W pierwszej części naszego cyklu omówiłem technologię, której używają „łowcy” kart płatniczych. Dzisiaj chciałbym skupić się na innej części tej historii, a mianowicie: jak przestępcy radzą sobie z najbardziej niebezpiecznym etapem całego procesu skimmingowego.
Outsourcing procesów skimmingu
Do większości czynności, które wykonują carderzy, nie potrzeba wysokich kwalifikacji ani wiedzy technicznej. Niemniej jednak niektóre działania (włączając w to instalację sprzętu) są dość ryzykowne. Zdarza się, że to zadanie jest przekazywane wynajętemu „ekspertowi”.
Wyszkolonemu specjaliście zainstalowanie sprzętu skimmingowego zajmuje około 30 sekund. To zadanie jest wykonywane dopiero po ukończeniu kilku etapów przygotowywań i zebraniu wywiadu, jak np. rozmieszczenie i zasięg kamer oraz określenie najspokojniejszych godzin pracy bankomatu. Wszystko to nie byłoby możliwe bez pomocy asystenta, który stacjonuje w pobliżu obiektu.
Wprawnego instalatora trudno jest złapać na gorącym uczynku. Spokojny, dobrze ubrany dżentelmen może zeznać, że zauważył coś niepokojącego w bankomacie i chciał potwierdzić swoje podejrzenia, zanim wezwie policję. W takim przypadku bardzo ciężko jest udowodnić przestępstwo, zwłaszcza jeśli sprawca zdąży pozbyć się kleju i urządzeń służących do instalacji. Dlatego też banki zalecają, aby nie dotykać podejrzanego urządzenia i natychmiast zawiadomić policję.
Oprócz bankomatów carderzy interesują się również wszelkimi innymi terminalami, które akceptują karty płatnicze, np. te na stacjach benzynowych czy wszelkiego rodzaje biletomaty. W porównaniu do bankomatów wywołują one mniej podejrzeń i czujności u zwykłych ludzi i niestety są również w mniejszym stopniu chronione.
Przestępcze żniwa
Po fizycznym zainstalowaniu sprzętu do skimmingu cyberprzestępcy zaczynają kolejny etap oszustwa – żniwa. Próbują sklonować tyle kart, ile tylko można, zanim oszustwo zostanie odkryte. Gdy bank zorientuje się w sytuacji, wzrastają szanse, że posiadacze kart, które zostały sklonowane, zablokują je. Aby monitorować sytuację, wspólnik cardera przeważnie obserwuje zaatakowany bankomat z samochodu lub kawiarni.
Jeżeli żaden klient nie zauważy, że bankomat ma parę „poprawek”, oraz pracownicy banków długo nie będą tego świadomi, to cały proces będzie trwał do czasu rozładowania baterii sprzętu, a w tym czasie można wykraść dane nawet z tysiąca kart płatniczych.
Ci najbardziej pazerni decydują się na zdemontowanie urządzenia, jednak mądrzejszy carder porzuci go na dobre, aby zminimalizować ryzyko złapania. Całkowity zysk ze skradzionych kart może wynieść nawet tysiące dolarów, więc koszty sprzętu są w tym momencie pomijalne.
Wypłacanie pieniędzy ze sklonowanych kart jest tym etapem, które niesie ze sobą najwyższe ryzyko – dlatego też najczęściej jest zlecane osobom trzecim. Z reguły angażuje się do tego kilku ludzi, których nazywa się „mułami”.
Czasami muły oddają gotówkę do wyspecjalizowanego w skimmingu cardera, otrzymując wcześniej ustaloną prowizję za swój udział. Jednak czasami muły kupują pakiety danych skradzionych z pasków magnetycznych i działają na własny rachunek, najczęściej w innej części świata.
Prymitywność nie jest dobrodziejstwem
Powodem, dla którego kradzieże z kart płatniczych są takie łatwe, jest prymitywizm odpowiednich technologii zabezpieczeń. Pierwsze magnetyczne paski, które pojawiły się na kartach płatniczych, zostały opracowane kilkanaście lat temu, kiedy nie brano pod uwagę sprzętu do kradzieży i klonowania kart.
Dane zapisane na pasku magnetycznym są w rzeczywistości chronione tylko za pomocą krótkiego i podatnego na wyciek kodu PIN, który weryfikuje transakcje. Istnieje kilka rodzajów zaawansowanych technologii ochrony, które pojawiły się nieco później, choć pozostają jako alternatywne.
Co ciekawe, firmy obsługujące systemy płatności i banki spędziły wiele lat na opracowywaniu rozwiązania tego problemu. Solidniejsze karty EMV wyposażone w pasek magnetyczny i zintegrowany chip są używane w Europie od ponad 20 lat.
Główną różnicą jest to, że chip nie może być sklonowany w taki sam sposób jak pasek magnetyczny. Od karty z chipem bankomat wymaga stworzenia unikalnego klucza jednorazowego, który może zostać skradziony, jednak nie jest on przydatny do kolejnych transakcji.
Analitycy bezpieczeństwa znaleźli wiele luk w kartach EMV, jednak w praktyce ciężko jest je wykorzystać. Taka ewolucja mogłaby doprowadzić do wyeliminowania skimmerów, jednak sęk w tym, że przejście na karty EMV jest długim, skomplikowanym i drogim procesem, który miałby wpływ na wiele podmiotów.
