Sommario:
- Cosa sono gli skimmer?
- Dagli skimmer agli shimmer
- Verifica manomissione
- Wiggle Everything
- Pensa ai tuoi passi
- Attacchi e soluzioni digitali
- Stai attento
Video: DarkWeb e Truffe - Le Carte di Credito Clonate (Novembre 2024)
Il momento in cui ho iniziato a preoccuparmi seriamente delle carte di credito e degli skimmer per carte di debito non è stato quando il mio intero conto bancario è stato trasferito in Turchia o quando ho dovuto sostituire una carta di credito tre volte in due mesi a causa di addebiti fraudolenti. Fu quando ho scoperto che rubare un numero di carta di credito è facile come collegare un lettore di strisce magnetiche a un computer e aprire un word processor. Ogni passaggio sputa il numero della carta di credito, senza necessità di ulteriore impostazione. I dispositivi più avanzati per rubare le tue informazioni vengono installati dai criminali direttamente su bancomat e lettori di carte di credito. Questi sono chiamati skimmer, e se stai attento puoi evitare di essere vittimizzato da questi dispositivi insidiosi.
Cosa sono gli skimmer?
Gli skimmer sono essenzialmente lettori di carte malevoli collegati ai terminali di pagamento reali in modo che possano raccogliere dati da ogni persona che scorre le loro carte. Il ladro deve spesso tornare alla macchina compromessa per raccogliere il file contenente tutti i dati rubati, ma con queste informazioni in mano può creare carte clonate o semplicemente rompere i conti bancari per rubare denaro. Forse la parte più spaventosa è che gli skimmer spesso non impediscono al bancomat o al lettore di carte di credito di funzionare correttamente, rendendoli più difficili da rilevare.
Gli attacchi skimmer classici sono qui per rimanere e probabilmente continueranno a essere un problema anche ora che le banche hanno fatto il passaggio alle chip card EMV, secondo Stefan Tanase, un ricercatore di sicurezza presso Kaspersky Lab. Anche se le carte hanno un chip, i dati saranno ancora sulla striscia magnetica della scheda per essere retrocompatibili con i sistemi che non sono in grado di gestire il chip, ci ha detto. Anche adesso, molto tempo dopo il lancio negli Stati Uniti delle carte EMV, alcuni commercianti richiedono ancora ai clienti di usare la striscia magnetica.
Lo skimmer ATM tipico è un piccolo dispositivo che si adatta a un lettore di carte esistente. La maggior parte delle volte, gli aggressori posizionano anche una telecamera nascosta da qualche parte nelle vicinanze per registrare numeri di identificazione personale o PIN, utilizzati per accedere agli account. La fotocamera potrebbe trovarsi nel lettore di schede, montato nella parte superiore del bancomat o addirittura nel soffitto. Alcuni criminali installano un PIN pad falso sulle tastiere effettive per catturare direttamente il PIN, evitando la necessità di una videocamera.
L'immagine sopra è uno skimmer di vita reale in uso su un bancomat. Vedi quello strano, ingombrante pezzo giallo? Questo è lo skimmer. Questo è facile da individuare perché ha un colore e un materiale diversi rispetto alla macchina target, ma ci sono altri segni rivelatori. Sotto lo slot in cui si inserisce la scheda sono sollevate le frecce incorporate nell'involucro di plastica della macchina. Puoi vedere come le frecce grigie sono molto vicine all'alloggiamento del lettore giallo, quasi sovrapposte. Questo è un segno che uno skimmer è stato installato su quello esistente, poiché il vero lettore di schede avrebbe un po 'di spazio tra lo slot per schede e le frecce.
Dagli skimmer agli shimmer
Quando le banche statunitensi hanno finalmente raggiunto il resto del mondo e hanno iniziato a emettere chip card, è stato un grande vantaggio per la sicurezza dei consumatori. Queste chip card, o EMV, offrono una sicurezza più robusta rispetto alle strisce dolorosamente semplici delle vecchie carte di credito. Ma i ladri imparano velocemente e hanno avuto anni per perfezionare gli attacchi in Europa e Canada che colpiscono le chip card.
