Многих интересует вопрос, что такое скимминг, и как от него защититься.
Жертвами мошенников становятся всё больше людей каждый день.
Злоумышленники каждый год придумываются всё более изощренные схемы, по которым пытаются похитить денежные средства граждан с банковских карт.
Последним из нововведений в области кражи данных стал скимминг. Что это такое и как от него защититься мы подробно рассмотрим в этой статье.
Скимминг карты – это действия, направленные на похищение информации путём ее считывания с пластиковых карт, в момент, когда жертва расплачивается либо обналичивает денежные средства.
Происходит данное понятие от слова скиммер. Скиммером, называют гаджет, созданный из электромагнитных материалов и вмонтированный в устройство для считывания информации с карт с магнитной полосой.
Подобные гаджеты нередко появлялись и раньше у мошенников. Причины скимминга заключаются в большом росте оплаты через .
Из-за него возрастает и количество различных денежных терминалов. Модели таких устройств не являются совершенными в плане безопасности и часто попадают в поле зрения хакеров.
Все эти действия и методы, направленные на кражу информации с банковских карточек, называются фишинг.
Устройства самостоятельно изготавливаются злоумышленниками из магнитных считывателей, батареи питания и небольшой микросхемы.
Внешне такие гаджеты маскируют под деталь банкомата. Крепится она при помощи клея или двухстороннего скотча.
Чаще всего скиммер имитирует накладку для прорези, куда вставляется банковская карта.
После того, как ничего не подозревающий гражданин решит обналичить средства и вставит в такой «заражённый» банкомат карточку, сначала сработает считывающие устройство злоумышленника.
После того, как все операции будут завершены, и владелец получит назад свою карту, считанные данные попадут на флэшку мошенника.
Обработав всю считанную информацию, её наносят на магнитную полоску, наклеенную на кусок пластика, то есть делается дубликат карты.
Но этого порой недостаточно для кражи денег с карты. Любая информация, а уж тем более доступ к личному счёту охраняются паролем.
Для банковских карт это пин-код, состоящий из 4 цифр. Для того, чтобы его похитить, злоумышленникам нужны дополнительные скимминг устройства.
Обычно, они представляют собой накладку на клавиатуру банкомата либо миниатюрные камеры.
Атаки на банковские карты могут производиться не только посредством технических устройств.
В последнее время у мошенников популярен метод онлайн-скимминга. Условно, можно разделить такие атаки на физический скимминг и онлайн-скимминг.
Физический скимминг карт может быть разделён на два больших типа:
Все эти типы по-своему уникальны. Объясняется это тем, что гаджет создаётся для определённого банкомата.
Хакеры не используют общих схем, и стараются модернизировать свои устройства.
Первые модели банкоматных скимминг-устройств были достаточно примитивны.
Изготавливалось всё вручную, поэтому внимательно присмотревшись, можно было сразу определить, что на картоприёмнике установлена накладка.
Нередко, первые скиммеры вызывали затруднения в работе самих банкоматов.
Сегодня, с общим развитием технологий, устройства считывания достаточно прогрессировали.
Найденные образцы техники, тоньше картонного листа, а миниатюрный лазерный скимминг-считыватель информации с магнитных полос позволяет размещать его внутри картоприёмника.
Банкоматный скимминг – более распространённый тип кражи информации в странах третьего мира.
Это связано с тем, что подделать детали на терминалах и установить их достаточно просто и быстро, а население практически не использует никаких средств защиты.
Платёжный скимминг, применяется в мобильных терминалах. Информация попадает в руки к хакерам, когда кассир проводит по терминалу картой для снятия копии данных.
Часто такие кражи происходят в отелях, закусочных и на заправочных станциях.
Применять такие устройства достаточно сложно, если нет подельника, ими обычно становятся сами продавцы, которые имеют прямой доступ к терминалу. За день, гаджет может считать более сотни карт.
Для получения пин-кода, используются накладки на клавиатуру или камера.
