Скиммер для банкомата, как работают скимминговые устройства для считывания карт

Скиммер – это устройство, которое позволяет воровать деньги с банковских карт. Это то, чего в банкоматах быть не должно.

Последние новости:

Используя скиммеры, мошенники крадут данные с банковских карт при работе с банкоматами, инфокиосками и терминалами.

Суть скимминга

Технологии кражи данных при непосредственном контакте с банковской картой постоянно совершенствуются. Обычно это происходит так:

  1. Клиент вставляет карту в картоприемник.
  2. Вводит ПИН-код
  3. Устройство считывает номер карты и введенный код.

Затем происходит:

  • либо блокирование карты на некоторое время, за которое мошенники успевают перевести деньги с карт-счета;
  • либо собираются данные для создания копии карты, которая потом будет использована в других банкоматах для вывода денег.

Какими выглядят скиммеры

Внешний вид и тип работы скимминговых устройств весьма различны. Они постоянно «эволюционируют» и «маскируются» под детали банкоматов, терминалов и внешнего декора.

Самые распространенные скиммеры это:

 

Накладка на гнездо. Мешает извлечь карту обратно. Пользователь проглоченной карты начинает искать помощь у стоящего рядом. Который как раз и оказывается мошенником. Карта, после нескольких безуспешных попыток, все равно не возвращается клиенту. Но он успевает сообщить ПИН-код и уходит. После этого злоумышленники снимают деньги с карты. Иногда на «оборудованном» банкомата заменяют телефон службы поддержки. Клиент звонит по нему и сообщает код якобы сотруднику банка.

Вставка внутрь прорези для карты

 

 

Работает также как накладка на гнездо.

Фальшивая клавиатура, которая устанавливается поверх настоящей.

 

 

Действует вкупе с установленным внутри банкомата устройством, которое блокирует карту в банкомате. Клавиатура же «запоминает» набранный ПИН-код.

Дополнительная камера на панели банкомата.

Может иметь самый разный вид, иногда это просто черные стеклянные кружки. Устанавливается камера с той же целью, что и накладка на клавиатуру – запоминает набранный код.

Простейшая защита от подобных преступлений помнить, что ПИН-код предназначен только для держателя карты. Сотрудники банков его никогда не спрашивают. ПИН-код нужен только для снятия средств, в карты из банкомата он не помогает.

Другие виды скиммеров

С развитием технологий появляются скиммеры, которые позволяют не красть саму карту, блокировать ее, как это описано выше и подглядывать ПИН-код. Современные скиммеры могут воровать не сами карты, а только информацию с них.

Сложные скимминговые устройства имеют вид:

  • банкомата;
  • стационарного терминала для приема платежей по картам;
  • такого же мобильного терминала.

Эти устройства могут находиться в корпусах настоящих терминалов и банкоматов, но иметь внутренние механические или программные изменения.

Самостоятельно распознать хорошо сделанное современное скимминговое устройство для обычного человека трудно. Сравнительно надежной мерой профилактики кражи денег с карты может быть расчет картой в солидных магазинах и снятие наличных в терминалах внутри отделений банков.

Если вы заметили ошибку в тексте, пожалуйста, выделите её и нажмите Ctrl+Enter

Эволюция банкоматных скиммеров | Как это сделано

Мы все привыкли к словосочетанию «технический прогресс». Уже довольно много лет назад смена поколений всевозможных устройств и гаджетов стала таким же привычным явлением, как смена времён года. И никого не удивляет, по большей части. Мы привыкли, к метаморфозам мобильных телефонов, домашних телевизоров, компьютерных мониторов, теперь вот подтянулись часы и даже очки. Однако есть некий немногочисленный класс устройств, о которых многие слышали, их опасаются, но в живую видели единицы. Речь идёт о скиммерах.

В России банкоматы до сих пор не столь распространены, несмотря на 23 года официального капитализма. Но даже у нас скиммеры стали некой городской страшилкой. И мало кто задумывается, что эти устройства, использующие высокотехнологичные компоненты, тоже со временем эволюционируют. И потому особый интерес представляет недавно опубликованный материал, в котором наглядно представлены этапы «модернизации» скиммеров, вплоть до современных новейших разработок криминальных умельцев.

По сути своей, скимминг представляет собой способ кражи некой информации, необходимой для осуществления транзакции с банковского счёта с целью хищения денежных средств. Говоря по простому, чтобы снять через банкомат деньги со счёта вашей банковской карты, мошенникам нужно узнать ваш PIN-код и считать данные с магнитной полосы. И для этого используются устройства самых разных конструкций и принципов действия — скиммеры.

Скиммеры изготавливаются так, чтобы быть как можно незаметнее для пользователей банкомата. Зачастую они мимикрируют под какой-то элемент интерфейса или внешнего оформления. Это сильно затрудняет не только обнаружение скиммеров, но и поимку самих злоумышленников. И за последние 12 лет скиммеры претерпели серьёзные метаморфозы. По крайне мере, если судить по тем образцам, которые были обнаружены за этот период.

2002-2007

В декабре 2002 года CBS сообщила об обнаружении невиданного ранее устройства, которое могло «записывать имена, номера счетов и прочую идентификационную информацию с магнитных полос банковских карт, с возможностью последующей загрузки в компьютер.» Персональный компьютер!

В то время даже законники считали, что скиммеры были фантастикой. Когда прокурор Говард Вайс, специализирующийся на мошенничествах, сам стал жертвой скимминга, он был шокирован тем, что технологии достигли такого уровня.

Конечно, полное игнорирование фактов долго не продлилось. В 2003 году покупатели, пользовавшиеся банкоматом в одном нью-йоркском гастрономе, потеряли за день суммарно около 200 000$. В последствии в сети начало ходить предупреждающее письмо:

2008

В этом году в полицию города Нейплс (Naples) поступил звонок о неудачной попытке размещения скиммера:

Это довольно примитивное устройство состояло из считывателя, который можно было купить совершенно легально, установленного поверх картоприёмника банкомата. А под пластиковым козырьком над монитором была установлена маленькая камера.

2009

Первые поколения скиммеров представляли собой довольно примитивные поделки. Ниже представлена одна из конструкций, включающая в себя батарейку, флешку и порт miniUSB.

Этот скиммер обнаружил один из читателей сайта Consumerist. Бдительный пользователь заподозрил неладное, дёрнул картоприёмник и к нему в руки вывалилось это.

Меньше чем через месяц был обнаружен другой скиммер, который не позволял банкомату корректно считывать карты и включал в себя фальшивое зеркало, в которое была встроена камера.

В то время для мошенников ключом к успешному скиммингу было найти способ получения украденной информации со скиммера:

Ранние модели скиммеров иногда заставляли банкоматы работать некорректно. Но вскоре злоумышленники научились успешно паразитировать на них.

2010

Многие годы в скиммерах использовались камеры для кражи PIN-кодов. Но их было не так просто незаметно разместить на банкомате. В результате появились накладные клавиатуры, которые записывали последовательность нажимаемых клавиш:

С развитием технологий, мошенникам становилось всё легче создавать компактные устройства. Развились и подешевели услуги аутсорсингового производства. В интернете начали продавать целые наборы для скимминга, которые могли быть по запросу покрашены в нужные цвета. Цены начинались от 1500$.

Но это лишь набор начального уровня. Топовые устройства уходили за 7000-8000$:

Не все наборы были такими дорогими. Многие представляли собой готовые к использованию модули, которые мошенники устанавливали на банкоматы, а через некоторое время собирали с них собранные данные. Главным недостатком этих устройств была необходимость возвращаться за ними, чтобы забрать информацию.

Ниже представлен скиммер с функцией беспроводной связи, способный передавать информацию через сотовый модуль. Сам скиммер очень компактен, собранные данные передаёт в зашифрованном виде.

Продвинутые скиммеры вроде этого делали труд скиммеров менее опасным, снижая вероятность быть пойманными с поличным.

2011

В конце концов, производители банкоматов начали что-то делать для противодействия скиммингу. Во-первых, начали внедрять элементы из прозрачного пластика, в частности, полусферические картоприёмники. Но злоумышленники быстро к этому приспособились:

Как видите, заметить подставу можно лишь по небольшой малозаметной пластиковой накладке. Многие ли из вас обратили бы на неё внимание? А вскоре доступная 3D-печать вывела качество скиммеров на новый уровень:

Домашние модели 3D-принтеров были ещё малопригодны для этих целей, и детали заказывались на стороне в специализированных компаниях. Выше приведён один из таких заказов, которые производитель осмотрительно отказался выполнять.

