Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Uwaga na najnowsze rodzaje skimmerów!
Karty płatnicze są przez nas wykorzystywane na co dzień nie tylko do wypłacania pieniędzy z bankomatów, ale również w wielu punktach umożliwiających samoobsługowe transakcje. Kartami płacimy coraz częściej na samoobsługowych stacjach benzynowych, czy też w zautomatyzowanych punktach sprzedaży. W każdym z tych miejsc dane z naszej karty mogą zostać skradzione.
Klasyczne skimmery
Przypomnijmy, że skimmery to urządzenia montowane przez przestępców na bankomatach, w celu nielegalnego skopiowania zawartości paska magnetycznego karty płatniczej, co pozwala później na wykonywanie nieuprawnionych płatności za towary i usługi lub dokonywanie wypłat gotówki z bankomatów. Ponieważ skopiowana karta w systemach bankowych zachowuje się jak karta oryginalna, wszystkie operacje wykonane przy jej pomocy odbywają się kosztem posiadacza oryginalnej karty i obciążają jego rachunek.
Tradycyjny skimmer jest najczęściej swego rodzaju nakładką zakładaną na slot służący do wkładania karty płatniczej w bankomacie. Karta przechodząc przez skimmer jest kopiowana, po czym trafia do bankomatu, dzięki czemu osoba wypłacająca pieniądze nie zauważa jakiejkolwiek zmiany w funkcjonowaniu samego punktu wypłat.
Przestępcom potrzebny jest również kod PIN, wobec czego wraz ze skimmerem montowane są różnorakie nakładki (np. imitujące reklamy) wyposażone w mikrokamerę. Alternatywne podejście zakłada zamontowanie nakładki na klawiaturę, która przechwytuje wszystkie wybierane sekwencje kodów. Spójrzmy.
Jak wygląda montaż profesjonalnego skimmera oraz nakładki na klawiaturę bankomatu? Cały proces jest bardzo prosty i zajmuje tylko chwilę, możemy się o tym przekonać na podstawie filmu instruktażowego przygotowanego przez… producentów dystrybuujących swe produkty na zamkniętych forach internetowych. Przedstawiony na poniższym materiale model skimmera transmituje wszystkie zebrane dane za pośrednictwem wbudowanego modułu GSM, dzięki czemu operator urządzenia może zachować dowolny bezpieczny dystans od miejsca montażu.
Obrabowani przy kasie
Jak wynika z informacji publikowanych przez organizację European ATM Security Team (EAST), problem skimmingu ciągle narasta, a przestępcy bez ustanku poszukują nowych metod ataków. Coraz popularniejsze w ostatnim czasie stają się więc skimmery montowane nie w bankomatach, lecz bezpośrednio w… terminalach płatniczych.
Skimmery POS (ang. Point of Sale) są dostępne na czarnym rynku w kilku wariantach:
- skonfigurowane terminale gotowe do instalacji w miejscach sprzedaży,
- fałszywe terminale nie wykonujące właściwej transakcji, a jedynie przechwytujące dane z kart;
- zestawy do samodzielnego montażu wewnątrz legalnie działających terminali płatniczych.
W jaki sposób możemy odróżnić fałszywy terminal podłożony wyłącznie w celu skopiowania danych z naszej karty oraz zarejestrowania naszego kodu PIN? Może się to okazać bardzo trudne. Spójrzmy na gotowy do użycia fałszywy terminal. Po wykonaniu fikcyjnej transakcji otrzymujemy potwierdzenie, trudno zauważyć jakiś podstęp.
Najnowszy trend w dziedzinie skimmerów stanowią jednak urządzenia przystosowane do montażu w rozmaitych punktach sprzedaży samoobsługowej. Samoobsługowe stacje benzynowe, zautomatyzowane punkty sprzedaży biletów, a nawet parkometry. Zgodnie z najnowszymi doniesieniami European ATM Security Team w tego typu punktach w całej Europie zaczynają pojawiać się skimmery. Szczególna ostrożność jest więc obecnie zalecana nie tylko podczas korzystania z bankomatów.
Jak się bronić?
