Контакты
Главная / Франшиза магазинов

Интеллектуальные атаки на ваши деньги или что нужно знать про скимминговые устройства. Что такое скимминг и как от него защититься

Схема мошенничества

Мошенники устанавливают на банкоматы считывающие устройства - скиммеры.

На картридер устанавливают рамки с магнитной головкой, считывающей информацию с магнитной полосы и записывающую дампы карт на встроенную микросхему памяти и / или на клавиатуру приклеивают накладку, очень похожую на настоящую клавиатуру, которая запоминает нажатия клавиш и также записывает их на встроенную микросхему.

Изображения 1, 2, 3 . Картоприемник с установленным скиммером и накладка на клавиатуру

Как вариант, вместо клавиатуры на банкомат крепят миниатюрную видеокамеру, которая снимает руку, вводящую ПИН-код и записывается в модуль памяти, либо передает его дистанционно на компьютер мошенника. Обычно, в случае дистанционной передачи, мошенник находится где-то неподалеку и принимает видеоданные при помощи ноутбука.

Изображение 4. Скрытая видеокамера, установленная на банкомат

Схема "Заплати за вход"

У многих банков банкоматы расположены в закрытых помещениях с замком, который можно открыть, проведя любой картой через магнитный картридер. Обычно картридер не считывает данные с карты, а проверяет только наличие магнитной полосы в принципе.

Это сделано для того, чтобы в помещение банкомата (обычно теплое и достаточно комфортное для временного нахождения) не проникали случайные посетители и посетители не имеющие цели использовать банкомат (бывали случаи использования банкоматного помещения для ночлега и совершения "действий не финансового характера"). Мошенники устанавливают на картридер для входа скимминговую накладку и считывают информацию с карт входящих клиентов. Также рядом с картридером может прикрепляться клавиатура для ввода ПИН-кода.

Через некоторое время мошенник снимает скиммер с банкомата, записывает дамп карты на любую карточку с магнитной полосой и используя ПИН-код, полученный с клавиатуры, либо видеокамеры снимает наличные через другие банкоматы.

Считанные с карт дампы, могут также использоваться для изготовления клонов карт. Если ПИН-код мошенникам не известен, покупки совершаются с использованием "белого пластика" в магазинах при сговоре с кассиром, либо путем изготовления мошеннической карты.

Мошенники не редко пересылают дампы карт для изготовления подделок и обналичивания в другие страны. Это делается с целью усложнения расследования подобных прецедентов и переноса ответственности по мошенничеству на банки (ведь клиенту легче доказать, что он не совершал операцию, если карта при нем и в заграничном паспорте нет отметок о посещении станы, в котором произошло несанкционированное списание средств).

Борьба со скиммингом в банкоматной сети

В борьбе со скиммингом, банки обычно используют три технологии - физический мониторинг, пассивный антискимминг и активный антискимминг.

Физический мониторинг банкоматов

Включает в себя периодический осмотр банкомата сотрудниками банка, инкассаторами, либо специалистами сервисной службы на аутсерсинге. Осмотр обычно производится по граффику с заполнением специального журнала проверок, чтобы в случае нахождения инородного устройства выявить промежуток времени в течение которого был риск компрометации карт. Физический мониторинг может казаться самым дешевым, однако в пересчете на потраченное время сотрудников и вероятность мошенничества между проверками, по факту оказывается самым ненадежным и дорогим способом борьбы со скиммингом.

Пассивный антискимминг

Банк устанавливает на щель картоприемника специальные антискимминговые накладки, препятствующие установке посторонних устройств. Накладка может быть подключена к специальному датчику, который срабатывает в случае попытки мошенника снять антискиммер с банкомата. Датчик может состоять из обычных проводов, которые рвутся при снятии антискиммера с банкомата, либо пары магнит+геркон (при котором контакты геркона реагируют на удаление антискимминговой накладки со встроенным магнитом). При этом, в процессе удаления антискиммера, наличие герконовой пары мошенник может не заметить, что повышает шансы его поимки.

Изображения 5, 6, 7 Антискимминговые накладки на банкомате

Недостаток пассивного антискимминга в том, что многие держатели карт, начитавшись и насмотревшись страшилок про банкоматное мошенничество, увидев постороннее устройство боятся (и кстати вполне оправданно) пользоваться таким банкоматом.

Частично успокоить держателей карт удается разместив на экране банкомата, или на специальной наклейке под картоприемником изображения правильного вида картоприемника. К сожалению не все держатели карт бдительны, а технологии, применяемые мошенниками позволяют изготавливать скиммеры настолько высогого качества, что отличить скиммер от антискиммера порой не могут даже сотрудники банков. Попробуйте отличить антискимминговую накладку от скиммера на изображениях 2 и 5.

Пассивный антискимминг - это бюджетный, компромисный, но не лучший вариант борьбы со скиммингом.

Активный антискимминг

Это самый дорогой, но эффективный способ борьбы со скиммингом. Устройство устанавливается внутри банкомата и незаметно снаружи. Активный антискиммер контролирует пространство перед банкоматом и позволяет моментально выявить несанкционированную установку на него посторонних устройств. Антискиммер может также создавать радиопомехи в области щели картоприемника, препятствующие работе посторонних электронных устройств.

