我清楚地记得我意识到信用卡和借记卡是多么不安全的那一刻。我看到有人拿了一个现成的USB磁条阅读器,把它插到电脑上,电脑认出它是键盘。他们打开一个文字处理器,刷了那张卡。文本文件中忠实地出现了一系列数字。事情就是这样:信用卡的信息被窃取了。
同样的技术已经成熟和小型化。微型“撇码器”可以安装在自动取款机和支付终端上,从卡的磁条(称为“磁条”)上撇码你的数据。甚至更小的“微光”被插入读卡器,以攻击新卡上的芯片。现在还有一种数字版本叫做电子略读从支付网站窃取数据。幸运的是,有很多方法可以保护自己免受这些攻击。
什么是撇脂器?
Skimmers是一种微小的恶意读卡器,隐藏在合法的读卡器中,可以收集每个刷卡者的数据。在让硬件sip数据一段时间后,小偷会在受损机器前停下来,拿起包含所有被盗数据的文件。有了这些信息,他就可以制造克隆卡,或者干脆诈骗。也许最可怕的部分是,扫码器通常不会阻止自动取款机或信用卡读卡器正常工作,这使得它们更难被发现。
进入自动取款机内部很困难,所以自动取款机的读卡器有时可以安装在现有的读卡器上。大多数情况下,攻击者还会在附近的某个地方安装隐藏摄像头,以记录用于访问账户的个人识别号码(pin)。摄像头可以安装在读卡器中,也可以安装在ATM机的顶部,甚至可以安装在天花板上。一些犯罪分子甚至在真正的键盘上安装假的密码垫,绕过摄像头直接获取密码。
这张照片是一个真实的自动取款机上使用的撇码器。你看到那个奇怪的,笨重的黄色部分了吗?这是撇脂器。这个很容易发现,因为它的颜色和材料与机器的其他部分不同,但还有其他迹象。在卡槽下方,机器塑料外壳上有凸起的箭头。你可以看到灰色箭头是如何非常接近黄色阅读器外壳,几乎重叠。这表明在现有的读卡器上安装了一个略读器,因为真正的读卡器在卡槽和箭头之间会有一些空间。
ATM机制造商并没有对这种欺诈行为坐视不管。新型atm机拥有强大的防篡改防御系统,有时还包括雷达系统用于检测物体插入或附在自动取款机上。然而,一位研究人员在黑帽一个安全会议能够使用ATM机上的雷达设备来捕捉pin码,这是一个精心设计的骗局的一部分。
撇脂机仍然是威胁吗?
在研究本文的更新时,我们联系了卡巴斯基实验室,该公司的代表告诉我们一些令人惊讶的事情:浏览攻击正在下降。卡巴斯基的发言人说:“撇脂过去是,现在仍然是一种罕见的现象。”
卡巴斯基的代表引用了来自欧洲安全交易协会(EAST)的欧盟统计数据,以表明一种更大的趋势。东部地区的掠鲸袭击事件创历史新低,从1496起下降(在新窗口打开)2020年4月至321起(在新窗口打开)同年10月。COVID-19的影响可能与这一下降有关,但这仍然是巨大的。
当然,这并不意味着撇脂已经消失。就在2021年1月,a主要的撇取诈骗(在新窗口打开)是在新泽西出土的这起案件涉及袭击1000多名银行客户,犯罪分子试图抢走150多万美元。
从撇脂到微光
当美国银行最后赶上了世界其他地区,开始发行芯片卡,这对消费者来说是一个重大的安全福利。这些芯片卡(EMV卡)提供了比老式支付卡简单得令人痛苦的磁条更强大的安全性。但小偷学得很快,他们已经有多年时间在欧洲和加拿大完善针对芯片卡的攻击。
在磁条读卡器的顶部,没有略读器,而是闪烁器内部读卡器。这些都是非常非常薄的设备,从外面看不见。当你把卡插进去时,闪烁器就会从卡上的芯片读取数据,这和撇卡器读取磁条上的数据很像。
然而,有一些关键的区别。首先,EMV带来的集成安全性意味着攻击者只能获得与浏览器相同的信息。在他的博客上,安全研究员Brian Krebs(在新窗口打开)他解释说:“虽然通常存储在磁条上的数据是在芯片内复制的,但芯片包含磁条上没有的额外安全组件。”这意味着窃贼无法复制EMV芯片,但他们可以利用芯片上的数据克隆磁条,或者利用它的信息进行其他欺诈。
我们采访的卡巴斯基代表明确表示他们对芯片卡有信心。“EMV仍然没有被破坏,”卡巴斯基告诉PCMag。“唯一成功的EMV黑客是在实验室条件下。”
真正的问题是微光隐藏在受害机器内部。下图中的微光是在加拿大发现的向皇家骑警报告(在新窗口打开)(互联网档案链接)。它只不过是一个印在薄塑料片上的集成电路。
检查是否被篡改
检查是否篡改销售点设备可能很困难。我们大多数人在杂货店排队的时间都不够长,不足以让读者好好浏览一遍。小偷也更难攻击这些机器,因为它们不是无人看管的。另一方面,自动取款机通常被放置在门厅甚至室外,无人看管,这使它们更容易成为目标。
虽然本文主要讨论自动取款机,但请记住加油站、公共交通支付站和其他无人值守的机器也是如此进攻时机成熟.我们的建议也适用于这些情况。
当你接近自动取款机时,检查一下自动取款机顶部、扬声器附近、屏幕侧面、读卡器本身和键盘是否有明显的被篡改的迹象。如果有些东西看起来不一样,比如不同的颜色或材质,图形对齐不正确,或者其他任何看起来不正确的东西,就不要使用ATM机。