2012

Обнаружение скиммеров становилось всё более сложной задачей. Ниже показано почти совершенное устройство. Единственный недостаток заключается в маленьком отверстии справа, через которое маленькая камера снимала набираемые на клавиатуре PIN-код.

В конце концов скиммеры стали такими миниатюрными, что вы их не увидите, даже если очень постараетесь. По данным Европейской группы по обеспечению безопасности банкоматов (European ATM Security Team), в июле 2012 были обнаружены скиммеры толщиной с лист тонкого картона. Они помещались внутрь картоприёмника, и заметить их снаружи невозможно.

Теперь ваши карты могут просканировать не только в банкоматах, но и в мобильных терминалах. В ролике показано устройство, даже печатающее фальшивый чек:

Теперь любой сотрудник может подключить принесённое с собой устройство, а в конце рабочего дня унести его, наполненным данными с большого количества банковских карт. Функционал этих терминалов позволяет даже имитировать ошибку соединения, когда данные успешно считаны. В комплекте с ними поставляется и ПО для дешифровки информации с карт, а все данные можно скачать через USB.

2013

В прошлом году на сети заправок Murphy в Оклахоме был зафиксирован ряд случаев скимминга, когда суммарно было похищено 400 000$. мошенники использовали считыватели в комбинации с накладными клавиатурами:

Интересное в этой истории то, что скиммеры были оснащены Bluetooth-модулями, а питание получали прямо от самих банкоматов. Иными словами, срок их службы был практически не ограничен, и непосредственного визита мошенников для сбора данных не требовалось.

Пока одна «эволюционная ветвь» скиммеров пришла к миниатюризации, другая пошла по пути радикальной мимикрии. Нижеприведённый скиммер представляет собой огромную накладную панель с дисплеем. В «дикой природе» этот образец был обнаружен в Бразилии:

Устройство было изготовлено из деталей разобранного ноутбука.

2014

Но это можно отнести скорее к курьёзам, либо к особенностям горячего бразильского характера. Всё-таки компактные скиммеры имеют куда больше шансов остаться незамеченными. И буквально на прошлой неделе был обнаружен вот такой вот скиммер толщиной с кредитную карту:

Устройство требует очень мало времени на установку и демонтаж в банкомат:

К счастью, производители тоже не сидят сложа руки, в частности, используя знания и опыт пойманных хакеров для борьбы с мошенниками. Но они быстро адаптируются, так что эта ситуация напоминает борьбу снаряда и брони.

А что делать нам, обычным пользователям? Как не стать жертвой мошенников и сохранить свои кровные? Всегда. всегда прикрывайте клавиатуру во время набора PIN-кода: в большинстве случаев мошенники используют миниатюрные камеры. А если вы используете карту системы Chip-and-pin, то злоумышленникам не так просто считать с неё данные.

И самое главное, если вас хоть что-то настораживает в облике банкомата, лучше воспользуйтесь другим. Старайтесь использовать банкоматы только в отделениях банков, это существенно снижает риск. Ну, и старайтесь не хранить много денег на «карточном» счёте.

Источник

Эволюция банкоматных скиммеров / Habr

Мы все привыкли к словосочетанию «технический прогресс». Уже довольно много лет назад смена поколений всевозможных устройств и гаджетов стала таким же привычным явлением, как смена времён года. И никого не удивляет, по большей части. Мы привыкли, к метаморфозам мобильных телефонов, домашних телевизоров, компьютерных мониторов, теперь вот подтянулись часы и даже очки. Однако есть некий немногочисленный класс устройств, о которых многие слышали, их опасаются, но в живую видели единицы. Речь идёт о скиммерах.

В России банкоматы до сих пор не столь распространены, несмотря на 23 года официального капитализма. Но даже у нас скиммеры стали некой городской страшилкой. И мало кто задумывается, что эти устройства, использующие высокотехнологичные компоненты, тоже со временем эволюционируют. И потому особый интерес представляет недавно опубликованный материал, в котором наглядно представлены этапы «модернизации» скиммеров, вплоть до современных новейших разработок криминальных умельцев.

По сути своей, скимминг представляет собой способ кражи некой информации, необходимой для осуществления транзакции с банковского счёта с целью хищения денежных средств. Говоря по простому, чтобы снять через банкомат деньги со счёта вашей банковской карты, мошенникам нужно узнать ваш PIN-код и считать данные с магнитной полосы. И для этого используются устройства самых разных конструкций и принципов действия — скиммеры.

Скиммеры изготавливаются так, чтобы быть как можно незаметнее для пользователей банкомата. Зачастую они мимикрируют под какой-то элемент интерфейса или внешнего оформления. Это сильно затрудняет не только обнаружение скиммеров, но и поимку самих злоумышленников. И за последние 12 лет скиммеры претерпели серьёзные метаморфозы. По крайне мере, если судить по тем образцам, которые были обнаружены за этот период.

2002-2007

В декабре 2002 года CBS сообщила об обнаружении невиданного ранее устройства, которое могло «записывать имена, номера счетов и прочую идентификационную информацию с магнитных полос банковских карт, с возможностью последующей загрузки в компьютер.» Персональный компьютер!

В то время даже законники считали, что скиммеры были фантастикой. Когда прокурор Говард Вайс, специализирующийся на мошенничествах, сам стал жертвой скимминга, он был шокирован тем, что технологии достигли такого уровня.

Конечно, полное игнорирование фактов долго не продлилось. В 2003 году покупатели, пользовавшиеся банкоматом в одном нью-йоркском гастрономе, потеряли за день суммарно около 200 000$. В последствии в сети начало ходить предупреждающее письмо:

2008

В этом году в полицию города Нейплс (Naples) поступил звонок о неудачной попытке размещения скиммера:

Это довольно примитивное устройство состояло из считывателя, который можно было купить совершенно легально, установленного поверх картоприёмника банкомата. А под пластиковым козырьком над монитором была установлена маленькая камера.

2009

Первые поколения скиммеров представляли собой довольно примитивные поделки. Ниже представлена одна из конструкций, включающая в себя батарейку, флешку и порт miniUSB.

Этот скиммер обнаружил один из читателей сайта Consumerist. Бдительный пользователь заподозрил неладное, дёрнул картоприёмник и к нему в руки вывалилось это.

Меньше чем через месяц был обнаружен другой скиммер, который не позволял банкомату корректно считывать карты и включал в себя фальшивое зеркало, в которое была встроена камера.

В то время для мошенников ключом к успешному скиммингу было найти способ получения украденной информации со скиммера:

Ранние модели скиммеров иногда заставляли банкоматы работать некорректно. Но вскоре злоумышленники научились успешно паразитировать на них.

2010

Многие годы в скиммерах использовались камеры для кражи PIN-кодов. Но их было не так просто незаметно разместить на банкомате. В результате появились накладные клавиатуры, которые записывали последовательность нажимаемых клавиш:

С развитием технологий, мошенникам становилось всё легче создавать компактные устройства. Развились и подешевели услуги аутсорсингового производства. В интернете начали продавать целые наборы для скимминга, которые могли быть по запросу покрашены в нужные цвета. Цены начинались от 1500$.

Но это лишь набор начального уровня. Топовые устройства уходили за 7000-8000$:

Не все наборы были такими дорогими. Многие представляли собой готовые к использованию модули, которые мошенники устанавливали на банкоматы, а через некоторое время собирали с них собранные данные. Главным недостатком этих устройств была необходимость возвращаться за ними, чтобы забрать информацию.

Ниже представлен скиммер с функцией беспроводной связи, способный передавать информацию через сотовый модуль. Сам скиммер очень компактен, собранные данные передаёт в зашифрованном виде.

Продвинутые скиммеры вроде этого делали труд скиммеров менее опасным, снижая вероятность быть пойманными с поличным.

2011

В конце концов, производители банкоматов начали что-то делать для противодействия скиммингу. Во-первых, начали внедрять элементы из прозрачного пластика, в частности, полусферические картоприёмники. Но злоумышленники быстро к этому приспособились:

Как видите, заметить подставу можно лишь по небольшой малозаметной пластиковой накладке. Многие ли из вас обратили бы на неё внимание? А вскоре доступная 3D-печать вывела качество скиммеров на новый уровень:

Домашние модели 3D-принтеров были ещё малопригодны для этих целей, и детали заказывались на стороне в специализированных компаниях. Выше приведён один из таких заказов, которые производитель осмотрительно отказался выполнять.

