Центр исследования компьютерной преступности

home контакты

Осторожно новая разновидность скимминга - Шимминг

Дата: 16.02.2013
Источник: Carderplus.rolka.su


card/card12.jpg Мошенники внедряют новую технологию кражи денег с пластиковых карт - "шимминг". Она позволяет абсолютно незаметно похитить номер банковской карты, ее PIN-код и другие данные через банкомат.

Мошенники изобрели новый способ кражи данных и денег с банковских карт. В отличие от «традиционных» методов, новое устройство, которое тоньше человеческого волоса, клиент не видит, что и делает его практически беспомощным перед преступниками.

Мошенники, специализирующиеся на кредитных картах, разработали новую технологию — «шимминг», позволяющую похитить номер банковской карты, ее PIN-код и другие данные через банкомат. Об этом сообщил специалист Cisco Systems Джейми Хири в блоге Cisco Security Expert со ссылкой на компанию-производителя бакноматов Diebold. По оценкам последней, из-за шимминга финансовые организации и частные лица теряют миллиарды долларов в год.

Устройства для кражи данных прошлого поколения, получившие название «скиммеры», представляли собой накладки на банкоматы. Шиммеры, в отличие от них, незаметны: тонкая гибкая плата вставляется через щель картридера (устройство для приема карт) и считывает данные введенных карт. «Такой тип мошенничества нетривиален с технической точки зрения, — чуть ли не восхищается ловкостью злоумышленников эксперт из Cisco Systems. — Прокладка должна быть очень гибкой и тонкой. Фактически, она должна быть тоньше 0,1 мм в большинстве случаев, чтобы уместиться в картридере и не мешать введению кредитных карт».

Чтобы более зримо представить, какое мастерство нужно для изготовления мошеннического устройства, эксперт приводит сравнения: толщина кредитки — примерно 0,76 мм, крупицы соли — 0,5 мм. Толщина человеческого волоса — около 0,18 мм. То есть плата для шимминга должна быть почти в два раза тоньше волоса.
По данным эксперта, такие устройства недавно начали массово выпускаться и уже «широко используется в некоторых частях Европы». В компании Diebold BFM.ru заявили, что знают о существовании этой разновидности мошенничества. «Однако о случаях ее применения в России нам пока ничего не известно, — сказал BFM.ru системный инженер компании Diebold в России и СНГ Иван Стригин. — Для борьбы со всеми известными способами скимминговых атак на банкоматы (и в том числе с шиммингом) у нас уже есть портфель антискимминговых решений и сервис удаленного мониторинга Diebold ATM Security Protection Suite.

В портфель входит специальное устройство, создающее электромагнитное поле вокруг банкомата и мешающее скиммеру или шиммеру считывать информацию с магнитной полосы банковской карты в картридерах, так что данные владельца карты оказываются надежно защищены».

Российские банки пока не сталкивались с шиммингом. «Классикой» российских карточных мошенников остается скимминг, то есть получение доступа к данным карты путем установки устройств на картридер в банкомате с последующей подделкой карты. «Злоумышленники любят использовать и механические устройства. Например, преступники устанавливают в картридер крючки и щупы, карточки застревают в банкомате, и становится возможной их кража. Этот вид мошенничества называется фишингом», — говорит представитель Diebold.

Для кражи PIN-кодов и персональной информации клиентов преступники подсматривают, как люди пользуются банкоматом, для чего рядом с банкоматом устанавливают миниатюрные видеокамеры. «Кроме того, преступники могут перехватывать PIN-коды, когда они пересылаются с клавиатуры во внутренний компьютер. Для этих целей используются проводные отводы в банкоматах или осуществляется удаленная запись электромагнитного излучения электропроводки банкомата, — говорит Иван Стригин. — Распространены и различные способы захвата и извлечения банкнот из презентера банкомата».

Еще более изощренным способом мошенничества являются манипуляции с операционной системой банкоматов: преступники вторгаются в компьютерную сеть банкоматов для кражи денег и получения информации о счетах. «Кроме того, хакеры создают небольшие программы, называемые вирусами и червями, которые самостоятельно распространяются через Интернет и могут нанести серьезный ущерб компьютеру внутри банкомата», — перечисляет эксперт.

