Один из видов мошенничества с пластиковыми картами является скимминг
, при котором используется скиммер - инструмент злоумышленника для считывания, например, магнитной дорожки кредитной карты. Скиммер
представляет из себя устройство со считывающей магнитной головкой, усилителем-преобразователем, памятью и переходником для подключения к компьютеру. Скиммеры могут быть портативными, миниатюрными. При помощи электронного устройства (скиммера), устанавливаемого на банкоматы для считывания информации с кредитных карт, проходящих через эти банкоматы, а также накладной клавиатуры или мини-камеры мошенник получает доступ к карточному счету жертвы и может снимать с него любые суммы.
Современные скиммеры очень малы. Например, скиммеры, которые используются в ресторанах (и не только), раза в два меньше небольшого сотового телефона, могут одновременно хранить данные сотен магнитных полос.
Когда официант берет карту и уносит ее, чтобы сделать платеж, он может незаметно провести ею по скиммеру, спрятанному в руке. Бывают плоские скиммеры, которые вообще незаметны и просто кладутся в папку со счетом. Наиболее часто скимминг используется мошенниками при снятии клиентом денег через банкомат.
Немного теории: как устроена кредитка.
Кредитная карточка - это пластиковый прямоугольник с нанесенными на нем:
Изображением
Голограммой
Полосой с подписью
Иногда - фотографией владельца
Магнитной полосой (и чипом, что не столь принципиально)
Изображение, голограмма, подпись, фотография - служат для определения идентификации карты в магазинах, банках, или пунктах обслуживания. Нас же интересует система банкоматов или интернет-торговли, где эти данные не учитываются.
На магнитной ленте (или чипе) записаны два набора цифр. Первый - копия того, что указано на карте (фамилия, номер, срок действия (expiriency date). Второй - некий шифр, образованный по некоему алгоритму из этих данных. (CVV - card verification value или CVC - card verification code). Этот цифровой код называется CVV1/CVC1.
В онлайн-торговле вообще принимается во внимание только номер и код. Это три цифры, которые нанесены на обратной стороне карты, и называются они CVV2/CVC2.
Банкомат при считывании карты принимает во внимание только вторую дорожку. По ней он и идентифицирует владельца карты (точнее, банкомат передает этот код и получает данные от сервера банка) и принимает решение о выдаче денег или приеме оплаты.
Суть скимминга в том, что преступник "модернизирует" банкомат электронным устройством, которое считывает информацию с карточки потенциальной жертвы (оно называется скиммер). Вы можете не заметить этого, спокойно воспользовавшись услугами банкомата. А через некоторое время ваша банковская карта будет взломана и лишена всех денег, которые на ней хранились.
Как происходит кража информации с банковской карточки?
Скиммер копирует информацию, которая содержится на магнитной полосе пластиковой карты, и дает возможность мошенникам изготовить дубликат вашей карты. Помимо скиммера на банкомат устанавливается фальшивая клавиатура и/или скрытая камера для определения пин-кода.
Что такое скимминг-клавиатура и как ее опознать?
Во-первых, она может при тактильном контакте незначительно сдвигаться, во-вторых, возвышаться над поверхностью банкомата, в третьих, на панели банкомата могут остаться следы клея. С помощью такой клавиатуры копируется ПИН-код, который вы вводите для начала операций с картой.
Помимо ложной клавиатуры существуют еще как минимум два способа узнать ваш ПИН-код: подглядеть его, стоя у вас за спиной, или установить на банкомат небольшую видеокамеру, направленную на область клавиатуры.
Скимминг - накладки на гнезда банкоматов, которые считывают информацию с магнитной полосы карточки. Причем теперь их уже оборудуют сим-картами, с помощью которых они отправляют данные прямо на мобильный телефон мошенника. Иногда доходит даже до того, что преступники устанавливают на улицах целые фальшивые банкоматы, запрограммированные на снятие информации с карточек.
Как обезопасить себя от мошенничества - скимминга?