Сегодня такие камеры стали значительно меньше, поэтому обнаружить их с первого раза может и не получиться.
Как видно из статистки, в большинстве случаев, кража данных происходит с зарплатных банковских карт.
Важно: в России, за 2016 год было совершено краж данных с карт 0,94% от общего числа проведенных операций, то есть порядка 27 млн. раз.
Онлайн-скимминг кардинально отличается от тех способов, которые были описаны выше.
Такие похищения данных с карт более эффективны и масштабны, а отследить злодея практически невозможно.
Для этого метода никаких устройств не потребуется. Хакеры, используют лазейки в программном коде любого онлайн-магазина и внедряют свой вредоносный код на сервер, где хранится вся информация о клиентах.
Онлайн-магазины, особенно небольшие, в целях экономии средств, не уделяют должного внимания хранению и обработки данных. Этой скупостью и пользуются злоумышленники.
По специальному алгоритму, вся информация поступает на сервера для дальнейшей обработки. Последним этапом будет списание денежных средств из личного кабинета жертвы.
Украденные деньги переводятся на подставные счета в разные уголки мира. При этом, все действия происходят незаметно и быстро.
С общим алгоритмом действия злоумышленников по двум видам скимминга можно ознакомиться на схеме:
Наличие подобных угроз не означает, что нужно переставать пользоваться пластиковыми картами.
Также, не стоит полагаться на банковскую безопасность целиком и полностью, необходимо самостоятельно уделять безопасности своих данных повышенное внимание, это как минимум снизит вероятность потери денег со своего банковского счёта (не стоит путать с ).
Предпринимайте следующие действия, чтобы защитить денежные средства на картах:
Поначалу банки не знали, как бороться со скиммингом, так как атаки приобретали массовый характер и постоянной улучшались.
Так и сейчас происходит постоянные соревнования между хакерами и специалистами банковской безопасности.
Сегодня, банками разработана схема по противодействию скимминг-атак, включающая в себя три метода:
При физическом мониторинге, защита от скимминга направлена на постоянный контроль банкоматов сотрудниками.
Такой метод включает в себя следующие действия:
При каждом проведенном осмотре, вносятся соответствующие записи, с обязательным указанием времени осмотра.
Если, скимминг-устройство будет обнаружено в результате осмотра, то по графику проверок может быть установлен временной промежуток, когда был установлен гаджет.
Пассивный антискимминг включает в себя следующие действия по борьбе с кражей данных:
Установкой и обслуживанием подобных устройств занимаются специальные охранные компании, имеющие лицензию на проведение подобных работ.
Подобный метод является самым эффективным и дорогим. Работы по внедрению этого метода также проводят специальные охранные организации.
Метод заключается в следующем:
Что касается противодействия онлайн-скиммингу, то тут банки направляют свои силы в развитие безопасности программного обеспечения.
Создаются специализированные программные оболочки, которые защищают передачу данных во время покупок в онлайн-магазинах (при ) от внешних атак хакеров.
Также, для защиты банковских счетов, банки предлагают пользователям, активно пользующимся интернет-покупками, оформлять онлайн-карты.
Данные с таких карт не представляют ценностей для злоумышленников, так как сама карта при совершении покупки переадресовывает запрос транзакции на сервера банка.
Онлайн кредит - это форма потребительского займа, реализуемая через сервисы в сети интернет. Потребность в дополнительных денежных средствах может возникнуть внезапно и иметь целый ряд причин: от покупки одежды, до возврата долга. В таких случаях занимать у знакомых или родственников не очень удобно, а ждать одобрения от банка может быть просто некогда. Чтобы получить желаемую сумму без банка, стоит обратиться в к сервису микрозаймов онлайн, позволяющему получить деньги не выходя из дома.
Компания MyWallet работает в сфере микрокредитования по государственной лицензии Украины, что гарантирует законность и безопасность всех финансовых операций, а преимуществами обслуживания являются:
В отличие от фиксированных дат выплат по ссуде в банке, возможность пролонгации срока действия кредитного договора с MyWallet позволяет заемщику выплачивать те суммы, которые он может. Главное условие - это своевременное погашение платы за пользование деньгами, тогда как «тело» займа, может быть выплачено позже.
