- PVSM.RU - https://www.pvsm.ru -

Эволюция банкоматных скиммеров

Эволюция банкоматных скиммеров

Мы все привыкли к словосочетанию «технический прогресс». Уже довольно много лет назад смена поколений всевозможных устройств и гаджетов стала таким же привычным явлением, как смена времён года. И никого не удивляет, по большей части. Мы привыкли, к метаморфозам мобильных телефонов, домашних телевизоров, компьютерных мониторов, теперь вот подтянулись часы и даже очки. Однако есть некий немногочисленный класс устройств, о которых многие слышали, их опасаются, но в живую видели единицы. Речь идёт о скиммерах [1].

В России банкоматы до сих пор не столь распространены, несмотря на 23 года официального капитализма. Но даже у нас скиммеры стали некой городской страшилкой. И мало кто задумывается, что эти устройства, использующие высокотехнологичные компоненты, тоже со временем эволюционируют. И потому особый интерес представляет недавно опубликованный материал [2], в котором наглядно представлены этапы «модернизации» скиммеров, вплоть до современных новейших разработок криминальных умельцев.

По сути своей, скимминг представляет собой способ кражи некой информации, необходимой для осуществления транзакции с банковского счёта с целью хищения денежных средств. Говоря по простому, чтобы снять через банкомат деньги со счёта вашей банковской карты, мошенникам нужно узнать ваш PIN-код и считать данные с магнитной полосы. И для этого используются устройства самых разных конструкций и принципов действия — скиммеры.

Скиммеры изготавливаются так, чтобы быть как можно незаметнее для пользователей банкомата. Зачастую они мимикрируют под какой-то элемент интерфейса или внешнего оформления. Это сильно затрудняет не только обнаружение скиммеров, но и поимку самих злоумышленников. И за последние 12 лет скиммеры претерпели серьёзные метаморфозы. По крайне мере, если судить по тем образцам, которые были обнаружены за этот период.

2002-2007

В декабре 2002 года CBS сообщила [3] об обнаружении невиданного ранее устройства, которое могло «записывать имена, номера счетов и прочую идентификационную информацию с магнитных полос банковских карт, с возможностью последующей загрузки в компьютер.» Персональный компьютер!

В то время даже законники считали, что скиммеры были фантастикой [3]. Когда прокурор Говард Вайс, специализирующийся на мошенничествах, сам стал жертвой скимминга, он был шокирован тем, что технологии достигли такого уровня.

Конечно, полное игнорирование фактов долго не продлилось. В 2003 году покупатели, пользовавшиеся банкоматом в одном нью-йоркском гастрономе, потеряли за день суммарно около 200 000$ [4]. В последствии в сети начало ходить предупреждающее письмо:

Эволюция банкоматных скиммеров

2008

В этом году в полицию города Нейплс (Naples) поступил звонок о неудачной попытке размещения скиммера:

Эволюция банкоматных скиммеров

Это довольно примитивное устройство состояло из считывателя, который можно было купить совершенно легально [5], установленного поверх картоприёмника банкомата. А под пластиковым козырьком над монитором была установлена маленькая камера.

2009

Первые поколения скиммеров представляли собой довольно примитивные поделки. Ниже представлена одна из конструкций, включающая в себя батарейку, флешку и порт miniUSB.

Эволюция банкоматных скиммеров

Этот скиммер обнаружил один из читателей сайта Consumerist [6]. Бдительный пользователь заподозрил неладное, дёрнул картоприёмник и к нему в руки вывалилось это.

Меньше чем через месяц [7] был обнаружен другой скиммер, который не позволял банкомату корректно считывать карты и включал в себя фальшивое зеркало, в которое была встроена камера.

Эволюция банкоматных скиммеров

В то время для мошенников ключом к успешному скиммингу было найти способ получения украденной информации со скиммера:

Эволюция банкоматных скиммеров

Ранние модели скиммеров иногда заставляли банкоматы работать некорректно. Но вскоре злоумышленники научились успешно паразитировать на них.