Скиммеры банковских карт – устройства, используемые злоумышленниками для воровства данных банковских карт при пользовании банкоматами и платежными терминалами. Эти устройства выглядят как накладки на кардридер, выполненные в соответствии с дизайном банкомата. Хоть скиммеры и «мимикрируют» под настоящие кардридеры, они достаточно громоздки – будучи внимательными, их сравнительно легко определить и снять с банкомата, что невыгодно для мошенников.
Долгое время для совершения краж из банкоматов злоумышленники успешно пользовались физическими накладками. Их эволюцию можно проследить от тонких накладок внутри банкомата, до огромных искусственных панелей, полностью эмулирующих фронтальную панель банкомата. Механика кражи максимально проста: на кардридер банкомата накладывается скиммер, с помощью которого злоумышленник считывает все данные с магнитной полосы. При этом одни скиммеры работают по принципу накопления считанной информации о пользователях, другие же сразу передают информацию о картах мошенникам по радиоканалу (на миниатюрное принимающее устройство или непосредственно на свою принимающую аппаратуру). Кроме этого, к банкомату крепится фальшивая клавиатура, нажимая на которую владелец кредитной карты передает в руки мошенников PIN -код. Еще одно средство получения информации, которым пользуются злоумышленники,─ скрытые видеокамеры, установленные неподалеку от банкомата.
Злоумышленникам далеко не всегда нужно узнавать сам PIN-код карты, так как основной дорожки магнитной банковской карты (Track2) достаточно для создания копии карты, которую часто можно использовать для оплаты в магазинах, POS-терминалах или при онлайн-платежах. Track2 содержит всю информацию о карте: PAN - номер карты, expiration date - срок ее действия, а также зашифрованный PIN-код.
Распространенность таких способов хищений привела к тому, что производители банкоматов и сторонние вендоры стали устанавливать активные или пассивные средства антискимминга, что позволяет эффективно бороться с воровством такого типа. Хотя кое-что антискимминговое оборудование все же пока не научилось определять: например, одну из самых незаметных накладок - ту, что стоит в шине между считывателем карт и компьютером банкомата и сохраняет у себя данные считаных карт.
Еще одной преградой для любителей физического скимминга стало введение уголовной ответственности за кражу данных карт в банкоматах. За незаконные действия преступникам теперь грозят наказания различного типа в зависимости от степени тяжести преступления (от штрафов до лишения свободы). Именно поэтому самые активные хакеры постепенно переходят на новый уровень.
Без контакта
Операции с картами в банкоматах зачастую предполагают передачу данных магнитной полосы Track2 в открытом виде. Например, если сетевое соединение между банкоматом и процессингом не защищено шифрованием, то украсть номер карты не представляет большой трудности: накладки, которые прослушивают трафик, передающийся от банкомата в процессинговый центр, организовать гораздо проще, чем вскрывать и модифицировать сам банкомат.
В этом случае, к примеру, не сработают системы видеонаблюдения в банкомате, контроля открытия сервисной зоны и другие средства физической защиты.
Хакеры изобрели вредоносное ПО , способное незаметно снимать данные карточек на протяжении месяцев. И это ненамного сложнее, чем атаки с использованием другого вредоносного ПО, которое, например, «заставляет» банкомат выдать все содержащиеся в нем купюры по специальной команде.
В целом есть определенная зависимость: чем сложнее грабить банкоматы, тем больше злоумышленники склоняются к «долгой игре» (которая сейчас характерна для APT-атак). Злоумышленник ставит перед собой задачу максимально долго оставаться незамеченным и все это время снимать карточные данные в банкоматах, которые в дальнейшем будут использоваться для мошеннических операций. К слову, по статистике, в России на один банкомат в течение квартала приходится более 6000 операций. Если принять каждую операцию за потенциальную возможность «съема» карточных данных, то нехитрые математические действия (умножение на число охваченных банкоматов и время присутствия в сети злоумышленника) позволят спрогнозировать весьма существенный объем скомпрометированных данных.
Используя методики социальной инженерии или другие атаки на периметр банка, хакеры запросто проникают в банковскую сеть: по нашей статистике, в среднем до трети сотрудников открывают письма с вложениями, способными заразить их компьютеры, и это при том, что для успешности атаки достаточно открыть одно-единственное письмо. В 47% случаев периметр организации можно преодолеть, используя уязвимости веб-приложений.
