Скиммер для банкомата
Скиммер – это устройство, которое позволяет воровать деньги с банковских карт. Это то, чего в банкоматах быть не должно.
Используя скиммеры, мошенники крадут данные с банковских карт при работе с банкоматами, инфокиосками и терминалами.
Суть скимминга
Технологии кражи данных при непосредственном контакте с банковской картой постоянно совершенствуются. Обычно это происходит так:
Какими выглядят скиммеры
Внешний вид и тип работы скимминговых устройств весьма различны. Они постоянно «эволюционируют» и «маскируются» под детали банкоматов, терминалов и внешнего декора.
Самые распространенные скиммеры это:
Накладка на гнездо. Мешает извлечь карту обратно. Пользователь проглоченной карты начинает искать помощь у стоящего рядом. Который как раз и оказывается мошенником. Карта, после нескольких безуспешных попыток, все равно не возвращается клиенту. Но он успевает сообщить ПИН-код и уходит. После этого злоумышленники снимают деньги с карты. Иногда на «оборудованном» банкомата заменяют телефон службы поддержки. Клиент звонит по нему и сообщает код якобы сотруднику банка.
Вставка внутрь прорези для карты
Работает также как накладка на гнездо.
Фальшивая клавиатура, которая устанавливается поверх настоящей.
Действует вкупе с установленным внутри банкомата устройством, которое блокирует карту в банкомате. Клавиатура же «запоминает» набранный ПИН-код.
Дополнительная камера на панели банкомата.
Может иметь самый разный вид, иногда это просто черные стеклянные кружки. Устанавливается камера с той же целью, что и накладка на клавиатуру – запоминает набранный код.
Простейшая защита от подобных преступлений помнить, что ПИН-код предназначен только для держателя карты. Сотрудники банков его никогда не спрашивают. ПИН-код нужен только для снятия средств, в карты из банкомата он не помогает.
Другие виды скиммеров
С развитием технологий появляются скиммеры, которые позволяют не красть саму карту, блокировать ее, как это описано выше и подглядывать ПИН-код. Современные скиммеры могут воровать не сами карты, а только информацию с них.
Сложные скимминговые устройства имеют вид:
Эти устройства могут находиться в корпусах настоящих терминалов и банкоматов, но иметь внутренние механические или программные изменения.
Самостоятельно распознать хорошо сделанное современное скимминговое устройство для обычного человека трудно. Сравнительно надежной мерой профилактики кражи денег с карты может быть расчет картой в солидных магазинах и снятие наличных в терминалах внутри отделений банков.
Считать и украсть: как работает скимминг банковских карт
Скимминг (от английского «to skim» — бегло прочитывать, скользить) — вид мошенничества с банковскими картами, который представляет собой считывание информации с их магнитной полосы с помощью специального технического устройства или скиммера. Мошенники также пытаются узнать пин-код жертвы. Получив данные карты, ее можно скопировать и вывести все деньги. РБК Тренды разбирались, как работает эта технология и какие меры нужно принимать, чтобы защитить себя от данного вида мошенничества.
Для считывания данных применяют скиммеры — специальные устройства, которые крепятся непосредственно к банкомату, а также к любому принимающему слоту картоприемника. Мошенники могут устанавливать переносные считыватели магнитной полосы в гостиницах, кафе и ресторанах, в магазинах.
Скимминговое устройство обычно включает в себя считывающую магнитную головку, преобразователь, который переводит информацию в цифровой код, а также накопитель, записывающий цифровой код на носитель данных.
Скиммеры, как правило, изготовлены в виде специальной накладки на кардридер и питаются от миниатюрных батареек.
Скиммеры бывают двух видов. Одни накапливают информацию о разных пользователях, а другие сразу передают данные о картах мошенникам при помощи радиоканала или через встроенную сим-карту по сетям сотовой связи.
В «Лаборатории Касперского» сообщают, что количество скимминговых атак сокращается. Согласно информации Европейской ассоциации безопасных транзакций (EAST) число таких инцидентов снизилось с 1 496 в апреле 2020 года до 321 в октябре того же года.
На активность мошенников повлияла пандемия, отмечают эксперты.
Виды скимминга
Скимминг делится на два типа: с использованием карты или ее дубликата и без.