Датчики антискиммера позволяют анализировать электромагнитное поле в зоне размещения картридера, ПИН-клавиатуры и монитора и в случае резкого изменения напряженности поля (включения излучающих устройств при радиопередаче, установка постороннего оборудования), устройство подает команду на управляющий блок банкомата, который выводит банкомат из режима обслуживания клиентов и может выполнять дополнительные действия (отправка команды, SMS, оповещение службы охраны и мониторинга и т.д.).

Функции Пассивный антискиммер Активный антискиммер
Защита от установки скиммера
  • Модуль электро-магнитной защиты
  • Индукционный датчик металла
  • Другие датчики
Защита от передачи данных нет
  • Электромагнитная защита
  • Детектор посторонних предметов в картридере
Защита от захвата карты Физическая помеха установки ливанской петли
  • Блокиратор карты
  • Защита от захвата карты
Защита от захвата денег нет

Определение денежной ловушки
Мониторинг состояния банкомата Контроль состояния электроцепи датчиков

Множество различных вариантов

Как уберечься от скимминга

Т.к. банки борются со скиммингом не всегда достаточно успешно, держателю карты необходимо самостоятельно принимать меры к безопасности своей карты. Задачи просты:

  1. Не допустить считывания данных с магнитной полосы посторонними устройствами, установленными мошенниками
  2. Предотвратить получение мошенниками ПИН-кода от карты

Конкретные способы защиты:

  1. По возможности ограничьте использование банкоматов в принципе, т.к. большинство карт компрометируются именно в них.
  2. По возможности расплачивайтесь картой в магазинах, не забывая следить за тем, чтобы кассир не уносил карту от Вашего взгляда.
  3. Каждый раз, даже пользуясь знакомым Вам банкоматом, осматривайте его на предмет наличия подозрительных устройств (накладок на кардридере, скрытых камер видеонаблюдения, подозрительных панелей на банкомате)
  4. Попробуйте подцепить край клавиатуры для ввода ПИН-кода ногтем. Если на клавиатуре есть мошенническая накладка, она может люфтить и даже отделиться, т.к. приклеивают ее обычно двусторонним скотчем, либо суперклеем
  5. Не стесняйтесь активно потрогать антискимминговую накладку на кардридере. Настоящая не оторвется, т.к. она антивандальная, мошенническая же может отсоединиться.
  6. Вводя ПИН-код прикрывайте ладонь и клавиатуру второй рукой или кошельком, чтобы даже установленная у банкомата видеокамера не засняла вводимые Вами цифры
  7. Установите лимит на снятие наличных в банкомате не больше 1 операции в день. Возможно, Вам будет сложнее пользоваться банкоматом, зато мошенники не смогут обнулить весь Ваш счет.
  8. По возможности используйте карты с чипом. Такие карты больше защищены от скимминга, и опротестовать мошенническую операцию будет проще.
  9. И помните! То что банкомат установлен в офисе банка не является гарантией, что на нем не установлено скимминговое устройство.

12.03.15 370 436 8

Как защититься от скимминга

Что нужно знать, чтобы не стать жертвой мошенников

Бывает так: вы оказались в незнакомом месте без денег. Видите в переулке банкомат. Снимаете наличные. Спустя несколько недель приходит смс: некто в Кейптауне тоже снимает деньги с вашей карты.

издатель

Вы звоните в банк, блокируете карту, но деньги уже сняты. Вернут их или нет - зависит от банка. Придется разбираться и тратить время. Возможно, придется звонить в полицию Кейптауна.

Это называется скиммингом: мошенники крадут данные карты, потом делают дубликат и обналичивают деньги. Опасность кроется прямо здесь:


Чтобы своровать содержимое карты, мошенникам нужно скопировать две вещи: магнитную полосу на карте и пин. Для этого у них в арсенале три устройства.

Скиммер. Это самодельный считыватель магнитной ленты. Мошенники прикрепляют его к картоприемнику банкомата. Иногда скиммер маскируют так хорошо, что распознать его не может даже сотрудник банка.

Скрытые камеры. Мошенники крепят их на банкомат или прячут где-то возле. Миниатюрная камера направлена на клавиатуру банкомата и записывает, как клиенты вводят пин. Отличить камеру непросто, ведь их ставит и служба безопасности банка.

Накладная клавиатура. Мошенники устанавливают на банкомат поддельную клавиатуру поверх оригинальной. Поддельная запоминает все, что вы набираете, и передает нажатия на настоящие клавиши. Банкомат реагирует на нажатия как обычно, поэтому подмену заметить сложно. Потом преступники забирают накладку, расшифровывают запись и узнают пин.

Как понять, что банкомат опасен

Перед тем как вставить карту, осмотрите банкомат. Ищите подозрительные признаки.

Накладки на картоприемник. Если на банкомате установлен скиммер, то карта сначала проходит через специальный считыватель, а потом попадает в обычный картоприемник. Посмотрите, нет ли такой накладки на щели, в которую вставляется карта:


Если на банкомате стоит антискимминговая накладка (полупрозрачная штука из пластика), попробуйте качнуть или повернуть ее. Настоящая будет намертво прикреплена к банкомату. Поддельная люфтит, отходит и шатается.

Обычно мошенники монтируют шпионские устройства на несколько часов, потому что боятся проверок инспекторов. Поэтому они используют простые способы крепления: скотч, клей, честное слово.

