Схема мошенничества
Мошенники устанавливают на банкоматы считывающие устройства - скиммеры.
На картридер устанавливают рамки с магнитной головкой, считывающей информацию с магнитной полосы и записывающую дампы карт на встроенную микросхему памяти и / или на клавиатуру приклеивают накладку, очень похожую на настоящую клавиатуру, которая запоминает нажатия клавиш и также записывает их на встроенную микросхему.
Изображения 1, 2, 3 . Картоприемник с установленным скиммером и накладка на клавиатуру
Как вариант, вместо клавиатуры на банкомат крепят миниатюрную видеокамеру, которая снимает руку, вводящую ПИН-код и записывается в модуль памяти, либо передает его дистанционно на компьютер мошенника. Обычно, в случае дистанционной передачи, мошенник находится где-то неподалеку и принимает видеоданные при помощи ноутбука.
Изображение 4. Скрытая видеокамера, установленная на банкомат
Схема "Заплати за вход"
У многих банков банкоматы расположены в закрытых помещениях с замком, который можно открыть, проведя любой картой через магнитный картридер. Обычно картридер не считывает данные с карты, а проверяет только наличие магнитной полосы в принципе.
Это сделано для того, чтобы в помещение банкомата (обычно теплое и достаточно комфортное для временного нахождения) не проникали случайные посетители и посетители не имеющие цели использовать банкомат (бывали случаи использования банкоматного помещения для ночлега и совершения "действий не финансового характера"). Мошенники устанавливают на картридер для входа скимминговую накладку и считывают информацию с карт входящих клиентов. Также рядом с картридером может прикрепляться клавиатура для ввода ПИН-кода.
Через некоторое время мошенник снимает скиммер с банкомата, записывает дамп карты на любую карточку с магнитной полосой и используя ПИН-код, полученный с клавиатуры, либо видеокамеры снимает наличные через другие банкоматы.
Считанные с карт дампы, могут также использоваться для изготовления клонов карт. Если ПИН-код мошенникам не известен, покупки совершаются с использованием "белого пластика" в магазинах при сговоре с кассиром, либо путем изготовления мошеннической карты.
Мошенники не редко пересылают дампы карт для изготовления подделок и обналичивания в другие страны. Это делается с целью усложнения расследования подобных прецедентов и переноса ответственности по мошенничеству на банки (ведь клиенту легче доказать, что он не совершал операцию, если карта при нем и в заграничном паспорте нет отметок о посещении станы, в котором произошло несанкционированное списание средств).
Борьба со скиммингом в банкоматной сети
В борьбе со скиммингом, банки обычно используют три технологии - физический мониторинг, пассивный антискимминг и активный антискимминг.
Физический мониторинг банкоматов
Включает в себя периодический осмотр банкомата сотрудниками банка, инкассаторами, либо специалистами сервисной службы на аутсерсинге. Осмотр обычно производится по граффику с заполнением специального журнала проверок, чтобы в случае нахождения инородного устройства выявить промежуток времени в течение которого был риск компрометации карт. Физический мониторинг может казаться самым дешевым, однако в пересчете на потраченное время сотрудников и вероятность мошенничества между проверками, по факту оказывается самым ненадежным и дорогим способом борьбы со скиммингом.
Пассивный антискимминг
Банк устанавливает на щель картоприемника специальные антискимминговые накладки, препятствующие установке посторонних устройств. Накладка может быть подключена к специальному датчику, который срабатывает в случае попытки мошенника снять антискиммер с банкомата. Датчик может состоять из обычных проводов, которые рвутся при снятии антискиммера с банкомата, либо пары магнит+геркон (при котором контакты геркона реагируют на удаление антискимминговой накладки со встроенным магнитом). При этом, в процессе удаления антискиммера, наличие герконовой пары мошенник может не заметить, что повышает шансы его поимки.
Изображения 5, 6, 7 Антискимминговые накладки на банкомате
Недостаток пассивного антискимминга в том, что многие держатели карт, начитавшись и насмотревшись страшилок про банкоматное мошенничество, увидев постороннее устройство боятся (и кстати вполне оправданно) пользоваться таким банкоматом.
Частично успокоить держателей карт удается разместив на экране банкомата, или на специальной наклейке под картоприемником изображения правильного вида картоприемника. К сожалению не все держатели карт бдительны, а технологии, применяемые мошенниками позволяют изготавливать скиммеры настолько высогого качества, что отличить скиммер от антискиммера порой не могут даже сотрудники банков. Попробуйте отличить антискимминговую накладку от скиммера на изображениях 2 и 5.
Пассивный антискимминг - это бюджетный, компромисный, но не лучший вариант борьбы со скиммингом.
