Sisällysluettelo:
- Mitä ovat Skimmers?
- Skimmersistä Shimmersiin
- Tarkista peukalointi
- Heiluttaa kaikkea
- Ajattele askeltasi
- Digitaaliset hyökkäykset ja ratkaisut
- Ole tietoinen
Video: Näin tilaat kortin | S-Pankki (Marraskuu 2024)
Sillä hetkellä, kun aloin vakavasti huolehtia luottokortti- ja pankkikortinpoistajista, ei ollut silloin, kun koko pankkitilisi siirrettiin Turkkiin tai kun minun piti vaihtaa luottokortti kolme kertaa kahdessa kuukaudessa vilpillisten maksujen takia. Silloin kun sain tietää, että luottokorttinumeron varastaminen on yhtä helppoa kuin magneettinauhan lukijan kytkeminen tietokoneeseen ja tekstinkäsittelyohjelman avaaminen. Jokainen pyyhkäisemällä luottokortin numero pyyhkäistään pois ilman erillisiä asetuksia. Rikolliset asentavat rikastuneemmat tietosi varastavat edistyneemmät laitteet suoraan pankkiautomaatteihin ja luottokortinlukijoihin. Niitä kutsutaan skimmeriksi, ja jos olet varovainen, voit estää näitä salaperäisiä laitteita joutumasta uhreiksi.
Mitä ovat Skimmers?
Skimmerit ovat pääosin haitallisia kortinlukijoita, jotka on kiinnitetty todellisiin maksupäätteisiin, jotta ne voivat kerätä tietoja jokaiselta kortinsa pyyhkäisyltä. Varan on usein palattava uhanalaiseen koneeseen hakemaan tiedosto, joka sisältää kaikki varastetut tiedot, mutta näiden tietojen kanssa hän voi luoda kloonattuja kortteja tai vain murtautua pankkitileille varastaakseen rahaa. Ehkä pelottavin osa on se, että rasvanimurit eivät usein estä pankkiautomaattia tai luottokortinlukijaa toimimasta oikein, mikä tekee niistä vaikeamman havaita.
Klassiset kattohyökkäykset pysyvät täällä, ja ne ovat todennäköisesti ongelma myös nyt, kun pankit ovat siirtyneet EMV-sirukortteihin, kertoo Kaspersky Labin turvallisuustutkija Stefan Tanase. Vaikka korteissa olisi siru, tiedot ovat silti kortin magneettinauhalla ollakseen yhteensopivia järjestelmien kanssa, jotka eivät pysty käsittelemään sirua, hän kertoi meille. Jo nyt, kauan sen jälkeen kun Yhdysvalloissa otettiin käyttöön EMV-kortteja, jotkut kauppiaat vaativat edelleen asiakkaita käyttämään matriisia.
Tyypillinen ATM-rasvanimike on pieni laite, joka sopii olemassa olevan kortinlukijan päälle. Useimmiten hyökkääjät sijoittavat myös piilotetun kameran jonnekin läheisyyteen tallentaakseen henkilökohtaisia tunnusnumeroita tai PIN-koodeja, joita käytetään tilien käyttämiseen. Kamera voi olla kortinlukijassa, asennettu pankkiautomaatin yläosaan tai jopa kattoon. Jotkut rikolliset asentavat vääriä PIN-tyyppejä todellisten näppäimistöjen päälle PIN-koodin sieppaamiseksi suoraan, ohittaen kameran tarpeen.
Yllä oleva kuva on tosiaikainen skimmer, jota käytetään pankkiautomaatissa. Näetkö sen outon, tilaa vievän kellan? Se on skimmer. Tätä on helppo havaita, koska sillä on erilainen väri ja materiaali kuin kohdekoneella, mutta ilmaisimia on myös muita. Korttipaikka, johon kortti asetetaan, on korotettu nuoleilla, jotka on upotettu koneen muovikoteloon. Voit nähdä kuinka harmaat nuolet ovat hyvin lähellä keltaista lukijakoteloa, melkein päällekkäin. Tämä on merkki, että katkaisija asennettiin olemassa olevan päälle, koska oikealla kortinlukijalla olisi tilaa korttipaikan ja nuolien välillä.
Skimmersistä Shimmersiin
Kun yhdysvaltalaiset pankit lopulta kiinni muusta maailmasta ja aloittivat sirukorttien myöntämisen, se oli merkittävä turvallisuushyöty kuluttajille. Nämä sirukortit tai EMV-kortit tarjoavat vankemman turvallisuuden kuin vanhempien luottokorttien tuskalliset yksinkertaiset nauhat. Mutta varkaat oppivat nopeasti, ja heillä oli vuosia täydelliseen hyökkäykseen Euroopassa ja Kanadassa, jotka kohdistuvat sirukorteihin.
