Bardzo dobrze pamiętam moment, w którym zdałem sobie sprawę, jak żałośnie mało bezpieczne są karty kredytowe i debetowe. Patrzyłem, jak ktoś wziął zwykły czytnik pasków magnetycznych USB i podłączył go do komputera, który rozpoznał go jako klawiaturę. Otworzył edytor tekstu i przesunął kartę. W pliku tekstowym pojawiła się seria cyfr. I to było wszystko: Informacje zawarte na karcie zostały skradzione.
Ta sama technologia stała się dojrzała i zminiaturyzowana. Do bankomatów i terminali płatniczych można przymocować malutkie „skimmery”, które pobierają dane użytkownika z paska magnetycznego karty (tzw. „magstripe”). Jeszcze mniejsze „shimmery” są umieszczane w czytnikach kart, aby atakować chipy w nowszych kartach. Obecnie istnieje również wersja cyfrowa, zwana e-skimming, polegająca na kradzieży danych z serwisów płatniczych. Na szczęście istnieje wiele sposobów, aby uchronić się przed tymi atakami.
Czym są skimmery?
Skimmery to malutkie, złośliwe czytniki kart ukryte w legalnych czytnikach kart, które zbierają dane od każdej osoby, która przeciąga kartę. Po pewnym czasie, gdy sprzęt zacznie zbierać dane, złodziej zatrzyma się przy zagrożonej maszynie, aby odebrać plik zawierający wszystkie skradzione dane. Mając te informacje, może stworzyć sklonowane karty lub po prostu popełnić oszustwo. Być może najstraszniejsze jest to, że skimmery często nie uniemożliwiają prawidłowego działania bankomatu lub czytnika kart kredytowych, co sprawia, że są trudniejsze do wykrycia.
Dostanie się do wnętrza bankomatów jest trudne, dlatego skimmery bankomatowe czasami montuje się na istniejących czytnikach kart. W większości przypadków atakujący umieszczają również ukrytą kamerę gdzieś w pobliżu, aby nagrywać osobiste numery identyfikacyjne, czyli PIN-y, używane do uzyskania dostępu do kont. Kamera może znajdować się w czytniku kart, być zamontowana w górnej części bankomatu, a nawet w suficie. Niektórzy przestępcy posuwają się do tego, że instalują fałszywe podkładki pod PIN nad rzeczywistymi klawiaturami, aby przechwytywać PIN bezpośrednio, omijając potrzebę użycia kamery.
To zdjęcie przedstawia prawdziwy skimmer w użyciu na bankomacie. Widzisz tę dziwną, nieporęczną żółtą część? To jest właśnie skimmer. Ten jest łatwy do zauważenia, ponieważ ma inny kolor i jest wykonany z innego materiału niż reszta maszyny, ale są też inne znaki ostrzegawcze. Poniżej szczeliny, w którą wkładasz kartę, znajdują się wypukłe strzałki na plastikowej obudowie urządzenia. Możesz zobaczyć, jak szare strzałki są bardzo blisko żółtej obudowy czytnika, prawie na siebie zachodząc. Jest to znak, że skimmer został zainstalowany na istniejącym czytniku, ponieważ prawdziwy czytnik kart miałby trochę miejsca pomiędzy szczeliną na kartę a strzałkami.
Producenci bankomatów nie zlekceważyli tego rodzaju oszustw. Nowsze bankomaty mogą poszczycić się solidnymi zabezpieczeniami przed manipulacją, w tym czasami systemami radarowymi, których zadaniem jest wykrywanie przedmiotów włożonych lub przymocowanych do bankomatu. Jednakże, jeden z badaczy na konferencji bezpieczeństwa Black Hat był w stanie wykorzystać radar pokładowy bankomatu do przechwycenia kodów PIN w ramach skomplikowanego oszustwa.
Czy skimmerzy nadal stanowią zagrożenie?
Podczas prac nad aktualizacją tego artykułu skontaktowaliśmy się z Kaspersky Labs, a przedstawiciele firmy powiedzieli nam coś zaskakującego: ataki skimmingu wykazują tendencję spadkową. „Skimming był i nadal jest rzadkością” – powiedział rzecznik firmy Kaspersky.