Физический скимминг применяется в банкоматах и платежных терминалах. Платежный скимминг становится возможным тогда, когда продавец, официант или любой другой человек просит у покупателя или клиента карту. В этот момент он проводит ее через считывающее устройство, которое находится рядом с платежным терминалом и вне зоны видимости.
Онлайн-скимминг работает с использованием вредоносного программного обеспечения. Банкоматы при операциях с картами могут осуществлять передачу данных магнитной полосы в открытом виде. Если сетевое соединение между банкоматом и процессингом не защищено шифрованием, то мошенники могут «прослушивать» трафик через специальные накладки. Они также могут воспользоваться социальной инженерией, чтобы проникнуть на компьютеры сотрудников банков и получить информацию об операциях банкоматов. Наконец, злоумышленники внедряют код JavaScript на серверы интернет-магазинов, где хранятся данные держателей карт. Если при совершении покупок отсутствует двухфакторная аутентификация по SMS, то мошенникам достаточно знать CVV-код карты.
Наиболее продвинутым видом онлайн-скимминга является практика микротранзакций. Организация может попросить владельца карты совершить пробный платеж для подтверждения бронирования, чтобы проверить карту. При этом держатель карты вводит на сайте (который может быть двойником популярного сервиса) данные своего пластика, в том числе и CVV-код.
Устройства для скимминга
При скимминге используются различные считыватели данных карт. Все зависит от типа банкомата или картридера.
Считыватель магнитной ленты. Он состоит из небольшой интегральной схемы, питаемой от батареек. Обычно считыватель заключен в пластиковый или металлический корпус, который имитирует и надевается на реальный картридер целевого банкомата или другого устройства. Этот компонент позволяет злоумышленникам получить информацию, закодированной на магнитной полосе карты, не блокируя реальную транзакцию.
Скрытая видеокамера. Устанавливается на банкомате или поблизости, часто ее маскируют под рекламные материалы. Позволяет считать пин-код пользователя при вводе.
Накладная клавиатура. Служит той же цели, что и видеокамера. Представляет собой накладку на реальную клавиатуру банкомата и записывает пин-код при вводе.
По мере того как многие страны перешли на карты с чипом, преступники тоже адаптировались, и начали появляться более сложные варианты скиммеров. Некоторые скимминговые устройства достаточно тонкие, чтобы их можно было вставить в слот для чтения карт.
Скиммеры также могут быть полностью помещены внутри банкоматов, как правило, коррумпированными специалистами, либо путем сверления или вырезания отверстий в крышке банкомата.
Наибольшую опасность для пользователя представляют собой незнакомые и уличные банкоматы, особенно те, которые располагаются в неосвещенных зонах — на них проще установить считывающие устройства. Лучше использовать банкоматы, где установлены накладки антискимминга или джиттеры. Картоприемник с джиттером заставляет карту слегка вибрировать, что не позволяет мошенникам корректно записать информацию.
Самыми безопасными являются банкоматы, расположенные непосредственно в отделениях банков. Такие устройства регулярно проверяет служба безопасности.
Что происходит с данными
Магнитная полоса карты хранит такую информацию как номер пластика, дату окончания действия карты, имя владельца, сервисный код (чтобы банкомат/терминал понимал, какие функции есть у карты) и код верификации (аналогичный CVV). Располагая этой информацией, мошенник изготавливает дубликат пластика и получает доступ к карточному счету. При этом он может снять деньги в любой точке мира до того момента, пока владелец счета не обратится в свой банк для блокировки карты. При отсутствии двухфакторной аутентификации преступники могут еще и совершать покупки в интернет-магазинах.
Главной опасностью скимминга является несовершенство законодательной базы по защите средств, похищенных из-за утечки информации. Владельцу карты будет сложно доказать в суде, что он на самом деле не снимал деньги со счета.
Банки начали выпускать чип-карты, что повысило безопасность потребителей. Исследователь безопасности Брайан Кребс объясняет: «Хотя данные, которые обычно хранятся на магнитной полосе карты, копируются и на картах с чипом, но этот чип содержит дополнительные компоненты безопасности, которых нет на магнитной полосе». Это означает, что воры не могут дублировать чип EMV, но способны использовать данные для клонирования магнитной полосы или для других типов мошенничества.