Активный антискимминг
Это самый дорогой, но эффективный способ борьбы со скиммингом. Устройство устанавливается внутри банкомата и незаметно снаружи. Активный антискиммер контролирует пространство перед банкоматом и позволяет моментально выявить несанкционированную установку на него посторонних устройств. Антискиммер может также создавать радиопомехи в области щели картоприемника, препятствующие работе посторонних электронных устройств.
Датчики антискиммера позволяют анализировать электромагнитное поле в зоне размещения картридера, ПИН-клавиатуры и монитора и в случае резкого изменения напряженности поля (включения излучающих устройств при радиопередаче, установка постороннего оборудования), устройство подает команду на управляющий блок банкомата, который выводит банкомат из режима обслуживания клиентов и может выполнять дополнительные действия (отправка команды, SMS, оповещение службы охраны и мониторинга и т.д.).
| Функции | Пассивный антискиммер | Активный антискиммер |
|---|---|---|
| Защита от установки скиммера |
|
|
| Защита от передачи данных | нет |
|
| Защита от захвата карты | Физическая помеха установки ливанской петли |
|
| Защита от захвата денег | нет |
Определение денежной ловушки |
| Мониторинг состояния банкомата | Контроль состояния электроцепи датчиков |
Множество различных вариантов |
Как уберечься от скимминга
Т.к. банки борются со скиммингом не всегда достаточно успешно, держателю карты необходимо самостоятельно принимать меры к безопасности своей карты. Задачи просты:
Конкретные способы защиты:
В столице участились случаи мошенничества на банкоматах. Преступники устанавливают на щели картоприемников специальные устройства - скиммеры, которые считывают данные банковских карт. Только за последний месяц было выявлено не менее 5 подобных преступлений. Эксперты уверяют, что технические средства кражи денег с карточек совершенствуются, а география преступлений расширяется. «МК» выяснил, какие новые способы мошенничества придумали злоумышленники, ворующие чужие банковские данные.
| фото: Геннадий Черкасов |
Основная мошенническая схема работает просто: злоумышленники устанавливают на картоприемник банкомата специальное считывающее устройство - скиммер, который распознает информацию с магнитной ленты карты. На клавиатуру банкомата крепится накладка, запоминающая пин-код, который вы вводите. Иногда вместо накладки к банкомату прикрепляют небольшую видеокамеру. Устройства маскируют так, что распознать их практически невозможно. После того как вы воспользуетесь таким банкоматом, данные вашей карточки остаются у злоумышленников, и через какое-то время с нее начинают пропадать деньги.
Жертвой подобной махинации стал 35-летний Кирилл, обратившийся в «МК». По иронии судьбы, Кирилл работал в банковской сфере и о скимминге знал очень многое. Перед тем как снять деньги, он выбирал самые безопасные банкоматы, только при отделениях банка, и тщательно их осматривал. Кроме того, он завел себе чиповую карту, думая, что она защитит от махинаций. Но Кирилл все равно попался. Однажды ему срочно понадобились наличные, и он воспользовался одним из уличных банкоматов. «Скиммер был настолько совершенен технически, что даже я ничего не заметил», - рассказал Кирилл. Вскоре с его счета стали пропадать деньги: «Через мобильный банк мне пришли два сообщения о снятии денег - первое, пробное, на 1000 рублей, а потом преступники стали снимать по максимально доступной сумме в стороннем банкомате - по 7500 рублей». Банк вернул Кириллу украденные деньги только через два с половиной месяца.
Кирилл - одна из жертв активизировавшихся мошенников. Не проходит и недели, чтобы не обнаружили скиммер на банкомате. 16 октября замаскированное устройство нашли в Новогирееве в холле отделения банка. 10 октября полицейские задержали двух нанятых гастарбайтеров, которые пытались прикрепить скиммер к банкомату на Якиманке. 5 октября скиммер с банкомата в вестибюле станции метро «Павелецкая» сняла бдительная прохожая. Неделей ранее считывающее устройство было обнаружено и на улице Каховке.
По данным банковской Ассоциации российских членов Europay, за прошлый год в России было зафиксировано 140 установок скиммеров, половина из них - в Москве. В России общие потери от мошенничества по банковским карточкам выросли на 70% за первое полугодие 2011 года и могут достигнуть 2,4 миллиарда рублей, оценивает объемы мошенничества начальник сектора департамента безопасности Газпромбанка Николай Пятиизбянцев.
