CarderPlanet
Professional
- Messages
- 2,552
- Reaction score
- 675
- Points
- 83
Большая часть мошенничества с использованием поддельных кредитных, дебетовых и розничных подарочных карт для банкоматов зависит от способности воров использовать дешевое, широко доступное оборудование для кодирования украденных данных на магнитную полосу любой карты. Но новое исследование показывает, что розничные торговцы и операторы банкоматов могут надежно обнаруживать поддельные карты, используя простую технологию, которая помечает карты, которые, по всей видимости, были изменены с помощью таких инструментов.
Подарочная карта, приобретенная в розницу, с PIN-кодом без маски, спрятанным за бумажным конвертом. Такие PIN-коды могут быть легко скопированы злоумышленником, который ждет, пока карта будет куплена, чтобы украсть средства карты. Изображение: Университет Флориды.
Исследователи из Университета Флориды обнаружили, что данные учетной записи, закодированные на легальных картах, неизменно записываются с использованием автоматизированных средств контроля качества, которые, как правило, запечатлевают информацию в виде единообразных и последовательных шаблонов.
Клонированные карты, однако, обычно создаются вручную с помощью недорогих кодирующих машин, и в результате они имеют гораздо большую дисперсию или «дрожание» при размещении цифровых битов на полосе карты.
Подарочные карты могут быть чрезвычайно прибыльными и создавать бренд для розничных торговцев, но мошенничество с подарочными картами создает очень негативные впечатления от покупок для потребителей и создает дорогостоящую головоломку для розничных торговцев. По оценкам ФБР, хотя мошенничество с подарочными картами составляет небольшой процент от общего объема продаж и использования подарочных карт, каждый год продается подарочных карт на сумму около 130 миллиардов долларов.
Одна из наиболее распространенных форм мошенничества с подарочными картами заключается в том, что воры подделывают карты в магазине розничного продавца - до того, как карты будут приобретены законными покупателями. Используя портативное устройство для чтения карт, злоумышленники проведут по полосе, чтобы записать серийный номер карты и другие данные, необходимые для копирования карты.
Если на упаковке подарочной карты есть ПИН-код, воры записывают и его. Во многих случаях PIN-код скрыт из-за скретченной наклейки, но похитители подарочных карт могут легко стереть их, а затем заменить материал на идентичные или похожие наклейки, которые очень дешево продаются в рулоне онлайн.
«Они могут покупать большие рулоны этого в Интернете почти бесплатно», - сказал Патрик Трейнор, доцент кафедры информатики Университета Флориды. «Розничные продавцы, с которыми мы работали, сказали нам, что они пошли к своим стойкам с подарочными картами и обнаружили тонны скретч-мусора на земле рядом со стойками».
На данный момент карты все еще бесполезны, потому что они еще не были активированы. Но вооружившись серийным номером карты и ПИН-кодом, воры могут просто отслеживать учетную запись подарочной карты на онлайн-портале продавца и ждать, пока карты не будут оплачены и активированы в кассе невольным покупателем.
После активации карты воры могут зашифровать данные этой карты на любую карту с магнитной полосой и использовать эту подделку для покупки товаров в магазине. Украденные товары обычно затем продаются в Интернете или на улице. Между тем, человек, купивший карту (или человек, получивший ее в подарок), обнаруживает, что на карте закончились средства, когда они в конечном итоге начинают использовать ее в розничном магазине.
На двух верхних подарочных картах есть признаки того, что кто-то ранее отклеил защитную наклейку с кодом погашения. Изображение: Флинт Гатрелл.
Трейнор и группа из пяти других исследователей из Университета Флориды в партнерстве с гигантом розничной торговли WalMart протестировали свою технологию, которую, по словам Трейнора, можно легко и довольно дешево включить в системы точек продаж в кассовых аппаратах розничных магазинов. Они сказали, что испытание WalMart продемонстрировало, что технология исследователей отличает законные подарочные карты от клонов с точностью до 99,3 процента.
Хотя этот показатель впечатляет, он все же означает, что технология может генерировать «ложные срабатывания» - ошибочно отмечать законного клиента как использующего подарочную карту, полученную обманным путем, в нетривиальном количестве случаев. Но Трейнор сказал, что все розничные торговцы, с которыми они разговаривали при тестировании своего оборудования, указали, что они будут приветствовать любые дополнительные инструменты для сдерживания случаев мошенничества с подарочными картами.