Invece degli skimmer, che si trovano in cima ai lettori di strisce magnetiche, i luccicanti sono all'interno dei lettori di carte. Questi sono dispositivi molto, molto sottili e non possono essere visti dall'esterno. Quando fai scivolare la tua carta dentro, il luccichio legge i dati dal chip sulla tua carta, più o meno allo stesso modo in cui uno skimmer legge i dati sulla striscia magnetica della tua carta.
Vi sono tuttavia alcune differenze chiave. Per uno, la sicurezza integrata fornita con EMV significa che gli aggressori possono ottenere solo le stesse informazioni che avrebbero da uno skimmer. Sul suo blog, il ricercatore di sicurezza Brian Krebs spiega che "i dati raccolti dai luccicanti non possono essere usati per fabbricare una carta basata su chip, ma potrebbero essere usati per clonare una carta a banda magnetica. Sebbene i dati che sono tipicamente memorizzati sulla banda magnetica di una carta viene replicato all'interno del chip su schede abilitate per chip, il chip contiene componenti di sicurezza aggiuntivi non presenti su una banda magnetica."
Il vero problema è che i luccicanti sono molto più difficili da individuare perché si trovano all'interno di sportelli automatici o distributori automatici. Il luccichio nella foto sotto è stato trovato in Canada e segnalato all'RCMP. È poco più di un circuito integrato stampato su un sottile foglio di plastica. Se i proprietari del dispositivo compromesso non avessero prestato attenzione, ciò avrebbe potuto rubare le informazioni a tutti coloro che lo utilizzavano.
I produttori di sportelli automatici non hanno accettato questo tipo di frode sdraiati. Gli sportelli automatici più recenti vantano robusti dispositivi antimanomissione, a volte tra cui sistemi radar destinati a rilevare oggetti inseriti o collegati all'ATM. Tuttavia, un ricercatore alla conferenza sulla sicurezza di Black Hat è stato in grado di utilizzare il dispositivo radar di bordo di un bancomat per acquisire PIN come parte di una truffa elaborata.
Le minacce sono reali e in evoluzione; ecco perché è così importante dare a qualsiasi bancomat o lettore di carte di credito un rapido controllo prima di utilizzarlo.
Verifica manomissione
Quando ti avvicini a un bancomat, controlla alcuni segni evidenti di manomissione nella parte superiore del bancomat, vicino agli altoparlanti, al lato dello schermo, al lettore di schede stesso e alla tastiera. Se qualcosa sembra diverso, come un colore o materiale diverso, una grafica non allineata correttamente o qualsiasi altra cosa che non sembri corretta, non utilizzare quel bancomat. Lo stesso vale per i lettori di carte di credito alla cassa o alle stazioni di servizio.
Se sei in banca, è una buona idea dare un'occhiata veloce al bancomat accanto al tuo e confrontarli. In caso di differenze evidenti, non utilizzarne una e segnalare la manomissione sospetta alla propria banca. Ad esempio, se un bancomat ha una voce di carta lampeggiante per mostrare dove inserire la carta bancomat e l'altro bancomat ha uno slot lettore semplice, sai che qualcosa non va. La maggior parte degli skimmer è incollata sopra il lettore esistente e oscurerà l'indicatore lampeggiante.
Se la tastiera non sembra corretta, forse troppo spessa, allora potrebbe esserci un overlay strappando il PIN, quindi non usarlo.
Wiggle Everything
Anche se non riesci a vedere alcuna differenza visiva, spingi verso tutto, disse Tanase. I bancomat sono costruiti in modo solido e generalmente non hanno parti sfuse. I lettori di carte di credito hanno più variazioni, ma comunque: tirate verso le parti sporgenti come il lettore di carte. Verifica se la tastiera è fissata saldamente e solo un pezzo. Qualcosa si muove quando lo spingi?