«Сегодня в России скимминг переживает второе рождение. Во многом это связано с ростом объемов использования пластиковых карт: если раньше карточками расплачивались в мегаполисах, то теперь банкоматы крупных банков устанавливают в провинции. А там люди менее грамотные и не знают еще о том, как уберечься от скиммера», - рассказал «МК» Илья Сачков, генеральный директор компании, занимающийся расследованием киберпреступлений.
Вот несколько фото, которые наглядно демонстрируют – как может выглядеть банкомат до и после установки скиммера. |
|
|
| Левое фото : Банкомат до установки скиммера. На правом -- скиммер установлен, и никаких подозрений не вызывает |
|
|
|
Пин-код можно «засечь» с помощью миниатюрной видеокамеры, установленной возле банкомата. |
|
|
|
На этот банкомат поверх клавиатуры мошенники установили специальную накладку, копирующую настоящую. А еще и скиммер. |
|
|
|
|
| Если позволяет конструкция банкомата, то накладка со скиммером могут являться одним блоком, покрывающим соответствующую часть банкомата. |
«Если раньше мошенники работали в одиночку, то теперь кражей данных занимаются целые преступные группы», - предупреждает руководитель пресс-службы управления «К» МВД России Лариса Жукова. Она напомнила громкую историю этого лета, когда сотрудники управления «К» задержали двух представителей международного синдиката кардеров (людей, которые занимаются похищением денег с карт и подделкой карт). Мошенники разъезжали по миру, обменивались опытом и данными «пробитых» карточек, зачастую обналичивали денежные средства в других странах, чтобы замести следы. «Бандиты - иностранец и житель Подмосковья - устанавливали скиммеры на столичные банкоматы совершенно беспрепятственно. Прохожие думали, что это работают представители технической службы», - рассказывает Лариса Жукова.
Заметить вредоносное приспособление на банкомате становится все сложнее. «Идет технологическая эволюция скиммеров - они все более незаметны и малы в размерах. Кроме того, злоумышленники стали пользоваться беспроводными стандартами связи. Такой скиммер самостоятельно передает похищенные данные мошенникам, и им не нужно возвращаться к банкомату, чтобы установленное устройство снять. Увеличивается время автономной работы и разрешающая способность цифровых камер, которые используются для хищений PIN-кодов», - говорит Илья Сачков.
Иногда в СМИ появляются слухи о революционно новых устройствах, например, о скиммерах под названием шиммеры. Это сверхтонкие (тоньше человеческого волоса) гибкие чипы, которые вставляются в картоприемники. Сообщается о тепловизорах - специальных инфракрасных камерах, которые позволяют считывать пин-код. Однако эксперты назвали это все теоретическими изысканиями. «Реальных устройств на практике встречать не приходилось. При каждой инкассации производится проверка банкоматов на наличие скиммеров. Это означает, что в большинстве случаев скиммер будет обнаружен и изъят, а терять такое дорогое устройство с тепловой камерой весьма накладно. Злоумышленникам проще за эту сумму установить 10 обычных скиммеров», - рассказывает Илья Сачков.
От раздутых слухов страдают даже сами мошенники: «В Интернете стали появляться сообщения о том, что продается шиммер. Я купил, потратил 40 тысяч, оказалось - деньги на ветер», - пожаловался «завязавший» кардер.
Впрочем, дорогие и технически продвинутые устройства мошенникам сейчас ни к чему: деньги с чужих карточек можно добыть и более простыми способами. «Скимминг умер! Только дурачки продолжают им заниматься, которые не понимают сроков, которые им грозят! Сейчас много усиленных мер против такого вида кардинга, и рентабельность его почти нулевая», - признаются сами мошенники. Участившиеся случаи поимки кардеров они объясняют недавними облавами.
На смену скиммерам пришли т.н. мини-ридеры. Потенциальные жертвы - люди, которые любят расплачиваться в барах, ресторанах, на кассе своими кредитными картами. Официант, получив карту, проводит ее через свой мини-ридер, считывая информацию магнитной ленты, и дает ввести пин-код клиенту. Пин-код подсмотреть легко по неосторожности самого карт-холдера, который вводит его у всех на виду. По данным Николая Пятиизбянцева, через POS-терминалы (или так называемые «карты оплаты») проходят почти 60% мошеннических транзакций.
Более того, чтобы похитить деньги с вашей карточки, теперь даже не обязательно знать пин-код. «Для проведения платежа, например в Интернете, достаточно знать только ту информацию, которая присутствует на самой банковской карте: ее номер, срок действия, ФИО владельца и CVV\CVC2 код. Даже официант в ресторане, просто сфотографировав карту, уже может совершить покупку в Интернете за чужой счет», - предупреждает Сачков. Способ мошенничества, когда «свой» человек специально для кражи денег устраивается на работу в банк, кафе, сейчас весьма актуален.