Фальшпанели и черные точки. Мошенники делают поддельные панели, монтируют в них видеокамеры, а потом незаметно крепят к банкомату: на диспенсер для денег, под козырек или под экран. Есть случаи, когда камеру прятали в стенде для рекламных брошюр того же банка:


Не стесняйтесь изучить поверхность банкомата. Потрогайте панели. Обычно фальшивые держатся плохо. Если что-то шатается, изучите деталь поближе.

Плохой сигнал - если на ровной поверхности встретилось миниатюрное углубление, которое издалека выглядит как черная точка. Присмотритесь: возможно, это глазок видеокамеры.

Выпуклая или отличающаяся по тону клавиатура. У мошенников не всегда есть возможность покрасить фальшивые запчасти в цвет банкомата. Несовпадение по цвету и тону легко заметить.

Чаще всего лжеклавиатуру садят на клей или двусторонний скотч. Поэтому при наборе клавиш ощущается небольшой люфт. Накладка отходит от банкомата:


Если клавиатура отличается по фактуре, выпирает или шатается, попробуйте поддеть ее ногтем. Если банкомат атакован мошенниками, под накладкой вы увидите настоящую клавиатуру.

Если банкомат старый, со сколами и затертыми панелями, а клавиатура выглядит как новая - это тоже плохой знак. Не бывает, чтобы банки меняли клавиатуру отдельно от корпуса банкомата.

Как выбрать банкомат

Со скиммерами можно никогда не столкнуться, если следовать нескольким правилам.

Нет: незнакомые банкоматы. Старайтесь снимать деньги в одном банкомате. Идеально, если вы запомните, как он выглядит (особенно клавиатуру и картоприемник).

Нет: уличные банкоматы. Там мошенникам проще установить считыватель или записать на камеру, как вы набираете пин.

Нет: банкоматы в темных местах . Даже если банкомат находится в помещении, недостаток света - это плохо. Можно не заметить подозрительных деталей. Если выбора нет, включите фонарик на телефоне и осмотрите банкомат.

Да: антискимминговые накладки. Банки воюют с карточными мошенниками. Например, ставят на банкоматы антискиммеры - специальные защитные накладки, которые мешают прикрепить считывающее устройство:


Ирония в том, что сначала антискиммеры были очень похожи на сами скиммеры. Люди запутались, поэтому сегодня антискиммеры делают из прозрачного пластика. Это помогает клиенту увидеть: внутри картоприемника нет сканеров, проводов и плат.

Впрочем, мошенники научились маскировать скиммеры под антискиммеры. Тут поможет тот же рецепт: не стесняться пошевелить картоприемник перед тем, как вводить карту.

Да: банкоматы внутри отделений . Их лучше охраняют и чаще проверяют безопасники банков. К тому же в отделениях всегда много банкоматов: обклеить скиммерами каждый - слишком накладно для мошенников. В то же время преступники иногда специально атакуют именно отделения, ведь людям кажется, что там им ничего не угрожает.

Да: «крылья» для клавиатуры. Такие банкоматы затрудняют установку лжеклавиатур и почти полностью исключают возможность записи ввода пина на скрытую камеру:


Да: банкоматы с джиттерами. Джиттер - это накладка на картоприемник, которая заставляет карту вибрировать при вводе. Если банкомат снабжен джиттером, то, скорее всего, мошенники обойдут его стороной: дрожание не позволит им корректно скопировать магнитную ленту на карте. Без этого вся схема становится бессмысленной.

Правда, с джиттерами есть проблемы. Во-первых, на большинстве банкоматов их нет. Во-вторых, понять, что на банкомате стоит джиттер, нельзя, пока вы не вставите карту. Но можно сначала протестировать незнакомый банкомат с помощью какой-нибудь дисконтной карты. Если она вибрирует при вводе, значит, банкомат безопасный.

Протестировать банкомат - это лишнее действие, но оно может сохранить вам и тысячу рублей, и пять, и пятьдесят. Помните: чтобы данные карты попали к мошенникам, достаточно один раз воспользоваться зараженным банкоматом.

Осторожно: банкомат в офисе или торговом центре. Скиммерам сложнее к ним подобраться. Но есть случаи, когда мошенники подкупали охрану, а те направляли камеры внутреннего наблюдения на банкомат. Потом видеозаписи передавались мошенникам и они подсматривали пины. Всегда прикрывайте клавиатуру рукой.

Осторожно: замки при входе в отделение банка. У многих банков есть отделения с магнитным замком. Войти туда можно с помощью любой карты с магнитной полосой. Иногда мошенники ставят скиммеры прямо на замок. Бороться с этим просто: заходите по дисконтной карте.

Иногда мошенники вешают на внешний замок клавиатуру для ввода пина. Тут тоже просто: если на входе от вас требуют что-то вводить, это точно мошенники - причем отчаянные. Банки никогда не попросят вас ввести пин при входе в отделение.

Осторожно: туристические районы за границей. Когда мы путешествуем, мы не знаем, как выглядят банкоматы зарубежных банков, поэтому обмануть нас проще. Мошенники этим пользуются. Будьте внимательнее, особенно в Азии: азиатское скимминговое кунг-фу не знает равных.