Последний пункт списка особенно важен, так как общее количество онлайн заявок на кредит, оформленных через интернет, и сумма выданных кредитов значительно превышают аналогичный показатель оффлайн. Именно поэтому возможность погасить задолженность любым удобным способом увеличивает число клиентов компании. Ориентируясь на сферу экспресс-кредитов онлайн, MyWallet позволяет получить нужную сумму денег тогда, когда они нужны.
Займ онлайн на карту «Приватбанка» или «Ощадбанка», а так же других банков Украины оформляется прямо на сайте. Для этого достаточно указать паспортные данные, код ИНН и номер мобильного телефона. Время поступления денег на карту не превышает 20 минут, а получить их могут все, даже:
Кредит для студентов онлайн позволит решить небольшие временные проблемы с оплатой образования или общежития. Пенсионеры с помощью ссуды смогут приобрести необходимые лекарства или своевременно оплатить коммунальные услуги, а начисление денег на уже привычную банковскую карту избавит от неудобств при пользовании и погашении долга фрилансеров и самозанятых граждан.
Компания не ограничивает круг потенциальных клиентов, предоставляя выгодный кредит онлайн на срок до 30 дней всем категориям граждан. Минимальная сумма займа составляет 100 гривен, а максимальная варьируется от 4000 до 15000 в зависимости от статуса заемщика.
Постоянные клиенты имеют больше возможностей для увеличения объема кредита и его пролонгации. После своевременного погашения первого займа, такие привилегии получают и новые заемщики.
Компания MyWallet выдает ссуды для любых целей на срок от 5 до 30 дней, что позволяет использовать средства по собственному усмотрению в течение целого месяца. Вносить платежи можно следующими способами:
Обслуживание кредита, перечисленного на карту онлайн, проще всего осуществлять именно через интернет. Этот способ позволяет проводить оплату круглосуточно из любого города как на территории Украины, так и вне ее, указав активные платежные реквизиты. Терминал и отделение подойдут для расчета за кредит наличными средствами. В первом случае, в окне терминала нужно выбрать раздел «Банки и страхование», а затем перейти в нужную категорию и положить средства на кредитный счет. Внести средства на счет через отделение тоже несложно, достаточно предоставить паспорт и платежные реквизиты.
Работая на рынке микрокредитов Украины, компания демонстрирует уверенный рост финансового оборота, что говорит о востребованности ее услуг среди украинцев. Перевод денег на карты крупных банков и погашение займа любым удобным способом, гораздо более привлекательны, чем классическое «бумажное» оформление кредита. Взять кредит можно с помощью всего нескольких кликов мышки, избавившись от финансовых проблем и позволив себе немного больше.
Скиммеры банковских карт – устройства, используемые злоумышленниками для воровства данных банковских карт при пользовании банкоматами и платежными терминалами. Эти устройства выглядят как накладки на кардридер, выполненные в соответствии с дизайном банкомата. Хоть скиммеры и «мимикрируют» под настоящие кардридеры, они достаточно громоздки – будучи внимательными, их сравнительно легко определить и снять с банкомата, что невыгодно для мошенников.
Долгое время для совершения краж из банкоматов злоумышленники успешно пользовались физическими накладками. Их эволюцию можно проследить от тонких накладок внутри банкомата, до огромных искусственных панелей, полностью эмулирующих фронтальную панель банкомата. Механика кражи максимально проста: на кардридер банкомата накладывается скиммер, с помощью которого злоумышленник считывает все данные с магнитной полосы. При этом одни скиммеры работают по принципу накопления считанной информации о пользователях, другие же сразу передают информацию о картах мошенникам по радиоканалу (на миниатюрное принимающее устройство или непосредственно на свою принимающую аппаратуру). Кроме этого, к банкомату крепится фальшивая клавиатура, нажимая на которую владелец кредитной карты передает в руки мошенников PIN -код. Еще одно средство получения информации, которым пользуются злоумышленники,─ скрытые видеокамеры, установленные неподалеку от банкомата.
