Skimmer thẻ tín dụng hoạt động như thế nào và làm thế nào để phát hiện ra chúng

Skimmer thẻ tín dụng là một tội phạm thiết bị độc hại gắn vào thiết bị đầu cuối thanh toán - phổ biến nhất là trên máy ATM và máy bơm xăng. Khi bạn sử dụng thiết bị đầu cuối bị xâm phạm theo cách như vậy, skimmer sẽ tạo một bản sao thẻ của bạn và lấy mã PIN của bạn (nếu đó là thẻ ATM).

Nếu bạn sử dụng ATM và máy bơm xăng, bạn nên biết về các cuộc tấn công này. Được trang bị kiến ​​thức phù hợp, thực sự khá dễ dàng để phát hiện ra hầu hết các skimmer - mặc dù cũng giống như mọi thứ khác, các kiểu tấn công này tiếp tục tiến bộ hơn.

Làm thế nào Skimmer làm việc

Một skimmer truyền thống có hai thành phần. Đầu tiên là một thiết bị nhỏ thường được đặt trên khe cắm thẻ. Khi bạn lắp thẻ, thiết bị sẽ tạo một bản sao dữ liệu trên dải từ của thẻ. Thẻ đi qua thiết bị và vào máy, vì vậy mọi thứ sẽ có vẻ hoạt động bình thường - nhưng dữ liệu thẻ của bạn vừa được sao chép.

Phần thứ hai của thiết bị là một camera. Một máy ảnh nhỏ được đặt ở đâu đó có thể nhìn thấy bàn phím - có lẽ ở phía trên màn hình của máy ATM, ngay phía trên bàn phím số hoặc ở bên cạnh bàn phím. Camera được chỉ vào bàn phím và nó chụp bạn nhập mã PIN. Thiết bị đầu cuối tiếp tục hoạt động bình thường, nhưng những kẻ tấn công chỉ sao chép dải từ của thẻ của bạn và lấy trộm mã PIN của bạn.

Kẻ tấn công có thể sử dụng dữ liệu này để lập trình thẻ giả với dữ liệu dải từ và sử dụng nó trong các máy ATM khác, nhập mã PIN của bạn và rút tiền từ tài khoản ngân hàng của bạn.

Tất cả những gì đã nói, skimmer cũng ngày càng trở nên tinh vi hơn. Thay vì một thiết bị được trang bị trên khe cắm thẻ, skimmer có thể là một thiết bị nhỏ, không đáng chú ý được chèn vào chính khe cắm thẻ, thường được gọi là lung linh.

Thay vì một camera chỉ vào bàn phím, những kẻ tấn công cũng có thể đang sử dụng lớp phủ - bàn phím giả được trang bị trên bàn phím thật. Khi bạn nhấn một nút trên bàn phím giả, nó sẽ ghi lại nút bạn đã nhấn và nhấn nút thật bên dưới. Đây là những khó khăn hơn để phát hiện. Không giống như máy ảnh, chúng cũng được đảm bảo để lấy mã PIN của bạn.

Skimmer thường lưu trữ dữ liệu họ thu được trên chính thiết bị. Bọn tội phạm phải quay lại và lấy skimmer để lấy dữ liệu mà nó đã bắt được. Tuy nhiên, ngày càng nhiều skimmer đang truyền dữ liệu này không dây qua Bluetooth hoặc thậm chí kết nối dữ liệu di động.

Làm thế nào để phát hiện Skimmer thẻ tín dụng

Dưới đây là một số thủ thuật để phát hiện thẻ skimmer. Bạn không thể nhận ra mọi skimmer, nhưng bạn chắc chắn nên xem nhanh xung quanh trước khi rút tiền.

• Chuyển đổi đầu đọc thẻ: Nếu đầu đọc thẻ di chuyển xung quanh khi bạn cố gắng lắc nhẹ bằng tay, có lẽ điều gì đó không ổn. Một đầu đọc thẻ thực sự phải được gắn vào thiết bị đầu cuối sao cho nó không di chuyển xung quanh - một skimmer được phủ lên trên đầu đọc thẻ có thể di chuyển xung quanh.
• Nhìn vào Terminal: Hãy xem nhanh thiết bị đầu cuối thanh toán. Có bất cứ điều gì nhìn một chút ra khỏi vị trí? Có lẽ bảng dưới cùng có màu khác với phần còn lại của máy vì đó là miếng nhựa giả được đặt trên bảng dưới cùng thật và bàn phím. Có lẽ có một vật thể trông kỳ lạ có chứa máy ảnh.
• Kiểm tra bàn phím: Bàn phím trông có vẻ hơi dày hoặc khác với bàn phím thường trông như thế nào nếu bạn đã sử dụng máy trước đó? Nó có thể là một lớp phủ trên bàn phím thực.
• Kiểm tra máy ảnh: Xem xét nơi kẻ tấn công có thể giấu máy ảnh - ở đâu đó phía trên màn hình hoặc bàn phím hoặc thậm chí trong ngăn chứa tài liệu trên máy.
• Sử dụng Skimmer Scanner cho Android: Nếu bạn sử dụng điện thoại Android, có một công cụ mới tuyệt vời có tên là Skimmer Scanner sẽ quét các thiết bị Bluetooth gần đó và phát hiện các skimmer phổ biến nhất trên thị trường. Nó không phải là hoàn hảo, nhưng đây là một công cụ tuyệt vời để tìm các skimmer hiện đại truyền dữ liệu của họ qua Bluetooth.