Как защитить деньги

Прикрывайте руку свободной рукой, когда вводите пин. Иногда преступники не ставят камеры и накладные клавиатуры, а просто нанимают людей, которые подсматривают, как вы набираете пин:


Перейдите на чипованную карту. Наличие чипа не обезопасит вас на 100%. Чип действительно сложно скопировать. Но его считывает банкомат, а в России далеко не все банкоматы это умеют. Мошенники знают, где найти банкоматы устаревшего образца и снимают наличные по магнитной полосе. Чипы понижают риск, но не сводят его к нулю.

Поставьте лимиты. Ограничьте в интернет-банке выдачу наличных. Мошенники не смогут снять всю сумму за один раз.

В интернет-банке это делается так:




Что делать, если вам попался скимминговый банкомат

  1. Не забирайте фальшдетали, не открепляйте их и не привлекайте к себе внимание.
  2. Если дело происходит днем и внутри отделения, найдите сотрудника банка и спокойно расскажите ему о подозрениях.
  3. Если дело происходит на улице или ночью, заберите вещи и уйдите подальше от банкомата. За вами могут следить из машины или пешком - уйдите от преследования.
  4. Убедитесь, что хвоста нет. Потом позвоните в банк, которому принадлежит банкомат, и в красках опишите все, что с вами случилось.
  5. Если вы заметили скиммер уже после того, как вставили карту, оставьте ее в банкомате. Позвоните в свой банк и заблокируйте ее, но уже потом, когда окажетесь в безопасном месте.

Как выглядят скиммеры









Выводы

  1. Cкимминг - это когда мошенники крадут данные карты через банкомат. Для этого они ставят на банкоматы специальные считыватели, скрытые камеры и накладные клавиатуры.
  2. Осмотрите банкомат перед тем, как вставить карту. Ищите подозрительные признаки: накладки на картоприемник, фальшпанели, сколы и следы от клея.
  3. Не стесняйтесь изучить поверхность банкомата. Если что-то держится плохо, лучше найти другой.
  4. Пользуйтесь банкоматами внутри отделений банка. Незнакомый банкомат всегда опаснее.
  5. Берегите пин. Прикрывайте руку свободной рукой, когда вводите его. Если мошенники не получат пин, ничего плохого не случится.

Скимминговое устройство (далее по тексту СУ ) предназначено для негласного получения информации с магнитной полосы дебетовой (кредитной) карты и ПИН-кода держателя. Сами устройства могут либо накапливать информацию либо передавать ее по беспроводным каналам (например, по wi-fi).

СУ устанавливаются внутри банкомата, на ридер банкомата, на саму антискимминговую накладку (далее - АСУ) или при входе банка (например, raiffeisen bank доступ к своим банкоматам ограничивают по кредитной карте через ридер на входной двери).

Копирование ПИН-кода осуществляется путем оставления накладной клавиатуры, камеры с любого удобного ракурса, в том числе камера инфракрасного диапазона.

В последнее время появились АСУ, которые в случае установки СУ оставляют банкомат работоспособным, а карты в безопасности.

Например, в случае излучения электромагнитных волн подавляющими излучениями антенны, в которой ток, соответственно, преобразуется в энергию распространяющихся в пространстве электромагнитных волн, а не наоборот:

Интересное техническое решение есть у Голландских железных дорог. Поскольку все СУ используют функцию движения кредитной карты вдоль магнитной полосы при ее помещении в ридер, то в этот момент происходит перехват и копирование, в том числе с комбинированных микропроцессорных карт.

Для этого они ридер развернули на 90 градусов. При этом карта должна вставляться полосой вперед и вниз (и уходит далеко внутрь банкомата), а далее карта автоматически идет движением слева направо:

Механизм румынской компании SRS работает по следующей схеме: сначала пользователь вставляет карту в банкомат длинной стороной так, что магнитная полоса располагается параллельно стенке банкомата, после чего механизм поворачивает карту на 90 градусов, чтобы считать информацию с магнитной полосы. Затем карта поворачивается обратно и возвращается пользователю:

Кроме того, теперь более новые банкоматы применяют технологию ActivEdge, где картридер передает в процессор считываемую с карты информацию в зашифрованном виде, исключая тем самым саму возможность перехвата и компрометации данных на этом участке работы с картой. При этом конструкция банкомата индивидуальна и исключает подмену картридера другим картридером.

Другой способ компроментировать (скопировать) карту - установить фальшивый банкомат. Потому что в некоторых странах (например, в США) любой гражданин имеет право купить банкомат, заключить договор на его обслуживание и получать прибыль.

Применяют еще высокотехнологичные атаки:
-убеждают машину с помощью кода, что она наполнена 1 долларовыми купюрами, но на деле 20 долларовыми;
-при подмене хоста подключается ноутбук и отключается стационарный компьютер;
-в Башкортостане в 2009 году убедили банкомат, что курс доллара 1500 руб., обменяв 800 долларов на 1,2 млн. руб.;
-в Москве был случай при помощи программы обслуживания банкоматов были извлечены банкноты без вскрытия сейфовой части банкомата;
-отключение антивирусов через CD-привод и установка вредоносного программного обеспечения. Как противодействие в данном случае используются решения по обеспечению контроля целостности программ;
-в 2011 году в Екатеринбурге в Сбербанк были внесены «Билеты банка приколов» в сумме более миллиона рублей:

При этом изготовление купюр, на которых написано, что они не являются платежным средством, не влечет уголовной ответственности по статье изготовление, хранение и сбыт поддельных купюр. Но можно квалифицировать как приготовление к тяжкому и особо тяжкому преступлению (в данном случае тяжесть смотреть в УК РФ надо по сумме денег). На практике это означает, что при внесении неплатежеспособных машиночитаемых купюр на сумму менее 250 тыс.руб. уголовная ответственность не наступает до момента получения внесенной денежной суммы. Снятие же денег может осуществляться за пределами России.