2012

Обнаружение скиммеров становилось всё более сложной задачей. Ниже показано почти совершенное устройство. Единственный недостаток заключается в маленьком отверстии справа, через которое маленькая камера снимала набираемые на клавиатуре PIN-код.

В конце концов скиммеры стали такими миниатюрными, что вы их не увидите, даже если очень постараетесь. По данным Европейской группы по обеспечению безопасности банкоматов (European ATM Security Team), в июле 2012 были обнаружены скиммеры толщиной с лист тонкого картона. Они помещались внутрь картоприёмника, и заметить их снаружи невозможно.

Теперь ваши карты могут просканировать не только в банкоматах, но и в мобильных терминалах. В ролике показано устройство, даже печатающее фальшивый чек:

Теперь любой сотрудник может подключить принесённое с собой устройство, а в конце рабочего дня унести его, наполненным данными с большого количества банковских карт. Функционал этих терминалов позволяет даже имитировать ошибку соединения, когда данные успешно считаны. В комплекте с ними поставляется и ПО для дешифровки информации с карт, а все данные можно скачать через USB.

2013

В прошлом году на сети заправок Murphy в Оклахоме был зафиксирован ряд случаев скимминга, когда суммарно было похищено 400 000$. мошенники использовали считыватели в комбинации с накладными клавиатурами:

Интересное в этой истории то, что скиммеры были оснащены Bluetooth-модулями, а питание получали прямо от самих банкоматов. Иными словами, срок их службы был практически не ограничен, и непосредственного визита мошенников для сбора данных не требовалось.

Пока одна «эволюционная ветвь» скиммеров пришла к миниатюризации, другая пошла по пути радикальной мимикрии. Нижеприведённый скиммер представляет собой огромную накладную панель с дисплеем. В «дикой природе» этот образец был обнаружен в Бразилии:

Устройство было изготовлено из деталей разобранного ноутбука.

2014

Но это можно отнести скорее к курьёзам, либо к особенностям горячего бразильского характера. Всё-таки компактные скиммеры имеют куда больше шансов остаться незамеченными. И буквально на прошлой неделе был обнаружен вот такой вот скиммер толщиной с кредитную карту:

Устройство требует очень мало времени на установку и демонтаж в банкомат:

К счастью, производители тоже не сидят сложа руки, в частности, используя знания и опыт пойманных хакеров для борьбы с мошенниками. Но они быстро адаптируются, так что эта ситуация напоминает борьбу снаряда и брони.

А что делать нам, обычным пользователям? Как не стать жертвой мошенников и сохранить свои кровные? Всегда. всегда прикрывайте клавиатуру во время набора PIN-кода: в большинстве случаев мошенники используют миниатюрные камеры. А если вы используете карту системы Chip-and-pin, то злоумышленникам не так просто считать с неё данные.

И самое главное, если вас хоть что-то настораживает в облике банкомата, лучше воспользуйтесь другим. Старайтесь использовать банкоматы только в отделениях банков, это существенно снижает риск. Ну, и старайтесь не хранить много денег на «карточном» счёте.

Кардинг — Википедия

Мошенничество с платежными картами, кардинг (от англ. carding) — вид мошенничества, при котором производится операция с использованием платежной карты или её реквизитов, не инициированная или не подтверждённая её держателем. Реквизиты платежных карт, как правило, берут со взломанных серверов интернет-магазинов, платежных и расчётных систем, а также с персональных компьютеров (либо непосредственно, либо через программы удаленного доступа, «трояны», «боты» с функцией формграббера). Кроме того, наиболее распространённым методом похищения номеров платежных карт на сегодня является фишинг (англ. phishing, искаженное «fishing» — «рыбалка») — создание мошенниками сайта, который будет пользоваться доверием у пользователя, например — сайт, похожий на сайт банка пользователя, через который и происходит похищение реквизитов платежных карт.

Одним из самых масштабных преступлений в области мошенничества с платежными картами считается взлом глобального процессинга кредитных карт Worldpay и кража с помощью его данных более 9 миллионов долларов США. В ноябре 2009 года по этому делу были предъявлены обвинения преступной группе, состоящей из граждан государств СНГ[1].

Украденная или потерянная карта может использоваться преступниками только до тех пор, пока владелец не сообщит своему банку о пропаже, либо в оффлайновых операциях. Большинство банков предоставляют круглосуточную телефонную линию для подобных сообщений.

Основной защитной мерой является наличие подписи на карте и требование подписывания чеков. В некоторых магазинах при оплате картой требуется предоставление документов, удостоверяющих личность. Однако требование документа в некоторых юрисдикциях является незаконным.

Украденные карты могут использоваться в некоторых терминалах самообслуживания (например, на АЗС), не требующих ввода PIN-кода.

В Европе большинство карт EMV оснащены чипом, который обычно запрашивает ввод 4-значного цифрового PIN-кода при совершении покупок. Если код не перехвачен, то мошенник сможет использовать её только в операциях, где код не требуется, например в онлайновых (электронных) транзакциях, либо в POS-терминалах, оснащенных только считывателем магнитной полосы.

Существуют программные системы и комплекс организационных мер, направленных на предотвращение или усложнение возможных мошеннических операций. Например, крупная транзакция, совершенная далеко от места жительства владельца — как вариант — в другой стране, может быть признана несостоявшейся или даже привести к временному блокированию карты.

Для проведения транзакции требуются лишь некоторые данные, написанные на карте. Обычно карта содержит (в виде надписи и на магнитной полосе): имя владельца, номер карты (PAN), месяц и год окончания срока действия, верификационный код (CVV2).

Существуют операции, в которых не требуется физического наличия карты, а транзакция проводится лишь по данным с неё. Минимальный необходимый набор информации — номер карты, часто также требуется срок окончания, чуть реже — верификационный код.

Злоумышленник может скопировать эти данные, если вступит в сговор с лицами, имеющими доступ к картам, например, с официантом или кассиром. Данные могут быть сфотографированы или восстановлены из видеозаписи. Также получение подобных данных возможно с помощью вируса, установленного на компьютере пользователя, методами социальной инженерии (имитация звонка из банка) либо путём взлома интернет-магазинов или систем, обслуживающих карты. Затем преступники используют данные в операциях без присутствия карты.

Некоторую защиту от такого рода преступлений предоставляет внедрение оперативных уведомлений о проведении операций. Также частично от такого мошенничества защищают технологии 3-D Secure, MasterCard Security Code, Verified by Visa, в которых для проведения операции требуется ввод дополнительного кода, получаемого в отделении банка, через банкомат, по SMS или с помощью аппаратного генератора кодов (токен).

Частным случаем кардинга является скимминг (от англ. skim  — снимать сливки), при котором используется скиммер — инструмент злоумышленника для считывания, например, магнитной дорожки платёжной карты. При осуществлении данной мошеннической операции используется комплекс скимминговых устройств:

  • инструмент для считывания магнитной дорожки платёжной карты — представляет собой устройство, устанавливаемое в картоприёмник, и кардридер на входной двери в зону обслуживания клиентов в помещении банка. Представляет собой устройство со считывающей магнитной головкой, усилителем — преобразователем, памятью и переходником для подключения к компьютеру. Скиммеры могут быть портативными, миниатюрными. Основная идея и задача скимминга — считать необходимые данные (содержимое дорожки/трека) магнитной полосы карты для последующего воспроизведения её на поддельной. Таким образом, при оформлении операции по поддельной карте авторизационный запрос и списание денежных средств по мошеннической транзакции будут осуществлены со счета оригинальной, «скиммированной» карты.
  • миниатюрная видеокамера, устанавливаемая на банкомат и направляемая на клавиатуру ввода в виде козырька банкомата либо посторонних накладок, например, рекламных материалов — используется вкупе со скиммером для получения ПИН держателя, что позволяет получать наличные в банкоматах по поддельной карте (имея данные дорожки и ПИН оригинальной).
  • Использование вредоносного кода, встроенного в банкомат[источник не указан 1273 дня]. Дампы банковских карт записываются без использования спецоборудования и распознать такой способ обывателю невозможно, но встречается он крайне редко и в большинстве случаев преобладает среди маленьких банков[источник не указан 1273 дня]. Дальше с помощью дампов создаются копии карт.

