Мы все привыкли к словосочетанию «технический прогресс». Уже довольно много лет назад смена поколений всевозможных устройств и гаджетов стала таким же привычным явлением, как смена времён года. И никого не удивляет, по большей части. Мы привыкли, к метаморфозам мобильных телефонов, домашних телевизоров, компьютерных мониторов, теперь вот подтянулись часы и даже очки. Однако есть некий немногочисленный класс устройств, о которых многие слышали, их опасаются, но в живую видели единицы. Речь идёт о скиммерах.
В России банкоматы до сих пор не столь распространены, несмотря на 23 года официального капитализма. Но даже у нас скиммеры стали некой городской страшилкой. И мало кто задумывается, что эти устройства, использующие высокотехнологичные компоненты, тоже со временем эволюционируют. И потому особый интерес представляет недавно опубликованный материал, в котором наглядно представлены этапы «модернизации» скиммеров, вплоть до современных новейших разработок криминальных умельцев.
По сути своей, скимминг представляет собой способ кражи некой информации, необходимой для осуществления транзакции с банковского счёта с целью хищения денежных средств. Говоря по простому, чтобы снять через банкомат деньги со счёта вашей банковской карты, мошенникам нужно узнать ваш PIN-код и считать данные с магнитной полосы. И для этого используются устройства самых разных конструкций и принципов действия - скиммеры.
Скиммеры изготавливаются так, чтобы быть как можно незаметнее для пользователей банкомата. Зачастую они мимикрируют под какой-то элемент интерфейса или внешнего оформления. Это сильно затрудняет не только обнаружение скиммеров, но и поимку самих злоумышленников. И за последние 12 лет скиммеры претерпели серьёзные метаморфозы. По крайне мере, если судить по тем образцам, которые были обнаружены за этот период.
В декабре 2002 года CBS сообщила об обнаружении невиданного ранее устройства, которое могло «записывать имена, номера счетов и прочую идентификационную информацию с магнитных полос банковских карт, с возможностью последующей загрузки в компьютер.» Персональный компьютер!
В то время даже законники считали, что скиммеры были фантастикой. Когда прокурор Говард Вайс, специализирующийся на мошенничествах, сам стал жертвой скимминга, он был шокирован тем, что технологии достигли такого уровня.
Конечно, полное игнорирование фактов долго не продлилось. В 2003 году покупатели, пользовавшиеся банкоматом в одном нью-йоркском гастрономе, потеряли за день суммарно около 200 000$. В последствии в сети начало ходить предупреждающее письмо:
В этом году в полицию города Нейплс (Naples) поступил звонок о неудачной попытке размещения скиммера:
Это довольно примитивное устройство состояло из считывателя, который можно было купить совершенно легально, установленного поверх картоприёмника банкомата. А под пластиковым козырьком над монитором была установлена маленькая камера.
Первые поколения скиммеров представляли собой довольно примитивные поделки. Ниже представлена одна из конструкций, включающая в себя батарейку, флешку и порт miniUSB.
Этот скиммер обнаружил один из читателей сайта Consumerist. Бдительный пользователь заподозрил неладное, дёрнул картоприёмник и к нему в руки вывалилось это .
Меньше чем через месяц был обнаружен другой скиммер, который не позволял банкомату корректно считывать карты и включал в себя фальшивое зеркало, в которое была встроена камера.
В то время для мошенников ключом к успешному скиммингу было найти способ получения украденной информации со скиммера:
Многие годы в скиммерах использовались камеры для кражи PIN-кодов. Но их было не так просто незаметно разместить на банкомате. В результате появились накладные клавиатуры, которые записывали последовательность нажимаемых клавиш:
С развитием технологий, мошенникам становилось всё легче создавать компактные устройства. Развились и подешевели услуги аутсорсингового производства. В интернете начали продавать целые наборы для скимминга, которые могли быть по запросу покрашены в нужные цвета. Цены начинались от 1500$.
Но это лишь набор начального уровня. Топовые устройства уходили за 7000-8000$:
Не все наборы были такими дорогими. Многие представляли собой готовые к использованию модули, которые мошенники устанавливали на банкоматы, а через некоторое время собирали с них собранные данные. Главным недостатком этих устройств была необходимость возвращаться за ними, чтобы забрать информацию.
Ниже представлен скиммер с функцией беспроводной связи, способный передавать информацию через сотовый модуль. Сам скиммер очень компактен, собранные данные передаёт в зашифрованном виде.