Эволюция банкоматных скиммеров

2010

Многие годы в скиммерах использовались камеры для кражи PIN-кодов. Но их было не так просто незаметно разместить на банкомате. В результате появились накладные клавиатуры, которые записывали последовательность нажимаемых клавиш:

Эволюция банкоматных скиммеров

С развитием технологий, мошенникам становилось всё легче создавать компактные устройства [8]. Развились и подешевели услуги аутсорсингового производства. В интернете начали продавать целые наборы для скимминга, которые могли быть по запросу покрашены в нужные цвета. Цены начинались от 1500$.

Эволюция банкоматных скиммеров

Но это лишь набор начального уровня. Топовые устройства [9] уходили за 7000-8000$:

Не все наборы были такими дорогими. Многие представляли собой готовые к использованию модули, которые мошенники устанавливали на банкоматы, а через некоторое время собирали с них собранные данные. Главным недостатком этих устройств была необходимость возвращаться за ними, чтобы забрать информацию.

Ниже представлен скиммер с функцией беспроводной связи, способный передавать информацию через сотовый модуль. Сам скиммер очень компактен, собранные данные передаёт в зашифрованном виде.

Эволюция банкоматных скиммеров

Эволюция банкоматных скиммеров

Продвинутые скиммеры вроде этого делали труд скиммеров менее опасным, снижая вероятность быть пойманными с поличным.

2011

В конце концов, производители банкоматов начали что-то делать для противодействия скиммингу. Во-первых, начали внедрять элементы из прозрачного пластика, в частности, полусферические картоприёмники. Но злоумышленники быстро к этому приспособились:

Эволюция банкоматных скиммеров

Как видите, заметить подставу можно лишь по небольшой малозаметной пластиковой накладке. Многие ли из вас обратили бы на неё внимание? А вскоре доступная 3D-печать вывела качество скиммеров на новый уровень [10]:

Эволюция банкоматных скиммеров

Домашние модели 3D-принтеров были ещё малопригодны для этих целей, и детали заказывались на стороне в специализированных компаниях. Выше приведён один из таких заказов, которые производитель осмотрительно отказался выполнять [11].

2012

Обнаружение скиммеров [12] становилось всё более сложной задачей. Ниже показано почти совершенное устройство. Единственный недостаток заключается в маленьком отверстии справа, через которое маленькая камера снимала набираемые на клавиатуре PIN-код.

Эволюция банкоматных скиммеров

Эволюция банкоматных скиммеров

В конце концов скиммеры стали такими миниатюрными, что вы их не увидите, даже если очень постараетесь. По данным Европейской группы по обеспечению безопасности банкоматов [13] (European ATM Security Team), в июле 2012 были обнаружены скиммеры толщиной с лист тонкого картона. Они помещались внутрь картоприёмника, и заметить их снаружи невозможно.

Эволюция банкоматных скиммеров

Теперь ваши карты могут просканировать не только в банкоматах, но и в мобильных терминалах. В ролике показано устройство, даже печатающее фальшивый чек:

Теперь любой сотрудник может подключить принесённое с собой устройство, а в конце рабочего дня унести его, наполненным данными с большого количества банковских карт. Функционал этих терминалов позволяет даже имитировать ошибку соединения, когда данные успешно считаны. В комплекте с ними поставляется и ПО для дешифровки информации с карт, а все данные можно скачать через USB.

2013

В прошлом году на сети заправок Murphy в Оклахоме был зафиксирован ряд случаев [14] скимминга, когда суммарно было похищено 400 000$. мошенники использовали считыватели в комбинации с накладными клавиатурами:

Эволюция банкоматных скиммеров

Интересное в этой истории то, что скиммеры были оснащены Bluetooth-модулями, а питание получали прямо от самих банкоматов. Иными словами, срок их службы был практически не ограничен, и непосредственного визита мошенников для сбора данных не требовалось.

Пока одна «эволюционная ветвь» скиммеров пришла к миниатюризации, другая пошла по пути радикальной мимикрии. Нижеприведённый скиммер представляет собой огромную накладную панель с дисплеем. В «дикой природе» этот образец был обнаружен в Бразилии:

Эволюция банкоматных скиммеров

Эволюция банкоматных скиммеров

Устройство было изготовлено из деталей разобранного ноутбука.

