Еволюція банкоматних скімерів


 
Ми всі звикли до словосполучення «технічний прогрес». Вже досить багато років тому зміна поколінь всіляких пристроїв і гаджетів стала таким же звичним явищем, як зміна пір року. І нікого не дивує, по більшій частині. Ми звикли, до метаморфоз мобільних телефонів, домашніх телевізорів, комп'ютерних моніторів, тепер ось підтягнулися години і навіть окуляри. Однак є якийсь нечисленний клас пристроїв, про які багато хто чув, їх побоюються, але в живу бачили одиниці. Мова йде про скімерів .
 
У Росії банкомати досі не настільки поширені, незважаючи на 23 роки офіційного капіталізму. Але навіть у нас скиммери стали якоїсь міської страшилкою. І мало хто замислюється, що ці пристрої, що використовують високотехнологічні компоненти, теж з часом еволюціонують. І тому особливий інтерес представляє нещодавно опублікований матеріал , в якому наочно представлені етапи «модернізації» скімерів, аж до сучасних новітніх розробок кримінальних умільців.
 
По суті своїй, скімінг являє собою спосіб крадіжки якоїсь інформації, необхідної для здійснення транзакції з банківського рахунку з метою розкрадання грошових коштів. Говорячи по простому, щоб зняти через банкомат гроші з рахунку вашої банківської карти, шахраям потрібно дізнатися ваш PIN-код і вважати дані з магнітної смуги. І для цього використовуються пристрої самих різних конструкцій і принципів дії — скімери.
 
Скиммери виготовляються так, щоб бути якомога непомітніше для користувачів банкомата. Найчастіше вони мімікрують під якийсь елемент інтерфейсу або зовнішнього оформлення. Це сильно ускладнює не тільки виявлення скімерів, а й упіймання самих зловмисників. І за останні 12 років скиммери зазнали серйозних метаморфози. По украй мірі, якщо судити за тими зразками, які були виявлені за цей період.
 
 

2002-2007

У грудні 2002 року CBS повідомила про виявлення небаченого раніше устрою, яка могла «записувати імена, номери рахунків та іншу ідентифікаційну інформацію з магнітних смуг банківських карт, з можливістю подальшого завантаження в комп'ютер.» Персональний комп'ютер!
 
У той час навіть законники вважали, що скиммери були фантастикою . Коли прокурор Говард Вайс, що спеціалізується на шахрайствах, сам став жертвою скіммінгу, він був шокований тим, що технології досягли такого рівня.
 
Звичайно, повне ігнорування фактів довго не тривало. У 2003 році покупці, котрі здобули банкоматом в одному нью-йоркському гастрономі, втратили за день сумарно близько 200 000 $ . У наслідку в мережі почало ходити попереджувала лист:
 
 
 
 

2008

Цього року в поліцію міста Нейплс (Naples) надійшов дзвінок про невдалу спробу розміщення скиммера:
 
 
 
Це досить примітивне пристрій складався з зчитувача, який можна було купити абсолютно легально , встановленого поверх картоприймача банкомата. А під пластиковим козирком над монітором була встановлена ​​маленька камера.
 
 

2009

Перші покоління скімерів представляли собою досить примітивні поробки. Нижче представлена ​​одна з конструкцій, що включає в себе батарейку, флешку і порт miniUSB.
 
 
 
Цей скіммер виявив один з читачів сайту Consumerist . Пильний користувач запідозрив недобре, смикнув картоприймач і до нього в руки вивалилося це .
 
 Менше ніж через місяць був виявлений інший скіммер, який не дозволяв банкомату коректно зчитувати карти і включав в себе фальшиве дзеркало, в яке була вбудована камера.
 
 
 
У той час для шахраїв ключем до успішного Скіммінг було знайти спосіб отримання вкраденої інформації зі скиммера:
 
 
 
Ранні моделі скімерів іноді змушували банкомати працювати некоректно. Але незабаром зловмисники навчилися успішно паразитувати на них.
 
 
 
 

2010

Багато років в скіммер використовувалися камери для крадіжки PIN-кодів. Але їх було не так просто непомітно розмістити на банкоматі. В результаті з'явилися накладні клавіатури, які записували послідовність натискає клавішу:
 
 
 
З розвитком технологій, шахраям ставало все легше створювати компактні пристрої . Розвинулися і подешевшали послуги аутсорсингового виробництва. В інтернеті почали продавати цілі набори для скіммінгу, які могли бути за запитом пофарбовані в потрібні кольори. Ціни починалися від 1500 $.
 
 
 
Але це лише набір початкового рівня. Топові пристрої йшли за 7000-8000 $:
 
 
Не всі набори були такими дорогими. Багато представляли собою готові до використання модулі, які шахраї встановлювали на банкомати, а через деякий час збирали з них зібрані дані. Головним недоліком цих пристроїв була необхідність повертатися за ними, щоб забрати інформацію.
 
