Скиммер для банкомата, как работают скимминговые устройства для считывания карт

Эволюция банкоматных скиммеров

Скиммер для банкомата, как работают скимминговые устройства для считывания карт

Мы все привыкли к словосочетанию «технический прогресс». Уже довольно много лет назад смена поколений всевозможных устройств и гаджетов стала таким же привычным явлением, как смена времён года. И никого не удивляет, по большей части.

Мы привыкли, к метаморфозам мобильных телефонов, домашних телевизоров, компьютерных мониторов, теперь вот подтянулись часы и даже очки. Однако есть некий немногочисленный класс устройств, о которых многие слышали, их опасаются, но в живую видели единицы.

Речь идёт о скиммерах.

В России банкоматы до сих пор не столь распространены, несмотря на 23 года официального капитализма. Но даже у нас скиммеры стали некой городской страшилкой.

И мало кто задумывается, что эти устройства, использующие высокотехнологичные компоненты, тоже со временем эволюционируют.

И потому особый интерес представляет недавно опубликованный материал, в котором наглядно представлены этапы «модернизации» скиммеров, вплоть до современных новейших разработок криминальных умельцев.

По сути своей, скимминг представляет собой способ кражи некой информации, необходимой для осуществления транзакции с банковского счёта с целью хищения денежных средств. Говоря по простому, чтобы снять через банкомат деньги со счёта вашей банковской карты, мошенникам нужно узнать ваш PIN-код и считать данные с магнитной полосы. И для этого используются устройства самых разных конструкций и принципов действия — скиммеры. Скиммеры изготавливаются так, чтобы быть как можно незаметнее для пользователей банкомата. Зачастую они мимикрируют под какой-то элемент интерфейса или внешнего оформления. Это сильно затрудняет не только обнаружение скиммеров, но и поимку самих злоумышленников. И за последние 12 лет скиммеры претерпели серьёзные метаморфозы. По крайне мере, если судить по тем образцам, которые были обнаружены за этот период.

2002-2007

В декабре 2002 года CBS сообщила об обнаружении невиданного ранее устройства, которое могло «записывать имена, номера счетов и прочую идентификационную информацию с магнитных полос банковских карт, с возможностью последующей загрузки в компьютер.

» Персональный компьютер!

В то время даже законники считали, что скиммеры были фантастикой. Когда прокурор Говард Вайс, специализирующийся на мошенничествах, сам стал жертвой скимминга, он был шокирован тем, что технологии достигли такого уровня.

Конечно, полное игнорирование фактов долго не продлилось. В 2003 году покупатели, пользовавшиеся банкоматом в одном нью-йоркском гастрономе, потеряли за день суммарно около 200 000$. В последствии в сети начало ходить предупреждающее письмо:

2008

В этом году в полицию города Нейплс (Naples) поступил звонок о неудачной попытке размещения скиммера:

Это довольно примитивное устройство состояло из считывателя, который можно было купить совершенно легально, установленного поверх картоприёмника банкомата. А под пластиковым козырьком над монитором была установлена маленькая камера.

2009

Первые поколения скиммеров представляли собой довольно примитивные поделки. Ниже представлена одна из конструкций, включающая в себя батарейку, флешку и порт miniUSB.

Этот скиммер обнаружил один из читателей сайта Consumerist. Бдительный пользователь заподозрил неладное, дёрнул картоприёмник и к нему в руки вывалилось это.

Меньше чем через месяц был обнаружен другой скиммер, который не позволял банкомату корректно считывать карты и включал в себя фальшивое зеркало, в которое была встроена камера.

В то время для мошенников ключом к успешному скиммингу было найти способ получения украденной информации со скиммера: Ранние модели скиммеров иногда заставляли банкоматы работать некорректно. Но вскоре злоумышленники научились успешно паразитировать на них.

2010

Многие годы в скиммерах использовались камеры для кражи PIN-кодов. Но их было не так просто незаметно разместить на банкомате.

В результате появились накладные клавиатуры, которые записывали последовательность нажимаемых клавиш:

С развитием технологий, мошенникам становилось всё легче создавать компактные устройства. Развились и подешевели услуги аутсорсингового производства.

В интернете начали продавать целые наборы для скимминга, которые могли быть по запросу покрашены в нужные цвета. Цены начинались от 1500$.

Но это лишь набор начального уровня. Топовые устройства уходили за 7000-8000$:

Не все наборы были такими дорогими. Многие представляли собой готовые к использованию модули, которые мошенники устанавливали на банкоматы, а через некоторое время собирали с них собранные данные. Главным недостатком этих устройств была необходимость возвращаться за ними, чтобы забрать информацию.

Ниже представлен скиммер с функцией беспроводной связи, способный передавать информацию через сотовый модуль. Сам скиммер очень компактен, собранные данные передаёт в зашифрованном виде.

Продвинутые скиммеры вроде этого делали труд скиммеров менее опасным, снижая вероятность быть пойманными с поличным.

2011

В конце концов, производители банкоматов начали что-то делать для противодействия скиммингу. Во-первых, начали внедрять элементы из прозрачного пластика, в частности, полусферические картоприёмники.

Но злоумышленники быстро к этому приспособились:

Как видите, заметить подставу можно лишь по небольшой малозаметной пластиковой накладке.

Многие ли из вас обратили бы на неё внимание? А вскоре доступная 3D-печать вывела качество скиммеров на новый уровень:

Домашние модели 3D-принтеров были ещё малопригодны для этих целей, и детали заказывались на стороне в специализированных компаниях. Выше приведён один из таких заказов, которые производитель осмотрительно отказался выполнять.

2012

Обнаружение скиммеров становилось всё более сложной задачей. Ниже показано почти совершенное устройство. Единственный недостаток заключается в маленьком отверстии справа, через которое маленькая камера снимала набираемые на клавиатуре PIN-код.

В конце концов скиммеры стали такими миниатюрными, что вы их не увидите, даже если очень постараетесь. По данным Европейской группы по обеспечению безопасности банкоматов (European ATM Security Team), в июле 2012 были обнаружены скиммеры толщиной с лист тонкого картона.