Злоумышленникам далеко не всегда нужно узнавать сам PIN-код карты, так как основной дорожки магнитной банковской карты (Track2) достаточно для создания копии карты, которую часто можно использовать для оплаты в магазинах, POS-терминалах или при онлайн-платежах. Track2 содержит всю информацию о карте: PAN - номер карты, expiration date - срок ее действия, а также зашифрованный PIN-код.
Распространенность таких способов хищений привела к тому, что производители банкоматов и сторонние вендоры стали устанавливать активные или пассивные средства антискимминга, что позволяет эффективно бороться с воровством такого типа. Хотя кое-что антискимминговое оборудование все же пока не научилось определять: например, одну из самых незаметных накладок - ту, что стоит в шине между считывателем карт и компьютером банкомата и сохраняет у себя данные считаных карт.
Еще одной преградой для любителей физического скимминга стало введение уголовной ответственности за кражу данных карт в банкоматах. За незаконные действия преступникам теперь грозят наказания различного типа в зависимости от степени тяжести преступления (от штрафов до лишения свободы). Именно поэтому самые активные хакеры постепенно переходят на новый уровень.
Без контакта
Операции с картами в банкоматах зачастую предполагают передачу данных магнитной полосы Track2 в открытом виде. Например, если сетевое соединение между банкоматом и процессингом не защищено шифрованием, то украсть номер карты не представляет большой трудности: накладки, которые прослушивают трафик, передающийся от банкомата в процессинговый центр, организовать гораздо проще, чем вскрывать и модифицировать сам банкомат.
В этом случае, к примеру, не сработают системы видеонаблюдения в банкомате, контроля открытия сервисной зоны и другие средства физической защиты.
Хакеры изобрели вредоносное ПО , способное незаметно снимать данные карточек на протяжении месяцев. И это ненамного сложнее, чем атаки с использованием другого вредоносного ПО, которое, например, «заставляет» банкомат выдать все содержащиеся в нем купюры по специальной команде.
В целом есть определенная зависимость: чем сложнее грабить банкоматы, тем больше злоумышленники склоняются к «долгой игре» (которая сейчас характерна для APT-атак). Злоумышленник ставит перед собой задачу максимально долго оставаться незамеченным и все это время снимать карточные данные в банкоматах, которые в дальнейшем будут использоваться для мошеннических операций. К слову, по статистике, в России на один банкомат в течение квартала приходится более 6000 операций. Если принять каждую операцию за потенциальную возможность «съема» карточных данных, то нехитрые математические действия (умножение на число охваченных банкоматов и время присутствия в сети злоумышленника) позволят спрогнозировать весьма существенный объем скомпрометированных данных.
Используя методики социальной инженерии или другие атаки на периметр банка, хакеры запросто проникают в банковскую сеть: по нашей статистике, в среднем до трети сотрудников открывают письма с вложениями, способными заразить их компьютеры, и это при том, что для успешности атаки достаточно открыть одно-единственное письмо. В 47% случаев периметр организации можно преодолеть, используя уязвимости веб-приложений.
После проникновения во внутреннюю сеть банка злоумышленникам остается получить доступ к определенной подсети банковского процессинга, где находятся данные всей сети банкоматов. Там же можно узнать, какие из банкоматов могут быть не защищены от критических уязвимостей или работают без межсетевого экрана . Это позволит заразить любой банкомат и извлечь деньги из каждого из них в любой момент. По схожему сценарию произошло ограбление государственного банка GSB в Тайланде. Кстати, чтобы остановить попытки незаконного снятия денег со случайного банкомата, в этом конкретном случае пришлось отключить половину всей банкоматной сети (более 3000 устройств).