Нижче представлений скіммер з функцією бездротового зв'язку, здатний передавати інформацію через стільниковий модуль. Сам скіммер дуже компактний, зібрані дані передає в зашифрованому вигляді.
 
 
 
 
 
Просунуті скиммери зразок цього робили працю скімерів менш небезпечним, знижуючи ймовірність бути спійманими на гарячому.
 
 

2011

Зрештою, виробники банкоматів почали щось робити для протидії Скіммінг. По-перше, почали впроваджувати елементи з прозорого пластика, зокрема, напівсферичні картоприймач. Але зловмисники швидко до цього пристосувалися:
 
 
 
Як бачите, помітити подставу можна лише по невеликій малопомітною пластиковою накладкою. Чи багато хто з вас звернули б на неї увагу? А незабаром доступна 3D-друк вивела якість скімерів на новий рівень :
 
 
 
Домашні моделі 3D-принтерів були ще малопридатні для цих цілей, і деталі замовлялися на стороні в спеціалізованих компаніях. Вище приведений один з таких замовлень, які виробник про смотрітельно відмовився виконувати .
 
 

2012

<A href="http://krebsonsecurity.com/2012/04/skimtacular-all-in-one-atm-skimmer/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+KrebsOnSecurity+%28Krebs+on+Security%29">Обнаружение скімерів ставало все більш складним завданням. Нижче показано майже досконале пристрій. Єдиний недолік полягає в маленькому отворі праворуч, через яке маленька камера знімала набираються на клавіатурі PIN-код.
 
 
 
 
 
Зрештою скиммери стали такими мініатюрними, що ви їх не побачите, навіть якщо дуже постараєтеся. За даними Європейської групи з забезпечення безпеки банкоматів (European ATM Security Team), в липні 2012 були виявлені скиммери товщиною з аркуш тонкого картону. Вони поміщалися всередину картоприймача, і помітити їх зовні неможливо.
 
 
 
Тепер ваші карти можуть просканувати не тільки в банкоматах, але і в мобільних терміналах. У ролику показано пристрій, навіть друкувальний фальшивий чек:
 
  
Тепер будь-який співробітник може підключити принесене із собою пристрій, а в кінці робочого дня понести його, наповненим даними з великої кількості банківських карт. Функціонал цих терміналів дозволяє навіть імітувати помилку з'єднання, коли дані успішно лічені. У комплекті з ними поставляється і ПО для дешифрування інформації з карт, а всі дані можна завантажити через USB.
 
 

2013

Торік на мережі заправок Murphy в Оклахомі був зафіксований ряд випадків скіммінгу, коли сумарно було викрадено 400 000 $. шахраї використовували зчитувачі в комбінації з накладними клавіатурами:
 
 
 
Цікаве в цій історії те, що скиммери були оснащені Bluetooth-модулями, а харчування отримували прямо від самих банкоматів. Іншими словами, термін їх служби був практично не обмежений, і безпосереднього візиту шахраїв для збору даних не було потрібно.
 
Поки одна «еволюційна гілка» скімерів прийшла до мініатюризації, інша пішла шляхом радикальної мімікрії. Нижченаведений скіммер являє собою величезну накладну панель з дисплеєм. У «дикій природі» цей зразок був виявлений в Бразилії:
 
 
 
 
 
Пристрій було виготовлено з деталей розібраного ноутбука.
 
 

2014

Але це можна віднести скоріше до курйозам, або до особливостей гарячого бразильського характеру. Все-таки компактні скиммери мають куди більше шансів залишитися непоміченими. І буквально минулого тижня був виявлений ось такий ось скіммер товщиною з кредитну карту:
 
 
 
 
 
Пристрій вимагає дуже мало часу на установку і демонтаж в банкомат:
 
  
На щастя, виробники теж не сидять склавши руки, зокрема, використовуючи знання та досвід спійманих хакерів для боротьби з шахраями. Але вони швидко адаптуються, так що ця ситуація нагадує боротьбу снаряда і броні.
 
А що робити нам, звичайним користувачам? Як не стати жертвою шахраїв і зберегти свої кревні? Завжди. завжди прикривайте клавіатуру під час набору PIN-коду: в більшості випадків шахраї використовують мініатюрні камери. А якщо ви використовуєте карту системи Chip-and-pin , то зловмисникам не так просто рахувати з неї дані.
 
І найголовніше, якщо вас хоч щось насторожує в образі банкомата, краще скористайтеся іншим. Намагайтеся використовувати банкомати тільки у відділеннях банків, це істотно знижує ризик. Ну, і намагайтеся не зберігати багато грошей на «картковому» рахунку.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.