Выявлен новый способ кражи данных и денег с банковских карт — шимминг. Теперь вместо использовавшихся ранее громоздких накладок на щель приёмника пластиковых карт банкоматов (скиммеров) мошенники применяют гибкую плату, внедряющуюся через эту щель внутрь банкомата. Об этом сообщил специалист Cisco Systems Джейми Хири в блоге Cisco Security Expert со ссылкой на компанию-производителя бакноматов Diebold.
Механизм внедрения «шима» следующий: в кард-ридер вставляется карта-носитель, с которой тонкий «шим» подсоединяется к контактам, считывающим данные с карт, после чего карта-носитель удаляется. Далее с настоящих карт считываются данные, которые записываются на «шим». Данные используются для изготовления карт-дубликатов, с которых мошенники могут снимать средства.
Главное отличие нового способа от прежнего, скимминга, состоит в том, что «шим» невидим пользователю банкомата. Толщина «шима» не должна превышать 0,1 мм, а сам он должен быть достаточно гибким, чтобы его можно было внедрить в банкомат.
Как можно понять из этого описания, подобные приборы сложны в изготовлении, однако Джейми Хири располагает данными о том, что по крайней мере одна преступная группировка уже наладила производство «шимов». По словам Хири, новый способ мошенничества уже внедрен в некоторых странах Европы.
«Однако о случаях ее применения в России нам пока ничего не известно, — сообщил системный инженер компании Diebold в России и СНГ Иван Стригин. — Для борьбы со всеми известными способами скимминговых атак на банкоматы (и в том числе с шиммингом) у нас уже есть портфель антискимминговых решений и сервис удаленного мониторинга Diebold ATM Security Protection Suite. В портфель входит специальное устройство, создающее электромагнитное поле вокруг банкомата и мешающее скиммеру или шиммеру считывать информацию с магнитной полосы банковской карты в картридерах, так что данные владельца карты оказываются надежно защищены».
Таким образом, шимминг в России пока не пришел на замену скиммингу — использованию устройств, устанавливаемых на картридер в банкомате с последующей подделкой карты. «Злоумышленники любят использовать и механические устройства. Например, преступники устанавливают в картридер крючки и щупы, карточки застревают в банкомате, и становится возможной их кража. Этот вид мошенничества называется фишингом», — отметил представитель Diebold.
В России применяются и другие способы банкоматного мошенничества. Например, для кражи PIN-кодов и персональной информации клиентов преступники устанавливают миниатюрные видео-камеры рядом с банкоматами. «Кроме того, преступники могут перехватывать PIN-коды, когда они пересылаются с клавиатуры во внутренний компьютер. Для этих целей используются проводные отводы в банкоматах или осуществляется удаленная запись электромагнитного излучения электропроводки банкомата, — говорит Иван Стригин. — Распространены и различные способы захвата и извлечения банкнот из презентера банкомата».
Большего умения требует другой способ — манипуляции с операционной системой банкоматов. Чтобы совершить кражу денег и получить информацию о счетах мошенникам нужно вторгнуться в компьютерную сеть банкоматов. «Кроме того, хакеры создают небольшие программы, называемые вирусами и червями, которые самостоятельно распространяются через Интернет и могут нанести серьезный ущерб компьютеру внутри банкомата», — перечисляет эксперт.
Хотя в России не ведется статистика по мошенническим атакам на банкоматы, однако можно с уверенностью сказать, что в РФ фактов «карточного» мошенничества не очень много по сравнению с их общей численностью в мире, как сообщил начальник управления администрирования и поддержки карточной системы департамента карточных программ «Москоммерцбанка» Алексей Друкер. «Большая часть мошеннических операций по картам, выпущенным в России, проходит за рубежом, — говорит эксперт. — Другими словами, кража информации большей частью тоже происходит именно за рубежом. Например, когда человек в отпуске расплатился в кафе или гостинице, и информацию украли».