Они помещались внутрь картоприёмника, и заметить их снаружи невозможно.

Теперь ваши карты могут просканировать не только в банкоматах, но и в мобильных терминалах. В ролике показано устройство, даже печатающее фальшивый чек: Теперь любой сотрудник может подключить принесённое с собой устройство, а в конце рабочего дня унести его, наполненным данными с большого количества банковских карт. Функционал этих терминалов позволяет даже имитировать ошибку соединения, когда данные успешно считаны. В комплекте с ними поставляется и ПО для дешифровки информации с карт, а все данные можно скачать через USB.

2013

В прошлом году на сети заправок Murphy в Оклахоме был зафиксирован ряд случаев скимминга, когда суммарно было похищено 400 000$. мошенники использовали считыватели в комбинации с накладными клавиатурами: Интересное в этой истории то, что скиммеры были оснащены Bluetooth-модулями, а питание получали прямо от самих банкоматов.

Иными словами, срок их службы был практически не ограничен, и непосредственного визита мошенников для сбора данных не требовалось. Пока одна «эволюционная ветвь» скиммеров пришла к миниатюризации, другая пошла по пути радикальной мимикрии. Нижеприведённый скиммер представляет собой огромную накладную панель с дисплеем.

В «дикой природе» этот образец был обнаружен в Бразилии: Устройство было изготовлено из деталей разобранного ноутбука.

2014

Но это можно отнести скорее к курьёзам, либо к особенностям горячего бразильского характера. Всё-таки компактные скиммеры имеют куда больше шансов остаться незамеченными.

И буквально на прошлой неделе был обнаружен вот такой вот скиммер толщиной с кредитную карту: Устройство требует очень мало времени на установку и демонтаж в банкомат:

К счастью, производители тоже не сидят сложа руки, в частности, используя знания и опыт пойманных хакеров для борьбы с мошенниками. Но они быстро адаптируются, так что эта ситуация напоминает борьбу снаряда и брони.

А что делать нам, обычным пользователям? Как не стать жертвой мошенников и сохранить свои кровные? Всегда. всегда прикрывайте клавиатуру во время набора PIN-кода: в большинстве случаев мошенники используют миниатюрные камеры. А если вы используете карту системы Chip-and-pin, то злоумышленникам не так просто считать с неё данные.

И самое главное, если вас хоть что-то настораживает в облике банкомата, лучше воспользуйтесь другим. Старайтесь использовать банкоматы только в отделениях банков, это существенно снижает риск. Ну, и старайтесь не хранить много денег на «карточном» счёте.

Источник: https://habr.com/ru/post/234933/

Что такое скимминг и как от него защититься?

Скиммер для банкомата, как работают скимминговые устройства для считывания карт

Для многих из нас может стать полнейшей неожиданностью ситуация, когда на банковской карте бесследно пропали средства, и такие случаи далеко не единичны.

Большинство людей сразу обращаются в банк для выяснения, куда пропали их деньги, другие же замечают факт списания лишь спустя несколько недель или месяцев.

Чаще всего работники банковских учреждений в таких случаях лишь разводят руками и сообщают, что средства с вашей карты были сняты в том или ином банкомате.

Казус в том, что держатели карты всё делали правильно, снимая деньги в банкоматах, но им даже в «голову не могло прийти», что данные их карточки в этот момент скопировали с помощью современного вида мошенничества – скимминга. В чём заключается подобное мошенничество и как от него защититься, мы и поговорим в нашей статье.

Что такое скимминг?

Скимминг (от английского «skim» – бегло прочитывать, скользить, едва касаться) – одна из разновидностей мошеннической деятельности с банковскими картами, которая заключается в считывании информации с магнитной полосы с помощью специального технического устройства (скиммера). Одновременно с этим мошенники пытаются узнать ПИН-код «скиммированной» карты. Делается это при помощи специальных приспособлений, которые трудно заметить невооруженным глазом, поэтому жертвой мошенников может стать любой из нас.

Имя на руках информацию о карте и ПИН-код, мошенник может изготовить дубликат банковской карты и снять деньги с карточного счёта держателя оригинальной карточки.

Самое неприятное, что факт несанкционированного снятия очень непросто доказать.

Для банка всё выглядит так, будто владелец пластика сам по собственному желанию снял деньги со своего счёта и не вправе предъявлять какие-либо претензии банку.

Важнейшие способы защититься от такого способа мошенничества – использование карты с чипом и выполнение элементарных рекомендаций при работе с банкоматами (об этом далее в статье).

Скимминговые устройства, их отличия и принцип работы

Скиммер – специальное устройство, которое используется для считывания данных магнитной полосы пластиковых банковских карт. В большинстве случаев они крепятся непосредственно к банкомату, а именно к его принимающему слоту картоприёмника. При этом заметить наличие скиммера сможет лишь хорошо обученный и наблюдательный человек, у большей части граждан он не вызовет никаких опасений.

Скимминговое устройство состоит из трех элементов, это:

  • считывающая магнитная головка – она считывает информацию с магнитной полосы;
  • миниатюрный преобразователь – преобразовывает считанную информацию в цифровой код;
  • накопитель – записывает цифровой код на носитель данных.

Такие устройства обычно изготавливаются в виде специальной накладки на кардридер банкомата. При этом цвет и форма таких устройств подбирается для каждого банкомата отдельно дабы не вызвать малейших подозрений у пользователей, но как показывает практика цвет преступникам удаётся подобрать не всегда. Их источником питания служат миниатюрные батарейки.

Также скиммеры могут вставляться непосредственно в сам картоприемник, что значительно усложняет задачу его обнаружения. Это уже более новый, усовершенствованный тип мошенничества, называемый «шиммингом». Само устройство считывания – «шим», представляет из себя тонкую гибкую плату (её толщина не более 0,1 мм!), которая выполняет те же функции, что и скиммер.

Скиммеры для считывания данных с магнитной полосы карты делятся на два вида.

Одни работают по принципу накопления информации о пользователях, других же сразу передают информацию о картах мошенникам при помощи радиоканала на миниатюрное принимающее устройство или непосредственно на свою принимающую аппаратуру. Может использоваться вариант устройства со встроенной сим-картой и передачей данных по сетям сотовой связи.

