надійну безпеку, ніж болісно прості мастрипи старих кредитних карт. Але злодії швидко навчаються, і в Європі та Канаді були роки на вдосконалення нападів на чіп-карти.

Замість скиммерів, які сидять зверху на зчитувачах магістралі, всередині зчитувачів карт знаходяться мерехтіння. Це дуже-дуже тонкі пристрої і їх не видно зовні. Коли ви засуньте карту, мерехтіння зчитує дані з мікросхеми на вашій карті, так само, як скиммер зчитує дані на магістралі вашої картки.

Однак є кілька ключових відмінностей. Для одного, інтегрована безпека, яка постачається з EMV, означає, що зловмисники можуть отримувати лише ту саму інформацію, яку вони мали б від скімера. У своєму блозі дослідник безпеки Брайан Кребс пояснює, що "дані, зібрані мерехтіннями, не можуть бути використані для виготовлення карти на основі чіпів, але їх можна використовувати для клонування картки з магнітною смугою. Хоча дані, як правило, зберігаються на магнітній смузі карти" реплікується всередині мікросхеми на картах з підтримкою чіпа, чіп містить додаткові компоненти безпеки, які не знайдені на магнітній смузі ".

Справжня проблема полягає в тому, що мерехтіння набагато складніше помітити, оскільки вони сидять усередині банкоматів або машин торгових точок. На зображеному нижче мерехтінні знайдено в Канаді та повідомили в RCMP. Це трохи більше, ніж інтегральна схема, надрукована на тонкому пластиковому аркуші. Якби власники компрометованого пристрою не були обережними, це могло б викрасти інформацію у всіх, хто цим користувався.

Виробники банкоматів не приймали такого роду шахрайства, лежачи. Більш нові банкомати можуть похвалитися надійними антимонопольними пристроями, іноді включаючи радіолокаційні системи, призначені для виявлення об'єктів, вставлених або прикріплених до банкоматів. Однак один дослідник на конференції з безпеки Блек Хат зміг використати бортовий радіолокаційний пристрій банкомату для зйомки PIN-кодів як складної афери.

Загрози реальні та розвиваються; Ось чому так важливо дати будь-якому читачеві банкоматів чи кредитних карток швидку перевірку, перш ніж користуватися ним.

Перевірте наявність фальсифікацій

Підійшовши до банкомату, перевірте наявність явних ознак підробки у верхній частині банкомату, біля колонок, збоку екрана, самого зчитувача карт та клавіатури. Якщо щось виглядає інакше, наприклад, іншого кольору або матеріалу, графіки, які не вирівняні правильно, або іншого, що не виглядає правильно, не використовуйте цей банкомат. Те саме стосується читачів кредитних карт на касі або на автозаправних станціях.

Якщо ви знаходитесь в банку, непогано зазирнути в банкомат поруч із вашим та порівняти їх. Якщо є явні відмінності, не використовуйте жодної і не повідомляйте про своє підозріле підробку у своєму банку. Наприклад, якщо в одному банкоматі є запис проблискуючої картки, щоб вказати, куди слід вставити картку банкоматів, а в іншому банкоматі є звичайний слот для читання, ви знаєте, що щось не так. Більшість скиммерів склеюються поверх наявного зчитувача і затьмарюють миготливий індикатор.

Якщо клавіатура не здається правильною (можливо, занадто товстою), може виникнути накладка PIN-коду, тому не використовуйте її.

Помахувати все

Навіть якщо ви не бачите жодних візуальних відмінностей, натисніть на все, сказав Танас. Банкомати міцно побудовані і, як правило, не мають жодних сипучих частин. Зчитувачі кредитних карт мають більше варіантів, але все ж: Потягніть за виступаючими деталями, як картридер. Подивіться, чи надійно прикріплена клавіатура та лише одна деталь. Чи щось рухається, коли ви натискаєте на це?

Скимерс читає магнітну смужку, коли картка вставлена, тому дайте картці трохи хитнути, коли ви вставляєте її, радив Танас. Читачеві потрібна смужка, щоб пройти одним рухом, тому що якщо він не прямо, він не може правильно прочитати дані. Якщо банкомат такого типу, де він бере карту і повертає її в кінці транзакції, то зчитувач знаходиться зсередини. Перемішування карти під час введення в слот не завадить трансакції, але зірве скиммер.

Ця тактика не працюватиме на мерехтіння і не працюватиме з будь-яким банкоматом, який фіксує та зберігає вашу карту, поки ваша транзакція виконується. Однак все ж є способи убезпечити себе під час використання цих машин.

Подумайте своїми кроками

Щоразу, коли ви вводите PIN-код своєї дебетової картки, припускайте, що хтось шукає. Можливо, це через ваше плече або через приховану камеру. Коли ви вводите PIN-код, накрийте клавіатуру рукою, сказав Танас. Це гарна політика, навіть якщо ви не помітили нічого дивного про банкомат. Отримання PIN-коду є важливим, оскільки злочинці не можуть використовувати дані викраденої магнітної смуги без нього, сказав нам Танас. Звичайно, це передбачає, що зловмисник використовує камеру, а не накладку для отримання свого PIN-коду.

Злочинці часто встановлюють скиммери на банкоматах, які не знаходяться у надмірно зайнятих місцях, оскільки їх не хочеться спостерігати, встановлюючи зловмисне обладнання або збираючи зібрані дані. Банкомати всередині банків, як правило, безпечніші за всі камери, хоча деякі сміливі злочинці все-таки вдається встановити їх там. Банкомат всередині продуктового магазину чи ресторану, як правило, безпечніший, ніж той, який знаходиться на тротуарі. Зупиніться і врахуйте безпеку банкомата, перш ніж ним користуватися.