Продвинутые скиммеры вроде этого делали труд скиммеров менее опасным, снижая вероятность быть пойманными с поличным.
В конце концов, производители банкоматов начали что-то делать для противодействия скиммингу. Во-первых, начали внедрять элементы из прозрачного пластика, в частности, полусферические картоприёмники. Но злоумышленники быстро к этому приспособились:
Как видите, заметить подставу можно лишь по небольшой малозаметной пластиковой накладке. Многие ли из вас обратили бы на неё внимание? А вскоре доступная 3D-печать вывела качество скиммеров на новый уровень:
Домашние модели 3D-принтеров были ещё малопригодны для этих целей, и детали заказывались на стороне в специализированных компаниях. Выше приведён один из таких заказов, которые производитель осмотрительно отказался выполнять.
Обнаружение скиммеров становилось всё более сложной задачей. Ниже показано почти совершенное устройство. Единственный недостаток заключается в маленьком отверстии справа, через которое маленькая камера снимала набираемые на клавиатуре PIN-код.
В конце концов скиммеры стали такими миниатюрными, что вы их не увидите, даже если очень постараетесь. По данным Европейской группы по обеспечению безопасности банкоматов (European ATM Security Team), в июле 2012 были обнаружены скиммеры толщиной с лист тонкого картона. Они помещались внутрь картоприёмника, и заметить их снаружи невозможно.
Теперь ваши карты могут просканировать не только в банкоматах, но и в мобильных терминалах. В ролике показано устройство, даже печатающее фальшивый чек:
Теперь любой сотрудник может подключить принесённое с собой устройство, а в конце рабочего дня унести его, наполненным данными с большого количества банковских карт. Функционал этих терминалов позволяет даже имитировать ошибку соединения, когда данные успешно считаны. В комплекте с ними поставляется и ПО для дешифровки информации с карт, а все данные можно скачать через USB.
В прошлом году на сети заправок Murphy в Оклахоме был зафиксирован ряд случаев скимминга, когда суммарно было похищено 400 000$. мошенники использовали считыватели в комбинации с накладными клавиатурами:
Интересное в этой истории то, что скиммеры были оснащены Bluetooth-модулями, а питание получали прямо от самих банкоматов. Иными словами, срок их службы был практически не ограничен, и непосредственного визита мошенников для сбора данных не требовалось.
Пока одна «эволюционная ветвь» скиммеров пришла к миниатюризации, другая пошла по пути радикальной мимикрии. Нижеприведённый скиммер представляет собой огромную накладную панель с дисплеем. В «дикой природе» этот образец был обнаружен в Бразилии:
Устройство было изготовлено из деталей разобранного ноутбука.
Но это можно отнести скорее к курьёзам, либо к особенностям горячего бразильского характера. Всё-таки компактные скиммеры имеют куда больше шансов остаться незамеченными. И буквально на прошлой неделе был обнаружен вот такой вот скиммер толщиной с кредитную карту:
Устройство требует очень мало времени на установку и демонтаж в банкомат:
К счастью, производители тоже не сидят сложа руки, в частности, используя знания и опыт пойманных хакеров для борьбы с мошенниками. Но они быстро адаптируются, так что эта ситуация напоминает борьбу снаряда и брони.
А что делать нам, обычным пользователям? Как не стать жертвой мошенников и сохранить свои кровные? Всегда. всегда прикрывайте клавиатуру во время набора PIN-кода: в большинстве случаев мошенники используют миниатюрные камеры. А если вы используете карту системы Chip-and-pin, то злоумышленникам не так просто считать с неё данные.
И самое главное, если вас хоть что-то настораживает в облике банкомата, лучше воспользуйтесь другим. Старайтесь использовать банкоматы только в отделениях банков, это существенно снижает риск. Ну, и старайтесь не хранить много денег на «карточном» счёте.
Для многих из нас может стать полнейшей неожиданностью ситуация, когда на банковской карте бесследно пропали средства, и такие случаи далеко не единичны. Большинство людей сразу обращаются в банк для выяснения, куда пропали их деньги, другие же замечают факт списания лишь спустя несколько недель или месяцев. Чаще всего работники банковских учреждений в таких случаях лишь разводят руками и сообщают, что средства с вашей карты были сняты в том или ином банкомате. Казус в том, что держатели карты всё делали правильно, снимая деньги в банкоматах, но им даже в «голову не могло прийти», что данные их карточки в этот момент скопировали с помощью современного вида мошенничества – скимминга. В чём заключается подобное мошенничество и как от него защититься, мы и поговорим в нашей статье.