После проникновения во внутреннюю сеть банка злоумышленникам остается получить доступ к определенной подсети банковского процессинга, где находятся данные всей сети банкоматов. Там же можно узнать, какие из банкоматов могут быть не защищены от критических уязвимостей или работают без межсетевого экрана . Это позволит заразить любой банкомат и извлечь деньги из каждого из них в любой момент. По схожему сценарию произошло ограбление государственного банка GSB в Тайланде. Кстати, чтобы остановить попытки незаконного снятия денег со случайного банкомата, в этом конкретном случае пришлось отключить половину всей банкоматной сети (более 3000 устройств).
В октябре 2017 года в США осужден уроженец Иордании Атеф Альхатиб, который несколько лет занимался скиммингом. Разъезжая по городам Южной Калифорнии, он размещал на банкоматах устройства для считывания информации с магнитных полос карт, а также устанавливал скрытые видеокамеры в зоне видимости банкоматов – это позволяло ему узнавать PIN-коды. У себя дома преступник устроил мастерскую по изготовлению дубликатов скомпрометированных карт. За три года мужчина украл финансовую информацию более 13 тысяч клиентов Wells Fargo и других американских банков. Ущерб составил несколько миллионов долларов.
Зачастую скимминговые схемы реализует организованная преступность. Полиция Абу Даби в 2016 году арестовала четырех хакеров азиатского происхождения, которые похищали информацию о кредитных картах с использованием шпионских устройств. Общая сумма потерь собственников кредитных карт составила более миллиона эмиратских дирхам (порядка $270 тысяч). Следует отметить, что жертвы ранее размещали информацию о своих кредитных картах на электронных торговых площадках, что облегчило «работу» злоумышленникам.
Нередко преступным промыслом занимаются «гастролеры» - преступники из других стран. Например, индийская полиция в конце 2017 года задержала сразу две группы граждан Румынии. Приехав в Индию по туристическим визам, они не уделяли время изучению достопримечательностей и культуры, а занялись установкой скимминговых устройств. В результате более 1000 человек потеряли порядка 6,6 млн рупий (порядка $100 тысяч).
Помимо банкоматов, довольно популярные объекты для скиммеров – платежные терминалы на автозаправочных станциях. Так, группа мошенников из 12 человек была обезврежена в Колорадо. Они промышляли на АЗС нескольких штатов. Участники преступной группы успели скомпрометировать финансовые данные более 8 тысяч жертв, нанеся ущерб порядка $2,5 млн. Кроме того, выяснилось, что арестованные были вовлечены в международную сеть по отмыванию денег.
При посещении банкомата внимательно осмотрите его лицевую сторону на предмет наличия накладок на клавиатуру, на картоприемник и других подозрительных приспособлений. Набирая PIN-код, прикрывайте клавиатуру свободной рукой – так вы защитите свою финансовую информацию в том случае, если банкомат находится под наблюдением видеокамер мошенников. Старайтесь снимать деньги в банкоматах, расположенных в отделениях банков или в хорошо защищенных офисах. Как правило, скиммеры выбирают для своего промысла уличные терминалы. Также лучше воздержаться от оплаты картой на незнакомых заправках, в подозрительных кафе и магазинах.
С 2015 года возникла новая угроза – так называемые шиммеры . Это тонкие, практически незаметные устройства, располагаемые в самих кардридерах для считывания информации с чипованных карт в банкоматах. Шиммер - это тонкая «прокладка», которая располагается между чипом на карте и считывающим устройством чипов в банкомат или терминале – и записывает данные с чипа, когда их считывает терминал. Данные, собранные в ходе такой операции, не могут быть использованы для изготовления нового чипа, но их можно использовать для клонирования магнитной полосы карты.
Лазейкой, которая позволяет обходить такие механизмы защиты чипированных карт, как, например, iCVV (этот механизм обеспечивает защиту от копирования магнитной полосы карты и создания ее дубля), является тот факт, что процесс эмиссии чипированных карт в ряде банков до сих пор не полностью соответствует стандарту безопасности чип-карт, известному как EMV (Europay , Mastercard и Visa). Этой уязвимостью и воспользовались создатели шимминга.