В «Лаборатории Касперского» подтверждают, что чип-карты можно взломать только в особых условиях и при наличии дорогостоящего оборудования.
Тем не менее, мошенники тоже приспособились к новым условиям и начали использовать устройства, которые устанавливаются внутрь считывателей карт банкоматов. Такой вид мошенничества называют «шиммингом». «Шим» представляет собой тонкую гибкую плату, которая выполняет те же функции, что и скиммер.
Как не стать жертвой скимминга
Чтобы не лишиться денег, необходимо придерживаться нескольких простых правил:
В качестве дополнительной опции безопасности можно также установить одно из приложений «Сканер скиммера», которые проверяют передачу по Bluetooth для обнаружения таких устройств.
Что такое скиммеры и как их распознать
Перед тем как воспользоваться банкоматом, присмотритесь к нему повнимательнее. Нет ли на панели с клавиатурой или рядом с экраном дополнительных устройств, к примеру лишних осветительных приборов? Нет ли поблизости зеркал или держателя для рекламных брошюр? Все эти мелочи могут свидетельствовать о наличии скиммера — считывающего устройства, прикрепленного к банкомату. Такие устройства помогают мошенникам в краже данных с кредитных карт. О том, как скиммеры выглядят и как они работают, рассказывает корреспондент американского портала MarketWatch.com Дженнифер Уотерс.
Если что-либо во внешнем виде банкомата показалось вам подозрительным, не пользуйтесь им. Таким образом вы, возможно, убережете себя от скимминга — кражи данных о пластике при помощи специального считывающего устройства. Злоумышленники могут похитить не только номер карты, но и другие данные.
Тем не менее, по словам аналитика исследовательской компании Javelin Strategy & Research Роберта Вамози, «многие держатели карт попадаются в эту ловушку своей недостаточной информированности».
Итак, как же выглядят и работают скиммеры? У злоумышленников есть несколько способов установки шпионского оборудования на банкомат. Это может быть пластиковая накладка, прикрепляемая к кардридеру, либо миниатюрная видеокамера в держателе для брошюр рядом с банкоматом. Камера записывает, какие кнопки вы нажимаете, когда набираете ПИН-код. Бывают и специальные накладки на клавиатуру, считывающие порядок набора цифр.
При помощи этих устройств преступники выуживают всю информацию о вашей карте буквально в течение нескольких секунд.
«Мошенники получают не только номер и дату срока годности вашей карты, но и всю информацию, записанную на магнитной полосе, — поясняет Брайан Кребс, автор собственного блога KrebsOnSecurity.com, посвященного защитным информационным технологиям. — В итоге в руках у них оказывается точная копия вашей карты, полностью пригодная для совершения покупок».
Этот бизнес процветает. Так, по данным портала Bankrate.com, при помощи скимминга злоумышленники ежегодно крадут с карточных счетов около 1 млрд долларов, а в исследовании Javelin Strategy & Research говорится о том, что каждый пятый американец пострадал подобного мошенничества.
Обычное банковское ограбление приносит преступникам в среднем около 5 тыс. долларов прибыли, в то время как взломанный банкомат — 50 тыс. долларов, говорит Дуг Джонсон, вице-президент департамента рисковой политики Американской банковской ассоциации. «Но скимминговые технологии становятся все более изощренными, и этого в ближайшем будущем убытки простых держателей карт могут сильно возрасти», — прогнозирует эксперт.
Больше всего мошенники любят общественные места и крупные торговые точки. Впрочем, и любой отдельно стоящий банкомат может привлечь их внимание.
Эксперты рекомендуют соблюдать следующие правила безопасности при обращении с банкоматами:
— будьте избирательны: не пользуйтесь банкоматами, расположенными в подозрительных и плохо освещенных помещениях. Отдавайте предпочтение хорошо освещенным устройствам в людных местах;
— доверяйте своей интуиции: если с устройством не так, не пользуйтесь им. Эксперты утверждают, что у большинства жертв подобных мошенничеств было нехорошее предчувствие при взгляде на банкомат;
— вводя ПИН-код, прикрывайте клавиатуру рукой, чтобы скрыть набираемые цифры от видеокамер и злоумышленников;
— не доверяйте банкоматам, имеющим непривычные опознавательные знаки или настораживающие пункты в инструкции, к примеру если машина требует ввести ПИН дважды для подтверждения трансакции.