Скимминг (от английского «skim» – бегло прочитывать, скользить, едва касаться) – одна из разновидностей мошеннической деятельности с банковскими картами, которая заключается в считывании информации с магнитной полосы с помощью специального технического устройства (скиммера). Одновременно с этим мошенники пытаются узнать ПИН-код «скиммированной» карты. Делается это при помощи специальных приспособлений, которые трудно заметить невооруженным глазом, поэтому жертвой мошенников может стать любой из нас.
Имя на руках информацию о карте и ПИН-код, мошенник может изготовить дубликат банковской карты и снять деньги с карточного счёта держателя оригинальной карточки. Самое неприятное, что факт несанкционированного снятия очень непросто доказать. Для банка всё выглядит так, будто владелец пластика сам по собственному желанию снял деньги со своего счёта и не вправе предъявлять какие-либо претензии банку.
Важнейшие способы защититься от такого способа мошенничества – использование карты с чипом и выполнение элементарных рекомендаций при работе с банкоматами (об этом далее в статье).
Скиммер – специальное устройство, которое используется для считывания данных магнитной полосы пластиковых банковских карт. В большинстве случаев они крепятся непосредственно к банкомату, а именно к его принимающему слоту картоприёмника. При этом заметить наличие скиммера сможет лишь хорошо обученный и наблюдательный человек, у большей части граждан он не вызовет никаких опасений.
Скимминговое устройство состоит из трех элементов, это:
Такие устройства обычно изготавливаются в виде специальной накладки на кардридер банкомата. При этом цвет и форма таких устройств подбирается для каждого банкомата отдельно дабы не вызвать малейших подозрений у пользователей, но как показывает практика цвет преступникам удаётся подобрать не всегда. Их источником питания служат миниатюрные батарейки.
Также скиммеры могут вставляться непосредственно в сам картоприемник, что значительно усложняет задачу его обнаружения. Это уже более новый, усовершенствованный тип мошенничества, называемый «шиммингом». Само устройство считывания – «шим», представляет из себя тонкую гибкую плату (её толщина не более 0,1 мм!), которая выполняет те же функции, что и скиммер.
Скиммеры для считывания данных с магнитной полосы карты делятся на два вида. Одни работают по принципу накопления информации о пользователях, других же сразу передают информацию о картах мошенникам при помощи радиоканала на миниатюрное принимающее устройство или непосредственно на свою принимающую аппаратуру. Может использоваться вариант устройства со встроенной сим-картой и передачей данных по сетям сотовой связи.
Есть и переносные считыватели магнитной полосы, которые в преступных целях используют официанты, работники гостиниц, кассиры. Именно поэтому старайтесь не отдавать вашу карточку в чужие руки и не упускайте её из вида.
Преступникам помимо того, что нужно считать информацию с карты, также нужно узнать и ПИН-код для доступа к ней. Для этого применяются специальные накладные клавиатуры и миниатюрные камеры, заметить которые практически невозможно. Часто их маскируют под рекламные материалы или же непосредственно под козырек банкомата. Микрокамеры могут быть установлены где угодно, необязательно на самом банкомате – всё зависит от сообразительности преступников.
Преступникам с помощью скиммингового устройства удается получить все необходимые данные с магнитной полосы (номер карточки, имя держателя, срок действия карточки, код проверки подлинности CVV2/CVC2) для того, чтобы сделать дубликат карты и в дальнейшем снять средства с вашего счета в любом из банкоматов. Причем жертвой может стать любой из нас. Всё происходит за несколько секунд в тот момент, когда вы решили снять деньги с карты или же оплатить какие-либо услуги через терминал или банкомат.
В последнее время для уменьшения жертв скимминга многие банки стали устанавливать терминалы и банкоматы с сенсорными экранами, однако, мошенников это абсолютно не смутило. Для получения ПИН-кода они начали использовать специальные накладки, которые крепятся прямо на экран.
Производители банкоматов выпускают также антискимминговые накладки, которые призваны не допустить установки скимминговых накладок, а последние модификации подавляют работу мошеннических накладок с помощью электромагнитных волн – препятствуя считыванию информации с карты.