Данные устройства питаются от автономных источников энергии — миниатюрных батарей электропитания, и, для затруднения обнаружения, как правило, изготавливаются и маскируются под цвет и форму банкомата.

Скиммеры могут накапливать украденную информацию о пластиковых картах либо дистанционно передавать её по радиоканалу злоумышленникам, находящимся поблизости. После копирования информации с карты мошенники изготавливают дубликат карты и, зная ПИН, снимают все деньги в пределах лимита выдачи, как в России, так и за рубежом. Также мошенники могут использовать полученную информацию о банковской карте для совершения покупок в торговых точках.

Меры защиты[править | править код]

Для предотвращения незаконных списаний по банковской карте рекомендуется применять следующие меры безопасности:

  • не передавать свою карту в чужие руки, следить за тем, чтобы карта использовалась лишь по назначению (дабы невозможно было применить портативное скимминговое устройство, спрятанное под одеждой, например, официанта либо сотрудника автозаправочных станций, продавца магазина и т. д.).
  • проявлять бдительность и внимательность при пользовании банкоматом, обращать внимание на нестандартные элементы конструкции — накладную клавиатуру, используемую для считывания PINа. В случае скимминга такая клавиатура располагается, как правило, выше уровня корпуса банкомата, легко от неё отделяется и, зачастую, под накладной виднеется часть оригинальной.
  • обращать внимание на установленные микровидеокамеры на самом банкомате, которые могут быть смонтированы как в козырьке банкомата, так и замаскированы под сопутствующие банкомату предметы, например, рекламные материалы.
  • минимизировать случаи использования банковской карты в местах, вызывающих подозрение; по возможности использовать банковскую карту в хорошо просматриваемых помещениях.
  • снятие наличных средств и другие банковские операции, осуществляемые при помощи банкоматов, по возможности производить в одном и том же банкомате, запомнив его внешний вид. Как правило, стандартные технические модификации банкоматов одного банка редко отражаются на их внешнем виде.
  • по возможности набирать ПИН быстро, заученными движениями и, желательно, используя несколько пальцев руки сразу — так злоумышленникам будет сложнее распознать ваши движения. По возможности прикрывать набирающую ПИН руку другой рукой, сумочкой или каким-либо иным предметом.
  • если банк-эмитент банковской карты имеет в своём сервисе услугу быстрого оповещения владельца карты о фактах списания (смс-оповещения), подключить её для наиболее быстрого реагирования на незаконные списания.
  • использовать банковские карты со встроенным микрочипом, если это возможно[2].

В начале 2010-х в США из 5,6 миллиарда действительных банковских карт лишь около 20 миллионов являются смарт-картами (содержат чип). За период с 2007 по 2011 год секретная служба США арестовала более 5 тысяч преступников, замешанных в скимминге[3]. Потери за 2012 год оцениваются в 11,3 млрд долларов. [4] В год в стране обнаруживают около 20 тысяч скиммеров[5].

В Великобритании с 2001 по 2011 года мошенничество с пластиковыми картами приводило к потерям в 300—600 млн фунтов ежегодно[6]. Значительная доля преступлений осуществлялась по данным карты в операциях, в которых не требуется предъявление карты (например, покупка через интернет). Потери от скимминга, составлявшие ежегодно от 100 до 170 миллионов фунтов в 2001—2008 годах, значительно снизились в 2010—2011 годах, до 47—36 миллионов фунтов, благодаря широкому внедрению чипованных карт и чипов с поддержкой iCVV и DDA[6].

В России в 2010-е годы, по официальным данным, совершаются тысячи преступлений с пластиковыми картами в год.[7] В 2011 году ущерб от кардинга был оценен компанией Group-IB в 400 миллионов долларов[8].

  1. Computer, News Предъявлено обвинение хакерам организаторам ограбления века (неопр.). Аналитика компьютерной преступности (1о ноября 2009). Дата обращения 10 ноября 2009. Архивировано 25 августа 2011 года.
  2. ↑ Пластиковые карты с магнитной полосой заменят на чипованные — Татьяна Шадрина — Российская газета
  3. Yudhijit Bhattacharjee. Automated Theft Machines Crooks are getting better at stealing your ATM info. Why the U.S. is such a hot spot (англ.), TIME (Jan. 17, 2011). Дата обращения 28 января 2014. «Since 2007, the Secret Service has made more than 5,000 arrests in skimming cases, and the FBI has busted a good number of skimming rings too.».
  4. Сергей Голубицкий. Правда о Target, которую вы никогда не узнаете из-за отвлекающего маневра с «Kaptoxой» и русским следом (рус.), «Компьютерра-Онлайн» (24 января 2014). Дата обращения 28 января 2014.
  5. ↑ Защита банкоматов: почему цены на скиммеры падают, а на антискиммеры растут?. — СИА
  6. 1 2 Fraud The Facts 2012
  7. ↑ Мошенничество с пластиковыми картами — Портал финансовой грамотности «Ваши личные финансы»
  8. ↑ Идет вторая волна воровства денег с банковских карт. Мошенники используют скиммеры для считывания данных с банковских карт, Газета.ру (21.10.2011). Дата обращения 29 января 2014.

Скиммер АТМ или как обнаружить и избежать опасного внедрения скиммера банкомата

Скиммер: Угроза, связанная мошенничествами на банкоматах, известная как «вставки скиммеров» (insert skimmers), эти тонкие инструменты для кражи данных были полностью скрыты внутри слота для приема карт снятия наличных денег.

Что такое скиммеры?

Скиммеры – чрезвычайно вредоносные карт-ридеры, которые крадут данные с магнитной полосы карты, прикрепленной к реальным платежным терминалам, дающие возможность собирать данные у каждого человека, который хочет воспользоваться терминалом.

При ближайшем рассмотрении, какими могут быть скрытые внедренные скиммеры, можно увидеть видео о том, как они устанавливаются и удаляются. Здесь приводится рекламное видео, раскрытое двумя провайдерами скиммеров банкоматов.

Традиционные скиммеры банкоматов-это мошеннические устройства, которые созданы для того, чтобы их помещали поверх слота приема карты в банкомате, обычно защищенного связующим элементом или двусторонней лентой.

В настоящее время финансовые институты разрабатывают технологии для обнаружения какого-либо постороннего предмета, расположенного поверх устройства. В результате, больше мошенников продают и используют вставленные скимминг — устройства, которые полностью скрыты от наблюдения после того, как они внедрены в банкомат.

В рекламном видеоролике, выпущенном еще одной организацией подпольных хакеров, показан установленный и снятый из слота для приема карт скиммер, который был полностью удален из банкомата, так чтобы мошенническое устройство можно было увидеть даже во время его установки.

В стандартной настройке внедряемые скиммеры считывают данные с магнитной полосы, расположенной на задней стороне платежных карт, вставленных во взломанный банкомат, в то время как незаметная камера — шпион, скрытая выше или рядом с PIN — пэдом, записывает видео с указанием времени, когда держатели карт вводят свои PIN-коды. Данные позволяют злоумышленникам изготавливать новые карты и использовать PIN — коды для снятия наличных с учетных записей пострадавших владельцев карт.

Если вы прикрываете рукой PIN – пэд, таким образом вы не даете возможность скрытой камере считать ваш PIN –код. А скрытые камеры используются в более, чем трех десятках банкоматов.

Скимминг банкомата

Скиммингнелегальная деятельность, которая подразумевает установку устройства, которую обычно невозможно обнаружить пользователям банкоматов. Это устройство тайно считывает данные банковского счета, когда пользователь вставляет карту в банкомат. Преступники затем шифруют украденные данные на чистую карту, чтобы в дальнейшем с ее помощью снимать деньги с банковского счета клиента.