«Мы поговорили с несколькими специалистами по предотвращению убытков в розничной торговле», - сказал он. «Большинство сказали, что даже если они могут просто пометить транзакцию и отметить человека [предъявляющего клонированную карту], это будет для них победой. Часто достаточно обратить внимание кого-то на то, что система предотвращения убытков наблюдает за ними, чтобы заставить их остановиться - по крайней мере, в этом магазине. Судя по нашим обсуждениям с несколькими крупными розничными торговцами, этот вид мошенничества, вероятно, является их новейшей серьезной проблемой, хотя они и не говорят об этом публично. Если злоумышленник добивается большего, чем просто клонирование карты на пустую белую карту, он практически бессилен остановить атаку, и это довольно последовательная история за закрытыми дверями ».
ПОДАРОЧНЫЕ КАРТЫ
Трейнор сказал, что метод команды Университета Флориды работает еще точнее в обнаружении поддельных банкоматов и кредитных карт благодаря резкой разнице в джиттере между картами, выпущенными банком, и картами, клонированными ворами.
Магнитный материал на большинстве подарочных карт имеет качество, известное в отрасли как «низкая коэрцитивность». Полоса на так называемых «LoCo» картах обычно коричневого цвета, и новые данные могут быть отпечатаны на них довольно дешево с помощью устройства, которое излучает относительно слабое или слабое магнитное поле. Ключи от гостиничных номеров также имеют полосы LoCo, поэтому они так легко теряют свой заряд (особенно когда их кладут рядом с чем-то еще с магнитным зарядом).
Напротив, полосы «высокой коэрцитивности» (HiCo), подобные тем, которые встречаются на дебетовых и кредитных картах, выпущенных банком, обычно имеют черный цвет, удерживают заряд намного дольше и намного долговечнее, чем карты LoCo. Обратной стороной карт HiCo является то, что они более дорогие в производстве, часто полагаясь на сложное оборудование и сложные производственные процессы, которые кодируют данные учетной записи в очень единообразных шаблонах.
Эти графики иллюстрируют разницу между оригинальными и клонированными картами. Источник: Университет Флориды.
Трейнор сказал, что тесты показывают, что их технология может обнаруживать клонированные банковские карты практически без ложных срабатываний. Фактически, когда команда Университета Флориды впервые увидела положительные результаты своего метода, они первоначально предложили банкам метод сокращения убытков от скимминга банкоматов и других форм мошенничества с кредитными и дебетовыми картами.
Тем не менее, Трейнор сказал, что коллеги-академики, просмотревшие их черновик, сказали им, что банки, вероятно, не будут инвестировать в эту технологию, потому что большинство финансовых учреждений рассчитывают на новые, более сложные карты на основе чипов (EMV), чтобы в конечном итоге сократить потери от поддельного мошенничества.
«Первоначально статья была сосредоточена на кредитных картах, но у академических обозревателей возникли проблемы с прохождением EMV - например,« EMV решает эту проблему, и она повсеместно применяется - так зачем это нужно? », - сказал Трейнор. «Мы просто продолжали получать отзывы от других ученых, в которых говорилось, что мошенничество с кредитными и банковскими картами - это решенная проблема».
Проблема в том, что практически все чиповые карты по-прежнему хранят данные учетной записи в виде обычного текста на магнитной полосе на обратной стороне карты - в основном для того, чтобы карты можно было использовать в банкоматах и торговых точках, которые еще не оборудованы для чтения карт на основе чипов. . В результате даже европейские страны, в банкоматах которых требуются чиповые карты, остаются в большой степени нацелены на скиммеров, поскольку данные на магнитной полосе чип-карты все еще могут быть скопированы скиммером и использоваться ворами в Соединенных Штатах.
Исследователи из Университета Флориды недавно были представлены в статье Associated Press о технологии защиты от скимминга, которую они разработали и назвали «Skim Reaper». Устройство, которое можно дешево сделать с помощью 3D-принтера, вставляется в отверстие для приема карт банкомата и может обнаруживать наличие дополнительных устройств для считывания карт, которые воры-скиммеры могли установить на верхней части или внутри банкомата.
В статье AP процитировал детектив Департамента полиции Нью-Йорка по финансовым преступлениям, который сказал, что Skim Reaper замечательно справились с обнаружением скиммеров банкоматов. Но Трейнор сказал, что многие операторы и владельцы банкоматов просто не заинтересованы платить за модернизацию своих машин с помощью своих технологий - в значительной степени потому, что убытки от подделки карт банкоматов в основном берут на себя потребители и финансовые учреждения.