Чтобы не стать очередной жертвой злоумышленников при очередном снятии средств или оплате услуг через терминал или банкомат необходимо четко придерживаться следующих правил:
Наконец, используйте карту как платёжный инструмент в магазинах, а не как средство для получения наличных в банкоматах.
Никогда не теряйте бдительности и помните о вышеуказанных правилах. Это позволит вам защитить себя и не стать жертвой скимминга.
Человек оказывается в незнакомом районе города без средств. Воспользовавшись услугами банкомата, расположенного в нелюдном месте, на телефон поступает смс о том, что совершенно в другой стране с карты сняты все деньги. Что произошло и как предотвратить кражу денег?
После кражи личных средств клиент обращается в банк с претензией. Но вернут ли деньги? Это спорный вопрос. В любом случае придется потратить много времени на визиты в банк и полицию. В данном случае речь идет о скимминге – распространенной схеме мошенничества с использованием достижений современных технологий. Опасность подстерегает каждого картодержателя. Но риски можно минимизировать.
Скимминг – кража денег с карты. Схема мошенничества предусматривает использование специальных считывающих устройств – скиммеров.
Устройство копирует все реквизиты карты, которые требуются злоумышленникам для снятия наличных. Устройства устанавливаются непосредственно на банкоматные устройства или терминалы самообслуживания, имитируя их поверхность. Информация записывается на карту памяти, а пластик возвращается держателю, который ничего не подозревает. Затем мошенники используют полученные данные для изготовления дубликата. Конечно же, преступникам нужен ПИН-код, но получить его тоже совсем несложно. Для этого есть по крайней мере два способа:
В настоящее время преступники охотятся за данными, которые зашифрованы в магнитной полосе. Украсть информацию с чипа гораздо сложнее. Для воровства используются три устройства:
Данные могут записываться непосредственно на карту памяти или передаваться через дистанционные каналы связи. Схемы работы преступников не ограничиваются терминалами и банкоматами.
Так, ряд кредитно-финансовых учреждений устанавливает устройства самообслуживания в помещениях, доступ к которым открывается с помощью пластиковой карты. Такие помещения обеспечивают комфорт и безопасность при обналичивании средств. Но злоумышленники не упускают возможность установить считывающие устройства непосредственно на картридер, который находится на входе.
Если мошенникам не удается получить ПИН-код, то изготавливается дубликат карты для расчетных операций. Такие операции осуществляются через интернет или в сговоре с кассирами.
Часто оплата покупок или обналичивание средств по дубликатам карт происходит в другой стране. Таким образом преступники усложняют работу правоохранителей.
В то же время снимается часть ответственности с картодержателя, ведь ему достаточно просто доказать, что он не пользовался банкоматами в Боливии или Гондурасе.
Схемы мошенничества постоянно совершенствуются и не ограничиваются перечисленными способами. Основная задача картодержателя сводится к тому, чтобы не воспользоваться устройством мошенников.
Перед тем как вставить карту в ридер нужно убедиться, нет ли на щели накладки. Если на устройстве самообслуживания установлена антискиминговая накладка, то рекомендуется проверить ее на прочность. Настоящая накладка качественно прикреплена и не шатается. Злоумышленники работают быстро.
Поэтому свои устройства крепят скотчем или клеем. Нередко на поверхности банкомата (возле картоприемника) остаются следы клея или царапины. От использования такого устройства лучше отказаться.
Также рассмотрим другие нюансы:
Поверхность устройства нужно тщательно изучить. Любые люфты, отличия цветовых решений должны вызвать подозрение.
Нередко на старых банкоматах явно выделяется новая клавиатура. Необходимо поддеть ее пальцем: не исключено, что под накладкой скрывается настоящая клавиатура.
Особое внимание нужно уделить выбору устройства самообслуживания. Рекомендуется избегать банкоматов:
Идеальный вариант – обналичивание средств в одном устройстве. Клиент автоматически запомнит все детали, а любые изменения сразу же будут бросаться в глаза. В первую очередь нужно обращать на клавиатуру и ридер. Преимущество нужно отдать следующим банкоматам:
Появление банкоматов и терминалов с сенсорными экранами не остановило злоумышленников. Существуют специальные накладки для мониторов. Поэтому сенсор не гарантирует безопасности. В последнее время производители банкоматных устройств используют комплексную защиту от скимминга:
К сожалению, не все банкоматы оснащены джиттерами. Существует несколько модификаций антискимминговых накладок. Последние модели излучают электромагнитные волны, препятствующие считыванию информации.
