Hogyan lehet észrevenni és elkerülni a hitelkártya-szitázókat

Abban a pillanatban, amikor komolyan aggódtam a hitelkártya és a betéti kártya lekérdezése miatt, nem az volt, amikor a teljes bankszámlámat átutaltam Törökországba, vagy amikor csalárd díjak miatt két hónap alatt háromszor kellett cserélnem a hitelkártyát. Amikor megtudtam, hogy a hitelkártya-szám ellopása ugyanolyan egyszerű, mint a mágnesszalag-olvasó csatlakoztatása a számítógéphez és a szövegszerkesztő megnyitása. Minden ellop elcsúsztatta a hitelkártya számát, további beállítás nélkül. Az információ ellopására szolgáló fejlettebb eszközöket a bűnözők közvetlenül az ATM-ekbe és a hitelkártya-olvasókba telepítik. Ezeket szkimmernek hívják, és ha óvatos vagy, elkerülheti, hogy ezek a támadó eszközök áldozatává váljanak.

Mik a Skimmers?

A szkimmerek alapvetően rosszindulatú kártyaolvasók, amelyek a valós fizetési terminálokhoz vannak csatolva, így minden egyes személyről adatot gyűjthetnek, aki ellopja a kártyáját. A tolvajnak gyakran vissza kell térnie a kompromittált géphez, hogy felvegye az összes ellopott adatot tartalmazó fájlt, de a kézben lévő információkkal készíthet klónozott kártyákat, vagy csak betörhet bankszámlákra, hogy pénzt lopjon. A talán a legfélelmetesebb rész az, hogy a szkimmerek gyakran nem akadályozzák meg az ATM vagy a hitelkártya-olvasó megfelelő működését, megnehezítve őket.

Stefan Tanase, a Kaspersky Lab biztonsági kutatója szerint a klasszikus átfedéses támadások itt maradnak, és valószínűleg továbbra is problémát jelentenek még akkor is, amikor a bankok az EMV chipkártyákra váltottak. Még ha a kártyán is van chipek, az adatok továbbra is a kártya mágneses csíkján lesznek, hogy visszafelé kompatibilisek legyenek azokkal a rendszerekkel, amelyek nem képesek kezelni a chipet - mondta. Még most, jóval azután, hogy az Egyesült Államokban bevezették az EMV kártyákat, egyes kereskedők még mindig megkövetelik az ügyfelektől, hogy használják a csíkot.

A tipikus ATM-skimmer egy kicsi eszköz, amely illeszkedik egy meglévő kártyaolvasóra. A támadók általában rejtett kamerát helyeznek el valahol a közelben annak érdekében, hogy rögzítsék a számlák eléréséhez használt személyi azonosító számokat vagy PIN-eket. A kamera lehet a kártyaolvasóban, az ATM tetejére vagy a mennyezetre szerelve. Néhány bűnöző hamis PIN-kódot helyez be a tényleges billentyűzet fölé, hogy közvetlenül rögzítse a PIN-kódot, megkerülve a kamera szükségességét.

A fenti kép egy valós skimmer, amelyet ATM-en használnak. Látod azt a furcsa, terjedelmes sárga darabot? Ez a szkimmer. Ezt könnyű észrevenni, mert a színe és az anyaga eltér a célponthoz használt géptől, de vannak más visszajelző táblák. A kártya behelyezése helyén felfelé mutató nyilak vannak beágyazva a gép műanyag házába. Láthatja, hogy a szürke nyilak nagyon közel állnak a sárga olvasóházhoz, szinte átfedésben. Ez egy jele, hogy a szegélyt beépítették a meglévőre, mivel az igazi kártyaolvasónak lenne szabad hely a kártyahely és a nyilak között.

A Skimmerstől a Shimmersig

Amikor az amerikai bankok végre felzárkóztak a világ többi részéhez és elkezdtek chipkártyákat kibocsátani, ez a fogyasztók számára nagy biztonsági vívmány volt. Ezek a chipkártyák, vagy az EMV kártyák robusztusabb biztonságot nyújtanak, mint a régebbi hitelkártyák fájdalmasan egyszerű sztrájkjai. A tolvajok azonban gyorsan tanulnak, és évekig tartottak, hogy támadásaikat tökéletesítsék Európában és Kanadában, amelyek célzottak chipkártyákat.