«В зону риска для шиммеров попадают только те карты, чей банк-эмитент пренебрегает обязательной автоматической проверкой CVV при получении каждого запроса на оплату», - сообщает NCR Corp. «Все эмитенты должны провести проверки в этом направлении, чтобы ликвидировать возможность возникновения мошеннических операций по картам, данные которых были украдены с помощью шиммеров. В целом же шимминг не представляет опасности для чипованных карт и не требует внедрения дополнительных механизмов защиты на платежные терминалы и в банкоматы».
Первые шиммеры появились еще в 2015 году в Мексике и с тех пор они завоевали особую «популярность» в Канаде. Многие компании, обрабатывающие карточные данные, обеспокоены тем, что в скором времени они могут распространиться и на рынок в связи с законом об обязательном чипировании кредитных и дебетовых карт.
Специалисты по безопасности призывают владельцев магазинов и банкоматов ежедневно проверять кардридеры, чтобы быть уверенными в отсутствии сторонних устройств. Однако, основная ответственность в направлении ликвидации новой угрозы лежит на банках-эмитентах. Только полное соответствие стандартам безопасности международных платежных систем обезопасит их клиентов от финансовых рисков.
Человек оказывается в незнакомом районе города без средств. Воспользовавшись услугами банкомата, расположенного в нелюдном месте, на телефон поступает смс о том, что совершенно в другой стране с карты сняты все деньги. Что произошло и как предотвратить кражу денег?
После кражи личных средств клиент обращается в банк с претензией. Но вернут ли деньги? Это спорный вопрос. В любом случае придется потратить много времени на визиты в банк и полицию. В данном случае речь идет о скимминге – распространенной схеме мошенничества с использованием достижений современных технологий. Опасность подстерегает каждого картодержателя. Но риски можно минимизировать.
Скимминг – кража денег с карты. Схема мошенничества предусматривает использование специальных считывающих устройств – скиммеров.
Устройство копирует все реквизиты карты, которые требуются злоумышленникам для снятия наличных. Устройства устанавливаются непосредственно на банкоматные устройства или терминалы самообслуживания, имитируя их поверхность. Информация записывается на карту памяти, а пластик возвращается держателю, который ничего не подозревает. Затем мошенники используют полученные данные для изготовления дубликата. Конечно же, преступникам нужен ПИН-код, но получить его тоже совсем несложно. Для этого есть по крайней мере два способа:
В настоящее время преступники охотятся за данными, которые зашифрованы в магнитной полосе. Украсть информацию с чипа гораздо сложнее. Для воровства используются три устройства:
Данные могут записываться непосредственно на карту памяти или передаваться через дистанционные каналы связи. Схемы работы преступников не ограничиваются терминалами и банкоматами.
Так, ряд кредитно-финансовых учреждений устанавливает устройства самообслуживания в помещениях, доступ к которым открывается с помощью пластиковой карты. Такие помещения обеспечивают комфорт и безопасность при обналичивании средств. Но злоумышленники не упускают возможность установить считывающие устройства непосредственно на картридер, который находится на входе.
Если мошенникам не удается получить ПИН-код, то изготавливается дубликат карты для расчетных операций. Такие операции осуществляются через интернет или в сговоре с кассирами.
Часто оплата покупок или обналичивание средств по дубликатам карт происходит в другой стране. Таким образом преступники усложняют работу правоохранителей.
В то же время снимается часть ответственности с картодержателя, ведь ему достаточно просто доказать, что он не пользовался банкоматами в Боливии или Гондурасе.
Схемы мошенничества постоянно совершенствуются и не ограничиваются перечисленными способами. Основная задача картодержателя сводится к тому, чтобы не воспользоваться устройством мошенников.
Перед тем как вставить карту в ридер нужно убедиться, нет ли на щели накладки. Если на устройстве самообслуживания установлена антискиминговая накладка, то рекомендуется проверить ее на прочность. Настоящая накладка качественно прикреплена и не шатается. Злоумышленники работают быстро.