Есть и переносные считыватели магнитной полосы, которые в преступных целях используют официанты, работники гостиниц, кассиры. Именно поэтому старайтесь не отдавать вашу карточку в чужие руки и не упускайте её из вида.

Преступникам помимо того, что нужно считать информацию с карты, также нужно узнать и ПИН-код для доступа к ней.

Для этого применяются специальные накладные клавиатуры и миниатюрные камеры, заметить которые практически невозможно. Часто их маскируют под рекламные материалы или же непосредственно под козырек банкомата.

Микрокамеры могут быть установлены где угодно, необязательно на самом банкомате – всё зависит от сообразительности преступников.

Преступникам с помощью скиммингового устройства удается получить все необходимые данные с магнитной полосы (номер карточки, имя держателя, срок действия карточки, код проверки подлинности CVV2/CVC2) для того, чтобы сделать дубликат карты и в дальнейшем снять средства с вашего счета в любом из банкоматов. Причем жертвой может стать любой из нас. Всё происходит за несколько секунд в тот момент, когда вы решили снять деньги с карты или же оплатить какие-либо услуги через терминал или банкомат.

В последнее время для уменьшения жертв скимминга многие банки стали устанавливать терминалы и банкоматы с сенсорными экранами, однако, мошенников это абсолютно не смутило. Для получения ПИН-кода они начали использовать специальные накладки, которые крепятся прямо на экран.

Производители банкоматов выпускают также антискимминговые накладки, которые призваны не допустить установки скимминговых накладок, а последние модификации подавляют работу мошеннических накладок с помощью электромагнитных волн – препятствуя считыванию информации с карты.

Как защититься от скимминга?

Чтобы не стать очередной жертвой злоумышленников при очередном снятии средств или оплате услуг через терминал или банкомат необходимо четко придерживаться следующих правил:

  • выбирайте для пользования терминалы и банкоматы, которые расположены непосредственно в отделениях банка или других охраняемых учреждениях. В таком случае злоумышленникам будет практически невозможно установить скиммеры, чтобы этого не заметили работники учреждения. От уличных банкоматов, а особенно от тех, которые находятся в темных местах, лучше отказаться;
  • используйте свою банковскую карту лишь в тех точках, в которых вы уверены на сто процентов;
  • перед тем как вставить карту в картоприемник внимательно осмотрите банкомат. При обнаружении каких-либо подозрительных приспособлений позвоните на горячую линию банка и сообщите об этом факте;
  • если у вас появились какие-то подозрения на наличие «чужеродных» устройств на банкомате, то не стесняйтесь их потрогать – проверить, крепко ли они закреплены. Если вам очевидно, что накладное устройство недавно прикрепили (вы можете увидеть остатки не высохшего клея, хлипкость и неравномерность крепления и т.д.), то лучше его не отрывать, а поискать другой банкомат. Иначе вы рискуете получить неприятный разговор с бандитами;
  • никому не сообщайте ПИН-код от вашей банковской карты, будь то ваш родственник или близкий друг;
  • никогда не давайте свою карту чужим людям (в том числе официантам, работникам гостиниц и т.д.), а в случае пропажи немедленно позвоните в банк для блокировки. Это поможет сохранить ваши средства;
  • подключите услугу СМС-информирование. Благодаря этому вы будете получать сообщение на свой телефон при проведении любой операции по вашей карте, будь то пополнение либо списание. При получении СМС о внезапном списании средств со счета, если вы ничего по карте не покупали, немедленно звоните в банк и блокируйте карту;
  • пользуйтесь банкоматами с антискимминговыми накладками и джиттерами — специальными устройствами, которые заставляют карту вибрировать при вводе, что обезопасит от считывания информации скиммером (пока это редкость в России);
  • оформляйте себе карты только с чипом – без исключений! Считать информацию с чипа намного сложнее, чем с магнитной полосы. Но здесь надо иметь в виду, что кроме чипа на карточке есть и магнитная полоса, с которой можно считать данные и использовать дублированную карту для снятия средств в банкомате устаревшего образца, хотя таких сейчас всё меньше и меньше;
  • установите лимит выдачи средств в сутки и за одну операцию (это можно сделать в отделении банка или удалённо – в интернет-банке). Даже если попадетесь на уловки мошенников, они не смогут воспользоваться сразу всей суммой, которая находится на карте;
  • будьте особо бдительны при пользовании банкоматами за границей. Лучше всего снимайте деньги только в отделениях банков;
  • при вводе ПИН-кода не стесняйтесь прикрывать свои пальцы, набирающие код, другой рукой. Вводите ПИН быстрыми отработанными движениями. Это спасет вас в случае, когда установлены скрытые мини-камеры преступников. Без получения ПИН-кода мошенники они не смогут получить доступ к карте и соответственно ваши средства будут в безопасности.

Наконец, используйте карту как платёжный инструмент в магазинах, а не как средство для получения наличных в банкоматах.

Никогда не теряйте бдительности и помните о вышеуказанных правилах. Это позволит вам защитить себя и не стать жертвой скимминга.

Источник: https://privatbankrf.ru/materialy/chto-takoe-skimming-i-kak-ot-nego-zashhititsya.html

Невидимые скиммеры в банкоматах

Скиммер для банкомата, как работают скимминговые устройства для считывания карт

Если вы знаете, что такое скиммер (а если нет, то прочитайте этот пост), то вы, скорее всего, в курсе правил, которым нужно следовать, чтобы не лишиться денег на своей банковской карте.

Следует проверять, не прикрепил ли кто-нибудь что-нибудь странное на клавиатуру и картоприемник, и не пользоваться банкоматами, которые выглядят подозрительно.

Но что, если преступники научились делать невидимые скиммеры?

Это вообще возможно?

Боюсь, что да. Более того, именно этим занимается группа киберпреступников ATM Infector, обнаруженная специалистами нашего Глобального центра исследования угроз (GReAT) вместе с нашей же командой тестирования на проникновение. Участники этой русскоговорящей банды превращают в скиммер сам банкомат!