A csíkolvasók helyett, amelyek a csíkolvasók tetején ülnek, a csillogók a kártyaolvasókban vannak. Ez nagyon, nagyon vékony eszköz, és kívülről nem látható. Amikor becsúsztatja a kártyáját, a vibrátor beolvassa az adatokat a kártyán lévő chipből, ugyanúgy, ahogy a szkimmer elolvassa az adatait a kártya csíkján.

Van néhány kulcsfontosságú különbség. Az egyik az, hogy az EMV-hez tartozó integrált biztonság azt jelenti, hogy a támadók csak ugyanazt az információt kaphatják meg, mint amennyit a szkimmernél szereznének. Blogjában Brian Krebs biztonsági kutató elmagyarázza, hogy "a vibrátorok által összegyűjtött adatok nem használhatók chip alapú kártya előállítására, hanem felhasználhatók mágnescsík-kártya klónozására. Bár az adatok általában a kártya mágneses csíkján vannak tárolva. replikálódik a chip belsejében a chip-kompatibilis kártyákon, a chip tartalmaz további biztonsági elemeket, amelyek nem találhatók a mágneses csíkon."

Az igazi probléma az, hogy a csillámokat sokkal nehezebb észrevenni, mert ATM-ekben vagy az értékesítési pontokban ülnek. Az alább látható képletet Kanadában találták, és jelentették az RCMP-nek. Ez alig több, mint egy vékony műanyag lapra nyomtatott integrált áramkör. Ha a veszélyeztetett eszköz tulajdonosai nem voltak óvatosak, ez ellophatta volna az információkat mindenkinek, aki azt használta.

Az ATM-gyártók nem fektettek le ilyen típusú csalást. Az újabb ATM-ek robusztus anti-zavaró eszközökkel büszkélkedhetnek, ideértve a radarrendszereket is, amelyek célja az ATM-be beillesztett vagy hozzá csatolt tárgyak felismerése. A Black Hat biztonsági konferencia egyik kutatója azonban képes volt egy ATM fedélzeti radarkészülékével PIN-kódot gyűjteni egy bonyolult átverés részeként.

A fenyegetések valós és fejlődő; Ezért annyira fontos, hogy bármilyen ATM-et vagy hitelkártya-olvasót gyorsan ellenőrizze, mielőtt felhasználná.

Ellenőrizze, hogy nincs-e hamisítás

Az ATM-hez közeledve ellenőrizze, hogy vannak-e nyilvánvaló hamisítás jelei az ATM tetején, a hangszórók, a képernyő oldala, a kártyaolvasó és a billentyűzet közelében. Ha valami másnak tűnik, például eltérő színű vagy anyag, grafikákat, amelyek nem igazodnak megfelelően, vagy bármi mást, ami nem néz ki jól, akkor ne használja ezt az ATM-et. Ugyanez igaz a hitelkártya-olvasókra a pénztárnál vagy a benzinkutaknál.

Ha bankban tartózkodik, érdemes gyorsan átnézni a saját bankja mellett az ATM-et, és összehasonlítani őket. Ha vannak nyilvánvaló különbségek, ne használja egyiket sem, és jelentse a banknak a gyanús manipulációt. Például, ha az egyik ATM-ben villogó kártya bejegyzés található, amely megmutatja, hol helyezze be az ATM-kártyát, és a másik ATM-ben van egy egyszerű olvasó nyílás, akkor tudja, hogy valami nincs rendben. A legtöbb csúszót a meglévő olvasó tetejére ragasztják, és eltakarják a villogó jelzőt.

Ha a billentyűzet nem érzi jól magát - talán túl vastag -, előfordulhat, hogy van egy PIN-kód-átkísérlő fedvény, ezért ne használja.

Wiggle mindent

Még ha nem lát semmilyen vizuális különbséget, nyomja meg mindent - mondta Tanase. Az ATM-ek szilárdan vannak felépítve, és általában nem tartalmaznak laza alkatrészeket. A hitelkártya-olvasóknak több változata van, de még mindig: Húzza meg a kiálló részeket, például a kártyaolvasót. Nézze meg, hogy a billentyűzet megfelelően van-e rögzítve és csak egy darab. Mozog-e valami, amikor rányomod?