Пользуйтесь знакомыми вам устройствами в отделениях банков. «Иметь дело с банкоматом вне банковского офиса, особенно в крупных городах, — все равно что играть в русскую рулетку», — говорит Роберт Сицилиано, консультант компании по разработке антивирусного программного обеспечения McAfee.
Как же выглядят банкоматы, на которые установлено опасное оборудование?
По словам Сицилиано, многие скимминговые приспособления прикрепляются к банкоматам с помощью обычного двустороннего скотча или застежки-«липучки». Что касается клавиатуры, то если она была, скажем, вогнутой, специальная накладка сделает панель более плоской. Также скимминговое устройство может изменить сами клавиши: они будут либо утоплены в панель клавиатуры, либо, наоборот, слишком сильно выпирать.
Скиммеры, установленные на кардридер, могут в точности повторять цвет и дизайн банкомата. Единственный их отличительный признак — они слегка выдаются над основной поверхностью корпуса.
«От банкоматов, явно претерпевших внешние изменения, надо держаться подальше, — подчеркивает Малкольм Уайли, представитель Секретной службы США. — Если вы заметили, что устройство повреждено или что некоторые его детали некрепко держатся, то это, скорее всего, означает, что к нему подсоединили скимминговое оборудование».
Еще одно место, где промышляют мошенники, — автозаправочные станции. Скиммеры могут быть присоединены к кардридерам на бензоколонках. Так, в прошлом году полиция арестовала нескольких преступников в Денвере, Лос-Анджелесе, Далласе и в штате Флорида. Они подсоединяли скиммеры, управляемые через Bluetooth, к считывающим устройствам для самостоятельной оплаты топлива.
Мошенникам даже не требовалось появляться на месте преступления: вся информация поступала на их компьютеры по каналам удаленной связи или в виде текстовых сообщений на сотовые телефоны. Продолжалось это до тех пор, пока не садились батарейки в скимминговых устройствах.
«Скиммеры становятся все совершеннее с технологической точки зрения, и, чем они совершеннее, тем труднее их обнаружить», — подытоживает Сицилиано.
На фото: так выглядит скиммер, прикрепляемый к считывающему устройству банкомата. Иллюстрация: MarketWatch
Будьте осторожны! Накладка на клавиатуру банкомата и другие виды скиммеров
Современные проблемы требуют современных решений. Узнайте, как избежать кражи кровно заработанных средств, не попавшись на удочку мошенников.
Представим ситуацию: вы только что накопили на новенькую машину, без займов и кредитов, старательно и методично откладывая от каждой зарплаты. Вы страшно горды собой, ведь это ваше достижение, и ничье больше. Но вот вы открываете приложение, тайком от всех, чтобы еще раз тихонечко полюбоваться на впечатляющую сумму… а она исчезла.
Вы перезагружаете приложение, еще и еще – комок начинает медленно подступать к горлу; вы ищете в других вкладах (может, деньги каким-то неведомым образом попали над другой счет) и тут вспоминаете.
На прошлой неделе вы сняли деньги с банкомата на углу дома. А вчера, проходя мимо, заметили, что теперь он выглядит несколько иначе.
Что такое скиммер и как он устроен
Скимминг – это высокотехнологичный способ воровства денег с банковской карты. Главный его инструмент крепится на картридер терминала и считывает всю информацию с магнитной ленты на карте. Устройство практически невозможно обнаружить, а попасться на крючок легче легкого. Выглядят скиммеры как накладки и внешне полностью копируют считыватель банковских карт.
Кроме фальшивого ридера мошенники используют:
Первая автоматически запоминает последовательность нажатия клавиш и таким образом крадет пин-код, а вторая его просто-напросто подсматривает. Затем полученные данные переносятся на чистую пластиковую карту – как на пустой компакт-диск в двухтысячные годы. Все будет сделано максимально незаметно, иначе мошенники могут не просто не получить украденное, а еще и угодить в тюрьму.