Если пластиковая карта вибрирует при входе в приемник, значит, банкомат гарантирует высокий уровень безопасности.
Устаревшие модификации антискиммеров предназначены для того, чтобы не допустить крепление считывающего устройства. Антискиммер должен быть изготовлен из прозрачной пластмассы для того, чтобы пользователь мог визуально убедиться в отсутствии сканнеров и других устройств. Здесь снова нужно напомнить, что антискиммер должен быть прочным. Перед тем как пользоваться банкоматом, нужно пошевелить антискиммер. Также не нужно путать скиммер с антискиммером.
Перечисленные рекомендации требуют повышенного внимания, но они позволяют картодержателям сохранить личные средства. Если мошенники украли персональную информацию, а для этого достаточно один раз воспользоваться банкоматом со скиммером, деньги могут быть украдены в любой момент.
Иногда преступники устанавливают считывающие устройства, а код просто подсматривают. Также желательно воспользоваться следующими советами:
При обналичивании средств и других операциях через банкомат и другие устройства самообслуживания необходимо проявлять бдительность. Перечисленные меры защиты помогут сберечь деньги, а также избежать разбирательств с банком.
Скиммеры банковских карт – устройства, используемые злоумышленниками для воровства данных банковских карт при пользовании банкоматами и платежными терминалами. Эти устройства выглядят как накладки на кардридер, выполненные в соответствии с дизайном банкомата. Хоть скиммеры и «мимикрируют» под настоящие кардридеры, они достаточно громоздки – будучи внимательными, их сравнительно легко определить и снять с банкомата, что невыгодно для мошенников.
Долгое время для совершения краж из банкоматов злоумышленники успешно пользовались физическими накладками. Их эволюцию можно проследить от тонких накладок внутри банкомата, до огромных искусственных панелей, полностью эмулирующих фронтальную панель банкомата. Механика кражи максимально проста: на кардридер банкомата накладывается скиммер, с помощью которого злоумышленник считывает все данные с магнитной полосы. При этом одни скиммеры работают по принципу накопления считанной информации о пользователях, другие же сразу передают информацию о картах мошенникам по радиоканалу (на миниатюрное принимающее устройство или непосредственно на свою принимающую аппаратуру). Кроме этого, к банкомату крепится фальшивая клавиатура, нажимая на которую владелец кредитной карты передает в руки мошенников PIN -код. Еще одно средство получения информации, которым пользуются злоумышленники,─ скрытые видеокамеры, установленные неподалеку от банкомата.
Злоумышленникам далеко не всегда нужно узнавать сам PIN-код карты, так как основной дорожки магнитной банковской карты (Track2) достаточно для создания копии карты, которую часто можно использовать для оплаты в магазинах, POS-терминалах или при онлайн-платежах. Track2 содержит всю информацию о карте: PAN - номер карты, expiration date - срок ее действия, а также зашифрованный PIN-код.
Распространенность таких способов хищений привела к тому, что производители банкоматов и сторонние вендоры стали устанавливать активные или пассивные средства антискимминга, что позволяет эффективно бороться с воровством такого типа. Хотя кое-что антискимминговое оборудование все же пока не научилось определять: например, одну из самых незаметных накладок - ту, что стоит в шине между считывателем карт и компьютером банкомата и сохраняет у себя данные считаных карт.
Еще одной преградой для любителей физического скимминга стало введение уголовной ответственности за кражу данных карт в банкоматах. За незаконные действия преступникам теперь грозят наказания различного типа в зависимости от степени тяжести преступления (от штрафов до лишения свободы). Именно поэтому самые активные хакеры постепенно переходят на новый уровень.
Без контакта
Операции с картами в банкоматах зачастую предполагают передачу данных магнитной полосы Track2 в открытом виде. Например, если сетевое соединение между банкоматом и процессингом не защищено шифрованием, то украсть номер карты не представляет большой трудности: накладки, которые прослушивают трафик, передающийся от банкомата в процессинговый центр, организовать гораздо проще, чем вскрывать и модифицировать сам банкомат.
В этом случае, к примеру, не сработают системы видеонаблюдения в банкомате, контроля открытия сервисной зоны и другие средства физической защиты.
Хакеры изобрели вредоносное ПО , способное незаметно снимать данные карточек на протяжении месяцев. И это ненамного сложнее, чем атаки с использованием другого вредоносного ПО, которое, например, «заставляет» банкомат выдать все содержащиеся в нем купюры по специальной команде.