Двойной джекпот

Похоже, даже киберпреступникам нравится экономика совместного потребления: зачем прикреплять какие-то дополнительные устройства, если все нужное «железо» уже есть в самом банкомате? Все, что нужно сделать, — это установить в банкомате вредоносную программу под названием Skimer и использовать встроенное в ATM устройство для чтения кредитных карточек и клавиатуру для ввода пина, чтобы воровать банковские данные пользователей.

Но это далеко не все. Можно пойти еще дальше и убить сразу двух зайцев: ведь если банкомат уже заражен, можно взять под контроль еще и ту его часть, которая содержит и выдает деньги. Таким образом, преступники из банды ATM Infector могут не только собирать данные банковских карт, но и приказать банкомату выдать всю наличку, которая находится в сейфе автомата.

Преступники, виновные в заражении банкоматов, заметают следы с большой осторожностью. Конечно, они могли бы пройтись по зараженным банкоматам и опорожнить запасы налички.

Но это наверняка привлекло бы внимание банков и, скорее всего, привело бы к большому расследованию. Поэтому преступники предпочли по-тихому собирать банковские данные пользователей.

Вариант с мгновенным выводом денег, видимо, был оставлен «на потом».

Как действует банда ATM Infector

Как мы недавно писали, банкоматы хорошо защищены от физического взлома, но зачастую уязвимы для хакеров. В нашем случае преступники заражали эти устройства, подключаясь к ним напрямую или же проникая в систему из внутренней сети банка.

Внутри банкоматов находится компьютер, который и берет под полный контроль зловред Skimer — так он превращает банковскую машину в один большой скиммер. После заражения вредоносная программа ведет себя максимально тихо, ожидая команды от своих создателей.

7 причин, почему злоумышленникам так легко взламывать банкоматы: https://t.co/60AsQuewNA pic..com/aB3qrpTIzo

— Kaspersky Lab (@Kaspersky_ru) February 17, 2016

Чтобы разбудить вредоносную программу, преступники вставляют в банкомат специальные карты, на магнитных лентах которых сделана определенная запись. Прочитав эту запись, зловред Skimer может либо выполнить команды, записанные на той магнитной ленте, либо вывести на экран специальное меню управления.

Чтобы программа сделала это, преступник должен извлечь карту и в течение 60 секунд ввести определенный код на клавиатуре для ввода пина. Если все верно, графический интерфейс управления зловредом Skimer появится на экране. С помощью этого меню преступник может запустить 21 команду, в том числе приказать:

  • выдать деньги (40 банкнот из конкретной кассеты);
  • собирать данные о вставленных картах;
  • запустить самоуничтожение зловреда;
  • обновить Skimer (необходимый для этого код записывается в чип карты);
  • сохранить файл с номерами и PIN-кодами банковских карт на чипе данной карты;
  • распечатать собранную информацию о картах на чеке.

Как себя защитить

В посте на Securelist наши эксперты приводят рекомендации для ИТ-специалистов банков, какие файлы им следует искать в своих системах.

«Лаборатория Касперского» уже представила полный отчет о киберкампании ATM Infector правоохранительным организациям, компьютерным группам реагирования на чрезвычайные ситуации, финансовым организациям и нашим клиентам, подписанным на сервисы информирования об угрозах.

Что касается обычных пользователей банкоматов, таких как вы и я, то здесь все довольно страшно: невозможно понять, заражен банкомат или нет, без сканирования его операционной системы, ведь он выглядит и работает совершенно как обычно.

Проблема в том, что банки обычно считают ввод PIN-кода доказательством того, что либо транзакцию провел сам пользователь, либо же он плохо следил за своим пином: записал где-нибудь, потерял, позволил подсмотреть или вовсе поделился им с друзьями. Оспорить решение банка в такой ситуации будет сложно, и, вполне вероятно, жертвы ATM Infector своих денег никогда не вернут.

Алярма! Банкоматы превращаются в невидимые скиммеры!

Tweet

В общем, на 100% защититься от зловреда Skimer невозможно. Однако у нас есть несколько советов, как можно снизить потенциальный ущерб.

1. Хотя идентифицировать зараженные банкоматы невозможно, вы можете минимизировать риски, используя терминалы, установленные в безопасных местах. Лучший вариант — в отделениях банка. Преступникам сложнее заразить такие банкоматы, и технический отдел банка, скорее всего, чаще их проверяет.

2. Регулярно проверяйте все транзакции по карте. Эффективнее всего будет подключить SMS-оповещения: если ваш банк предлагает эту услугу, обязательно пользуйтесь ею.

3. Обнаружив транзакции, которые вы не совершали, немедленно свяжитесь с банком и заблокируйте скомпрометированную карту. Серьезно, сделайте это СРАЗУ ЖЕ. Чем быстрее вы отреагируете, тем выше вероятность, что вы сохраните хотя бы большую часть своих денег.

Источник: https://www.kaspersky.ru/blog/invisible-skimmer-at-atm/11940/

Как обнаружить «подставной» банкомат и уберечь свои деньги

Скиммер для банкомата, как работают скимминговые устройства для считывания карт

Обнаружив внезапное исчезновение той или иной суммы на банковской карте или получив SMS о том, что где-нибудь в Зимбабве только что с нее было снято несколько сотен долларов, вернуть деньги очень сложно. Попробуй, докажи, что это не ты сам их снял и пытаешься облапошить честных банкиров, ведь с точки зрения банка именно ваша карта была вставлена в банкомат и введен ваш пин-код. 

Как устроен скиммер? 

Фальшивая клавиатура и картоприемник. Тинькофф Журнал

Скиммер — это устройство-считыватель для банковских карт, состоящий из магнитной головки, управляющей электроники и модуля флеш-памяти. Первые скиммеры появились в 2002 году в Великобритании и выглядели как накладки на картоприемную щель банкомата, приклеиваемые на двухсторонний скотч.

Получалось, что карта, вставляемая в щель, сначала считывалась головкой скиммера, а потом уже головкой банкомата, и дамп данных с магнитной полосы оказывался в руках злоумышленников. Записав этот дамп на «болванку» пластиковой карты (на жаргоне она называется «белым пластиком»), они получали дубликат карты холдера (холдером на жаргоне кардеров именутся жертва — владелец карты).