Однак, жодне місце не захищене від підприємливого злочинця. Візьмемо, наприклад, це відео. Злодій встановлює скиммер на торговому пункті всередині продуктового магазину за лічені секунди.

Шанси потрапити на скиммер вищі у вихідні, ніж протягом тижня, оскільки клієнтам складніше повідомити про підозрілі банкомати в банк. Злочинці зазвичай встановлюють скиммери в суботу або неділю, а потім вилучають їх до того, як банки відкриються в понеділок.

Коли це можливо, не використовуйте магістраль вашої картки для здійснення транзакції. Для читачів кредитних карток у магазинах відчуйте під подушкою PIN-коду слот, щоб вставити картку та її чіп EMV, який слід прочитати. Під час використання мікросхеми EMV картка авторизована на пристрої, і Ваша особиста інформація ніколи не передається. Це змушує злочинців нападати на внутрішню роботу читачів, що підтримують EMV. Хоча злом читачів EMV можливий, це набагато важче, ніж сноутворення магнестри.

Якщо термінал кредитної картки приймає транзакції NFC, подумайте про використання Apple Pay, Samsung Pay або Android Pay. Ці послуги токенізують інформацію вашої кредитної картки, тому ваші особисті дані ніколи не піддаються впливу. Якщо злочинець якось перехопить інформацію, він отримає лише марний номер віртуальної кредитної картки. Зауважте, що на певних пристроях Samsung Pay може наслідувати транзакцію великої смуги, якщо ви тримаєте телефон над зчитувачем карт. Це набагато безпечніше, ніж використання фактичної кредитної картки.

Один зі сценаріїв, який часто вимагає використання вашої магстрипи, - це оплата палива на бензонасосі. Вони є небезпечними для атак, тому що багато хто ще не підтримує EMV або NFC переклади, і тому, що зловмисники можуть отримати доступ до насосів, не помічаючи їх. Набагато безпечніше зайти всередину і заплатити касу. Якщо касир не працює, скористайтеся тими самими порадами щодо використання банкоматів і вивчіть зчитувач карт, перш ніж користуватися ним.

Цифрові атаки та рішення

Нещодавно хак British Airways представив нове поняття: скиммер цифрових карт. Замість фізичного пристрою для збору даних вашої картки або фальшивого фішингового веб-сайту, який підштовхує вас до введення даних, цифровий скиммер - це зловмисне програмне забезпечення, яке вводиться на законний веб-сайт.

Зрештою боротьби з цим типом нападу належить компаніям забезпечити безпеку своїх сайтів та служб. Але є кілька речей, які споживачі можуть зробити, щоб захистити себе. Один із варіантів - використовувати віртуальні кредитні картки. Це фіктивні номери кредитних карт, які пов’язані з вашим реальним рахунком кредитної картки. Якщо хтось порушений, вам не доведеться отримувати нову кредитну карту, просто генеруйте новий віртуальний номер. Деякі банки, як-от Citi, пропонують це як функцію, тому запитайте, чи є її.

Якщо ви не можете отримати віртуальну карту у банку, Abine Blur пропонує підписникам масковані кредитні картки. Це передплачені кредитні картки, які ви можете створювати на ходу та використовувати для онлайн-покупок. Abine навіть постачає неправдиве ім’я та адресу для виставлення рахунків, що ще більше маскує вашу особисту інформацію. Якщо одне із них виявиться, ви не втратите ні грошей, ні приватної інформації.

Ще один варіант - записатися на карткові сповіщення. Наприклад, Ally Bank надсилатиме на ваш телефон натискання сповіщення щоразу, коли використовується ваша дебетова картка. Це зручно, оскільки ви можете відразу визначити хибні покупки. Якщо ваш банк постачає подібний варіант, спробуйте його ввімкнути.

Будьте в курсі

Якщо ви не помітили скиммера карт, а дані вашої картки все-таки викрали, прийміть серце. Поки ви повідомляєте про крадіжку емітенту вашої картки (для кредитних карток) або банку (де ви маєте свій рахунок) якомога швидше, ви не будете нести відповідальності за втрачену суму, і ваші гроші будуть повернуті. З іншого боку, бізнес-клієнти не мають однакового правового захисту і, можливо, важче повернути гроші.

Також намагайтеся використовувати кредитну карту, коли це можливо. Дебетова операція - це негайний грошовий переказ і вимагає пред'явити вимогу FDIC, яка може зайняти кілька тижнів. Операції з кредитними картками можна будь-коли зупинити та скасувати, і це робить тиск на продавців, щоб краще захистити свої банкомати та термінали торгових точок.

Своєчасна звітність є дуже важливою у випадках шахрайства, тому обов'язково слідкуйте за своїми дебетовими та кредитними картками. Особисті додатки для фінансування, як-от Mint.com, можуть допомогти полегшити завдання сортування всіх ваших транзакцій.

• Abine Blur Premium Abine Blur Premium
• Федес попереджає про "джекпотінг" злому банкоматів у США Федес попереджає про "джекпоттінг" злому банкоматів у США
• Дивіться, як скимер карти встановлюється за кілька секунд. Дивіться, як скиммер карт встановлюється за кілька секунд

І нарешті, зверніть увагу на свій телефон. Банки та компанії з кредитними картками, як правило, мають дуже активну політику виявлення шахрайства, і вони негайно звернуться до вас, як правило, по телефону чи SMS, якщо вони помітять щось підозріле. Швидке реагування може означати припинення атак, перш ніж вони можуть вплинути на вас, тому тримайте телефон під рукою.

Пам'ятайте лише: якщо щось не здається в банкоматі чи читачі кредитних карт, просто не користуйтеся цим. Коли ви можете, використовуйте чіп замість смужки на своїй картці. Ваш банківський рахунок буде вам вдячний.