  • Скрытая камера
  • Скрытая камера обычно используется совместно со скимминг – устройством, чтобы считывать PIN, который печатает клиент. Камеры обычно располагают где-то на передней части банкомата – как видно на этом примере – как раз над экраном, или в том месте, где ее легко прикрепить.
  • Скиммер
  • Скиммер обычно очень похож на оригинальный картридер по цвету и текстуре. Он крепится как раз над оригинальным картридером (оригинальный картридер обычно вогнутой формы, изогнут вовнутрь), в то время как скиммер выпуклый наружу. Как только клиент вставляет карту в банкомат, информация с банковского счета на карте собирается злоумышленником и сохраняется на каком-то электронном устройстве.
  • Раскладка клавиатуры
  • Использование раскладки клавиатуры, размещенной непосредственно сверху оригинальной клавиатуры, — это совершенно новая технология, приходящая на смену скрытой камере, вместо визуального считывания набора PIN-кода пользователем. Схема внутри накладной клавиатуры сохраняет все символы кода.
Проверка на наличие посторонних устройств

Когда вы подойдете к банкомату, проверьте, есть ли явные посторонние признаки в верхней части банкомата, сбоку экрана, на самом картридере и на клавиатуре. Если что-то выглядит не как обычно, например, цвет материала, графика, которая неправильно выровнена или что-то еще, не пользуйтесь этим банкоматом. То же самое можно применить для считывателей кредитных карт.

Несколько способов, необходимые каждому для минимизации успеха хакеров-скиммеров

Закрывайте PIN pad, когда вводите свой PIN.

Старайтесь избегать одиноких и сомнительного вида банкоматов в местах с плохим освещением, если это возможно.

Старайтесь использовать банкоматы, встроенные в здание банка. Одиноко стоящие банкоматы – обычно более легкая добыча для злоумышленников.

Будьте особенно бдительны, когда снимаете деньги в выходные дни; хакеры, как правило, устанавливают устройства для скимирования в выходные дни — когда они знают, что банк не будет работать более 24 часов.

Тщательно следите за своими банковскими выписками, и выясняйте немедленно любые несанкционированные платы или снятие денег.

Для более детальной информации просмотрите следующую подборку

Скрыто от гостей

(все о скиммерах). А также проверьте

Скрыто от гостей

Источник:

Скрыто от гостей

Что такое скиммер? | Банковские карточки

Банкоматы и скимминг!

Один из видов мошенничества с пластиковыми картами является скимминг, при котором используется скиммер — инструмент злоумышленника для считывания, например, магнитной дорожки кредитной карты. Скиммер представляет из себя устройство со считывающей магнитной головкой, усилителем—преобразователем, памятью и переходником для подключения к компьютеру. Скиммеры могут быть портативными, миниатюрными. При помощи электронного устройства (скиммера), устанавливаемого на банкоматы для считывания информации с кредитных карт, проходящих через эти банкоматы, а также накладной клавиатуры или мини-камеры мошенник получает доступ к карточному счету жертвы и может снимать с него любые суммы.
Современные скиммеры очень малы. Например, скиммеры, которые используются в ресторанах (и не только), раза в два меньше небольшого сотового телефона, могут одновременно хранить данные сотен магнитных полос.

Когда официант берет карту и уносит ее, чтобы сделать платеж, он может незаметно провести ею по скиммеру, спрятанному в руке. Бывают плоские скиммеры, которые вообще незаметны и просто кладутся в папку со счетом. Наиболее часто скимминг используется мошенниками при снятии клиентом денег через банкомат.

Немного теории: как устроена кредитка.

Кредитная карточка —  это пластиковый прямоугольник с нанесенными на нем:

  • Изображением

  • Голограммой

  • Номером

  • Полосой с подписью

  • Иногда — фотографией владельца

  • Магнитной полосой (и чипом, что не столь принципиально)

Изображение, голограмма, подпись, фотография — служат для определения идентификации карты в магазинах, банках, или пунктах обслуживания. Нас же интересует система банкоматов или интернет-торговли, где эти данные не учитываются.

На магнитной ленте (или чипе) записаны два набора цифр. Первый — копия того, что указано на карте (фамилия, номер, срок действия (expiriency date). Второй — некий шифр, образованный по некоему алгоритму из этих данных. (CVV — card verification value или CVC — card verification code). Этот цифровой код называется CVV1/CVC1.

В онлайн-торговле вообще принимается во внимание только номер и код. Это три цифры, которые нанесены на обратной стороне карты, и называются они CVV2/CVC2.

Банкомат при считывании карты принимает во внимание только вторую дорожку. По ней он и идентифицирует владельца карты (точнее, банкомат передает этот код и получает данные от сервера банка) и принимает решение о выдаче денег или приеме оплаты.

Суть скимминга в том, что преступник «модернизирует» банкомат электронным устройством, которое считывает информацию с карточки потенциальной жертвы (оно называется скиммер). Вы можете не заметить этого, спокойно воспользовавшись услугами банкомата. А через некоторое время ваша банковская карта будет взломана и лишена всех денег, которые на ней хранились.

Как происходит кража информации с банковской карточки?

Скиммер копирует информацию, которая содержится на магнитной полосе пластиковой карты, и дает возможность мошенникам изготовить дубликат вашей карты. Помимо скиммера на банкомат устанавливается фальшивая клавиатура и/или скрытая камера для определения пин-кода.

skimmer

Что такое скимминг-клавиатура и как ее опознать?

Во-первых, она может при тактильном контакте незначительно сдвигаться, во-вторых, возвышаться над поверхностью банкомата, в третьих, на панели банкомата могут остаться следы клея. С помощью такой клавиатуры копируется ПИН-код, который вы вводите для начала операций с картой.

skimming2

 

 

Помимо ложной клавиатуры существуют еще как минимум два способа узнать ваш ПИН-код: подглядеть его, стоя у вас за спиной, или установить на банкомат небольшую видеокамеру, направленную на область клавиатуры.

skimming1

 

Скимминг — накладки на гнезда банкоматов, которые считывают информацию с магнитной полосы карточки. Причем теперь их уже оборудуют сим-картами, с помощью которых они отправляют данные прямо на мобильный телефон мошенника. Иногда доходит даже до того, что преступники устанавливают на улицах целые фальшивые банкоматы, запрограммированные на снятие информации с карточек.

bankomat skimmer

Как обезопасить себя от мошенничества — скимминга?

Различные варианты программной защиты — для тех кого это интересует.

Итак, вы предупреждены об опасности, и уже не зададите вопрос «Что такое скимминг?», а значит несете ответственность за сохранность своих денег.

Банки в погоне за прибылью, расширяют свои терминальные сети и порой устанавливают банкоматы в не самых подходящих местах. Совет простой – не пользоваться такими банкоматами. Ну и быть внимательнее с теми из них, которым доверили свои карты – посмотреть, нет ли накладной клавиатуры, видеокамер, способных контролировать ввод данных, непривычных элементов конструкции.

1. Нужно быть предельно внимательными и осматривать банкомат на предмет подозрительности конструкции перед началом работы с ним: обязательно осмотрите картоприёмник, клавиатуру и верхнюю часть банкомата: именно на ней располагаются ложные камеры видеонаблюдения, направленные не на лицо клиента, как обычно, а на его руки. 
2. Старайтесь пользоваться банкоматами, установленными в хорошо освещенных местах и не пользоваться банкоматами, которые находятся в местах с большим потоком посетителей: например, в торговых центрах. Такое расположение позволяет мошенникам остаться незамеченными в окружающей суете и установить на банкомат все приборы, необходимые для скимминга.
3. При наборе ПИН-кода прикрывайте клавиатуру второй, свободной рукой, чтобы человеку, стоящему за вами в очереди к банкомату, не было видно, какое сочетание клавиш вы только что нажали.

Однако опасность может подстерегать владельца карты не только рядом с банкоматом. Скиммеры могут представлять собой отдельное портативное устройство. Например, в обмен на принесенный счет вы даете официанту в кафе свою пластиковую карту. А официант хорошо знает ответ на вопрос «Что такое скимминг?», и незаметно, при помощи скиммера, спрятанного в кармане, считывает с нее всю необходимую информацию. Поэтому расплачиваясь в местах общепита банковской картой, лучше сами подойдите к кассе и произведите расчет. Карта не должна оказываться в чужих руках!

Существуют и другие виды мошенничества с банковской карточкой — рассматривалось ранее

Скимминг в магазинах. Схема мошенничества

Мошенник (кардер) договаривается с сотрудником магазина (бензоколонки, кафе, ресторана и т.д.) и выдает ему ручной скиммер — устройство считывания данных карты. С помощью этого устройства, мошенник на точке продаж, при обслуживании клиента, дополнительно прокатывет карту через скиммер, который накапливает информацию о дропах (информация с магнитной полосы карты) карт. Далее сотрудник торговой точки передает скиммер обратно кардеру. Кардер, используя данные скиммера, делает клоны карт и использует их для совершения покупок, в т.ч. имея сговор с сотрудниками торговой точки, реализующих легко сбываемый товар.

