Много уже написано о скиммерах, и о ушлых мошенниках, которые только и норовят что украсть кредитные карты. Все видели в интернете фото различных накладок на клавиатуры, на картоприемник, при помощи которых считываются данные с магнитной полосы и подсматривается PIN-код. Видели и экзотические скиммеры в виде накладок на банкоматы с экраном и собственным картоприемником, и даже целые липовые банкоматы. Некоторым даже посчастливилось лично обнаружить такие накладки, многим наоборот, не посчастливилось, и они стали жертвой карточных мошенников. Банки учли ошибки в конструкции банкоматов, оборудуют их прозрачными накладками, да и пользователи уже поднаторели в этом вопросе, проверяют внешний вид банкомата.
Но есть еще одно место, которое совершенно не вызывает подозрений, и куда пользователи добровольно вставляют свои карточки. В некоторых отделениях круглосуточные банкоматы и терминалы расположены не на улице, а в небольшом тамбуре при входе. И что бы попасть к нему в ночное время, пользователю необходимо провести своей карточкой через карт-считыватель, который и откроет дверь. В принципе, очень удобно – и банкомат имеет дополнительную защиту, и клиент при работе с ним ночью будет спокоен, что никто не подкрадется к нему сзади и не выхватит деньги прямо из рук, или если он заметит подозрительных личностей, поджидающих его на улице, может переждать или вызвать милицию. Но что же это за устройство такое? Это самый обычный считыватель магнитной полосы, который получает все данные с карточки, но не передает их никуда, а использует только небольшую часть для определения того, а действительно ли эта карточка выпущена тем или иным банком? В остальном же, механизм считывания магнитной полосы такой же, как и в банкомате.
Рис. 1 Штатный считыватель, установленный на дверях отделения банка.
Вот злоумышленники и решили, а почему бы и не воспользоваться таким же устройством, заменив оригинальный считыватель на свой собственный? Тем более что такой скиммер может не только считывать и передавать данные магнитной полосы, но и выполнять свои непосредственные функции – открывать дверь. Или сделать накладку на оригинальный считыватель – никто не заметит разницы. И если пользователи уже давно привыкли в правильному виду картоприемника банкомата, то как должен выглядеть дверной считыватель знают далеко не все. И даже если сделать его прозрачным, то это ничего не даст – электроника и электроника, что тут необычного? Она и должна там быть!
Рис. 2 Считыватель с дополнительным, передающим данные, модулем.
Таким образом злоумышленник получит данные с карты еще до того, как пользователь вставит её в банкомат. Остается задача получить PIN-код, но это тоже несложно – можно использовать не классическую накладку на клавиатуру, чтобы не вызвать подозрений, а скрытую камеру, установленную поблизости, например, в стойке с рекламными листовками.
Рис. 3 Скрытая видеокамера возле банкомата.
Следующее место, куда пользователь добровольно, да еще и с охотой вставляет свою кредитную карту – это POS-терминалы в магазине. Да что там в магазине – даже на рынке и у разносчиков пиццы или суши есть с собой мобильный POS-терминал, который позволит легко оплатить ароматную пиццу, и заодно лишиться всех средств на банковском счете. Неплохие чаевые для курьера, согласитесь?
Это самый надежный способ получить данные с карты и PIN-код пользователя. Ведь за банкоматами следят сотрудники банка, есть видеонаблюдение, и злоумышленники рискуют попасться на горячем в момент установки или снятия дорогостоящего устройства на банкомат. Да и он будет выделяться, внимательные пользователи сразу сообщат о нем в службу безопасности или в милицию. Здесь же злоумышленники имеют неограниченные возможности по встраиванию скиммера в POS-терминал. Их никто не ограничивает по времени и степени интеграции дополнительного функционала в мобильный терминал.
Служба безопасности банка не может контролировать состояние всех своих терминалов после того, как отдала их продавцу. Более того, сам курьер или продавец в магазине может даже и не знать о «двойном» функционале терминала – такой терминал подключен к сети интернет для связи с банком, а значит, все скопированные данные сразу же передаются злоумышленнику. Не нужно находиться в непосредственной близости от жертвы или возвращаться к банкомату для снятия накопленных данных. Да, такие интегрированные скиммеры намного дороже обычных, но зато они могут работать дольше, надежнее, с меньшим риском быть пойманным, и приносить намного больше прибыли.
Рис. 4 пленочная прокладка, встраиваемая под клавиатурой POS-терминала
Рис. 5 Дополнительный модуль передачи данных
Как ни печально, но на сегодняшний день злоумышленники добрались уже до всех устройств по работе с банковскими карточками, имеющими магнитную полосу. Можно заказать у банка чипованную карту, но они так же имеют магнитную полосу, данных на которой достаточно для проведения транзакции. К сожалению, банкоматы и POS-терминалы старых образцов не умеют работать с чипами, так что приходится рисковать.
Поэтому, чтобы не стать жертвами карточных мошенников, придерживайтесь простых правил:
- Выбирайте чипованные карты.
- Пользуйтесь одним и тем же банкоматом, который вам знаком, и где любые изменения будут бросаться в глаза. Желательно расположенным в помещении банка, где у вас открыт счет.
- Если же приходится пользоваться неизвестным банкоматом, то внимательно изучите его на предмет посторонних накладок. Несмотря на то, что качество и исполнение современных скиммеров постоянно повышается, их все же можно идентифицировать.
- Закажите у банка дополнительную карту с лимитом операций в сутки не более чем вам необходимо, и держите на ней минимально необходимые средства, с которыми не жалко расстаться. Если же понадобится срочно увеличить этот лимит, это можно сделать, позвонив в банк.
- Подключите SMS-информирование о списании средств. При любом незапланированном списании сразу же сообщите в банк по телефону. Заранее выясните у банка процедуру блокировки карты.
- Если деньги все-таки увели, то не стоит отчаиваться. Обратитесь в банк с заявлением и требуйте расследования и возмещения средств. Не ведитесь на поводу у менеджеров, которые будут убеждать, что это ваша вина, что сами потеряли карточку и PIN был записан на обратной стороне.
Дмитрий Снопченко
Горячие темы