Для целей определения подлинности банкнот сканер банкомата проверяет их на машиночитаемые признаки: в видимом спектре, инфракрасном, ультрафиолетовом, магнитном. При современном уровне техники те элементы защиты, которые считывают сканеры банкомата, можно считать аналогичными сканирующими устройствами и передать на соответствующие принтеры. Изготовленная банкнота будет определяться банкоматом как подлинная. Другой способ атаки на кэш ввод – это использование склеенных купюр. Мошенники разрезают девять пятитысячных купюр и склеивают из фрагментов тонким матовым скотчем десять банкнот.

Подойдет такой строительный скотч (я даже помню однажды сам склеивал 5 тысячную купюру, которая немного порвалась, и банкомат ее благополучно съел).

Далее… сознательные граждане пишут, что размер поврежденных купюр составляет 157×65 мм, а обычный размер – 157×69 мм, но при этом они принимаются банкоматами и платежными терминалами для зачисления на счет и в качестве платежей как банкноты Банка России стандартного размера. От четырех купюр отрезают по четверти, разрезанные купюры сдают в банк (осталось 75 % площади), из четырех четвертинок склеивают одну купюру и пополняют ей счет карты в банкомате с функцией приема наличных. Из нескольких купюр разного достоинства якобы склеивают купюры, которые воспринимаются кэш вводом как купюры самого большого номинала.

Еще как вариант могут скопировать сотрудники торгового центра, а особенно АЗС, поскольку они берут в руки вашу карту. Поэтому следите за руками и запоминайте переворачивали ли карту стороной трехзначного кода вверх, чтобы посмотреть или клали ли на копиру, т.к. видеокамеры могут не иметь соответствующего качества съемки и разрешения. Если имеются какие-либо подозрения в копировании ваших данных, то фотографируйте на фото и видео прямо в наглую сотрудника торговой точки (чтобы сотрудник понял, что начинать искать будут с него в случае чего), а также стучите в свой банк и в соответствующие органы. Потому что с момента уведомления вами вашего банка риски пропажи денег возлагаются на банк.

Законодательство дает поблажки тем ворам, которые применяют высокотехнологичный способ атаки, и в этом случае при задержании вору (рекомендую как адвокат) необходимо инициировать заключение с ФСБ соглашения о сотрудничестве и тогда за кражу вору скорее всего дадут условный срок, но, как я понимаю, это если по статье кража попадос был первый раз в жизни (или попадос был давно, но судимость снята, т.е. можно сказать, что ее не было для целей назначения срока наказания).

Это были интеллектуальные атаки, но есть более простые способы. Если кратко, то используется способ подсматривания ПИН-кода при его наборе с последующей кражей карты и телефона. Для этого способа потребуется зоркий глаз, ловкость рук и умение пользоваться бритвой для разрезания карманов и сумочек, в которых лежит карта.

Еще более простым способом изъятия наличности (это более пассивный способ, для бомжей слоняющихся неподалеку) является заклеить скотчем гнездо выдачи наличности, чтобы когда Вы не увидите деньги в банкомате и отвлечетесь, то их можно было бы забрать, отклеив скотч в гнезде выдачи наличности.

Мы все привыкли к словосочетанию «технический прогресс». Уже довольно много лет назад смена поколений всевозможных устройств и гаджетов стала таким же привычным явлением, как смена времён года. И никого не удивляет, по большей части. Мы привыкли, к метаморфозам мобильных телефонов, домашних телевизоров, компьютерных мониторов, теперь вот подтянулись часы и даже очки. Однако есть некий немногочисленный класс устройств, о которых многие слышали, их опасаются, но в живую видели единицы. Речь идёт о скиммерах.

В России банкоматы до сих пор не столь распространены, несмотря на 23 года официального капитализма. Но даже у нас скиммеры стали некой городской страшилкой. И мало кто задумывается, что эти устройства, использующие высокотехнологичные компоненты, тоже со временем эволюционируют. И потому особый интерес представляет недавно опубликованный материал, в котором наглядно представлены этапы «модернизации» скиммеров, вплоть до современных новейших разработок криминальных умельцев.

По сути своей, скимминг представляет собой способ кражи некой информации, необходимой для осуществления транзакции с банковского счёта с целью хищения денежных средств. Говоря по простому, чтобы снять через банкомат деньги со счёта вашей банковской карты, мошенникам нужно узнать ваш PIN-код и считать данные с магнитной полосы. И для этого используются устройства самых разных конструкций и принципов действия - скиммеры.

Скиммеры изготавливаются так, чтобы быть как можно незаметнее для пользователей банкомата. Зачастую они мимикрируют под какой-то элемент интерфейса или внешнего оформления. Это сильно затрудняет не только обнаружение скиммеров, но и поимку самих злоумышленников. И за последние 12 лет скиммеры претерпели серьёзные метаморфозы. По крайне мере, если судить по тем образцам, которые были обнаружены за этот период.

