Скиммеры и мерцания кредитных карт: все, что вам нужно знать, чтобы оставаться в безопасности
Вы когда-нибудь задумывались о том, насколько небезопасны кредитные и дебетовые карты? Попробуйте такой эксперимент: подключите USB-устройство для чтения магнитных карт к компьютеру, откройте текстовый процессор, проведите по кредитной карте и — бац — вы только что украли данные своей карты. Это так просто.
Теперь учтите, что та же самая технология существует в более быстрых и меньших формах. К банкоматам и платежным терминалам можно прикрепить крошечные «скиммеры» для кражи ваших данных с магнитной полосы карты (так называемой «магнитной полосы»). Еще более мелкие «мерцания» вставляются в устройства считывания карт, чтобы атаковать чипы новых карт. Теперь существует и цифровая версия, называемая электронным скиммингом, которая крадет данные с платежных веб-сайтов.
Волновался? Первый шаг к защите от этих мошенников — узнать о них больше. Продолжайте читать, чтобы получить полное описание способов, которыми они пытаются украсть вашу информацию и ваши деньги.
Что такое скиммеры?
Скиммеры — это крошечные вредоносные устройства считывания карт, спрятанные внутри обычных устройств считывания карт, которые собирают данные от каждого человека, который проводит их карты. Позволив аппаратному обеспечению перекачивать данные в течение некоторого времени, вор останавливается у взломанной машины, чтобы забрать файл, содержащий все украденные данные. Используя эту информацию, он может создавать клонированные карты или просто совершать мошенничества. Возможно, самое страшное то, что скиммеры часто не мешают правильному функционированию банкоматов или устройств чтения кредитных карт, что значительно затрудняет их обнаружение.
Попасть внутрь банкоматов сложно, поэтому скиммеры иногда устанавливаются поверх существующих картридеров. В большинстве случаев злоумышленники также размещают где-нибудь поблизости скрытую камеру, чтобы записать персональные идентификационные номера или ПИН-коды, используемые для доступа к учетным записям. Камера может находиться в устройстве считывания карт, установленной в верхней части банкомата или даже на потолке. Некоторые преступники доходят до того, что устанавливают поддельные ПИН-панели поверх настоящей клавиатуры, чтобы напрямую захватить ПИН-код, минуя камеру.
Желтая деталь, прикрепленная к слоту для считывания карт банкомата, представляет собой скимминговое устройство (Фото: PCMag)
На этой фотографии изображен реальный скиммер, используемый в банкомате. Вы видите этот странный, громоздкий желтый кусочек? Это скиммер. Его легко заметить, потому что он имеет другой цвет и материал, чем остальная часть машины, но есть и другие характерные признаки. Под слотом, в который вы вставляете карту, на пластиковом корпусе аппарата расположены выпуклые стрелки. Вы можете видеть, как серые стрелки расположены очень близко к корпусу желтого считывателя, практически перекрывая друг друга. Это признак того, что поверх существующего считывателя был установлен скиммер, поскольку настоящий кард-ридер должен иметь некоторое пространство между слотом для карты и стрелками.
Производители банкоматов не смирились с подобным мошенничеством. Новые банкоматы имеют надежную защиту от взлома, иногда включая радиолокационные системы, предназначенные для обнаружения объектов, вставленных или прикрепленных к банкомату. Однако одному исследователю удалось использовать бортовой радар банкомата для перехвата ПИН-кодов в рамках тщательно продуманного мошенничества.
Скиммеры все еще представляют угрозу?
При подготовке этой статьи компания PCMag обратилась к «Лаборатории Касперского», и представители компании сообщили нечто удивительное: число скимминговых атак снижается. «Скимминг был и остается редкостью», — заявил представитель «Лаборатории Касперского».
Представитель «Лаборатории Касперского» привел статистику ЕС, предоставленную Европейской ассоциацией безопасных транзакций (EAST), как свидетельство более широкой тенденции. EAST сообщило о рекордно низком уровне атак на скиммеры. снижение с 1496 инцидентов в апреле 2020 года 321 инцидент в октябре того же года. Эффекты COVID-19, возможно, как-то связаны с этим падением, но, тем не менее, оно драматично.
Это, конечно, не означает, что скимминг исчез. В январе 2021 года крупная афера со скиммингом был обнаружен в Нью-Джерси. Оно включало нападения на более чем 1000 клиентов банка, при этом преступники пытались похитить более 1,5 миллиона долларов.
От скиммеров к мерцающим
Когда американские банки окончательно догнав остальной мир и начав выпускать чиповые карты, это стало большим благом для безопасности потребителей. Эти чиповые карты, или карты EMV, обеспечивают более надежную защиту, чем до боли простые магнитные полосы старых платежных карт. Но воры быстро учатся, и у них были годы, чтобы отточить атаки в Европе и Канаде, нацеленные на чиповые карты.
Вместо скиммеров, которые располагаются поверх считывателей магнитных полос, установлены мерцающие. внутри считыватели карт. Это очень и очень тонкие устройства, и их невозможно увидеть снаружи. Когда вы вставляете карту, мерцающий считыватель считывает данные с чипа вашей карты, почти так же, как скиммер считывает данные с магнитной полосы вашей карты.