Przedstawiciel firmy Kaspersky przytoczył statystyki UE z Europejskiego Stowarzyszenia na rzecz Bezpiecznych Transakcji (EAST) jako wskaźnik większego trendu. EAST odnotowało rekordowo niski poziom ataków skimmerowych, spadając z 1 496 incydentów w kwietniu 2020 r. do 321 incydentów w październiku tego samego roku. Efekty COVID-19 mogą mieć coś wspólnego z tym spadkiem, ale jest on niemniej dramatyczny.
Nie oznacza to oczywiście, że skimming zniknął. Jeszcze w styczniu 2021 r. w New Jersey odkryto poważny przekręt związany z skimmingiem. Obejmował on ataki na ponad 1000 klientów banków, a przestępcy próbowali wyłudzić ponad 1,5 miliona dolarów.
Od skimmerów do shimmerów
Gdy amerykańskie banki w końcu dogoniły resztę świata i zaczęły wydawać karty z chipem, było to wielkie dobrodziejstwo bezpieczeństwa dla konsumentów. Te karty chipowe, lub karty EMV, oferują bardziej solidne zabezpieczenia niż boleśnie proste paski magnetyczne starszych kart płatniczych. Ale złodzieje szybko się uczą i w Europie i Kanadzie mieli lata na udoskonalenie ataków wymierzonych w karty z chipem.
Zamiast skimmerów, które siedzą na wierzchu czytników pasków magnetofonowych, shimmery znajdują się wewnątrz czytników kart. Są to bardzo, bardzo cienkie urządzenia i nie można ich zobaczyć z zewnątrz. Kiedy wsuwasz swoją kartę do czytnika, shimmer odczytuje dane z chipa na Twojej karcie, podobnie jak skimmer odczytuje dane z paska magnetofonowego Twojej karty.
Jest jednak kilka kluczowych różnic. Po pierwsze, zintegrowane zabezpieczenia, które są częścią EMV, oznaczają, że osoby atakujące mogą uzyskać tylko te same informacje, które uzyskałyby z skimmera. Na swoim blogu, badacz bezpieczeństwa Brian Krebs wyjaśnia, że „Chociaż dane, które są zwykle przechowywane na pasku magnetycznym karty są replikowane wewnątrz chipa w kartach z chipem, chip zawiera dodatkowe elementy bezpieczeństwa, których nie ma na pasku magnetycznym.” Oznacza to, że złodzieje nie mogliby zduplikować chipa EMV, ale mogliby wykorzystać dane z chipa do sklonowania paska magnetycznego lub wykorzystać jego informacje do innego oszustwa.
Przedstawiciel firmy Kaspersky, z którym rozmawialiśmy, był jednoznaczny w swoim zaufaniu do kart chipowych. „EMV nadal nie jest złamany” – powiedział Kaspersky portalowi PCMag. „Jedyne udane włamania do EMV mają miejsce w warunkach laboratoryjnych.”
Prawdziwym problemem jest to, że shimmery są ukryte wewnątrz maszyn ofiar. Shimmer przedstawiony na zdjęciu poniżej został znaleziony w Kanadzie i zgłoszony do RCMP (link do Internet Archive). Jest to niewiele więcej niż układ scalony wydrukowany na cienkiej plastikowej płytce.
Image credit: Coquitlam RCMP
Sprawdzenie manipulacji
Sprawdzenie manipulacji w urządzeniu w punkcie sprzedaży może być trudne. Większość z nas nie stoi w kolejce w sklepie spożywczym na tyle długo, aby dobrze przejrzeć czytnik. Złodziejom trudniej jest również zaatakować te maszyny, ponieważ nie są one pozostawione bez nadzoru. Z drugiej strony, bankomaty są często pozostawiane bez nadzoru w przedsionkach lub nawet na zewnątrz, co czyni je łatwiejszymi celami.
Pomimo, że większa część tego artykułu poświęcona jest bankomatom, pamiętaj, że stacje benzynowe, stacje płatności w transporcie publicznym i inne nienadzorowane maszyny są również podatne na ataki. Nasze rady mają zastosowanie również w tych okolicznościach.
Podchodząc do bankomatu, sprawdź, czy nie ma widocznych śladów manipulacji na górze bankomatu, w pobliżu głośników, z boku ekranu, na samym czytniku kart i na klawiaturze. Jeśli coś wygląda inaczej, np. inny kolor lub materiał, grafika, która nie jest prawidłowo wyrównana, lub cokolwiek innego, co nie wygląda prawidłowo, nie używaj bankomatu.
