クレジットカードのスキマーとシマーを見つけて回避する方法

クレジットカードやデビットカードの安全性がいかに悪いかを実感した瞬間を鮮明に覚えています。私は、誰かが既製のUSB磁気ストリップリーダーを取り出してコンピューターに接続し、それがキーボードとして認識されるのを見ました。彼らはワードプロセッサを開き、カードをスワイプしました。一連の数字がテキストファイルに忠実に表示されました。それはそれでした:カードの情報は盗まれていました。



その同じ技術が成熟し、小型化されました。小さな「スキマー」をATMや決済端末に接続して、カードの磁気ストリップ(「マグストライプ」と呼ばれる)からデータをスキミングすることができます。さらに小さな「シマー」は、新しいカードのチップを攻撃するためにカードリーダーにシムされます。現在、支払いWebサイトからのデータを盗むeスキミングと呼ばれるデジタルバージョンもあります。幸いなことに、これらの攻撃から身を守る方法はたくさんあります。

スキマーとは何ですか?

スキマーは、カードをスワイプするすべての人からデータを収集する正規のカードリーダー内に隠された小さな悪意のあるカードリーダーです。ハードウェアにデータをしばらく飲ませた後、泥棒は侵入先のマシンに立ち寄り、盗まれたすべてのデータを含むファイルを取得します。その情報を使用して、彼は複製されたカードを作成したり、単に詐欺を犯したりすることができます。恐らく最も恐ろしいのは、スキマーがATMやクレジットカードリーダーの正常な機能を妨げないことが多く、検出が困難になることです。





ATMの中に入るのは難しいので、ATMスキマーは既存のカードリーダーに合うことがあります。ほとんどの場合、攻撃者は、アカウントへのアクセスに使用される個人識別番号(PIN)を記録するために、近くのどこかに隠しカメラを置きます。カメラはカードリーダーにあるか、ATMの上部に取り付けられているか、天井に取り付けられている場合があります。一部の犯罪者は、カメラの必要性を回避して、実際のキーボードの上に偽のPINパッドを取り付けて、PINを直接キャプチャするところまで行っています。

スキマーを含むATMの黄色いプラスチック製のデバイス

この写真は、ATMで使用されている実際のスキマーです。あなたはその奇妙でかさばる黄色いビットを見ますか?それがスキマーです。これは、他のマシンとは色や素材が異なるため、簡単に見つけることができますが、他にもわかりやすい兆候があります。カードを挿入するスロットの下には、マシンのプラスチック製ハウジングに矢印があります。灰色の矢印が黄色のリーダーハウジングに非常に近く、ほとんど重なっていることがわかります。これは、実際のカードリーダーにはカードスロットと矢印の間にいくらかのスペースがあるため、既存のリーダーの上にスキマーが取り付けられたことを示しています。



ATMメーカーは、この種の詐欺を横臥していません。新しいATMは、ATMに挿入または取り付けられた物体を検出することを目的としたレーダーシステムを含む、改ざんに対する強力な防御を誇っています。しかし、Black Hatセキュリティ会議の1人の研究者は、ATMのオンボードレーダーデバイスを使用して、手の込んだ詐欺の一環としてPINをキャプチャすることができました。

スキマーはまだ脅威ですか?

この記事の更新を調査しているときに、Kaspersky Labsに連絡したところ、会社の代表者から驚くべきことが言われました。スキミング攻撃は減少傾向にあります。 「スキミングは今でも珍しいことです」とカスペルスキーの広報担当者は述べています。

Kasperskyの代表者は、より大きな傾向を示すものとして、欧州安全取引協会(EAST)のEU統計を引用しました。 EASTは、スキマー攻撃が過去最低であると報告しました。 1,496件のインシデントからの脱落 2020年4月に 321件のインシデント 同じ年の10月に。 COVID-19の影響はその低下と関係があるかもしれませんが、それでも劇的です。

もちろん、それはスキミングがなくなったことを意味するものではありません。つい最近、2021年1月、 主要なスキミング詐欺 ニュージャージーで発掘されました。これには、1,000を超える銀行の顧客に対する攻撃が含まれ、犯罪者は150万ドルを超える額を稼ごうとしました。

スキマーからシマーへ

米国の銀行が ついに 世界に追いつき、チップカードの発行を開始したことは、消費者にとって大きなセキュリティの恩恵でした。これらのチップカード、またはEMVカードは、古い支払いカードの痛々しいほど単純なマグストライプよりも強力なセキュリティを提供します。しかし、泥棒はすぐに習得し、ヨーロッパとカナダでチップカードを標的とした攻撃を完璧にするために何年もかかりました。