В октябре 2017 года в США осужден уроженец Иордании Атеф Альхатиб, который несколько лет занимался скиммингом. Разъезжая по городам Южной Калифорнии, он размещал на банкоматах устройства для считывания информации с магнитных полос карт, а также устанавливал скрытые видеокамеры в зоне видимости банкоматов – это позволяло ему узнавать PIN-коды. У себя дома преступник устроил мастерскую по изготовлению дубликатов скомпрометированных карт. За три года мужчина украл финансовую информацию более 13 тысяч клиентов Wells Fargo и других американских банков. Ущерб составил несколько миллионов долларов.
Зачастую скимминговые схемы реализует организованная преступность. Полиция Абу Даби в 2016 году арестовала четырех хакеров азиатского происхождения, которые похищали информацию о кредитных картах с использованием шпионских устройств. Общая сумма потерь собственников кредитных карт составила более миллиона эмиратских дирхам (порядка $270 тысяч). Следует отметить, что жертвы ранее размещали информацию о своих кредитных картах на электронных торговых площадках, что облегчило «работу» злоумышленникам.
Нередко преступным промыслом занимаются «гастролеры» - преступники из других стран. Например, индийская полиция в конце 2017 года задержала сразу две группы граждан Румынии. Приехав в Индию по туристическим визам, они не уделяли время изучению достопримечательностей и культуры, а занялись установкой скимминговых устройств. В результате более 1000 человек потеряли порядка 6,6 млн рупий (порядка $100 тысяч).
Помимо банкоматов, довольно популярные объекты для скиммеров – платежные терминалы на автозаправочных станциях. Так, группа мошенников из 12 человек была обезврежена в Колорадо. Они промышляли на АЗС нескольких штатов. Участники преступной группы успели скомпрометировать финансовые данные более 8 тысяч жертв, нанеся ущерб порядка $2,5 млн. Кроме того, выяснилось, что арестованные были вовлечены в международную сеть по отмыванию денег.
При посещении банкомата внимательно осмотрите его лицевую сторону на предмет наличия накладок на клавиатуру, на картоприемник и других подозрительных приспособлений. Набирая PIN-код, прикрывайте клавиатуру свободной рукой – так вы защитите свою финансовую информацию в том случае, если банкомат находится под наблюдением видеокамер мошенников. Старайтесь снимать деньги в банкоматах, расположенных в отделениях банков или в хорошо защищенных офисах. Как правило, скиммеры выбирают для своего промысла уличные терминалы. Также лучше воздержаться от оплаты картой на незнакомых заправках, в подозрительных кафе и магазинах.
С 2015 года возникла новая угроза – так называемые шиммеры . Это тонкие, практически незаметные устройства, располагаемые в самих кардридерах для считывания информации с чипованных карт в банкоматах. Шиммер - это тонкая «прокладка», которая располагается между чипом на карте и считывающим устройством чипов в банкомат или терминале – и записывает данные с чипа, когда их считывает терминал. Данные, собранные в ходе такой операции, не могут быть использованы для изготовления нового чипа, но их можно использовать для клонирования магнитной полосы карты.
Лазейкой, которая позволяет обходить такие механизмы защиты чипированных карт, как, например, iCVV (этот механизм обеспечивает защиту от копирования магнитной полосы карты и создания ее дубля), является тот факт, что процесс эмиссии чипированных карт в ряде банков до сих пор не полностью соответствует стандарту безопасности чип-карт, известному как EMV (Europay , Mastercard и Visa). Этой уязвимостью и воспользовались создатели шимминга.
«В зону риска для шиммеров попадают только те карты, чей банк-эмитент пренебрегает обязательной автоматической проверкой CVV при получении каждого запроса на оплату», - сообщает NCR Corp. «Все эмитенты должны провести проверки в этом направлении, чтобы ликвидировать возможность возникновения мошеннических операций по картам, данные которых были украдены с помощью шиммеров. В целом же шимминг не представляет опасности для чипованных карт и не требует внедрения дополнительных механизмов защиты на платежные терминалы и в банкоматы».
