Как да забележите и избегнете скимери на кредитни карти

В момента, в който започнах сериозно да се притеснявам за скимери на кредитна карта и дебитна карта, не беше, когато цялата ми банкова сметка беше преведена в Турция, или когато трябваше да заменя кредитна карта три пъти за два месеца поради неправомерни такси. Когато научих, че кражбата на номер на кредитна карта е толкова лесно, колкото включването на четеца на магнитни ленти в компютър и отварянето на текстов процесор. Всеки пръст изплюва номера на кредитната карта, без да се изисква допълнителна настройка. По-модерните устройства за открадване на вашата информация се инсталират от престъпници директно на банкомати и четци на кредитни карти. Те се наричат ​​скимери и ако внимавате, можете да се предпазите да не станете жертва на тези коварни устройства.

Какво са скимери?

Skimmers са по същество зловредни четци на карти, прикрепени към реалните платежни терминали, така че да могат да събират данни от всеки човек, който прекарва своите карти. Крадецът често трябва да се връща на компрометираната машина, за да вземе файла, съдържащ всички откраднати данни, но с тази информация в ръка той може да създаде клонирани карти или просто да пробие в банкови сметки, за да открадне пари. Може би най-страшната част е, че скимерите често не пречат на банкомата или четеца на кредитни карти да функционират правилно, което ги прави по-трудни за откриване.

Класическите атаки за скимминг са тук, за да останат и вероятно ще продължат да са проблем дори сега, когато банките са преминали към EMV чип карти, според Стефан Танасе, изследовател по сигурността в лабораторията на Касперски. Дори ако картите имат чип, данните все още ще бъдат на магнитната лента на картата, за да бъдат обратно съвместими със системи, които не могат да се справят с чипа, каза той. Дори сега, дълго след пускането на EMV карти в САЩ, все още някои търговци изискват от клиентите да използват магстрипа.

Типичният скимер за ATM е малко устройство, което се вписва в съществуващ четец на карти. През повечето време нападателите също ще поставят скрита камера някъде в близост, за да запишат лични идентификационни номера или ПИН кодове, използвани за достъп до акаунти. Камерата може да е в четеца на карти, монтиран в горната част на банкомата или дори на тавана. Някои престъпници инсталират фалшиви подложки за ПИН над действителните клавиатури, за да заснемат ПИН директно, заобикаляйки нуждата от камера.

Горната снимка представлява скимер в реалния живот, използван на банкомат. Виждате ли това странно, обемно жълто късче? Това е скимерът. Това е лесно да се забележи, тъй като има различен цвят и материал от целевата машина, но има и други знаци за разказване. Под слота, в който поставяте картата си, са издигнати стрелки, вградени в пластмасовия корпус на машината. Можете да видите как сивите стрелки са много близо до корпуса на жълтия четец, почти се припокриват. Това е знак, че е инсталиран скимер над съществуващия, тъй като реалният четец на карти ще има известно пространство между слота за карти и стрелките.

От Skimmers до Shimmers

Когато най-накрая американските банки настигнаха останалия свят и започнаха да издават чип карти, това беше голямо предимство за сигурността на потребителите. Тези чип карти или EMV карти предлагат по-здрава сигурност от мъчително прости мастрипи на по-стари кредитни карти. Но крадците се учат бързо и имаха години да усъвършенстват атаки в Европа и Канада, насочени към чип карти.

Вместо скимери, които седят отгоре на четците на magstripe, вътре в четците на карти се намират блещукания. Това са много, много тънки устройства и не могат да се видят отвън. Когато плъзнете картата си, мигачът чете данните от чипа на вашата карта, по същия начин, по който скимер чете данните на мастрипа на вашата карта.

Има обаче няколко основни разлики. От една страна, интегрираната сигурност, която идва с EMV, означава, че нападателите могат да получат само същата информация, която биха получили от скимер. В своя блог изследователят по сигурността Брайън Кребс обяснява, че "данните, събрани от блещукачи, не могат да бъдат използвани за създаване на карта, базирана на чип, но могат да бъдат използвани за клониране на карта с магнитна лента. Въпреки че данните, които обикновено се съхраняват на магнитната лента на картата" се репликира вътре в чипа на карти с активиран чип, чипът съдържа допълнителни компоненти за сигурност, които не се намират на магнитна лента."

Истинският проблем е, че блещуканията са много по-трудни за установяване, защото те седят вътре в банкомати или на машини за продажба. Блещукът, изобразен по-долу, е намерен в Канада и е докладван на RCMP. Това е малко повече от интегрална схема, отпечатана върху тънък пластмасов лист. Ако собствениците на компрометираното устройство не бяха внимателни, това можеше да открадне информацията от всички, които го използват.

Производителите на банкомати не са предприели подобна измама в легнало положение. По-новите банкомати се гордеят със здрави устройства за борба с антиматериалите, понякога включително радарни системи, предназначени за откриване на обекти, поставени или прикрепени към банкомата. Въпреки това, един изследовател на конференцията по сигурността на Black Hat успя да използва бордовото радиолокационно устройство на ATM за улавяне на ПИН кодове като част от сложна измама.

Заплахите са реални и се развиват; Ето защо е толкова важно да дадете на всеки четец на банкомат или кредитна карта бърза проверка, преди да го използвате.

Проверете за подправяне

Когато се приближите до банкомат, проверете дали има очевидни признаци на подправяне в горната част на банкомата, близо до високоговорителите, отстрани на екрана, самия четец на карти и клавиатурата. Ако нещо изглежда различно, като различен цвят или материал, графики, които не са подравнени правилно или нещо друго, което не изглежда правилно, не използвайте този банкомат. Същото важи и за четците на кредитни карти на касата или на бензиностанциите.

Ако сте в банката, добре е да разгледате бързо банкомата до вашия и да ги сравните. Ако има някакви очевидни разлики, не използвайте нито една от тях, и съобщавайте за подозрителното фалшифициране в банката си. Например, ако единият банкомат има мигаща карта, за да покаже къде трябва да поставите картата за банкомат, а другият банкомат има обикновен слот за четене, знаете, че нещо не е наред. Повечето скимери са залепени отгоре на съществуващия четец и ще помрачат мигащия индикатор.

Ако клавиатурата не се чувства правилно - може би е твърде дебела, тогава може да има наслагване с ПИН, така че не го използвайте.

Размахвайте всичко

Дори и да не виждате никакви визуални разлики, натиснете всичко, каза Танасе. Банкоматите са строени и обикновено нямат свободни части. Чететелите на кредитни карти имат повече вариации, но все пак: Издърпайте стърчащи части като четеца на карти. Вижте дали клавиатурата е здраво закрепена и само едно парче. Дали нещо се движи, когато го натиснете?

Скимерите четат магнитната лента, докато картата се вмъкне, така че дайте на картата малко размахване, докато я поставите, посъветва Танасе. Читателят се нуждае от лентата, за да премине с едно движение, защото ако не е прав, не може да чете данните правилно. Ако банкоматът е от типа, в който взема картата и я връща в края на транзакцията, тогава четецът е от вътрешната страна. Размахването на картата, докато я въведете в слота, няма да попречи на транзакцията ви, но ще фолира скимера.

Тази тактика няма да работи при блещукания и няма да работи с всеки банкомат, който улавя и държи вашата карта, докато вашата транзакция е в процес. Въпреки това, все още има начини да се предпазите, когато използвате тези машини.

Мислете през стъпките си

Всеки път, когато въведете ПИН кода на дебитната си карта, предполагайте, че някой търси. Може би е през рамото ви или през скрита камера. Покрийте клавиатурата с ръка, когато въведете своя ПИН, каза Танасе. Това е добра политика, дори ако не забележите нещо странно в банкомата. Получаването на ПИН е от съществено значение, тъй като престъпниците не могат да използват данните за откраднатите магнитни ленти без него, каза ни Танасе. Разбира се, това предполага, че нападателят използва камера, а не наслагване, за да получи своя ПИН.

Престъпниците често инсталират скимери на банкомати, които не са разположени на прекалено натоварени места, тъй като не искат да бъдат наблюдавани да инсталират злонамерен хардуер или да събират събраните данни. Банкоматите в банките като цяло са по-безопасни заради всички камери, въпреки че някои дръзки престъпници все пак успяват да ги инсталират там. Банкоматът в хранителен магазин или ресторант като цяло е по-безопасен от този, който е отвън на тротоара. Спрете и помислете за безопасността на банкомата, преди да го използвате.

Това каза, никое място не е безопасно от предприемчив престъпник. Вземете например това видео. Крадецът инсталира скимер на единицата за продажба вътре в хранителен магазин за секунди.

Шансовете да се ударят от скимер са по-високи през уикенда, отколкото през седмицата, тъй като клиентите са по-трудни да съобщят на банката за подозрителните банкомати. Обикновено престъпниците инсталират скимери в събота или неделя и след това ги премахват, преди банките да се отворят отново в понеделник.

Винаги, когато е възможно, не използвайте лентата на вашата карта за извършване на транзакцията. За читателите на кредитни карти в магазините се почувствайте под подложката за ПИН за слот, в който да вмъкнете вашата карта и нейния EMV чип, който да се чете. Когато използвате вашия EMV чип, картата се оторизира на устройството и вашата лична информация никога не се предава. Това принуждава престъпниците да атакуват вътрешното функциониране на читателите, поддържащи EMV. Макар че е възможно да се пропукат EMV четци, това е много по-трудно от скипването на magstripe.

Ако терминалът на кредитната карта приема транзакции с NFC, помислете за използване на Apple Pay, Samsung Pay или Android Pay. Тези услуги токенизират информацията за кредитната ви карта, така че личната ви информация никога не се излага. Ако престъпник по някакъв начин прихване информацията, той ще получи само безполезен номер на виртуална кредитна карта. Обърнете внимание, че на определени устройства Samsung Pay всъщност може да емулира транзакция с мастрип, ако държите телефона си върху четеца на карти. Това е много по-безопасно, отколкото да използвате действителната си кредитна карта.

Един от сценариите, който често изисква използването на вашата мастрипа, е плащането на гориво на газова помпа. Те са пълни за атаки, тъй като мнозина все още не поддържат EMV или NFC транскакции и защото нападателите могат да получат достъп до помпите, без да бъдат забелязани. Много по-безопасно е да влезете вътре и да платите касата. Ако няма дежурен касиер, използвайте същите съвети за използване на банкомати и проучете четеца на карти, преди да го използвате.

Цифрови атаки и решения

Неотдавнашният хак на British Airways представи нова концепция: скимера на цифровите карти. Вместо физическо устройство за улавяне на информацията за вашата карта или фалшив фишинг уебсайт, който ви подмамва да въвеждате данните си, цифров скимер е злонамерен софтуер, инжектиран в легитимен уебсайт.

Борбата с този тип атака в крайна сметка зависи от компаниите да гарантират, че техните сайтове и услуги са защитени. Но има няколко неща, които потребителите могат да направят, за да се защитят. Една от възможностите е да използвате виртуални кредитни карти. Това са фиктивни номера на кредитни карти, които са свързани с вашата реална сметка за кредитна карта. Ако човек е компрометиран, няма да е необходимо да получавате нова кредитна карта, а просто да генерирате нов виртуален номер. Някои банки, като Citi, предлагат това като функция, така че попитайте вашата дали е налична.

Ако не можете да получите виртуална карта от банка, Abine Blur предлага маскирани кредитни карти на абонатите. Това са предплатени кредитни карти, които можете да създавате в движение и да използвате за онлайн покупки. Abine дори предоставя фалшиво име и адрес за фактуриране, които да използва, допълнително прикривайки личната ви информация. Ако някое от тях е изложено, няма да загубите пари или частна информация.

Друг вариант е да се запишете в сигнали за карти. Ally Bank, например, ще изпраща натискащ сигнал на телефона ви всеки път, когато дебитната ви карта се използва. Това е удобно, тъй като можете веднага да идентифицирате фалшиви покупки. Ако вашата банка предлага подобна опция, опитайте да я включите.

Бъдете наясно

Ако не забележите скимер на картата и данните на картата ви се откраднат, вземете сърце. Докато докладвате за кражбата на издателя на вашата карта (за кредитни карти) или банка (където имате акаунта си) възможно най-скоро, няма да носите отговорност за загубената сума и парите ви ще бъдат върнати. От друга страна, бизнес клиентите нямат същата правна защита и може да им е по-трудно да си върнат парите.

Също така, опитайте се да използвате кредитна карта, когато е възможно. Дебитната транзакция е незабавен паричен превод и изисква подаване на FDIC рекламация, която може да отнеме седмици, за да бъде обработена. Сделките с кредитни карти могат да бъдат спрени и отменени по всяко време и това прави натиск върху търговците за по-добро осигуряване на своите банкомати и терминали за продажба.

Навременното отчитане е много важно в случаи на измама, така че не забравяйте да следите вашите транзакции с дебитни и кредитни карти. Приложения за лични финанси като Mint.com могат да ви помогнат да облекчите задачата да сортирате всичките си транзакции.

• Abine Blur Premium Abine Blur Premium
• Федс предупреждава за „джакпотинг“ хакове на банкомат в САЩ Федс предупреждава за „джакпотинг“ хакове на банкомат в САЩ
• Гледайте Скиммер на карта, инсталирайте се за секунди Гледайте Скиммер на карта, инсталирайте се за секунди

И накрая, обърнете внимание на телефона си. Банките и компаниите с кредитни карти обикновено имат много активни политики за разкриване на измами и веднага ще се свържат с вас, обикновено по телефон или SMS, ако забележат нещо подозрително. Бързото реагиране може да означава спиране на атаките, преди те да засегнат вас, така че дръжте телефона си удобен.

Само не забравяйте: Ако нещо не се чувства добре в банкомат или четец на кредитни карти, просто не го използвайте. Винаги, когато можете, използвайте чипа вместо лентата на вашата карта. Вашата банкова сметка ще ви благодари.