A przenieść się musieliby wszyscy: systemy płatności, banki, firmy przejmujące, producenci terminali POS oraz bankomatów, a także wiele innych. Dlatego wiele krajów, włącznie z rynkami rozwiniętymi, w dalszym ciągu korzysta ze staromodnych kart innych niż EMV.
Obecnie nawet karty w standardzie EMV mogą zostać pozbawione pieniędzy. Aby zapewnić wsteczną kompatybilność z dotychczasowymi terminalami oraz zwiększyć elastyczność zastosowania, transakcja może być przeprowadzona bez użycia chipa, na podstawie samego paska magnetycznego.
Jak donosi European ATM Security Team, carderzy są najbardziej aktywni w Stanach Zjednoczonych, gdzie został uruchomiony ogólnokrajowy program wdrożenia karty EMV. Wzmożony wzrost tego zjawiska jest spodziewany w Indonezji, Tajlandii, Rumunii i Bułgarii.
Kilka prostych porad, jak nie stać się ofiarą skimmerów bankomatowych
Banki mogą zwrócić pieniądze skradzione przez carderów, szczególnie w sytuacjach, gdy odpowiedzialność może zostać przerzucona na inny podmiot – system płatności, właściciela bankomatu czy firmę ubezpieczeniową. Najprawdopodobniej jednak to właściciel karty poniesie pełną odpowiedzialność, a niestety było wiele takich przypadków.
Zasady przetrwania
Nie istnieje sposób, który na 100% zagwarantuje, że Twoja karta nie stanie się ofiarą skimmera bankomatów, jednak niektóre z poniższych wskazówek pomogą Ci zminimalizować to ryzyko.
- Jeżeli Twoja karta nie jest wyposażona w chip EMV, nie powinieneś jej w ogóle używać. Bank może Ci ją wymienić na żądanie. Chipy w kartach nie gwarantują pełnego zabezpieczenia, jednak znacznie ograniczają ryzyko.
- Włącz opcję powiadomień przez SMS-y, aby mieć transakcje na oku. Im szybciej zorientujesz się w przypadku kradzieży, tym większe szanse, że odzyskasz pieniądze.
- Jeśli nie podróżujesz zbyt często, dowiedz się, czy Twój bank może nałożyć geograficzne ograniczenia na transakcje (przed wyjazdem za granicę możesz aktywować kraj, do którego się wybierasz). Jest to bardzo skuteczny środek, który sprawdził się w wielu europejskich krajach.
- Na co dzień nie korzystaj z kart, na których znajduje się dużo pieniędzy. Im mniej ich używasz (zwłaszcza w nowych miejscach, na przykład za granicą), tym lepiej. W sytuacji, gdy masz do wykonania ryzykowną operację, lepiej użyć oddzielnej karty z ustawionym niższym limitem.
- Jeśli masz zamiar skorzystać z bankomatów, wybieraj te, które znajdują się w dobrze oświetlonych i bezpiecznych miejscach – na przykład wewnątrz budynku banku. Ogólnie lepiej jest unikać samodzielnie stojących bankomatów w zakamarkach centrum handlowego.
- Podczas wprowadzania kodu PIN stań tak blisko bankomatu, jak tylko możliwe i zakryj klawiaturę numeryczną ręką. Specjalne nakładki na klawiaturę są wciąż rzadko spotykane, jednak ukryta kamera czy wścibski sąsiad, który zagląda zza pleców – już nie! Nie zapominaj o regularnej zmianie kodu PIN (przez zaufany bankomat lub z pomocą pracownika banku), zwłaszcza po ryzykownych transakcjach.
- Miej oko na wszystkie dodatki przy bankomacie oraz w jego okolicy, gdyż na szczęście nie wszyscy carderzy są profesjonalistami i używają sprawnego sprzętu. Ponadto nie korzystaj ze „specjalnych miejsc do czyszczenia pasków magnetycznych”, które są umieszczane w pobliżu bankomatów (pomimo tego, jak dziwne się to wydaje, ludzie naprawdę nabierają się na tę prostą sztuczkę).
- Przeliczaj pieniądze wypłacane przez bankomat. Czasami w podajnikach zainstalowane są specjalne „pułapki”, które przechwytują pojedyncze banknoty. Jeżeli bankomat nie chce zwrócić karty, powinieneś natychmiast zadzwonić do banku, nie opuszczając terminalu. Takie oszustwa stają się bardzo popularne w krajach europejskich, w których wdrożono EMV – wówczas carderzy potrzebują Twojej karty z chipem.
- Nie należy pozostawiać swojej karty bez nadzoru (w sklepie, restauracji) – istnieje szereg podręcznych skanerów służących do klonowania kart, a kod PIN łatwo jest podejrzeć.
- Nigdy nie pokazuj karty obcym oraz nie wysyłaj ani publikuj jej zdjęć – nawet pokazujących tylko jedną stronę. Wiele starszych stron internetowych umożliwia dokonywanie transakcji bez kodu CVV, który jest nadrukowany na odwrocie karty, nie mówiąc już o dwuetapowym uwierzytelnianiu (z jednorazowym hasłem SMS).
Zachowaj czujność, bo choć karta płatnicza jest bardzo przydatnym narzędziem, wygoda jej używania może stać się naszą zmorą. Zapamiętaj: lepiej być zapobiegliwym paranoikiem niż spłukanym niepoprawnym optymistą.