Итак, карта есть. Но чтобы ей воспользоваться, нужен еще пин-код от нее.

Простым перебором его не получить: после трех попыток неправильного ввода карта будет «проглочена» банкоматом и заблокируется, а с трех раз угадать код из 10 тысяч вариантов намного сложнее, чем выиграть в лотерею.

Поэтому пин-код считывается прямо в процессе ввода холдером. Для этого может использоваться накладная клавиатура, устанавливаемая поверх обычной, либо, что гораздо чаще, просто видеокамера.

Первые камеры тоже маскировались под накладку и приклеивались прямо на банкомат, сейчас же чаще всего вешают камеру чуть поодаль в помещении рядом — или скрытно, или же, наоборот, явно и на самом видном месте: все думают, что это камера видеонаблюдения.

Порой используют и настоящие камеры наблюдения: известны случаи, когда охранники торговых комплексов и бизнес-центров были «в доле» и направляли камеры так, чтобы в их поле зрения попадали и клавиатуры банкоматов, а затем в конце дня «сливали» записи кому следует. Понять, от какой карты какой пин-код, очень легко, сопоставив время считывания дампа и время ввода на видео.

Имея дубликат карты и пин-код, можно смело идти к любому банкомату и снимать деньги. Сам преступник при этом, естественно, «не палится», выбирая банкоматы в безлюдных местах, используя маски или вовсе подсылая вместо себя бомжа или доверчивого школьника.

Банки защищаются как могут 

Скиммеры поначалу были в диковинку и пользователи особенно не интересовались, куда вставляют карту: банкомат же, я тут всегда деньги снимаю! Маскировали устройства очень топорно, поэтому банки начали выпускать инструкции — мол, осмотрите банкомат внимательно, нет ли ничего подозрительного. Подергайте за все, за что можно подергать, поищите глазки камер, поковыряйте клавиши и т.п.

Именно в таком виде эти советы последние десять лет гуляют по интернету, превратившись в эдакое развлекательное чтиво, потому что пользы от них немного, и так топорно, как раньше, никто уже не действует.

Первый этап обороны — это антискиммеры: накладки, установленные на щель самим банком. Их задача — не дать закрепить еще что-либо поверх: любые дополнительные накладки уже настолько удлинят щель, что картоприемный механизм не сможет «засосать» кредитку внутрь.

Антискимминговая накладка на картоприемник. Тинькофф Журнал

Сам механизм дополнительно может быть оснащен так называемым «вибромодулем»: при захвате карты он несколько раз дергает карту туда-сюда, и скиммер, если он установлен, считывает дамп некорректно. Вокруг клавиатур устанавливают козырьки, затрудняющие видеосъемку ввода пин-кодов.

Второй этап обороны — это отказ от использования магнитных полос: современные карты все чаще оснащаются чипами, которые на ходу уже не считаешь.

Магнитная полоса на них все равно остается, но при этом при наличии чипа на настоящей карте клон по полосе в большинстве банкоматов авторизован не будет: на полосе, помимо прочего, содержится запись о разрешенных способах аутентификации, причем отдельно — для международных операций.

То есть, карта как бы говорит банкомату: «Я чиповая; если ты умеешь считывать чипы — считывай чип, иначе не можешь — дверь никому не открывай».

Магнитная полоса есть у всех карт, но именно наличие чипа добавляет безопасности. 

Мошенники обходят защиту 

Впрочем, обойти защиту можно. Например, скиммер можно встроить не только в банкомат, но и в магнитный замок на входе в отделение банка, который закрывает дверь в ночное время.

Для справки: эти замки открываются любой магнитной картой, а не только вашей банковской, так что пользуйтесь для этого, например, дисконтной картой супермаркета.

 Да и для банкоматов скиммеры стали такими компактными, что легко устанавливаются внутрь самого антискиммера.

Кроме того, появились так называемые шиммеры — устройства толщиной с пленку, которые считывают и чиповые карты. Шиммер хитро запихивается в банкомат так, что оказывается «прокладкой» между чипом карты и контактами в картоприемнике.

Помните, были такие адаптеры для двух сим-карт? Принцип тот же, толщина шиммера составляет несколько микрометров и он может оставаться незамеченным долгое время.

Клон чиповой карты сделать сложнее, чем магнитной (поскольку здесь происходит двухсторонний обмен информацией, чип «отвечает» на авторизационные запросы генерацией ключей по определенному алгоритму шифрования), но на точках с оффлайн-авторизацией этим клоном можно будет расплатиться.

Также считать и карту, и пин-код от нее очень удобно, скажем, в небольшом кафе или маленьком магазинчике: вряд ли вы будете подробно изучать, не «модернизирован» ли платежный терминал (если он вообще настоящий — «Ой, карта не прошла!»).

Более того, есть сверхвысокотехнологичный способ, при котором два злоумышленника работают в паре.

Один работает официантом и уносит карту от посетителя и в этот момент звонит сообщнику, который уже наготове и, например, пытается купить по карте кольцо с бриллиантами или айфон — любой ликвидный товар.

Но у второго карта не простая, а замаскированный эмулятор, подключенный с помощью мобильного интернета по VPN-каналу к терминалу у официанта.

Во время загрузки произошла ошибка.Магазинный вор установил считыватель карт за 3 секунды

Запрос пин-кода из магазина транслируется онлайн в ресторан, посетителю приносят терминал — мол, введите код — и все, операция одобрена, причем на чеке, естественно, ничего не печатается.

И, наконец, высший пилотаж — это поддельные банкоматы, устанавливаемые средь бела дня в местах скопления туристов. Ведь чем наглее способ кражи, тем меньше к нему подозрений!

Как не стать жертвой и сберечь свои деньги

  1. Лучший способ обезопасить себя — это не «светить» картой в банкоматах. Карты сегодня принимают чуть ли не в киосках с шаурмой, так что по возможности расплачивайтесь безналичным способом. А если карта еще и бесконтактная (Paypass, Paywave), надежнее использовать этот способ.
  2. Особенное внимание — банкоматам за границей! Здесь лучше снять деньги в отделении банка или, например, в зоне прилета аэропорта — то есть, там, куда злоумышленнику трудно пробраться незамеченным.
  3. У чиповой карты пин-код можно многократно менять прямо в банкомате: не пренебрегайте этой возможностью.

