Как обнаружить и избежать скиммеров кредитных карт

Момент, когда я начал серьезно беспокоиться о скиммерах кредитных карт и дебетовых карт, наступил не тогда, когда весь мой банковский счет был переведен в Турцию, или когда мне пришлось заменить кредитную карту три раза в течение двух месяцев из-за мошеннических платежей. Когда я узнал, что украсть номер кредитной карты так же просто, как подключить считыватель магнитных полос к компьютеру и открыть текстовый процессор. Каждый удар выдает номер кредитной карты, без дополнительной настройки не требуется. Более совершенные устройства для кражи вашей информации устанавливаются преступниками непосредственно в банкоматы и устройства для считывания кредитных карт. Они называются скиммерами, и если вы будете осторожны, вы можете не стать жертвами этих коварных устройств.

Что такое скиммеры?

Скиммеры - это по сути вредоносные устройства для чтения карт, подключенные к реальным платежным терминалам, чтобы они могли собирать данные от каждого человека, который смахивает их карты. Вору часто приходится возвращаться к взломанному компьютеру, чтобы забрать файл, содержащий все украденные данные, но с этой информацией он может создать клонированные карты или просто взломать банковские счета, чтобы украсть деньги. Возможно, самое страшное в том, что скиммеры часто не мешают нормальному функционированию банкомата или считывателя кредитных карт, что затрудняет их обнаружение.

По словам Стефана Танасе (Stefan Tanase), исследователя безопасности из «Лаборатории Касперского», классические скимминговые атаки не исчезнут и, вероятно, продолжат оставаться проблемой даже сейчас, когда банки перешли на чип-карты EMV. Даже если у карт есть чип, данные все равно будут на магнитной полосе карты, чтобы быть обратно совместимыми с системами, которые не могут справиться с чипом, сказал он нам. Даже сейчас, спустя много лет после выпуска карт EMV в США, некоторые продавцы все еще требуют, чтобы клиенты использовали магнитную ленту.

Типичный скиммер для банкомата - это небольшое устройство, которое подходит для существующего кард-ридера. В большинстве случаев злоумышленники также размещают скрытую камеру где-то поблизости, чтобы записывать личные идентификационные номера или ПИН-коды, используемые для доступа к учетным записям. Камера может находиться в кард-ридере, монтироваться в верхней части банкомата или даже на потолке. Некоторые преступники устанавливают накладные пин-коды поверх фактических клавиатур, чтобы фиксировать пин-код напрямую, обходя необходимость в камере.

Приведенная выше картина представляет собой реальный скиммер, используемый в банкомате. Вы видите это странное, громоздкое желтое? Это скиммер. Это легко заметить, потому что у него другой цвет и материал, чем у целевой машины, но есть и другие контрольные признаки. Ниже слота, в который вы вставляете свою карту, находятся поднятые стрелки, встроенные в пластиковый корпус машины. Вы можете видеть, как серые стрелки находятся очень близко к желтому корпусу ридера, почти перекрывая друг друга. Это признак того, что скиммер был установлен поверх существующего, поскольку у реального устройства считывания карт было бы некоторое пространство между слотом для карт и стрелками.

От скиммеров до мерцаний

Когда американские банки наконец догнали весь остальной мир и начали выпускать чип-карты, это стало главным благом для потребителей. Эти чип-карты или карты EMV обеспечивают более надежную защиту, чем мучительно простые магнитные полосы старых кредитных карт. Но воры учатся быстро, и у них были годы, чтобы совершенствовать атаки в Европе и Канаде, направленные на чип-карты.

Вместо скиммеров, которые располагаются поверх считывающих устройств для магнитных полос, мерцания находятся внутри считывателей карт. Это очень и очень тонкие устройства, и их нельзя увидеть снаружи. Когда вы вставляете свою карту, мерцание считывает данные с чипа на вашей карте, почти так же, как скиммер считывает данные на магнитной полосе вашей карты.

Однако есть несколько ключевых отличий. С одной стороны, интегрированная защита, которая поставляется с EMV, означает, что злоумышленники могут получать только ту же информацию, что и скиммер. В своем блоге исследователь безопасности Брайан Кребс объясняет, что «данные, собранные шиммерами, не могут быть использованы для изготовления карты на основе чипа, но они могут быть использованы для клонирования карты с магнитной полосой. Хотя данные, которые обычно хранятся на магнитной полосе карты повторяется внутри чипа на картах с поддержкой чипа, чип содержит дополнительные компоненты безопасности, которых нет на магнитной полосе ".

Реальная проблема заключается в том, что мерцания гораздо сложнее обнаружить, потому что они находятся внутри банкоматов или торговых точек. Мерцание, изображенное ниже, было найдено в Канаде и передано в RCMP. Это чуть больше, чем интегральная схема, напечатанная на тонком пластиковом листе. Если бы владельцы скомпрометированного устройства не были осторожны, это могло бы украсть информацию у всех, кто его использовал.