В целом есть определенная зависимость: чем сложнее грабить банкоматы, тем больше злоумышленники склоняются к «долгой игре» (которая сейчас характерна для APT-атак). Злоумышленник ставит перед собой задачу максимально долго оставаться незамеченным и все это время снимать карточные данные в банкоматах, которые в дальнейшем будут использоваться для мошеннических операций. К слову, по статистике, в России на один банкомат в течение квартала приходится более 6000 операций. Если принять каждую операцию за потенциальную возможность «съема» карточных данных, то нехитрые математические действия (умножение на число охваченных банкоматов и время присутствия в сети злоумышленника) позволят спрогнозировать весьма существенный объем скомпрометированных данных.
Используя методики социальной инженерии или другие атаки на периметр банка, хакеры запросто проникают в банковскую сеть: по нашей статистике, в среднем до трети сотрудников открывают письма с вложениями, способными заразить их компьютеры, и это при том, что для успешности атаки достаточно открыть одно-единственное письмо. В 47% случаев периметр организации можно преодолеть, используя уязвимости веб-приложений.
После проникновения во внутреннюю сеть банка злоумышленникам остается получить доступ к определенной подсети банковского процессинга, где находятся данные всей сети банкоматов. Там же можно узнать, какие из банкоматов могут быть не защищены от критических уязвимостей или работают без межсетевого экрана . Это позволит заразить любой банкомат и извлечь деньги из каждого из них в любой момент. По схожему сценарию произошло ограбление государственного банка GSB в Тайланде. Кстати, чтобы остановить попытки незаконного снятия денег со случайного банкомата, в этом конкретном случае пришлось отключить половину всей банкоматной сети (более 3000 устройств).
В октябре 2017 года в США осужден уроженец Иордании Атеф Альхатиб, который несколько лет занимался скиммингом. Разъезжая по городам Южной Калифорнии, он размещал на банкоматах устройства для считывания информации с магнитных полос карт, а также устанавливал скрытые видеокамеры в зоне видимости банкоматов – это позволяло ему узнавать PIN-коды. У себя дома преступник устроил мастерскую по изготовлению дубликатов скомпрометированных карт. За три года мужчина украл финансовую информацию более 13 тысяч клиентов Wells Fargo и других американских банков. Ущерб составил несколько миллионов долларов.
Зачастую скимминговые схемы реализует организованная преступность. Полиция Абу Даби в 2016 году арестовала четырех хакеров азиатского происхождения, которые похищали информацию о кредитных картах с использованием шпионских устройств. Общая сумма потерь собственников кредитных карт составила более миллиона эмиратских дирхам (порядка $270 тысяч). Следует отметить, что жертвы ранее размещали информацию о своих кредитных картах на электронных торговых площадках, что облегчило «работу» злоумышленникам.
Нередко преступным промыслом занимаются «гастролеры» - преступники из других стран. Например, индийская полиция в конце 2017 года задержала сразу две группы граждан Румынии. Приехав в Индию по туристическим визам, они не уделяли время изучению достопримечательностей и культуры, а занялись установкой скимминговых устройств. В результате более 1000 человек потеряли порядка 6,6 млн рупий (порядка $100 тысяч).
Помимо банкоматов, довольно популярные объекты для скиммеров – платежные терминалы на автозаправочных станциях. Так, группа мошенников из 12 человек была обезврежена в Колорадо. Они промышляли на АЗС нескольких штатов. Участники преступной группы успели скомпрометировать финансовые данные более 8 тысяч жертв, нанеся ущерб порядка $2,5 млн. Кроме того, выяснилось, что арестованные были вовлечены в международную сеть по отмыванию денег.
При посещении банкомата внимательно осмотрите его лицевую сторону на предмет наличия накладок на клавиатуру, на картоприемник и других подозрительных приспособлений. Набирая PIN-код, прикрывайте клавиатуру свободной рукой – так вы защитите свою финансовую информацию в том случае, если банкомат находится под наблюдением видеокамер мошенников. Старайтесь снимать деньги в банкоматах, расположенных в отделениях банков или в хорошо защищенных офисах. Как правило, скиммеры выбирают для своего промысла уличные терминалы. Также лучше воздержаться от оплаты картой на незнакомых заправках, в подозрительных кафе и магазинах.
