Скімер – апаратний пристрій для крадіжки інформації, що зберігається на платіжних картах, коли покупець здійснює транзакцію в банкоматі або в платіжному терміналі. Однак нещодавно значення цього терміна було розширено, і під скімером став матися на увазі будь-який шкідливий додаток або код, спрямований на крадіжку інформації платіжної картки, в тому числі під час покупок в інтернет-магазинах.
Незалежно від типу скімера (апаратного або програмного) зловмисники переслідують схожі цілі, а конкретно – обман покупця, коли отримана інформація використовується для клонування фізичних платіжних карт або здійснення підроблених транзакцій в Інтернеті.
Як працюють скімінгові пристрої?
Фізичні скімери проектуються під певні моделі банкоматів, каси самообслуговування і інші платіжні термінали.
У кожному скімері завжди присутній компонент для зчитування карт, що складається з невеликої мікросхеми, яка живиться від батареї. Зазвичай скімер знаходиться всередині пластикової чи металевої оболонки, що імітує справжній кард-рідер цільового банкомату або іншого пристрою. Цей компонент дозволяє шахраєві скопіювати інформацію, закодовану на магнітній смузі карти, без блокування реальної транзакції, яку здійснює користувач.
Другий компонент скімера – невелика камера, прикріплена до банкомату або підроблена клавіатура для введення пін-коду, що знаходиться поверх справжньою клавіатури. Як неважко здогадатися, мета цього компонента – крадіжка пін-коду, який разом з даними, збереженими на магнітній смузі, використовується для клонування карти і виконання неправомірних транзакцій в країнах, де подібного роду злочину широко поширені.
Однак оскільки стали використовуватися картки з чипами, зловмисники також адаптували свої технології і стали виготовляти більш складні скімери. Деякі скімінгові пристрої настільки тонкі, що можуть вставлятися усередину слота карт-рідера. Ці пристрої називаються deep insert скімери чи скімери глибокого проникнення. Пристрої, які називаються “Шимери” вставляються в слот кард-рідера і спроектовані для зчитування даних з чипів на картах. Однак слід зазначити, що ця технологія може бути застосована тільки там, де некоректно реалізований стандарт EMV (Europay+MasterCard+VISA).
Скімери також можуть встановлюватися повністю всередині банкоматів, як правило, технічними фахівцями або за допомогою свердління або різання дірок в оболонці банкомату і заклеювання цих отворів стікерами, що виглядають як частина загальної конструкції. У звіті компанії Visa наведені зображення різних типів фізичних скімерів, знайдених в банкоматах по всьому світу, а також модифіковані касові термінали, що продаються на чорному ринку, які також можуть використовуватися для крадіжки інформації з карти.
Як захиститися від скімерів?
Внаслідок великої різноманітності скімінгових пристроїв універсального способу, як не стати жертвою зловмисників, не існує.
Але є низка рекомендацій:
- Уникайте банкоматів, встановлених поза будівлями або розташованих в місцях з поганим освітленням.
Для встановлення скімерів зловмисники вибирають банкомати в малолюдних місцях, що знаходяться поза банками або магазинами. Крім того, як правило, скімери встановлюються у вихідні, коли навколо найменше цікавих очей. Тому намагайтеся знімати готівку в вихідні тільки в разі крайньої необхідності.
- Перед вставкою карти поворушіть або потягніть кард-рідер і клавіатуру для набору пін-коду і переконайтеся, що ці компоненти не від’єднуються і не рухаються.
Як правило, зловмисники використовують низькоякісний клей для прикріплення скиммера, оскільки згодом цей пристрій потрібно буде вилучити.
На відео показано, як професіонал у сфері кібербезпеки виявляє скімер, прикріплений до банкомату на одній з вулиць у Відні.
Звертайте увагу на дивні ознаки: отвори, шматки пластику або металу, які виглядають підозріло, компоненти, колір яких не збігається з іншою частиною банкомату і стікери, наклеєні нерівно. Якщо в банкоматі присутні пломби для службових замків, перевірте, чи немає в цих місцях пошкоджень.
- Під час набору пін-коду закривайте клавіатуру руками, щоб набрані цифри не змогли потрапити на відео шкідливої камери.
Цей метод не допоможе в разі накладної клавіатури, але в цілому скоротить ймовірність крадіжки пін-коду.
Якщо на Вашій карті є чип, завжди використовуйте кард-рідери терміналів з підтримкою чипів, замість “проведення” магнітної смуги.
- Відстежуйте рахунку на предмет неправомірних транзакцій.
Якщо у вашій карті передбачені повідомлення через додаток або СМС після кожної транзакції, користуйтеся цими функціями.
- Якщо дозволяє функціонал, встановіть ліміт зняття готівки під час однієї транзакції або протягом однієї доби.
Використовуйте дебетову карту, прикріплену до рахунку, де знаходиться невелика кількість грошових коштів, і поповнюйте цей рахунок у міру необхідності, замість використання карти, прикріпленої до основного рахунку, де знаходяться всі Ваші гроші.