    Если у вас карта не чиповая, то исправьте это недоразумение, сейчас не 1996 год.

  4. В интернет-банке установите минимально возможные лимиты на снятие наличных по своим картам и подключите SMS-уведомления об операциях.

    Так вы успеете оперативно обнаружить кражу и заблокировать карту, а преступники не успеют снять большую сумму. Когда деньги понадобятся вам — установите нужный лимит и потом снова верните минимальный.

  5. В любом случае обращайтесь в банк и пишите заявление.

    В общении с сотрудниками вверните словосочетание «liability shift».

    Смысл в том, что по правилам международных платежных систем если чиповая карта (с EMV-авторизацией) была использована для снятия средств в банкомате без EMV-авторизации (то есть, по магнитной полосе), то при оспаривании такой операции убытки понесет банк, в банкомате которого были сняты деньги по клону вашей карты, а вам их оперативно вернут. Правда, liability shift не признается США, поэтому угадайте, в какой стране кардеры чаще всего снимают деньги?

Источник: https://hi-tech.mail.ru/review/skimmer-devices/

Кардинг, фишинг и скимминг: что это и как защитить свои средства? | Rusbase

Скиммер для банкомата, как работают скимминговые устройства для считывания карт

Мошеннические схемы то и дело претерпевают изменения.

Согласно обзору  ФинЦЕРТа, объем несанкционированных операций, совершенных с использованием платежных карт, эмитированных на территории РФ, в 2018 году составил 1,4 млрд рублей, что на 44% больше, чем в прошлом году.

По данным Генпрокуратуры, количество выявляемых в России киберпреступлений за шесть лет выросло почти в 16 раз, до 174 тысяч (сюда входят и незаконные операции с картами).

Владельцам важно сохранять бдительность и не попадаться на уловки мошенников. Разберемся, с какими видами кардинга можно столкнуться и как защитить свои средства.

Кардинг

Термином кардинг (carding) называют мошеннические операции с платежными картами (реквизитами карт), не одобренные держателем карты. Кардинг включает в себя различные способы обмана законных владельцев материальных средств.

Алексей Сизов, начальник отдела по противодействию мошенничеству Центра прикладных систем безопасности «Инфосистемы Джет», выделяет три базовых направления мошеннических действий:

  1. Кража или незаконное получение карты — это либо физическое воздействие на владельца, либо поиск уязвимости в процессе выдачи, доставки или оформления банковского продукта и использование карты злоумышленником.
  2. Компрометация данных карты для последующего изготовления подделки. В первую очередь речь идёт о копировании данных магнитной полосы карты и краже PIN-кода. Наиболее широко этот вид мошенничества был распространен до массового перевода карт на чиповые технологии. Сегодня такая схема встречается редко, так как в России около трёх лет назад ввели запрет на выпуск нечиповых карт, а почти по всему миру действует Chip Liability Shift — обязанность банка-эквайера обслуживать карту с чипом именно по чипу.
  3. Компрометация реквизитов карты для совершения операций CNP (без присутствия карты). Яркий пример — оплата покупок или услуг в интернете.

Конечная цель преступников во всех случаях — получить доступ к деньгам. Для реализации своих замыслов мошенники изобретают весьма хитрые схемы, нередко пользуясь доверчивостью и невнимательностью граждан. Один из популярных способов обвести вокруг пальца собственника карты — это фишинг.

Фишинг

Фишинг (phishing от англ. fishing — рыбная ловля, закидывание удочки) — буквально выуживание реквизитов карты у ее держателя. Примечательно, что необходимые данные передает сам владелец. Как правило, прибегают к нескольким видам фишинга.

СМС-фишинг 

На телефон отправляют сообщение:

  • о блокировке карты, якобы от имени банка и номером телефона, позвонив по которому,  можно решить проблему;
  • о выигрыше, забрать который можно, заплатив за доставку.

Вариаций смс-фишинга масса, но все они сводятся к предложению передать данные карты. В таких случаях нужно проявить бдительность.

Если поступили сведения о блокировке, следует звонить в банк по официальному номеру, а подлинность сообщения о выигрыше уточнить, связавшись с магазином или сервисом, проводящими акцию.

Лаборатория Касперского

Интернет-фишинг

Мошенники создают фишинговые (поддельные) страницы, имитирующие официальные сайты банков, платежных сервисов или магазинов, меняя в названии несколько букв или знаков. Увы, далеко не все внимательно проверяют веб-адрес, смело кликая на ссылку.

Нередко злоумышленники заманивают на фишинговые сайты, отправляя поддельные электронные письма, составленные техподдержкой банка, скажем, о блокировке карты. Под предлогом проверки информации о держателе они просят ввести все реквизиты, узнав которые, беспрепятственно получают доступ к деньгам. Выманивают данные и прикрываясь продажей товаров.

Прежде чем оставлять реквизиты карты на сайте, нужно тщательно сверить веб-адрес с официальным названием магазина, сервиса или платёжной системы, а также проверить ссылки, находящиеся на странице: если ресурс фишинговый, скорее всего, они не работают. Когда нужно воспользоваться сайтом кредитной организации, лучше сразу обратиться к официальному перечню, размещенному на сайте ЦБ.

Вишинг 

Вишинг (англ. vishing — от voice phishing) идентичен фишингу, с той только разницей, что злоумышленники звонят по телефону, представляясь сотрудниками банка, покупателями товаров и так далее, таким образом пытаясь выманить у держателя PIN-код или заставить его совершить определенные действия со счетом.

Владельцу карты нужно помнить, что сотрудники банка не требуют сообщить PIN-код, а в случае блокировки карты скорее всего предложат подъехать в офис лично. Покупателям товаров в принципе ни к чему знать конфиденциальные данные о карте продавца, поэтому просьбы сообщить такие сведения должны насторожить.