«Когда мы разговаривали с полицейскими в Нью-Йорке, мы обнаружили, что у владельцев винных погребов очень низкий стимул к обновлению банкоматов», - сказал Трейнор. «Почему они должны идти на эти расходы? Модернизация, необходимая для того, чтобы сделать эти машины [совместимыми с чип-картами], требует значительных затрат, и мотивация не всегда такова ».
Розничные торговцы также могут производить подарочные карты со встроенными чипами EMV, которые делают карты более дорогими и трудными для подделки. Но это, вероятно, увеличит стоимость производства на 2–3 доллара за карту, сказал Трейнор.
«Размещение чипа на карте резко увеличивает стоимость, поэтому к подарочной карте на 10 долларов может добавляться цена в 3 доллара», - сказал он. «И вы можете представить реакцию клиента, когда его попросят заплатить 13 долларов за подарочную карту с номинальной стоимостью 10 долларов».
Копия исследовательской работы Университета Флориды доступна здесь (PDF).
ФБР составило список рекомендаций по снижению вероятности стать жертвой мошенничества с подарочными картами. Во-первых, покупая в магазине, не забирайте карты прямо со стойки. Ищите те, которые запечатаны в упаковке или надежно хранятся за кассой. Также проверьте поцарапанную область на спине, чтобы найти какие-либо признаки вмешательства.
Вот еще несколько советов от ФБР:
- По возможности покупайте карты только онлайн прямо в магазине или ресторане.
- При покупке на вторичном веб-сайте рынка подарочных карт проверяйте отзывы и покупайте или продавайте только у надежных дилеров.
- Проверьте баланс подарочной карты до и после покупки карты, чтобы убедиться, что баланс на карте правильный.
- Продавец подарочной карты несет ответственность за обеспечение правильного баланса на подарочной карте, а не продавец, чье имя указано. Если вас обманули, некоторые продавцы в некоторых ситуациях заменят средства. Просите, но не ждите помощи.
- При продаже подарочной карты через онлайн-торговую площадку не сообщайте покупателю PIN-код карты до завершения транзакции.
- При покупке подарочных карт через Интернет остерегайтесь аукционных сайтов, продающих подарочные карты с большой скидкой или оптом.
Подарочная карта, приобретенная в розницу, с PIN-кодом без маски, спрятанным за бумажным конвертом. Такие PIN-коды могут быть легко скопированы злоумышленником, который ждет, пока карта будет куплена, чтобы украсть средства карты. Изображение: Университет Флориды.
Исследователи из Университета Флориды обнаружили, что данные учетной записи, закодированные на легальных картах, неизменно записываются с использованием автоматизированных средств контроля качества, которые, как правило, запечатлевают информацию в виде единообразных и последовательных шаблонов.
Клонированные карты, однако, обычно создаются вручную с помощью недорогих кодирующих машин, и в результате они имеют гораздо большую дисперсию или «дрожание» при размещении цифровых битов на полосе карты.
Подарочные карты могут быть чрезвычайно прибыльными и создавать бренд для розничных торговцев, но мошенничество с подарочными картами создает очень негативные впечатления от покупок для потребителей и создает дорогостоящую головоломку для розничных торговцев. По оценкам ФБР, хотя мошенничество с подарочными картами составляет небольшой процент от общего объема продаж и использования подарочных карт, каждый год продается подарочных карт на сумму около 130 миллиардов долларов.
Одна из наиболее распространенных форм мошенничества с подарочными картами заключается в том, что воры подделывают карты в магазине розничного продавца - до того, как карты будут приобретены законными покупателями. Используя портативное устройство для чтения карт, злоумышленники проведут по полосе, чтобы записать серийный номер карты и другие данные, необходимые для копирования карты.
Если на упаковке подарочной карты есть ПИН-код, воры записывают и его. Во многих случаях PIN-код скрыт из-за скретченной наклейки, но похитители подарочных карт могут легко стереть их, а затем заменить материал на идентичные или похожие наклейки, которые очень дешево продаются в рулоне онлайн.