В данном случае, пострадавшей стороной становится не только держатель карты, но и не чистые на руку сотрудники магазинов, т.к. в результате проведения расследования их достаточно легко вычислить и они окажутся крайними. Кардера скорее всего не найдут и всю ответственность возложат на мошенников на точке продаж.

Защита от скимминга в магазинах

  • При оплате покупок никогда не теряйте карту из вида

  • Хотя это и принято, не вкладывайте карточку в счет в ресторане

  • Не позволяйте уносить карту, в т.ч. для консультаций с другими сотрудниками точки продаж

  • Не позволяйте вставлять карту в посторонние устройства, кроме терминала, через который происходит оплата карты

  • Не позволяйте фотографировать карту и переписывать информацию о ней

  • Перед вводом ПИН-кода, или подписанием чека обязательно проверьте сумму, указанную на экране ПИН-пэда, либо на чеке.

  • Вводя ПИН-код, прикрывайте клавиатуру и руку, вводящую пароль, второй рукой, чтобы никто не запомнил вводимый вами пароль

  • Требуйте вернуть карту сразу после оплаты покупки

  • Подключите услугу SMS-информирования для оперативного получения информации о попытке совершения посторонней операции по карте

  • Запишите в свой мобильный номер телефона служб поддержки банков, карты которых вы используете

Если все же факт мошенничества зафиксирован, карту нужно как можно быстрее заблокировать и обратиться в банк с просьбой выпустить новую.


Верни мои деньги, банкомат / Habr

Бывает такое, что привычная, казалось бы, вещь, встречается с такой изюминкой, после которой начинаешь смотреть на эту вещь совершенно иначе. Так случилось и у меня… пару лет снимал деньги с карточки в сотне мест и бед не знал… а тут приехал в один городок и в первом же банкомате мне повстречалась эта самая изюминка. Причем место и обстоятельство были такими, что за пару мгновений пищи для размышления и впечатлений накопилось недели на две вперед.



Я почему-то думал, что это может быть только в стране вечнозеленых президентов, а у нас – просто нет кадров, чтобы заниматься этим. Оказывается, я глубоко ошибался. Просто не каждый день встретишь то, про что читал только в журналах/интернете или видел в фильмах [ кстати, не помню ни одного фильма, где бы фигурировал скиммер 🙂 ].

Что такое скиммер? Если сделать запрос в яндексе, то из первых строк станет ясно, что это какой-то насос для очистки бассейнов. Но сами посудите – насос и банкомат… что-то не то. Хотя, насосом качать бабки из банкомата – вполне )

Не вдаваясь в историю происхождения названия, скиммер – это небольшое устройство, которое может помочь злоумышленникам воспользоваться Вашей пластиковой карточкой.

Те, кто в теме, сейчас наверное читают и хихикают над моей трактовкой, но это первая трактовка, что пришла мне в голову.

Скиммер обычно состоит из двух элементов – накладной клавиатуры (пин-пад) и сканера магнитной ленты карты.

Пин-пад аккурат размещается поверх родной клавиатуры банкомата и позволяет злоумышленникам узнать Ваш пин-код (для этого так же может использоваться миниатюрная камера), сканер же вешается поверх щели приема карт. Причем, маскировка делает свое грязное дело.

Вы вставляете карточку в банкомат (не подозревая, что вставляете ее в сканер карт злоумышленников, после которого карточка попадает в нужную Вам щель банкомата) – вуаля, данные о вашей карте (дамп) уже либо на устройстве хранения данных в сканере, либо по беспроводному интерфейсу уже переданы кому-то. Дальше Вы вводите пин-код, который так же либо сохраняется, либо сразу отправляется. Все, для того чтобы пользоваться вашими деньгами, остается всего лишь изготовить дубликат карты, что делается, судя по всему, достаточно легко – используя дамп, программируется безликий кусок пластика и готово.

Кстати, гораздо хуже, если никакого накладной клавиатуры на устройстве приема карт банкомата нет или просто кто-то палит, как вы вводите пин-код. Еще хуже, если при этом вы вышли из своего намытого до зеркального блеска Audi Q7 (99, третий бумер, лансер – нужное подчеркнуть), в мажорной дубленке, с гарнитурой, но без каски. В таком случае есть все шансы тупо получить чем-то тяжелым по голове и с таким же успехом отдать деньги с карточки. Но этот случай не так интересен – гоп-стоп был везде и всегда.

Несмотря на то, что всегда смотрю на банкомат, прежде чем вставить карту, в тот раз я ее вставил. Были не одни, было не до банкомата. Хотел было вводить пин-код, как заметил, что клавиатура не плоская, а выпуклая, как быть не должно. Сравнив быстро пальцем фактуру клавы и банкомата, мысленно пытаюсь убедить себя, что все ок. Через секунду говорю друзьям:

— Блин, походу скиммер.
Замерли. Поддеваю ногтем клавиатуру… сначала вошел ноготок, потом палец…сплошной секс ). Когда я понял, что клава отходит, я решил, что сломал банкомат и что под кнопками ничего не будет, а я тупо приклею ее обратно и сниму деньги.
Подняв клаву, мы обомлели – там была точная копия нашей клавы, только идеально ровно встроенная в поверхность банкомата.
— Ё-маё, Бурумыч, скиммер! Скиммер, мать его! О Боги, я первый раз такое вижу, поверни, дай сфоткаю!
— Да, тоже первый раз вижу. Только мой дамп уже там, а должен быть чей-нибудь ваш )

Перевожу взгляд на картоприемник – уже ничего не соображая, пытаюсь вытащить карту. Ничего не выходит. Вспоминаю про кнопку «Отмена», жму – карта вылазит. Хух.
Поддевая ногтями выпирающий картоприемник, он так же отходит – от чего жути только прибавилось. Пару секунд рассматриваем устройство – горят какие-то лампочки, батарейка, аккуратная пайка… да, видно, что этим вопросом занимаются серьезно. Еще через мгновение нас всех одновременно посещает мысль, что больше нам находиться тут не стоит )

Дальше все как в фильме ) Менты пообещали прибыть в течение часа, что в нашем случае, естественно, нам уже не делало никакой погоды. Скиммер мирным путем вернулся законным владельцам ) А мы, понимая, что ходим под Богом, телепортировались.

В общем, примерно такие были эмоции при первом знакомстве. Что же за пищу для размышлений мы тогда получили?

Во-первых, это было первое практическое занятие – узнали как выглядит, что из себя представляет, кем и как охраняется. Весь текст дальше – догадки.

Из недостоверных источников, цена за комплект устройства подобного типа (сами железки, программное обеспечение и т.п.) стоит порядка 3-5 тысяч долларов (несмотря на то, что ничего сверхъестественного там нет), что уже как минимум является причиной не оставлять девайс без присмотра. Цена зависит от конструкции и от комплектации. Что-то может автономно долго работать, что-то хранить дампы у себя на карте памяти, что-то – сразу передает информацию владельцам (экзотика).

Цитата с какого-то сайта: «Информация о скиммерах появлялась в новостях уже не раз, но устройства совершенствуются с каждым днем. На этот раз скиммеру уже не нужно подходить к банкомату, чтобы снять информацию — она высылается через СМС. Устройство может отправить до 1856 СМС на одной подзарядке. Стоит 8,5 тыс долларов. Причем краска для внешних деталей покупается на тех же заводах, что и производители банкоматов, учитывается температура, угол наклона, время покраски. На первый взгляд отличить практически невозможно.

Единственное НО… Если сотрудники банка оперативно среагируют и отследят сим-карту злоумышленника, то поймать его, возможно, будет и проще…»

Следовательно, где-то в пределах прямой видимости точно кто-то есть, даже если Вы его не видите. Зато видят Вас, например, из тонированной девятки через дорогу 😉 Так как работа наблюдающего, по сути – охрана объекта, то я почти уверен, что и пропорции у него – как у достойного охранника 😉

Если Вы считаете, что обдурили всех, отодрав скиммер и убежав – не спешите радоваться. Могут по дампу найти, могли и паспорт выронить – всякое бывает 😉 зато потом хэппи энда может не случиться. Так что подумайте, стоит ли вообще связываться – может проще снять деньги в другом месте?