磁気ストライプリーダーの上にあるスキマーの代わりに、きらめきは 中身 カードリーダー。これらは非常に薄いデバイスであり、外部からは見えません。カードをスライドさせると、スキマーがカードの磁気ストライプのデータを読み取るのとほぼ同じ方法で、キラキラがカードのチップからデータを読み取ります。

ただし、いくつかの重要な違いがあります。 1つは、EMVに付属する統合セキュリティは、攻撃者がスキマーから取得するのと同じ情報しか取得できないことを意味します。彼のブログでは、 セキュリティ研究者のブライアンクレブス 「通常、カードの磁気ストライプに保存されるデータは、チップ対応カードのチップ内に複製されますが、チップには、磁気ストライプにはない追加のセキュリティコンポーネントが含まれています。」と説明しています。これは、泥棒がEMVチップを複製することはできなかったが、チップからのデータを使用して磁気ストライプのクローンを作成したり、その情報を他の詐欺に使用したりできることを意味します。

私たちが話をしたカスペルスキーの代表者は、チップカードに対する彼らの自信に明白でした。 「EMVはまだ壊れていません」とKasperskyはGaronに語った。 「成功したEMVハックは実験室の状態だけです。」

本当の問題は、きらめきが被害者のマシンの中に隠されていることです。下の写真のきらめきはカナダで発見され、 RCMPに報告 (インターネットアーカイブリンク)。薄いプラスチックシートに印刷された集積回路に過ぎません。

小さなプラスチックカードのきらめき回路画像クレジット:コキットラムRCMP

改ざんをチェックします

POSデバイスの改ざんをチェックするのは難しい場合があります。私たちのほとんどは、読者に良い話をするのに十分な時間、食料品店に並んでいません。また、これらのマシンは放置されていないため、泥棒がこれらのマシンを攻撃することも困難です。一方、ATMは、玄関ホールや屋外でさえ監視されないままになっていることが多く、ターゲットになりやすくなっています。

この記事のほとんどはATMについて説明していますが、ガソリンスタンド、公共交通機関の支払いステーション、およびその他の無人のマシンも、トランザクションを通じて考えることを忘れないでください。

デビットカードのPINを入力するときはいつでも、誰かが探していると想定してください。多分それはあなたの肩越しにまたは隠しカメラを通してです。 ATMや支払い機に問題がないように思われる場合でも、PINを入力するときは手を覆ってください。 PINの取得は不可欠です。それがなければ、犯罪者は盗まれたデータで何ができるかが制限されます。

犯罪者は、悪意のあるハードウェアのインストールや収集されたデータの収集を監視されたくないため、忙しすぎる場所に配置されていないATMにスキマーを頻繁にインストールします( 常に例外)。攻撃者は目に見えない屋外のマシンにアクセスできるため、屋内のATMは一般に屋外のATMよりも安全に使用できます。使用する前に、ATMを停止して安全性を考慮してください。

可能な限り、カードの磁気ストライプを使用してトランザクションを実行しないでください。現在、ほとんどの決済端末はフォールバックとして磁気ストライプを使用しており、カードをスワイプする代わりにチップを挿入するように求められます。クレジットカード端末がNFCトランザクションを受け入れる場合は、Apple Pay、Samsung Pay、またはAndroidPayの使用を検討してください。

これらの非接触型決済サービスはクレジットカード情報をトークン化するため、実際のデータが公開されることはありません。犯罪者が何らかの形で取引を傍受した場合、彼は役に立たない仮想クレジットカード番号しか取得できません。一部のSamsungデバイスは、電話を介して磁気ストライプトランザクションをエミュレートできます。このテクノロジーはMSTと呼ばれていますが、現在は 廃止されました 。

磁気ストライプを使用する必要があることが多いシナリオの1つは、ガソリンポンプで燃料を支払うことです。多くはまだEMVまたはNFCトランザクションをサポートしておらず、攻撃者は気付かれることなくポンプにアクセスできるため、これらは攻撃に満ちています。中に入ってレジに支払う方がはるかに安全です。レジ係がいない場合は、ATMを使用するための同じヒントを使用し、カードリーダーを使用する前に調査してください。

