Jak na místě a vyhnout se skimmers kreditní karty

Ve chvíli, kdy jsem se začal vážně zajímat o skiméry kreditních a debetních karet, nebylo, když byl celý můj bankovní účet převeden do Turecka, nebo když jsem musel vyměnit kreditní kartu třikrát za dva měsíce kvůli podvodným poplatkům. Bylo to, když jsem se dozvěděl, že krást číslo kreditní karty je stejně snadné jako připojení čtečky magnetických proužků do počítače a otevření textového procesoru. Každé švihnutí vyplivne číslo kreditní karty bez nutnosti dalšího nastavení. Zločinci přímo na bankomaty a čtečky kreditních karet instalují pokročilejší zařízení k odcizení vašich informací. Tomu se říká skimmery, a pokud jste opatrní, můžete zabránit tomu, aby vás tato zákeřná zařízení obětí.

Co jsou skimmery?

Skimulátory jsou v podstatě škodlivé čtečky karet připojené ke skutečným platebním terminálům, takže mohou shromažďovat data od každé osoby, která přejíždí jejich kartami. Zloděj se často musí vrátit ke kompromitovanému počítači, aby si vyzvedl soubor obsahující všechna ukradená data, ale s těmito informacemi může v ruce vytvářet klonované karty nebo se prostě vloupat do bankovních účtů, aby ukradl peníze. Snad nejděsivější částí je, že skimulátoři často nezabrání správnému fungování bankomatu nebo čtečky kreditních karet, což ztěžuje detekci.

Klasické skimmingové útoky zde zůstanou a pravděpodobně budou i nadále problémem i nyní, když banky provedly posun k čipovým kartám EMV, tvrdí Stefan Tanase, bezpečnostní výzkumník společnosti Kaspersky Lab. I když karty obsahují čip, data budou stále na magnetickém proužku karty, aby byla zpětně kompatibilní se systémy, které s čipem nezvládají, řekl nám. I dnes, dlouho po americkém zavedení karet EMV, někteří obchodníci stále vyžadují, aby zákazníci používali magstripe.

Typický skimmer ATM je malé zařízení, které se vejde nad existující čtečku karet. Útočníci většinou umístí někde v okolí skrytou kameru, aby mohli zaznamenat osobní identifikační čísla nebo PINy používané k přístupu k účtům. Kamera může být ve čtečce karet, namontována v horní části bankomatu nebo dokonce ve stropu. Někteří zločinci instalují falešné PIN podložky na skutečné klávesnice, aby zachytili PIN přímo a obešli tak potřebu kamery.

Výše uvedený obrázek je skimmer v reálném životě používaný v bankomatu. Vidíš ten divný, objemný žlutý kousek? To je skimmer. Tento je snadno rozpoznatelný, protože má jinou barvu a materiál než cílový stroj, ale existují i ​​další kontrolky. Pod otvorem, kam vkládáte kartu, jsou v plastovém pouzdru stroje umístěny zvednuté šipky. Můžete vidět, jak jsou šedé šipky velmi blízko ke žlutému krytu čtečky, téměř se překrývají. To je znamení, že skimmer byl nainstalován přes existující, protože skutečná čtečka karet by měla určitý prostor mezi slotem na kartu a šípy.

Od Skimmerů k Shimmerům

Když americké banky konečně dohnaly zbytek světa a začaly vydávat čipové karty, byla to pro spotřebitele hlavní bezpečnostní požehnání. Tyto čipové karty nebo EMV karty nabízejí robustnější zabezpečení než bolestivě jednoduché stopy starších kreditních karet. Zloději se však rychle učí a měli roky perfektní útoky v Evropě a Kanadě, které cílí na čipové karty.

Namísto skimetrů, které sedí na čtečkách magstripe, jsou uvnitř čteček karet třpytky. Jedná se o velmi, velmi tenká zařízení a nelze je vidět zvenku. Když kartu zasunete, třpyt načte data z čipu na kartě, stejně jako skimmer načte data na magstripe karty.

Existuje však několik klíčových rozdílů. Pro jednoho, integrované zabezpečení, které přichází s EMV, znamená, že útočníci mohou získat pouze stejné informace, jaké by dostali od skimmeru. Na svém blogu vědec zabývající se bezpečností Brian Krebs vysvětluje, že „data shromážděná shimmery nelze použít k výrobě čipové karty, ale mohla by být použita klonování karty s magnetickým proužkem. Ačkoli data, která jsou obvykle uložena na magnetickém proužku karty se replikuje uvnitř čipu na čipových kartách, čip obsahuje další bezpečnostní komponenty, které se nenacházejí na magnetickém proužku. “

Skutečným problémem je, že třpytky jsou mnohem těžší na místě, protože sedí uvnitř bankomatů nebo prodejních automatů. Třpyt zobrazený níže byl nalezen v Kanadě a nahlášen RCMP. Je to o něco více než integrovaný obvod vytištěný na tenké plastové fólii. Pokud by majitelé ohroženého zařízení nebyli opatrní, mohlo by to odcizit informace od každého, kdo je použil.