Александр Вишняков, директор Департамента карточного бизнеса и дистанционного обслуживания банка Unicredit, заявил: «У меня есть большие сомнения, что эта технология получит массовое распространение в нашей стране. Судя по описанию, это технически довольно сложно осуществимо, и, соответственно, довольно дорого. Для мошенников гораздо проще делать скимминговые устройства более незаметными».
Если против скимминга можно дать некоторые традиционные советы, как-то : не сообщать никому PIN-код, подключить SMS-оповещение о состоянии счета, использовать банкомат, находящийся под видеонаблюдением и в людном месте, обращать внимание на его внешний вид, а также не оставлять квитанцию в банкомате, — то от шимминга простой пользователь себя обезопасить не сможет. «В случае шимминга никаких внешних устройств увидеть не удастся», — говорит Алексей Друкер из Москоммерцбанка.
«Главная рекомендация — обзаводиться чиповыми картами, которые защищены от такого типа мошенничества. Это в данном случае самый надежный способ, и не случайно наш банк в этом году переходит на чиповые карты», — заявил Александр Вишняков из Unicredit. «Это, конечно, не сможет предотвратить считывание магнитной полосы карты и последующее ее копирование, но поможет клиенту впоследствии вернуть свои деньги, — добавляет эксперт Москоммерцбанка. — Дело в том, что скопировать информацию с чипа невозможно, по крайней мере, на данный момент таких фактов зафиксировано не было. При использовании такой карты клиент банкомат обязан производить авторизацию по данным чипа, а не магнитной полосы, а в случае невозможности авторизации по чипу создавать транзакцию типа Fallback». Это значит, что практически в 100% случаев мошеннических транзакций ответственность ляжет на банк-эквайер, которому принадлежит банкомат. Иными словами, у клиента будет намного больше шансов опротестовать подобную операцию, заключил Друкер. К тому же, мошенники предпочитают не связываться с подделкой таких карт, так как это слишком сложно и дорого, отмечает вице-президент банка «Интеркоммерц» Денис Хренов.
«Честно говоря, несмотря на стремление максимально защитить клиента, его карту и внедрение новых технологических решений, уровень мошенничества не снижается, — заявил вице-президент Первого республиканского банка Дмитрий Орлов. — В качестве основной рекомендации, наверное, стоит посоветовать клиентам чаще использовать карту как платежный инструмент, а не как средство для получения наличных».
Источник: медиапортал «Мир безопасности»
Механизм внедрения «шима» следующий: в кард-ридер вставляется карта-носитель, с которой тонкий «шим» подсоединяется к контактам, считывающим данные с карт, после чего карта-носитель удаляется. Далее с настоящих карт считываются данные, которые записываются на «шим». Данные используются для изготовления карт-дубликатов, с которых мошенники могут снимать средства.
Главное отличие нового способа от прежнего, скимминга, состоит в том, что «шим» невидим пользователю банкомата. Толщина «шима» не должна превышать 0,1 мм, а сам он должен быть достаточно гибким, чтобы его можно было внедрить в банкомат.
Как можно понять из этого описания, подобные приборы сложны в изготовлении, однако Джейми Хири располагает данными о том, что по крайней мере одна преступная группировка уже наладила производство «шимов». По словам Хири, новый способ мошенничества уже внедрен в некоторых странах Европы.
«Однако о случаях ее применения в России нам пока ничего не известно, — сообщил системный инженер компании Diebold в России и СНГ Иван Стригин. — Для борьбы со всеми известными способами скимминговых атак на банкоматы (и в том числе с шиммингом) у нас уже есть портфель антискимминговых решений и сервис удаленного мониторинга Diebold ATM Security Protection Suite. В портфель входит специальное устройство, создающее электромагнитное поле вокруг банкомата и мешающее скиммеру или шиммеру считывать информацию с магнитной полосы банковской карты в картридерах, так что данные владельца карты оказываются надежно защищены».
Таким образом, шимминг в России пока не пришел на замену скиммингу — использованию устройств, устанавливаемых на картридер в банкомате с последующей подделкой карты. «Злоумышленники любят использовать и механические устройства. Например, преступники устанавливают в картридер крючки и щупы, карточки застревают в банкомате, и становится возможной их кража. Этот вид мошенничества называется фишингом», — отметил представитель Diebold.