Поэтому свои устройства крепят скотчем или клеем. Нередко на поверхности банкомата (возле картоприемника) остаются следы клея или царапины. От использования такого устройства лучше отказаться.
Также рассмотрим другие нюансы:
Поверхность устройства нужно тщательно изучить. Любые люфты, отличия цветовых решений должны вызвать подозрение.
Нередко на старых банкоматах явно выделяется новая клавиатура. Необходимо поддеть ее пальцем: не исключено, что под накладкой скрывается настоящая клавиатура.
Особое внимание нужно уделить выбору устройства самообслуживания. Рекомендуется избегать банкоматов:
Идеальный вариант – обналичивание средств в одном устройстве. Клиент автоматически запомнит все детали, а любые изменения сразу же будут бросаться в глаза. В первую очередь нужно обращать на клавиатуру и ридер. Преимущество нужно отдать следующим банкоматам:
Появление банкоматов и терминалов с сенсорными экранами не остановило злоумышленников. Существуют специальные накладки для мониторов. Поэтому сенсор не гарантирует безопасности. В последнее время производители банкоматных устройств используют комплексную защиту от скимминга:
К сожалению, не все банкоматы оснащены джиттерами. Существует несколько модификаций антискимминговых накладок. Последние модели излучают электромагнитные волны, препятствующие считыванию информации.
Если пластиковая карта вибрирует при входе в приемник, значит, банкомат гарантирует высокий уровень безопасности.
Устаревшие модификации антискиммеров предназначены для того, чтобы не допустить крепление считывающего устройства. Антискиммер должен быть изготовлен из прозрачной пластмассы для того, чтобы пользователь мог визуально убедиться в отсутствии сканнеров и других устройств. Здесь снова нужно напомнить, что антискиммер должен быть прочным. Перед тем как пользоваться банкоматом, нужно пошевелить антискиммер. Также не нужно путать скиммер с антискиммером.
Перечисленные рекомендации требуют повышенного внимания, но они позволяют картодержателям сохранить личные средства. Если мошенники украли персональную информацию, а для этого достаточно один раз воспользоваться банкоматом со скиммером, деньги могут быть украдены в любой момент.
Иногда преступники устанавливают считывающие устройства, а код просто подсматривают. Также желательно воспользоваться следующими советами:
При обналичивании средств и других операциях через банкомат и другие устройства самообслуживания необходимо проявлять бдительность. Перечисленные меры защиты помогут сберечь деньги, а также избежать разбирательств с банком.
Скимминговое устройство (далее по тексту СУ ) предназначено для негласного получения информации с магнитной полосы дебетовой (кредитной) карты и ПИН-кода держателя. Сами устройства могут либо накапливать информацию либо передавать ее по беспроводным каналам (например, по wi-fi).
СУ устанавливаются внутри банкомата, на ридер банкомата, на саму антискимминговую накладку (далее - АСУ) или при входе банка (например, raiffeisen bank доступ к своим банкоматам ограничивают по кредитной карте через ридер на входной двери).
Копирование ПИН-кода осуществляется путем оставления накладной клавиатуры, камеры с любого удобного ракурса, в том числе камера инфракрасного диапазона.
В последнее время появились АСУ, которые в случае установки СУ оставляют банкомат работоспособным, а карты в безопасности.
Например, в случае излучения электромагнитных волн подавляющими излучениями антенны, в которой ток, соответственно, преобразуется в энергию распространяющихся в пространстве электромагнитных волн, а не наоборот:
Интересное техническое решение есть у Голландских железных дорог. Поскольку все СУ используют функцию движения кредитной карты вдоль магнитной полосы при ее помещении в ридер, то в этот момент происходит перехват и копирование, в том числе с комбинированных микропроцессорных карт.