Niestety, obrona przed skimmerami nie jest wcale prosta i trudno jest wskazać metodę, która w pełni skutecznie uchroni nas przed opróżnieniem naszego konta. Podstawową zasadą pozostaje nadal ochrona kodu PIN. Spójrzmy na poniższy materiał zarejestrowany kamerą zamontowaną na bankomacie przez przestępców. Widać wyraźnie, że osoby zasłaniające wprowadzany kod skutecznie utrudniają życie przestępcom.
Druga podstawowa zasada dotyczy zachowania czujności i zwracania uwagi na wszelkie nietypowe elementy bankomatu lub punktu sprzedaży. Czasem skimmer może być bardzo trudny lub wręcz niemal niemożliwy do zauważenia, jednak wszelkie podejrzenia w tym zakresie najlepiej od razu zgłaszać.
Warto również korzystać z bankomatów lub punktów sprzedaży samoobsługowej zlokalizowanych w miejscach uczęszczanych. Tego typu punktu są zazwyczaj omijane przez przestępców, którzy nie chcą ryzykować montażu skimmerów przy potencjalnych świadkach.
Niestety, powyższe działania nie dają nam żadnej gwarancji, że nie padniemy ofiarą kartowego przestępstwa. Warto jednak na bieżąco śledzić stan naszego konta oraz historię wszystkich transakcji, by w razie potrzeby zareagować jak najszybciej. Dobrym pomysłem może być również uruchomienie usługi powiadamiania smsowego o wszelkich transakcjach wykonanych na naszym rachunku, dzięki czemu od razu wychwycimy wszelkie niespodziewane transakcje.
– Wojciech Smol, (wojciech.smol<at>sekurak.pl)
W artykule wykorzystano materiały European ATM Security Team
A co z fałszywymi bankomatami? Ktoś może podstawić cały bankomat ;)
@Bartek,
Nie podpowiadaj, bo jeszcze ktoś podchwyci pomysł ;).
Sugeruję jeszcze używanie tych samych bankomatów jeśli to możliwe, człowiek wtedy od razu może zauważyć wszelkie modyfikacje. Najgorsze, że zawsze myślałem że zasłanianie pinpadu wystarczy jako zabezpieczenie w stosunku do skimmera, ale skoro podmieniają cała klawiaturę to leżymy :)
Michał,
„Zaufane” bankomaty to oczywiście dobry pomysł, niestety ile to razy jesteśmy zmuszeni do korzystania z nieznanych nam punktów? Zasłanianie klawiatury ustrzeże nas przed kamerami i ewentualnie innymi osobami podglądającymi nasze ruchy, więc na pewno warto stosować.
No sam nie wiem do tych zaufanych ….
http://www.tvn24.pl/wiadomosci-wroclaw,44/bankomat-na-rynku-pod-kontrola-skimmerow,265138.html
Spodziewasz się kamery nad klawiaturą? Umieszczą kamerę w nakładce na slot na kartę. Jeśli slot jest wystarczająco nisko, trzymanie ręki nad klawiaturą na nic się nie zda. No i są też nakładki na klawiaturę, itd.
Ten facet podpowiada, czego można się spodziewać:
[krebsonsecurity.com/category/all-about-skimmers].
Wybadasz to wszystko przed każdym użyciem karty?
@Average Joe,
Tak jak zaznaczyłem, nie ma stuprocentowej metody prewencyjnej, w razie czego pozostaje nam już tylko jak najszybsze zorientowanie się i zareagowanie na podejrzane transakcje na własnym rachunku.
Jeśli jest taka możliwość, wolę wypłacić pieniądze w banku niż korzystać z bankomatu.
Moje 2 dodatkowe zabezpieczenia przed skrimerami magnetycznymi.
1. Wkladajac karte do bankomatu – lekko ja przytrzymac, wtedy odczyt paska magnetycznego moze byc bledny – jako ze bankomaty odczytuja chip a nie pasek – caly legalny proces bedzie dzialal prawidlowo.