Неизвестный «злой гений» изобрел обманное устройство в 2002 году, и долгое время оно считалось городской легендой. Люди просто-напросто не могли поверить: такие технологии казались невозможными. Они походили на современные страшилки про Билла Гейтса, якобы пуляющего в людей чипами. Но спустя пять лет поверить все же пришлось. Зловредные гаджеты постепенно распространялись по США и остальной планете.
Сегодня скиммеры даже опаснее, чем прежде, ведь многие детали можно сделать на 3D-принтерах, которые стоят от 15 до 100 тыс. рублей. А некоторые б/у принтеры можно свободно увидеть на аукционах для любителей дешевизны и диковинок. С их помощью, как ни прискорбно, вполне можно изготовить детали для мошеннического устройства.
Как обнаружить опасное устройство на банкомате
Анекдот: Подденьте клавиатуру банкомата. Если под ней есть еще одна – вас пытались «надуть». Если нет – вы что-то сломали.
Подозрение должны вызвать такие детали на АТМ:
Это может означать, что на АТМ установили скиммер. Часто он сделан так аккуратно, что клавиатуру или считыватель с фейковым дополнением не отличить от оригинала.
Сравним заводские детали и самодельные.
Заводские
Самодельные
Намертво прикреплены к автомату
Держатся хлипко, слегка двигаются
Следы времени (грязь, стершаяся от многолетних прикосновений краска) на всех частях одинаковые
Если одна деталь выглядит новой, а остальные чуть старее, это уже подозрительно
Какие детали могут подделать
Благодаря трехмерным принтерам создание элемента от банковского автомата, который будет как две капли воды похож на подлинник, сегодня в разы проще, чем даже 5 лет назад.
Самые опасные и самые безопасные банкоматы
Даже самому ловкому преступнику требуется время, чтобы установить ловушку. Поэтому лучше всего выбирать такие АТМ, которые находятся на виду: в людном месте торгового центра, вокзала и, конечно, самого банка. Подобные локации регулярно проверяет охрана, в том числе с помощью камер: на такие автоматы сложнее прикрепить гаджеты незаметно, а быть пойманным не хочется никому.
Особо изощренные преступники умудряются скопировать не часть АТМ, а весь банкомат целиком. Его могут установить в безлюдном, скрытом месте, (например, в темном переулке). Поэтому не стоит пользоваться такими автоматами, особенно, если на пластике лежит крупная сумма.
В современных реалиях производители вынуждены подстраиваться под изобретения мошенников, а желательно – идти на шаг впереди них. Поэтому многие автоматы оснащены такими средствами безопасности:
В отличие от банкоматов, с помощью которых можно выполнять денежные операции, двери, за которыми они стоят, выглядят не так подозрительно. Банки стараются обезопасить посетителей, устанавливая на прозрачные створки простую блокировку: чтобы открыть такую дверь в нерабочие часы отделения, достаточно быть владельцем карты. И воры начали устанавливать мошеннические устройства на входные двери.
Как защититься от кражи: меры предосторожности
Вновь об антискиммерах: изначально пластиковые детали, вместо того, чтобы успокоить граждан, отпугнули от денежных автоматов. А к тому времени, как люди привыкли – мошенники взялись копировать и их.
Другие виды краж
Итак, мы рассказали, как защититься от скимминга. Но в современном мире существуют и другие виды обмана, которые для собственной безопасности необходимо знать назубок.
Если вам звонят с незнакомого номера, ни в коем случае не называйте ни трехзначный номер с обратной стороны, ни пин-код своей карты.
Слово «да» во время телефонных разговоров также находится под запретом. Сегодня взять кредит на разные цели можно, не приходя в банк. В таких случаях «ДА», сказанное вашим голосом, может послужить акцептом оферты.
Если вам на почту, в мессенджер или по СМС пришло уведомление со ссылкой и просьбой выполнить задание или оплатить какую-то услугу, будьте осторожны. Если оно выглядит непривычно или отправлено с незнакомого адреса, имеет смысл обратиться напрямую к тому, кто эту услугу предоставляет. Например, интернет-провайдеру, арендодателю, заказчику.
Также нужно внимательно следить за:
Доверяйте своей интуиции. Ученые доказали, что наш глаз замечает то, на что мы сами не обращаем внимания. Эта информация передается подсознанию, и тогда возникает чувство дискомфорта или даже тревоги – так и проявляется интуиция. И она действительно работает.