Для этого они ридер развернули на 90 градусов. При этом карта должна вставляться полосой вперед и вниз (и уходит далеко внутрь банкомата), а далее карта автоматически идет движением слева направо:
Механизм румынской компании SRS работает по следующей схеме: сначала пользователь вставляет карту в банкомат длинной стороной так, что магнитная полоса располагается параллельно стенке банкомата, после чего механизм поворачивает карту на 90 градусов, чтобы считать информацию с магнитной полосы. Затем карта поворачивается обратно и возвращается пользователю:
Кроме того, теперь более новые банкоматы применяют технологию ActivEdge, где картридер передает в процессор считываемую с карты информацию в зашифрованном виде, исключая тем самым саму возможность перехвата и компрометации данных на этом участке работы с картой. При этом конструкция банкомата индивидуальна и исключает подмену картридера другим картридером.
Другой способ компроментировать (скопировать) карту - установить фальшивый банкомат. Потому что в некоторых странах (например, в США) любой гражданин имеет право купить банкомат, заключить договор на его обслуживание и получать прибыль.
Применяют еще высокотехнологичные атаки:
-убеждают машину с помощью кода, что она наполнена 1 долларовыми купюрами, но на деле 20 долларовыми;
-при подмене хоста подключается ноутбук и отключается стационарный компьютер;
-в Башкортостане в 2009 году убедили банкомат, что курс доллара 1500 руб., обменяв 800 долларов на 1,2 млн. руб.;
-в Москве был случай при помощи программы обслуживания банкоматов были извлечены банкноты без вскрытия сейфовой части банкомата;
-отключение антивирусов через CD-привод и установка вредоносного программного обеспечения. Как противодействие в данном случае используются решения по обеспечению контроля целостности программ;
-в 2011 году в Екатеринбурге в Сбербанк были внесены «Билеты банка приколов» в сумме более миллиона рублей:
При этом изготовление купюр, на которых написано, что они не являются платежным средством, не влечет уголовной ответственности по статье изготовление, хранение и сбыт поддельных купюр. Но можно квалифицировать как приготовление к тяжкому и особо тяжкому преступлению (в данном случае тяжесть смотреть в УК РФ надо по сумме денег). На практике это означает, что при внесении неплатежеспособных машиночитаемых купюр на сумму менее 250 тыс.руб. уголовная ответственность не наступает до момента получения внесенной денежной суммы. Снятие же денег может осуществляться за пределами России.
Для целей определения подлинности банкнот сканер банкомата проверяет их на машиночитаемые признаки: в видимом спектре, инфракрасном, ультрафиолетовом, магнитном. При современном уровне техники те элементы защиты, которые считывают сканеры банкомата, можно считать аналогичными сканирующими устройствами и передать на соответствующие принтеры. Изготовленная банкнота будет определяться банкоматом как подлинная. Другой способ атаки на кэш ввод – это использование склеенных купюр. Мошенники разрезают девять пятитысячных купюр и склеивают из фрагментов тонким матовым скотчем десять банкнот.
Подойдет такой строительный скотч (я даже помню однажды сам склеивал 5 тысячную купюру, которая немного порвалась, и банкомат ее благополучно съел).
Далее… сознательные граждане пишут, что размер поврежденных купюр составляет 157×65 мм, а обычный размер – 157×69 мм, но при этом они принимаются банкоматами и платежными терминалами для зачисления на счет и в качестве платежей как банкноты Банка России стандартного размера. От четырех купюр отрезают по четверти, разрезанные купюры сдают в банк (осталось 75 % площади), из четырех четвертинок склеивают одну купюру и пополняют ей счет карты в банкомате с функцией приема наличных. Из нескольких купюр разного достоинства якобы склеивают купюры, которые воспринимаются кэш вводом как купюры самого большого номинала.
Еще как вариант могут скопировать сотрудники торгового центра, а особенно АЗС, поскольку они берут в руки вашу карту. Поэтому следите за руками и запоминайте переворачивали ли карту стороной трехзначного кода вверх, чтобы посмотреть или клали ли на копиру, т.к. видеокамеры могут не иметь соответствующего качества съемки и разрешения. Если имеются какие-либо подозрения в копировании ваших данных, то фотографируйте на фото и видео прямо в наглую сотрудника торговой точки (чтобы сотрудник понял, что начинать искать будут с него в случае чего), а также стучите в свой банк и в соответствующие органы. Потому что с момента уведомления вами вашего банка риски пропажи денег возлагаются на банк.