Скимминг

Еще один метод, которым активно пользуются мошенники, это скимминг. Скимминг — это копирование данных платежной карты с помощью специального устройства (скиммера). Данные карты считываются, когда владелец вставляет ее в банкомат. Для получения PIN-кода злоумышленники устанавливают мини-камеры или накладки на клавиатуру.

Tgraph.io

Шимминг

Шимминг — это модернизированная разновидность скимминга. Схема обмана аналогична: со вставляемых в банкомат карт считываются все важные данные,  отличие лишь в том, что визуальных признаков присутствия «шима» внутри аппарата нет.

Мошенники вместо весьма громоздких и визуально заметных накладок на картоприемник используют тонкое, гибкое, практически незаметное устройство, которое располагается внутри картридера. Оно считывает данные карты, используемые впоследствии злоумышленниками.

Поддельные банкоматы

Иногда мошенники создают поддельные банкоматы, оставляя их в неохраняемых местах.

Такие устройства внешне полностью копируют настоящие, а вот «начинка» содержит встроенный компьютер с установленной на него системой, скиммер и накладки на клавиатуру.

Жертва вставляет карту, пытается совершить какие-то действия, но банкомат выдает ошибку. Человек забирает карту, но вся информация с нее уже считана.

Попасться на удочку злоумышленников можно не только пользуясь банкоматом, но и расплачиваясь картой, скажем, в ресторанах или магазинах. Алгоритм схож: официант, продавец или кассир, могут использовать скиммер или переносное устройство, прикрепленное к терминалу.

Защититься от скимминга можно, если пользоваться банкоматами, находящимися в отделениях банков. Уровень защиты в кредитных организациях в разы выше, и установить считывающие устройства там намного сложнее.

Ну а когда возможности обратиться в отделение нет, старайтесь выбирать банкоматы, стоящие под камерами, в охраняемых местах. Визуально проверяйте аппарат, скажем, накладку на картоприемник: если она шатается, значит, с ней что-то не так. Расплачиваясь картой, следите, чтобы ее данные никто не фотографировал на телефон.

Внедренные вирусы

В этом случае злоумышленники внедряют в электронное устройство (телефон, компьютер) программу, способную считывать данные карты. Подобные вирусы могут передавать мошенникам информацию, которую пользователь вводил в интернет-браузер: логины и пароли от социальных сетей, интернет-банков, электронных кошельков, различных сайтов и так далее.

Вредоносная программа может попасть на телефон или ноутбук случайно, под видом другой программы, неосторожно скачанной из электронного письма или с непроверенного сайта.

Чтобы избежать обмана, важно вовремя обновлять антивирус и пользоваться только лицензионным софтом.

Способы защиты

Перечень описанных видов мошенничества не исчерпывающий. Алексей Сизов, начальник отдела по противодействию мошенничеству Центра прикладных систем безопасности «Инфосистемы Джет», отмечает, что среди мошеннических схем встречаются:

  1. Использование реквизитов карт для получения доступа к другим продуктам, например, ДБО или онлайн-кредитованию, где информация о карте, последних операциях и тем более коды подтверждения и паспортные данные являются достаточными сведениями для смены паролей в онлайн- или мобильном банке и совершения иных манипуляций со счетами.
  2. Кража средств с бесконтактных карт. Эта схема наделала много шума некоторое время назад, однако больших потерь зафиксировано не было, и вряд ли стоит ожидать существенных проблем в этом направлении.

С течением времени схемы обмана только совершенствуются. Естественно, с злоумышленниками активно борются сами банки.

«С мошенничеством борются профильными системами антифрод-мониторинга, следящими за поведением карт (совокупностью характеристик по количеству операций, суммам, месту проведения и типу операций). Такие системы стали обязательными с 2003-2004 года, когда появились требования по мониторингу со стороны международных платёжных систем Visa и Mastercard.

Кроме автоматизированных систем, большой вклад в безопасность внесла технология “чиповых” карт, которая практически полностью исключила возможность эффективного клонирования.

Помимо этого, банки постоянно занимаются контролем ключевых процессов по выпуску карт, их дистанционной доставки и прочих, что на самом деле связано с задачами идентификации и аутентификации держателя очно или дистанционно»

Однако не только банки, но и сами владельцы карт должны принимать меры предосторожности. Алёна Цыганова, старший юрисконсульт консалтинговой компании Alta Via, всем, кто заботится о сохранности своих денежных средств, советует соблюдать несколько простых правил:

  1. Хранить PIN-код, а также данные для входа в интернет-банк (логин, пароль, проверочные слова или специальные коды) в безопасном месте, а лучше всего — в своей памяти.
  2. Не сообщать третьим лицам данные карты и одноразовые СМС-пароли для подтверждения операций.
  3. Быть осмотрительными, совершая покупки в интернете. Использовать только проверенные и официальные сайты. Товары/услуги на незнакомых сайтах по явно заниженным ценам должны насторожить. А также выбирать банкоматы, расположенные в офисах банка или крупных торговых центрах с видеонаблюдением.

Алексей Сизов, рекомендует внимательно изучать уведомления от банка о совершаемых операциях, использовать отдельную карту для оплаты в интернете, устанавливать суточные лимиты (если банк предоставляет такую возможность) и не держать все сбережения на счете одной карты.

Если деньги уберечь всё же не удалось, Алёна Цыганова рекомендует незамедлительно обратиться в банк с заявлением о несогласии с проведенными операциями (п. 11 ст. 9 ФЗ N 161-ФЗ), а также в полицию.

Материалы по теме: 

Рекомендации по безопасности для банков от ЦБ и все о кэшбэках: финтех-дайджест

Что такое поведенческая биометрия и кто применяет её на российском рынке

ИИ для мониторинга кредитных рисков и доля платежей с использованием карт «Мир»: финтех-дайджест

Источник: https://rb.ru/story/carding/

Что такое скимминг (skimming) и как от него защитить деньги на карте

Скиммер для банкомата, как работают скимминговые устройства для считывания карт

Увеличение популярности использования банковских карт влечет за собой рост мошеннических видов деятельности, связанных с хищением средств с карточек граждан. Одним из них является скимминг.