Nếu bạn thấy có gì đó sai nghiêm trọng - đầu đọc thẻ di chuyển, camera bị ẩn hoặc lớp phủ bàn phím - hãy chắc chắn cảnh báo ngân hàng hoặc doanh nghiệp phụ trách thiết bị đầu cuối. Và tất nhiên, nếu thứ gì đó không có vẻ đúng, hãy đi nơi khác.

Các biện pháp phòng ngừa an ninh cơ bản khác bạn nên thực hiện

Bạn có thể tìm thấy các skimmer phổ biến, rẻ tiền với các thủ thuật như cố gắng lắc lư đầu đọc thẻ. Nhưng đây là những gì bạn nên luôn luôn làm để bảo vệ chính mình khi sử dụng bất kỳ thiết bị đầu cuối thanh toán nào:

• Bảo vệ mã PIN của bạn bằng tay của bạn: Khi bạn nhập mã PIN vào thiết bị đầu cuối, hãy dùng tay che chắn mã PIN. Có, điều này sẽ không bảo vệ bạn trước các skimmer tinh vi nhất sử dụng lớp phủ bàn phím, nhưng bạn có nhiều khả năng chạy vào skimmer sử dụng máy ảnh - chúng rẻ hơn rất nhiều cho bọn tội phạm mua. Đây là mẹo số một bạn có thể sử dụng để bảo vệ chính mình.
• Theo dõi giao dịch tài khoản ngân hàng của bạn: Bạn nên thường xuyên kiểm tra tài khoản ngân hàng và tài khoản thẻ tín dụng trực tuyến. Kiểm tra các giao dịch đáng ngờ và thông báo cho ngân hàng của bạn càng nhanh càng tốt. Bạn muốn nắm bắt những vấn đề này càng sớm càng tốt - đừng đợi cho đến khi ngân hàng gửi cho bạn một bản tuyên bố in một tháng sau khi một tên tội phạm rút tiền từ tài khoản của bạn. Các công cụ như Mint.com - hoặc một hệ thống cảnh báo mà ngân hàng của bạn có thể cung cấp - cũng có thể trợ giúp tại đây, thông báo cho bạn khi các giao dịch bất thường diễn ra.
• Sử dụng hệ thống thanh toán không tiếp xúc: Nếu có thể, bạn cũng có thể giúp bảo vệ chính mình bằng cách sử dụng các công cụ thanh toán không tiếp xúc như Android Pay hoặc Apple Pay. Cả hai đều vốn đã an toàn và hoàn toàn bỏ qua bất kỳ loại hệ thống vuốt nào, vì vậy thẻ của bạn (và dữ liệu thẻ) không bao giờ thực sự làm cho nó gần thiết bị đầu cuối. Thật không may, hầu hết các máy ATM vẫn không chấp nhận các phương thức rút tiền không tiếp xúc, nhưng ít nhất điều này ngày càng trở nên phổ biến hơn tại các máy bơm xăng.

Ngành công nghiệp đang làm việc trên các giải pháp từ từ

Giống như ngành công nghiệp skimmer luôn cố gắng tìm ra những cách mới để đánh cắp thông tin của bạn, ngành công nghiệp thẻ tín dụng đang tiến lên với công nghệ mới để giữ an toàn cho dữ liệu của bạn. Hầu hết các công ty gần đây đã chuyển sang sử dụng chip EMV, điều này khiến việc đánh cắp dữ liệu thẻ của bạn gần như không thể vì chúng khó tái tạo hơn đáng kể.

Vấn đề là trong khi hầu hết các công ty thẻ và ngân hàng đã khá nhanh chóng áp dụng công nghệ mới này vào thẻ của họ, nhiều đầu đọc thẻ - thiết bị đầu cuối thanh toán, ATM, v.v. - vẫn tiếp tục sử dụng phương thức vuốt truyền thống. Chừng nào những hệ thống này vẫn còn tồn tại, skimmer sẽ luôn là một rủi ro. Cho đến ngày nay, tôi không thể nói rằng tôi đã thấy một máy ATM hoặc thiết bị đầu cuối bơm xăng sử dụng hệ thống chip, cả hai đều có xác suất cao nhất có gắn skimmer. Hy vọng rằng chúng ta sẽ bắt đầu thấy hệ thống chip trở nên phát triển hơn tại các thiết bị thanh toán khi chúng ta chuyển sang năm 2018.

Nhưng cho đến lúc đó, bạn có thể sử dụng các bước được tìm thấy trong tác phẩm này để bảo vệ bản thân nhiều nhất có thể. Như tôi đã nói, nó không phải là hoàn hảo, nhưng làm những gì bạn có thể sẽ giúp bảo vệ dữ liệu của bạn và tài chính của bạn không bao giờ là một ý tưởng tồi.

Để tìm hiểu thêm về chủ đề đáng sợ này - hoặc chỉ để xem hình ảnh của tất cả các phần cứng bị che khuất - hãy xem loạt bài All About Skimmer của Brian Krebs tại Krebs on Security. Tại thời điểm này, nó có một chút thời gian, với nhiều bài viết có từ năm 2010, nhưng tất cả vẫn rất phù hợp với các cuộc tấn công ngày nay và đáng để đọc nếu bạn quan tâm.

Tín dụng hình ảnh: Aaron Poffenberger trên Flickr, nick v trên Flickr