Несмотря на такое разнообразие схем, адекватной статистики по мошенническим атакам на банкоматы в России до сих пор не ведется, говорят российские банкиры. «По данным некоторых экспертов, за 2009 год было совершено порядка 200 атак на банкоматы, что составляет примерно 0,24% от общего числа банкоматов в России», — заявили BFM.ru в банке «Ренессанс Кредит».

В России фактов «карточного» мошенничества не очень много по сравнению с их общей численностью в мире, говорит BFM.ru начальник управления администрирования и поддержки карточной системы департамента карточных программ «Москоммерцбанка» Алексей Друкер. «Большая часть мошеннических операций по картам, выпущенным в России, проходит за рубежом, — говорит эксперт. — Другими словами, кража информации большей частью тоже происходит именно за рубежом. Например, когда человек в отпуске расплатился в кафе или гостинице, и информацию украли».
«У меня есть большие сомнения, что эта технология получит массовое распространение в нашей стране, — говорит BFM.ru директор Департамента карточного бизнеса и дистанционного обслуживания банка Unicredit Александр Вишняков. — Судя по описанию, это технически довольно сложно осуществимо, и, соответственно, довольно дорого. Для мошенников гораздо проще делать скимминговые устройства более незаметными».

Рекомендации экспертов по тому, как обезопасить себя и свои банковские карты от скимминга, традиционны: не сообщать никому PIN-код, подключить SMS-оповещение о состоянии счета, использовать банкомат, находящийся под видеонаблюдением и в людном месте, и обращать внимание на его внешний вид. «Кроме того, может быть полезно просто прикрыть ладонью клавиатуру во время ввода PIN-кода и обратить внимание на людей позади. Не стоит оставлять квитанцию в банкомате», — напоминает Иван Стригин из Diebold.

Однако против такого способа мошенничества как шимминг клиенты ничего сделать не смогут, вынуждены констатировать эксперты. «В случае шимминга никаких внешних устройств увидеть не удастся», — говорит Алексей Друкер из Москоммерцбанка.
«Главная рекомендация — обзаводиться чиповыми картами, которые защищены от такого типа мошенничества. Это в данном случае самый надежный способ, и не случайно наш банк в этом году переходит на чиповые карты», — заявил Александр Вишняков из Unicredit. «Это, конечно, не сможет предотвратить считывание магнитной полосы карты и последующее ее копирование, но поможет клиенту впоследствии вернуть свои деньги, — добавляет эксперт Москоммерцбанка. — Дело в том, что скопировать информацию с чипа невозможно, по крайней мере, на данный момент таких фактов зафиксировано не было.

При использовании такой карты клиент банкомат обязан производить авторизацию по данным чипа, а не магнитной полосы, а в случае невозможности авторизации по чипу создавать транзакцию типа Fallback». Тогда практически в 100% случаев мошеннических транзакций ответственность ляжет на банк-эквайер, которому принадлежит банкомат. Поэтому если кто-то скопирует данные магнитной полосы такой карты, сделает ее дубликат и попытается снять деньги, у клиента будет намного больше шансов опротестовать подобную операцию, говорит Друкер.
Впрочем, как правило, мошенники предпочитают не связываться с подделкой таких карт, так как это слишком сложно и дорого, отмечает вице-президент банка «Интеркоммерц» Денис Хренов.

«Честно говоря, несмотря на стремление максимально защитить клиента, его карту и внедрение новых технологических решений, уровень мошенничества не снижается, — заключает вице-президент Первого республиканского банка Дмитрий Орлов. — В качестве основной рекомендации, наверное, стоит посоветовать клиентам чаще использовать карту как платежный инструмент, а не как средство для получения наличных».

Добавить комментарий
Всего 0 комментариев


Copyright © 2001–2018 Computer Crime Research Center

CCRC logo
Главным направлением в деятельности Центра является широкое информирование общественности об основных проблемах и способах их решения, с которыми сталкивается общество в сфере противодействия компьютерной преступности.