Výrobci bankomatů nezachytili tento druh podvodu vleže. Novější bankomaty se mohou pochlubit robustními antitamperovými zařízeními, někdy včetně radarových systémů určených k detekci objektů vložených nebo připojených k bankomatu. Jeden vědec na bezpečnostní konferenci Black Hat však byl schopen použít palubní radarové zařízení ATM k zachycení PIN jako součást komplikovaného podvodu.

Hrozby jsou skutečné a vyvíjejí se; to je důvod, proč je důležité dát každému bankomatu nebo čtečce kreditních karet rychlou kontrolu před použitím.

Zkontrolujte, zda nedošlo k manipulaci

Když se přiblížíte k bankomatu, zkontrolujte některé zjevné známky manipulace v horní části bankomatu, v blízkosti reproduktorů, boku obrazovky, samotné čtečky karet a klávesnice. Pokud něco vypadá jinak, například jiná barva nebo materiál, grafika, která není správně zarovnána, nebo cokoli jiného, ​​co nevypadá správně, nepoužívejte tento bankomat. Totéž platí pro čtečky kreditních karet na pokladně nebo na čerpacích stanicích.

Pokud jste v bance, je dobré se rychle podívat na bankomat vedle vás a porovnat je. Pokud existují zjevné rozdíly, nepoužívejte žádný z nich a podezřelou manipulaci nahlaste své bance. Například, pokud má jeden bankomat položku s blikající kartou, která ukazuje, kam byste měli vložit kartu ATM, a druhý bankomat má slot pro čtečku, víte, že je něco špatně. Většina skimetrů je nalepena na existující čtečku a zakryje blikající indikátor.

Pokud se klávesnice necítí dobře - možná příliš tlustá -, může se jednat o překryvnou vrstvu s kódem PIN, takže ji nepoužívejte.

Kroutit se všechno

I když nevidíte žádné vizuální rozdíly, tlačte na všechno, řekl Tanase. Bankomaty jsou pevně konstruovány a obecně nemají žádné volné části. Čtečky kreditních karet mají více variací, ale přesto: Vytáhněte vyčnívající části, jako je čtečka karet. Zjistěte, zda je klávesnice bezpečně připojena a pouze jeden kus. Pohybuje se něco, když na něj tlačíte?

Sběrači čtou magnetický pruh, jakmile je karta vložena, takže při vložení karty dejte trochu zatřepat, radil Tanase. Čtenář potřebuje pruh, aby šel jedním pohybem, protože pokud to není přímo dovnitř, nemůže číst data správně. Pokud ATM je druh, kde vezme kartu a vrátí ji na konci transakce, je čtečka uvnitř. Kroutící se karta, jakmile ji zadáte do slotu, nebude rušit vaši transakci, ale zkomplikuje skimmer.

Tato taktika nebude fungovat na třpytkách a nebude fungovat s žádným bankomatem, který vaši kartu zachycuje a drží, zatímco vaše transakce probíhá. Při používání těchto strojů však stále existují způsoby, jak se chránit.

Zamyslete se svými kroky

Kdykoli zadáte PIN své debetní karty, předpokládejme, že někdo hledá. Možná je to přes rameno nebo přes skrytou kameru. Při zadávání kódu PIN zakryjte klávesnici rukou, řekl Tanase. To je dobrá politika, i když si na ATM nevšimnete nic zvláštního. Získání kódu PIN je nezbytné, protože zločinci bez něj nemohou ukradená data z magnetického proužku bez něj použít, řekl nám Tanase. To samozřejmě předpokládá, že útočník k získání kódu PIN používá kameru a ne překryv.

Zločinci často instalují skimmery na bankomaty, které se nenacházejí v příliš zaneprázdněných místech, protože nechtějí být sledováni instalací škodlivého hardwaru nebo shromažďováním shromážděných dat. Bankomaty uvnitř bank jsou obecně bezpečnější kvůli všem kamerám, i když někteří odvážní zločinci je stále dokážou nainstalovat. Bankomat uvnitř obchodu s potravinami nebo restaurace je obecně bezpečnější než ten, který je venku na chodníku. Před použitím bankomatu zastavte a zvažte jeho bezpečnost.

To znamená, že žádné místo není v bezpečí před podnikavým zločincem. Vezměte si například toto video. Zloděj instaluje skimmer na prodejní jednotku uvnitř obchodu s potravinami během několika sekund.

Šance na zasažení skimmerem jsou o víkendu vyšší než v týdnu, protože pro zákazníky je těžší hlásit podezřelé bankomaty do banky. Zločinci obvykle instalují skimmery v sobotu nebo v neděli a poté je odstraní, než banky znovu otevřou v pondělí.

Pokud je to možné, nepoužívejte k provedení transakce magstripe karty. V případě čteček kreditních karet v obchodech se po vložení karty a čtecího čipu EMV cítíte pod blokem PIN. Pokud používáte čip EMV, karta je v zařízení autorizována a vaše osobní informace nejsou nikdy přenášeny. To nutí zločince k útoku na vnitřní fungování čtenářů s povolením EMV. Přestože je možné číst EMV čtečky, je to mnohem těžší než sklouzávání magstripe.