Jeśli jesteś w banku, warto szybko rzucić okiem na bankomat obok Twojego i porównać je. Jeśli są jakieś oczywiste różnice, nie używaj żadnego z nich – zamiast tego zgłoś podejrzaną ingerencję do swojego banku. Na przykład, jeśli jeden bankomat ma migające wejście pokazujące, gdzie należy włożyć kartę bankomatową, a drugi bankomat ma zwykłą szczelinę, wiesz, że coś jest nie tak. Większość skimmerów jest przyklejana do istniejącego czytnika i zasłania migający wskaźnik.
Jeśli klawiatura nie jest odpowiednia – zbyt gruba lub niecentralna, być może – może jest tam nakładka do wyłudzania PIN. Nie używaj jej. Szukaj innych śladów manipulacji, takich jak dziury, które mogą ukrywać kamerę, lub pęcherzyki kleju po pospiesznej operacji maszyny.
Nawet jeśli nie widzisz żadnych różnic wizualnych, naciskaj na wszystko. Bankomaty są solidnie zbudowane i generalnie nie mają żadnych luźnych części. Czytniki kart kredytowych są bardziej zróżnicowane, ale mimo to: Pociągnij za wystające części, takie jak czytnik kart. Sprawdź, czy klawiatura jest dobrze przymocowana i czy jest jednym kawałkiem. Jeśli coś się rusza, gdy na to naciskasz, bądź zaniepokojony.
Przemyśl swoją transakcję
Gdy wprowadzasz PIN do karty debetowej, załóż, że ktoś patrzy. Może przez ramię albo przez ukrytą kamerę. Nawet jeśli bankomat lub maszyna płatnicza wydaje się być w porządku, zakryj rękę podczas wprowadzania kodu PIN. Zdobycie kodu PIN jest bardzo ważne. Bez niego przestępcy mają ograniczone możliwości działania ze skradzionymi danymi.
Przestępcy często instalują skimmery na bankomatach, które nie są zlokalizowane w zbyt ruchliwych miejscach, ponieważ nie chcą być obserwowani podczas instalowania złośliwego sprzętu lub zbierania zebranych danych (choć zawsze są wyjątki). Bankomaty wewnątrz budynków są generalnie bezpieczniejsze w użyciu niż te na zewnątrz, ponieważ atakujący mogą uzyskać dostęp do maszyn na zewnątrz w sposób niezauważony. Zatrzymaj się i zastanów nad bezpieczeństwem bankomatu, zanim z niego skorzystasz.
Gdy to możliwe, nie używaj paska magnetofonowego swojej karty do przeprowadzenia transakcji. Większość terminali płatniczych używa obecnie magstripe jako opcji awaryjnej i poprosi Cię o włożenie chipa zamiast machania kartą. Jeśli terminal kart kredytowych akceptuje transakcje NFC, rozważ użycie Apple Pay, Samsung Pay lub Android Pay.
Te usługi płatności zbliżeniowych tokenizują informacje o Twojej karcie kredytowej, więc Twoje prawdziwe dane nigdy nie są ujawnione. Jeśli przestępca w jakiś sposób przechwyci transakcję, otrzyma tylko bezużyteczny wirtualny numer karty kredytowej. Niektóre urządzenia Samsunga mogą emulować transakcję magstripe przez telefon. Technologia ta nosi nazwę MST, ale obecnie zaprzestano jej stosowania.
Jednym ze scenariuszy, który często wymaga użycia magstripe, jest płacenie za paliwo przy pompie benzynowej. Są one podatne na ataki, ponieważ wiele z nich nie obsługuje jeszcze transakcji EMV lub NFC, a także dlatego, że napastnicy mogą uzyskać dostęp do pomp niezauważenie. O wiele bezpieczniej jest wejść do środka i zapłacić kasjerowi. Jeśli nie ma tam kasjera na służbie, skorzystaj z tych samych wskazówek dotyczących korzystania z bankomatów i zbadaj czytnik kart przed jego użyciem.
Recommended by Our Editors
From Skimmers to Shimmers to E-Skimmers
Nie dziwi więc, że istnieje cyfrowy odpowiednik zwany e-skimmingiem. Włamanie do British Airways z 2018 roku najwyraźniej w dużej mierze opierało się na takiej taktyce.
Jak wyjaśnia Bogdan Botezatu, dyrektor ds. badań nad zagrożeniami i raportowania w Bitdefender, e-skimming to sytuacja, w której atakujący wstawia złośliwy kod na stronę płatności, który wyrywa informacje o karcie.