Magstrippi-lukijoiden päällä istuvien rasvan sijasta kortinlukijassa on hohtimet. Nämä ovat erittäin ohuita laitteita, joita ei voida nähdä ulkopuolelta. Kun liu'utat korttia sisään, hohto lukee tietoja korttisi sirulta, aivan samalla tavalla skimmer lukee kortin magistraatin tiedot.
On kuitenkin muutamia keskeisiä eroja. Ensinnäkin EMV: n mukana toimitettu integroitu tietoturva tarkoittaa, että hyökkääjät voivat saada vain samat tiedot kuin he saavat skimmerilta. Turvallisuustutkija Brian Krebs selittää blogissaan, että "hohtolaitteiden keräämiä tietoja ei voida käyttää sirupohjaisen kortin valmistukseen, mutta niitä voidaan käyttää magneettisen raitakortin kloonaamiseen. Vaikka tiedot, jotka tyypillisesti tallennetaan kortin magneettiseen raitaan, "replikoidaan sirun sisällä sirukytkentäisillä korteilla, siru sisältää ylimääräisiä turvakomponentteja, joita ei löydy magneettinauhasta."
Todellinen ongelma on, että hohtolappuja on paljon vaikeampi havaita, koska ne istuvat pankkiautomaatteissa tai myyntipisteiden koneissa. Seuraavassa kuvassa oleva hohto löydettiin Kanadasta ja ilmoitettiin RCMP: lle. Se on vähän muuta kuin integroitu piiri, joka on painettu ohuelle muovilevylle. Jos vaarannetun laitteen omistajat eivät olisi olleet varovaisia, se olisi voinut varastaa tiedot kaikilta, jotka sitä käyttivät.
Pankkiautomaattivalmistajat eivät ole ottaneet tällaista petosta makuulle. Uudemmissa pankkiautomaatteissa on vahvat antiperpeenssilaitteet, joihin kuuluvat joskus tutkajärjestelmät, jotka on tarkoitettu ilmaisemaan pankkiautomaattiin asetettuja tai kiinnitettyjä esineitä. Yksi Black Hat -turvallisuuskonferenssin tutkija pystyi kuitenkin käyttämään pankkiautomaatin sisäänrakennettua tutkalaitetta PIN-koodien sieppaamiseen osana huijausta.
Uhat ovat todellisia ja muuttuvia; siksi on niin tärkeää antaa jokaiselle pankkiautomaatille tai luottokortinlukijalle nopea tarkistus ennen kuin käytät sitä.
Tarkista peukalointi
Kun lähestyt pankkiautomaattia, tarkista, onko ATM: n yläosassa, kaiuttimien, näytön puolella, itse kortinlukijassa ja näppäimistössä lähellä näkyviä väärentämisen merkkejä. Jos jokin näyttää erilaiselta, kuten erilainen väri tai materiaali, grafiikat, jotka eivät ole oikein kohdistettu tai jotain muuta, mikä ei näytä oikealta, älä käytä kyseistä pankkiautomaattia. Sama pätee luottokortinlukijoihin kassalla tai huoltoasemilla.
Jos olet pankissa, on hyvä idea katsoa nopeasti vieressä olevaa ATM: ää ja vertailla niitä. Jos ilmeisiä eroja on, älä käytä kumpaakaan, ja ilmoita epäilyttävästä väärinkäytöksestä pankillesi. Esimerkiksi, jos yhdessä ATM: ssä on vilkkuva korttitieto siitä, mihin ATM-kortti tulisi asettaa, ja toisessa ATM: ssä on tavallinen lukijapaikka, tiedät, että jokin on vialla. Useimmat rasvat on liimattu olemassa olevan lukijan päälle, ja ne peittävät vilkkuvan osoittimen.
Jos näppäimistö ei tunnu oikealta - kenties liian paksulta -, siellä saattaa olla PIN-koodin sieppauspeite, joten älä käytä sitä.
Heiluttaa kaikkea
Vaikka et näe visuaalisia eroja, työnnä kaikkea, Tanase sanoi. Pankkiautomaatit ovat vankkarakenteisia, eikä niissä yleensä ole löysästi osia. Luottokortinlukijalla on enemmän variaatioita, mutta silti: Vedä ulkonevat osat, kuten kortinlukija. Katso, onko näppäimistö kunnolla kiinnitetty ja vain yksi kappale. Joko liikkuu, kun painat sitä?