Производители банкоматов не принимают этот вид мошенничества лежа. Более новые банкоматы могут похвастаться надежными устройствами защиты от несанкционированного вмешательства, иногда включая радиолокационные системы, предназначенные для обнаружения объектов, вставленных или подключенных к банкомату. Тем не менее, один исследователь на конференции по безопасности Black Hat смог использовать встроенное радарное устройство банкомата для захвата ПИН-кодов как часть сложной аферы.

Угрозы реальны и развиваются; Вот почему так важно быстро проверить любой банкомат или устройство для считывания кредитных карт, прежде чем использовать его.

Проверить на фальсификацию

При приближении к банкомату проверьте наличие явных признаков взлома в верхней части банкомата, рядом с динамиками, сбоку экрана, самим устройством для чтения карт памяти и клавиатурой. Если что-то выглядит иначе, например, другой цвет или материал, графика, которая не выровнена правильно, или что-то еще, что выглядит неправильно, не используйте этот банкомат. То же самое верно для читателей кредитных карт на кассе или на заправочных станциях.

Если вы в банке, неплохо бы быстро взглянуть на банкомат рядом с вашим и сравнить их. Если есть какие-либо очевидные различия, не используйте ни одну, и сообщите о подозрительном вмешательстве в свой банк. Например, если в одном банкомате есть мигающая запись карты, показывающая, куда следует вставить карту банкомата, а в другом банкомате имеется простое гнездо для считывателя, вы знаете, что что-то не так. Большинство скиммеров наклеены поверх существующего считывателя и затенят мигающий индикатор.

Если клавиатура кажется неправильной - возможно, слишком толстой - тогда может быть наложение пин-кода, поэтому не используйте его.

Покачивать все

Даже если вы не видите никаких визуальных отличий, нажмите на все, сказал Танасе. Банкоматы имеют прочную конструкцию и обычно не имеют незакрепленных частей. У читателей кредитных карт есть больше вариаций, но все же: Потяните за выступающие части, такие как считыватель карт. Посмотрите, надежно ли прикреплена клавиатура и только одна часть. Что-то движется, когда вы нажимаете на это?

Скиммеры читают магнитную полосу, когда карта вставлена, поэтому, пока вы вставляете карту, слегка покачивайте, посоветовал Танасе. Читателю нужна полоса, чтобы двигаться одним движением, потому что, если она не прямая, она не сможет правильно прочитать данные. Если банкомат относится к тому типу, где он берет карту и возвращает ее в конце транзакции, то считыватель находится внутри. Покачивание карты при ее вводе в гнездо не помешает вашей транзакции, но помешает скиммеру.

Эта тактика не будет работать на мерцании, и не будет работать с любым банкоматом, который захватывает и удерживает вашу карту, пока ваша транзакция находится в процессе. Тем не менее, есть еще способы защитить себя при использовании этих машин.

Продумай свои шаги

Всякий раз, когда вы вводите PIN-код своей дебетовой карты, предположите, что кто-то ищет. Может быть, через плечо или через скрытую камеру. Прикоснитесь к клавиатуре рукой при вводе PIN-кода, сказала Танасе. Это хорошая политика, даже если вы не замечаете ничего странного в банкомате. Танас сказал нам, что получить ПИН-код очень важно, поскольку преступники не могут использовать украденные данные с магнитной полосы без него. Конечно, это предполагает, что злоумышленник использует камеру, а не наложение для получения вашего PIN-кода.

Преступники часто устанавливают скиммеры в банкоматах, которые не расположены в чрезмерно загруженных местах, поскольку они не хотят, чтобы за ними устанавливали вредоносное оборудование или собирали собранные данные. Банкоматы внутри банков, как правило, безопаснее из-за всех камер, хотя некоторым смелым преступникам все же удается установить их там. Банкомат внутри продуктового магазина или ресторана, как правило, безопаснее, чем находящийся снаружи на тротуаре. Остановитесь и подумайте о безопасности банкомата, прежде чем использовать его.

Тем не менее, ни одно место не застраховано от предприимчивого преступника. Возьмите это видео, например. Вор устанавливает скиммер в торговую точку внутри продуктового магазина за считанные секунды.

Вероятность получить удар от скиммера выше в выходные, чем в течение недели, поскольку клиентам труднее сообщать о подозрительных банкоматах в банк. Преступники обычно устанавливают скиммеры по субботам или воскресеньям, а затем убирают их до открытия банков в понедельник.

По возможности, не используйте магнитную карточку вашей карты для совершения транзакции. Для читателей кредитных карт в магазинах, почувствуйте себя под панелью PIN-кода для слота, чтобы вставить вашу карту и ее чип EMV для чтения. Когда вы используете чип EMV, карта авторизуется на устройстве, и ваша личная информация никогда не передается. Это заставляет преступников атаковать внутреннюю работу читателей с поддержкой EMV. Несмотря на то, что взломать EMV-ридеры возможно, это намного сложнее, чем скимминг на магнитной полосе.