Куда сообщить о скиммере
Первое, что нужно запомнить – ваша жизнь может быть в опасности. Если, осмотрев автомат, вы поняли, что над ним поработали мошенники, то ни в коем случае не пытайтесь самостоятельно демонтировать накладки.
Кто знает, что придет в голову людям, способным на кражу? Если случай приключился с вами в банке, сообщите сотруднику.
В противном случае как можно быстрее уходите с места «преступления», и как только окажетесь в безопасном месте, то сразу звоните в банк.
Если вы успели вложить карту в картридер, то оставьте ее там и при первой же возможности позвоните финансовой организации, которая ее выдала. Возможно, вы еще успеете спасти средства.
А чтобы заранее подготовиться к худшему, можно позаботиться о страховании своих средств. Ранее мы уже писали об этом: https://sovcombank.ru/blog/sberezheniya/strahovanie-vkladov-osobennosti-kakaya-summa
Как вернуть украденное
Можно долго рассуждать о том, что жертва преступления сама виновата: из-за своей невнимательности, глупости или из-за банального незнания ситуации. Но все мы люди, а людям свойственно совершать ошибки. Поэтому, прежде чем перекладывать ответственность с преступника на ограбленного, давайте обсудим варианты, как невезучий владелец счета может вернуть свои деньги.
Шаг 1. Позвонить в банк и сообщить о краже.
У сотрудников уже есть проверенная временем схема, как поступать в случае таких ЧС. Прежде всего они предложат заблокировать карту, либо сделают это самостоятельно. Если у вас нет запасного счета, финансы просто подождут перевыпуска карты.
Пожалуйста, не кричите на сотрудников колл-центров. Чаще всего это люди, которые просто передают информацию в нужные инстанции и ни за что не отвечают. Им и так несладко приходится из-за клиентов, звонящих в стрессовом состоянии. Спокойный рассудительный тон даст куда больше эффекта, чем неадекватное поведение, призванное напугать человека, который, в сущности, не может лично решить вашу проблему, а только следует инструкциям.
Шаг 2. Написать заявление.
По закону, финансовые организации должны возвращать средства, которые хранились на счетах.
Если мошенники выудили эту информацию у вас, могут возникнуть сложности. Согласно критериям ЦБ, вы добровольно отдали эти средства. В таком случае непременно придется обращаться в полицию.
Есть хорошая новость. Она состоит в том, что если средства были списаны напрямую с карты, то, даже если возникнут сложности с поиском грабителей, деньги вернуть будет в разы проще. Ведь получается, что это произошло по вине банка.
Шаг 3. Обратиться в полицию.
Кража – это, прежде всего, нарушение закона. И даже если вы добровольно, но по незнанию, назвали данные своей карты, необходимо написать заявление. Чем раньше вы это сделаете, тем лучше. Постарайтесь предоставить полиции все данные, которые вызвали у вас подозрение: чем больше их будет, тем легче вычислить вора.
Как ни соблазнительно было бы для агрессивной молодежи, возможности вычислить человека по IP практически нет. Максимум, что удастся узнать обычному человеку – город и интернет-провайдера. Но полиции, в отличие от простых граждан, достаточно и этого. Они могут обратиться к организации, которая предоставляет интернет, и та с удовольствием выдаст необходимую информацию о преступнике.
Мошенники, которые являются героями данной статьи, к сожалению, практически не оставляют следов. Ловить их приходится устаревшими способами: по камерам наблюдения, отпечаткам пальцев, показанием свидетелей и с помощью старого-доброго дедуктивного метода. Но это не означает, что способы плохи, просто то, с чем не может справиться техника, вполне могут сделать умелые руки и голова на плечах.
Любителей нажиться на простой человеческой доверчивости и невнимательности всегда было больше, чем хотелось бы. Простые меры безопасности при обращении с деньгами должны быть известны всем, как и то, что нельзя переходить на красный свет и бегать с ножницами. Можно бесконечно винить жертв в недостаточной внимательности или наивности, но, вместо того, чтобы перекладывать ответственность с преступников на их жертв, давайте просто соблюдать правила и делать жизнь понятнее и справедливее.