2014

Но это можно отнести скорее к курьёзам, либо к особенностям горячего бразильского характера. Всё-таки компактные скиммеры имеют куда больше шансов остаться незамеченными. И буквально на прошлой неделе был обнаружен вот такой вот скиммер толщиной с кредитную карту:

Эволюция банкоматных скиммеров

Эволюция банкоматных скиммеров

Устройство требует очень мало времени на установку и демонтаж в банкомат:

К счастью, производители тоже не сидят сложа руки, в частности, используя знания и опыт пойманных хакеров [15] для борьбы с мошенниками. Но они быстро адаптируются, так что эта ситуация напоминает борьбу снаряда и брони.

А что делать нам, обычным пользователям? Как не стать жертвой мошенников и сохранить свои кровные? Всегда. всегда прикрывайте клавиатуру во время набора PIN-кода: в большинстве случаев мошенники используют миниатюрные камеры. А если вы используете карту системы Chip-and-pin [16], то злоумышленникам не так просто [17] считать с неё данные.

И самое главное, если вас хоть что-то настораживает в облике банкомата, лучше воспользуйтесь другим. Старайтесь использовать банкоматы только в отделениях банков, это существенно снижает риск. Ну, и старайтесь не хранить много денег на «карточном» счёте.

Автор: Markeralex

Источник [18]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/zhelezo/68571

Ссылки в тексте:

[1] скиммерах: https://ru.wikipedia.org/wiki/%CA%E0%F0%E4%E8%ED%E3#.D0.A1.D0.BA.D0.B8.D0.BC.D0.BC.D0.B8.D0.BD.D0.B3

[2] недавно опубликованный материал: http://gizmodo.com/the-terrifying-evolution-of-atm-skimmers-1626794130

[3] CBS сообщила: http://www.cbsnews.com/news/is-your-credit-card-being-skimmed/

[4] потеряли за день суммарно около 200 000$: http://nypost.com/2003/12/03/shock-scam-rips-off-atm-users-225g-scam-shocks-deli-atm-users/

[5] купить совершенно легально: http://go.redirectingat.com/?id=33330X911642&site=gizmodo.com&xs=1&isjs=1&url=http%3A%2F%2Fwww.staples.com%2FCredit-Card-Terminals%2Fcat_CL161346&xguid=8cb32e2a646da0c314ab7ebc219299a5&xcreo=0&xed=0&sref=http%3A%2F%2Fgizmodo.com%2Fthe-terrifying-evolution-of-atm-skimmers-1626794130&xtz=-180

[6] один из читателей сайта Consumerist: http://consumerist.com/2009/04/06/reader-finds-card-skimmer-on-bank-atm/

[7] Меньше чем через месяц: http://abcnews.go.com/Technology/Business/story?id=7434509&page=1&singlePage=true

[8] компактные устройства: http://krebsonsecurity.com/2010/02/atm-skimmers-part-ii/

[9] Топовые устройства: http://krebsonsecurity.com/2010/06/sophisticated-atm-skimmer-transmits-stolen-data-via-text-message/

[10] на новый уровень: http://krebsonsecurity.com/2011/09/gang-used-3d-printers-for-atm-skimmers/

[11] смотрительно отказался выполнять: http://i.materialise.com/blog/entry/attention-atm-skimming-device

[12] Обнаружение скиммеров: http://krebsonsecurity.com/2012/04/skimtacular-all-in-one-atm-skimmer/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+KrebsOnSecurity+%28Krebs+on+Security%29

[13] данным Европейской группы по обеспечению безопасности банкоматов: https://www.european-atm-security.eu/Welcome%20to%20EAST/&action=fullnews&id=110

[14] зафиксирован ряд случаев: http://www.myfoxtwincities.com/story/22799230/investigators-gas-pump-theft-gadgets

[15] пойманных хакеров: http://www.reuters.com/article/2013/05/17/us-usa-crime-cybercrime-romania-idUSBRE94G06J20130517?feedType=RSS&feedName=technologyNews

[16] Chip-and-pin: http://en.wikipedia.org/wiki/Chip_and_PIN

[17] не так просто: http://krebsonsecurity.com/2012/09/researchers-chip-and-pin-enables-chip-and-skim/

[18] Источник: http://habrahabr.ru/post/234933/