Если терминал кредитной карты принимает транзакции NFC, рассмотрите возможность использования Apple Pay, Samsung Pay или Android Pay. Эти сервисы токенизируют информацию о вашей кредитной карте, поэтому ваша личная информация никогда не будет раскрыта. Если преступник каким-то образом перехватит информацию, он получит только бесполезный номер виртуальной кредитной карты. Обратите внимание, что на некоторых устройствах Samsung Pay может фактически эмулировать транзакцию с магнитной полосой, если вы держите телефон над устройством чтения карт. Это намного безопаснее, чем использование вашей реальной кредитной карты.

Один сценарий, который часто требует использования вашей магнитной ленты, - это оплата за топливо в газовом насосе. Они распространены для атак, потому что многие из них еще не поддерживают транскрипции EMV или NFC, а также потому, что злоумышленники могут получить доступ к насосам без предупреждения. Гораздо безопаснее зайти внутрь и заплатить кассиру. Если у вас нет дежурного кассира, используйте те же советы по использованию банкоматов и изучите устройство для чтения карт, прежде чем использовать его.

Цифровые атаки и решения

Недавний взлом British Airways представил новую концепцию: скиммер для цифровых карт. Вместо физического устройства для сбора информации о вашей карте или фиктивного фишингового веб-сайта, который обманывает вас при вводе ваших данных, цифровой скиммер представляет собой вредоносное программное обеспечение, внедренное в законный веб-сайт.

Борьба с этим типом атаки в конечном счете зависит от компаний, которые обеспечивают безопасность своих сайтов и служб. Но есть несколько вещей, которые потребители могут сделать, чтобы защитить себя. Одним из вариантов является использование виртуальных кредитных карт. Это фиктивные номера кредитных карт, которые связаны с вашим реальным счетом кредитной карты. Если кто-то скомпрометирован, вам не нужно будет получать новую кредитную карту, просто сгенерируйте новый виртуальный номер. Некоторые банки, такие как Citi, предлагают это как функцию, поэтому спросите свой, если она доступна.

Если вы не можете получить виртуальную карту в банке, Abine Blur предлагает подписчикам кредитные карты в масках. Это предоплаченные кредитные карты, которые вы можете создавать на лету и использовать для покупок в Интернете. Abine даже предоставляет поддельное имя и адрес для выставления счетов, чтобы скрыть вашу личную информацию. Если один из них будет раскрыт, вы не потеряете ни деньги, ни личную информацию.

Другой вариант - зарегистрироваться в карточных оповещениях. Например, Ally Bank будет отправлять push-уведомления на ваш телефон при каждом использовании вашей дебетовой карты. Это удобно, так как вы можете сразу определить поддельные покупки. Если ваш банк предоставляет аналогичный вариант, попробуйте включить его.

Будь в курсе

Если вы не заметили скиммера и данные вашей карты украдены, наберитесь духа. Если вы как можно скорее сообщите о краже эмитенту вашей карты (для кредитных карт) или банку (где у вас есть счет), вы не будете нести ответственность за потерянную сумму и ваши деньги будут возвращены. Бизнес-клиенты, с другой стороны, не имеют такой же правовой защиты, и им может быть труднее вернуть свои деньги.

Кроме того, попробуйте использовать кредитную карту, когда это возможно. Дебетовая транзакция - это немедленный перевод денежных средств и требует предъявления требования FDIC, которое может занять недели. Операции с кредитными картами могут быть приостановлены и отменены в любое время, и это заставляет продавцов лучше защищать свои банкоматы и терминалы в точках продаж.

Своевременная отчетность очень важна в случаях мошенничества, поэтому обязательно следите за транзакциями по дебетовым и кредитным картам. Приложения для личных финансов, такие как Mint.com, могут помочь в сортировке всех ваших транзакций.

• Abine Blur Премиум Abine Blur Премиум
• Федс предупреждает о взломе банкоматов с джекпоттингом в США
• Наблюдайте, как сборщик карт устанавливается в считанные секунды Наблюдайте, как сборщик карт устанавливается в считанные секунды

Наконец, обратите внимание на ваш телефон. Банки и компании, выпускающие кредитные карты, как правило, проводят активную политику по выявлению мошенничества и немедленно обращаются к вам, как правило, по телефону или через SMS, если обнаружат что-то подозрительное. Быстрая реакция может означать прекращение атак до того, как они затронут вас, поэтому держите телефон под рукой.

Просто помните: если что-то не так с банкоматом или устройством для считывания кредитных карт, просто не используйте его. Всякий раз, когда вы можете, используйте чип вместо полоски на вашей карте. Ваш банковский счет поблагодарит вас.