it-swarm.dev

Rilevamento di skimmer e altre trappole ATM

Questa domanda mi ha infastidito sin dalla prima volta che ho sentito parlare di ATM skimmer :

Sono stati segnalati casi di scrematura in cui l'autore ha inserito un dispositivo nello slot della scheda* di un bancomat (bancomat), che legge la striscia magnetica mentre l'utente passa inconsapevolmente la propria carta attraverso di essa. Questi dispositivi vengono spesso utilizzati in combinazione con una fotocamera in miniatura (collegata in modo evidente all'ATM) per leggere contemporaneamente PIN. Questo metodo viene utilizzato molto frequentemente in molte parti del mondo ...

fonte: Wikipedia

 ATM skimmer device being installed on front of existing bank card slot

* Dispositivo skimmer ATM installato davanti allo slot per carte di credito esistente (fonte: Hoax-slayer.com )

Finora le banche hanno risposto a tali minacce installando tutti i tipi di fascette anti-skimmer e coperture di plastica trasparenti sui loro ATM , hanno speso molto per educare i consumatori su come rilevare tali dispositivi con opuscoli informativi , avvertendo gli adesivi sugli stessi sportelli automatici, persino aggiunto informazioni utili alle schermate di benvenuto dei display ATM e quant'altro, eppure non riesco ancora a pensare a un modo unico, semplice e antiproiettile per stabilire se un determinato ATM è sicuro da usare, o potrebbe sono stati manomessi e i dispositivi installati su di esso per raccogliere le informazioni sulla nostra carta di credito e registrare i nostri PIN.

Anti-fraud/anti-skimming device

Dispositivo antifrode/anti-scrematura

Ecco alcuni suggerimenti di cui ho letto:

  • Controlla le telecamere : a volte gli hacker che desiderano ottenere PIN accendono le telecamere sulla luce sopra la tastiera. Senti la cima per tutto ciò che sporge che potrebbe essere una macchina fotografica.
  • Tirare lo slot per schede : i ladri di carte non possono passare molto tempo a giocare con un bancomat, quindi gli skimmer di carte sono spesso facili da installare e rimuovere. Se il lettore di carte presso l'ATM si muove o sembra allentato, non rischiare.
  • Spostare la tastiera : gli hacker a volte inseriscono tastiere false su quella reale per capire il PIN. Se la tastiera sembra allentata, provare un altro bancomat.

fonte: consumerist.com

Tuttavia, gli hacker stanno diventando più intelligenti e la tecnologia per consentire a dispositivi più avanzati e più difficili da rilevare dispositivi di scrematura sta diventando sempre più diffusa (ad esempio stampanti 3D, minuscole fotocamere in grado di registrare PIN attraverso un foro stenopeico, ...). Quindi, come possiamo, noi consumatori, rilevare tutto ciò? I bancomat stessi variano notevolmente da banca a banca, da paese a paese. A volte, anche le stesse banche useranno diversi bancomat diversi e le fasce anti-skimming potrebbero essere completamente diverse. Gli hacker potrebbero avere una tastiera sovrapposta super incollata e lo skimmer, la fotocamera può essere così piccola e nascosta così bene che sarebbe quasi impossibile da rilevare, o il circuito completo (lettore, fotocamera, l'intero Shebang) estremamente ben mascherato per sembrare quasi identico alla fascia originale degli sportelli automatici.

enter image description here

Skimmer ATM che mostra la copertura dello slot e il foro stenopeico per PIN fotocamera. Lo avresti notato?

L'esempio nella foto sopra potrebbe essere più spaventoso, se fosse in corrispondenza di colore e trama con la fascia di plastica del bancomat, e forse potrebbe anche essere un po 'più bello. Notando troppo difficile da fare davvero. Ma anche così com'è, è ancora abbastanza mascherato da ingannare qualsiasi cliente un po 'troppo casual alla luce del giorno, e forse anche i più cauti durante la notte e sotto l'illuminazione artificiale. Nota quanto è piccolo il foro stenopeico della fotocamera. Metti una macchia di sporcizia attorno al foro stenopeico, e sarebbe impercettibile.

Quindi, con tutto ciò in mente, la mia domanda è:

Come possiamo rilevare, in tempi ragionevoli e supponendo che gli aggressori siano diventati nel frattempo più intelligenti e meglio equipaggiati di quanto appreso finora, se l'ATM è stato manomesso e qualsiasi dispositivo di scrematura (o altre trappole) installato su di esso?

Ho lasciato la domanda intenzionalmente leggermente aperta all'interpretazione e sono interessata sia alla più recente sia alla più grande tecnologia antifrode ATM utilizzata dalle banche, nonché a tutti i buoni suggerimenti su come un utente medio di ATM potrebbe rilevare tali schemi e dispositivi di frode, se presenti .

51
TildalWave

Dal punto di vista dell'utente finale, di solito do una buona botta al lettore e alle piastre circostanti con il pugno e provo a staccare una delle piastre frontali con le mie chiavi o un coltello. Il fatto è che i migliori skimmer non sono rilevabili. Le macchine POS possono essere hackerate che si traduce in uno scenario quasi non rilevabile. La tua scommessa migliore, se vuoi evitare di essere scremato, è di incassare un cassiere in banca :)

Dal punto di vista dell'azienda, di recente ho scoperto due nuove difese contro gli skimmer dai sfoglianti manuali di ATM (al momento sto lavorando con loro e ho tutti i manuali/specifiche)

  • 1) I sensori per rilevare eventuali ostruzioni davanti al lettore di schede per lunghi periodi di tempo attiveranno un avviso. Questi sensori sono sensori di luce, sensori di prossimità e sensori di raggio a seconda dell'ATM in questione. Entrambi sono montati all'interno del lettore di schede e attorno al dispositivo in generale.

  • 2) Sensori per rilevare costante RF. Se si trasmette per più di xx secondi (non menzionerò il periodo esatto), attiverà un avviso. Dal manuale:

Il rilevamento a radiofrequenza (RF) viene utilizzato per il rilevamento di telecamere spia a trasmissione analogica montate sul bancomat allo scopo di catturare fraudolentemente il titolare della carta PIN entry. RF il rilevamento fa non attiva un avviso ma fornisce ulteriori informazioni di supporto a un avviso se un dispositivo antifrode viene rilevato da un sensore contemporaneamente a un avviso RF rileva.

Inoltre:

HSFD è costituito dai seguenti elementi:

  • Pannello di controllo

  • Sensore di rilevamento RF (opzionale)

  • Da uno a sei sensori
  • Modem cellulare (per trasmettere avvisi), con antenna separata (opzionale).

Il diagramma seguente mostra una panoramica della funzione HSFD (High Security Fraud Detection). Le linee tratteggiate indicano componenti opzionali: High Security Fraud Detection (HSFD)

Gli avvisi di solito vanno a una soluzione di monitoraggio centrale back to base da qualche parte controllata dalla banca proprietaria del bancomat

C'è una nuova prova del concetto di tecnologia anti-skimming chiamata "Sistema girevole sicuro" che è stata annunciata di recente, c'è un video di in in azione qui . Storia originale qui

L'attuale dispositivo SRS è simile al seguente: SRS device

Fondamentalmente accetta la carta 'side on' (al contrario del solito metodo di immissione delle carte) e quindi la ruota di 90 gradi prima di accettarla. Questo in pratica impedisce qualsiasi piastra frontale collegata al dispositivo e rende molto difficile posizionare uno skimmer.

30
NULLZ

i più recenti skimmer non sono visibili . Questi skimmer sono sottili e si inseriscono nel lettore di schede:

enter image description here

A peggiorare le cose, la modifica può essere puramente software. I bancomat possono essere hackerati , il loro software può essere modificato per registrare le strisce magnetiche e i pin di ogni utente.

Questa è una battaglia persa e hai una possibilità ogni volta che usi un bancomat. La sicurezza è relativa, detto ciò eviterei di usare gli sportelli bancomat in generale, specialmente in un brutto quartiere. Anche l'online banking non è infallibile, correlato: L'accesso al conto bancario su Internet è davvero sicuro?

12
rook

Il meglio che puoi davvero fare è usare i bancomat che conosci o quelli che hanno una buona sicurezza fisica se uno che conosci non è disponibile. (vai a un bancomat all'interno di una banca). Anche in questo caso, controllo sempre la macchina per eventuali segni di manomissione.

Un semplice trucco che può funzionare bene è assicurarsi che la tastiera non sia compromessa (osservandola e tirandola) e quindi se appare valida, metti una mano sull'altra mano mentre digiti il ​​codice, quindi anche se ci è una videocamera, non può vedere i tuoi input.

Alla fine, è ancora una battaglia persa e nulla è perfetto, ma questo è il consiglio che seguo di solito. Speriamo che in futuro possiamo passare a un sistema che utilizza effettivamente la generazione OTP (una volta password) per una maggiore sicurezza ATM.

6
AJ Henderson

Sistemi di rotazione sicuri

Questa è l'ultima tecnologia anti-scrematura là fuori. Fondamentalmente ruota la scheda mentre viene inserita, impedendo agli skimmer di bloccarsi sulla striscia di dati magnetici. È stato recentemente inventato da uno skimmer per carte in prigione. È stato annunciato qui .
Indipendentemente da ciò, come indicato in precedenza da Rook, la sicurezza è relativa. Il software può ancora essere violato e l'SRS non può proteggerlo. Inoltre, in futuro potrebbero esserci degli skimmer per schede che proveranno a scansionare la scheda ruotando lo scanner, abbinando lo stesso modello dell'SRS. Ma per ora, come risposta alla tua domanda, Secure Revolving Systems è qualcosa che non vede l'ora.

3
DarrenVortex