«Они могут покупать большие рулоны этого в Интернете почти бесплатно», - сказал Патрик Трейнор, доцент кафедры информатики Университета Флориды. «Розничные продавцы, с которыми мы работали, сказали нам, что они пошли к своим стойкам с подарочными картами и обнаружили тонны скретч-мусора на земле рядом со стойками».
На данный момент карты все еще бесполезны, потому что они еще не были активированы. Но вооружившись серийным номером карты и ПИН-кодом, воры могут просто отслеживать учетную запись подарочной карты на онлайн-портале продавца и ждать, пока карты не будут оплачены и активированы в кассе невольным покупателем.
После активации карты воры могут зашифровать данные этой карты на любую карту с магнитной полосой и использовать эту подделку для покупки товаров в магазине. Украденные товары обычно затем продаются в Интернете или на улице. Между тем, человек, купивший карту (или человек, получивший ее в подарок), обнаруживает, что на карте закончились средства, когда они в конечном итоге начинают использовать ее в розничном магазине.
На двух верхних подарочных картах есть признаки того, что кто-то ранее отклеил защитную наклейку с кодом погашения. Изображение: Флинт Гатрелл.
Трейнор и группа из пяти других исследователей из Университета Флориды в партнерстве с гигантом розничной торговли WalMart протестировали свою технологию, которую, по словам Трейнора, можно легко и довольно дешево включить в системы точек продаж в кассовых аппаратах розничных магазинов. Они сказали, что испытание WalMart продемонстрировало, что технология исследователей отличает законные подарочные карты от клонов с точностью до 99,3 процента.
Хотя этот показатель впечатляет, он все же означает, что технология может генерировать «ложные срабатывания» - ошибочно отмечать законного клиента как использующего подарочную карту, полученную обманным путем, в нетривиальном количестве случаев. Но Трейнор сказал, что все розничные торговцы, с которыми они разговаривали при тестировании своего оборудования, указали, что они будут приветствовать любые дополнительные инструменты для сдерживания случаев мошенничества с подарочными картами.
«Мы поговорили с несколькими специалистами по предотвращению убытков в розничной торговле», - сказал он. «Большинство сказали, что даже если они могут просто пометить транзакцию и отметить человека [предъявляющего клонированную карту], это будет для них победой. Часто достаточно обратить внимание кого-то на то, что система предотвращения убытков наблюдает за ними, чтобы заставить их остановиться - по крайней мере, в этом магазине. Судя по нашим обсуждениям с несколькими крупными розничными торговцами, этот вид мошенничества, вероятно, является их новейшей серьезной проблемой, хотя они и не говорят об этом публично. Если злоумышленник добивается большего, чем просто клонирование карты на пустую белую карту, он практически бессилен остановить атаку, и это довольно последовательная история за закрытыми дверями ».
ПОДАРОЧНЫЕ КАРТЫ
Трейнор сказал, что метод команды Университета Флориды работает еще точнее в обнаружении поддельных банкоматов и кредитных карт благодаря резкой разнице в джиттере между картами, выпущенными банком, и картами, клонированными ворами.
Магнитный материал на большинстве подарочных карт имеет качество, известное в отрасли как «низкая коэрцитивность». Полоса на так называемых «LoCo» картах обычно коричневого цвета, и новые данные могут быть отпечатаны на них довольно дешево с помощью устройства, которое излучает относительно слабое или слабое магнитное поле. Ключи от гостиничных номеров также имеют полосы LoCo, поэтому они так легко теряют свой заряд (особенно когда их кладут рядом с чем-то еще с магнитным зарядом).
Напротив, полосы «высокой коэрцитивности» (HiCo), подобные тем, которые встречаются на дебетовых и кредитных картах, выпущенных банком, обычно имеют черный цвет, удерживают заряд намного дольше и намного долговечнее, чем карты LoCo. Обратной стороной карт HiCo является то, что они более дорогие в производстве, часто полагаясь на сложное оборудование и сложные производственные процессы, которые кодируют данные учетной записи в очень единообразных шаблонах.
Эти графики иллюстрируют разницу между оригинальными и клонированными картами. Источник: Университет Флориды.
Трейнор сказал, что тесты показывают, что их технология может обнаруживать клонированные банковские карты практически без ложных срабатываний. Фактически, когда команда Университета Флориды впервые увидела положительные результаты своего метода, они первоначально предложили банкам метод сокращения убытков от скимминга банкоматов и других форм мошенничества с кредитными и дебетовыми картами.
