Невидимые скиммеры: новое слово в мошенничестве с кредитками



    Устройство для считывания данных с кредиток (скиммер) нового типа было обнаружено в Европе. Об этом сообщает в своём блоге специалист по безопасности Брайан Кребс, который получил информацию от European ATM Security Team, некоммерческой организации, занимающейся вопросами безопасности банкоматов. Вместо классических сканеров-накладок злоумышленники используют устройство небольшого размера, которое устанавливается внутрь банкомата рядом со слотом для карт через специально просверленное отверстие. После этого отверстие закрывается наклейкой, в результате чего скиммер практически невозможно заметить.

    Скиммер подсоединяется внутри банкомата к считывающему устройству для карт и работает на принципе прослушки. Злоумышленник выуживает через отверстие провода, идущие от считывателя, подсоединяет устройство к ним и затем оно интерпретирует передаваемые считывателем данные.

    Устройства для кражи информации с карт становятся всё изощреннее, и заметить их всё труднее. Только этим летом был обнаружен новый тип скиммеров, который не оформляется в виде накладки на щель считывателя карт, а вставляется прямо внутрь. Он состоит из двух металлических пластин, электронной схемы и батарейки, которая позволяет устройству работать автономно на протяжении пары недель. Устройство не запоминает данные, а сразу передаёт их на приёмник, расположенный неподалёку.



    В связи с неумолимым движением прогресса необходимо соблюдать элементарные правила безопасности – использовать банкоматы, стоящие в людных, хорошо освещённых местах, желательно там, где есть видеокамеры наблюдения. Кроме того, всегда необходимо внимательно осматривать банкомат на наличие подозрительных модификаций. И прикрывать ввод пин-кода рукой – какой бы ни был скиммер, мошенникам необходимо считать ваш пин-код, поэтому в комплекте со скиммером где-то на банкомате или рядом с ним обязательно должна располагаться видеокамера.
    Support the author
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 30

      0
      Дубль однозначно, но вот оригинальная статья на gk почемуто удалена

      geektimes.ru/post/234933/

      зеркало: newsroller.ru/11-habrahabr/35-it/21744-evolyutsiya-bankomatnyih-skimmerov/
        0
        Статья удалена, потому что ее автор попросил полностью удалить его аккаунт на ресурсе.
          +3
          Нет, в той статье нет ничего про скиммер, вставляющийся через отверстие и подключающийся к проводам. Здесь я просто упомянул скиммер, вставляющийся внутр кардридера, который и в той статье тоже описан.
          А здесь именно новый тип описан.
          0
          А чип-карты скиммерами читаются?
            0
            Только магнитная полоса на них, если есть.
              0
              А если карта чипованная? Спасет ли чип от считывания и дальнейшего использования жуликами?
                0
                Хороший вопрос на самом деле. :-)
                Можно предположить, что чиповые карты не взламываются. Собственно, сам чип действительно штука надежная и все транзакции через него хорошо защищены, что никакой скиммер не поможет. Однако, наличие чипа на карте не означает, что эта карта не поддерживает операций по магнитке в качестве «обратной совместимости». Помню меня дико удивило, как в каком-то левом магазинчике парень провел платеж по моей чиповой карте проведя магнитной полосой по ридеру подключенному к айпаду (!).
                В общем, данных магнитной полосы вполне достаточно для кражи средств с карты. К счастью, интернет платежи требуют ещё и код CVV/CVC, который на обратной стороне карты и на магнитной полосе не записан, так что, в теории, злоумышленник может оплатить краденной магниткой только в магазине.
                Интересно, можно ли затребовать в банке запрет на проведение транзакций по магнитке у своей карты?
                  0
                  Аналогично сталкивался с таким, кассир просто провел картой и деньги списались. Потом в той же точке покупал, просили ввести пин-код. В другом магазине один просили ввести пин-код, расписаться (сверяют подпись на карте), так еще и паспорт показать. А покупка была в районе 1000 рублей. Вот вопрос, могу ли я отказаться показывать паспорт, ну или сказать что его нет, и потребовать, что бы покупка была проведена. Пароль от карты я ввел, так уж и быть, подпишу чек. Что вообще могут требовать продавцы, при использовании карты? Не всегда ношу паспорт да и карту использую что бы сэкономить время а не искать паспорт и тратить время на подпись.
                    0
                    По правилам платежных систем — либо ПИН, либо роспись.
                    Возможно, продавцы просто перестраховываются. Хотя, ещё может быть, что проверка ПИНа провалилась и карта затребовала иной способ авторизации.
                    Насчёт показа паспорта, вроде, платежные системы этого не требуют, но могут требовать законы государства.
                    У самого ещё ни разу не спрашивали паспорт. :-)
                      0
                      По идее, отказаться-то можете, но продавец вправе отказать, если подозревает мошенничество. В случае чего, за недостачу по мошеннической операции, скорее всего, и будет отвечать.
                        0
                        Можете. Имеете полное право не вводить пин вообще, нажав Cancel. Если при этом с вас не потребовали роспись — имеете потом даже право заявить, что покупку не делали.