Дальше можно поразмышлять о местах обитания скиммеров. Понятное дело, что идеальное место – там, где больше народу, причем не студентов со стипендиями, а нормального такого народу. Думаю, скиммер вы сможете встретить у вокзалов, аэропортов, казино, кафешек, кино, магазинов техники и прочих горбушек – одним словом в местах, где людям требуется снимать побольше денег.

Побродив пару часов по совку и горбушке, пройдя пару вокзалов – я так ничего интересного и не нашел. Отсюда, снова напрашивается вывод, что устройства находятся на своих местах не всегда.

Предполагаю, что сначала дядьки выясняют, в каком режиме обслуживается рыбное место – в какие дни и в какое время приезжают инкассаторы загрузить деньги, во сколько они проезжают и так далее. Т.к. инкассаторы наверняка каждый раз разные, то надеяться на их гуманность к скиммеру злоумышленнику не стоит. Поэтому, вероятно, скиммеры приклеивают и снимают по несколько раз на дню.

Но отсюда опять что-то да вытекает. Даже у самого одинокого банкомата обычно стоят камеры, за которыми кто-то да должен наблюдать из служб безопасности. А про банкоматы в отделениях банка я вообще не говорю. Таким образом, я не поверю, что каждый раз, вешая девайс на банкомат, этого никто не замечают и ничего не предпринимают. Да, злоумышленник может на пару секунд прикрыть собой камеру, успев сделать свое дело… но это же должно происходить несколько раз на дню!?! Думаю, даже постоянно вешать устройство и не надо – достаточно пару часов повисеть в один из вечеров праздничного дня.

Какой отсюда же напрашивается вывод? А такой, что все об этом прекрасно знают. И если девочка на ресепшене должна просто закрывать на это глаза, то владельцы банков наверняка живут не только на проценты вкладчиков =) иначе смысла разводить такую кормушку у себя под носом у них нет. Таким образом, еще раз доказывается отношение банковской сферы к обычному пользователю, честному, порой, человеку. А жаль )

Как-то зайдя в банк, на входе мне встретился охранник, который выходил покурить. Недолго думая, я решил поговорить с ним – вот такой у нас вышел диалог:

— Здравствуйте, хотел задать пару вопросов по безопасности банкоматов.
— Попробуй.
(в лоб) — Вы в курсе, что такое скиммер?
— Мм, слышал, а что?
— Недавно первый раз встретил такое устройство – обнаружил его только тогда, когда карточку уже вставил, но код не ввел. Могут ли, не зная пин-кода, расплачиваться от моего имени, например в интернете или простых магазинах?
— Вот это, честно, сказать, не знаю. Но береженого бог бережет – зайди, вон, да поменяй код, это 10 минут займет. А где встретил штуковину-то?
— Там-то. Но, честно сказать, был удивлен – думал, что такое только в штатах, а пишут про них только в журналах.
— Хех…в штатах =) ты же в России живешь. Пока американцы что-то придумывают, у нас уже сделают «анти». У них вирусы, у нас уже антивирусы и наоборот. Так что в стране желания грести деньги, ничего не делая, таких устройств не может не быть.
— Даже так! И много у нас… по Москве?
— Да хватает. Ты вот где живешь?
— Там-то
— Ну… недалеко от меня. Поискать – найдешь 😉
— Интересно. И чего ж с ними никто не борется?
— Да как не борются… борются. Просто раз они есть, значит это кому-то надо.
— Верно, нет дыма без огня. А как начальство банков к этому относится, они в курсе?
(Взбодрившись) – Конечно! )
— Вах. Т.е, получается, что не убирают хотя бы только потому, что начальству это тоже выгодно?
(Улыбаясь) – Ну… всяко бывает. А тебе это вообще все зачем?
— Да вот, столкнулся случайно, хотел узнать.
— Смотри, осторожней. У вас вот есть какое-нибудь правоведение в институте?
— Нет, но что-то подобное было.
— И что, не учили, какие вопросы и кому можно задавать, а кому какие – нет?
— Не учили, но я к вам исключительно в мирных целях 😉
— Да понятно. Просто иногда, задав безопасный, казалось бы, вопрос, можно вызывать неадекватную реакцию. То же самое и с поведением. Знал вот, что по банкомату стучать нельзя?
— Неа, а что, в ответ бьёт? 😉
— Нет. Но это уже может попасть под порчу имущества. Так у нас на днях зашел один пьяный, стукнул – приехал фургон, скрутили и забрали. Там же датчиков полно внутри… и пойди докажи, что ты его не взломать хотел.
— Серьезно у вас тут. Ладно, давайте вернемся. Расскажите что-нибудь про их устройство, как крепят, как обслуживают?
— Ну а чего тут рассказывать. Как устроены, не знаю точно, но обнаружить не так уж сложно. Это бабулькам 80-летним, которых государство все это время нае*ывало, уже не понять этих приколов, а ты если видишь, что что-то торчит – не суй и все, сними в другом месте.
— А если оторвут и смотаются?
— Ну оторви =) Сам понимаешь, такие вещи не без присмотра… не сразу, так потом где-то найдут. Похлопают по плечу, сам не заметишь.
— Интересно… и что, совсем никому нет дела до этого всего?
— Ну почему… бывают, иногда, показательные выступления – проезжают спецы, всем, кому надо пальцы загнут для галочки… а потом снова все на свои места встает.
— А у вас тут было чего интересного?
— Неа, это больше на банкоматах без банков, хотя всякое бывает.
— А, ну у вас-то тут банк вон, да…
— Максимум бывало, что деньги выхватят… но это ведь опять, чья ошибка? Вон, глянь… вышел с пачкой денег… чего вот не спрятать сразу, не убрать? Пересчитать же потом можно… или пин-коды вводят, не закрываясь… а подсмотреть тысячей способов можно. А потом жалуются…

— Где ж ваш автомат-то? 😉
(улыбаясь) – Да я вон, на танке сегодня. Далеко не убегут, если что 😉 Ладно, давай, не май месяц, пойду. Мотай на ус.
— Успехов, благодарю!

В общем, вот такой диалог вышел, но конкретики почти никакой. Позже случайно мне удалось найти в сети человека в теме, которого повторно найти никак не удастся ) Я не занял у него много времени, но все же, немного информации, опять же подтверждающей мои догадки, появилось:

Я: Какие бывают по типам (способ хранения, способ передачи, питания)? Какие бывают по размерам? Какие примерно цены и от чего зависят? Откуда берутся – делают ли их серийно?
Он: Каждое устройство индивидуально по сути — затачивается под конкретный АТМ, т.к. основное требуемое свойство — незаметность. Серийно их никто не делает, т.к. это все же уголовно наказуемое деяние, но это не значит, что их все делают вручную. Цена на скиммер «под ключ» — от 5000 и выше. В основном это автономные устройства со встроенной памятью — «поставил, подождал, снял», вариантов с передачей данных у меня не было, но очевидно, что это гораздо безопаснее для владельцев.

// Тут собеседник не рассказал про размеры девайсов, но я нашел пару интересных изображений в интернете. Да-да, даже такая вот «зажигалка» (правильнее, «Кубик») в руке человека рядом с Вами в состоянии утянуть Ваше состояние.

Я: Как их крепят? Бывает тупо поверх клавы и щели. Но слышал, что чаще просто ставят камеры. Может еще что-то придумали?
Он: Все верно — в простых моделях крепится только на картоприемник + камера для снятия пинкода. Способов крепления камеры достаточно много.

// Окинув взглядом фотку банкомата, прикидываю, куда можно было бы спрятать камеру. Если это не «дополнительная» камера в банке, которая выглядит как настоящая, то вариантов остается не так много. Если человек высокий ростом, то камеру можно приклеить к верхней части АТМ, выпирающей над клавой – просто так их не увидишь, но слегка нагнувшись – легко. Или же можно повесить свою «лампу» для освещения, в прозрачный пластик которой спрятать «зёрнышко» от камеры (видели, каких размеров камеры в некоторых видео-домофонах? “.” – чуть больше этой точки)

Или вот как на фотке из инета – в коробочке для рекламок, изначально награжденной только информационной функцией.

Ну или ваш код могут тупо подсмотреть рядом стоящие люди 😉 Поэтому зеркала на банкоматы клеят неспроста. Заботящиеся о клиентах банки на свои АТМ так же ставят специальные «заборы» на клавиатуру, которые помогают не палить код.