2. Czesta zmiana PINu – minimum co 2 miesiace. Proces wytworzenia i skorzystania z kopii karty statystycznie nie powinnien zajac kilku dnii. Takze nie daje nam to 100% zabezpieczenia – jednak swiadomosc przestepcow jest taka za malo kto zmienia PIN takze wydaje mi sie ze nie spiesza sie z czyszczeniem konta jakos strasznie.
Innymi sposobami ktore daja dodatkowe bezpieczenstwo jest ustawienie limitow dobowych na tranzakcje karta.
Jesli ktos nie korzysta z terminalii magnetycznym – zniszczenie paska magnetycznego.
Znalazłem skimmer na bankomacie WBK w Łodzi na ul Rydzowej 14 zgłosiłem na policję i nic…. jak sobie był tak jest.
Na policję nie można się oczywiście w tym zasranym mieście dodzwonić, dopiero po 20 min, żenada.
Za to policja po cywilu łapie przy rynku źle zaparkowane samochody – prawdziwy sukces policji łódzkiej. Oby tak dalej………
Archi: a bankowi zgłosiłeś?
@archi
Przed chwilą dzowniłem do tego oddziału (mieszkam w pobliżu i często z niego korzystamy z żoną), bo przyznam się, że Twoja informacja nieco mnie „zmroziła” :P
Pani poinformowała mnie, że po Twoim zgłoszeniu bankomat został sprawdzony, a to, co uznałeś za skimmer, było elementem konstrukcyjnym bankomatu i znajdowało się tam „od zawsze”
Jeśli dobrze kojarzę, chodzi o ten plastkikowy element otaczający miejsce, gdzie wkłada się kartę:
http://gdziebylec.pl/img/obiekty/18631/03fd681693_thmb300_20110401941_jpg.jpg
Z kolei znalazłem na stronie „nb” zdjęcie przykładowego skimmera zamontowanego na takim dokładnie typie bankomatu:
http://niebezpiecznik.pl/wp-content/uploads/2012/07/WTskim2.png
Dodatkowo Pani zapewniła mnie, że pracownicy placówki mają obowiązek codziennie kontrolować bankomat właśnie pod kątem pojawienia się tego typu urządzeń.
Witam, to co piszesz jest o tyle ciekawe że jak poinformowałem panią dyrektor ,to pani prawie osiwiała bo cyt” pierwszy raz o tym słyszała”. Jeśli to nie skimmer to ok, natomiast informacja o codziennej kontroli to ściema. Natomiast byłbym ostrożny z korzystania z bankomatów które posiadają jakiekolwiek nakładki, bo identyczną znalazłem w sieci i zawierała skimmer. Pozdrawiam i cieszę się że mój alarm był fałszywy i nikomu nic nie zginęło,oby.
najprostrzy sposob to zalozyc sobie subkonto w banku i trzymac pieniadze nie na koncie glownym tylko na subkoncie.
w momencie kiedy chcemy wyplacic pieniadze z bankomatu przelewamy kase z subkonta na konto glowne i wyplacamy (chyba kazdy bank ma internetowa witryne a przelewy wewnatrz konta przeskakuja od razu).
przelewamy tyle ile planujemy wyciagnac, reszta jest na drugim. bandziory moga miec numer karty i pin ale do momentu dopuki nie wyciagna pieniedzy dokladnie miedzy czasem kiedy przelejemy i bedziemy chcieli wyplacic to beda sie mogli w trabe pocalowac.
Skuteczna metoda, którą stosuję od lat z powodzeniem.
jedną z możliwości instalacji takiego skimmera ma obsługa bankomatów – bo kamerka jest zabudowana od środka, jak się tam dostać i rozebrać bankomat przy ludziach nie wzbudzając podejrzeń ? Normalnie, przy wymianie gotówki do bankomantu do której ma dostęp obsługa, dziurka jest ewidentnie wywiercona i od środka obudowy bankomatu zamontowana jest kamera… banki uchylają się od informacji gdzie to zgłaszać, a policja jest bezradna ? Chyba komuś jest to na rękę…
Najprostszą metodą i taką, na którą my sami mam wpływ, jest dzienne i miesięczne ustawienie limitów kwotowych (bądź ilościowych).