«Все операции с вашей пластиковой карточкой должны производиться только у вас на глазах. Никому не позволяйте куда-либо карту уносить и пользоваться ею без вашего ведома, например, при оплате чеков в кафе», - предупреждает Лариса Жукова. Единственное, что может утешить, - юристы банков утверждают, что оспорить несанкционированную интернет-транзакцию или транзакцию с подписью на чеке намного проще, чем снятие денег с использованием пин-кода.
По-прежнему актуальны и прочие способы интернет-преступлений. «Зараженный „трояном“ компьютер может считывать и сохранять данные банковских карточек пользователей, которые ими расплачиваются через Интернет, - поясняет „МК“ Лариса Жукова. - Например, пользователь оплачивает банковской карточкой счета ЖКХ, а все деньги при помощи специальных программ автоматически переводятся на счет злоумышленников». Иногда преступники обзванивают держателей карт, представляясь работниками банка, и просят им под любым предлогом сообщить какие-либо данные, а также пин-код. «Вашего пин-кода не знают даже сотрудники банка. Если банк и проводит какие-либо операции, где требуется ваш пин-код, вас попросят прийти лично в кредитное учреждение», - предупреждает Жукова.
Юлия Чернухина
Справка "МК"КАК УБЕРЕЧЬСЯ ОТ СКИММИНГА:1) Старайтесь использовать банкомат, располагающийся внутри отделений банков. Избегайте банкоматов, установленных на окраине города или без логотипа банка. 2) Если банкомат кажется вам подозрительным, воздержитесь от его использования. Например, на банкомате над щелью картоприемника может что-то выступать, банкомат может «подвисать», клавиатура может быть выпуклой и необычной формы. 3) Желательно подключить в банке СМС-уведомления об операциях по карте - тогда вы быстрее сможете узнать, что деньги со счета списали без вашего ведома. Чем скорее клиент уведомит банк о несанкционированном списании средств, тем больше у него шансов получить деньги обратно. 4) Установите лимит суточного снятия наличных по карте: это убережет от снятия мошенниками суммы сверх этого лимита. 5) При вводе пин-кода не стесняйтесь максимально закрывать клавиатуру. Не всегда мошенники используют фальшивые накладки на клавиатуру - чаще пин крадут с помощью миниатюрной видеокамеры, установленной на банкомате или рядом с ним. Никому ни под каким предлогом не сообщайте свой пин-код. 6) Если в банкоматах вашего банка есть опция «Сменить пин-код карты», то после использования карты в сомнительном месте лучше ею воспользоваться. |
Страшно даже думать о том, что преступники поджидают людей именно в тот момент, когда они снимают свои тяжко заработанные фунты. Но именно поэтому так важно знать, чего стоит опасаться при снятии наличных.
Сегодня нужно постоянно остерегаться мошенников – будь то электронные сообщения, социальные сети или звонки он незнакомцев. Кроме того, осторожность не помешает и при использовании банкоматов, так как всегда найдутся желающие украсть чужие банковские данные, а вместе с ними и все средства на счетах.
Но знаете ли вы точно, чего остерегаться? Как выглядят мошеннические устройства?
Если клавиатура кажется слишком широкой или неплотно закрепленной на устройстве, тогда есть вероятность того, что она фальшивая. Фальшивые накладки на клавиатуру и скиммеры дают мошенникам возможность мгновенно узнавать ваш PIN, который они получают по wifi.
Скиммер coc т o ит из мини a тю p н o г o п peo б pa з o в a т e ля инф op м a ции, н a к o пит e ля и c читыв a ющ e й м a гнитн o й г o л o вки. C кимм ep , к a к п pa вил o , выглядит к a к н a кл a дк a н a к ap д p ид ep б a нк o м a т a , п o д xo дящ a я e му п o цв e ту и ф op м e .
Скиммеры считывают информацию с карты в тот момент, когда вы всовываете ее в кардридер. Поэтому в тoт мoмeнт, кoгдa вы вcoвывaeтe кapту в кapдpидep, пoдвигaйтe, пoвoдитe eю из cтopoны в cтopoну. Cкиммep нe paccчитaн нa пoдoбныe дeйcтвия жepтвы, и eму нужнo, чтoбы кapтa ввoдилacь плавно и poвнo. B пpoтивнoм cлучae oн нe cмoжeт cчитaть данные вepнo.
Шaнcы cтaть жepтвoй мoшeнничecкoгo cкиммepa вoзpacтaют нa выxoдныx, тaк кaк людям труднее cooбщить o пoдoзpитeльнoм бaнкoмaтe в бaнк. Чacтo пepeд пoнeдeльникoм мoшeнники cнимaют cкиммepы c бaнкoмaтoв, пoлучив дoбычу нa выxoдныx.