Я: Где чаще всего бывают – в закрытых или открытых банкоматах? Может какие-то банкоматы или банки особенно безответственно относятся к этому, а какие-то — дорожат клиентами? Излюбленные места обитания? Где больше — в Москве или Питере?

Он: Предпочтительнее открытые банкоматы. Чем больше проходимость народа — тем лучше. Насчет банков – хз. Любой фрикер тебе этого не скажет или заведомо «поменяет» нужные названия банков местам 😉 Следят, конечно, все, но говорить о том что их АТМ заскиммили не будет никто. Где больше – имхо, в Питере. Но и в Москве, конечно, тоже хватает.

Снова я: Еще немного по ценам – купить можно только в инете или в супермаркетах тоже продаются? 😉 Что в этом случае меняется? Что делать человеку, если он снял скиммер? )

Он: Готовый комплект, купленный на Митино или еще где — в 99% окажется нерабочим или уже использованным, и то, трудно найти то, что тебе надо. В интернете народ гораздо охотнее идет на контакт, но точно так же можно купить не то или же по завышенной цене. Цена, опять же, под заказ — от 5000. Если удалось снять скиммер — дело за малым — слить оттуда инфу и продать ее кардерам. Или дропам. Самому сливать денежный эквивалент — равноценно явке с повинной в органы.

// Хм, что-то опять эта цифра в 5K usd 😉 На форумах же предложения совершенно разнятся – от 1К до 15.

Я: Кто вообще этим занимаются — ведь не просто пионеры-радиотехники? Как их устанавливают — под камерой банкомата каждый день ставят с утра и снимают перед приездом инкассаторов? Или даже они не помеха? )

Он: Кто занимается? Умные и осторожные фрикеры (не путать с фриками – моё прим.). Самый распространенный способ установки — после приезда и отъезда инкассаторской группы, через 5-10 минут «группа» возвращается. и опять уезжает. Схема приемлема для ОПГ, которые могут позволить имитировать спецодежду мастеров. Более простой вариант — установка на вечер-ночь, т.е. людей мало, инкасса не приедет гарантированно до утра (время приезда вычисляется простым наблюдением), но и безопасность выше. Еще устанавливают и снимают скиммеры обычно «шумной группой студентов», т.е. толпа окружает банкомат («блокирует лохов»), ставится скиммер… ну и варианты по фантазии…

Я: Хочется каких-то цифр ) Их риск хотя бы оправдан — насколько прибыльная такяа рыбалка? Или если не в баксах, то хотя бы в количестве дампов. Как часто тырят скиммеры? )

Он: Цена свободы у каждого разная, кто-то рискует, кто-то нет. Но не всегда же обязательно все делать самому 😉 не обижай с % и все будет. Количество дампов = количеству карт вставленных в АТМ. Улов — никто никогда не говорил конкретных цифр. Но окупается не только аппарат, но и хватает на новый. Может слышал песню «В ресторане обеды, в доме нету соседей, а БВМ 7-ой серии — удачнее велосипеда» 🙂

Я: Слышал 😉 А что вообще делают с дампами, каков их дальнейший путь? Нужно ли человеку менять пин-код, если он только вставил карту, но не ввел код? Как быстро дамп попадает «в темные руки» и сколько у человека есть времени на спасение бабосов? Дальше делают копию карточки или что вообще можно сделать, имея дамп со снятым пином? Как долго занимает расшифровка или это дело 5 секунд?

Он: см выше — их сливают кардерам или дропам. У кого какие контакты есть. Если пин не введен — менять его не нужно. Дамп попадает в руки дропов обычно через сутки-двое после снятия скиммера. Но если «операция» прошла успешно, человек узнает о том что с его счета ушли деньги только по смс-банкингу или при следующей проверке карты. Расшифровать что? Дамп? Дамп не расшифровывают. Его просто клонируют. Да, у дропов есть аппараты по клонированию карт (тоже дорогое удовольствие).

Уже не так все двусмысленно, как в первом диалоге, но тем не менее, картина все четче рисуется. Дали бы мне рукописи Да-Винчи, я бы их в миг разгадал 😉

Полазив в инете по различным форумам, был удивлен тому, сколько же информации в свободном доступе. Схемы, распайки, прошивки, мануалы, пошаговые инструкции и помимо этого, самое главное – люди, обладающие самым ценным – знаниями, информацией.

Схема считывающей головки сканера

Схема GSM-скиммера

Просто так, естественно, никто ничего не расскажет ) Мне даже двусмысленно не решились что-то рассказать, это же их хлеб. С другой стороны – всех денег не обналичить, а кто-то в нашей стране до сих пор зарабатывает честно. Так и получается – с одного конца провода — люди, боящиеся погонов, с другого – люди, боящиеся потерять деньги. И все же, не стоит забывать, что кто-то еще да работает честно.

Какие из этого делать выводы, каждый для себя делает сам 😉 Для тех же, кому лень додумать, дам пару советов, которые помогут не потерять бездарно последние купоны на карточке:

1. Прежде чем подойти к банкомату, оглянитесь. Пьяны, заметили что-то странное-подозрительное – отложите съем до лучших времен. Не паранойи ради, безопасности для – оглядывайтесь по сторонам так же, как и при переходе через дорогу.

2. Вы должны четко знать, как выглядит банкомат Вашего банка (если не снимаете деньги с комиссией со всего подряд). В большинстве своем они имеют: НЕвыпирающую из ровной плоскости клавиатуру, плоскую или вдавленную щель приемника карт. Если видите, что клавиатура выпирает хотя бы на пару миллиметров или картоприемник торчит наружу – снимите деньги в другом месте. Если надумаете проявить отвагу и решите позвонить, неважно, куда – в 02 или в службу банка – делайте это не у банкомата!

3. Вставив карточку не спешите вводить пин-код – осмотритесь еще раз =) Ни-че-го нестандартного на банкомате быть не должно. Если кто-то рядом стоит, вводите код так, чтобы его не увидели.

4. Сняв деньги, не размахивайте ими на право и налево. Вытащили карту > убрали > вытащили деньги > быстро пересчитали и сразу надежно убрали > взяли чек > испарились.

5. Однажды вам могут позвонить якобы из банка и сказать: «Здравствуйте, укважаемый Лошидзе Баобаб Бабосович, вас беспокоит служба безопасности Вашего банка. В целях безопасности наших клиентов, мы переводим их с 4-значного пин-кода на 6-значный. Просьба сообщить Вас нынешний пин-код и новый желаемый или же то же самое проделать, придя к нам в банк». Естественно, переться и возиться с бумажками многим будет лень, поэтому, смею предположить, что добрая половина тупо скажет свой код. Поэтому…. НИКОГДА и НИКОМУ не говорите свой пин-код! Ни тётям в магазине на кассе, ни, тем более, дядям. Даже работники банка – от тёток на ресепшене до совета директоров – ни под каким предлогом. У них и без этого полно вариантов на тему как оставить вас без штанов 🙂

6. Если Вас уже бьют – громко кричите — их больше ;=)))

На десерт – пара фоток, как может выглядеть ваш похититель:

Шутко )

1. Клавиатура может выглядеть так:

Обычно кнопки – плоские, но бывает, что и кнопки выпирают… Не-не-не, в них точно ничего нет, это уже точно паранойя… или… :)))

2. Картоприемник:

Девайс на последней картинке вызывает у меня некоторые сомнения – с одной стороны, ее правая часть свободна (часть, где окажется магнитная лента), т.е. по сути, сканера там уместиться не должно и этот девайс, в итоге – так называемый антискиммер. Но здесь он сделан настолько ужасно (в том числе и по исполнению), что от скиммера его не отличить. Или же его можно оторвать и приклеить на его место скиммер… в общем, глупость сделали )

Насчет антискиммеров — обезопасить картоприемник банки могли бы без проблем – использовать абсолютно плоскую щель, специальные неровности, мешающие установке поверх любого объекта – но опять же… хотели бы – сделали ) Вот примеры попыток усложнить жизнь:

(Тоже глупая, на самом деле, затея, т.к. скиммер замаскировать под такое дело легко, зато даже сам по себе антискиммер опять же уже наводит на какие-то мысли)

Иногда можно встретить наклейки или стенды «как должен выглядеть банкомат», и, мол, если он выглядит иначе, не пользуйтесь им. Понятное дело, что поверх этого можно наклеить-повесить что угодно 🙂 ВСЁ, лишь бы не работать! )

Успехов!




Отправить ответ

avatar
  Подписаться  
Уведомление о