Skimmerit lukevat magneettisen raidan korttia asetettaessa, joten anna kortille hieman heilahtelua kun panet sen, Tanase neuvoi. Lukija tarvitsee raidan siirtyä yhdellä liikkeellä, koska jos se ei ole suorassa sisään, se ei pysty lukemaan tietoja oikein. Jos pankkiautomaatti on sellainen, jossa se ottaa kortin ja palauttaa sen tapahtuman lopussa, lukija on sisäpuolella. Kortin väristäminen, kun syötät sitä korttipaikkaan, ei häiritse tapahtumaa, mutta folioi skimmerin.
Tämä taktiikka ei toimi hoistolaitteissa, eikä se toimi kaikkien ATM: ien kanssa, jotka vangitsevat ja pitävät korttiasi, kun tapahtuma on prosessissa. Näitä koneita käytettäessä on kuitenkin edelleen tapoja suojautua.
Ajattele askeltasi
Aina kun kirjoitat pankkikortin PIN-koodia, oletetaan, että joku etsii. Ehkä se on olkapäälläsi tai piilotetun kameran kautta. Peitä näppäimistö kädelläsi, kun syötät PIN-koodisi, Tanase sanoi. Se on hyvä käytäntö, vaikka et huomaa mitään outoa ATM: stä. PIN-koodin hankkiminen on välttämätöntä, koska rikolliset eivät voi käyttää varastettuja magneettinauhatietoja ilman sitä, Tanase kertoi meille. Tietenkin, jos oletetaan, että hyökkääjä käyttää kameraa, ei päällekkäisyyttä PIN-koodin saamiseksi.
Rikolliset asentavat usein skimmerit pankkiautomaatteihin, jotka eivät sijaitse liian kiireisissä paikoissa, koska he eivät halua, että heitä havaitaan asentamaan haittalaitteita tai keräämään korjattua tietoa. Pankkien sisällä olevat pankkiautomaatit ovat yleensä turvallisempia kaikkien kameroiden takia, vaikka jotkut rohkeat rikolliset onnistuvat silti asentamaan ne sinne. Ruokakaupan tai ravintolan sisällä oleva pankkiautomaatti on yleensä turvallisempi kuin jalkakäytävällä oleva. Pysäytä ja harkitse pankkiautomaatin turvallisuutta ennen kuin käytät sitä.
Kuitenkaan mikään paikka ei ole turvassa yritteliäiseltä rikolliselta. Ota tämä video esimerkiksi. Varas asentaa rasvanimikkeen myyntipisteyksikköön päivittäistavarakaupan sisällä sekunneissa.
Mahdollisuudet saada skimmeri on suurempia viikonloppuna kuin viikolla, koska asiakkaiden on vaikeampaa ilmoittaa epäilyttävistä pankkiautomaatteista pankille. Rikolliset yleensä asentavat rasvanimurit lauantaisin tai sunnuntaisin ja poistavat ne sitten ennen pankkien avaamista uudelleen maanantaina.
Aina kun mahdollista, älä käytä korttisi magstripeä suorittamaan tapahtumaa. Kauppojen luottokortinlukijoille tuntuu, että korttipaikka ja sen EMV-siru luetaan korttipaikan PIN-alustan alle. Kun käytät EMV-sirua, kortti valtuutetaan laitteessa, eikä henkilökohtaisia tietojasi koskaan välitetä. Tämä pakottaa rikolliset hyökkäämään EMV-yhteensopivien lukijoiden sisäiseen toimintaan. Vaikka EMV-lukijoiden murtaminen on mahdollista, se on paljon vaikeampaa kuin magneettinauhan kuorinta.
Jos luottokorttipääte hyväksyy NFC-tapahtumia, harkitse Apple Pay-, Samsung Pay- tai Android Pay -sovellusten käyttöä. Nämä palvelut merkitsevät luottokorttitietosi, joten henkilökohtaisia tietojasi ei koskaan paljasteta. Jos rikollinen jotenkin tarttuu tietoihin, hän saa vain turhaa virtuaalista luottokorttinumeroa. Huomaa, että tietyillä laitteilla Samsung Pay voi tosiasiassa jäljitellä magstripe-tapahtumaa, jos pidät puhelinta kortinlukijan yli. Tämä on paljon turvallisempaa kuin varsinaisen luottokorttisi käyttäminen.
Yksi skenaariota käyttävä tilanne on polttoaineen maksaminen kaasupumpulla. Nämä ovat yleisiä hyökkäyksiä varten, koska monet eivät vielä tue EMV- tai NFC-siirtymiä, ja koska hyökkääjät pääsevät pumppuihin huomamatta. On paljon turvallisempaa mennä sisään ja maksaa kassalle. Jos päivystyspisteessä ei ole kassaa, käytä samoja vinkkejä pankkiautomaatteihin ja tutkia kortinlukija ennen kuin käytät sitä.