Однако есть несколько ключевых отличий. Во-первых, встроенная система безопасности EMV означает, что злоумышленники могут получить только ту же информацию, что и от скиммера. В своем блоге исследователь безопасности Брайан Кребс объясняет: «Хотя данные, которые обычно хранятся на магнитной полосе карты, реплицируются внутри чипа на картах с чипом, чип содержит дополнительные компоненты безопасности, которых нет на магнитной полосе».
Воры не могли дублировать чип EMV, но они могли использовать данные чипа для клонирования магнитной полосы или использовать ее информацию для какого-либо другого мошенничества. Представитель «Лаборатории Касперского», с которым я разговаривал, был однозначен в своей уверенности в чиповых картах. «EMV все еще не сломан», — сказал Касперский PCMag. «Единственные успешные взломы EMV происходят в лабораторных условиях».
Настоящая проблема в том, что внутри машин-жертв спрятаны мерцания. Мерцание, изображенное ниже, было найдено в Канаде и сообщили в КККП. Это не что иное, как интегральная схема, напечатанная на тонком пластиковом листе.
Мерцающая схема на крошечной пластиковой карте (Фото: Coquitlam RCMP)
3 способа избежать скимминга кредитных карт в Интернете
Неудивительно, что существует цифровой эквивалент, называемый электронным скиммингом. Взлом British Airways в 2018 году, очевидно, во многом опирался на такую тактику.
Как пояснил Богдан Ботезату, директор по исследованию угроз и отчетности Bitdefender, электронный скимминг — это когда злоумышленник вставляет вредоносный код на платежный веб-сайт, который похищает данные вашей карты.
«Эти электронные скиммеры добавляются либо путем компрометации учетных данных учетной записи администратора интернет-магазина, сервера веб-хостинга магазина, либо путем прямой компрометации [payment platform vendor] поэтому они будут распространять испорченные копии своего программного обеспечения», — заявил Ботезату. Это похоже на фишинговую страницу, за исключением того, что страница является подлинной — код на странице только что был подделан.
Рекомендовано нашими редакторами
«Атаки с помощью электронного скимминга все чаще позволяют избежать обнаружения», — сказал Ботезату. «Чем дольше злоумышленник удерживает эту точку опоры, тем больше кредитных карт он сможет собрать».
Обеспечить большую безопасность в Интернете на удивление легко
Борьба с атаками этого типа в конечном итоге зависит от компаний, которые управляют этими магазинами. Ниже приведены несколько вещей, которые вы можете сделать, чтобы защитить себя:
1. Используйте программное обеспечение безопасности
Ботезату предложил потребителям использовать на своих компьютерах программное обеспечение для обеспечения безопасности, которое, по его словам, может обнаружить вредоносный код и помешать вам ввести свою информацию.
2. Используйте поддельный номер кредитной карты в Интернете.
Вы можете вообще избежать ввода данных своей кредитной карты, используя виртуальную кредитную карту. Это фиктивные номера кредитных карт, которые связаны с вашим реальным счетом кредитной карты. Если один из них взломан, вам не придется получать новую кредитную карту, просто создайте новый виртуальный номер. Некоторые банки, например Сити, предложите эту функцию как функцию, поэтому узнайте в своем банке, доступна ли она. Если вы не можете получить виртуальную карту в банке, Abine Blur предлагает подписчикам замаскированные кредитные карты, которые работают аналогичным образом. Apple Pay и Google Pay также принимаются на некоторых веб-сайтах.
3. Активируйте оповещения для ваших счетов кредитных карт.
Некоторые банки будут отправлять push-уведомление на ваш телефон каждый раз, когда используется ваша дебетовая карта. Это удобно, так как можно сразу выявить поддельные покупки. Если ваш банк предоставляет подобную опцию, попробуйте включить ее. Приложения для личных финансов, такие как Mint.com, могут облегчить задачу сортировки всех ваших транзакций.
Будьте осторожны, чтобы остановить мошенников с кредитными картами
Даже если вы делаете все правильно и проверяете каждый дюйм каждого платежного автомата, с которым вы сталкиваетесь (к большому огорчению людей, стоящих за вами в очереди), вы можете стать объектом мошенничества. Но будьте мужественны: если вы как можно скорее сообщите о краже эмитенту вашей карты (для кредитных карт) или банку (где у вас есть счет), вы не будете нести ответственности. Ваши деньги будут возвращены. С другой стороны, бизнес-клиенты не имеют такой же правовой защиты, и им может быть труднее вернуть свои деньги. Нажмите здесь, чтобы ознакомиться с нашим руководством, как остановить мошенников в банкоматах.
Обратите внимание на выписки по своей кредитной карте и действуйте быстро, если обнаружите незнакомые вам платежи. Если что-то не так с банкоматом или устройством для чтения кредитных карт, не пользуйтесь им. По возможности используйте чип вместо полоски на карте. Ваш банковский счет скажет вам спасибо.
Фахмида Ю. Рашид внесла свой вклад в эту историю