С 2015 года возникла новая угроза – так называемые шиммеры . Это тонкие, практически незаметные устройства, располагаемые в самих кардридерах для считывания информации с чипованных карт в банкоматах. Шиммер - это тонкая «прокладка», которая располагается между чипом на карте и считывающим устройством чипов в банкомат или терминале – и записывает данные с чипа, когда их считывает терминал. Данные, собранные в ходе такой операции, не могут быть использованы для изготовления нового чипа, но их можно использовать для клонирования магнитной полосы карты.
Лазейкой, которая позволяет обходить такие механизмы защиты чипированных карт, как, например, iCVV (этот механизм обеспечивает защиту от копирования магнитной полосы карты и создания ее дубля), является тот факт, что процесс эмиссии чипированных карт в ряде банков до сих пор не полностью соответствует стандарту безопасности чип-карт, известному как EMV (Europay , Mastercard и Visa). Этой уязвимостью и воспользовались создатели шимминга.
«В зону риска для шиммеров попадают только те карты, чей банк-эмитент пренебрегает обязательной автоматической проверкой CVV при получении каждого запроса на оплату», - сообщает NCR Corp. «Все эмитенты должны провести проверки в этом направлении, чтобы ликвидировать возможность возникновения мошеннических операций по картам, данные которых были украдены с помощью шиммеров. В целом же шимминг не представляет опасности для чипованных карт и не требует внедрения дополнительных механизмов защиты на платежные терминалы и в банкоматы».
Первые шиммеры появились еще в 2015 году в Мексике и с тех пор они завоевали особую «популярность» в Канаде. Многие компании, обрабатывающие карточные данные, обеспокоены тем, что в скором времени они могут распространиться и на рынок в связи с законом об обязательном чипировании кредитных и дебетовых карт.
Специалисты по безопасности призывают владельцев магазинов и банкоматов ежедневно проверять кардридеры, чтобы быть уверенными в отсутствии сторонних устройств. Однако, основная ответственность в направлении ликвидации новой угрозы лежит на банках-эмитентах. Только полное соответствие стандартам безопасности международных платежных систем обезопасит их клиентов от финансовых рисков.
Скимминговое устройство (далее по тексту СУ ) предназначено для негласного получения информации с магнитной полосы дебетовой (кредитной) карты и ПИН-кода держателя. Сами устройства могут либо накапливать информацию либо передавать ее по беспроводным каналам (например, по wi-fi).
СУ устанавливаются внутри банкомата, на ридер банкомата, на саму антискимминговую накладку (далее - АСУ) или при входе банка (например, raiffeisen bank доступ к своим банкоматам ограничивают по кредитной карте через ридер на входной двери).
Копирование ПИН-кода осуществляется путем оставления накладной клавиатуры, камеры с любого удобного ракурса, в том числе камера инфракрасного диапазона.
В последнее время появились АСУ, которые в случае установки СУ оставляют банкомат работоспособным, а карты в безопасности.
Например, в случае излучения электромагнитных волн подавляющими излучениями антенны, в которой ток, соответственно, преобразуется в энергию распространяющихся в пространстве электромагнитных волн, а не наоборот:
Интересное техническое решение есть у Голландских железных дорог. Поскольку все СУ используют функцию движения кредитной карты вдоль магнитной полосы при ее помещении в ридер, то в этот момент происходит перехват и копирование, в том числе с комбинированных микропроцессорных карт.
Для этого они ридер развернули на 90 градусов. При этом карта должна вставляться полосой вперед и вниз (и уходит далеко внутрь банкомата), а далее карта автоматически идет движением слева направо:
Механизм румынской компании SRS работает по следующей схеме: сначала пользователь вставляет карту в банкомат длинной стороной так, что магнитная полоса располагается параллельно стенке банкомата, после чего механизм поворачивает карту на 90 градусов, чтобы считать информацию с магнитной полосы. Затем карта поворачивается обратно и возвращается пользователю:
Кроме того, теперь более новые банкоматы применяют технологию ActivEdge, где картридер передает в процессор считываемую с карты информацию в зашифрованном виде, исключая тем самым саму возможность перехвата и компрометации данных на этом участке работы с картой. При этом конструкция банкомата индивидуальна и исключает подмену картридера другим картридером.
Другой способ компроментировать (скопировать) карту - установить фальшивый банкомат. Потому что в некоторых странах (например, в США) любой гражданин имеет право купить банкомат, заключить договор на его обслуживание и получать прибыль.
