Считать и украсть: как работает скимминг банковских карт

Фото: Shutterstock
Фото: Shutterstock
РБК Тренды объясняют, что такое скимминг банковских карт и как от него защититься

Скимминг (от английского «to skim» — бегло прочитывать, скользить) — вид мошенничества с банковскими картами, который представляет собой считывание информации с их магнитной полосы с помощью специального технического устройства или скиммера. Мошенники также пытаются узнать пин-код жертвы. Получив данные карты, ее можно скопировать и вывести все деньги. РБК Тренды разбирались, как работает эта технология и какие меры нужно принимать, чтобы защитить себя от данного вида мошенничества.

Для считывания данных применяют скиммеры — специальные устройства, которые крепятся непосредственно к банкомату, а также к любому принимающему слоту картоприемника. Мошенники могут устанавливать переносные считыватели магнитной полосы в гостиницах, кафе и ресторанах, в магазинах.

Скимминговое устройство обычно включает в себя считывающую магнитную головку, преобразователь, который переводит информацию в цифровой код, а также накопитель, записывающий цифровой код на носитель данных.

Устройство для скимминга на ирландском банкомате
Устройство для скимминга на ирландском банкомате (Фото: Visa)

Скиммеры, как правило, изготовлены в виде специальной накладки на кардридер и питаются от миниатюрных батареек.

Скиммеры бывают двух видов. Одни накапливают информацию о разных пользователях, а другие сразу передают данные о картах мошенникам при помощи радиоканала или через встроенную сим-карту по сетям сотовой связи.

За последний год самые крупные эпизоды скимминга были зафиксированы в США. В январе 2021 года в Нью-Джерси была раскрыта крупная афера со скиммингом. Атаки затронули свыше 1 000 клиентов банка, при этом преступники пытались похитить более $1,5 млн.

В апреле 2021 года двое мужчин были приговорены к 75 месяцам тюремного заключения за скимминг, в результате которого финансовые учреждения, расположенные в штатах Мичиган, Небраска и Айова, понесли убытки в размере $587 тыс.

В «Лаборатории Касперского» сообщают, что количество скимминговых атак сокращается. Согласно информации Европейской ассоциации безопасных транзакций (EAST) число таких инцидентов снизилось с 1 496 в апреле 2020 года до 321 в октябре того же года.

Статистика скимминга
Статистика скимминга (Фото: EAST)

На активность мошенников повлияла пандемия, отмечают эксперты.

Виды скимминга

Скимминг делится на два типа: с использованием карты или ее дубликата и без.

Физический скимминг применяется в банкоматах и платежных терминалах. Платежный скимминг становится возможным тогда, когда продавец, официант или любой другой человек просит у покупателя или клиента карту. В этот момент он проводит ее через считывающее устройство, которое находится рядом с платежным терминалом и вне зоны видимости.

Онлайн-скимминг работает с использованием вредоносного программного обеспечения. Банкоматы при операциях с картами могут осуществлять передачу данных магнитной полосы в открытом виде. Если сетевое соединение между банкоматом и процессингом не защищено шифрованием, то мошенники могут «прослушивать» трафик через специальные накладки. Они также могут воспользоваться социальной инженерией, чтобы проникнуть на компьютеры сотрудников банков и получить информацию об операциях банкоматов. Наконец, злоумышленники внедряют код JavaScript на серверы интернет-магазинов, где хранятся данные держателей карт. Если при совершении покупок отсутствует двухфакторная аутентификация по SMS, то мошенникам достаточно знать CVV-код карты.

Наиболее продвинутым видом онлайн-скимминга является практика микротранзакций. Организация может попросить владельца карты совершить пробный платеж для подтверждения бронирования, чтобы проверить карту. При этом держатель карты вводит на сайте (который может быть двойником популярного сервиса) данные своего пластика, в том числе и CVV-код.

Фото:Leon Neal / Getty Images
Индустрия 4.0 Как защититься от кибермошенников — шесть основных схем обмана

Устройства для скимминга

При скимминге используются различные считыватели данных карт. Все зависит от типа банкомата или картридера.

Считыватель магнитной ленты. Он состоит из небольшой интегральной схемы, питаемой от батареек. Обычно считыватель заключен в пластиковый или металлический корпус, который имитирует и надевается на реальный картридер целевого банкомата или другого устройства. Этот компонент позволяет злоумышленникам получить информацию, закодированной на магнитной полосе карты, не блокируя реальную транзакцию.

Считыватель магнитной ленты
Считыватель магнитной ленты (Фото: Visa)

Скрытая видеокамера. Устанавливается на банкомате или поблизости, часто ее маскируют под рекламные материалы. Позволяет считать пин-код пользователя при вводе.