„Te e-skimmery są dodawane albo poprzez kompromitację danych uwierzytelniających konto administratora sklepu internetowego, serwer hostingowy sklepu, lub poprzez bezpośrednie kompromitowanie sklepu, tak aby dystrybuował on skażone kopie swojego oprogramowania,” wyjaśnił Botezatu. Jest to podobne do strony phishingowej, z tą różnicą, że strona jest autentyczna – kod na stronie został po prostu zmanipulowany.
„Ataki e-skimmingowe coraz lepiej radzą sobie z unikaniem wykrycia” – powiedział Botezatu. „Im dłużej atakujący utrzymuje ten przyczółek, tym więcej kart kredytowych jest w stanie zebrać.”
Zwalczanie tego typu ataków zależy ostatecznie od firm, które prowadzą te sklepy. Istnieje jednak kilka rzeczy, które konsumenci mogą zrobić, aby chronić się sami. Botezatu zasugerował, że konsumenci korzystają z oprogramowania pakietów bezpieczeństwa na swoich komputerach, które, jak powiedział, może wykryć złośliwy kod i zapobiec wprowadzeniu informacji.
Alternatywnie, można uniknąć podawania informacji o karcie kredytowej dzięki wirtualnym kartom kredytowym. Są to fałszywe numery kart kredytowych, które są powiązane z Twoim prawdziwym kontem karty kredytowej. Jeśli jedna z nich zostanie naruszona, nie będziesz musiał zdobywać nowej karty kredytowej, wystarczy, że wygenerujesz nowy numer wirtualny. Niektóre banki, takie jak Citi, oferują taką funkcję, więc zapytaj w swoim banku, czy jest ona dostępna. Jeśli nie możesz uzyskać wirtualnej karty z banku, Abine Blur oferuje abonentom zamaskowane karty kredytowe, które działają w podobny sposób. Apple Pay i Google Pay są również akceptowane na niektórych stronach internetowych.
Inną opcją jest zapisanie się do alertów kartowych. Niektóre banki wysyłają powiadomienia push na Twój telefon za każdym razem, gdy używana jest Twoja karta debetowa. Jest to przydatne, ponieważ można natychmiast zidentyfikować fałszywe zakupy. Jeśli Twój bank oferuje podobną opcję, spróbuj ją włączyć. Aplikacje do finansów osobistych, takie jak Mint.com, mogą ułatwić Ci zadanie sortowania wszystkich transakcji.
Zachowaj świadomość
Nawet jeśli robisz wszystko jak należy i sprawdzasz każdy centymetr każdej maszyny płatniczej, którą napotkasz (ku zmartwieniu ludzi stojących za Tobą w kolejce), możesz stać się celem oszustwa. Ale miejcie się na baczności: Jeśli tylko jak najszybciej zgłosisz kradzież wystawcy karty (w przypadku kart kredytowych) lub bankowi (w którym masz konto), nie zostaniesz pociągnięty do odpowiedzialności. Twoje pieniądze zostaną zwrócone. Klienci biznesowi, z drugiej strony, nie mają takiej samej ochrony prawnej i mogą mieć trudniejszy czas na odzyskanie swoich pieniędzy.
Spróbuj również użyć karty kredytowej, jeśli ma to dla Ciebie sens. Transakcja debetowa jest natychmiastowym przelewem gotówki i czasami może być bardziej czasochłonna do skorygowania. Transakcje kartą kredytową mogą być wstrzymane i cofnięte w dowolnym momencie. W ten sposób wywiera się presję na handlowców, aby lepiej zabezpieczali swoje bankomaty i terminale w punktach sprzedaży. Nadużywanie kredytu ma jednak swoje własne pułapki, więc bądź ostrożny.
Na koniec zwróć uwagę na swój telefon. Banki i firmy obsługujące karty kredytowe mają zazwyczaj bardzo aktywną politykę wykrywania oszustw i natychmiast skontaktują się z Tobą, zwykle przez telefon lub SMS, jeśli zauważą coś podejrzanego. Szybka reakcja może oznaczać powstrzymanie ataków, zanim zdążą one dotknąć Ciebie, więc miej telefon zawsze pod ręką.
Pamiętaj: Jeśli coś nie gra w bankomacie lub czytniku kart kredytowych, nie korzystaj z nich. Kiedy tylko możesz, używaj chipa zamiast paska na karcie. Twoje konto bankowe będzie Ci wdzięczne.
Fahmida Y. Rashid przyczyniła się do powstania tej historii