Gli skimmer leggono la banda magnetica mentre la scheda viene inserita, quindi fai una piccola oscillazione della scheda mentre la inserisci, consiglia Tanase. Il lettore ha bisogno che la striscia si muova con un solo movimento, perché se non è diretta, non può leggere correttamente i dati. Se il bancomat è il tipo in cui prende la carta e la restituisce al termine della transazione, il lettore è all'interno. Spostare la carta mentre la si inserisce nello slot non interferirà con la transazione, ma ostacolerà lo skimmer.
Questa tattica non funzionerà sui luccicanti e non funzionerà con alcun bancomat che cattura e trattiene la tua carta mentre la transazione è in corso. Tuttavia, ci sono ancora modi per proteggersi quando si usano queste macchine.
Pensa ai tuoi passi
Ogni volta che inserisci il PIN della tua carta di debito, supponi che ci sia qualcuno alla ricerca. Forse è sopra la tua spalla o attraverso una telecamera nascosta. Copri la tastiera con la mano quando inserisci il PIN, ha detto Tanase. Questa è una buona politica anche se non noti nulla di strano sull'ATM. Ottenere il PIN è essenziale, poiché i criminali non possono utilizzare i dati della banda magnetica rubati senza di essa, ci ha detto Tanase. Naturalmente, ciò presuppone che l'attaccante stia utilizzando una videocamera e non una sovrapposizione per ottenere il PIN.
I criminali installano spesso skimmer sugli sportelli automatici che non si trovano in luoghi eccessivamente occupati poiché non vogliono essere osservati installando hardware dannoso o raccogliendo i dati raccolti. Gli sportelli automatici all'interno delle banche sono generalmente più sicuri a causa di tutte le telecamere, anche se alcuni criminali audaci riescono ancora a installarli lì. Il bancomat all'interno di un negozio di alimentari o di un ristorante è generalmente più sicuro di quello che si trova sul marciapiede. Fermati e considera la sicurezza del bancomat prima di utilizzarlo.
Detto questo, nessun posto è al sicuro da un criminale intraprendente. Prendi questo video, per esempio. Il ladro installa in pochi secondi uno skimmer sul punto vendita all'interno di un negozio di alimentari.
Le possibilità di essere colpiti da uno skimmer sono maggiori nel fine settimana rispetto alla settimana, poiché è più difficile per i clienti segnalare i bancomat sospetti alla banca. I criminali in genere installano gli skimmer il sabato o la domenica, quindi li rimuovono prima che le banche riaprano il lunedì.
Quando possibile, non utilizzare la striscia di carta per eseguire la transazione. Per i lettori di carte di credito nei negozi, sentire sotto il PIN pad uno slot per inserire la carta e il suo chip EMV da leggere. Quando si utilizza il chip EMV, la scheda è autorizzata sul dispositivo e le informazioni personali non vengono mai trasmesse. Ciò costringe i criminali ad attaccare il funzionamento interno dei lettori abilitati EMV. Mentre è possibile decifrare i lettori EMV, è molto più difficile della scrematura a strisce.
Se il terminale per carte di credito accetta transazioni NFC, considera l'utilizzo di Apple Pay, Samsung Pay o Android Pay. Questi servizi tokenizzano le informazioni della tua carta di credito, quindi le tue informazioni personali non vengono mai esposte. Se un criminale in qualche modo intercetta le informazioni, otterrà solo un inutile numero di carta di credito virtuale. Si noti che su alcuni dispositivi, Samsung Pay può effettivamente emulare una transazione a strisce quando si tiene il telefono sopra il lettore di carte. Questo è molto più sicuro rispetto all'utilizzo della tua vera carta di credito.
Uno scenario che richiede spesso di usare la tua bacchetta magica è il pagamento del carburante in una pompa di benzina. Questi sono diffusi per gli attacchi, perché molti non supportano ancora le transazioni EMV o NFC e perché gli aggressori possono accedere alle pompe senza essere notato. È molto più sicuro entrare e pagare la cassa. Se non è presente un cassiere in servizio, utilizzare gli stessi suggerimenti per l'utilizzo degli sportelli automatici e indagare sul lettore di carte prima di utilizzarlo.