如果你在银行,快速查看一下你旁边的自动取款机并进行比较是个好主意。如果有任何明显的差异,不要使用任何一种,相反,将可疑的篡改报告给你的银行。例如,如果一台ATM机有一个闪光卡入口来显示您应该在哪里插入ATM卡,而另一台ATM机有一个普通插槽,那么您就知道出问题了。大多数略读器都粘在现有的读卡器上,会遮住闪烁的指示灯。
如果键盘感觉不太对——太厚或偏离中心——那么可能会有一个pin - capture覆盖层。不要用它。寻找其他被篡改的迹象,比如可能隐藏相机的洞,或者仓促的机器手术留下的胶水泡泡。
即使你看不出任何视觉差异,也要尽力去做。自动取款机构造牢固,一般没有任何松动部件。信用卡读卡器有更多的变化,但仍然:拉动像读卡器一样突出的部分。看看键盘是否连接牢固,是否只有一块。如果有东西在你推它的时候动了,请注意。
仔细考虑你的交易
无论何时输入借记卡密码,都要假设有人在看。也许就在你的肩膀上,或者通过一个隐藏的摄像头。即使自动取款机或付款机看起来没问题,输入密码时也要捂住手。获得PIN是必要的。如果没有它,犯罪分子利用被盗数据的能力就会受到限制。
犯罪分子经常在不太繁忙的地方安装撇码器,因为他们不想被发现安装恶意硬件或收集收集到的数据(尽管确实存在这种情况)总有例外).室内atm机通常比室外atm机更安全,因为攻击者可以在不被发现的情况下进入室外atm机。使用自动取款机前,请先停下来考虑安全问题。
在任何可能的情况下,不要使用你的卡的磁条来进行交易。现在大多数支付终端都使用磁条作为备用方案,它会提示你插入芯片,而不是刷卡。如果信用卡终端接受NFC交易,可以考虑使用苹果支付,三星支付,或Android支付.
这些非接触式支付服务将你的信用卡信息标记化,所以你的真实数据永远不会暴露。如果犯罪分子以某种方式拦截了交易,他只会得到一个无用的虚拟信用卡号码。三星的一些设备可以通过手机模拟磁条交易。这项技术被称为MST,但现在已经实现了被停止了(在新窗口打开).
通常需要使用磁卡的一种情况是在加油站加油。这些都是常见的攻击,因为许多还不支持EMV或NFC事务,而且攻击者可以在不被注意到的情况下访问泵。进去到收银台付钱要安全得多。如果没有收银员值班,使用自动取款机的相同技巧,并在使用之前检查读卡器。
从撇脂器到微光器到电子撇脂器
毫不奇怪,有一个数字版的电子略读。显然是2018年英国航空公司的黑客攻击严重依赖这种策略.
Bitdefender的威胁研究和报告总监Bogdan Botezatu解释说,电子浏览是指攻击者在支付网站中插入恶意代码,窃取你的信用卡信息。
Botezatu解释说:“这些电子浏览器是通过破坏在线商店的管理员帐户凭据、商店的网络托管服务器或直接破坏(支付平台供应商)来添加的,这样他们就会分发受污染的软件副本。”这类似于网络钓鱼页面,除了页面是认证的-页面上的代码刚刚被篡改。
Botezatu说:“电子浏览攻击越来越善于逃避检测。”“攻击者保持这种立足点的时间越长,他们就能收集到越多的信用卡。”
出人意料的是,更安全的网络很容易打击这种类型的攻击最终取决于经营这些商店的公司。不过,消费者可以做一些事情来保护自己。Botezatu建议消费者使用安全套件软件在他们的电脑上,他说这可以检测恶意代码,阻止你输入你的信息。
或者,您可以避免同时输入虚拟信用卡的信用卡信息。这些是与你真正的信用卡账户相关联的虚拟信用卡号。如果有一张信用卡被泄露,你不需要办理新信用卡,只需要生成一个新的虚拟号码。一些银行,比如花旗(在新窗口打开)如果你想把它作为一项功能提供,那么问问你的功能是否可用。如果你无法从银行获得虚拟卡,Abine模糊向订阅者提供伪装信用卡,其工作方式类似。Apple Pay和谷歌支付在一些网站上也被接受。
另一种选择是注册信用卡提醒。一些银行会在每次使用借记卡时向你的手机发送推送提醒。这很方便,因为您可以立即识别虚假购买。如果你的银行提供类似的选项,试着打开它。个人理财应用就像Mint.com可以帮助简化对所有事务进行排序的任务。
保持清醒
即使你做的一切都是正确的,并且检查了你遇到的每一台支付机器的每一寸地方(这让排在你后面的人很懊恼),你也可能成为欺诈的目标。但请记住:只要你尽快向你的发卡机构(信用卡)或银行(你有账户的地方)报告被盗,你就不会被追究责任。你的钱会还给你的。另一方面,商业客户没有同样的法律保护,可能更难拿回他们的钱。
此外,如果对你来说有意义的话,试着使用信用卡。借记交易是一种即时的现金转移,有时纠正起来更费时。信用卡交易可以在任何时候停止和撤销。这样做会给商家带来压力,要求他们更好地保护atm和销售点终端的安全。不过,过度使用信贷也有其隐患,所以要小心。
最后,注意你的手机。银行和信用卡公司通常有非常积极的欺诈检测政策,如果他们发现可疑情况,通常会立即通过电话或短信与你联系。快速反应意味着在攻击影响到你之前阻止攻击,所以把手机放在身边。
只要记住:如果自动取款机或信用卡读卡器感觉不舒服,就不要使用。只要有可能,就用你的卡上的芯片代替卡片。你的银行账户会感谢你的。
Fahmida Y. Rashid对本文也有贡献