Digitaaliset hyökkäykset ja ratkaisut
Äskettäisessä British Airwaysin hakkelissa otettiin käyttöön uusi konsepti: digitaalinen korttikimppu. Korttitietojen sieppaamiseen tarkoitetun fyysisen laitteen tai väärennettyjen tietojen kalastelusivustojen sijaan, jotka huijaavat sinua tietojen syöttämiseen, digitaalinen kuorintaohjelma on haittaohjelma, joka ruiskutetaan lailliselle verkkosivustolle.
Tämän tyyppisten hyökkäysten torjuminen on viime kädessä yritysten tehtävä varmistaa, että niiden sivustot ja palvelut ovat turvallisia. Mutta on olemassa joitain asioita, jotka kuluttajat voivat tehdä suojellakseen itseään. Yksi vaihtoehto on käyttää virtuaalisia luottokortteja. Nämä ovat vääriä luottokorttinumeroita, jotka on linkitetty oikeaan luottokorttitiliisi. Jos jokin on vaarannettu, sinun ei tarvitse hankkia uutta luottokorttia, vaan luoda uusi virtuaalinen numero. Jotkut pankit, kuten Citi, tarjoavat tämän ominaisuutena, joten kysy omalta, jos se on käytettävissä.
Jos et saa virtuaalikorttia pankista, Abine Blur tarjoaa tilaajille peitetyt luottokortit. Nämä ovat prepaid-luottokortteja, joita voit luoda lennossa ja käyttää online-ostoksiin. Abine toimittaa jopa väärennetyn nimen ja laskutusosoitteen käytettäväksi, salaakseen henkilökohtaiset tietosi edelleen. Jos jokin näistä altistuu, et menetä rahaa tai yksityisiä tietoja.
Toinen vaihtoehto on rekisteröidä korttihälytykset. Esimerkiksi Ally Bank lähettää push-hälytyksen puhelimeesi joka kerta, kun pankkikorttiasi käytetään. Tämä on kätevää, koska voit heti tunnistaa vääriä ostoksia. Jos pankkisi toimittaa samanlaisen vaihtoehdon, yritä kytkeä se päälle.
Ole tietoinen
Jos et huomaa kortinpoistajaa ja korttitietosi varastavat, ota sydämesi. Niin kauan kuin ilmoitat varkaudesta kortin myöntäjälle (luottokortit) tai pankille (missä sinulla on tili) niin pian kuin mahdollista, et ole vastuussa menetetystä summasta ja rahat palautetaan. Toisaalta yritysasiakkaille ei ole annettu samaa oikeudellista suojaa, ja heillä voi olla vaikeampaa saada rahat takaisin.
Yritä myös käyttää luottokorttia aina kun mahdollista. Pankkitapahtuma on välitön käteissiirto, ja se vaatii FDIC-vaatimuksen tekemisen, jonka käsittely voi kestää viikkoja. Luottokorttitapahtumat voidaan keskeyttää ja peruuttaa milloin tahansa, ja näin tehdään kauppiaille paineita ATM-automaattien ja myyntipisteiden parempaan turvaamiseen.
Aikainen raportointi on erittäin tärkeää petoksissa, joten muista seurata pankki- ja luottokorttitapahtumiasi. Henkilökohtaiset rahoitussovellukset, kuten Mint.com, voivat helpottaa lajittelua kaikissa liiketoimissa.
- Abine Blur Premium - Abine Blur Premium -ohjelma
- Feds varoittavat 'Jackpotting' ATM Hacksista Yhdysvalloissa Feds varoittavat 'Jackpotting' ATM Hacksista Yhdysvalloissa
- Katso, kuinka kortinpoistin asennetaan sekunneissa. Katso, miten kortinpoistin asennetaan sekunneissa
Viimeiseksi, kiinnitä huomiota puhelimeesi. Pankkeilla ja luottokorttiyhtiöillä on yleensä erittäin aktiivinen petosten havaitsemiskäytäntö, ja tavoittavat heidät heti, yleensä puhelimitse tai tekstiviestinä, jos ne huomaavat jotain epäilyttävää. Nopea reagoiminen voi tarkoittaa hyökkäysten lopettamista ennen kuin ne voivat vaikuttaa sinuun, joten pidä puhelin kätevällä.
Muista vain: jos jokin ei tunnu oikealta pankkiautomaatista tai luottokortinlukijasta, älä käytä sitä. Aina kun mahdollista, käytä sirua kortilla olevan nauhan sijasta. Pankkitilisi kiittää sinua.