От скиммеров до шиммеров

Маленькие устройства, называемые скиммерами, и даже более коварные Shimmers могут легко украсть информацию о вашей кредитной и дебетовой карте, когда вы проводите пальцем по экрану. Вот как защититься от этих редких, но неприятных атак.

Я хорошо помню момент, когда осознал, насколько небезопасны кредитные и дебетовые карты. Я наблюдал, как кто-то взял стандартный USB-считыватель магнитных полос и подключил его к компьютеру, который распознал его как клавиатуру. Он открыл текстовый редактор и взял карточку. В текстовом файле послушно появилась серия цифр. Вот и все: информацию с карты украли.

Та же самая технология стала более зрелой и миниатюрной. К банкоматам и платежным терминалам можно прикрепить крошечные «скиммеры», чтобы снимать данные с магнитной полосы карты. Еще более мелкие Shimmers вставлены в устройства чтения карт, чтобы атаковать чипы на новых картах. Теперь есть также цифровая версия, называемая электронным скиммингом, кража данных с платежных сайтов. К счастью, есть много способов защитить себя от этих атак.

Что такое скиммеры?

Скиммеры — это крошечные вредоносные считыватели банковских карт, спрятанные в обычных считывателях карт, которые собирают данные от каждого человека, считывающего их карты. После того, как оборудование в течение некоторого времени считывает данные, вор остановится у взломанного банкомата, чтобы забрать файл, содержащий все украденные данные. Обладая этой информацией, он может создавать клонированные карты или просто совершать мошенничество. Возможно, самое страшное заключается в том, что скиммеры часто не препятствуют нормальной работе банкомата или устройства чтения кредитных карт, что затрудняет их обнаружение.

Скиммеры банкоматов иногда устанавливаются поверх существующих считывателей карт. В большинстве случаев злоумышленники также размещают где-нибудь поблизости скрытую камеру для записи ПИН-кодов, используемых для доступа к учетным записям. Камера может находиться в кард-ридере, установленном в верхней части банкомата или даже в потолке. Некоторые преступники заходят так далеко, что устанавливают поддельные панели для PIN-кодов на настоящие клавиатуры, чтобы напрямую фиксировать PIN-код, минуя необходимость в камере.

На этом изображении показан реальный скиммер, используемый в банкомате. Видите этот странный, громоздкий желтый кусочек? Это скиммер. Его легко обнаружить, потому что он имеет другой цвет и материал, чем остальная часть машины, но есть и другие контрольные признаки. Под слотом, в который вы вставляете карту, видны стрелки на пластиковом корпусе устройства. Вы можете видеть, как серые стрелки очень близки к желтому корпусу считывателя, почти перекрывая друг друга. Это признак того, что скиммер был установлен над существующим считывателем, так как настоящий считыватель карт будет иметь некоторое пространство между слотом для карт и стрелками.

Производители банкоматов не терпят такого мошенничества. Новые банкоматы могут похвастаться надежной защитой от взлома, иногда включая радиолокационные системы, предназначенные для обнаружения объектов, вставленных в банкомат или прикрепленных к нему. Однако один исследователь на конференции по безопасности Black Hat смог использовать бортовое радарное устройство банкомата для захвата PIN-кодов в рамках тщательно продуманной аферы.

Скиммеры по-прежнему представляют собой угрозу?

Исследуя обновление этой статьи, представители компании Kasperskyсообщили кое-что удивительное: количество скимминговых атак сокращается. «Скимминг был и остается редкостью», — сказал представитель Kaspersky.

Представитель Kaspersky процитировал статистику ЕС из Европейской ассоциации безопасных транзакций (EAST) как свидетельство более широкой тенденции. EAST сообщил о рекордно низком уровне атак скиммеров, количество атак снизилось с 1496 инцидентов в апреле 2020 года до 321 инцидента в октябре того же года. Последствия COVID-19 могут иметь какое-то отношение к этому падению, но, тем не менее, они драматичны.

Это, конечно, не означает, что скимминг ушел. Совсем недавно, в январе 2021 года, в Нью-Джерси была раскрыта крупная афера со скиммингом. Он включал в себя атаки на более чем 1000 клиентов банка, при этом преступники пытались похитить более 1,5 миллиона долларов.

От скиммеров до шиммеров

Когда банки США, наконец, догнали остальной мир и начали выпускать чиповые карты, это стало большим благом безопасности для потребителей. Эти чиповые карты или карты EMV предлагают более надежную защиту, чем болезненно простые магнитные полосы старых платежных карт. Но воры быстро учатся, и у них были годы, чтобы отточить атаки в Европе и Канаде, нацеленные на чиповые карты.

Вместо скиммеров, которые устанавливаются поверх считывателей магнитной полосы, шиммеры находятся внутри считывателей карт. Это очень и очень тонкие устройства, снаружи их не видно. Когда вы вставляете карту, шиммер считывает данные с чипа на карте, почти так же, как скиммер считывает данные на магнитной полосе вашей карты.

Однако есть несколько ключевых отличий. Во-первых, интегрированная система безопасности, поставляемая с EMV, означает, что злоумышленники могут получить только ту же информацию, что и от скиммера.

В своем блоге исследователь безопасности Брайан Кребс объясняет: «Хотя данные, которые обычно хранятся на магнитной полосе карты, копируются внутри чипа на картах с чипом, чип содержит дополнительные компоненты безопасности, которых нет на магнитной полосе». Это означает, что воры не могли дублировать чип EMV, но они могли использовать данные с чипа для клонирования магнитной полосы или использовать ее информацию для другого мошенничества.

Представитель Kaspersky недвусмысленно выразил доверие к чип-картам. «EMV все еще не сломан», — сказал он PC Mag. «Единственные успешные взломы EMV — в лабораторных условиях».

Настоящая проблема в том, что шиммеры скрыты внутри машин-жертв. Мерцание, изображенное ниже, было обнаружено в Канаде и передано в RCMP. Это немного больше, чем интегральная схема, напечатанная на тонком пластиковом листе.

Проверить на вмешательство

Проверка устройства на месте продажи на предмет несанкционированного доступа может оказаться сложной задачей. Большинство из нас не стоит в очереди в продуктовом магазине достаточно долго, чтобы хорошо ознакомиться со считывателем. Ворам также сложнее атаковать эти машины, поскольку они не остаются без присмотра. С другой стороны, банкоматы часто остаются без присмотра в вестибюлях или даже на улице, что делает их более легкой добычей.

Хотя большая часть этой статьи посвящена банкоматам, имейте в виду, что заправочные станции, станции оплаты общественного транспорта и другие автоматические машины также готовы к атаке. Поэтому эти советы применимы и в этих обстоятельствах.

Подойдя к банкомату, проверьте наличие очевидных признаков взлома в верхней части банкомата, рядом с динамиками, на боковой стороне экрана, самом устройстве для чтения карт и клавиатуре. Если что-то выглядит иначе, например другой цвет или материал, графика, которая не выровнена правильно, или что-то еще, что выглядит неправильно, не используйте этот банкомат.

Если вы в банке, неплохо было бы быстро взглянуть на банкомат рядом с вашим и сравнить их. Если есть какие-либо очевидные различия, не используйте ни один из них — вместо этого сообщите о подозрительном вмешательстве в свой банк. Например, если у одного банкомата есть мигающая запись карты, чтобы показать, куда вы должны вставить карту банкомата, а у другого банкомата есть простой слот, вы знаете, что что-то не так. Большинство скиммеров приклеиваются к существующему считывателю и закрывают мигающий индикатор.

Если клавиатура кажется неправильной — возможно, слишком толстой или смещенной по центру — возможно, на клавиатуре есть наложение с захватом PIN-кода. Не используйте это. Ищите другие признаки вмешательства, такие как отверстия, которые могут скрыть камеру, или пузырьки клея от поспешной операции.

Даже если вы не видите визуальных различий, внимательно осмотрите банкомат. Банкоматы имеют прочную конструкцию и, как правило, не имеют незакрепленных деталей. У считывателей кредитных карт больше вариантов, но все же: потяните за выступающие части, такие как считыватель карт. Посмотрите, надежно ли закреплена клавиатура и всего ли она целиком. Если что-то движется, когда вы толкаете его, беспокойтесь.

Продумайте свою транзакцию

Каждый раз, когда вы вводите PIN-код дебетовой карты, предполагайте, что кто-то смотрит за вами. Может быть, через плечо или через скрытую камеру. Даже если в остальном банкомат или платежный автомат в порядке, прикрывайте руку при вводе PIN-кода. Получение вашегоPIN-кода имеет важное значение.

Преступники часто устанавливают скиммеры на банкоматы, которые расположены в не слишком загруженных местах, поскольку они не хотят, чтобы их наблюдали за установкой вредоносного оборудования или сбором данных (хотя всегда есть исключения). Внутренние банкоматы, как правило, безопаснее использовать, чем открытые, так как злоумышленники могут получить доступ к уличным машинам незаметно. Остановитесь и подумайте о безопасности банкомата, прежде чем использовать его.

По возможности не используйте магнитную полосу карты для совершения транзакции, например, в магазинах. Большинство платежных терминалов теперь используют магнитную полосу в качестве запасного варианта и предложат вам вставить чип вместо того, чтобы проводить карту. Если терминал для кредитных карт принимает транзакции NFC, рассмотрите возможность использования Apple Pay , Samsung Pay или Android Pay .

Эти сервисы бесконтактных платежей токенизируют информацию о вашей кредитной карте, поэтому ваши настоящие данные никогда не будут раскрыты. Если преступник каким-то образом перехватит транзакцию, он получит только бесполезный номер виртуальной кредитной карты. Некоторые устройства Samsung могут имитировать транзакцию с магнитной полосой через телефон. Эта технология называется MST, но сейчас она больше не поддерживается.

Один из сценариев, который часто требует использования магнитной полосы, — это оплата топлива на бензоколонке. Это обычное дело для атак, потому что многие из них еще не поддерживают транзакции EMV или NFC, а также потому, что злоумышленники могут получить доступ к насосам незаметно. Намного безопаснее зайти внутрь и заплатить кассиру. Если дежурного кассира нет, воспользуйтесь теми же советами по использованию банкоматов и проверьте устройство чтения карт, прежде чем использовать его.

От скиммеров до шиммеров и электронных скиммеров

Неудивительно, что существует цифровой эквивалент, называемый электронным скиммингом. Взлом British Airways в 2018 году явно опирался на такую тактику.

Как пояснил Богдан Ботезату, директор по исследованию угроз и отчетности Bitdefender, электронный скимминг — это когда злоумышленник вставляет вредоносный код в платежный веб-сайт, который захватывает данные вашей карты.

«Эти электронные скиммеры добавляются либо путем компрометации учетных данных администратора интернет-магазина, сервера веб-хостинга магазина, либо путем прямой компрометации [поставщика платежной платформы], чтобы они распространяли испорченные копии своего программного обеспечения», — пояснил Ботезату. Это похоже на фишинговую страницу, за исключением того, что страница является подлинной — код на странице только что был изменен.

«Атаки электронного скимминга становятся все более эффективными в уклонении от обнаружения», — сказал Ботезату. «Чем больше времени злоумышленник будет удерживать эту точку опоры, тем больше кредитных карт он сможет собрать».

Борьба с этим типом атак в конечном итоге зависит от компаний, которые управляют этими магазинами. Однако есть несколько вещей, которые потребители могут сделать, чтобы защитить себя. Ботезату предложил потребителям использовать на своих компьютерах программный комплекс безопасности, который, по его словам, может обнаруживать вредоносный код и предотвращать ввод вашей информации.

Кроме того, вы можете не вводить данные своей кредитной карты вместе с виртуальными кредитными картами. Это номера фиктивных кредитных карт, которые связаны с вашим реальным счетом кредитной карты. Если одна будет взломана, вам не нужно будет получать новую кредитную карту, просто создайте новый виртуальный номер. Некоторые банки, например Citi, предлагают эту функцию в качестве функции, поэтому спросите у себя, доступна ли она. Если вы не можете получить виртуальную карту в банке, Abine Blur предлагает подписчикам замаскированные кредитные карты, которые работают аналогичным образом. Apple Pay и Google Pay также принимаются на некоторых веб-сайтах.

Другой вариант — подписаться на оповещения по картам. Некоторые банки будут отправлять push-уведомление на ваш телефон каждый раз, когда используется платежная карта. Это удобно, так как вы можете сразу определить фиктивные покупки. Если ваш банк предлагает аналогичный вариант, попробуйте включить его. Приложения для личных финансов, такие как Mint.com, могут облегчить задачу сортировки всех ваших транзакций.

Будьте в курсе

Даже если вы сделаете все правильно и изучите каждый дюйм каждого встречного платежного автомата (к большому огорчению людей, стоящих за вами в очереди), вы можете стать целью мошенничества. Но не бойтесь: если вы как можно скорее сообщите о краже эмитенту вашей карты (для кредитных карт) или банку (где у вас есть учетная запись), вы не несете ответственности. Ваши деньги будут возвращены. С другой стороны, бизнес-клиенты не имеют такой правовой защиты, и им может быть труднее вернуть свои деньги.

Кроме того, попробуйте использовать кредитную карту, если это имеет для вас смысл. Дебетовая транзакция — это немедленный денежный перевод, исправление которого иногда требует больше времени. Операции по кредитной карте могут быть остановлены и отменены в любое время. Это заставляет продавцов лучше защищать свои банкоматы и торговые терминалы. Однако чрезмерное использование кредита имеет свои подводные камни, так что будьте осторожны.

Наконец, обратите внимание на свой телефон. Банки и компании-эмитенты кредитных карт обычно имеют очень активную политику обнаружения мошенничества и немедленно свяжутся с вами, обычно по телефону или SMS, если заметят что-то подозрительное. Быстрое реагирование может означать прекращение атак до того, как они могут повлиять на вас, поэтому держите телефон под рукой.

Просто помните: если что-то не так с банкоматом или устройством для чтения кредитных карт, не используйте его. По возможности используйте чип вместо полоски карты. Ваш банковский счет будет вам благодарен.

По материалам https://pcmag.com