Законодательство дает поблажки тем ворам, которые применяют высокотехнологичный способ атаки, и в этом случае при задержании вору (рекомендую как адвокат) необходимо инициировать заключение с ФСБ соглашения о сотрудничестве и тогда за кражу вору скорее всего дадут условный срок, но, как я понимаю, это если по статье кража попадос был первый раз в жизни (или попадос был давно, но судимость снята, т.е. можно сказать, что ее не было для целей назначения срока наказания).
Это были интеллектуальные атаки, но есть более простые способы. Если кратко, то используется способ подсматривания ПИН-кода при его наборе с последующей кражей карты и телефона. Для этого способа потребуется зоркий глаз, ловкость рук и умение пользоваться бритвой для разрезания карманов и сумочек, в которых лежит карта.
Еще более простым способом изъятия наличности (это более пассивный способ, для бомжей слоняющихся неподалеку) является заклеить скотчем гнездо выдачи наличности, чтобы когда Вы не увидите деньги в банкомате и отвлечетесь, то их можно было бы забрать, отклеив скотч в гнезде выдачи наличности.
Многих интересует вопрос, что такое скимминг, и как от него защититься.
Жертвами мошенников становятся всё больше людей каждый день.
Злоумышленники каждый год придумываются всё более изощренные схемы, по которым пытаются похитить денежные средства граждан с банковских карт.
Последним из нововведений в области кражи данных стал скимминг. Что это такое и как от него защититься мы подробно рассмотрим в этой статье.
Скимминг карты – это действия, направленные на похищение информации путём ее считывания с пластиковых карт, в момент, когда жертва расплачивается либо обналичивает денежные средства.
Происходит данное понятие от слова скиммер. Скиммером, называют гаджет, созданный из электромагнитных материалов и вмонтированный в устройство для считывания информации с карт с магнитной полосой.
Подобные гаджеты нередко появлялись и раньше у мошенников. Причины скимминга заключаются в большом росте оплаты через .
Из-за него возрастает и количество различных денежных терминалов. Модели таких устройств не являются совершенными в плане безопасности и часто попадают в поле зрения хакеров.
Все эти действия и методы, направленные на кражу информации с банковских карточек, называются фишинг.
Устройства самостоятельно изготавливаются злоумышленниками из магнитных считывателей, батареи питания и небольшой микросхемы.
Внешне такие гаджеты маскируют под деталь банкомата. Крепится она при помощи клея или двухстороннего скотча.
Чаще всего скиммер имитирует накладку для прорези, куда вставляется банковская карта.
После того, как ничего не подозревающий гражданин решит обналичить средства и вставит в такой «заражённый» банкомат карточку, сначала сработает считывающие устройство злоумышленника.
После того, как все операции будут завершены, и владелец получит назад свою карту, считанные данные попадут на флэшку мошенника.
Обработав всю считанную информацию, её наносят на магнитную полоску, наклеенную на кусок пластика, то есть делается дубликат карты.
Но этого порой недостаточно для кражи денег с карты. Любая информация, а уж тем более доступ к личному счёту охраняются паролем.
Для банковских карт это пин-код, состоящий из 4 цифр. Для того, чтобы его похитить, злоумышленникам нужны дополнительные скимминг устройства.
Обычно, они представляют собой накладку на клавиатуру банкомата либо миниатюрные камеры.
Атаки на банковские карты могут производиться не только посредством технических устройств.
В последнее время у мошенников популярен метод онлайн-скимминга. Условно, можно разделить такие атаки на физический скимминг и онлайн-скимминг.
Физический скимминг карт может быть разделён на два больших типа:
Все эти типы по-своему уникальны. Объясняется это тем, что гаджет создаётся для определённого банкомата.
Хакеры не используют общих схем, и стараются модернизировать свои устройства.
Первые модели банкоматных скимминг-устройств были достаточно примитивны.
Изготавливалось всё вручную, поэтому внимательно присмотревшись, можно было сразу определить, что на картоприёмнике установлена накладка.
Нередко, первые скиммеры вызывали затруднения в работе самих банкоматов.
Сегодня, с общим развитием технологий, устройства считывания достаточно прогрессировали.
Найденные образцы техники, тоньше картонного листа, а миниатюрный лазерный скимминг-считыватель информации с магнитных полос позволяет размещать его внутри картоприёмника.
Банкоматный скимминг – более распространённый тип кражи информации в странах третьего мира.
Это связано с тем, что подделать детали на терминалах и установить их достаточно просто и быстро, а население практически не использует никаких средств защиты.
Платёжный скимминг, применяется в мобильных терминалах. Информация попадает в руки к хакерам, когда кассир проводит по терминалу картой для снятия копии данных.
Часто такие кражи происходят в отелях, закусочных и на заправочных станциях.
Применять такие устройства достаточно сложно, если нет подельника, ими обычно становятся сами продавцы, которые имеют прямой доступ к терминалу. За день, гаджет может считать более сотни карт.
Для получения пин-кода, используются накладки на клавиатуру или камера.
Сегодня такие камеры стали значительно меньше, поэтому обнаружить их с первого раза может и не получиться.
Как видно из статистки, в большинстве случаев, кража данных происходит с зарплатных банковских карт.
Важно: в России, за 2016 год было совершено краж данных с карт 0,94% от общего числа проведенных операций, то есть порядка 27 млн. раз.
Онлайн-скимминг кардинально отличается от тех способов, которые были описаны выше.
Такие похищения данных с карт более эффективны и масштабны, а отследить злодея практически невозможно.
Для этого метода никаких устройств не потребуется. Хакеры, используют лазейки в программном коде любого онлайн-магазина и внедряют свой вредоносный код на сервер, где хранится вся информация о клиентах.
Онлайн-магазины, особенно небольшие, в целях экономии средств, не уделяют должного внимания хранению и обработки данных. Этой скупостью и пользуются злоумышленники.
По специальному алгоритму, вся информация поступает на сервера для дальнейшей обработки. Последним этапом будет списание денежных средств из личного кабинета жертвы.
Украденные деньги переводятся на подставные счета в разные уголки мира. При этом, все действия происходят незаметно и быстро.
С общим алгоритмом действия злоумышленников по двум видам скимминга можно ознакомиться на схеме:
Наличие подобных угроз не означает, что нужно переставать пользоваться пластиковыми картами.
Также, не стоит полагаться на банковскую безопасность целиком и полностью, необходимо самостоятельно уделять безопасности своих данных повышенное внимание, это как минимум снизит вероятность потери денег со своего банковского счёта (не стоит путать с ).
Предпринимайте следующие действия, чтобы защитить денежные средства на картах:
Поначалу банки не знали, как бороться со скиммингом, так как атаки приобретали массовый характер и постоянной улучшались.
Так и сейчас происходит постоянные соревнования между хакерами и специалистами банковской безопасности.
Сегодня, банками разработана схема по противодействию скимминг-атак, включающая в себя три метода:
При физическом мониторинге, защита от скимминга направлена на постоянный контроль банкоматов сотрудниками.
Такой метод включает в себя следующие действия:
При каждом проведенном осмотре, вносятся соответствующие записи, с обязательным указанием времени осмотра.
Если, скимминг-устройство будет обнаружено в результате осмотра, то по графику проверок может быть установлен временной промежуток, когда был установлен гаджет.
Пассивный антискимминг включает в себя следующие действия по борьбе с кражей данных:
Установкой и обслуживанием подобных устройств занимаются специальные охранные компании, имеющие лицензию на проведение подобных работ.
Подобный метод является самым эффективным и дорогим. Работы по внедрению этого метода также проводят специальные охранные организации.
Метод заключается в следующем:
Что касается противодействия онлайн-скиммингу, то тут банки направляют свои силы в развитие безопасности программного обеспечения.
Создаются специализированные программные оболочки, которые защищают передачу данных во время покупок в онлайн-магазинах (при ) от внешних атак хакеров.
Также, для защиты банковских счетов, банки предлагают пользователям, активно пользующимся интернет-покупками, оформлять онлайн-карты.
Данные с таких карт не представляют ценностей для злоумышленников, так как сама карта при совершении покупки переадресовывает запрос транзакции на сервера банка.