Скрытые камеры также фиксируют ваши PIN и детали карты, давая преступникам возможность позднее клонировать ее. Защититься от камеры не так уж сложно. Однoй pукoй нужнo пpикpывaть клaвиaтуpу, кoгдa ввoдитe cвoй PIN. Ecли вaм этo нeудoбнo, прикройтесь cумoчкoй или бумaжникoм, чтобы камера, даже если она есть на банкомате, ничего не смогла заснять.
Осмотрите его на предмет трещин. Чтобы установить внутри сканер, мошенники могли его разобрать. Делая это впопыхах и непрофессионально, они могли оставить на нем трещинки.
Кардридер тоже может казаться выпирающим или неплотно прикрепленным к банкомату. Просто запомните, что мошенническое устройство всегда будет выделяться, так как не относится к стандартным деталям банкомата. Например, на кардридеры преступники часто ставят "ливанские петли". Этo плacтикoвoe уcтpoйcтвo c зубчиками, кoтopoe удepживaeт кapту в aвтoмaтe, наталкивая вас на мысль, будто карту "cъeл" бaнкoмaт. Ecли бaнкoмaт проглотил вашу карту, нe oтxoдя oт бaнкoмaтa cвяжитecь c бaнкoм, тaк кaк вaм пpидeтcя ee зaблoкиpoвaть. Taкжe в тeчeниe пocлeдующиx нeдeль следите за своими счетами нa пpeдмeт пoдoзpитeльнoй aктивности.
Некоторые преступники наглеют до такой степени, что копируют чуть ли не половину всего банкомата. Слишком большая накладка на банкомате может скрывать за собой как камеру, так и скиммер.
Даже гнездо для наушников может натолкнуть вас на мысль о том, что на банкомате установлено мошенническое устройство. Если гнездо чересчур утоплено внутрь машины или выглядит скорее как инородное тело, возможно, что банкомат разбирали.
Если вы полагаете, что стали жертвой мошенничества, сообщите в Action Fraud, позвонив по номеру 0300 123 20 40 или посетив сайт
12.03.15 371 176 8
Бывает так: вы оказались в незнакомом месте без денег. Видите в переулке банкомат. Снимаете наличные. Спустя несколько недель приходит смс: некто в Кейптауне тоже снимает деньги с вашей карты.
издатель
Вы звоните в банк, блокируете карту, но деньги уже сняты. Вернут их или нет - зависит от банка. Придется разбираться и тратить время. Возможно, придется звонить в полицию Кейптауна.
Это называется скиммингом: мошенники крадут данные карты, потом делают дубликат и обналичивают деньги. Опасность кроется прямо здесь:
Чтобы своровать содержимое карты, мошенникам нужно скопировать две вещи: магнитную полосу на карте и пин. Для этого у них в арсенале три устройства.
Скиммер. Это самодельный считыватель магнитной ленты. Мошенники прикрепляют его к картоприемнику банкомата. Иногда скиммер маскируют так хорошо, что распознать его не может даже сотрудник банка.
Скрытые камеры. Мошенники крепят их на банкомат или прячут где-то возле. Миниатюрная камера направлена на клавиатуру банкомата и записывает, как клиенты вводят пин. Отличить камеру непросто, ведь их ставит и служба безопасности банка.
Накладная клавиатура. Мошенники устанавливают на банкомат поддельную клавиатуру поверх оригинальной. Поддельная запоминает все, что вы набираете, и передает нажатия на настоящие клавиши. Банкомат реагирует на нажатия как обычно, поэтому подмену заметить сложно. Потом преступники забирают накладку, расшифровывают запись и узнают пин.
Перед тем как вставить карту, осмотрите банкомат. Ищите подозрительные признаки.
Накладки на картоприемник. Если на банкомате установлен скиммер, то карта сначала проходит через специальный считыватель, а потом попадает в обычный картоприемник. Посмотрите, нет ли такой накладки на щели, в которую вставляется карта:
Если на банкомате стоит антискимминговая накладка (полупрозрачная штука из пластика), попробуйте качнуть или повернуть ее. Настоящая будет намертво прикреплена к банкомату. Поддельная люфтит, отходит и шатается.
Обычно мошенники монтируют шпионские устройства на несколько часов, потому что боятся проверок инспекторов. Поэтому они используют простые способы крепления: скотч, клей, честное слово.
Фальшпанели и черные точки. Мошенники делают поддельные панели, монтируют в них видеокамеры, а потом незаметно крепят к банкомату: на диспенсер для денег, под козырек или под экран. Есть случаи, когда камеру прятали в стенде для рекламных брошюр того же банка:
Не стесняйтесь изучить поверхность банкомата. Потрогайте панели. Обычно фальшивые держатся плохо. Если что-то шатается, изучите деталь поближе.
Плохой сигнал - если на ровной поверхности встретилось миниатюрное углубление, которое издалека выглядит как черная точка. Присмотритесь: возможно, это глазок видеокамеры.
Выпуклая или отличающаяся по тону клавиатура. У мошенников не всегда есть возможность покрасить фальшивые запчасти в цвет банкомата. Несовпадение по цвету и тону легко заметить.
Чаще всего лжеклавиатуру садят на клей или двусторонний скотч. Поэтому при наборе клавиш ощущается небольшой люфт. Накладка отходит от банкомата:
Если клавиатура отличается по фактуре, выпирает или шатается, попробуйте поддеть ее ногтем. Если банкомат атакован мошенниками, под накладкой вы увидите настоящую клавиатуру.
Если банкомат старый, со сколами и затертыми панелями, а клавиатура выглядит как новая - это тоже плохой знак. Не бывает, чтобы банки меняли клавиатуру отдельно от корпуса банкомата.
Со скиммерами можно никогда не столкнуться, если следовать нескольким правилам.
Нет: незнакомые банкоматы. Старайтесь снимать деньги в одном банкомате. Идеально, если вы запомните, как он выглядит (особенно клавиатуру и картоприемник).
Нет: уличные банкоматы. Там мошенникам проще установить считыватель или записать на камеру, как вы набираете пин.
Нет: банкоматы в темных местах . Даже если банкомат находится в помещении, недостаток света - это плохо. Можно не заметить подозрительных деталей. Если выбора нет, включите фонарик на телефоне и осмотрите банкомат.
Да: антискимминговые накладки. Банки воюют с карточными мошенниками. Например, ставят на банкоматы антискиммеры - специальные защитные накладки, которые мешают прикрепить считывающее устройство:
Ирония в том, что сначала антискиммеры были очень похожи на сами скиммеры. Люди запутались, поэтому сегодня антискиммеры делают из прозрачного пластика. Это помогает клиенту увидеть: внутри картоприемника нет сканеров, проводов и плат.
Впрочем, мошенники научились маскировать скиммеры под антискиммеры. Тут поможет тот же рецепт: не стесняться пошевелить картоприемник перед тем, как вводить карту.
Да: банкоматы внутри отделений . Их лучше охраняют и чаще проверяют безопасники банков. К тому же в отделениях всегда много банкоматов: обклеить скиммерами каждый - слишком накладно для мошенников. В то же время преступники иногда специально атакуют именно отделения, ведь людям кажется, что там им ничего не угрожает.
Да: «крылья» для клавиатуры. Такие банкоматы затрудняют установку лжеклавиатур и почти полностью исключают возможность записи ввода пина на скрытую камеру:
Да: банкоматы с джиттерами. Джиттер - это накладка на картоприемник, которая заставляет карту вибрировать при вводе. Если банкомат снабжен джиттером, то, скорее всего, мошенники обойдут его стороной: дрожание не позволит им корректно скопировать магнитную ленту на карте. Без этого вся схема становится бессмысленной.
Правда, с джиттерами есть проблемы. Во-первых, на большинстве банкоматов их нет. Во-вторых, понять, что на банкомате стоит джиттер, нельзя, пока вы не вставите карту. Но можно сначала протестировать незнакомый банкомат с помощью какой-нибудь дисконтной карты. Если она вибрирует при вводе, значит, банкомат безопасный.
Протестировать банкомат - это лишнее действие, но оно может сохранить вам и тысячу рублей, и пять, и пятьдесят. Помните: чтобы данные карты попали к мошенникам, достаточно один раз воспользоваться зараженным банкоматом.
Осторожно: банкомат в офисе или торговом центре. Скиммерам сложнее к ним подобраться. Но есть случаи, когда мошенники подкупали охрану, а те направляли камеры внутреннего наблюдения на банкомат. Потом видеозаписи передавались мошенникам и они подсматривали пины. Всегда прикрывайте клавиатуру рукой.
Осторожно: замки при входе в отделение банка. У многих банков есть отделения с магнитным замком. Войти туда можно с помощью любой карты с магнитной полосой. Иногда мошенники ставят скиммеры прямо на замок. Бороться с этим просто: заходите по дисконтной карте.
Иногда мошенники вешают на внешний замок клавиатуру для ввода пина. Тут тоже просто: если на входе от вас требуют что-то вводить, это точно мошенники - причем отчаянные. Банки никогда не попросят вас ввести пин при входе в отделение.
Осторожно: туристические районы за границей. Когда мы путешествуем, мы не знаем, как выглядят банкоматы зарубежных банков, поэтому обмануть нас проще. Мошенники этим пользуются. Будьте внимательнее, особенно в Азии: азиатское скимминговое кунг-фу не знает равных.
Прикрывайте руку свободной рукой, когда вводите пин. Иногда преступники не ставят камеры и накладные клавиатуры, а просто нанимают людей, которые подсматривают, как вы набираете пин:
Перейдите на чипованную карту. Наличие чипа не обезопасит вас на 100%. Чип действительно сложно скопировать. Но его считывает банкомат, а в России далеко не все банкоматы это умеют. Мошенники знают, где найти банкоматы устаревшего образца и снимают наличные по магнитной полосе. Чипы понижают риск, но не сводят его к нулю.
Поставьте лимиты. Ограничьте в интернет-банке выдачу наличных. Мошенники не смогут снять всю сумму за один раз.
В интернет-банке это делается так:
Мы все привыкли к словосочетанию «технический прогресс». Уже довольно много лет назад смена поколений всевозможных устройств и гаджетов стала таким же привычным явлением, как смена времён года. И никого не удивляет, по большей части. Мы привыкли, к метаморфозам мобильных телефонов, домашних телевизоров, компьютерных мониторов, теперь вот подтянулись часы и даже очки. Однако есть некий немногочисленный класс устройств, о которых многие слышали, их опасаются, но в живую видели единицы. Речь идёт о скиммерах.
В России банкоматы до сих пор не столь распространены, несмотря на 23 года официального капитализма. Но даже у нас скиммеры стали некой городской страшилкой. И мало кто задумывается, что эти устройства, использующие высокотехнологичные компоненты, тоже со временем эволюционируют. И потому особый интерес представляет недавно опубликованный материал, в котором наглядно представлены этапы «модернизации» скиммеров, вплоть до современных новейших разработок криминальных умельцев.
По сути своей, скимминг представляет собой способ кражи некой информации, необходимой для осуществления транзакции с банковского счёта с целью хищения денежных средств. Говоря по простому, чтобы снять через банкомат деньги со счёта вашей банковской карты, мошенникам нужно узнать ваш PIN-код и считать данные с магнитной полосы. И для этого используются устройства самых разных конструкций и принципов действия - скиммеры.
Скиммеры изготавливаются так, чтобы быть как можно незаметнее для пользователей банкомата. Зачастую они мимикрируют под какой-то элемент интерфейса или внешнего оформления. Это сильно затрудняет не только обнаружение скиммеров, но и поимку самих злоумышленников. И за последние 12 лет скиммеры претерпели серьёзные метаморфозы. По крайне мере, если судить по тем образцам, которые были обнаружены за этот период.
В декабре 2002 года CBS сообщила об обнаружении невиданного ранее устройства, которое могло «записывать имена, номера счетов и прочую идентификационную информацию с магнитных полос банковских карт, с возможностью последующей загрузки в компьютер.» Персональный компьютер!
В то время даже законники считали, что скиммеры были фантастикой. Когда прокурор Говард Вайс, специализирующийся на мошенничествах, сам стал жертвой скимминга, он был шокирован тем, что технологии достигли такого уровня.
Конечно, полное игнорирование фактов долго не продлилось. В 2003 году покупатели, пользовавшиеся банкоматом в одном нью-йоркском гастрономе, потеряли за день суммарно около 200 000$. В последствии в сети начало ходить предупреждающее письмо:
В этом году в полицию города Нейплс (Naples) поступил звонок о неудачной попытке размещения скиммера:
Это довольно примитивное устройство состояло из считывателя, который можно было купить совершенно легально, установленного поверх картоприёмника банкомата. А под пластиковым козырьком над монитором была установлена маленькая камера.
Первые поколения скиммеров представляли собой довольно примитивные поделки. Ниже представлена одна из конструкций, включающая в себя батарейку, флешку и порт miniUSB.
Этот скиммер обнаружил один из читателей сайта Consumerist. Бдительный пользователь заподозрил неладное, дёрнул картоприёмник и к нему в руки вывалилось это .
Меньше чем через месяц был обнаружен другой скиммер, который не позволял банкомату корректно считывать карты и включал в себя фальшивое зеркало, в которое была встроена камера.
В то время для мошенников ключом к успешному скиммингу было найти способ получения украденной информации со скиммера:
Многие годы в скиммерах использовались камеры для кражи PIN-кодов. Но их было не так просто незаметно разместить на банкомате. В результате появились накладные клавиатуры, которые записывали последовательность нажимаемых клавиш:
С развитием технологий, мошенникам становилось всё легче создавать компактные устройства. Развились и подешевели услуги аутсорсингового производства. В интернете начали продавать целые наборы для скимминга, которые могли быть по запросу покрашены в нужные цвета. Цены начинались от 1500$.
Но это лишь набор начального уровня. Топовые устройства уходили за 7000-8000$:
Не все наборы были такими дорогими. Многие представляли собой готовые к использованию модули, которые мошенники устанавливали на банкоматы, а через некоторое время собирали с них собранные данные. Главным недостатком этих устройств была необходимость возвращаться за ними, чтобы забрать информацию.
Ниже представлен скиммер с функцией беспроводной связи, способный передавать информацию через сотовый модуль. Сам скиммер очень компактен, собранные данные передаёт в зашифрованном виде.
Продвинутые скиммеры вроде этого делали труд скиммеров менее опасным, снижая вероятность быть пойманными с поличным.
В конце концов, производители банкоматов начали что-то делать для противодействия скиммингу. Во-первых, начали внедрять элементы из прозрачного пластика, в частности, полусферические картоприёмники. Но злоумышленники быстро к этому приспособились:
Как видите, заметить подставу можно лишь по небольшой малозаметной пластиковой накладке. Многие ли из вас обратили бы на неё внимание? А вскоре доступная 3D-печать вывела качество скиммеров на новый уровень:
Домашние модели 3D-принтеров были ещё малопригодны для этих целей, и детали заказывались на стороне в специализированных компаниях. Выше приведён один из таких заказов, которые производитель осмотрительно отказался выполнять.
Обнаружение скиммеров становилось всё более сложной задачей. Ниже показано почти совершенное устройство. Единственный недостаток заключается в маленьком отверстии справа, через которое маленькая камера снимала набираемые на клавиатуре PIN-код.
В конце концов скиммеры стали такими миниатюрными, что вы их не увидите, даже если очень постараетесь. По данным Европейской группы по обеспечению безопасности банкоматов (European ATM Security Team), в июле 2012 были обнаружены скиммеры толщиной с лист тонкого картона. Они помещались внутрь картоприёмника, и заметить их снаружи невозможно.
Теперь ваши карты могут просканировать не только в банкоматах, но и в мобильных терминалах. В ролике показано устройство, даже печатающее фальшивый чек:
Теперь любой сотрудник может подключить принесённое с собой устройство, а в конце рабочего дня унести его, наполненным данными с большого количества банковских карт. Функционал этих терминалов позволяет даже имитировать ошибку соединения, когда данные успешно считаны. В комплекте с ними поставляется и ПО для дешифровки информации с карт, а все данные можно скачать через USB.
В прошлом году на сети заправок Murphy в Оклахоме был зафиксирован ряд случаев скимминга, когда суммарно было похищено 400 000$. мошенники использовали считыватели в комбинации с накладными клавиатурами:
Интересное в этой истории то, что скиммеры были оснащены Bluetooth-модулями, а питание получали прямо от самих банкоматов. Иными словами, срок их службы был практически не ограничен, и непосредственного визита мошенников для сбора данных не требовалось.
Пока одна «эволюционная ветвь» скиммеров пришла к миниатюризации, другая пошла по пути радикальной мимикрии. Нижеприведённый скиммер представляет собой огромную накладную панель с дисплеем. В «дикой природе» этот образец был обнаружен в Бразилии:
Устройство было изготовлено из деталей разобранного ноутбука.
Но это можно отнести скорее к курьёзам, либо к особенностям горячего бразильского характера. Всё-таки компактные скиммеры имеют куда больше шансов остаться незамеченными. И буквально на прошлой неделе был обнаружен вот такой вот скиммер толщиной с кредитную карту:
Устройство требует очень мало времени на установку и демонтаж в банкомат:
К счастью, производители тоже не сидят сложа руки, в частности, используя знания и опыт пойманных хакеров для борьбы с мошенниками. Но они быстро адаптируются, так что эта ситуация напоминает борьбу снаряда и брони.
А что делать нам, обычным пользователям? Как не стать жертвой мошенников и сохранить свои кровные? Всегда. всегда прикрывайте клавиатуру во время набора PIN-кода: в большинстве случаев мошенники используют миниатюрные камеры. А если вы используете карту системы Chip-and-pin, то злоумышленникам не так просто считать с неё данные.
И самое главное, если вас хоть что-то настораживает в облике банкомата, лучше воспользуйтесь другим. Старайтесь использовать банкоматы только в отделениях банков, это существенно снижает риск. Ну, и старайтесь не хранить много денег на «карточном» счёте.