Первые шиммеры появились еще в 2015 году в Мексике и с тех пор они завоевали особую «популярность» в Канаде. Многие компании, обрабатывающие карточные данные, обеспокоены тем, что в скором времени они могут распространиться и на рынок в связи с законом об обязательном чипировании кредитных и дебетовых карт.
Специалисты по безопасности призывают владельцев магазинов и банкоматов ежедневно проверять кардридеры, чтобы быть уверенными в отсутствии сторонних устройств. Однако, основная ответственность в направлении ликвидации новой угрозы лежит на банках-эмитентах. Только полное соответствие стандартам безопасности международных платежных систем обезопасит их клиентов от финансовых рисков.
Скимминг
Скимминг (от англ. skimming) - кража данных карты при помощи специального считывающего устройства (скиммера). Злоумышленники копируют всю информацию с магнитной полосы карты (имя держателя, номер карты, срок окончания срока ее действия, CVV- и CVC-код), узнать можно с помощью мини-камеры или накладок на клавиатуру, установленных на банкоматах. Стать жертвой скимминга можно не только снимая наличные, но и оплачивая покупки в торговых точках. Для копирования данных официанты, кассиры, служащие гостиниц используют переносные скиммеры или устройства, прикрепленные к терминалу.
Для защиты от скимминга банкиры рекомендуют использовать карты только в заслуживающих доверия торговых точках и интернет-магазинах. При оплате товаров в ресторанах, магазинах и т. д. следует не выпускать карту из вида, а снимать в банкоматах, расположенных на охраняемой территории.
скимминг - сущ., кол во синонимов: 1 мошенничество (42) Словарь синонимов ASIS. В.Н. Тришин. 2013 … Словарь синонимов
Скимминг - … Википедия
Кардинг - Мошенничество с платежными картами, кардинг (от англ. carding) вид мошенничества, при котором производится операция с использованием платежной карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Реквизиты… … Википедия
Фрод - (от англ. fraud) вид мошенничества в области информационных технологий, в частности, несанкционированные действия и неправомочное пользование ресурсами и услугами в сетях связи. Содержание 1 Фрод и GSM 1.1 SMS фрод … Википедия
Скимборд - Скимбординг (от англ. Skimboard скользящая доска) вид спорта, типа сёрфинга, представляющий собой катание на мелкой воде и по мокрому песку и являющийся разновидностью фансерфинга. Доска, используемая для катания, называется скимборд … Википедия
мошенничество - См … Словарь синонимов
Компрометация (криптография) - В этой статье не хватает ссылок на источники информации. Информация должна быть проверяема, иначе она может быть поставлена под сомнение и удалена. Вы можете отредактировать эту статью, добавив ссылки на авторитетные источники … Википедия
Чтобы предотвратить хищение средств с банковской карты, ее можно застраховать от мошенничества. Такую услугу сегодня предлагают многие кредитные организации, выпускающие карточки. Например, Сбербанк, ВТБ 24, Альфа Банк, «Русский Стандарт»,… … Банковская энциклопедия
Распространяется на риск, связанный с незаконным использованием третьими лицами потерянной или украденной карты в течение 48 часов до ее блокировки. Также страховая компания возместит ущерб, причиненный клиенту при ограблении после снятия… … Банковская энциклопедия
Компания «Меркатор» выпустила многосерийный фильм, посвященный клиентскому обслуживанию в Сбербанке. Сериал получил название «Как меняется Сбербанк». Съемки фильма проводились в течение пяти лет при содействии клиентов и сотрудников Сбербанка, а… … Банковская энциклопедия
Мы все привыкли к словосочетанию «технический прогресс». Уже довольно много лет назад смена поколений всевозможных устройств и гаджетов стала таким же привычным явлением, как смена времён года. И никого не удивляет, по большей части. Мы привыкли, к метаморфозам мобильных телефонов, домашних телевизоров, компьютерных мониторов, теперь вот подтянулись часы и даже очки. Однако есть некий немногочисленный класс устройств, о которых многие слышали, их опасаются, но в живую видели единицы. Речь идёт о скиммерах.