Нередко можно услышать историю, как человек обнаруживает полное исчезновение с карты денежных средств. Обращения в банк не дают результатов. Сотрудники финансового учреждения будут утверждать, что деньги сняты в том же банкомате, которым клиент пользовался последний раз.

Причина этого – скимминнг. Что это такое и как защитить свои деньги от кражи?

Специалисты Бробанк.ру собрали информацию, которая поможет вам избежать неприятностей!

Определение скимминга

Само слово скимминг пришло из английского языка. Оно переводится, как «скользить» и «бегло прочитывать». Именно на этом принципе основан новый вид мошенничества с банковскими картами. Суть заключается с том, что происходит считывание данных с магнитной полосы. Это происходит благодаря наличию специального технического устройства под названием скиммер.

Приборы очень сложно заметить невооруженным глазом. Они направленны не только на получение информации по карте, но и на считывание PIN-кода. Из-за сложности устройства жертвой мошенника может стать любой клиент банка.

Как только преступники получают данные по карте и ее PIN-код, они могут изготовить дубликат пластика. Это позволяет им полностью снять все деньги с карты пользователя.

Из-за сложности устройства жертвой мошенника может стать любой клиент банка

Трудность заключается в том, что факт преступного хищения средств доказать практически невозможно.

При обращении в полицию заявления не принимаются, так как деньги просто сняты в банкомате, а карта не украдена, она на руках у пострадавшего. Также это лишает человека возможности предъявить претензии в финансовую организацию.

На все обращения пострадавший будет получать ответы, что деньги сняты с его карты в банкомате.

Как обнаружить скиммер

Заметить устройство для считывания банковских карт непрофессионалу очень сложно. У большинства клиентов банка скиммер не вызовет никаких сомнений. Он крепится к самому корпусу банкомата, к лотку картоприемника.

Устройство состоит из трех частей:

  1. Накопителя, на который записывается цифровой код.
  2. Преобразователя – он очень маленький, предназначен для перевода полученной информации в цифры.
  3. Магнитной головки для считывания сведений с полосы.

Цвет и форма прибора всегда подбирается в соответствии с цветом банкомата. То есть для банкомата «Сбербанка» они будут зеленые, для ВТБ – синие, для «Альфа-Банка», соответственно, красные. Все работы проводятся тщательно и индивидуально в каждом случае. Но, как показывает практика банковских учреждений, встречаются случаи, когда скиммер обнаруживали из-за несоответствия цвету корпуса.

Устройство работает на маленьких батарейках. Его можно поместить непосредственно в картоприемник. Это усложняет обнаружение. Скиммеры могут работать по двум принципам.

В первом случае они имеют накопительную функцию, во втором сразу же передают считанные сведения через радиоканал на принимающее устройство. Существует разновидность переносных считывателей магнитных полос.

Они могут использоваться официантами и сотрудниками гостиниц.

Преступникам недостаточно только считать информацию с пластика. Им необходимо заполучить ПИН-код для снятия средств. Для этого им требуется использовать специальные клавиатуры и мини-камеры. Заметить их простому гражданину практически нереально. Часто их прячут под рекламные материалы или козырек банкомата.

Заметить устройство для считывания банковских карт непрофессионалу очень сложно

Считывание информации по карте происходит за секунды. Преступники получают номер карты, имя пользователя, срок действия пластика, трехзначный код, указанные на обороте. Все эти данные позволяют им без проблем снять все деньги со счета.

Способы защиты сбережений от скимминга

Защитить себя от мошенников очень тяжело из-за сложности устройства. Но определенные меры безопасности помогут снизить риск стать жертвами мошенников к минимуму. Банки пытаются самостоятельно бороться с проблемой. Для этого стали устанавливать устройства с экранами сенсорного типа, но и это не уберегло средства клиентов. Преступники стали крепить накладки на экран.

Производители банкоматов наладили выпуск специальных накладок, они не дают считывать информацию с карты с помощью волн электромагнита.

Чтобы защитить свои денежные средства от мошенников, при снятии наличных или оплате услуг необходимо соблюдать следующие правила:

  • Пользуйтесь только банкоматами, расположенными в отделениях. Уличных терминалов лучше всего избегать.
  • Не используйте карту в неизвестных местах.
  • Перед тем как вставить пластик, нужно провести тщательный осмотр устройства. Если будет обнаружена хотя бы одна подозрительная мелочь, необходимо позвонить по номеру телефона, указанному на корпусе, и сообщить о найденном предмете.
  • Никогда и никому не сообщать PIN-код, даже родственникам.
  • Не давать карту в руки чужим людям, например, официанткам, сотрудникам гостиниц.
  • Одним из эффективных способов защиты средств является переход на карты с чипом. С них сложнее считать информацию, чем с пластика с магнитной полосой.
  • Установить суточный лимит выдачи денежных средств по карте. Это можно сделать как в онлайн-кабинете на сайте банка или в мобильном приложении, так и в отделении.
  • По возможности, вообще не стоит пользоваться банкоматами за границей. Лучше всего обращаться к операторам банка.
  • Подключить услугу SMS-информирования. Она позволит быть в курсе всех передвижений по карте. Как только пользователь получит смс о том, что с карты снимают деньги, он сможет ее экстренно заблокировать.

Чтобы защитить свои денежные средства от мошенников, при снятии наличных или оплате услуг необходимо соблюдать правила

Специалисты рекомендуют больше расплачиваться картой в магазинах, чем снимать наличные. Соблюдение этих мер безопасности снизит риск стать жертвами мошенников и лишиться своих денег.

Большое спасибо :) Анатолий ДарчиевАвтор статьи

Высшее экономическое образование по специальности “Финансы и кредит” и высшее юридическое образование по направлению “Уголовное право и криминология” в Российском Государственном Социальном Университете (РГСУ).

Более 7 лет проработал в Сбербанке России и Кредит Европа Банке. Является финансовым советником крупных финансовых и консалтинговых организаций. Занимается повышением финансовой грамотности посетителей сервиса Бробанк.

Аналитик и эксперт по банковской деятельности. darchiev@brobank.ru

Источник: https://brobank.ru/chto-takoe-skimming/

Плантации
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: