Скимминг – один из наиболее популярных способов мошенничества с кредитными картами и воровства персональных данных. По данным ФБР только в Соединенных Штатах скимминг обходится честным держателям платежных карт в $8,5 млрд. Но если раньше суть мошенничества сосредотачивалась вокруг банкоматов, то теперь хакеры приняли на вооружение бесконтактные способы воровства — дистанционные, негласные и неотвратимые.
Старая добрая накладка на банкомат
Много ли пользователей знают, как должен выглядеть «нормальный» банкомат? Если вы увидите, что банкомат, которым вы часто пользуетесь, поменялся или как-то внешне изменился, придадите ли вы этому серьезное значение? Этим и пользуются мошенники, эксплуатирующие один из самых старых и популярных способов выуживания данных о платежных картах. Считывающая накладка выглядит как «родная» часть банкомата, позволяет получить наличность, отдает карточку владельцу, но параллельно копирует её и отправляет копию данных «хозяевам».
Считыватель под одеждой официанта
Вы передаете свою платежную карточку официанту в ресторане для оплаты счета. На пути к «официальному» POS-терминалу ресторана официант-мошенник проводит вашей карточкой сквозь портативный надеваемый считыватель. Затем он проводит официальную оплату счета и выдает вам чек из POS-терминала, усыпляя тем самым вашу бдительность. Но к тому моменту, когда вы будете выходить из ресторана, цифровой дубликат вашей карточки уже будет загружен в подпольный «процессинговый центр», где у хакеров есть обширный выбор дальнейших действий. К примеру, можно отпечатать дубликат «пластика», неотличимый от настоящего, перепродать ваши личные данные или потратить средства на всевозможные онлайн-платежи, отследить которые крайне затруднительно.
Ваши данные крадет смартфон
Иногда технологии проявляют свою темную сторону — облегчая жизнь не только пользователям, но и хакерам. Особенно если новая технология достаточно «сыра», и её безопасность еще не отработана должным образом. Тут можно вспомнить ранние модели «умных чехлов» для смартфонов со считывателем платежных карт под управлением javascript. К примеру, у курьера службы доставки на смартфоне к которому подключен официальный считыватель карт, также установлена специальная прошивка и «правильные» приложения, создающее несанкционированную копию данных карточки в момент официальной оплаты. Если злоумышленники настроили все корректно, «правильное» приложение мгновенно отправляет цифровой слепок карты на хакерский сервер, а дальше — как в сценарии с официантом.
Подумай дважды перед тем, как нажать дважды
Есть и менее мудреные способы. К примеру, тот же курьер-злоумышленник с мобильным POS-терминалом и более простым приложением. За первый проход карточки информация успешно считывается и сохраняется, но на экран терминала выдается отвлекающее сообщение в духе «ошибка чтения карты» или «ошибка связи с банком». Покупатель в большинстве случаев сам попросит попробовать еще раз. И — о, чудо — второй раз платеж проходит, через официальный процессинг, с выдачей чека. Но информация с карточки к тому времени уже в руках мошенников. Курьер уходит с дежурной улыбкой на устах, а покупатель даже не догадывается о том, что в действительности произошло.
Бесконтактный грабеж
Наиболее новый и изощренный способ основан на использовании телефона с возможностями NFC и особого приложения, имитирующего платежный терминал. Суть действия способа очень наглядно продемонстрировали канадские журналисты из CBC. Особая угроза этого способа мошенничества заключается в том, что жертва практически беззащитна. Если в предыдущих способах в ходе расследования жертва может показать следователю о том, что в такое-то время приходил курьер с POS-терминалом, который не сработал с первого раза, то в данном случае локализовать мошеннические действия практически нереально.
Мы обратились в компанию Visa с просьбой пояснить механизм такого мошенничества и порекомендовать способы защиты от него, но комментария так и не дождались.
Как уберечься:
- Перед тем как воспользоваться карточкой в незнакомом месте осмотритесь вокруг и убедитесь что никто не «дышит вам в затылок» а вы сами не являетесь объектом пристального внимания со стороны посторонних.
- Никогда не позволяйте, чтобы карточкой проводили через POS-терминал вне вашего поля зрения. Не отдавайте карточку для оплаты официанту. Требуйте, чтобы терминал принесли к вам, или сами сходите к нему.
- Во время ввода PIN-кода прикрывайте клавиатуру ладонью — этот, казалось бы, примитивный способ убережет вас от шпионских камер.
- Подумайте о приобретении экранированного чехла для платежный карт, который предотвращает любое бесконтактное считывание. Да, это дополнительные затраты и дополнительное неудобство, но оно может однажды спасти ваши сбережения.