2002-2007

В декабре 2002 года CBS сообщила об обнаружении невиданного ранее устройства, которое могло «записывать имена, номера счетов и прочую идентификационную информацию с магнитных полос банковских карт, с возможностью последующей загрузки в компьютер.» Персональный компьютер!

В то время даже законники считали, что скиммеры были фантастикой. Когда прокурор Говард Вайс, специализирующийся на мошенничествах, сам стал жертвой скимминга, он был шокирован тем, что технологии достигли такого уровня.

Конечно, полное игнорирование фактов долго не продлилось. В 2003 году покупатели, пользовавшиеся банкоматом в одном нью-йоркском гастрономе, потеряли за день суммарно около 200 000$. В последствии в сети начало ходить предупреждающее письмо:

2008

В этом году в полицию города Нейплс (Naples) поступил звонок о неудачной попытке размещения скиммера:

Это довольно примитивное устройство состояло из считывателя, который можно было купить совершенно легально, установленного поверх картоприёмника банкомата. А под пластиковым козырьком над монитором была установлена маленькая камера.

2009

Первые поколения скиммеров представляли собой довольно примитивные поделки. Ниже представлена одна из конструкций, включающая в себя батарейку, флешку и порт miniUSB.

Этот скиммер обнаружил один из читателей сайта Consumerist. Бдительный пользователь заподозрил неладное, дёрнул картоприёмник и к нему в руки вывалилось это .

Меньше чем через месяц был обнаружен другой скиммер, который не позволял банкомату корректно считывать карты и включал в себя фальшивое зеркало, в которое была встроена камера.

В то время для мошенников ключом к успешному скиммингу было найти способ получения украденной информации со скиммера:

2010

Многие годы в скиммерах использовались камеры для кражи PIN-кодов. Но их было не так просто незаметно разместить на банкомате. В результате появились накладные клавиатуры, которые записывали последовательность нажимаемых клавиш:

С развитием технологий, мошенникам становилось всё легче создавать компактные устройства. Развились и подешевели услуги аутсорсингового производства. В интернете начали продавать целые наборы для скимминга, которые могли быть по запросу покрашены в нужные цвета. Цены начинались от 1500$.

Но это лишь набор начального уровня. Топовые устройства уходили за 7000-8000$:

Не все наборы были такими дорогими. Многие представляли собой готовые к использованию модули, которые мошенники устанавливали на банкоматы, а через некоторое время собирали с них собранные данные. Главным недостатком этих устройств была необходимость возвращаться за ними, чтобы забрать информацию.

Ниже представлен скиммер с функцией беспроводной связи, способный передавать информацию через сотовый модуль. Сам скиммер очень компактен, собранные данные передаёт в зашифрованном виде.

Продвинутые скиммеры вроде этого делали труд скиммеров менее опасным, снижая вероятность быть пойманными с поличным.

2011

В конце концов, производители банкоматов начали что-то делать для противодействия скиммингу. Во-первых, начали внедрять элементы из прозрачного пластика, в частности, полусферические картоприёмники. Но злоумышленники быстро к этому приспособились:

Как видите, заметить подставу можно лишь по небольшой малозаметной пластиковой накладке. Многие ли из вас обратили бы на неё внимание? А вскоре доступная 3D-печать вывела качество скиммеров на новый уровень:

Домашние модели 3D-принтеров были ещё малопригодны для этих целей, и детали заказывались на стороне в специализированных компаниях. Выше приведён один из таких заказов, которые производитель осмотрительно отказался выполнять.

2012

Обнаружение скиммеров становилось всё более сложной задачей. Ниже показано почти совершенное устройство. Единственный недостаток заключается в маленьком отверстии справа, через которое маленькая камера снимала набираемые на клавиатуре PIN-код.

В конце концов скиммеры стали такими миниатюрными, что вы их не увидите, даже если очень постараетесь. По данным Европейской группы по обеспечению безопасности банкоматов (European ATM Security Team), в июле 2012 были обнаружены скиммеры толщиной с лист тонкого картона. Они помещались внутрь картоприёмника, и заметить их снаружи невозможно.

Теперь ваши карты могут просканировать не только в банкоматах, но и в мобильных терминалах. В ролике показано устройство, даже печатающее фальшивый чек:

Теперь любой сотрудник может подключить принесённое с собой устройство, а в конце рабочего дня унести его, наполненным данными с большого количества банковских карт. Функционал этих терминалов позволяет даже имитировать ошибку соединения, когда данные успешно считаны. В комплекте с ними поставляется и ПО для дешифровки информации с карт, а все данные можно скачать через USB.

2013

В прошлом году на сети заправок Murphy в Оклахоме был зафиксирован ряд случаев скимминга, когда суммарно было похищено 400 000$. мошенники использовали считыватели в комбинации с накладными клавиатурами:

Интересное в этой истории то, что скиммеры были оснащены Bluetooth-модулями, а питание получали прямо от самих банкоматов. Иными словами, срок их службы был практически не ограничен, и непосредственного визита мошенников для сбора данных не требовалось.

Пока одна «эволюционная ветвь» скиммеров пришла к миниатюризации, другая пошла по пути радикальной мимикрии. Нижеприведённый скиммер представляет собой огромную накладную панель с дисплеем. В «дикой природе» этот образец был обнаружен в Бразилии:

Устройство было изготовлено из деталей разобранного ноутбука.