Миникамера на банкомате
Миникамера на банкомате (Фото: ПриватБанк)

Накладная клавиатура. Служит той же цели, что и видеокамера. Представляет собой накладку на реальную клавиатуру банкомата и записывает пин-код при вводе.

Накладка в виде клавиатуры
Накладка в виде клавиатуры (Фото: ПриватБанк)

По мере того как многие страны перешли на карты с чипом, преступники тоже адаптировались, и начали появляться более сложные варианты скиммеров. Некоторые скимминговые устройства достаточно тонкие, чтобы их можно было вставить в слот для чтения карт.

Скиммеры также могут быть полностью помещены внутри банкоматов, как правило, коррумпированными специалистами, либо путем сверления или вырезания отверстий в крышке банкомата.

Вскрытие банкомата для встраивания скиммера
Вскрытие банкомата для встраивания скиммера (Фото: Visa)

Наибольшую опасность для пользователя представляют собой незнакомые и уличные банкоматы, особенно те, которые располагаются в неосвещенных зонах — на них проще установить считывающие устройства. Лучше использовать банкоматы, где установлены накладки антискимминга или джиттеры. Картоприемник с джиттером заставляет карту слегка вибрировать, что не позволяет мошенникам корректно записать информацию.

Активный антискиммер StopSkimmer
Активный антискиммер StopSkimmer (Фото: PBF Group)

Самыми безопасными являются банкоматы, расположенные непосредственно в отделениях банков. Такие устройства регулярно проверяет служба безопасности.

Что происходит с данными

Магнитная полоса карты хранит такую информацию как номер пластика, дату окончания действия карты, имя владельца, сервисный код (чтобы банкомат/терминал понимал, какие функции есть у карты) и код верификации (аналогичный CVV). Располагая этой информацией, мошенник изготавливает дубликат пластика и получает доступ к карточному счету. При этом он может снять деньги в любой точке мира до того момента, пока владелец счета не обратится в свой банк для блокировки карты. При отсутствии двухфакторной аутентификации преступники могут еще и совершать покупки в интернет-магазинах.

Фото:Shutterstock
Индустрия 4.0 Двухфакторная аутентификация: в Google, Telegram, ВК и «Яндексе»

Главной опасностью скимминга является несовершенство законодательной базы по защите средств, похищенных из-за утечки информации. Владельцу карты будет сложно доказать в суде, что он на самом деле не снимал деньги со счета.

Банки начали выпускать чип-карты, что повысило безопасность потребителей. Исследователь безопасности Брайан Кребс объясняет: «Хотя данные, которые обычно хранятся на магнитной полосе карты, копируются и на картах с чипом, но этот чип содержит дополнительные компоненты безопасности, которых нет на магнитной полосе». Это означает, что воры не могут дублировать чип EMV, но способны использовать данные для клонирования магнитной полосы или для других типов мошенничества.

В «Лаборатории Касперского» подтверждают, что чип-карты можно взломать только в особых условиях и при наличии дорогостоящего оборудования.

Тем не менее, мошенники тоже приспособились к новым условиям и начали использовать устройства, которые устанавливаются внутрь считывателей карт банкоматов. Такой вид мошенничества называют «шиммингом». «Шим» представляет собой тонкую гибкую плату, которая выполняет те же функции, что и скиммер.

Шиммер
Шиммер (Фото: Coquitlam RCMP)

Как не стать жертвой скимминга

Чтобы не лишиться денег, необходимо придерживаться нескольких простых правил:

  1. Использовать те терминалы и банкоматы, которые расположены непосредственно в отделениях банка или других охраняемых учреждениях. Лучше искать банкоматы с антискиммерами. Не пользоваться незнакомыми банкоматами.
  2. Прежде чем вставить в банкомат карту, осмотреть его.
  3. Никому не сообщать свой пин-код, а при его вводе прикрывать клавиатуру ладонью.
  4. Не давать свою карту чужим людям; не хранить ее данные на общедоступных устройствах (например, на офисных ПК); не озвучивать эти данные по телефону, если звонит «сотрудник банка».
  5. При пропаже карты немедленно звонить в банк для ее блокировки; регулярно проверять данные платежей в банковских приложениях.
  6. Подключить услугу смс-информирования об операциях по карте.
  7. Оформлять карты только с чипом.
  8. Установить лимит выдачи средств в сутки и за одну операцию.
  9. За рубежом снимать деньги только в банковских отделениях.
  10. По возможности использовать NFC на смартфоне, подключив Apple Pay, Samsung Pay или Android Pay.

В качестве дополнительной опции безопасности можно также установить одно из приложений «Сканер скиммера», которые проверяют передачу по Bluetooth для обнаружения таких устройств.

Обновлено 31.08.2021
Главная Лента Подписаться Поделиться
Закрыть