Jeste li ikada razmišljali o tome koliko su kreditne i debitne kartice užasno nesigurne? Isprobajte ovaj eksperiment: priključite USB čitač kartica u računalo, otvorite program za obradu teksta, provucite kreditnu karticu i bum – upravo ste ukrali podatke o vlastitoj kartici. Tako je jednostavno.
Uzmite u obzir da ista tehnologija dolazi u bržim i manjim oblicima. Sićušni “skimeri” mogu se pričvrstiti na bankomate i terminale za plaćanje kako bi krali vaše podatke s magnetske trake kartice (zvane “magstripe”). Čak su i manji “svjetlucavi” shimmeri umetnuti u čitače kartica za napad na čipove na novijim karticama. Sada postoji i digitalna verzija pod nazivom e-skimming, krađa podataka s web stranica za plaćanje.
Zabrinuti? Prvi korak u obrani od ovih prevaranata je da saznate više o njima. Čitajte dalje za potpuni pregled načina na koje pokušavaju ukrasti vaše podatke—i vaš novac.
Što su skimmeri?
Skimeri su mali, zlonamjerni čitači kartica skriveni unutar legitimnih čitača kartica koji skupljaju podatke od svake osobe koja provuče njihove kartice. Nakon što neko vrijeme pusti hardver da sakuplja podatke, lopov će svratiti do kompromitiranog stroja da pokupi datoteku koja sadrži sve ukradene podatke. S tim podacima može kreirati klonirane kartice ili samo počiniti prijevaru. Možda je najstrašniji dio to što skimeri često ne sprječavaju pravilno funkcioniranje bankomata ili čitača kreditnih kartica, zbog čega ih je mnogo teže otkriti.
Ulazak u bankomate je težak, pa se bankomati skimeri ponekad postavljaju preko postojećih čitača kartica. Napadači najčešće postavljaju i skrivenu kameru negdje u blizini kako bi snimili osobne identifikacijske brojeve, odnosno PIN-ove, koji se koriste za pristup računima. Kamera može biti u čitaču kartica, montirana na vrhu bankomata ili čak na stropu. Neki kriminalci idu toliko daleko da postavljaju lažne PIN pločice preko stvarnih tipkovnica kako bi izravno uhvatili PIN, zaobilazeći potrebu za kamerom.
Ova slika prikazuje skimmer koji se koristi na bankomatu. Vidite li onaj čudni, glomazni žuti komadić? To je skimer. Ovaj je lako uočiti jer ima drugačiju boju i materijal od ostatka stroja, ali postoje i drugi znakovi. Ispod utora u koji umećete karticu nalaze se uzdignute strelice na plastičnom kućištu uređaja. Možete vidjeti kako su sive strelice vrlo blizu žutog kućišta čitača, gotovo se preklapaju. To je znak da je skimmer instaliran preko postojećeg čitača budući da bi pravi čitač kartica imao malo prostora između utora za kartice i strelica.
Proizvođači bankomata ovu vrstu prijevare nisu prihvatili na miru. Noviji bankomati mogu se pohvaliti snažnom obranom od neovlaštenog otvaranja, ponekad uključujući radarske sustave namijenjene otkrivanju predmeta umetnutih ili pričvršćenih na bankomat. Međutim, jedan je istraživač uspio upotrijebiti ugrađeni radarski uređaj bankomata za snimanje PIN-ova kao dio razrađene prijevare.
Od Skimmera do Shimmera
Kada su banke konačno uhvatile korak s ostatkom svijeta i počele izdavati kartice s čipom, to je bila velika sigurnosna blagodat za potrošače. Ove kartice s čipom ili EMV kartice nude veću sigurnost od bolno jednostavnih magnetskih traka starijih platnih kartica. Ali lopovi brzo uče i imali su godine da usavrše napade u Europi i Kanadi koji ciljaju kartice s čipom.
Umjesto skimmera, koji se nalaze na vrhu čitača magnetske trake, shimmeri su ubace unutar čitača kartica. To su vrlo, vrlo tanki uređaji i ne vide se izvana. Kada gurnete karticu unutra, shimmer očitava podatke s čipa na vašoj kartici, na isti način na koji skimmer čita podatke na magnetnoj traci vaše kartice.