Pokud terminál kreditní karty přijímá transakce NFC, zvažte použití Apple Pay, Samsung Pay nebo Android Pay. Tyto služby tokenizují informace o vaší kreditní kartě, takže vaše osobní informace nejsou nikdy vystaveny. Pokud zločinec nějakým způsobem zachytí informace, dostane pouze zbytečné číslo virtuální kreditní karty. U některých zařízení může Samsung Pay napodobovat transakci s magnetickými proudy, pokud držíte telefon nad čtečkou karet. To je mnohem bezpečnější než použití skutečné kreditní karty.

Jeden scénář, který často vyžaduje použití magstripe, platí za palivo u benzínového čerpadla. Jsou to četné útoky, protože mnoho z nich zatím nepodporuje EMV nebo NFC translace a protože útočníci mohou získat přístup k pumpám, aniž by si toho všimli. Je mnohem bezpečnější jít dovnitř a zaplatit pokladní. Pokud není ve službě pokladna, použijte stejné tipy pro používání bankomatů a prozkoumejte čtečku karet, než ji použijete.

Digitální útoky a řešení

Nedávný hack společnosti British Airways představil nový koncept: skimmer digitálních karet. Namísto fyzického zařízení k zachycení informací o vaší kartě nebo falešného phishingového webu, který vás podvádí při zadávání vašich údajů, je digitální skimmer nebezpečným softwarem vloženým na legitimní web.

Boj proti tomuto typu útoku je v konečném důsledku na společnostech, aby zajistily, že jejich stránky a služby jsou bezpečné. Ale existuje několik věcí, které mohou spotřebitelé udělat, aby se chránili. Jednou z možností je použití virtuálních kreditních karet. Jedná se o fiktivní čísla kreditních karet, která jsou propojena s vaším skutečným účtem kreditní karty. Pokud je jedna ohrožena, nebudete muset získat novou kreditní kartu, stačí vygenerovat nové virtuální číslo. Některé banky, jako Citi, to nabízejí jako funkci, proto se zeptejte, zda je k dispozici.

Pokud nemůžete získat virtuální kartu z banky, nabízí Abine Blur předplatitelům maskované kreditní karty. Jedná se o předplacené kreditní karty, které můžete vytvořit za chodu a použít pro online nákupy. Abine dokonce dodává falešné jméno a fakturační adresu, která se má použít, a dále maskuje vaše osobní údaje. Pokud je některý z nich vystaven, neztratíte žádné peníze ani soukromé informace.

Další možností je registrace výstrah na kartě. Například Ally Bank vám pošle upozornění push při každém použití vaší debetní karty. To je užitečné, protože můžete okamžitě identifikovat falešné nákupy. Pokud vaše banka poskytuje podobnou možnost, zkuste ji zapnout.

Zůstaňte vědomi

Pokud si nevšimnete skimmeru karty a vaše data karty se ukradnou, vezměte si srdce. Dokud co nejdříve ohlásíte krádež vydavateli vaší karty (pro kreditní karty) nebo bance (kde máte svůj účet), nenesete odpovědnost za ztracenou částku a vaše peníze budou vráceny. Na druhé straně obchodní zákazníci nemají stejnou právní ochranu a mohou mít těžší čas, aby své peníze získali zpět.

Pokuste se také použít kreditní kartu, kdykoli je to možné. Debetní transakce je okamžitý hotovostní převod a vyžaduje provedení nároku FDIC, který může trvat několik týdnů. Transakce s kreditními kartami lze kdykoli zastavit a zvrátit, a to vytváří tlak na obchodníky, aby lépe zabezpečili své bankomaty a terminály v místě prodeje.

Včasné vykazování je velmi důležité v případě podvodů, proto nezapomeňte sledovat své debetní a kreditní transakce. Aplikace pro osobní finance, jako je Mint.com, mohou usnadnit úkol třídění prostřednictvím všech vašich transakcí.

• Abine Blur Premium Abine Blur Premium
• Federálové varují před „jackpotováním“ bankomatů v USA Federují varují před „jackpotováním“ bankomatů v USA
• Sledujte, jak se skimmer nainstaluje během několika sekund Sledujte, jak se skimmer nainstaluje během několika sekund

Nakonec věnujte pozornost telefonu. Banky a společnosti vydávající kreditní karty mají obecně velmi aktivní zásady odhalování podvodů a okamžitě vás osloví, obvykle telefonicky nebo prostřednictvím SMS, pokud si všimnou něčeho podezřelého. Rychlá reakce může znamenat zastavení útoků dříve, než vás ovlivní, takže mějte telefon po ruce.

Jen si pamatujte: Pokud se něco necítí správně v bankomatu nebo čtečce kreditních karet, prostě jej nepoužívejte. Kdykoli můžete, použijte čip místo proužku na kartě. Děkujeme za váš bankovní účet.