В России применяются и другие способы банкоматного мошенничества. Например, для кражи PIN-кодов и персональной информации клиентов преступники устанавливают миниатюрные видео-камеры рядом с банкоматами. «Кроме того, преступники могут перехватывать PIN-коды, когда они пересылаются с клавиатуры во внутренний компьютер. Для этих целей используются проводные отводы в банкоматах или осуществляется удаленная запись электромагнитного излучения электропроводки банкомата, — говорит Иван Стригин. — Распространены и различные способы захвата и извлечения банкнот из презентера банкомата».
Большего умения требует другой способ — манипуляции с операционной системой банкоматов. Чтобы совершить кражу денег и получить информацию о счетах мошенникам нужно вторгнуться в компьютерную сеть банкоматов. «Кроме того, хакеры создают небольшие программы, называемые вирусами и червями, которые самостоятельно распространяются через Интернет и могут нанести серьезный ущерб компьютеру внутри банкомата», — перечисляет эксперт.
Хотя в России не ведется статистика по мошенническим атакам на банкоматы, однако можно с уверенностью сказать, что в РФ фактов «карточного» мошенничества не очень много по сравнению с их общей численностью в мире, как сообщил начальник управления администрирования и поддержки карточной системы департамента карточных программ «Москоммерцбанка» Алексей Друкер. «Большая часть мошеннических операций по картам, выпущенным в России, проходит за рубежом, — говорит эксперт. — Другими словами, кража информации большей частью тоже происходит именно за рубежом. Например, когда человек в отпуске расплатился в кафе или гостинице, и информацию украли».
Александр Вишняков, директор Департамента карточного бизнеса и дистанционного обслуживания банка Unicredit, заявил: «У меня есть большие сомнения, что эта технология получит массовое распространение в нашей стране. Судя по описанию, это технически довольно сложно осуществимо, и, соответственно, довольно дорого. Для мошенников гораздо проще делать скимминговые устройства более незаметными».
Если против скимминга можно дать некоторые традиционные советы, как-то : не сообщать никому PIN-код, подключить SMS-оповещение о состоянии счета, использовать банкомат, находящийся под видеонаблюдением и в людном месте, обращать внимание на его внешний вид, а также не оставлять квитанцию в банкомате, — то от шимминга простой пользователь себя обезопасить не сможет. «В случае шимминга никаких внешних устройств увидеть не удастся», — говорит Алексей Друкер из Москоммерцбанка.
«Главная рекомендация — обзаводиться чиповыми картами, которые защищены от такого типа мошенничества. Это в данном случае самый надежный способ, и не случайно наш банк в этом году переходит на чиповые карты», — заявил Александр Вишняков из Unicredit. «Это, конечно, не сможет предотвратить считывание магнитной полосы карты и последующее ее копирование, но поможет клиенту впоследствии вернуть свои деньги, — добавляет эксперт Москоммерцбанка. — Дело в том, что скопировать информацию с чипа невозможно, по крайней мере, на данный момент таких фактов зафиксировано не было. При использовании такой карты клиент банкомат обязан производить авторизацию по данным чипа, а не магнитной полосы, а в случае невозможности авторизации по чипу создавать транзакцию типа Fallback». Это значит, что практически в 100% случаев мошеннических транзакций ответственность ляжет на банк-эквайер, которому принадлежит банкомат. Иными словами, у клиента будет намного больше шансов опротестовать подобную операцию, заключил Друкер. К тому же, мошенники предпочитают не связываться с подделкой таких карт, так как это слишком сложно и дорого, отмечает вице-президент банка «Интеркоммерц» Денис Хренов.
«Честно говоря, несмотря на стремление максимально защитить клиента, его карту и внедрение новых технологических решений, уровень мошенничества не снижается, — заявил вице-президент Первого республиканского банка Дмитрий Орлов. — В качестве основной рекомендации, наверное, стоит посоветовать клиентам чаще использовать карту как платежный инструмент, а не как средство для получения наличных».
Источник: медиапортал «Мир безопасности»
