„Skimming” nowe ataki na karty bankowe

Powracająca co jakiś czas obawa ataku na nasze środki pieniężne trwa nadal.Metody ataku choć są już znane, ciągle zaskakują nas nowym sposobem ich wykorzystania.Według najnowszych doniesień amerykańskich mediów skimmerzy dokonują na szeroką skalę manipulacji w urządzeniach odczytu kart płatniczych umieszczonych w automatach na stacjach benzynowych, aby w ten sposób wykradać dane o kartach. Do tej pory takie ataki były stosowane raczej w przypadku bankomatów, w których oszuści za pomocą nakładek do tzw. skimmingu umieszczanych przed otworem do wsuwania kart pobierali dane z pasków magnetycznych, aby następnie tworzyć kopie. Kody PIN były wykradane za pomocą ukrytych kamer albo dodatkowych nakładek na klawiatury bankomatów przykrywających właściwe pola z klawiszami.



W nowo zaobserwowanych przypadkach urządzenia do skimmingu umieszczone na terminalach kolumn paliwowych za pośrednictwem łączy Bluetooth wysyłały dane do przestępców, którzy znajdowali się w pobliżu. Ci z użyciem podrobionych kart mogli następnie pobierać gotówkę z automatów. Nieznani sprawcy na razie zmanipulowali około 180 automatów paliwowych z funkcją płatności. Ich działalność udało się wykryć dlatego, że zaobserwowano, iż wielu klientów, którzy stali się ofiarami takiego ataku, korzystało z pewnego określonego automatu w sieci 7-Eleven.

Także w Polsce i u naszych zachodnich sąsiadów coraz częściej spotyka się stacje benzynowe, na których można uregulować należność bezpośrednio przy dystrybutorze. W tym celu jednak trzeba włożyć kartę jeszcze przed tankowaniem i wprowadzić kod PIN, tak aby automat Outdoor Payment Terminal (OPT) mógł sprawdzić stan środków na koncie. Na razie jednak media nie donosiły o atakach skimmingowych na naszych stacjach benzynowych,co nie oznacza że możemy spać spokojnie nie obawiając się takiego zagrożenia.

Podobnie do stosowanych obecnie terminali do kart w sklepach, także i na stacjach benzynowych są systemy obsługujące metody EMV, w których chip na karcie komunikuje się z terminalem w sposób mniej lub bardziej zaszyfrowany, utrudniając w ten sposób ataki. Niestety, zarówno karty EC, jak i karty kredytowe ze względu na konieczność zachowania kompatybilności wciąż są wyposażane w pasek magnetyczny; przestępcy mogą skanować paski i uzyskiwać w ten sposób wgląd do danych, na których im zależy.

Tak czy owak dla klienta nie ma znaczenia, czy przy płatności używane są metody EMV bądź też wykorzystuje się pasek magnetyczny – zwykle i tak dostaje on rekompensatę poniesionych strat. Ta różnica ma znaczenie jedynie z punktu widzenia ustalania odpowiedzialności w razie wystąpienia szkód. Jeśli karta nie była zdolna do obsługi technik EMV, odpowiedzialność ponosi wystawca, a więc zwykle bank. Jeśli zaś to terminal nie był zdolny do obsługi EMV, odpowiedzialność spada na handlowca. Niedawno jednak brytyjscy naukowcy wykazali, że także zabezpieczenia metody EMV da się obejść.

(ź)heise-online



Komentarze

Written by: vod