A szkimerek olvassák a mágnescsíkot, amikor a kártya be van helyezve, tehát adjon egy kis csavarodást a kártya behelyezésekor - tanácsolta Tanase. Az olvasónak szüksége van a csíkra egyetlen mozdulattal, mert ha nem egyenesen be, nem tudja az adatokat helyesen beolvasni. Ha az ATM olyan, ahol elveszi a kártyát, és a tranzakció végén adja vissza, akkor az olvasó belsejében van. A kártya bevágása a foglalatba történő bevitelekor nem zavarja a tranzakciót, de fóliázza a skimmert.

Ez a taktika nem működik a csillámlásokon, és nem fog működni egyetlen olyan ATM-mel sem, amely rögzíti és tartja a kártyáját, miközben az ügylet folyamatban van. Még mindig vannak módok, hogy megvédje magát e gépek használatakor.

Gondoljon át a lépésein

Amikor betéti kártya PIN-kódját írja be, tegyük fel, hogy van valaki, aki keres. Talán a válla fölött vagy egy rejtett kamera segítségével. A PIN-kód megadásakor takarja le a kezét a billentyűzettel - mondta Tanase. Ez egy jó házirend akkor is, ha nem észlel valami furcsát az ATM-nél. A PIN-kód megszerzése elengedhetetlen, mivel a bűnözők nem használhatják el az ellopott mágnescsík adatait - mondta Tanase. Természetesen feltételezzük, hogy a támadó kamerát használ, és nem overlay-t használ a PIN-kód megszerzéséhez.

A bűnözők gyakran telepítik a szkimmereket az ATM-ekre, amelyek nem helyezkednek el túl elfoglalt helyekre, mivel nem akarják, hogy megfigyeljenek rosszindulatú hardverek telepítésével vagy a begyűjtött adatok gyűjtésével. A bankokon belüli ATM-ek az összes kamera miatt általában biztonságosabbak, bár néhány merész bűnözőnek továbbra is sikerül telepítenie őket. Az élelmiszerboltban vagy étteremben található ATM általában biztonságosabb, mint a járdán kívül. Használat előtt állítsa le és fontolja meg az ATM biztonságát.

Ennek ellenére egyetlen hely sem biztonságos a vállalkozó bűnözőktől. Vegyük például ezt a videót. A tolvaj másodpercek alatt beszerel egy árnyékolót az értékesítési pont egységébe egy élelmiszerboltba.

A hétvégén nagyobb a esélye, hogy megsérüljön a skimmer, mint a hét folyamán, mivel az ügyfeleknek nehezebb bejelenteni a gyanús ATM-eket a banknak. A bűnözők általában szombaton vagy vasárnap telepítik a szitákat, majd eltávolítják őket, mielőtt a bankok hétfőn újbóli megnyílnának.

Amikor csak lehetséges, ne használja a kártya csíkját a tranzakció végrehajtásához. Az üzletek hitelkártya-olvasói számára érintse meg a PIN-kártya alja alatt egy nyílást, amelybe beillesztheti a kártyát, és annak olvasható EMV-chipjét. Az EMV chip használatakor a kártya engedélyezve van az eszközön, és személyes adatait soha nem továbbítják. Ez arra készteti a bűnözőket, hogy megtámadják az EMV-kompatibilis olvasók belső működését. Noha az EMV olvasók feltörése lehetséges, ez sokkal nehezebb, mint a csíkkal történő borítás.

Ha a hitelkártya-terminál elfogadja az NFC tranzakciókat, akkor fontolja meg az Apple Pay, a Samsung Pay vagy az Android Pay használatát. Ezek a szolgáltatások jelképezik a hitelkártya-adatait, így személyes adatait soha nem szabad kitéve. Ha a bűnöző valamilyen módon elfogja az információkat, akkor csak haszontalan virtuális hitelkártya számot fog kapni. Vegye figyelembe, hogy bizonyos eszközökön a Samsung Pay valójában egy csíkos tranzakciót emulálhat, ha a telefont a kártyaolvasó felett tartja. Ez sokkal biztonságosabb, mint a tényleges hitelkártya használata.

Az egyik forgatókönyv, amely gyakran igényli a magstripe használatát, az üzemanyag fizetése egy gázszivattyúnál. Ezek sok a támadásokra, mivel sokan még nem támogatják az EMV vagy NFC transzkációkat, és mivel a támadók anélkül férhetnek hozzá a szivattyúkhoz, hogy észrevétlenül jönnek hozzájuk. Sokkal biztonságosabb bemenni és fizetni a pénztárosba. Ha nincs pénztáros szolgálatban, használja ugyanazokat az tippeket az ATM-ek használatához, és használata előtt vizsgálja meg a kártyaolvasót.