2014

Но это можно отнести скорее к курьёзам, либо к особенностям горячего бразильского характера. Всё-таки компактные скиммеры имеют куда больше шансов остаться незамеченными. И буквально на прошлой неделе был обнаружен вот такой вот скиммер толщиной с кредитную карту:

Устройство требует очень мало времени на установку и демонтаж в банкомат:

К счастью, производители тоже не сидят сложа руки, в частности, используя знания и опыт пойманных хакеров для борьбы с мошенниками. Но они быстро адаптируются, так что эта ситуация напоминает борьбу снаряда и брони.

А что делать нам, обычным пользователям? Как не стать жертвой мошенников и сохранить свои кровные? Всегда. всегда прикрывайте клавиатуру во время набора PIN-кода: в большинстве случаев мошенники используют миниатюрные камеры. А если вы используете карту системы Chip-and-pin, то злоумышленникам не так просто считать с неё данные.

И самое главное, если вас хоть что-то настораживает в облике банкомата, лучше воспользуйтесь другим. Старайтесь использовать банкоматы только в отделениях банков, это существенно снижает риск. Ну, и старайтесь не хранить много денег на «карточном» счёте.

Многих интересует вопрос, что такое скимминг, и как от него защититься.

Жертвами мошенников становятся всё больше людей каждый день.

Злоумышленники каждый год придумываются всё более изощренные схемы, по которым пытаются похитить денежные средства граждан с банковских карт.

Последним из нововведений в области кражи данных стал скимминг. Что это такое и как от него защититься мы подробно рассмотрим в этой статье.

Для чего используется скимминг

Скимминг карты – это действия, направленные на похищение информации путём ее считывания с пластиковых карт, в момент, когда жертва расплачивается либо обналичивает денежные средства.

Происходит данное понятие от слова скиммер. Скиммером, называют гаджет, созданный из электромагнитных материалов и вмонтированный в устройство для считывания информации с карт с магнитной полосой.

Подобные гаджеты нередко появлялись и раньше у мошенников. Причины скимминга заключаются в большом росте оплаты через .

Из-за него возрастает и количество различных денежных терминалов. Модели таких устройств не являются совершенными в плане безопасности и часто попадают в поле зрения хакеров.

Все эти действия и методы, направленные на кражу информации с банковских карточек, называются фишинг.

Устройства самостоятельно изготавливаются злоумышленниками из магнитных считывателей, батареи питания и небольшой микросхемы.

Внешне такие гаджеты маскируют под деталь банкомата. Крепится она при помощи клея или двухстороннего скотча.

Чаще всего скиммер имитирует накладку для прорези, куда вставляется банковская карта.

После того, как ничего не подозревающий гражданин решит обналичить средства и вставит в такой «заражённый» банкомат карточку, сначала сработает считывающие устройство злоумышленника.

После того, как все операции будут завершены, и владелец получит назад свою карту, считанные данные попадут на флэшку мошенника.

Обработав всю считанную информацию, её наносят на магнитную полоску, наклеенную на кусок пластика, то есть делается дубликат карты.

Но этого порой недостаточно для кражи денег с карты. Любая информация, а уж тем более доступ к личному счёту охраняются паролем.

Для банковских карт это пин-код, состоящий из 4 цифр. Для того, чтобы его похитить, злоумышленникам нужны дополнительные скимминг устройства.

Обычно, они представляют собой накладку на клавиатуру банкомата либо миниатюрные камеры.

Какие бывают виды скимминга

Атаки на банковские карты могут производиться не только посредством технических устройств.

В последнее время у мошенников популярен метод онлайн-скимминга. Условно, можно разделить такие атаки на физический скимминг и онлайн-скимминг.

Физический скимминг

Физический скимминг карт может быть разделён на два больших типа:

  • банкоматный;
  • платёжный.

Все эти типы по-своему уникальны. Объясняется это тем, что гаджет создаётся для определённого банкомата.

Хакеры не используют общих схем, и стараются модернизировать свои устройства.

Первые модели банкоматных скимминг-устройств были достаточно примитивны.

Изготавливалось всё вручную, поэтому внимательно присмотревшись, можно было сразу определить, что на картоприёмнике установлена накладка.

Нередко, первые скиммеры вызывали затруднения в работе самих банкоматов.

Сегодня, с общим развитием технологий, устройства считывания достаточно прогрессировали.

Найденные образцы техники, тоньше картонного листа, а миниатюрный лазерный скимминг-считыватель информации с магнитных полос позволяет размещать его внутри картоприёмника.

Банкоматный скимминг – более распространённый тип кражи информации в странах третьего мира.

Это связано с тем, что подделать детали на терминалах и установить их достаточно просто и быстро, а население практически не использует никаких средств защиты.

Платёжный скимминг, применяется в мобильных терминалах. Информация попадает в руки к хакерам, когда кассир проводит по терминалу картой для снятия копии данных.

Часто такие кражи происходят в отелях, закусочных и на заправочных станциях.

Применять такие устройства достаточно сложно, если нет подельника, ими обычно становятся сами продавцы, которые имеют прямой доступ к терминалу. За день, гаджет может считать более сотни карт.

Для получения пин-кода, используются накладки на клавиатуру или камера.

Сегодня такие камеры стали значительно меньше, поэтому обнаружить их с первого раза может и не получиться.