Програмні скімери
Програмні скімери націлені на програмні компоненти платіжних систем і платформ, будь то операційна система платіжного терміналу або сторінка оплати інтернет-магазину. Будь-який додаток, який обробляє незашифровану інформацію про платіжну картку, може стати шкідливим, заточеним під скімінг.
Шкідливі платіжні термінали, використовувалися для здійснення найбільших крадіжок даних про кредитні картки, включаючи злами в 2013 і 2014 роках компаній Target і Home Depot. В результати були скомпрометовані десятки мільйонів карт.
У POS терміналів є спеціальні периферійні пристрої, наприклад, для зчитування карт, але в іншому відмінностей від звичайних комп’ютерів практично немає. У багатьох випадках термінали працюють на базі Windows у зв’язці з касовим додатком, який фіксує всі транзакції.
Хакери отримують доступ до подібних систем, використовуючи вкрадені облікові записи або експлуатуючи уразливості, а потім встановлюють шкідливі програми для сканування пам’яті на предмет патернів, які збігаються з інформацією про платіжні картки. Звідси і назва цих шкідників “RAM scraping”. Інформація про карту (за винятком пін-коду) зазвичай не шифрується під час локальної передачі від кард-рідера в додаток. Відповідно, не складає особливих труднощів скопіювати ці дані з пам’яті.
Веб-скімери
В останні роки виробники платіжних терміналів стали впроваджувати шифрування P2PE для посилення безпеки з’єднання між кард-ридером і платіжним процесором, внаслідок чого багато зловмисників звернули увагу на іншу слабку ланка: схему оплати в інтернет-магазинах і на інших сайтах, пов’язаних з електронною комерцією.
У нових сценаріях атак, пов’язаних із веб-скімінгом, використовуються ін’єкції шкідливого JavaScript-коду в сторінки інтернет-магазинів з метою перехоплення інформації про карту, коли користувач робить оплату. Як і у випадку з POS терміналами, незахищені дані перехоплюється під час транзакції перед відсиланням платіжному процесору через зашифрований канал або перед шифруванням і додаванням в базу даних сайту.
Веб-скімінгу вже піддалися сотні тисяч сайтів, в тому числі широко відомі бренди: British Airways, Macy’s, NewEgg і Ticketmaster.
Як захиститися від програмних скімерів?
Ви, як користувач, навряд чи зможете щось зробити, щоб запобігти компрометації подібного роду, оскільки у вас немає контролю над додатком в платіжному терміналі або кодом на сторінках інтернет-магазину. Тут відповідальність за безпеку покупок повністю лежить на продавцях і розробниках технології, використовуваної на сайті, створеному з метою електронної комерції. Однак Ви, як покупець, можете вжити додаткових заходів для зниження ризику крадіжки карт або зниження впливу наслідків, якщо компрометація відбудеться:
Відстежуйте виписки своїх рахунків і ввімкніть повідомлення кожної транзакції, якщо дозволяє функціонал. Чим швидше Ви виявите сторонні транзакції і поміняєте карту, тим краще.
Якщо можливо, використовуйте зовнішню авторизацію (out – of – band authorization) під час онлайн-транзакцій. Остання редакція директиви платіжних сервісів (PSD2) в Європі ставить за обов’язок банкам супроводжувати онлайн-транзакції разом із двофакторною аутентифікацією через мобільні додатки, а також інші методи. Термін скарги за новими правилами розширився, але багато європейських банків вже впровадили цей механізм безпеки. Цілком ймовірно фінансові інститути в США та інших країнах також впровадять авторизацію зовнішньої транзакції в майбутньому або, як мінімум, будуть пропонувати цю функцію в якості додаткової опції.
Під час онлайн-шопінгу використовуйте номери віртуальних карт, якщо таку можливість надає банк, або платіть з мобільного телефону. Сервіси Google Pay і Apple Pay використовують токенізацію. При використанні цієї технології відбувається заміна справжнього номера карти на тимчасовій номер. В цьому випадку витоку номера Вашої картки не відбудеться.
Намагайтеся оплачувати покупки за допомогою альтернативних платіжних систем, як, наприклад, PayPal , коли не потрібно вводити інформацію про карту на сторінці замовлення сайту, де Ви робите покупки. Ви також можете здійснювати покупки на сайтах, де перед введенням інформації про карту відбувається перенаправлення на сторонній платіжний процесор, замість обробки цих даних самим магазином.
Оскільки під час веб-скімінгу використовується шкідливий JavaScript-код, програми безпеки кінцевих вузлів, інспектуючих веб-трафік усередині браузера, технічно можуть виявити подібні атаки. Однак веб-шкідники часто піддаються обфускаціі і зловмисники безперервно вносять зміни в свої розробки. Хоча антивірус з останніми оновленнями може допомогти, але не в змозі детектувати всі атаки, пов’язані з веб-скімінгом.
Хоча деякі великі компанії і бренди стають жертвами веб-скіммінгу, за статистикою частіше компрометації піддаються невеликі онлайн-магазини через відсутність коштів на дорогі рішення в сфері безпеки на стороні сервера і аудити коду. З точки зору покупця під час покупок у великих магазинах ризик компрометації нижче.