Attacchi e soluzioni digitali
Il recente hack di British Airways ha introdotto un nuovo concetto: lo skimmer per schede digitali. Invece di un dispositivo fisico per acquisire le informazioni della tua carta o un sito Web di phishing fasullo che ti induce a inserire i tuoi dati, uno skimmer digitale è un software dannoso iniettato in un sito Web legittimo.
La lotta contro questo tipo di attacco dipende in definitiva dalle aziende per garantire che i loro siti e servizi siano sicuri. Ma ci sono alcune cose che i consumatori possono fare per proteggersi. Un'opzione è utilizzare le carte di credito virtuali. Questi sono numeri fittizi di carte di credito collegati al tuo conto reale della carta di credito. Se uno è compromesso, non sarà necessario ottenere una nuova carta di credito, è sufficiente generare un nuovo numero virtuale. Alcune banche, come Citi, offrono questo come una caratteristica, quindi chiedi al tuo se è disponibile.
Se non riesci a ottenere una carta virtuale da una banca, Abine Blur offre carte di credito mascherate agli abbonati. Queste sono carte di credito prepagate che puoi creare al volo e utilizzare per gli acquisti online. Abine fornisce anche un nome falso e un indirizzo di fatturazione da utilizzare, nascondendo ulteriormente le tue informazioni personali. Se uno di questi è esposto, non perderai denaro o informazioni private.
Un'altra opzione è quella di iscriversi agli avvisi delle carte. Ally Bank, ad esempio, invierà un avviso push al telefono ogni volta che viene utilizzata la carta di debito. Questo è utile, poiché puoi identificare immediatamente gli acquisti fasulli. Se la tua banca fornisce un'opzione simile, prova ad accenderla.
Stai attento
Se non noti uno skimmer per carte e i dati della tua carta vengono rubati, prendi il cuore. Finché segnalate il furto all'emittente della carta (per le carte di credito) o alla banca (dove avete il vostro account) il più presto possibile, non sarete ritenuti responsabili per l'importo perso e il vostro denaro verrà restituito. I clienti aziendali, d'altra parte, non hanno la stessa protezione legale e potrebbero avere difficoltà a recuperare i propri soldi.
Inoltre, prova a utilizzare una carta di credito ogni volta che è possibile. Una transazione di addebito è un trasferimento di denaro immediato e richiede una richiesta FDIC che può richiedere settimane per essere elaborata. Le transazioni con carta di credito possono essere interrotte e invertite in qualsiasi momento, facendo così pressione sui commercianti per proteggere meglio i loro bancomat e i punti di vendita.
La segnalazione tempestiva è molto importante in caso di frode, quindi assicurati di tenere d'occhio le tue transazioni di debito e carta di credito. Le app di finanza personale come Mint.com possono aiutarti a semplificare il compito di smistare tutte le tue transazioni.
- Abine Blur Premium Abine Blur Premium
- Feds mette in guardia dagli hacker "Jackpotting" negli Stati Uniti Feds mette in guardia dagli hacking "Jackpotting" negli Stati Uniti
- Guarda uno skimmer per carte installato in pochi secondi Guarda uno skimmer per carte installato in pochi secondi
Infine, presta attenzione al tuo telefono. Le banche e le società di carte di credito hanno generalmente politiche di rilevamento delle frodi molto attive e ti contatteranno immediatamente, di solito per telefono o SMS, se notano qualcosa di sospetto. Rispondere rapidamente può significare interrompere gli attacchi prima che possano interessarti, quindi tieni il telefono a portata di mano.
Ricorda solo: se qualcosa non va bene per un bancomat o un lettore di carte di credito, non usarlo. Ogni volta che puoi, usa il chip invece della striscia sulla tua carta. Il tuo conto bancario ti ringrazierà.