Как видно из статистки, в большинстве случаев, кража данных происходит с зарплатных банковских карт.

Важно: в России, за 2016 год было совершено краж данных с карт 0,94% от общего числа проведенных операций, то есть порядка 27 млн. раз.

Онлайн скимминг

Онлайн-скимминг кардинально отличается от тех способов, которые были описаны выше.

Такие похищения данных с карт более эффективны и масштабны, а отследить злодея практически невозможно.

Для этого метода никаких устройств не потребуется. Хакеры, используют лазейки в программном коде любого онлайн-магазина и внедряют свой вредоносный код на сервер, где хранится вся информация о клиентах.

Онлайн-магазины, особенно небольшие, в целях экономии средств, не уделяют должного внимания хранению и обработки данных. Этой скупостью и пользуются злоумышленники.

По специальному алгоритму, вся информация поступает на сервера для дальнейшей обработки. Последним этапом будет списание денежных средств из личного кабинета жертвы.

Украденные деньги переводятся на подставные счета в разные уголки мира. При этом, все действия происходят незаметно и быстро.

С общим алгоритмом действия злоумышленников по двум видам скимминга можно ознакомиться на схеме:

Наличие подобных угроз не означает, что нужно переставать пользоваться пластиковыми картами.

Также, не стоит полагаться на банковскую безопасность целиком и полностью, необходимо самостоятельно уделять безопасности своих данных повышенное внимание, это как минимум снизит вероятность потери денег со своего банковского счёта (не стоит путать с ).

Предпринимайте следующие действия, чтобы защитить денежные средства на картах:

  • всегда используйте только карты, оборудованные чипом. Скопировать информацию с них практически невозможно;
  • не пишите пин код на самой карте;
  • при вводе пин кода в банкомате, всегда прикрывайте рукой клавиатуру;
  • используйте личный кабинет и смс-уведомление, это позволит моментально отслеживать все операции, происходящие на карте;
  • установите в личном кабинете лимит на снятие наличных в день. Это может выглядеть следующим образом:

  • если пользуетесь онлайн покупками (например, в , работающем по схеме ). Оформите себе виртуальную карту;
  • совершайте покупки только в проверенных интернет магазинах с большой аудиторией;
  • никогда не делайте фотографии карты по просьбе продавца и не высылайте их ему, если такие просьбы поступают, значит, орудует мошенник;
  • используйте банкоматы для снятия наличных только в самих банках, а не на улицах или магазинах.

Деятельность банковских структур в отношении скимминга карт

Поначалу банки не знали, как бороться со скиммингом, так как атаки приобретали массовый характер и постоянной улучшались.

Так и сейчас происходит постоянные соревнования между хакерами и специалистами банковской безопасности.

Сегодня, банками разработана схема по противодействию скимминг-атак, включающая в себя три метода:

  1. физического мониторинга;
  2. пассивного антискимминга;
  3. активного антискимминга.

Физический мониторинг

При физическом мониторинге, защита от скимминга направлена на постоянный контроль банкоматов сотрудниками.

Такой метод включает в себя следующие действия:

  • осмотр банкоматов сотрудниками банка не менее 2-х раз в день;
  • осмотр инкассаторами банкоматов при загрузке и выгрузке наличных средств;
  • осмотр несколько раз в месяц специалистами банкоматов при сервисном обслуживании.

При каждом проведенном осмотре, вносятся соответствующие записи, с обязательным указанием времени осмотра.

Если, скимминг-устройство будет обнаружено в результате осмотра, то по графику проверок может быть установлен временной промежуток, когда был установлен гаджет.

Пассивный антискимминг

Пассивный антискимминг включает в себя следующие действия по борьбе с кражей данных:

  • установка специальных накладок на отверстие для приёма карт. Препятствующих установки внутрь устройств чтения данных;
  • установка сигнализаций на устройства приёма карты;
  • установка скрытых датчиков на панели банкомата, которые при попытке взлома отправляют сигнал охране банка.

Установкой и обслуживанием подобных устройств занимаются специальные охранные компании, имеющие лицензию на проведение подобных работ.

Активный антискимминг

Подобный метод является самым эффективным и дорогим. Работы по внедрению этого метода также проводят специальные охранные организации.

Метод заключается в следующем:

  • установка датчиков, подключенных к общей системе банкомата изнутри. Такие устройства полностью отслеживают все действия банкоматов в автоматическом режиме;
  • установка специальных радиодатчиков. Датчики способны создавать радиопомехи, мешающие отправке сигнала с мобильных средств связи;
  • установка сигнальных датчиков, анализирующих электромагнитные поля. Устройства отслеживают изменения в электромагнитном поле банкомата в месте, где размещается картоприемник. При малейшем отклонении от нормальных показателей, датчик сигнализирует об этом охране.

Что касается противодействия онлайн-скиммингу, то тут банки направляют свои силы в развитие безопасности программного обеспечения.

Создаются специализированные программные оболочки, которые защищают передачу данных во время покупок в онлайн-магазинах (при ) от внешних атак хакеров.

Также, для защиты банковских счетов, банки предлагают пользователям, активно пользующимся интернет-покупками, оформлять онлайн-карты.

Данные с таких карт не представляют ценностей для злоумышленников, так как сама карта при совершении покупки переадресовывает запрос транзакции на сервера банка.

Осторожно, скимминг! Как защитить пластиковую карту