Međutim, postoji nekoliko ključnih razlika. Kao prvo, integrirana sigurnost koja dolazi s EMV-om znači da napadači mogu dobiti samo iste informacije koje bi dobili od skimmera. U svom blogu, istraživač sigurnosti Brian Krebs objašnjava da “iako se podaci koji su obično pohranjeni na magnetskoj traci kartice repliciraju unutar čipa na karticama s omogućenim čipom, čip sadrži dodatne sigurnosne komponente koje se ne nalaze na magnetskoj traci.”
Lopovi nisu mogli duplicirati EMV čip, ali su mogli upotrijebiti podatke s čipa za kloniranje magnetne trake ili iskoristiti njegove podatke za neku drugu prijevaru.
Evo nekoliko ključnih razlika. Za početak, integrirana sigurnost koja dolazi s EMV-om znači da napadači mogu dobiti samo iste informacije koje bi dobili iz skimmera. U svom blogu, istraživač sigurnosti Brian Krebs objašnjava da “Iako su podaci koji se obično čuvaju na magnetskoj traci kartice replicirani unutar čipa na karticama sa čipom, čip sadrži dodatne sigurnosne komponente koje nisu prisutne na magnetskoj traci.”
EMV čipovi pružaju naprednu sigurnost jer sadrže dodatne zaštitne komponente koje nisu prisutne na običnoj magnetskoj traci. Iako napadači ne mogu jednostavno duplicirati EMV čip, mogu koristiti podatke s čipa za kloniranje magnetske trake ili za druge oblike prijevara. Unatoč tome, stručnjaci vjeruju da je EMV tehnologija i dalje sigurna u stvarnim uvjetima korištenja, iako su laboratorijski napadi mogući.
E-skimming kartica
Nije iznenađujuće da postoji digitalni ekvivalent koji se zove e-skimming. Hakiranje British Airwaysa 2018. očito se uvelike oslanjalo na takvu taktiku .
Kao što je Bogdan Botezatu, direktor istraživanja i izvješćivanja o prijetnjama u Bitdefenderu, objasnio, e-skimming je kada napadač ubaci zlonamjerni kod na web stranicu za plaćanje koja krade podatke o vašoj kartici.
“Ovi e-skimeri se dodaju ili kompromitiranjem vjerodajnica administratorskog računa internetske trgovine, web hosting poslužitelja trgovine ili izravnim kompromitiranjem tako da će distribuirati pokvarene kopije svog softvera”, izjavio je Botezatu. Ovo je slično stranici za krađu identiteta, osim što je stranica autentična — neovlašteno je mijenjan kôd stranice.
“Napadi e-skimmingom sve više postaju vješti u izbjegavanju obrambenih mehanizama”, rekao je Botezatu. “Što više vremena napadač prođe neopažen, to više kreditnih kartica može pokupiti.”
Borba protiv ove vrste napada u konačnici ovisi o tvrtkama koje vode te trgovine. U nastavku je nekoliko stvari koje možete učiniti kako biste se zaštitili:
- 1.Koristite sigurnosni softver Botezatu je predložio da potrošači koriste sigurnosni paket softvera na svojim računalima, za koji je rekao da može otkriti zlonamjerni kod i spriječiti vas da unesete svoje podatke.
- 2. Aktivirajte upozorenja za svoje račune kreditnih kartica
Neke će banke poslati push upozorenje na vaš telefon svaki put kada se koristi vaša debitna kartica. Ovo je zgodno jer možete odmah identificirati lažne kupnje. Ako vaša banka nudi sličnu opciju, pokušajte je uključiti. - 3. Obratite pozornost na izvode svoje kreditne kartice i brzo djelujte ako pronađete terećenja koja ne prepoznajete. Ako vam nešto nije u redu s bankomatom ili čitačem kreditnih kartica, nemojte ih koristiti. Kad god možete, upotrijebite čip umjesto trake na kartici. Vaš bankovni račun bit će vam zahvalan.