В России банкоматы до сих пор не столь распространены, несмотря на 23 года официального капитализма. Но даже у нас скиммеры стали некой городской страшилкой. И мало кто задумывается, что эти устройства, использующие высокотехнологичные компоненты, тоже со временем эволюционируют. И потому особый интерес представляет недавно опубликованный материал, в котором наглядно представлены этапы «модернизации» скиммеров, вплоть до современных новейших разработок криминальных умельцев.
По сути своей, скимминг представляет собой способ кражи некой информации, необходимой для осуществления транзакции с банковского счёта с целью хищения денежных средств. Говоря по простому, чтобы снять через банкомат деньги со счёта вашей банковской карты, мошенникам нужно узнать ваш PIN-код и считать данные с магнитной полосы. И для этого используются устройства самых разных конструкций и принципов действия - скиммеры.
Скиммеры изготавливаются так, чтобы быть как можно незаметнее для пользователей банкомата. Зачастую они мимикрируют под какой-то элемент интерфейса или внешнего оформления. Это сильно затрудняет не только обнаружение скиммеров, но и поимку самих злоумышленников. И за последние 12 лет скиммеры претерпели серьёзные метаморфозы. По крайне мере, если судить по тем образцам, которые были обнаружены за этот период.
В декабре 2002 года CBS сообщила об обнаружении невиданного ранее устройства, которое могло «записывать имена, номера счетов и прочую идентификационную информацию с магнитных полос банковских карт, с возможностью последующей загрузки в компьютер.» Персональный компьютер!
В то время даже законники считали, что скиммеры были фантастикой. Когда прокурор Говард Вайс, специализирующийся на мошенничествах, сам стал жертвой скимминга, он был шокирован тем, что технологии достигли такого уровня.
Конечно, полное игнорирование фактов долго не продлилось. В 2003 году покупатели, пользовавшиеся банкоматом в одном нью-йоркском гастрономе, потеряли за день суммарно около 200 000$. В последствии в сети начало ходить предупреждающее письмо:
В этом году в полицию города Нейплс (Naples) поступил звонок о неудачной попытке размещения скиммера:
Это довольно примитивное устройство состояло из считывателя, который можно было купить совершенно легально, установленного поверх картоприёмника банкомата. А под пластиковым козырьком над монитором была установлена маленькая камера.
Первые поколения скиммеров представляли собой довольно примитивные поделки. Ниже представлена одна из конструкций, включающая в себя батарейку, флешку и порт miniUSB.
Этот скиммер обнаружил один из читателей сайта Consumerist. Бдительный пользователь заподозрил неладное, дёрнул картоприёмник и к нему в руки вывалилось это .
Меньше чем через месяц был обнаружен другой скиммер, который не позволял банкомату корректно считывать карты и включал в себя фальшивое зеркало, в которое была встроена камера.
В то время для мошенников ключом к успешному скиммингу было найти способ получения украденной информации со скиммера:
Многие годы в скиммерах использовались камеры для кражи PIN-кодов. Но их было не так просто незаметно разместить на банкомате. В результате появились накладные клавиатуры, которые записывали последовательность нажимаемых клавиш:
С развитием технологий, мошенникам становилось всё легче создавать компактные устройства. Развились и подешевели услуги аутсорсингового производства. В интернете начали продавать целые наборы для скимминга, которые могли быть по запросу покрашены в нужные цвета. Цены начинались от 1500$.
Но это лишь набор начального уровня. Топовые устройства уходили за 7000-8000$:
Не все наборы были такими дорогими. Многие представляли собой готовые к использованию модули, которые мошенники устанавливали на банкоматы, а через некоторое время собирали с них собранные данные. Главным недостатком этих устройств была необходимость возвращаться за ними, чтобы забрать информацию.