Digitális támadások és megoldások

A nemrégiben lezajlott British Airways hack új koncepciót vezetett be: a digitális kártya-skimmer. A kártya adatainak rögzítésére szolgáló fizikai eszköz vagy egy hamis adathalász webhely helyett, amely megtéveszti az adatok bevitelét, a digitális skimmer rosszindulatú szoftver, amelyet egy legitim webhelyre fecskendeznek be.

Az ilyen típusú támadások leküzdése végső soron a vállalatok feladata, hogy biztosítsák webhelyeik és szolgáltatásaik biztonságát. Van néhány dolog, amit a fogyasztók megtehetnek saját védelmük érdekében. Az egyik lehetőség a virtuális hitelkártyák használata. Ezek olyan hamis hitelkártya-számok, amelyek kapcsolódnak a valódi hitelkártya-számlához. Ha az egyik veszélybe kerül, akkor nem kell új hitelkártyát szereznie, csak új virtuális számot kell létrehoznia. Egyes bankok, mint például a Citi, ezt funkcióként kínálják, ezért kérdezze meg a sajátját, ha rendelkezésre áll-e.

Ha nem tud virtuális kártyát beszerezni egy bankból, az Abine Blur maszkolt hitelkártyákat kínál az előfizetők számára. Ezek olyan előre fizetett hitelkártyák, amelyeket menet közben létrehozhat és online vásárlásokhoz használhat. Abine még hamis nevet és számlázási címet is megad a felhasználásra, tovább rejtve a személyes adatait. Ha ezek közül valamelyik kitett, akkor nem veszít el pénzt vagy magáninformációkat.

Egy másik lehetőség az, hogy regisztrálja a kártya figyelmeztetéseket. Például az Ally Bank küld értesítést telefonjára minden alkalommal, amikor a betéti kártyát használja. Ez praktikus, mivel azonnal azonosíthatja a hamis vásárlásokat. Ha bankja hasonló lehetőséget nyújt, próbáljon bekapcsolni.

Legyen tisztában

Ha nem veszi észre a kártyaszorítót, és a kártya adatait ellopják, vegye figyelembe. Mindaddig, amíg a lopást a lehető leghamarabb bejelenti a kártya kibocsátójának (hitelkártyák esetén) vagy a banknak (ahol van a számlája), nem vállal felelõsséget az elveszett összegért, és pénzét visszatérítik. Az üzleti ügyfelek viszont nem rendelkeznek azonos jogi védelemmel, és nehezebb idejük lehet pénzük visszaszerzése.

Próbáljon hitelkártyát is használni, amikor csak lehetséges. A terhelési tranzakció azonnali készpénzátutalás, és FDIC követelés benyújtását igényli, amelynek feldolgozása hetekig tarthat. A hitelkártya-tranzakciókat bármikor meg lehet állítani és meg lehet fordítani, és ez nyomást gyakorol a kereskedőkre az ATM-ek és az értékesítési helyek terminálok jobb védelme érdekében.

A csalás esetén nagyon fontos az időben történő jelentéstétel, ezért ügyeljen arra, hogy szemmel tartsa a betéti és hitelkártya-tranzakciókat. Az olyan személyes pénzügyi alkalmazások, mint a Mint.com, megkönnyíthetik az összes tranzakció szétválogatását.

• Abine Blur Premium
• A Feds figyelmeztet az ATM-csapdákról a jackpot-ban az USA-ban
• Nézze meg a másodpercek alatt beszerelt kártyacsépegetőt

Végül, figyeljen a telefonjára. A bankok és a hitelkártya-társaságok általában nagyon aktív csalás-felderítési politikával rendelkeznek, és ha valami gyanút észlelnek, azonnal felveszik Önnel a kapcsolatot, általában telefonon vagy SMS-ben. A gyors reagálás azt jelentheti, hogy megállítják a támadásokat, még mielőtt azok hatással lehetnek rád, tehát tartsa kéznél a telefont.

Ne feledje: Ha valami nem érzi magát jól az ATM-en vagy a hitelkártya-olvasónál, csak ne használja. Amikor csak tudsz, a kártyán lévő csík helyett használja a chipet. Bankszámlája köszönöm.