Применяют еще высокотехнологичные атаки:
-убеждают машину с помощью кода, что она наполнена 1 долларовыми купюрами, но на деле 20 долларовыми;
-при подмене хоста подключается ноутбук и отключается стационарный компьютер;
-в Башкортостане в 2009 году убедили банкомат, что курс доллара 1500 руб., обменяв 800 долларов на 1,2 млн. руб.;
-в Москве был случай при помощи программы обслуживания банкоматов были извлечены банкноты без вскрытия сейфовой части банкомата;
-отключение антивирусов через CD-привод и установка вредоносного программного обеспечения. Как противодействие в данном случае используются решения по обеспечению контроля целостности программ;
-в 2011 году в Екатеринбурге в Сбербанк были внесены «Билеты банка приколов» в сумме более миллиона рублей:
При этом изготовление купюр, на которых написано, что они не являются платежным средством, не влечет уголовной ответственности по статье изготовление, хранение и сбыт поддельных купюр. Но можно квалифицировать как приготовление к тяжкому и особо тяжкому преступлению (в данном случае тяжесть смотреть в УК РФ надо по сумме денег). На практике это означает, что при внесении неплатежеспособных машиночитаемых купюр на сумму менее 250 тыс.руб. уголовная ответственность не наступает до момента получения внесенной денежной суммы. Снятие же денег может осуществляться за пределами России.
Для целей определения подлинности банкнот сканер банкомата проверяет их на машиночитаемые признаки: в видимом спектре, инфракрасном, ультрафиолетовом, магнитном. При современном уровне техники те элементы защиты, которые считывают сканеры банкомата, можно считать аналогичными сканирующими устройствами и передать на соответствующие принтеры. Изготовленная банкнота будет определяться банкоматом как подлинная. Другой способ атаки на кэш ввод – это использование склеенных купюр. Мошенники разрезают девять пятитысячных купюр и склеивают из фрагментов тонким матовым скотчем десять банкнот.
Подойдет такой строительный скотч (я даже помню однажды сам склеивал 5 тысячную купюру, которая немного порвалась, и банкомат ее благополучно съел).
Далее… сознательные граждане пишут, что размер поврежденных купюр составляет 157×65 мм, а обычный размер – 157×69 мм, но при этом они принимаются банкоматами и платежными терминалами для зачисления на счет и в качестве платежей как банкноты Банка России стандартного размера. От четырех купюр отрезают по четверти, разрезанные купюры сдают в банк (осталось 75 % площади), из четырех четвертинок склеивают одну купюру и пополняют ей счет карты в банкомате с функцией приема наличных. Из нескольких купюр разного достоинства якобы склеивают купюры, которые воспринимаются кэш вводом как купюры самого большого номинала.
Еще как вариант могут скопировать сотрудники торгового центра, а особенно АЗС, поскольку они берут в руки вашу карту. Поэтому следите за руками и запоминайте переворачивали ли карту стороной трехзначного кода вверх, чтобы посмотреть или клали ли на копиру, т.к. видеокамеры могут не иметь соответствующего качества съемки и разрешения. Если имеются какие-либо подозрения в копировании ваших данных, то фотографируйте на фото и видео прямо в наглую сотрудника торговой точки (чтобы сотрудник понял, что начинать искать будут с него в случае чего), а также стучите в свой банк и в соответствующие органы. Потому что с момента уведомления вами вашего банка риски пропажи денег возлагаются на банк.
Законодательство дает поблажки тем ворам, которые применяют высокотехнологичный способ атаки, и в этом случае при задержании вору (рекомендую как адвокат) необходимо инициировать заключение с ФСБ соглашения о сотрудничестве и тогда за кражу вору скорее всего дадут условный срок, но, как я понимаю, это если по статье кража попадос был первый раз в жизни (или попадос был давно, но судимость снята, т.е. можно сказать, что ее не было для целей назначения срока наказания).
Это были интеллектуальные атаки, но есть более простые способы. Если кратко, то используется способ подсматривания ПИН-кода при его наборе с последующей кражей карты и телефона. Для этого способа потребуется зоркий глаз, ловкость рук и умение пользоваться бритвой для разрезания карманов и сумочек, в которых лежит карта.
Еще более простым способом изъятия наличности (это более пассивный способ, для бомжей слоняющихся неподалеку) является заклеить скотчем гнездо выдачи наличности, чтобы когда Вы не увидите деньги в банкомате и отвлечетесь, то их можно было бы забрать, отклеив скотч в гнезде выдачи наличности.