Тем не менее, Трейнор сказал, что коллеги-академики, просмотревшие их черновик, сказали им, что банки, вероятно, не будут инвестировать в эту технологию, потому что большинство финансовых учреждений рассчитывают на новые, более сложные карты на основе чипов (EMV), чтобы в конечном итоге сократить потери от поддельного мошенничества.
«Первоначально статья была сосредоточена на кредитных картах, но у академических обозревателей возникли проблемы с прохождением EMV - например,« EMV решает эту проблему, и она повсеместно применяется - так зачем это нужно? », - сказал Трейнор. «Мы просто продолжали получать отзывы от других ученых, в которых говорилось, что мошенничество с кредитными и банковскими картами - это решенная проблема».
Проблема в том, что практически все чиповые карты по-прежнему хранят данные учетной записи в виде обычного текста на магнитной полосе на обратной стороне карты - в основном для того, чтобы карты можно было использовать в банкоматах и торговых точках, которые еще не оборудованы для чтения карт на основе чипов. . В результате даже европейские страны, в банкоматах которых требуются чиповые карты, остаются в большой степени нацелены на скиммеров, поскольку данные на магнитной полосе чип-карты все еще могут быть скопированы скиммером и использоваться ворами в Соединенных Штатах.
Исследователи из Университета Флориды недавно были представлены в статье Associated Press о технологии защиты от скимминга, которую они разработали и назвали «Skim Reaper». Устройство, которое можно дешево сделать с помощью 3D-принтера, вставляется в отверстие для приема карт банкомата и может обнаруживать наличие дополнительных устройств для считывания карт, которые воры-скиммеры могли установить на верхней части или внутри банкомата.
В статье AP процитировал детектив Департамента полиции Нью-Йорка по финансовым преступлениям, который сказал, что Skim Reaper замечательно справились с обнаружением скиммеров банкоматов. Но Трейнор сказал, что многие операторы и владельцы банкоматов просто не заинтересованы платить за модернизацию своих машин с помощью своих технологий - в значительной степени потому, что убытки от подделки карт банкоматов в основном берут на себя потребители и финансовые учреждения.
«Когда мы разговаривали с полицейскими в Нью-Йорке, мы обнаружили, что у владельцев винных погребов очень низкий стимул к обновлению банкоматов», - сказал Трейнор. «Почему они должны идти на эти расходы? Модернизация, необходимая для того, чтобы сделать эти машины [совместимыми с чип-картами], требует значительных затрат, и мотивация не всегда такова ».
Розничные торговцы также могут производить подарочные карты со встроенными чипами EMV, которые делают карты более дорогими и трудными для подделки. Но это, вероятно, увеличит стоимость производства на 2–3 доллара за карту, сказал Трейнор.
«Размещение чипа на карте резко увеличивает стоимость, поэтому к подарочной карте на 10 долларов может добавляться цена в 3 доллара», - сказал он. «И вы можете представить реакцию клиента, когда его попросят заплатить 13 долларов за подарочную карту с номинальной стоимостью 10 долларов».
Копия исследовательской работы Университета Флориды доступна здесь (PDF).
ФБР составило список рекомендаций по снижению вероятности стать жертвой мошенничества с подарочными картами. Во-первых, покупая в магазине, не забирайте карты прямо со стойки. Ищите те, которые запечатаны в упаковке или надежно хранятся за кассой. Также проверьте поцарапанную область на спине, чтобы найти какие-либо признаки вмешательства.
Вот еще несколько советов от ФБР:
- По возможности покупайте карты только онлайн прямо в магазине или ресторане.
- При покупке на вторичном веб-сайте рынка подарочных карт проверяйте отзывы и покупайте или продавайте только у надежных дилеров.
- Проверьте баланс подарочной карты до и после покупки карты, чтобы убедиться, что баланс на карте правильный.
- Продавец подарочной карты несет ответственность за обеспечение правильного баланса на подарочной карте, а не продавец, чье имя указано. Если вас обманули, некоторые продавцы в некоторых ситуациях заменят средства. Просите, но не ждите помощи.
- При продаже подарочной карты через онлайн-торговую площадку не сообщайте покупателю PIN-код карты до завершения транзакции.
- При покупке подарочных карт через Интернет остерегайтесь аукционных сайтов, продающих подарочные карты с большой скидкой или оптом.
Detecting Cloned Cards at the ATM, Register – Krebs on Security
krebsonsecurity.com