編集者からの推薦

ATM
連邦政府は米国の「ジャックポッティング」ATMハックについて警告 スーパーマーケットでのオーバーレイカードスキマーの設置カードスキマーが数秒でインストールされるのを見る 燃料ポンプカードスキマーはSMSを介してデータを盗みます

スキマーからシマー、Eスキマーへ

当然のことながら、e-スキミングと呼ばれるデジタル版があります。 2018年のブリティッシュ・エアウェイズのハッキングは、明らかにそのような戦術に大きく依存していました。

Bitdefenderの脅威調査およびレポート担当ディレクターであるBogdanBotezatuが説明したように、eスキミングとは、攻撃者が悪意のあるコードを支払いWebサイトに挿入して、カード情報を奪うことです。

「これらのeスキマーは、オンラインストアの管理者アカウントの資格情報、ストアのWebホスティングサーバーを侵害するか、[支払いプラットフォームベンダー]を直接侵害して、ソフトウェアの汚染されたコピーを配布することによって追加されます」とBotezatu氏は説明します。これはフィッシングページに似ていますが、ページが本物である点が異なります。ページのコードが改ざんされたばかりです。

「e-スキミング攻撃は、検出を回避することにますます熟練している」とボテザツ氏は述べた。 「攻撃者がこの足場を維持する時間が長ければ長いほど、より多くのクレジットカードを収集できます。」

この種の攻撃に対抗するのは、最終的にはこれらの店舗を運営する企業次第です。ただし、消費者が自分自身を守るためにできることはいくつかあります。 Botezatuは消費者が使用することを提案しました セキュリティスイートソフトウェア 彼らのコンピューター上で、悪意のあるコードを検出し、あなたがあなたの情報を入力するのを防ぐことができると彼は言いました。

または、仮想クレジットカードと一緒にクレジットカード情報を入力することを避けることができます。これらは、実際のクレジットカードアカウントにリンクされているダミーのクレジットカード番号です。 1つが危険にさらされた場合、新しいクレジットカードを取得する必要はなく、新しい仮想番号を生成するだけです。のようないくつかの銀行 他人 、これを機能として提供するので、利用可能かどうかを確認してください。銀行から仮想カードを入手できない場合、Abine Blurは、同様の方法で機能するマスクされたクレジットカードを加入者に提供します。 ApplePayとGooglePayは、一部のWebサイトでも受け入れられています。

別のオプションは、カードアラートに登録することです。一部の銀行は、デビットカードが使用されるたびに携帯電話にプッシュアラートを送信します。これは、偽の購入をすぐに特定できるので便利です。銀行が同様のオプションを提供している場合は、それをオンにしてみてください。 Mint.comのようなパーソナルファイナンスアプリは、すべてのトランザクションを並べ替える作業を簡単にするのに役立ちます。

気をつけて

あなたがすべてを正しく行い、あなたが遭遇するすべての支払い機の隅々まで行き渡ったとしても(あなたの後ろに並んでいる人々の悔しさの多くに)あなたは詐欺の標的になる可能性があります。ただし、心に留めておいてください。盗難をカード発行会社(クレジットカードの場合)または銀行(アカウントを持っている場合)にできるだけ早く報告する限り、責任を問われることはありません。あなたのお金は返されます。一方、ビジネス顧客は同じ法的保護を受けておらず、お金を取り戻すのに苦労する可能性があります。

また、意味がある場合はクレジットカードを使用してみてください。デビット取引は即時の現金送金であり、修正に時間がかかる場合があります。クレジットカードの取引はいつでも停止および取り消すことができます。そうすることで、ATMとPOS端末のセキュリティを強化するように加盟店に圧力がかかります。ただし、クレジットの乱用には独自の落とし穴がありますので、注意してください。

最後に、お使いの携帯電話に注意を払ってください。銀行やクレジットカード会社は通常、非常に積極的な不正検出ポリシーを採用しており、疑わしい点に気付いた場合は、通常は電話またはSMSですぐに連絡します。迅速に対応するということは、攻撃があなたに影響を与える前に攻撃を止めることを意味する可能性があるので、携帯電話を手元に置いてください。

覚えておいてください:ATMやクレジットカードリーダーについて何かが正しくないと感じた場合は、それを使用しないでください。可能な限り、カードのストリップの代わりにチップを使用してください。あなたの銀行口座はあなたに感謝します。

Fahmida Y.Rashidがこのストーリーに貢献しました

hpストリーム11-y010nr
推奨されます