                        Роспись потребовать, соответственно, магазин может и должен, паспорт — требовать могут, но с тем же самым успехом вы можете потребовать вам товары отдать бесплатно. Вот не взял я паспорт с собой и все.
                          0
                          Если операция проводится без пина, а с подписью, то продавцу надо убедиться, что вы владелец карты. Для этого он и требует предъявить паспорт. Вполне законное требование с его стороны.
                          И опять же, вы можете не показывать паспорт. Продавец в таком случае может отказаться принимать вашу карту.

                          Я вместо паспорта обычно показываю водительское удостоверение (хоть оно и не является удостоверением личности у нас в стране). По размеру оно как банковская карта, поэтому ношу их вместе — не надо долго искать.
                            0
                            > Если операция проводится без пина, а с подписью, то продавцу надо убедиться, что вы владелец карты. Для этого он…
                            … обязан сравнить подпись на карте с подписью в чеке.

                            Требовать ID он может, но отказать в проведении операции при отсутствии ID нет.
                +3
                Почему еще не сделана вся область в месте приема карты прозрачной (стекло, пластик)?
                Подсветка фирменным цветом и любой скимер, даже прозрачный уже можно увидеть в любое время суток.

                Или может я в чем-то не прав?
                  0
                  встречаются и прозрачные картоприемники, видел на бело-красном банкомате.
                  Выглядит примерно вот так
                  image image
                    0
                    У Сбера есть два типа антискиммеров. Полупрозрачные, зелёные. Но стоят не на всех банкоматах и посему тоже бесполезное.
                      +1
                      И главный вопрос — как отличить антискиммер от такого же по виду скиммера.
                        0
                        Потому и бесполезное. Был бы на всех — следы лома навели б на размышления. А так непонятно то ли это штатный скиммер стоит, то ли его тут не было, но кто-то «позаботился».
                    +5
                    И прикрывать ввод пин-кода рукой – какой бы ни был скиммер, мошенникам необходимо считать ваш пин-код, поэтому в комплекте со скиммером где-то на банкомате или рядом с ним обязательно должна располагаться видеокамера.

                    Я всегда считал, что самые популярные способы считывания PIN'а, это всё-же накладные клавиатуры.
                      0
                      Накладная пин клавиатура это сложно — много механики. И эта механика привязана к определенному типу банкомата. А вот камера хоть с записью, хоть передатчиком это очень легко.
                      Единственное что в условиях отрицательных температур окружающей среды накиданные клавиатуры работаю дольше, как ни как но родная клавиатура хоть как то подогревается изнутри, а наружная камера при -15 минут 20-30 только протянет.
                      +1
                      Странно. Разве не могут сделать смс-подтверждения при съёме денег в банкомате? Тогда все эти скиммеры вообще будут бесполезны.
                        0
                        Как это бесполезны? смс-предупреждение приходит уже после того, как деньги сняли. Наличка на руках — и пофиг, что кому-то там пришло какое-то смс.
                          +3
                          Methos кажется имел ввиду подтверждение получения наличных средств, т.е жмешь получить наличные, приходит смс с кодом и ты его вводишь.
                            +1
                            Иногда СМС очень долго приходят. Да и можно быть в другой стране, и симку вынуть на время.
                            Понятно, что и подождать можно, деньги целее будут, но всё же.
                          +3
                          +1
                          двухфакторная аутентификация — наше все.
                          не пойму за что вас минусуют.
                            +1
                            В данном случае предпочитаю чипованную карту. Не нужно ждать смс и безопасно.
                            На минутку представил очередь в банкомат (частенько вижу) и каждый человек еще и ждет смс, потом его вводит… А еще бабулям и так рассказать трудно как снять пенсию, а с смс это будет уже в принципе невозможно…
                              0
                              1. Сделать это опционально.
                              2. Вполне может даже не смс а приложение для двухфакторной авторизации, в конце концов код может придти пушем в приложение от банка. Т.е. если есть интернет, то придет мгновенный пуш.
                              Еще можно к примеру сделать так, что без подтверждения небольшие суммы.
                            0
                            Украинский Приватбанк, когда вы собираетесь снять деньги в банкомате, который расположен не в том микрорайоне, где вы обычно снимаете деньги, высылает смс с кодом и просит ввести его в банкомате. Пару раз я давал жене свою карточку, чтобы она сняла деньги по пути, чтобы не выходить из дома специально к банкомату, и ей приходилось звонить мне и спрашивать код, который пришел на мой телефон. Потом открыл ей отдельную карточку, привязанную к тому же счету.
                            0
                            А какие варианты с тем, как это устройство попадает внутрь банкомата? Получается, что надо «из здания» работать, где основная часть машины стоит?
                              0
                              Нет, снаружи каким-нибудь дремелем под считывателем делают отверстие и всовывают.
                              Доступа к другим частым не требуется.

                            Only users with full accounts can post comments. Log in, please.