Ниже представлен скиммер с функцией беспроводной связи, способный передавать информацию через сотовый модуль. Сам скиммер очень компактен, собранные данные передаёт в зашифрованном виде.
Продвинутые скиммеры вроде этого делали труд скиммеров менее опасным, снижая вероятность быть пойманными с поличным.
В конце концов, производители банкоматов начали что-то делать для противодействия скиммингу. Во-первых, начали внедрять элементы из прозрачного пластика, в частности, полусферические картоприёмники. Но злоумышленники быстро к этому приспособились:
Как видите, заметить подставу можно лишь по небольшой малозаметной пластиковой накладке. Многие ли из вас обратили бы на неё внимание? А вскоре доступная 3D-печать вывела качество скиммеров на новый уровень:
Домашние модели 3D-принтеров были ещё малопригодны для этих целей, и детали заказывались на стороне в специализированных компаниях. Выше приведён один из таких заказов, которые производитель осмотрительно отказался выполнять.
Обнаружение скиммеров становилось всё более сложной задачей. Ниже показано почти совершенное устройство. Единственный недостаток заключается в маленьком отверстии справа, через которое маленькая камера снимала набираемые на клавиатуре PIN-код.
В конце концов скиммеры стали такими миниатюрными, что вы их не увидите, даже если очень постараетесь. По данным Европейской группы по обеспечению безопасности банкоматов (European ATM Security Team), в июле 2012 были обнаружены скиммеры толщиной с лист тонкого картона. Они помещались внутрь картоприёмника, и заметить их снаружи невозможно.
Теперь ваши карты могут просканировать не только в банкоматах, но и в мобильных терминалах. В ролике показано устройство, даже печатающее фальшивый чек:
Теперь любой сотрудник может подключить принесённое с собой устройство, а в конце рабочего дня унести его, наполненным данными с большого количества банковских карт. Функционал этих терминалов позволяет даже имитировать ошибку соединения, когда данные успешно считаны. В комплекте с ними поставляется и ПО для дешифровки информации с карт, а все данные можно скачать через USB.
В прошлом году на сети заправок Murphy в Оклахоме был зафиксирован ряд случаев скимминга, когда суммарно было похищено 400 000$. мошенники использовали считыватели в комбинации с накладными клавиатурами:
Интересное в этой истории то, что скиммеры были оснащены Bluetooth-модулями, а питание получали прямо от самих банкоматов. Иными словами, срок их службы был практически не ограничен, и непосредственного визита мошенников для сбора данных не требовалось.
Пока одна «эволюционная ветвь» скиммеров пришла к миниатюризации, другая пошла по пути радикальной мимикрии. Нижеприведённый скиммер представляет собой огромную накладную панель с дисплеем. В «дикой природе» этот образец был обнаружен в Бразилии:
Устройство было изготовлено из деталей разобранного ноутбука.
Но это можно отнести скорее к курьёзам, либо к особенностям горячего бразильского характера. Всё-таки компактные скиммеры имеют куда больше шансов остаться незамеченными. И буквально на прошлой неделе был обнаружен вот такой вот скиммер толщиной с кредитную карту:
Устройство требует очень мало времени на установку и демонтаж в банкомат:
К счастью, производители тоже не сидят сложа руки, в частности, используя знания и опыт пойманных хакеров для борьбы с мошенниками. Но они быстро адаптируются, так что эта ситуация напоминает борьбу снаряда и брони.
А что делать нам, обычным пользователям? Как не стать жертвой мошенников и сохранить свои кровные? Всегда. всегда прикрывайте клавиатуру во время набора PIN-кода: в большинстве случаев мошенники используют миниатюрные камеры. А если вы используете карту системы Chip-and-pin, то злоумышленникам не так просто считать с неё данные.
И самое главное, если вас хоть что-то настораживает в облике банкомата, лучше воспользуйтесь другим. Старайтесь использовать банкоматы только в отделениях банков, это существенно снижает риск. Ну, и старайтесь не хранить много денег на «карточном» счёте.
